Spionage, Sabotage & Extremismus
Unternehmen im Main-Kinzig-Kreis entwickeln innovative Ideen und Techniken, Produkte oder Lösungen für Probleme in Industrie und Wirtschaft. Genau daran haben konkurrierende Unternehmen oder ausländische Nachrichtendienste oftmals Interesse – und sie schrecken nicht immer vor illegalen Methoden zurück, um an Informationen über diese zu gelangen. Die IHK-Redaktion hat sich deshalb mal angeschaut, welche Gefahren aktuell drohen können und beim hessischen Verfassungsschutz – Fachbereich Wirtschaftsschutz – nachgefragt, welche Handlungsempfehlungen sie Betroffenen geben.
Schwachstelle Technik
Mobile Geräte / USB
Gefahren
Die gesamte Kommunikations-Infrastruktur kann mittlerweile Ziel von Versuchen der Wirtschaftsspionage sein. So ist jedes Smartphone prinzipiell ein kleiner Computer, dementsprechend angreifbar und selten ausreichend geschützt: Mit Schadsoftware können Chatverläufe mitgelesen, Telefonate mitgehört und Daten ausgelesen werden. Auch USB-Sticks werden häufig für Spionagezwecke genutzt. Schadsoftware wird von dort auf einem Unternehmensrechner installiert und gelangt so ins System.
Empfehlung
Zur Minimierung der Gefahr einer Kompromittierung im Zusammenhang mit Mobilgeräten sollten grundsätzlich Anwendungen wie bspw. ein „Mobile Device Management“ (MDM) mit möglichst restriktiver Rechtevergabe implementiert werden. Ebenso sollten nur hersteller- oder anbietereigene, vertrauenswürdige Quellen verwendet werden, aus denen heraus Software auf die Geräte aufgespielt werden kann (bspw. Google Store, Apple Store etc.).
Durch geeignete IT-Maßnahmen sollte die Nutzung von USB-Schnittstellen an PCs und Notebooks eingeschränkt oder unterbunden werden, um das Risiko des Einschleusens von Schadsoftware durch fremde USB-Sticks zu minimieren.
Cloud-Technologie
Gefahren
Viele Unternehmen greifen inzwischen auf Cloud-Lösungen zurück, um Kosten für Speicher- oder Rechenkapazitäten zu sparen. Ein weiterer Vorteil: Daten lassen sich weltweit abrufen. Weil die Daten aber physikalisch nicht mehr vor Ort im Unternehmen liegen, gibt man auch die Kontrolle darüber ab und muss sich stattdessen andere Fragen stellen: Wie sicher ist die Cloud? Und haben womöglich unautorisierte Personen Zugriff auf die Unternehmensdaten?
Empfehlung
Zum Schutz der Unternehmensdaten wird eine Verschlüsselung der Daten innerhalb der Cloud dringend empfohlen. Dies kann entweder durch Lösungen des jeweiligen Cloudanbieters oder durch geeignete Software von Drittanbietern erfolgen.
Zur Erhöhung der Sicherheit in Bezug auf die Anmeldung und den Zugang zu den Clouddaten sollte eine Zwei-Faktor-Authentifizierung eingesetzt werden.
E-Mail-Kommunikation
Gefahren
Vorsicht bei E-Mail-Anhängen. Mit diesen verschicken Täter oft so genannte Trojaner. Nach Öffnung des Anhangs installieren sich diese Programme und senden Unternehmensdaten an die Täter – oder es wird im Hintergrund Schadsoftware nachgeladen, die die Kontrolle des Unternehmenssystems übernehmen und dadurch Prozesse sabotieren kann. Nicht immer ist eine schädliche E-Mail auf den ersten Blick erkennbar.
Empfehlung
Zum Schutz empfiehlt sich die Deaktivierung von Makros in Anwendungen wie z.B. Microsoft Office. Durch geeignete Hard- und Softwarelösungen sollten E-Mails und Anhänge bereits vor der Zustellung an den firmeninternen Empfänger auf Schadsoftware gescannt werden. Nicht zulässige Anhänge wie bspw. EXE-, DLL-, VBS-Dateien etc. sollten in diesem Schritt bereits aus der E-Mail entfernt werden.
Neben dem Einsatz klassischer Antivirus-Lösungen kann eine Software zur Verhaltensanalyse auf Computern unterstützen, um verdächtige Aktivitäten durch Malware zu detektieren.
Um die Awareness der Mitarbeiterinnen und Mitarbeiter auf einem hohen Niveau zu halten, sollte eine regelmäßige Sensibilisierung erfolgen. Vor allem IT-Startups bieten inzwischen auf Mitarbeitersensibilisierung ausgerichtete Penetrationstests in allen Preissegmenten an, welche einen Cyberangriff (z.B. mittels Spear-Phishing) auf das Unternehmen simulieren und das Ergebnis in Abstimmung mit dem Auftraggeber adressatengerecht an die Belegschaft kommuniziert.
Keylogger
Gefahren
Keylogger gibt es sowohl als Hard- als auch als Software. Das Prinzip ist das gleiche: Sie zeichnen Tastatureingaben und Mausklicks auf. Genutzt von Hackern können so Passwörter gestohlen, Kreditkartendaten oder sogar Screenshots von Internet-Aktivitäten gemacht werden.
Empfehlung
Hardware-Keylogger: Viele der im Einsatz befindlichen Hardware-Keylogger werden an die USB-Schnittstellen eines Computers angeschlossen und geben sich als Tastaturen aus. Durch geeignete IT-Maßnahmen sollte die Nutzung von USB-Schnittstellen an PCs und Notebooks eingeschränkt oder gar unterbunden werden.
Daneben kann nur eine regelmäßige Sichtkontrolle angeschlossener Geräte helfen, unberechtigt eingebrachte Hardware zu identifizieren.
Software-Keylogger: Zum Schutz vor Software-Keyloggern sollten geeignete Schutzmaßnahmen wie bspw. Antiviren-Software mit verhaltensbasierter Analyse zum Einsatz kommen.
Technisierte Industrie (Schnittstelle Internet)
Gefahren
In der modernen Industrie werden immer mehr Prozesse digitalisiert und miteinander vernetzt. Dadurch wird ein Unternehmen aber auch angreifbarer – vor allem bei Schnittstellen zum Internet. Ist ein Angreifer erstmal im System, kann er Zugang zu Bereichen erhalten, in denen womöglich sensible Daten abgelegt sind. Oder er hat Zugriff auf die Steuerung von Produktionsprozessen, wodurch auch an dieser Stelle eine Sabotage möglich ist.
Empfehlung
Es sollten ausschließlich Anwendungen und Sensoren mit dem Internet verbunden werden, für welche eine Remotesteuerung unumgänglich ist. Diese Systeme sollten von Systemen zur Steuerung von Produktionsprozessen sowie dem internen Netzwerk, mindestens aber von der unternehmenskritischen Infrastruktur, durch geeignete Netzwerksegmentierung voneinander getrennt und durch weitere Schutzmechanismen wie Zugriffsbeschränkungen, Zwei-Faktor-Authentifizierung, engmaschiges Monitoring erforderlicher Softwareupdates etc. geschützt werden.
Weiterführende Informationen des Verfassungsschutzes für Unternehmen
Neben dem Präventions- und Beratungsangebot des Wirtschaftsschutzes im Landesamt für Verfassungsschutz Hessen stellt der Verfassungsschutzverbund für eine ganze Reihe relevanter Themen und zugleich für die Mitarbeitersensibilisierung nutzbare Informationen zur Verfügung („Informationsblätter zum Wirtschaftsschutz“). Diese finden Sie auf der Website des Bundesamtes für Verfassungsschutz (Rubrik Publikationen) sowie der „Initiative Wirtschaftsschutz“ (wirtschaftsschutz.info – Rubrik Veröffentlichungen) als pdf-Datei zum Download.
Für Anfragen erreichen Sie den Wirtschaftsschutz im Landesamt für Verfassungsschutz Hessen unter Telefon 0611 / 720 – 3600 sowie per Mail unter wirtschaftsschutz@lfv.hessen.de.
Neben dem Präventions- und Beratungsangebot des Wirtschaftsschutzes im Landesamt für Verfassungsschutz Hessen stellt der Verfassungsschutzverbund für eine ganze Reihe relevanter Themen und zugleich für die Mitarbeitersensibilisierung nutzbare Informationen zur Verfügung („Informationsblätter zum Wirtschaftsschutz“). Diese finden Sie auf der Website des Bundesamtes für Verfassungsschutz (Rubrik Publikationen) sowie der „Initiative Wirtschaftsschutz“ (wirtschaftsschutz.info – Rubrik Veröffentlichungen) als pdf-Datei zum Download.
Für Anfragen erreichen Sie den Wirtschaftsschutz im Landesamt für Verfassungsschutz Hessen unter Telefon 0611 / 720 – 3600 sowie per Mail unter wirtschaftsschutz@lfv.hessen.de.
Schwachstelle Mensch
Auslandsreisen
Gefahr
Geschäftsreisen und Auslandsaufenthalte gehören oftmals zum Unternehmensalltag. Gesetze in anderen Ländern können die dortigen Nachrichtendienste aber dazu ermächtigen, mitgeführte Daten zu entwenden. Verstöße dagegen nutzen Behörden dann womöglich als Druckmittel – auch hier mit dem Ziel, mit dem fremden Nachrichtendienst zu kooperieren.
Empfehlung
Informieren Sie sich umfassend über die im Zielland geltenden Gesetze und Möglichkeiten hinsichtlich der Verwendung von VPN. Die Mitnahme sensibler Unternehmensinformationen auf Geschäftsreisen im Ausland sollte auf das Nötigste beschränkt werden. Vor Ort sollten insbesondere mobile Endgeräte keinesfalls aus den Augen gelassen oder anderen Personen überlassen werden.
Die Verwendung von Data-Blockern (verhindert physikalisch jede Art von Synchronisierung oder Datentransfer und lässt ausschließlich den Ladevorgang zu) sollte für alle Mitarbeiterinnen und Mitarbeiter verpflichtend sein - bei Geschäftsterminen im In- und Ausland.
Sofern eine konkrete Ansprache bereits erfolgt ist oder der Verdacht einer Anbahnung oder persönlichen Kompromittierung durch einen fremden Nachrichtendienst besteht, nehmen Sie unmittelbar nach Ihrer Rückkehr nach Deutschland Kontakt zur Spionageabwehr des Verfassungsschutzes Ihres Bundeslandes auf.
Umgang mit Daten
Gefahren
Im Umgang mit Unternehmensdaten können Mitarbeiter zu fahrlässig handeln. Sei es, weil sie Mobilgeräte oder sensible Schriftstücke im öffentlichen Raum liegen lassen oder Daten so bearbeiten, dass sie mitgelesen werden können. Im schlimmsten Fall werden Daten zwischen mobilen Geräten, Home-Office und Unternehmen nicht verschlüsselt.
Empfehlung
Nicht erst seit der flächendeckenden Ausweitung von Homeoffice in Folge der Corona-Pandemie ist das Thema VPN ein maßgeblicher Bestandteil eines ganzheitlichen Schutzkonzeptes der Unternehmenssicherheit.
Eine sichere Kommunikation zwischen dem Unternehmensnetzwerk und dem mobilen Arbeiten der Mitarbeiter kann jedoch nur dann ein hohes Schutzniveau bieten, sofern die Mitarbeiter auf dem heimischen PC oder mobilen Endgeräten keine unsichere oder gar private Nutzung parallel betreiben.
Spionageverdacht Mitarbeiter/Fremdpersonal
Gefahr
In Zeiten der Digitalisierung ist Spionage im Unternehmen nicht leicht zu entdecken. Oftmals reicht schon die Installation von Schadsoftware, um sensible Daten aus dem Betrieb zu schleusen.
Empfehlung
Netzwerk & Software: Dreh- und Angelpunkt ist ein auf jeden Mitarbeiter individuell zugeschnittenes Rollenkonzept. Uneingeschränkte Nutzerberechtigungen erhöhen den Arbeitskomfort – jedoch häufig zu Lasten der Informationssicherheit.
Softwarelösungen im Hintergrund können die Ausleitung auffällig hoher Datenmengen monitoren und Alarm geben.
Physische Sicherheit: Ein umfassendes Zugangsberechtigungskonzept für Geschäftspartner, Besucher und Lieferanten kann die Gelegenheiten für unberechtigte Zugriffe auf IT-Geräte maßgeblich minimieren.
Social Engineering
Gefahr
Beim so genannten Social Engineering nutzen Täter gezielt individuelle Persönlichkeitsmerkmale aus, mit denen sie Menschen manipulieren. Das kann bei Telefonaten, persönlichen Treffen, auf Messen, Dienstreisen, in den sozialen Medien oder per Phishing-Mails sein. Das Ziel: Diese dazu zu bringen, vertrauliche Informationen preiszugeben oder Schadsoftware zu installieren.
Empfehlung
Bei dem Angriffsvektor Social Engineering ist ein hohes Sensibilisierungsniveau der Goldstandard. Die oftmals psychologisch fundiert eingesetzten Vorgehensweisen sind sehr vielfältig und lassen zunächst keine Verdachtsmomente oder gar einen Rückschluss auf das Kerninteresse aufkommen. Insbesondere bei zentralen Anlauf- und Kontaktstellen im Unternehmen (Telefonzentrale, Sekretariate, Werksschutz etc.) sollte daher eine Hauspolitik der Informationszurückhaltung und kritischem Hinterfragen etabliert sein.
Veranstaltungshinweis:
Spionage, Sabotage & Extremismus – Wirtschaftsschutz für Unternehmen
Wie können sich Unternehmen vor Wirtschaftsspionage schützen? Wie vor Sabotage oder dem Diebstahl von Wissen? Diese Fragen beantwortet Dipl.-Rechtspfleger (FH) Timo Wenner in seinem Vortrag zum Thema „Wirtschaftsschutz – Spionage, Sabotage & Extremismus“ am 21. November, um 16 Uhr, in der IHK Hanau-Gelnhausen-Schlüchtern. Er ist seit vielen Jahren im Fachbereich Spionageabwehr – Wirtschaftsschutz – beim Landesamt für Verfassungsschutz Hessen (LfV) tätig. Im Anschluss an den Vortrag, der auch Möglichkeit für Nachfragen bietet, besteht die Möglichkeit zum Austausch untereinander sowie mit Herrn Wenner. Eine kostenfreie Anmeldung ist möglich.
Spionage, Sabotage & Extremismus – Wirtschaftsschutz für Unternehmen
Wie können sich Unternehmen vor Wirtschaftsspionage schützen? Wie vor Sabotage oder dem Diebstahl von Wissen? Diese Fragen beantwortet Dipl.-Rechtspfleger (FH) Timo Wenner in seinem Vortrag zum Thema „Wirtschaftsschutz – Spionage, Sabotage & Extremismus“ am 21. November, um 16 Uhr, in der IHK Hanau-Gelnhausen-Schlüchtern. Er ist seit vielen Jahren im Fachbereich Spionageabwehr – Wirtschaftsschutz – beim Landesamt für Verfassungsschutz Hessen (LfV) tätig. Im Anschluss an den Vortrag, der auch Möglichkeit für Nachfragen bietet, besteht die Möglichkeit zum Austausch untereinander sowie mit Herrn Wenner. Eine kostenfreie Anmeldung ist möglich.
Autor: Julia Oppenländer
Veröffentlichung: September 2023 (nicht barrierefrei, PDF-Datei · 4391 KB)
Veröffentlichung: September 2023 (nicht barrierefrei, PDF-Datei · 4391 KB)
Kontakt
Selina Lukas