Security

Spione am Werk

Was sich anhört wie Fiktion aus Agentenfilmen, ist längst Realität. Die Rede ist von Wirtschafts- und Wettbewerbsspionage, die in einigen Ländern gar Staatsauftrag ist. Kein Unternehmen sollte so naiv sein zu glauben, es träfe immer nur die anderen.

Im Gegenteil: Technologisches Know-how, das gerade für deutsche Unternehmen häufig die Basis ihres Erfolges darstellt, ist gefragt wie nie. Folglich geht es darum, diesen Wissensvorsprung vor Fremdzugriff zu schützen, was durch die Nutzung mobiler Endgeräte sicher nicht einfacher wird – letztlich aber nur Teil des Problems ist.

Fernab jedweder Panikmache sind sich die meisten Experten bei der Bewertung des Themas Wirtschaftsspionage einig: Am Ende geht es um nicht viel weniger als den Erhalt der internationalen Wettbewerbsfähigkeit deutscher Unternehmen. In den Augen von Reinhard Vesper, der sich im Referat Wirtschaftsschutz des nordrhein-westfälischen Innenministeriums intensiv mit der Problematik befasst, ist Wirtschaftsspionage neben den klassischen Zielen Politik und Militär zunehmend ein Schwerpunkt der Spionageabwehr in Deutschland. In seinen Augen zu Recht, sieht er Industriespionage bzw. Konkurrenzausspähung doch als bedeutende Gefahr für die globalen Wettbewerbsvorteile der deutschen Wirtschaft.

Mit dieser Meinung steht er nicht alleine da. So bestätigt Marko Rogge, der als IT-Sicherheitsexperte u.a. bei der EU in Brüssel beratend tätig ist, dass viele Staaten Teilbereiche der Spionage zum Schutz der eigenen Wirtschaft aufbauen und entsprechend auch in anderen Staaten spionieren. In diesem Zusammenhang fallen immer wieder die Namen China, USA und Russland. Man kann sich aber mehr als sehr sicher sein, dass auch andere Länder auf diesem Gebiet äußerst aktiv sind. Der ehemalige Direktor des französischen Geheimdienstes, Claude Silberzahn, gab ganz offen zu, dass bereits seit Langem auch der Westen den Westen ausspioniere. Demnach betrieben alle Geheimdienste der großen Demokratien Wirtschaftsspionage, weil ökonomische Macht in Friedenszeiten mehr wert sei als militärische.

Ein globales Problem

Und wenn, wie Reinhard Vesper anführt, beispielsweise die Nachrichtendienste der Russischen Föderation aufgrund gesetzlicher Vorschriften dazu berechtigt sind, die wirtschaftliche Entwicklung und den wirtschaftlich-technischen Fortschritt des Landes durch Beschaffung entsprechender Informationen durch die Organe der Auslandsaufklärung zu fördern, lässt dies tief blicken. Ebenso, dass nach Informationen des Bundesamtes für Verfassungsschutz für die chinesischen Geheimdienste MSS, MID und 3 VBA schätzungsweise eine Million (!) „Mitarbeiter“ tätig ist. Im Ausland aktive deutsche Unternehmen sollten also Vorsicht walten lassen.

Naturgemäß sind es nicht nur Staaten, die sich brennend für Betriebsgeheimnisse, Forschungsergebnisse und Patententwicklungen interessieren. In mindestens genauso großem Umfang versuchen auch Unternehmen selbst, ihren Konkurrenten diese Informationen zu entlocken. „In wirtschaftlich schwierigen Zeiten, umkämpften Märkten und Schlüsselbranchen wird schon seit jeher mit harten Bandagen gekämpft“, sagt Christian Volkmer vom Datenschutzdienstleister Projekt 29. Auch wenn seiner Ansicht nach vieles aus den einschlägigen Filmen in das Reich der Fiktion gehört, haben sich die möglichen Wege und Formen der Spionageversuche dennoch stark technisiert und professionalisiert. Denn die zu schützenden Infrastrukturen befinden sich nicht mehr nur in der realen Welt, sondern immer mehr im digitalen Raum. Volkmer stuft Gebäudesicherheit als mindestens genauso wichtig ein wie den Schutz unternehmenseigener Netzwerke und IT-Systeme. „Und“, so fährt er fort, „im Vergleich zu heutigen Mini-Digitalkameras aus dem Fachhandel wirken die Spionagekameras von Bond und Co. direkt veraltet.“

Dabei sind die Attacken auf Sony, Google oder den IWF nur die Spitze des Eisbergs. Potentielle Opfer von Wirtschaftsspionage sind alle Unternehmen – Konzerne ebenso wie Mittelständler. Letztere sind als Marken vielleicht nicht so bekannt, dafür aber häufig in ihren jeweiligen Branchen und Nischenmärkten technologisch führend – in diesem Zusammenhang fällt dann auch gerne mal die schöne englische Bezeichnung „Hidden Champions“. Diese Unternehmen sollten nicht den Fehler begehen, aus ihrer relativen Unbekanntheit in der Öffentlichkeit den Schluss zu ziehen, kein lohnendes Ziel für Angriffe zu sein. Im Gegenteil: Gerade die Konstellation der technologischen Vorreiterrolle abseits des Rampenlichts hält Dr. Hans-Christoph Quelle vom Sicherheitsanbieter Secusmart für geradezu prädestiniert für den Versuch, von außen Know-how abzugreifen.

Die Spitze des Eisbergs

Speziell im Mittelstand sieht auch Wolfgang Strasser, Geschäftsführer der @yet GmbH, große Risiken, da Unternehmen dieser Größenordnung zusätzlich zu der falschen Bewertung der Bedrohungslage oft nicht in der Lage seien, entsprechende Schutzmechanismen zu installieren. Auch deshalb, weil die Attacken auf unterschiedlichste Weise erfolgten.

Aus technologischer Sicht eröffnet die zunehmende Mobilität von Mitarbeitern den Spionen zusätzliche Möglichkeiten. „Schon alleine der Mobilfunk kann quasi zu jeder Zeit einfach und sehr kostengünstig abgehört werden“, konstatiert Dr. Hans-Christoph Quelle. Dazu genüge bereits ein kurzer Blick ins Internet, wo sich unzählige Anleitungen für den Bau von Abhöranlagen von Mobiltelefonaten fänden. Speziell die Smartphones der neuen Generation bieten zudem jede Menge Angriffsfläche, weil sich die Mitarbeiter bevorzugt mit deren Leistungsfähigkeit und Möglichkeiten der Arbeitserleichterung auseinandersetzten und diesen Faktoren stets eine höhere Priorität einräumten als dem Schutz des Endgeräts, wie Wolfgang Strasser es formuliert.

Berücksichtigt man jedoch, dass das Anzapfen des Mikrofons – beispielsweise über die installierte Babyfon-App – eine unter Kriminellen verbreitete und beliebte Methode ist, lässt sich leicht ausmalen, welchen Gütegrad die unberechtigt erlangten Informationen haben können. Denn das Smartphone liegt bei fast jeder geschäftlichen Besprechung auf dem Tisch – auch bei Vorstandssitzungen... Eine Wanze ist da mehr als unerwünscht.

Weiteres immenses Gefahrenpotential ergibt sich daraus, dass Smartphones mittlerweile mehr Computer denn Telefone sind. Somit ist es nur logisch, dass immer mehr Schadsoftware für die mobilen Betriebssysteme programmiert wird, die Informationen wie Termine, Kontakte, Kunden- und Geschäftsdaten abgreifen sollen. „Angriffsvarianten sind das illegale Ausspähen der gespeicherten Nutzerdaten über Schadsoftware in entsprechenden Apps oder die Infizierung mit einer Trojaner-Software nach Herunterladen und Installation einer App“, fasst Reinhard Vesper vom Innenministerium NRW zusammen. Marko Rogge ergänzt, dass das Aufspielen von Spionagesoftware in prominenten Fällen oftmals über Systemupdates erfolge, nachdem vorher eine entsprechende Benachrichtigung eingetroffen war. Diese werde dann unbedarft von den Nutzern eingespielt und öffne das Smartphone für Angreifer.

Der Faktor Mensch

Es ließe sich an dieser Stelle trefflich darüber diskutieren, welches der derzeit führenden mobilen Betriebssysteme das sicherste ist und inwieweit das marketingseitig gehypte „Bring your own Device“ problematisch ist. Einen Faktor sollten Unternehmensverantwortliche dabei jedoch immer auf der Rechnung haben: den Menschen. Zum einen aufgrund der eben schon erwähnten Unbedarftheit, zum anderen aber auch aufgrund in manchen Fällen nicht zu leugnender krimineller Energie. Laut Christian Volkmer wird Spionageabwehr oftmals als reines IT-Problem verstanden, weshalb ganzheitliche Ansätze fehlten: „Dies fängt schon bei der Sicherheitsüberprüfung der Mitarbeiter an. Viele Mittelständler sind froh, überhaupt einigermaßen qualifiziertes Personal zu bekommen und wollen potentielle Bewerber nicht durch aufwendige Verfahren abschrecken.“

Dabei ist es anscheinend ziemlich naiv, auf die Integrität sowohl neuer als auch langjähriger Mitarbeiter zu vertrauen. Dr. Thomas Jansen von der Kanzlei DLA Piper meint dazu: „Am häufigsten geschieht das Ausspähen, der Diebstahl oder die unbefugte Weitergabe von Daten durch Mitarbeiter des betroffenen Unternehmens, was wohl im Widerspruch zum allgemeinen Gefahrenbewusstsein steht.“ Er hält das klassische Überspielen von Datenträgern durch Mitarbeiter oder die Bestechung von Mitarbeitern zur Preisgabe von Informationen immer noch für wahrscheinlicher als einen Hackerangriff.

Dem pflichtet Christian Volkmer bei: „Die häufigsten Methoden sind weniger die technischen als vielmehr der Informationsabfluss durch Mitarbeiter oder das Abwerben von Beschäftigten. Dicht gefolgt von klassischen Hackerattacken (jeder siebte Fall) und dem simplen Belauschen von Besprechungen und vertraulichen Gesprächen.“ Auch wenn die mobile Kommunikation in den letzten Jahren stark in den Mittelpunkt unseres Lebensstils gerückt ist, sprechen die Behörden laut Volkmer in nur ca. fünf Prozent der Fälle davon, dass Telefonate, Faxe oder Mails abgefangen oder abgehört würden. „Dies stellt allerdings keinesfalls eine Entwarnung dar. Es dokumentiert eher, dass es Angreifern immer noch zu leicht gemacht wird, Informationen ohne technischen Aufwand auszuspähen. Ein sensibler Umgang mit dem Kommunikationsmittel würde also auch Mobilfunknutzer deutlich schützen.“ Doch leider gehe immer noch jedes zehnte Firmenhandy verloren – ganz ohne Fremdeinwirkung.

Grundsätzlich müssen Unternehmensverantwortliche also auf zwei Ebenen – der technischen und der menschlichen – aktiv werden. Zunächst müssen sie dafür Sorge tragen, alle technologischen Möglichkeiten zur Absicherung ihrer IT- und Kommunikationssysteme auszuschöpfen. Dies beginnt in den Augen von Thomas Jansen von DLA Piper zuerst einmal mit der Analyse des Gefahrenpotentials und dem Erstellen entsprechender Richtlinien. So dürfe die Software auf Firmen-Smartphones nur aus ausgewählten Quellen stammen und „Bring your own Device“ – wenn überhaupt – nur unter bestimmten Auflagen stattfinden. Christian Volkmer weiß zwar, dass es auch bei noch so ausgefeilten Sicherheitskonzepten keinen hundertprozentigen Schutz geben kann, rät aber zu einer Strategie der kleinen Schritte, die es Angreifern zumindest schwerer macht. Dazu zählen so triviale, oftmals jedoch vernachlässigte Dinge wie sichere Passwörter oder das Einrichten der Sperrfunktion auf dem Smartphone. Weniger trivial ist dann schon die Verschlüsselung für den Austausch sensibler Daten über mobile Devices, so dieser Vorgang denn überhaupt notwendig sein sollte.

Minimierung der Gefahr

Reinhard Vesper rät, bei Dienst- und Geschäftsreisen ins Ausland nur solche Smartphones zu nutzen, die nach der Rückkehr nicht mit dem Unternehmensnetzwerk verbunden werden. Auch eine Verbindung zu ausländischen Providern sollte nur im konkreten Bedarfsfall hergestellt werden. Der Einsatz von Prepaidkarten kann laut Vesper im Ausland gewisse zusätzliche Sicherheit schaffen, wobei diese Schutzmöglichkeit bei zielgerichteten professionellen Angriffen von Nachrichtendiensten nicht gegeben sei. Da in vielen Ländern diverse Schutzmaßnahmen wie eine höherwertige Verschlüsselung nicht zum Einsatz kommen können, empfiehlt Wolfgang Strasser, möglichst nur die Informationen mitzuführen, die unbedingt für den Aufenthalt nötig sind. Zudem sollte die Kommunikation zum deutschen Standort so begrenzt wie möglich gehalten werden.

Von einer weiteren, besonderen Gefahr berichtet erneut Reinhard Vesper. Demnach werden auf manchen ausländischen Flughäfen als besonderer Service Ladestationen für Smartphones angeboten. Deren Nutzung könne problematisch sein, weil über die dabei genutzten USB-Verbindungen nicht nur Ladestrom fließen könne, sondern möglicherweise illegal Daten abgezogen oder gar Schadsoftware auf die mobilen Datenträger überspielt werde.

Immer häufiger ist zu hören, dass „Geheimnisträger“ auf Auslandsreisen ihre alten Nokia 6310 oder Siemens ME45 wieder ausgraben. Nach dem Motto: Wo keine Daten drauf sind, können auch keine Daten abfließen – was dem freiwilligen Verzicht auf die technologischen Errungenschaften der jüngeren Vergangenheit gleichkommt. Wer so weit nicht gehen will und trotzdem sicher unterwegs sein möchte, dem bietet das Unternehmen Secusmart einen professionellen Abhörschutz. Dabei handelt es sich um eine verschlüsselte SIM-Karte, die u.a. vom Bund bereits seit einigen Jahren für die Festnetz- und Mobilkommunikation genutzt wird. Ganz neu ist nun eine Lösung namens Secusuite, die einerseits das Umschalten von einem privaten in einen sicheren Bereich ermöglicht und zum anderen neben Sprache und SMS erstmals auch E-Mails, auf dem Smartphone gespeicherte Daten und das Surfen im Internet vor eventuellen Übergriffen absichern soll.

Lauschangriff im Zug

Kommen wir noch einmal zurück zur unumgänglichen menschlichen Komponente: Firmenverantwortliche können nur an das Verantwortungsbewusstsein und die Loyalität ihrer Mitarbeiter dem eigenen Unternehmen gegenüber appellieren, eben nicht jeden USB-Stick – mir nichts, dir nichts – an jeden Rechner anzuschließen und nicht in jedem sozialen Netzwerk kundzutun, an welchem Projekt sie gerade arbeiten. Denn diese Unbekümmertheit macht es Angreifern im Rahmen des „Social Engineering“* allzu leicht, gezielt auf einzelne Personen zuzugehen und auszuspionieren. Wer darüber hinaus schon einmal erlebt hat, in welcher Lautstärke in der Flughafenlobby oder im ICE geheimste Dinge via Smartphone mitgeteilt werden – entweder wegen schlechten Empfangs oder persönlicher Profilierung – kann erahnen, wie leichtfertig ins Visier geratene Personen dort mit vertraulichen Informationen umgehen. „An dieser Stelle herrscht oft einfach kein Bewusstsein für problematische Situationen“, sagt Christian Volkmer. In der alltäglichen Hektik falle es selbst ihm oft schwer, Sicherheit aktiv zu leben. Deshalb sei es von Unternehmensseite aus sinnvoll, statt auf monotone Schulungswiederholungen zu setzen, zu versuchen, die Betroffenen aktiv in das Sicherheitskonzept einzubinden, Feedback einzuholen und Anregungen dann auch umzusetzen.

Bleibt die Frage: Wie können Unternehmen feststellen, ob sie Opfer von Spionageaktivitäten wurden? – Technisch gesehen ist dies zwar eventuell möglich, allerdings nur durch direktes Suchen nach Spuren mit forensischen Werkzeugen und Techniken durch Fachleute. Der normale Nutzer hat hier laut Wolfgang Strasser überhaupt keine Möglichkeiten. Auch Christian Volkmer ist äußerst skeptisch. Um Angriffe überhaupt verfolgen zu können, müssten schon im Voraus Maßnahmen eingerichtet worden sein. Dies sei zwar möglich, müsse aber sehr zeitnah erfolgen, um bereits entstandenen Schaden zu minimieren oder zu verhindern.

Das Abhören im klassischen Sinne oder das Ausspähen von Daten hält auch Thomas Jansen für schwer feststellbar. Für umso wichtiger hält er es dann aber, Verdachtsfällen unverzüglich nachzugehen. Wenn beispielsweise kopierte Produkte auftauchen oder wenn Kundengruppen geschlossen zu einem anderen Unternehmen wechseln, deutet dies auf eine unbefugte Mitnahme von Geschäfts- und Kundendaten hin. Auch bei Einbruchsfällen sollte in Betracht gezogen werden, dass eventuell Daten kopiert oder Schadsoftware installiert wurde.

Was tun im Verdachtsfall?

Wenn ein Mitarbeiter dann tatsächlich aus Unbedarftheit oder sonstiger menschlicher Schwäche dazu beigetragen hat, dass sein Arbeitgeber ausspioniert wurde, sollte mit Sorgfalt und Bedacht gehandelt werden. Eine offene Kommunikation kann dabei nur förderlich sein, um größeren Schaden abzuwenden – insbesondere bei Erpressungen, die abseits aller Fiktion von ausländischen Geheimdiensten als beliebtes Mittel zur Informationsbeschaffung genutzt werden. Bei derartigen Vorfällen sollte die Unternehmensleitung unbedingt das Bundesamt für Verfassungsschutz informieren, welches auch für den Wirtschaftsschutz zuständig ist. Das BfV unterliegt im Übrigen im Gegensatz zu den Polizeibehörden nicht dem Strafverfolgungszwang und muss strafrechtlich relevante Erkenntnisse nicht an die Ermittlungsbehörden weitergeben. Dies könnte die Hemmschwelle senken, sich den Spezialisten anzuvertrauen.

Doch bei all diesen Szenarien sollte nicht vergessen werden, dass es Möglichkeiten gibt, den Schutz zu erhöhen oder zumindest besser vorbereitet zu sein. Hinsichtlich der Mitarbeiterloyalität ist eine Kultur der Offenheit und Sensibilisierung wohl das geeignetste Mittel. Hinsichtlich der technischen Maßnahmen zitiert Christian Volkmer ein Sprichwort aus Amsterdam: „Man braucht nicht das stärkste Schloss an seinem Fahrrad, man braucht nur immer eines mehr als der Nachbar.“ Hierin steckt viel Wahrheit auch in Bezug auf
IT- und TK-Sicherheit.

 

*Beim Social Engineering werden menschliche Eigenschaften wie z.B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer als vertrauenswürdige Person ausgibt, z.B. als IT-Administrator oder Telefonentstörer, der einige technische Details erfragt – z.B. unter welcher Rufnummer ein Modem angeschlossen ist und welche Einstellungen es hat.
Quelle: BSI

 

Bildquelle: iStockphoto.com/kirstypargeter

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok