Prävention gegen Betriebsspionage

Deutsche Unternehmen erleiden jedes Jahr hohe Schäden durch Betriebsspionage. Der Faktor Mensch ist dabei oftmals die größte Schwachstelle und die Angreifer gehen immer trickreicher vor, um ihre Opfer zu überlisten. Weil immer mehr persönliche Daten im Internet abgreifbar sind, können die Kriminellen ihre Angriffe zielgerichtet vorbereiten. Die Begleiterscheinungen von Internet of Things (IoT) werden dies in Zukunft für die Täter noch deutlich erleichtern.

Im aktuell von Corporate Trust gemeinsam mit dem Bayerischen Verband für Sicherheit in der Wirtschaft (BVSW) und der Brainloop AG herausgegebenen Future Report wurden 4.738 Vorstände, Geschäftsführer bzw. Leiter der Bereiche Compliance, Risikomanagement, Unternehmenssicherheit Informationsschutz, Recht, Finanzen, Controlling, Interne Revision, IT oder Personal zu den Schäden befragt. Bei knapp 30 Prozent aller befragten Unternehmen gab es einen Fall von Spionage oder Informationsabfluss und über die Hälfte aller Unternehmen wurde in den letzten zwei Jahren bereits Opfer eines Angriffs durch die Organisierte Kriminalität, z.B. durch Spear-Phishing-Mails oder eine Fake President Attacke (auch bekannt als CEO-Fraud). 

Der Report, in dem die aktuellen Sicherheitsherausforderungen für Deutschland anhand der weltweiten Megatrends betrachtet wurden, zeigt deutlich, wie verwundbar unsere Wirtschaft ist. Über die konkreten und belegbaren Fälle hinaus konnte ein Viertel aller Unternehmen (exakt 25,6 %) gar nicht sagen, ob sie bereits angegriffen wurden. Hier fehlen vermutlich entsprechende Systeme und Prozesse, um einen solchen Angriff überhaupt feststellen zu können – leider symptomatisch für viele Firmen.

Die realistische Beurteilung der Gefahrenlage fällt vielen Menschen schwer und im Zweifelsfall sind die anderen immer mehr bedroht als man selbst. Auf die Frage, welche Gefahren sie durch Industrie 4.0 bzw. Internet of Things (IoT) für die deutsche Wirtschaft allgemein und konkret für ihr eigenes Unternehmen sehen, gaben 83,9 Prozent an, dass sie Cyberattacken in Zukunft als größte Bedrohung für die deutsche Wirtschaft sehen. Konkret für ihr eigenes Unternehmen schätzen dies jedoch nur 66,5 Prozent als Bedrohung ein. Die zunehmende Abhängigkeit vom Internet sehen zwar 80,7 Prozent als Gefahr für die deutsche Wirtschaft, jedoch nur in 51,6 Prozent auch als Gefahr für ihre eigene Firma.

Trotz hoher Schäden wird die Bedrohung durch Betriebsspionage also immer noch häufig unterschätzt. Die präventiven Maßnahmen müssen sich nicht nur auf die stärkere Absicherung der IT- und Telekommunikationssysteme stützen, sondern vermehrt um die User kümmern. Denn sie werden in Zukunft noch viel häufiger die Angriffsziele sein. Bei der Prävention in den Unternehmen sollte dabei allerdings mehr Wert auf Sensibilisierung und Unterstützung der Mitarbeiter beim Verstehen der digitalen Prozesse gelegt werden, als auf Kontroll- und allumfassende Überwachungsmaßnahmen.

Um die Herausforderungen nochmal anhand von Beispielen und Zahlen deutlich zu machen. Früher genügte es für einen Spionageangriff, Werbe-E-Mails mit Trojaner-Anhängen an Mitarbeiter eines Unternehmens zu versenden oder manipulierte USB-Sticks auf dem Weg vom Parkplatz zum Firmeneingang auszulegen. Die Täter konnten sich sicher sein, dass der eine oder andere Mitarbeiter auf den Anhang bzw. die Datei auf dem Stick klickte. Die Schadsoftware breitete sich darüber erst auf dem Rechner des Mitarbeiters und später auf das ganze Firmennetzwerk aus. Moderne IT-Systeme und Firewalls sind heute so gut, dass sie dies rechtzeitig erkennen und in der Regel verhindern können. Außerdem sind die meisten Mitarbeiter sensibilisiert, nicht mehr bedenkenlos auf jeden schlecht gemachten E-Mail-Anhang zu klicken.

Hier liegt allerdings das Problem. Die Täter gehen heute sehr viel gezielter vor. Während früher mit einem E-Mail-Massenversand  möglichst viele Rechner bzw. Unternehmen angegriffen wurden (man spricht vom sog. „Gießkannenprinzip“), um den Schadcode durch unachtsamen User auf alle schlecht gesicherten Rechner zu bringen, sind die Angriffe heute ganz zielgerichtet. Während früher einfach möglichst viele Informationen und Daten erbeutet werden sollten, geht es den Tätern heute ganz konkret um einzelne Unternehmen oder bestimmte Technologien. Wenn eine Angriffsmethode (z.B. Trojaner in E-Mail-Anhängen) nicht funktioniert hat, bedeutet dies noch lange nicht, dass sie aufgeben. Der moderne Angriffsbaukasten sowohl der Nachrichtendienste, als auch der Industriespione und der Organisierten Kriminalität (OK) bietet eine Vielzahl von Möglichkeiten, um sich einen Zugang ins Firmennetzwerk oder auf bestimmte Computer zu verschaffen. Die Täter versuchen so viele Methoden und greifen so lange an, bis sie an ihr Ziel kommen. Man spricht in diesem Zusammenhang von langanhaltenden und nachhaltigen Angriffen, sogenannten APT-Angriffen (Advanced Persistent Threat).

Dazu recherchieren die Täter oft über mehrere Wochen die genauen Ansprechpartner, ihre Hobbies, Freunde, frühere Arbeitgeber oder gebräuchlichen Redewendungen im Unternehmen. Sie nutzen dazu Soziale Netzwerke oder im Darknet gekaufte Informationen über Zugangsdaten, die zuvor bei einem Hack auf ein Portal erbeutet wurden. In Zukunft werden dies auch viele Informationen sein, die über schlecht gesicherte Server von Wearable -Anbietern abgegriffen werden, denen wir bedenkenlos unsere Daten übermittelt haben. Mit diesem Wissen können die Täter ganz gezielte Angriffe erstellen, z.B. sehr persönliche E-Mails, die von den Usern kaum mehr von Echt-E-Mails, die sie den ganzen Tag im Geschäftsbetrieb erhalten, unterschieden werden können.

Um sich vor solchen Angriffen zu schützen, müssen die Mitarbeiter erst einmal verstehen, wie die Täter heute vorgehen, wie kritisch es ist, sämtliche persönlichen Daten in sozialen Netzwerken oder allen möglichen sonstigen Stellen im Internet einzugeben. Sie müssen sensibilisiert werden, wie leicht es ist sie darüber auszuforschen und anschließend gezielt zu manipulieren. Für solche Maßnahmen gibt es derzeit in den wenigsten Unternehmen eine geeignete Stelle. Die Personalabteilung wäre eigentlich fachlich zuständig für die Schulung von Mitarbeitern, ihr fehlt aber in der Regel das entsprechende Know-how. Die IT-Abteilung, bei der dieses Know-how vorhanden sein sollte, wird in den meisten Fällen nicht als zuständige Stelle für die Schulung der Mitarbeiter wahrgenommen. 

Um die Herausforderungen der Zukunft zu lösen, müssen die Präventionsmaßnahmen auf die aktuellen Angriffe abgestimmt werden und viele Bereiche im Unternehmen zusammen wirken. Neben der IT und dem HR-Bereich muss auch die Compliance involviert sein, um sowohl Regularien für die Kontrolle der IT-Geräte aufzustellen, jedoch im Gegenzug auch auf das Augenmaß bei der Umsetzung solcher Kontrollen zu achten. Außerdem sollte sich auch die Geschäftsleitung intensiv mit dem Thema befassen. Erstens sind gerade die Top-Manager in nicht unerheblichem Maße das Ziel solcher Angriffe. Zweitens werden entsprechende Budgets sowohl für die Härtung  der IT-Infrastruktur wie auch für die Sensibilisierung der Mitarbeiter erst dann freigegeben, wenn dem Management bewusst ist, wie wichtig solche Maßnahmen sind. Gerade bei der Umsetzung von Sensibilisierungsmaßnahmen für Mitarbeiter ist es wichtig, dass das Management mit Vorbildfunktion voran geht und alle Maßnahmen mittragen werden. Nur dann wird man sich zukünftig effektiv vor Betriebsspionage schützen können. Der gesamte Future Report steht unter https://www.corporate-trust.de/de/portfolio-items/future-report-2  zum Download bereit.

Wearables sind tragbare Computersysteme, die während der Anwendung am Körper des Benutzers befestigt sind. Wearable Computing unterscheidet sich von der Verwendung anderer mobiler Computersysteme dadurch, dass die hauptsächliche Tätigkeit des Benutzers nicht die Benutzung des Computers selbst, sondern eine durch den Computer unterstützte Tätigkeit in der realen Welt ist.

Unter Härtung versteht man in der Computertechnik die Sicherheit der Systeme zu erhöhen, indem nur dedizierte Software eingesetzt wird, die für den Betrieb des Systems notwendig ist und deren korrekter Ablauf unter Sicherheitsaspekten garantiert werden kann. Das System soll dadurch besser vor externen Angreifern geschützt sein. Ziel ist es, ein System zu schaffen, das von vielen, auch weniger vertrauenswürdigen Personen, benutzt werden kann.

Autor: Christian Schaaf ist Geschäftsführer der Corporate Trust, Business Risk & Crisis Management GmbH, einer Unternehmensberatung für Risiko- und Krisenmanagement. Er war insgesamt 18 Jahre bei der Polizei, studierte Verwaltungsrecht an der Polizeifachhochschule und war als verdeckter Ermittler für das Bayerische Landeskriminalamt tätig. Die Stationen seiner Laufbahn umfassten unter anderem das Kommissariat für Wirtschaftskriminalität, die Gemeinsame Ermittlungsgruppe Rauschgift (GER) sowie die verdeckte Bekämpfung von Intensivtätern. Nach seinem Wechsel in die freie Wirtschaft leitete er eine Vielzahl von Ermittlungen zur Aufdeckung von Wirtschaftskriminalität und Industriespionage.  Darüber hinaus erstellte er präventive Informationsschutzkonzepte für gefährdete Unternehmen und wirkte beim Aufbau des Sicherheits- und Krisenmanagements für verschiedene Konzerne, mittelständische Unternehmen und vermögende Personen mit. Er ist Autor des Buches „Industriespionage – Der große Angriff auf den Mittelstand“, erschienen im Richard Boorberg Verlag, sowie der Studien „Industriespionage 2007 – Die Schäden durch Spionage in der deutschen Wirtschaft“, „Gefahrenbarometer 2010 – Sicherheitsrisiken für den deutschen Mittelstand“, „Industriespionage 2012 – Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar“, sowie „Industriespionage 2014 – Cybergeddon der deutschen Wirtschaft durch NSA & Co.?.“