Die meisten Menschen kommen mit Spionage nur über mehr oder weniger gelungene Romane oder Kinofilme in Berührung. Für zahllose Unternehmen ist das Thema jedoch bittere Realität. Das zeigte etwa der Fall Boeing, der in diesem Sommer für Schlagzeilen sorgte: Der Flugzeughersteller hatte sich bereits vor einigen Jahren interne Dokumente seines Konkurrenten Lockheed Martin beschafft, die neben wichtigen technischen Daten auch detaillierte Kostenangaben enthielten. Mit diesen Informationen war es Boeing möglich, den Rivalen bei der Vergabe eines hoch dotierten Rüstungsauftrags durch die US-Luftwaffe auszustechen. Die Geschichte flog auf: Boeing verlor den Auftrag, gegen die verantwortlichen Manager wurde Strafantrag gestellt.
Fritz Stepper, Sprecher des Bundesamts für den Verfassungsschutz, weiß um die Aktualität des Themas: "Spionage findet immer statt. Daran hat sich auch durch die politische Entspannung nichts geändert." Gerade im wirtschaftlichen Bereich gebe es Länder wie zum Beispiel die Mitglieder der Gemeinschaft unabhängiger Staaten (GuS), die sich auf diese Weise Informationen zu beschaffen suchten, um Entwicklungskosten zu sparen und den Rückstand gegenüber anderen Ländern aufzuholen.
Feind hört mit
Experten reden in einem solchen Fall, bei dem die Abhöraktivitäten von den jeweiligen staatlichen Nachrichtendiensten, beispielsweise dem zivilen russischen "Slushba Wneschnej Raswedkij" (SWR), ausgehen, von Wirtschaftsspionage. Manfred Dickopf, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht besonders in dieser Form der Schnüffelei eine Gefahr, "weil hier sehr professionelle Angreifer am Werk sind".
Im Gegensatz dazu steht - wie im Beispiel Boeing/Lockheed - die so genannte Industriespionage oder Konkurrenzausspähung. Hier gehen die Aktionen auf ein einzelnes Unternehmen zurück, das sich mit unlauteren Methoden einen Vorteil gegenüber einem Wettbewerber verschaffen will.
Anders als Lockheed Martin erfahren die meisten Firmen jedoch nicht einmal, dass sie Opfer eines Lauschangriffs geworden sind. Nach Angaben von Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW), werden lediglich drei Prozent aller Spionagefälle erkannt: "Weil die Dunkelziffer in diesem Bereich sehr hoch ist, lassen sich auch nur sehr schwer Angaben zu den finanziellen Schäden machen, die der Wirtschaft durch Spionage entstehen. Sicherheitskreise gehen jedoch von einem Schaden im zweistelligen Milliardenbereich aus."
Claudia Nestler, Partner in der Abteilung Dispute Analysis & Investigations bei Pricewaterhouse-Coopers (PWC) in Frankfurt am Main, warnt: "Unternehmen neigen generell dazu, die Gefahr durch Wirtschaftskriminalität zu unterschätzen." Das gelte nicht nur für Spionagefälle, sondern treffe auch für Delikte wie Betrug und Untreue zu. "Wir erhalten häufig Anfragen zum Thema Spionage, auch von kleineren Unternehmen." Die Spezialistin moniert, dass "installierte Schutzmaßnahmen leider oft ein trügerisches Gefühl von Sicherheit entstehen lassen". Mit ausreichender krimineller Energie lasse sich aber jedes Kontrollsystem aushebeln.
Dabei spielt die IT eine besondere Rolle für die illegale Informationsbeschaffung. So ist im BKA-Jahresbericht "Wirtschaftskriminalität 2001" ein Fall erwähnt, bei dem ein Verkaufsleiter in einem Unternehmen das E-Mail-Programm der Geschäftsleitung so manipulierte, dass alle elektronischen Nachrichten auch an ihn gingen. Die gesammelten Informationen leitete er an den Geschäftsführer einer Konkurrenzfirma weiter, die daraufhin Kunden abwarb, indem sie ihnen günstigere Angebote unterbreitete.
PWC-Expertin Nestler glaubt: "Dank der modernen IT ist es leichter, Informationen aus einem Unternehmen herauszuschaffen." Nur wenige Firmen reglementieren ihren Informationen zufolge den E-Mail-Verkehr ihrer Mitarbeiter, so dass sich Daten auf diesem Weg relativ einfach nach außen senden lassen. "Da hilft dann auch eine strenge Kontrolle am Ein- und Ausgang wenig", so Nestler.
Auch BSI-Sprecher Dickopf ist der Meinung, dass "moderne IT-Systeme Übeltätern die Arbeit erleichtern". Wenn die Infrastruktur nur unzureichend abgesichert ist, lasse sich ein Angriff von außerhalb starten, ohne dass eine Person direkt im Unternehmen aktiv werden muss. Um dem vorzubeugen, sollten Firmen unbedingt die Empfehlungen des Grundschutzhandbuchs befolgen. Vor diesem Hintergrund mahnt Dickopf auch die Verschlüsselung der Kommunikation als das A und O an, um sich vor Lauschangriffen zu schützen.
Fritz Stepper vom Verfassungsschutz weist auf die vielen Angriffsmöglichkeiten hin, die die IT bietet. "Das fängt bereits mit dem sorglosen Umgang mit Passwörtern an, durch den Unbefugte an nicht für sie bestimmte Informationen herankommen können." Aber auch Handys und Digitalkameras spielen aus Sicht des Experten eine sehr große Rolle. Klassische Methoden des Abhörens, etwa Wanzen, würden aber nach wie vor ebenfalls benutzt.
Die praktische Erfahrung des Sicherheitsspezialisten Alfred Huth bestätigt das. Der Experte glaubt, in deutschen Unternehmen ein steigendes Bewusstsein für die Gefahr durch Spionage erkennen zu können: "Mehr und mehr Firmen gehen dazu über, die Datenkommunikation und sogar ihre Telefongespräche zu verschlüsseln." Das zwinge die Angreifer, an dem Entstehungspunkt der Informationen anzusetzen, also direkt im Zimmer beziehungsweise auf dem Rechner. Nicht selten erfolgreich: Mit Hilfe von entsprechenden Hard- oder Softwarelösungen lassen sich vom Anwender unbemerkt Daten aufzeichnen, bevor diese verschlüsselt werden, und auf verborgenen Kanälen weiterleiten.
Da es aber immer schwieriger werde, etwas direkt auf einem Rechner zu installieren, "erlebt die von vielen bereits totgeglaubte Wanze derzeit einen regelrechten Boom". Die elektronischen Horchinstrumente kosten lediglich ein paar hundert Euro - "verglichen mit dem, was man damit anrichten kann, ist das Kleckerkram", findet der Experte. Es sei einfach, einen Servicetechniker einzuschleusen, der mit einem Handgriff ein Gerät anbringt und wieder verschwindet. Das könnten zum Beispiel fertige Unterputzsteckdosen mit Wanzen sein, die sich nach Angaben von Huth "in weniger als einer Minute" anschließen lassen. Die Wanze hat danach auf Jahre hinaus permanent Strom und ermöglicht das Abfangen von Informationen.
Der Spezialist weiß, wovon er spricht. Seine Firma berät Unternehmen der Industrie- und Bankenwelt in Sicherheitsfragen, außerdem bietet er Seminare an, um Sicherheitsleute für die Lauschabwehr zu trainieren. Mit seinem Team untersucht er aber auch Räumlichkeiten auf möglicherweise installierte Abhörinstrumente: "Wir rücken in regelmäßigen Intervallen in den Unternehmen ein und messen Chefbüros oder Besprechungszimmer im Hinblick auf etwa vorhandene Hochfrequenztechnik aus."
Wanzen im Kaffee
Wie heimtückisch die Methoden der Spitzel sein können, zeigt ein Beispiel aus Huths Praxis: Die Experten hatten einen Konferenzraum gesäubert und bis zum Beginn einer Veranstaltung versiegelt. Zusätzlich bewachte ein Angestellter einer Sicherheitsfirma den Eingang und ließ nur die Konferenzteilnehmer herein - und den Catering-Service, der das Essen und die Getränke brachte. "Später fanden wir heraus, dass in den Kaffeekannen Wanzen eingebaut waren", ärgert sich Huth noch heute. Deshalb scannen seine Leute jetzt während Konferenzen von einem Nachbarraum aus ständig den Hochfrequenzbereich. So können sie feststellen, ob eine Wanze oder ein Handy von außen aktiviert wird, und können dann eingreifen, beispielsweise indem sie dem Konferenzleiter ein Zeichen geben.
Der Fachmann glaubt, dass das Thema Spionage gern totgeschwiegen wird, weil die betroffenen Unternehmen große Angst vor der Reaktion der Öffentlichkeit haben. Dabei fürchten die Firmen weniger den direkten, durch das Abhören entstandenen Schaden als vielmehr den Imageverlust, den das Übertölpeltwerden mit sich bringt.
Damit es nicht dazu kommt, empfiehlt ASW-Geschäftsführer Stoppelkamp, IT-Sicherheitskonzepte im Unternehmen ständig zu überprüfen. Das sei schon aufgrund der kontinuierlichen technischen Weiterentwicklung ein absolutes Muss: "Niemand kann sich auf ein System verlassen, das er vor drei Jahren angeschafft hat und das damals dem Stand der Technik entsprach, heute aber nicht mehr zeitgemäß ist." Seiner Ansicht nach ist der Rat von externen Spezialisten hierbei sehr wichtig, will man nicht Gefahr laufen, etwaige Lücken zu übersehen.
Doch auch die von so genannten Innentätern ausgehende Gefahr darf nach Meinung von Stoppelkamp nicht unterschätzt werden: "Viele kleinere Unternehmen greifen auf externe Dienstleister zurück, überprüfen aber deren Seriosität in keinster Weise." Das sei sehr gefährlich, wer mit Fremdpersonal arbeite, solle sicherstellen, dass dies "sauber" ist: "Dazu gehört auch, darauf zu achten, was die Putzkolonne nachts so treibt."
Verfassungsschutzsprecher Stepper empfiehlt Firmen, die Anhaltspunkte dafür haben, dass sie ausspioniert werden, sich sicherheitshalber zunächst an seine Behörde zu wenden. Das hat den Vorteil, dass nicht sofort ein Ermittlungsverfahren eingeleitet wird, wie dies der Fall ist, wenn Polizei oder die Staatsanwaltschaft involviert sind. "Dazu sind sie aufgrund des Legalitätsprinzips verpflichtet", weiß Stepper. Für den Verfassungsschutz gelte hingegen das Opportunitätsprinzip: "Wir müssen Fälle nicht sofort an die Strafverfolgungsbehörden weiterleiten, sondern können sie zunächst intern bearbeiten und untersuchen, worum es sich genau handelt." Stellt sich heraus, dass Konkurrenzspionage vorliegt, bleibt nur noch der Gang zum Staatsanwalt.
Martin Seiler, mseiler@computerwoche.de
Enorme Schäden
Im "Jahresbericht Wirtschaftskriminalität 2001" des Bundeskriminalamtes (BKA) ist zwar von "erheblichen Schäden" für die Wirtschaft die Rede, genauere Angaben sucht man jedoch vergebens. Laut Bericht sind die Kosten "nur schwer quantifizierbar" oder wegen der geringen Anzeigebereitschaft "statistisch nicht zu erfassen". Wer handfeste Zahlen sucht, muss die entsprechenden Angaben der Jahre 1997 und 1998 bemühen: Sie beziffern den in diesen beiden Jahren entstandenen wirtschaftlichen Schaden auf insgesamt rund 5,8 Millionen Mark.
Claudia Nestler von Pricewaterhouse-Coopers (PWC) schätzt die finanziellen Auswirkungen ungleich höher ein. Im Rahmen der Studie "Wirtschaftskriminalität 2003 - Internationale und deutsche Ergebnisse" hat PWC insgesamt über 3600 Unternehmen, davon 150 in Deutschland, unter anderem auch zum Thema Spionage befragt.
Den Antworten zufolge belief sich die Schadenssumme im Zeitraum 2001/02 pro Vorfall im Durchschnitt auf 3,8 Millionen Euro. Das ist mehr als die durch Produktpiraterie (3,3 Millionen), Korruption (3,4 Millionen), Betrug/Untreue (1,3 Millionen) oder Cybercrime (0,7 Millionen Euro) jeweils entstandenen Schäden.
Spionage-Links
http://www.asw-online.de
http://www.verfassungsschutz.de
http://www.fink-consulting.info/fink/volltext.nsf
http://www.bmwi-geheimschutz.de
http://www.spionage.info
http://www.bsi.de