Ein Überblick über Geschichte, Ausmaß, Methodik, Rechtliches sowie Präventives zur Industriespionage

Prävention, Sicherheitsvorkehrungen

In der Prävention zur Industriespionage gibt es im Kern zwei Probleme. Zum einen handelt es sich um mangelndes Problembewusstsein. Frei nach der Mentalität "Es wird mich schon nicht treffen." wird gerade in mittelständischen Unternehmen vorgegangen. Wie das Beispiel vom Schallplattenspielerhersteller zeigt, wird der Schaden erst festgestellt, wenn er bereits aufgetreten ist. Für den Geschäftsführer ist also die Investition in Spionageabwehr nicht als Gewinn sichtbar, sondern nur als Schaden, wenn sie nicht ausreichend erfolgte. Der zweite Punkt ist das Kosten/Nutzenverhältnis. Da der Nutzen nicht permanent vor Augen ist und nicht als Zahlenwert angegeben werden kann, sind die Kosten ein nötiges Übel, das nicht immer auf Verständnis trifft.

Prävention
Maik Schwertle / pixelio.de

Die Kosten sind allerdings nicht immer als finanzielle Kosten zu sehen, auch ein Umstand kann die Mitarbeiter von Schutzverfahren abhalten. Dafür gibt es zahlreiche Beispiele. So ist E-Mail-Verkehr in fast allen Unternehmen unverschlüsselt. Das liegt daran, dass es zwei Verfahren gibt, PGP und S/MIME. Erstes ist umständlicher, da alle Kommunikationspartner einmalig verifiziert werden müssen. Zweites bietet keine Sicherheit vor staatlicher Spionage und verursacht regelmäßige Kosten. [1, S.62 ff.] Will man mit allen Kunden sicher Kommunizieren, so ist es im Moment nötig beide Verfahren zu unterstützen, da unterschiedliche Kunden unterschiedliche Verfahren nutzen. Kommt nun noch der Umstand dazu, dass der Kunde keins der beiden Verfahren unterstützt, ist eine sichere Kommunikation sogar unmöglich. Das kann zum Beispiel daran liegen, dass der Kunde gar keinen Vorteil von Verschlüsselung hat.

Massive Beeinträchtigungen für die bekannten Prozessabläufe treten auf, wenn die Firma Sicherheitsrichtlinien einführt. Diese sind für die Mitarbeiter häufig nicht nachvollziehbar. Es wird kein Nutzen erkannt, sondern nur der Mehraufwand und die Einschränkungen, die sie dadurch haben. Zudem nutzen solche Maßnahmen nur, wenn sie in einem Gesamtkonzept stehen und von Profis aufeinander abgestimmt werden. Solche Sicherheitsbeauftragten kosten aber viel Geld. In einem sogenannten Audit sollte, bevor konkrete Maßnahmen ergriffen werden, erst einmal eine ausführliche Analyse stattfinden, die mögliche Schwachstellen aufzeigt. [2, S.173 f.]

Häufige Maßnahmen sind das Verbot selbstmitgebrachter Medien, da sie manipuliert sein können, insbesondere USB-Sticks. [3] Auch Firewalls werden in vielen Unternehmen genutzt. Gerade in Kleinunternehmen werden diese oft von externen Firmen eingerichtet. Sie können aber viele Services unbrauchbar machen. Funktionieren verschiedene Programme nicht, werden die Probleme gegoogelt, statt sie Profis zu übergeben. Mittels Blogs und Foren werden dann die Firewalls umkonfiguriert oder im schlimmsten Fall hardwareseitig überbrückt. Die gravierenden Folgen sind: 1. Der Mitarbeiter sieht die Firewall nicht als Schutz, sondern nur als nutzloses Hindernis. 2. Das Unternehmen ist wesentlich ungeschützter.

Es ist daher unabdingbar, dass die Mitarbeiter alle Maßnahmen zur Informationssicherheit mittragen. Dies kann zum Beispiel durch ein Mitwirken der Angestellten an den Regeln erreicht werden. Sie sehen die Einschränkungen so nicht mehr als aufgezwungenen Fremdkörper. Es müssen außerdem für alle Mitarbeiter der Zweck und der erreichte Nutzen klar durchschaubar sein, um eine Einsicht zu erreichen. Dafür sind gezielte Schulungen notwendig, denn nur wenn die Mitarbeiter Angriffszenarien kennen, können sie auch lernen wie sie sich dagegen schützen können. Auch sollte das Führungspersonal grundsätzlich die Sicherheitsvorkehrungen einhalten und so als gutes Vorbild vorangehen. [2, S.179 f.] Neben dem Erstellen solcher Informationsschutzregeln ist es auch wichtig die Einhaltung zu überwachen. Durch einen Strafenkatalog kann die Ernstnahme durch die Mitarbeiter sichergestellt werden. [2, S. 181]

Prävention
Firewire Buchse: ein offenes Tor zum Arbeitsspeicher. Sie sollte bei Nichtverwendung deaktiviert werden.

Wie bereits ausführlich erklärt, muss der Spion nicht zwangsweise von außerhalb kommen. Daher kann auch eine einfache Sichtprüfung der Computer am Arbeitsplatz Spionageversuche aufdecken. Häufig finden Keylogger Verwendung, die zwischen Tastatur/Maus und PC eingebaut werden. [4] Der Arbeitsspeicher kann aber auch mittels DMA (Direct Memory Access) durch einen Firewire-Anschluss ausgelesen werden. [5]

Um bei Verdacht auf einen Angriff von innen auch Maßnahmen ergreifen zu können, empfiehlt Schaaf einen Obhutsmann oder ein Whistleblowing-System einzuführen, damit die Mitarbeiter ohne Konsequenzen Verdachtsfälle äußern können. [2, S.176 f.] Solche Hinweise müssen nicht zwangsweise Beweise beinhalten, wie das tatsächliche Auffinden von Spionagegerät. Es kann sich auch um verdächtige Verhaltensweisen handeln.

Grundsätzlich findet sich viel Hilfe bei der Prävention. Von staatlicher Seite gibt es das Bundesamt für Sicherheit in der Informationstechnik. Es bietet regelmäßig Vorträge und Schulungen an. Auf der Webseite findet sich aber auch viel gut aufbereitetes Material, wie ein Video, dass das Erzeugen von sicheren Passwörtern aus Merksätzen zeigt.

In der kommerziellen Präventionsindustrie sollte grundsätzlich auf Ganzheitlichkeit geachtet werden. So sollten die ausführenden Unternehmen nicht nur ihre Produkte verkaufen und die Bereiche, die sie nicht beliefern können, offen lassen. Eventuell lässt sich ein guter Sicherheitsdienstleister auch bereits daran erkennen, dass er darauf aufmerksam macht, was er nicht leistet, was aber trotzdem für lückenlose Sicherheit unabdingbar ist.

Private Organisationen wie der Chaos Computer Club oder die German Privacy Foundation richten ihr Know-how hauptsächlich auf Privatpersonen aus. Es kann aber trotzdem sinnvoll sein, sich bei ihnen zu informieren, da viele Tipps eins zu eins in Kleinunternehmen übertragbar sind. Der Krypto Stick [6] etwa sichert auch ohne viel Können den E-Mail-Verkehr von Kleinunternehmen. Selbst wenn das öffentliche Material einem nicht weiter hilft, so kann man in diesen Vereinen leicht Personen finden, die sich mit dem Thema Datensicherheit auskennen und die einem weiterführende Kontakte vermitteln können.

Informationsschutz - Schnellguide

Für leitende Angestellte:
  • Führen Sie ein Sicherheitsaudit mit Experten durch um Schwachstellen aufzudecken.
  • Stellen Sie Regeln, wenn möglich mit ihren Mitarbeitern zusammen, auf und überprüfen sie die Einhaltung.
  • Ermöglichen Sie jedem Mitarbeiter nur den Zugang zu denjenigen Informationen und Räumlichkeiten, die er für die Erfüllung seiner Aufgaben benötigt.
  • Sorgen Sie für regelmäßige Schulungen, in denen Mitarbeiter auf die aktuellen Methoden der Spione aufmerksam gemacht werden.
  • Beobachten Sie die Loyalität ihrer Mitarbeiter.
  • Seien Sie beim Einführen neuer Informationssysteme vorsichtig und prüfen Sie das Schadenspotenzial.
  • Errichten sie ein anonymes Meldesystem für Verdachtsfälle.
Für Mitarbeiter:
  • Halten Sie die von Ihrem Vorgesetzten aufgestellten Regeln grundsätzlich ein. Verstehen Sie eine Regel nicht, halten Sie sie für überflüssig oder meinen Sie, dass sie den Arbeitsablauf sehr stört, so zögern Sie nicht und besprechen dies mit ihrem Vorgesetzten.
  • Beobachten Sie ihre Kollegen und melden Sie Auffälligkeiten. Es ist kein "Petzen", sondern eventuell das Retten ihres Arbeitsplatzes! Verhalten sich ihre Kollegen und Mitarbeiter plötzlich ungewöhnlich? Treffen Sie sie an Orten, die sie nicht für die Erfüllung ihrer Aufgaben aufsuchen müssten? Kopieren sie unnötig viele Akten oder nehmen diese gar mit nach Hause? Lassen sie beim Verlassen des Gebäudes das Bürofenster offen?
  • Beobachten Sie ihren Arbeitsplatz. Untersuchen Sie Ihren Computer vor der Arbeit und nach Pausen auf Veränderungen. Stehen neue Geräte oder Dekorationsartikel unangekündigt in ihrem Büro? Die Person, die ihnen eine neue Topfpflanze in den Konferenzraum stellt, muss nicht nur einen grünen Daumen haben, sondern möchte eventuell viel lieber mithören, was dort besprochen wird.
  • Beim Arbeiten mit Computern sollten Sie sich unbedingt abmelden, wenn Sie den Raum verlassen. Haben Sie ein Schlüsselbund, so müssen Sie den Masterschlüssel unbedingt deaktivieren. Nutzen Sie grundsätzlich sichere Passwörter und zwar für jeden Dienst ein eigenes. Notieren Sie auf keinen Fall ein Passwort und teilen Sie es auch NIEMANDEM mit, auch dann nicht, wenn Sie von scheinbar berechtigten Personen dazu aufgefordert werden. Geben Sie niemals ein Passwort auf einer Webseite ein, auf die Sie durch einen E-Mail-Link gekommen sind.
  • Schließen Sie immer ihr Büro ab, wenn sie es verlassen, und prüfen es nach dem Wiederkommen auf Veränderung.
  • Treffen sie potenzielle neue Arbeitgeber oder Kunden, seien Sie so sparsam wie möglich mit der Herausgabe von Informationen. Es könnte sich nur um einen Trick handeln, um an Interna zu kommen. Erklären Sie niemals Produktionsmethoden und interne Abläufe oder reden über Aufträge, die andere Kunden betreffen.
  • Nehmen Sie auf Geschäftsreisen nur das Nötigste mit. Lassen sie sich wenn möglich von der IT-Abteilung ein neues Handy und Notebook geben. Nehmen Sie nur Kontaktdaten mit, die Sie unbedingt brauchen. Geben Sie das Gerät mit dem Hinweis, dass es kompromittiert sein könnte, nach ihrer Rückkehr wieder an die IT-Abteilung. Lassen Sie mögliche Daten, die Sie noch benötigen, von den dortigen Experten ins Intranet kopieren.


Quellen

[1] Florian Schäfer, Quis custodiet custodes?, 2014

[2] Christian Schaaf, Industriespionage - Der große Angriff auf den Mittelstand, Stuttgart 2009

[3] Johannes Kuhn, Siemens und der digitale Industrie-Spion, 2010, http://www.sueddeutsche.de/digital/trojaner-per-usb-siemens-und-der-digitale-industrie-spion-1.977866

[4] https://www.keelog.com/de/usb_hardware_keylogger.html

[5] http://www.lostpassword.com/hdd-decryption.htm#imager

[6] https://www.crypto-stick.com/de

Buttons und Templates