Vorsicht: Feind liest mit!

Transkript

1 ProFirma Titelthema Unternehmensführung Titelthema Wirtschaftsspionage Vorsicht: Feind liest mit! Telefone abhören, s mitlesen, in fremde Computer eindringen noch nie war es so einfach, sich vertrauliche Informationen zu beschaffen. Vor allem bei kleinen und mittleren deutschen Unternehmen haben Wirtschafts- und Industriespione oft ein leichtes Spiel. VON PATRIK VON GLASOW Sensible Daten, Geschäftsgeheimnisse, Prototypen oder technische Unterlagen sollten auch im Mittelstand hinter gut gesicherten Türen aufbewahrt werden. 24 ProFirma

2 Die Mitarbeiter der Rieder Faserbeton-Elemente GmbH in Kolbermoor trauten ihren Augen nicht. Während eines Rundgangs im Produktionsbereich hatte ein Gast aus China eine Minikamera am Gürtel befestigt und machte Videoaufnahmen, obwohl dies vorab ausdrücklich verboten worden war. Aufmerksam wurden Rieder-Mitarbeiter durch verdächtige Kabel, die vom Gürtel des Geschäftsmanns herunterhingen. Die Sichtung ergab: Das Videomaterial enthielt wichtige Informationen, die man für einen Nachbau von Rieders hochmodernen Glasfaserplatten hätte nutzen können. Der Chinese wurde wegen des Verdachts auf Konkurrenzausspähung verhaftet. Nach drei Monaten in Untersuchungshaft verurteilte ihn das Landgericht München II im Dezember 2009 zu einer Bewährungsstrafe von eineinhalb Jahren. Immer wieder berichten deutsche Verfassungsschützer von ähnlichen Fällen. Insbesondere die Nachrichtendienste der Volksrepublik China und der Russischen Föderation zeigen laut aktuellem Verfassungsschutzbericht starke Aktivitäten im Bereich der Wirtschaftsspionage. Solche Aktivitäten, die den wissenschaftlich-technischen Fortschritt in ihren Ländern voranbringen sollen, geschehen oft im staatlichen Auftrag, berichtet Walter Opfermann, Leiter des Referats Spionageabwehr beim Landesamt für Verfassungsschutz Baden-Württemberg. Häufig gibt es eine starke Kooperation zwischen Staat und Wirtschaft, daher ist nicht immer eindeutig auszumachen, ob es sich um einen staatlichen Angreifer oder um Konkurrenzausspähung handelt. Der Forschungs- und Industriestandort Deutschland steht seit vielen Jahren im Fokus fremder Nachrichtendienste und konkurrierender ausländischer Unternehmen. Im Zusammenhang mit dem wachsenden globalen Verdrängungswettbewerb sind Unternehmen der Bundesrepublik einem harten Konkurrenzkampf ausgesetzt, der auch mit illegalen Mitteln ausgetragen wird. So werden Wirtschaft und Wissenschaft von Geheimdiensten ausgeforscht (Wirtschaftsspionage), von Mitbewerbern legal ausgekundschaftet (Competitive Intelligence) oder illegal ausspioniert (Konkurrenzausspähung). Jedes vierte Unternehmen betroffen Mindestens jedes vierte forschungsintensive Unternehmen (27 Prozent) ist im vorigen Jahr Opfer von unfreiwilligem Informationsabfluss oder Spionage geworden. Das zeigt die Studie des Sicherheitsforums Baden-Württemberg zum Thema Know-how-Schutz in Baden-Württemberg, die im März 2010 erschien. Diese Fälle führten bei den betroffenen Unternehmen zu erheblichen Umsatzeinbußen, Beeinträchtigungen von Geschäftsbeziehungen und strategischen Nachteilen gegenüber Wettbewerbern. Im Allgemeinen ist die Schadensregulierung zeitintensiv und teuer: Je nach Vorfall zwischen und zwei Millionen Euro. Die betroffenen Unternehmen beziffern ihre finanziellen Schäden im Durchschnitt mit Euro, wobei der Betrag bei forschungsintensiven Unternehmen mit Euro deutlich höher ist. Die Untersuchungen des Verbands Deutscher Maschinen- BERATUNG IN SICHERHEITSFRAGEN Die Verfassungsschutzbehörden des Bundes und der Länder unterstützen sowohl global aufgestellte als auch kleine und mittelständische Unternehmen beim Wirtschaftsschutz. Sie bieten unter anderem folgenden Service an: > Informationsvorträge und Präsentation in Unternehmen und anderen Institutionen zum Phänomen Wirtschaftsspionage > Sensibilisierung von Management und Mitarbeitern für die Belange des Know-how- und Informationsschutzes > Aufklärung über potenzielle Gefahren und Schutzmaßnahmen bei Geschäftsreisen in Staaten mit besonderen Sicherheitsrisiken > Kompetente Beratung und Unterstützung beim Verdacht auf Wirtschaftsspionage und absolut vertrauliche Behandlung aller Informationen > Umfangreiche Informationsangebote zum Wirtschaftsschutz auf der Website der Verfassungsschutzbehörden des Bundes und der Länder Auf der Homepage des Bundesamts für Verfassungsschutz finden sich die Adressen der Landesbehörden für Verfassungsschutz: und Anlagenbau (VDMA) zeigen, dass zunehmend komplette Maschinen nachgebaut werden. Der VDMA geht nach einer Mitgliederbefragung im März von einem durch Produktpiraterie verursachten Schaden von rund 6,4 Milliarden Euro allein für den deutschen Maschinen- und Anlagenbau aus. 42 Prozent der Umfrageteilnehmer schätzen den Umsatzverlust auf mehr als fünf Prozent. Mehr als jedes zweite VDMA-Mitglied ist betroffen. Die Ziele der Wirtschaftsspione umfassen die gesamte Bandbreite der Industrie und Technologie. Das Hauptinteresse liegt erwartungsgemäß bei den Schlüsselbranchen der Hochtechnologie. Dazu gehören neben den Maschinenbauern die Telekommunikation, die IT-Branche sowie die Luft- und Raumfahrtindustrie. Auch Biotechnologie, Pharmazeutik und Umwelttechnik stellen begehrte Ziele dar. Besonders leichtes Spiel haben die Spione bei den kleinen und mittelständischen Unternehmen. Während die Konzerne ganze Sicherheitsabteilungen als Schutzschild haben, zeigen die Mittelständler eine offene Flanke. Sie schützen sich zu wenig und holen sich nicht die entsprechenden Experten, um notwendige Vorkehrungen zu installieren, sagt Dr. Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) in Berlin. Kein Unternehmen sollte sich in Sicherheit wiegen: Auch die Produktionsverfahren, Absatzwege, Preise, Margen oder Personalinformationen sind für Angreifer interessant, sagt Christian Schaaf, Geschäftsführer der Münchener Sicherheitsberatung Corporate Trust. ProFirma

3 Unternehmensführung Titelthema CHECKLISTE Überprüfen Sie das Sicherheitskonzept Ihrer Firma Das Sicherheitskonzept eines Unternehmens ruht nach der Studie des Sicherheitsforums Baden- Württemberg Know-how-Schutz 2009/10 auf zwei Säulen: Den Bereichen Personal und Geschäftsabläufe sowie Objekt- und IT-Sicherheit. Anhand der beiden folgenden Checklisten können Sie entsprechende Lücken in Ihrem Unternehmen identifizieren. PERSONAL UND GESCHÄFTSABLÄUFE OBJEKT- UND IT-SICHERHEIT > Enthalten die Arbeitsverträge Wettbewerbs- und Geheimhaltungsklauseln? > Existiert ein ethischer Verhaltenkodex für die Mitarbeiter? > Ist sensibles Wissen nur für relevante Mitarbeiter verfügbar? > Gibt es ein Compliance-Programm? > Werden die Mitarbeiter in Sicherheitsfragen geschult? > Besteht eine Risiko- und Schwachstellenanalyse? > Binden Sie Ihre Geschäftspartner in das Sicherheitskonzept ein? > Existiert eine Risikoanalyse der Geschäftspartner? > Haben die Mitarbeiter Sicherheitsanweisungen für Auslandsreisen? > Können Mitarbeiter (auch anonym) Hinweise auf Sicherheitslücken oder Risiken geben? > Gibt es ein Schutzkonzept für IT- und Telekommunikationssysteme? > Ist der Server-Bereich besonders geschützt? > Besteht Passwortschutz auf allen Geräten? > Werden -Verkehr, Daten und Netze verschlüsselt? > Gibt es eine Zugangskontrolle zum Betriebsgelände? > Werden besonders sensible Bereiche überwacht? > Werden die Betriebsdaten nach Gefährdungsstufen segmentiert? > Besteht ein Abhörschutz für TK-Anlagen und Besprechungsräume? > Werden solche Räume und Anlagen regelmäßig einer Lauschabwehrüberprüfung unterzogen? Quelle: Sicherheitsforum Baden-Württemberg Um aussagekräftige Informationen über Strategien und Produkte von Unternehmen zu erhalten, bedarf es nicht einmal in jedem Fall illegaler Mittel. So lassen sich relevante Firmeninformationen oftmals durch die Auswertung frei zugänglicher Quellen beschaffen. Dies trifft besonders auf wissenschaftliche Ausarbeitungen wie Forschungsberichte und Diplomarbeiten zu. Interessante Einblicke liefern aber auch Werkszeitungen, Werbeinfos, Handbücher, Patent- beziehungsweise Lizenzunterlagen und schließlich Dokumentationen im Zusammenhang mit Qualitätszertifizierungen oder Beschreibungen zu versichernder Risiken. Auch die vielfältigen Möglichkeiten im World Wide Web und die persönliche Darstellung in sozialen Netzwerken liefern wertvolle Informationen sowie ideale Ansatzpunkte für sogenannte Social-Engineering-Maßnahmen. Kostenlose Know-how-Beschaffung Die offene Gewinnung von Informationen bei gutgläubigen Gesprächspartnern gehört ebenfalls zum Handwerkszeug von Wirtschaftsspionen und Konkurrenzausspähern: Vor allem bei Messen, Kongressen und Werksbesichtigungen sind im Verlauf von Verkaufsverhandlungen oder Fachgesprächen Betriebsgeheimnisse schnell preisgegeben. Die Akquisitionsphase bei Neugeschäften bietet potenziellen Kunden viele Möglichkeiten der kostenlosen Know-how-Beschaffung, zum Beispiel über die Anforderung detaillierter Produkt- und Leistungsbeschreibungen im Rahmen von Angeboten oder sogar die Entsendung von Personen zur Begutachtung der Firma des Lieferanten. Zum Einsatz kommen ebenso Geheimagenten, die getarnt als Journalisten oder Diplomaten auftreten, aber auch sogenannte Non-Professionals spielen eine Rolle. Dabei handelt es sich um unauffällige Studenten, Gastwissenschaftler und Praktikanten aus anderen Staaten. Sie halten sich zu Studienoder Ausbildungszwecken zeitlich befristet in Deutschland auf, fühlen sich jedoch ihren Heimatländern manchmal ganz besonders verpflichtet. Insbesondere chinesische Nachrichtendienste bedienen sich dieser Beschaffungsmethode. Auch die russische Staatsführung scheut kaum Anstrengungen, in den nächsten Jahren wirtschaftlich auf westlichen Standard zu kommen. Die Nachfolgeorganisationen des KGB haben ihre Wirtschaftsspionage stark ausgebaut. Seit dem Jahr 1998 überwacht der russische Inlandsgeheimdienst FSB mit dem Überwachungsprogramm SORM II offiziell den gesamten - und Internet-Verkehr, der über russische Internet-Service-Provider abgewickelt wird. Auf der Grundlage des gleichnamigen Gesetzes müssen alle russischen Anbieter von Internet-Zugängen dem Nachrichtendienst einen ständigen Zugriff auf den Datenverkehr ermöglichen, der in oder über Russland abgewickelt wird. Zudem sind die Telefongesellschaften verpflichtet, dem Inlandsnachrichtendienst einen permanenten Zugang zu Informationen über Telefonkun- 26 ProFirma

4 Unternehmensführung Titelthema den und deren Telefongespräche zu gewähren. Die Folge: Alle Geschäftsleute, die nach Russland reisen, müssen damit rechnen, bei Telefongesprächen oder bei Nutzung des Internets in das Blickfeld des FSB zu geraten und geheimdienstlich überwacht zu werden. Die Methoden von Wirtschaftsspionen oder beauftragten Informationsbeschaffern sind dabei sehr vielfältig. Sie reichen von Bestechung oder Erpressung von Mitarbeitern über Hacking-Angriffe auf die Informationssysteme bis hin zum Einsatz modernster Miniwanzen, die in Mobiltelefonen oder Steckdosen verbaut werden. Auch winzige Scanner im Aktenvernichter sind heute Stand der Technik. Es mutet absurd an: Geheime Akten, die man zur Sicherheit in den Schredder schiebt, werden gerade dort kopiert und die Daten anschließend weitergefunkt. Vielfältiges Spionage-Potenzial Das Potenzial konventioneller Angriffstechnik etwa mit Wanzen ist weiterhin erheblich. Mini-Aufzeichnungsgeräte greifen Worte und Texte ab, wo sie entstehen und die Opfer arglos oder leichtsinnig sind: Im Büro, Besprechungsraum oder an der Bar. Die Daten werden abgeschöpft, bevor sie verschlüsselt werden können, beobachtet Volker Schnapp von der Fink Secure Communication GmbH in Ahorn, der als Experte für Datenschutz und Lauschabwehr Konzerne und Mittelständler berät. Das Arsenal der Angreifer reicht von präparierten Kugelschreibern und Glühbirnen bis hin zu manipulierten Rauchmeldern. Ebenfalls effektiv: Die verwanzte Kaffeekanne. Hiermit versorgt die Sekretärin nicht nur die Teilnehmer geheimer Konferenzen mit Heißgetränken, sondern gleich auch mithörende Wettbewerber mit vertraulichen Informationen. Die Mitarbeiter müssen den Bildschirm sperren, wenn sie aus dem Büro gehen. ANDREAS STEINER, STIHL-GRUPPE, WAIBLINGEN Hat ein Unternehmen den Verdacht, dass es abgehört wird, rückt Volker Schnapp mit bis zu acht Mitarbeitern im Betrieb an und zwar fast ausschließlich nachts oder an Wochenenden: Denn wir arbeiten sinnvollerweise meist verdeckt. Mit mobilen Röntgengeräten holen die Experten zum Gegenschlag aus, um Gefahren aufzuspüren und schließlich auszuschalten. Sogar Firmenwagen werden überprüft, denn ein Lauscher kann mit einer GPS-Wanze die Bewegungen seines Opfers nachvollziehen. Aufzupassen gilt es auch beispielsweise bei Fahrten in öffentlichen Verkehrsmitteln. Hier stellen Arbeiten am Laptop ein signifikantes Risiko dar. Ein kurzer Blick des Sitznachbarn auf den Monitor, und sensible Informationen gelangen unter Umständen zum Wettbewerb. Um sich vor dem Verlust wichtiger Informationen zu schützen, statten sicherheitsbewusste Firmen wie der Elektrowerkzeughersteller Stihl ihre Dienst- Laptops mit einer Blickschutzfolie aus. Vorsicht mit Datenträgern jeder Art sollten Geschäftsleute auch bei Auslandsreisen walten lassen. So werden oftmals an der Grenze wichtige Daten von Laptops herunterkopiert. Schnapp rät Geschäftsreisenden daher, nur diejenigen Kommunikations- und Speichermedien mitzuführen, die sie unbedingt benötigen. Im Idealfall werden spezielle Reise-Laptops verwendet, auf denen nur die relevanten Informationen für das jeweilige Projekt gespeichert sind. Es sollten sich sonst keinerlei Informationen über das Unternehmen, andere Projekte oder weitere vertrauliche Daten auf ihnen befinden. Darüber hinaus rät er zur Verschlüsselung der sensiblen Daten: Es empfiehlt sich bei der Einreise, entweder mit einer durch Kryptographie geschützten Festplatte zu arbeiten oder einen Laptop ohne Daten zu benutzen. Die Daten kann man dann separat auf einem verschlüsselten USB-Datenträger mitführen, den man immer bei sich trägt, so Schnapp. Wachsamkeit ist zudem bei der Annahme von Gast- und Werbegeschenken geboten sie könnten Lauscheinrichtungen oder Spionageprogramme enthalten. So bekam ein Mittelständler aus der produzierenden Industrie in Norddeutschland von einem chinesischen Geschäftspartner einen sehr edlen USB-Stick geschenkt. Er hatte sicherlich einen Wert von 100 Euro, und es wäre schade gewesen, ihn wegzugwerfen, berichtet Sicherheitsberater Christian Schaaf. Zufällig entdeckte und prüfte ein hauseigener IT-Experte den auffälligen Stick. Wie sich herausstellte, enthielt er ein Spionageprogramm. Hätte der Manager ihn eingesetzt, wäre der komplette Inhalt seines Laptops ins Ausland g t worden. Der Feind im Inneren Nicht immer sind die Angreifer im staatlichen Auftrag aktiv. Häufig handelt es sich auch um Spionage der Konkurrenz. Schaaf berichtet von einem Mitarbeiter eines Unternehmens, der verdächtigt wurde, sensible Firmendaten an einen Freund bei einem Mitbewerber herausgegeben zu haben. Bei der Untersuchung seines Laptops befand sich darin noch eine gebrannte CD, die einen Großteil der Kundendatenbank und etliche Projektpläne enthielt. Meist haben Firmen Maßnahmen zum Schutz gegen Angriffe von außen, aber kaum Monitoring-Systeme, um auch den internen Traffic zu überwachen. Dabei könnten mit dieser Technik Angriffe durch Mitarbeiter von innen sehr schnell erkannt werden. In einem anderen Fall von Konkurrenzausspähung verließ der IT-Verantwortliche das Unternehmen und wechselte zur Konkurrenz in einem anderen Land. Zuvor installierte er auf einem Computer noch zwei Programme, die nach seinem Weggang regelmäßig sensible Informationen an eine fremde -Adresse versandten. Wie sich später herausstellte, hatte er auf diesem Weg Informationen abgesaugt, die seinem neuen Arbeitgeber halfen, ebenfalls ein Angebot bei 28 ProFirma

5 INTERVIEW Die Schwachstelle ist der Mensch Christian Schaaf, Geschäftsführer der Münchener Sicherheitsberatung Corporate Trust, zu Know-how-Schutz, Mitarbeiterschulungen und Attacken von ausländischen Geheimdiensten. DAS GESPRÄCH FÜHRTE PATRIK VON GLASOW Foto: Corporate Trust Herr Schaaf, der Spionageschwerpunkt liegt bei den forschungsintensiven Unternehmen. Können sich die übrigen Firmen in Sicherheit wiegen? Schaaf: Nein, denn auch die Produktionsverfahren, Absatzwege, Preise, Margen oder Personalinformationen sind für Angreifer interessant. Geht die größte Gefahr von Hightech- Attacken aus? Schaaf: Die größte Gefahr geht gar nicht von Hightech-Attacken aus, sondern sie liegt schlicht in der Schwachstelle Mensch. 70 Prozent der Täter sitzen hinter der Firewall und haben oft Vollzugriff auf alle sensiblen Daten. Was raten Sie für den wirksamen Informationsschutz im Unternehmen? Schaaf: Für den wirksamen Informationsschutz im Unternehmen ist ein ganzheitliches Sicherheitskonzept zu schaffen. Aus diesem Konzept können konkrete Handlungsanweisungen, Richtlinien und Verbote für den einzelnen Mitarbeiter abgeleitet werden. Diese sollten den Mitarbeitern bekannt gemacht werden und verbindlich sein. Mit der Sensibilisierung von Mitarbeitern und natürlich auch klaren Vorgaben des Managements lässt sich hier bereits viel erreichen. So sollten alle Mitarbeiter des Unternehmens ein Awareness-Programm durchlaufen. Sollte man bei Einstellung eines chinesischen Praktikanten oder dem Kontakt mit einem chinesischen Wissenschaftler Vorsicht walten lassen? Schaaf: Jeder Mitarbeiter an einer sensiblen Position stellt einen gewissen Risikofaktor dar und sollte daher vor der Einstellung entsprechend überprüft werden. Bei ausländischen Mitarbeitern gilt dies besonders, weil man hier oftmals die vorgelegten Zeugnisse oder gemachten Angaben wesentlich schwerer auf Richtigkeit überprüfen kann. Von China ist bekannt, dass von staatlicher Seite verstärkt Wirtschaftsspionage betrieben und dazu auch Einfluss auf Landsleute im Ausland genommen wird, um an Informationen zu kommen. Daher sollte man bei Bewerbern aus China eine entsprechende Vorsicht walten und einen Background-Check durch Sicherheitsspezialisten durchführen lassen. Sie können klären, ob die vorgelegten Zeugnisse echt sind, die Angaben zu Beschäftigungszeiten oder Qualifikationen stimmen oder Beziehungen zu staatlichen Stellen bekannt sind. Raten Sie von einer Freundschaft mit einem chinesischen Mitarbeiter ab? Schaaf: Nein, natürlich nicht. Aber jeder Mitarbeiter sollte in Bezug auf Informationen über seine Arbeit zurückhaltend sein, auch gegenüber Kollegen, die nicht direkt in dem Bereich arbeiten. Unternehmen sollten bei den Mitarbeitern ein Bewusstsein schaffen, dass Flurtratsch schaden kann und sensible Informationen nicht unnötig an Kollegen weitergegeben werden sollten. Haben Sie weitere Vorschläge bezüglich der Gefahr des Informationsabflusses nach China oder für die Kooperation mit chinesischen Unternehmen? Schaaf: Im Vorfeld von Joint Ventures mit chinesischen Firmen sollte auf jeden Fall ein Background-Check durch Sicherheitsspezialisten zum Unternehmen und den handelnden Personen durchgeführt werden. Es sollte genau abgewogen werden, wie viele Informationen tatsächlich an den Geschäftspartner transferiert werden müssen. Außerdem sollte das Unternehmen durch entsprechende Vorsichtsmaßnahmen die IT- und Telekommunikationssicherheit gewährleisten. Dazu zählen beispielsweise spezielle Reise-Laptops, die nur eine Minimalkonfiguration aufweisen und auf denen möglichst keine vertraulichen Dokumente gespeichert sind, sowie Möglichkeiten für eine verschlüsselte Kommunikation. Was raten Sie, wenn man Opfer eines Angriffs aus China wird? Schaaf: Alle Vorfälle und Verdachtsmomente sollten auf jeden Fall umfassend aufgeklärt werden. Häufig gehen auch fremde Nachrichtendienste über die Schwachstelle Mensch und haben einen internen Mitarbeiter angezapft. Bei konkreten Hinweisen oder Verdacht auf einen nachrichtendienstlichen Angriff aus China sollte auf jeden Fall auch Kontakt mit einem Landesamt oder dem Bundesamt für Verfassungsschutz aufgenommen werden. ProFirma

6 Unternehmensführung Titelthema Während Konzerne ganze Sicherheitsabteilungen haben, zeigen viele Mittelständler eine offene Flanke. DR. BERTHOLD STOPPELKAMP, ASW BERLIN Kunden abzugeben. Dies fiel erst sechs Wochen nach seinem Weggang auf. 70 Prozent der Täter sitzen,hinter der Firewall und haben oft Vollzugriff auf alle sensiblen Daten, so Schaaf. Alle einschlägigen Untersuchungen zeigen, dass die größte Gefahr von den eigenen Mitarbeitern und den im Unternehmen tätigen Fremdfirmen ausgeht. Besonders aufzupassen gilt es bei kurzzeitig beschäftigten Arbeitskräften wie Praktikanten oder Angestellten von Fremdfirmen, etwa Reinigungsfirmen. Ein Zettel mit dem Passwort auf dem Monitor oder firmenwichtige Dokumente im Papierkorb können für neugierige Konkurrenten von größtem Interesse sein. Für Angehörige der Putzkolonne, die nach Feierabend die Geschäftsräume reinigen, ist es auch kein Problem, unbemerkt einen sogenannten Keylogger an jedem beliebigen Rechner zu montieren, ein Gerät etwa so groß wie ein USB- Stick. Dieser Keylogger wird zwischen Tastatur und Tastaturanschluss am PC gesteckt und greift alle Tastaturanschläge ab, bevor diese im PC verarbeitet werden, so Volker Schnapp. Natürlich können auf diese Weise auch Passwörter aller Art mitgelesen werden. Key-Logger werden meist im Sekretariat des Chefs installiert hier sind häufig die Passwörter des Vorstands parat und werden auch die wichtigsten Geschäftsbriefe geschrieben. Ein kompletter Schutz aller Informationen eines Unternehmens ist nicht möglich und häufig auch nicht opportun, erklärt Dr. Giselher Dombach, Vorstand der GED Com AG in Braunschweig. Häufig seien nur fünf Prozent aller Informationen essentiell für das Unternehmen, aber diese Geschäftsgeheimnisse müssten definiert und entsprechend geschützt werden. Für den wirksamen Informationsschutz im Unternehmen braucht es dann ein ganzheitliches Sicherheitskonzept: Aus diesem Konzept können konkrete Handlungsanweisungen, Richtlinien und Verbote für den einzelnen Mitarbeiter abgeleitet werden. Diese sollten firmenweit bekannt gemacht werden und verbindlich sein, erklärt Corporate-Trust-Geschäftsführer Schaaf. Eine Richtlinie schafft allerdings noch keine Sicherheit. Meist führt weder Zwang zum Ziel noch das Vertrauen darauf, dass Mitarbeiter die Anweisungen von allein befolgen. Mehr Erfolg verspricht es, gemeinsam mit der Geschäftsführung eine sogenannte Security-Awareness-Kampagne zu organisieren. Hier gilt es, die Mitarbeiter im Rahmen der Kampagne für das Thema Wirtschaftsspionage und Informationsdiebstahl zu interessieren, sowie um Verständnis für nötige Schutz- und Präventionsmaßnahmen und die Einhaltung der Regeln zu werben. Wenn wir ein gutes Know-how haben, müssen wir es auch gemeinsam schützen, betont Wolfgang Rieder, Geschäftsführer in Kolbermoor. Laut der Sicherheitsberatung Corporate Trust werden nur bei knapp 40 Prozent der Firmen Geheimhaltungsstufen klassifiziert. Zu dieser vorbildlichen Minderheit mit klaren Vorgaben zum Umgang mit Informationen zählt die Andreas Stihl AG & Co. KG in Waiblingen: Alle Dokumente bei uns sind in vier Sicherheitsstufen eingeteilt: Öffentlich, offen für dienstlichen Gebrauch, vertraulich, streng vertraulich, erläutert Andreas Steiner, Abteilungsreferent IT-Sicherheit der Stihl-Gruppe. Die Geschäftsführung muss die richtigen Signale senden: Jeder muss das Gefühl haben, dass Informationsschutz einen sehr hohen Stellenwert besitzt und Chefsache ist. Mit dem Betriebsrat sollte der Firmenchef besprechen, wie sich ohne übermäßige Leistungs- und Verhaltenskontrolle die Erfolge der Mitarbeiter überprüfen lassen. Der erste Awareness-Schritt könnte beispielsweise mit einer einfach zu installierenden Schutzmaßnahme verknüpft werden etwa ein nur durch ein Passwort zu deaktivierender Bildschirmschoner. Dabei werden die Nutzer nun darüber aufgeklärt, welche Gefahren beim unbefugten Zugriff auf den Rechner bestehen und welche Sicherheit ihre Daten durch den neuen Bildschirmschoner erlangen. Richtlinien für Firmenbesucher Schnell und unkompliziert einzuführen sind Richtlinien bei Werksbesuchen: Bei uns gibt es klare Regelungen, was fotografiert werden darf, so Wolfgang Rieder. Und bei Stihl müssen Besucher beispielsweise Kamerahandy und Videogeräte an der Pforte abgeben und dürfen nur in Begleitung durch das Werksgelände gehen. Wichtig sind auch Regelungen für den Zutritt zu Firmenbereichen wie die Forschungs- und Entwicklungsabteilung: Der Zugang zu den sicherheitsrelevanten Bereichen wird bei uns durch einen elektronischen Firmenausweis gesichert, so Andreas Steiner, Abteilungsreferent IT- Foto: ASW Berlin 30 ProFirma

7 Sicherheit der Stihl-Gruppe. Jährlich wird bei uns abgefragt, welche Mitarbeiter einen Zugang in das Entwicklungszentrum für ihre Arbeit benötigen. Die berechtigten Personen werden in einer Liste geführt. Weitere Lücken werden beispielsweise mit einem IT-Zugriffskonzept und Passwort-Richtlinien geschlossen. Unsere Mitarbeiter sind aufgefordert, den Bildschirm zu sperren, sobald sie das Büro verlassen, so Andreas Steiner. Und natürlich dürfen keine Kennwörter an den Bildschirmen sichtbar angebracht sein. Neben klaren Anweisungen für den -Verkehr muss es auch eine Regelung geben, was das Entsorgen von Hardware und das Löschen von Datenträgern betrifft. Jeder neue Mitarbeiter bekommt bei uns eine eintägige Schulung,EDV bei Stihl, erläutert Andreas Steiner. Hier wird auch das Thema Sicherheit beim Datentransfer behandelt und auf unsere Richtlinie hingewiesen. Benötigt ein Mitarbeiter ein Notebook, so wird er in einer gesonderten Schulung auf Sicherheit trainiert. Um Verstöße gegen die Schutzvorschriften aufzudecken, muss die Einhaltung regelmäßig kontrolliert werden. Dabei hilft beispielsweise die rote Karte : Ein regelmäßiger abendlicher Rundgang des Sicherheitschefs am besten zusammen mit dem Betriebsrat durch die Büros bewirkt oft Wunder, um das Sicherheitsbewusstsein zu steigern. Entdecken sie einen Verstoß, wenn etwa geheime Dokumente offen herumliegen, hinterlassen sie am Arbeitsplatz des betreffenden Mitarbeiters eine rote Karte und zwar mit der Bitte um Rücksprache. Dieses Gespräch findet nicht mit dem direkten Vorgesetzten, sondern noch eine Ebene darüber statt. Außerdem werden die sicherheitsrelevanten Unterlagen eingesammelt und weggeschlossen. Geht man in allen Abteilungen so vor, wird man feststellen, wie sich das Sicherheitsbewusstsein der Mitarbeiter deutlich erhöht, so Michael Sobbek, ehemals Sicherheitschef der Dresdner Bank und jetziger geschäftsführender Gesellschafter von Janus Consulting. Werden Fälle von Industrie- und Wirtschaftsspionage aufgedeckt, melden Unternehmen die Angriffe häufig den Sicherheitsbehörden nicht, weil sie einen Imageverlust befürchten und an der Wahrung ihres Rufs sowie Schadensbegrenzung interessiert sind. Ein fataler Fehler: Geraten sensible Informationen in die falschen Hände, ist es häufig zu spät, einen Verlust von Marktanteilen oder im Extremfall die Insolvenz des Unternehmens zu vermeiden. Daher empfiehlt Dr. Stoppelkamp: Wir raten jedem Mittelständler, sich bei Verdachtsmomenten von Spionageangriffen an den ASW und die Sicherheitsverbände oder die Verfassungsschutzämter und die Polizei zu wenden. ProFirma