Informationssicherheit

Wirtschaftsspionage

Teil 1: Internet

Sie kommen heimlich, still und leise und die meisten Betroffenen merken es wahrscheinlich nie oder zu spät: Trojaner, mit deren Hilfe Spione sensible Daten aus dem internen Netzwerk einer Firma ziehen können. „Firewalls oder Virenscanner bieten keinen hundertprozentigen Schutz“, so das Bayerische Landesamt für Verfassungsschutz (BayLfV), das in einem eigenen Bereich „Wirtschaftsschutz“ Informationen und Beratung für Unternehmen anbietet.

Social Engineering

Gefährlich und hochaktuell ist das so genannte „social engineering“: Menschliche Eigenschaften wie Hilfsbereitschaft, Unwissenheit oder einfach nur Freundlichkeit werden dabei ausgenutzt, um Mitarbeiter „auszuhorchen“.
Beispiel: Wenn ein Firmenmitarbeiter auf einer Messe nach einem netten Gespräch seine Visitenkarte mit seiner E-Mailadresse weitergibt, liefert das einem Spion erste Angriffsmöglichkeiten. Selbst wenn es in diesem Gespräch nicht einmal um Geschäftliches, sondern um scheinbar Belangloses wie Hobbies oder private Interessen ging, kann das fatal für die Zukunft eines Unternehmens sein.
Denn damit hat der potenzielle Angreifer die Grunddaten erhalten und kann in einer persönlichen Mail, die sich eben auf diese Belanglosigkeiten bezieht, ganz leicht einen unsichtbaren Trojaner platzieren, der dann in das Firmennetzwerk eindringen kann. Auch Firmenhomepages, die in der Rubrik „Wir über uns“ oder „Team“ ihre Mitarbeiter mit Foto, Lebenslauf und Mailadresse vorstellen, geben Informationen preis, die für einen „social-engineering-Angriff“ relevant sein können. Die Kenntnis und das Bewusstsein, dass diese Methode des Ausspähens eine reale Gefahr darstellt, sollten nicht nur Firmenchefs sondern auch die Mitarbeiter haben.

Bewusstsein muss geschärft werden

Gerade in kleinen Betrieben fehlt oft eben dieses Bewusstsein. Große Firmen verfügen über eigene Abteilungen, deren Experten sich ausschließlich um das Sicherheitsmanagement der Firma kümmern. In Kleinbetrieben hat vielleicht der Chef oder ein Mitarbeiter, der sich mit PCs auskennt, irgendwann eine Firewall installiert. In der Annahme, das genüge als Schutz. Der Faktor Sicherheit wird hier eher stiefmütterlich behandelt. „Sicherheit muss Chefsache sein!“, fordern die Experten vom BayLfV. Und: „IT-Schutz alleine reicht nicht: Die Geschäftsführung sollte ihre Mitarbeiter entsprechend schulen und für das Thema Know-How-Schutz sensibilisieren. Hier setzt das Bayerische Landesamt für Verfassungsschutz mit seinem kostenfreien Beratungsangebot für alle bayerischen Unternehmen an.“

Teil 2: Geschäftsreisen

Immer wieder erstaunlich ist es, wie sorglos manche Firmenmitarbeiter mit sensiblen Daten im öffentlichen Raum umgehen - nicht nur auf Reisen ins Ausland, sondern auch auf dem täglichen Weg ins Büro. Da werden Laptops mit Konstruktionen, Kalkulationen und Tabellen einfach so vor den Augen der Mitfahrer bearbeitet oder am Handy über Zahlen, Namen oder Verträge geplaudert.
Zur Vorsicht rät auch der Bayerische Verband für Sicherheit in der Wirtschaft (BVSW) bei in der Öffentlichkeit geführten Gesprächen: „Die durch Fremde mitgehörten Unterhaltungen im Hotelfoyer, Wartehallen, Flughäfen und Bahnhöfen dienen oftmals als Spionage-Ansatz oder werden direkt vom ‚Mithörer’ verwertet.“
Das Bayerische Landesamt für Verfassungsschutz (BayLfV) hat weitere Tipps für die Geschäftsreise: Machen Sie wahrheitsgemäße Angaben bei der Einreise - etwa beim Visaantrag - und beachten Sie die einschlägigen Landesgesetze, um sich nicht angreifbar zu machen. Gefahren lauern auch im Taxi oder bei dem Dolmetscher, der einem freundlicherweise vom potenziellen ausländischen Geschäftspartner zur Seite gestellt wird.
Auch im Hotel ist die Spionagegefahr groß. Vielen Geschäftsreisenden dürfte mittlerweile bekannt sein, dass erstklassige Vier- oder Fünf-Sterne Hotels in manchen Ländern über speziell „ausgerüstete“ Suiten verfügen, die den ausländischen Gästen extra gebucht werden: Da gibt es winzige Kameras oder Mini-Abhöranlagen im Lampen, Rauchmeldern oder im Fernseher. Lieber also eine Klasse kleiner reservieren oder zumindest im Zweifelsfalle keine das Geschäft betreffenden Gespräche im Hotelzimmer oder der Lobby führen.
Hilfreich ist es auch, unter dem Namen des Reisenden, nicht aber unter Angabe des Firmennamens und der Funktion (Vorstandsmitglied, Geschäftsführer) zu buchen. Von selbst versteht sich auch, Datenträger, Verträge und andere Schriftstücke nicht im Hotelsafe aufbewahren zu lassen – das wäre für Spione dann doch zu einfach!
Übrigens: Auch die gute alte Masche mit den Einladungen in Saunaclubs, „Animierbetriebe“ oder einem attraktiven Lockvogel wird immer noch gerne genutzt, um Geschäftsleute in kompromittierende Situationen zu bringen und damit erpressbar zu machen.

Teil 3: Augen auf bei Messen!

Messen können für Diebe und Spione wahre Selbstbedienungsläden sein. Auch wenn Stände vom Sicherheitspersonal bewacht werden: Ungeschützte Momente, etwa beim Auf- oder Abbau eines Standes, gibt es immer.
Viele Unternehmen präsentieren sich auf Messen mittels Laptops und Bildschirmen. Oft sind diese dann nicht abgeschlossen, mit Ketten gesichert. Und unverschlüsselte Daten sind auch darauf. Da freuen sich Daten- und Hardware-Diebe. Oft werden Messeschrank- oder Abstellraumschlüssel unter mehreren Ausstellern geteilt. Die Gelegenheiten für das Abwenden von wichtigen Datenträgern oder sonstigen vertraulichen Unternehmensgegenständen sind vielfältig und werden gerne genutzt.
Auch das Abfotografieren der Ausstellungsstücke ist eine beliebte -und meist viel zu leicht durchzuführende - Vorgehensweise. Ein allgemeines Fotoverbot im Messebereich (überwacht durch sog. „Foto-Sheriffs“) und geeigneter Diebstahlsschutz können hier hilfreich sein.
Auf der Website des chinesischen Internethandelsriesen Alibaba Group Holding konnte in der Vergangenheit der eine oder andere deutsche Hersteller mit Entsetzen kurz vor Markteintritt ein Plagiat seiner neuen Produktinnovation entdecken. Deshalb empfiehlt es sich die allerneueste Version Ihres Produktes sicherheitshalber unter Verschluss zu halten und auf Messen das Vorgängermodell auszustellen.
Übrigens: Auch Gastgeschenke oder an Messeständen ausgeteilte so genannte Give-Aways sind mit Vorsicht zu genießen. Edel verpackte und schön designte USB-Sticks etwa können Trojaner oder Ausspäh-Software erhalten, die für den Beschenkten unsichtbar, aber dem Spion ein ideales Werkzeug sind.

Unter „Weitere Informationen" finden Sie die Publikation „Soziale Netzwerke” zum Download.