Wirtschaftsschutz: Prävention durch Information Newsletter

Transkript

1 Bundesamt für Verfassungsschutz Wirtschaftsschutz: Prävention durch Information Newsletter

2 Prävention durch Information Ausgabe Nr. 1/2012 Sehr geehrte Damen und Herren, nach der Mitte März vom Bundesminister des Innern, Dr. Hans-Peter Friedrich, veröffentlichten Kriminalstatistik ist die Zahl der Einbruchdiebstähle 2011 weiter angestiegen. Betroffen sind hiervon auch Liegenschaften und Einrichtungen von Unternehmen, vor allem in eher abgelegenen Gewerbe- und Industriegebieten. Zumeist wird allgemeine Kriminalität als Hintergrund angenommen. Bei einem solchen Schadensfall sollte aber ebenso geprüft werden, ob ein Know-how-Verlust z.b. über entwendete Rechner erfolgt ist bzw. dies möglicherweise das eigentliche Ziel eines Einbruchs gewesen ist. Nähere Informationen über diese Form des Know-how-Verlusts sind als Anlage beigefügt. Untersuchungen über illegalen Know-how-Transfer weisen regelmäßig eigene Mitarbeiter so genannte Innentäter als nicht zu unterschätzendes Risiko aus. Innentäter sind in Anbetracht ihrer legalen Zugangsmöglichkeiten und ihres Insiderwissens über innerbetriebliche Schwachstellen in der Lage, den Unternehmen mehr Schaden zuzufügen als externe Täter. Häufig wird es ihnen leicht gemacht, z.b. durch weitgehend unbegrenzte Zugangsmöglichkeiten zu Firmen-Know-how sowie Sorglosigkeit im Umgang mit sensiblen Unterlagen. Auch zu diesem sensiblen Thema haben wir eine Information zusammengestellt. In Österreich ging im vergangenen Jahr das Internetangebot Sicherheitsportal.at online. Gestartet wurde mit der Veröffentlichung des Handbuchs Wirtschafts- und Industriespionage. In einer Kooperation u.a. unter Beteiligung des Bundesamts für Verfassungsschutz und Terrorismusabwehr (BVT) wird darin anhand von Beispielen auf die vielfältigen Risiken für die Unternehmen eingegangen, ein Kompass zum sichern Unternehmen angeboten und Handlungsempfehlungen gegeben.

3 Hinweisen möchte ich Sie noch auf die gemeinsame Sicherheitstagung des BfV und der Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.v. (ASW) am 4. Juli in Berlin. Bereits zum sechsten Mal werden wir uns mit Sicherheitsexperten von Ministerien und Behörden, sowie von Unternehmen und anderer Stellen über aktuelle Aspekte des Wirtschaftsschutzes austauschen. Sie erhalten rechtzeitig nähere Informationen sowie die Möglichkeit, sich zu dieser Veranstaltung anzumelden. Ihnen, Ihren Familien, Mitarbeiterinnen und Mitarbeitern wünsche ich - auch im Namen meines Teams - eine schöne Osterzeit. Mit freundlichen Grüßen Herbert Kurek Referatsleiter Abteilung Spionageabwehr, Wirtschaftsschutz Bundesamt für Verfassungsschutz Köln, im April 2012 Unser Informationsangebot: 1. Wirtschaftsspionage als möglicher Hintergrund von Diebstahl und Einbruchdiebstahl Wenn in Unternehmen eingebrochen bzw. deren Mitarbeiter bestohlen werden, wird nur selten offenkundig, dass der eingetretene Schaden auch in einem Verlust von Know-how bestehen könnte. Mehr Informationen 2. Innentäter ein unterschätztes Risiko für Unternehmen Die Risiken illegalen Know-how-Verlustes sind vielfältig. Nicht selten sind so genannte Innentäter verantwortlich für einen mitunter erheblichen Schaden bei den Unternehmen. Sie stellen ein schwer zu erkennendes Risiko dar. Mehr Informationen 3. Handbuch Wirtschafts- und Industriespionage Risikoeinschätzung und Handlungsempfehlungen zum Know-how-Schutz in der Wirtschaft. Mehr Informationen Bundesamt für Verfassungsschutz Merianstraße Köln Tel Fax wirtschaftsschutz@bfv.bund.de

4 Wirtschaftsspionage als möglicher Hintergrund von Diebstahl und Einbruchdiebstahl Wenn in Unternehmen eingebrochen bzw. deren Mitarbeiter bestohlen werden, wird nur selten offenkundig, dass der eingetretene Schaden auch in einem Verlust von Know-how bestehen könnte. Bei Schadensfällen durch Diebstahl und Einbruchdiebstahl wird meist nur der materielle Schaden durch z.b. entwendete Geräte der Informations- und Kommunikationstechnik betrachtet. Nicht selten ist hiermit gleichzeitig aber auch ein Verlust von Know-how verbunden, was möglicherweise auch das eigentliche Ziel des Täters gewesen sein könnte. Häufig wird in solche Fällen eine mögliche Spionageabsicht nicht erkannt und daher auch lediglich wegen Diebstahls oder Einbruchdiebstahls ermittelt. Typische Schadensfälle, bei denen diesbezüglich besondere Aufmerksamkeit geboten war, stellten sich wie folgt dar: In einem mehrstöckigen Firmengebäude drangen die Täter gezielt in die achte Etage ein und entwendeten dort die Festplatten aus mehreren Laptops. Hierbei ließen sie andere lohnende Beutestücke, wie die Laptops selbst, Flachbildschirme und Bargeld unangetastet. In einem anderen Fall brachen die Täter in ein Firmengebäude ein und begaben sich - wie anhand der Spuren erkennbar - auf direktem Wege in den IT-Bereich, wo versucht wurde, Firmendaten vom Server herunterzuladen. Heimtückisch sind besonders die Fälle, in denen augenscheinlich nichts entwendet wurde. Werden lediglich Einbruchsspuren festgestellt, besteht die Möglichkeit, dass entweder Abhörtechnik wie Wanzen, Kameras und Trojaner eingebracht oder unerkannt Daten oder Kopien mitgenommen wurden. Daneben werden immer öfter Firmenangehörigen beispielsweise auf Messen, Flughäfen, Bahnhöfen und aus Fahrzeugen z.b. Laptops, Smartphones oder auch Firmenunterlagen entwendet. Den Tätern kommt hierbei häufig eine weit verbreitete Sorglosigkeit entgegen. Besondere Gefährdungen für Geschäftsreisende bestehen bei Reisen in Länder, deren Nachrichtendienste Wirtschaftsspionage betreiben. Diesen Diensten bieten sich in ihren Heimatländern vielfältige Möglichkeiten der Ausspähung. Der Nachweis von Wirtschaftsspionage oder Konkurrenzausspähung ist häufig schwierig, vor allem wenn die Tat längere Zeit zurückliegt.

5 Gleichwohl sollte diese Möglichkeit bei der Ermittlung der Tatumstände immer mit einbezogen werden und z.b. nachfolgende Fragen geprüft werden: Ist schützenswertes Firmenwissen entwendet worden? Ergeben sich für die Täter weitere Zutritts- und Zugriffsmöglichkeiten? Bestehen Anhaltspunkte, die auf Insiderwissen hinweisen? Gibt es Hinweise auf Manipulation an technischen Geräten Ihres Unternehmens? Gibt es einen auffälligen Zusammenhang zwischen dem Zeitpunkt des Diebstahls und einem firmenrelevanten Ereignis? Bester Schutz vor Know-how-Verlust ist eine umfassende Prävention durch in Sicherheitsfragen informierte und sich sicherheitsbewusst verhaltende Mitarbeiter. Besondere Gefährdungspotenziale gehen jedoch auch von so genannten Innentätern aus, also von eigenen Mitarbeitern der Unternehmen. In Anbetracht ihrer legalen Zugangsmöglichkeiten und ihres Insiderwissens über innerbetriebliche Schwachstellen sind sie in der Lage, den Unternehmen mehr Schaden zuzufügen, als es externe Täter je könnten. Daher sind die Identifizierung besonders schützenswerten Know-hows sowie eine ausführliche Schwachstellenanalyse Grundvoraussetzungen effektiven Informationsschutzmanagements.

6 Innentäter ein unterschätztes Risiko für Unternehmen Die Risiken illegalen Know-how-Verlustes sind vielfältig. Nicht selten sind so genannte Innentäter verantwortlich für einen mitunter erheblichen Schaden bei den Unternehmen. Sie stellen ein schwer zu erkennendes Risiko dar. Innentäter sind in Anbetracht ihrer legalen Zugangsmöglichkeiten und ihres Insiderwissens über innerbetriebliche Schwachstellen in der Lage, den Unternehmen unter Umständen mehr Schaden zuzufügen als externe Täter. Hierarchien bilden hierbei keine Grenzen Täter kann vom Hausmeister bis zum Manager jeder sein. Häufig wird es Innentätern leicht gemacht, z.b. durch weitgehend unbegrenzte Zugangsmöglichkeiten zu Firmen-Know-how sowie Sorglosigkeit im Umgang mit sensiblen Unterlagen. Wegen z. B. nicht den Erwartungen entsprechender beruflicher Entwicklung kommen nicht selten langjährig beschäftigte Mitarbeiter als Täter in Frage.Aber auch vorübergehend im Unternehmen tätiges Fremdpersonal, das zeitlich befristet Zutritt- und Zugriffsberechtigungen erhält, stellt ein Schadensrisiko dar. Folgende Vorfälle sind beispielhaft für das Vorgehen von Innentätern: - Einem chinesischen Austauschstudenten gelang es während seines Praktikums in einer deutschen Firma, ungehindert umfangreiche und z.t. vertrauliche Informationen seines Arbeitgebers auf eine externe Festplatte zu übertragen. Die Tat wurde ihm durch den Umstand erleichtert, dass der Informationsschutz im betroffenen Unternehmen z.b. das need-to-know- Prinzip vernachlässigt wurde. So hatte er über seinen Arbeitsplatzrechner einen ungehinderten und weitreichenden Zugang zu den unterschiedlichsten Projekten des Unternehmens. - Der in die Kundendienstabteilung eines Unternehmens für regenerative Energietechnologie umgesetzte Entwicklungsingenieur verkaufte den Quellcode für die Steuerung von Anlagen an ein Konkurrenzunternehmen in China. Als Gegenleistung erhielt er u.a. einen hochdotierten mehrjährigen Arbeitsvertrag bei dieser Firma. Dieser Vorfall führte in der Folge da das chinesische Unternehmen gleichzeitig ein wichtiger Kunde des geschädigten Unternehmens war zu erheblichem Umsatzausfall und zu Arbeitsplatzverlusten. Indikator für eine mögliche Bereitschaft zum illegalen Know-how-Transfer können vor allem auffällige Unzufriedenheit am Arbeitsplatz und mangelnde Identifikation mit dem Unternehmen sein.

7 Ebenso können plötzliche Auffälligkeiten im persönlichen Umfeld (aufwändiger Lebensstil, Anzeichen für Alkoholsucht, Drogenabhängigkeit, Spielsucht oder Überschuldung) auf ein entsprechendes Risiko hinweisen. Besondere Aufmerksamkeit gilt insbesondere bei unbegründeter Nutzung von Aufzeichnungs- und Speichergeräten sowie bei Überschreitung von Zutrittund Zugriffsberechtigungen. Grundlage für eine wirksame Prävention vor ungewolltem Informationsverlust ist ein funktionierendes Informationsschutzkonzept. Sicherheit von Mitarbeitern, Betriebsanlagen und Sicherheit essenziellen Know-hows sollte eines der Unternehmensziele sein. Von besonderer Bedeutung für die Vermeidung ungewollten Know-how- Verlusts durch Innentäter ist die Identifikation der Mitarbeiter mit ihrem Unternehmen, seinen Unternehmenszielen und nicht zuletzt die Zufriedenheit am Arbeitsplatz. Die Verbundenheit der Mitarbeiter mit ihrem Unternehmen wird dabei in hohem Maße u.a. durch das Arbeitsklima, durch berufliche Entwicklungsmöglichkeiten sowie die mitarbeiterbezogene Vermittlung von Unternehmensentscheidungen beeinflusst. Ein effektives Informationsschutzmanagement sollte daher auch immer unter Einbeziehung und Mitwirkung von Unternehmensangehörigen erarbeitet und fortentwickelt werden.

8 WIRTSCHAFTS- UND INDUSTRIESPIONAGE Handbuch Know-How-Schutz für die österreichische Wirtschaft Mai 2011

9

10 WIRTSCHAFTS- UND INDUSTRIESPIONAGE Handbuch Know-How-Schutz für die österreichische Wirtschaft Mai 2011

11 Diese Broschüre - sowie sonstige aktuelle Publikationen ist in der Service-GmbH der Wirtschaftskammer Österreich erhältlich: T: DW 5050 oder F: DW 236 sowie W: oder E: mservice@wko.at Impressum: Verfasser Das vorliegende Handbuch wurde von mehreren Autoren im Rahmen eines gemeinsamen Projektes im Auftrag des Bundesministeriums für Inneres/Bundesamt für Verfassungsschutz und Terrorismusbekämpfung durch den Fachbereich Risiko- und Sicherheitsmanagement der FH Campus Wien erstellt. Unterstützt wurde das Projekt durch die Partner Wirtschaftskammer Österreich und Industriellenvereinigung. Projektleitung FH-Prof. DI Martin Langer, Michael Jabinger und Heimo Grasser, Fachbereich Risiko- und Sicherheitsmanagement, FH Campus Wien, Favoritenstraße 226, 1100 Wien Medieninhaber Fachbereich Risiko- und Sicherheitsmanagement, FH Campus Wien, Favoritenstraße 226, 1100 Wien Alle Rechte vorbehalten. Nachdruck auch auszugsweise ist nach Absprache nur mit Quellenangabe und gegen Übersendung von zwei Belegexemplaren gestattet. Trotz sorgfältiger Prüfung sämtlicher Beiträge in dieser Broschüre sind Fehler nicht auszuschließen, und die Richtigkeit des Inhalts ist daher ohne Gewähr. Eine Haftung der AutorInnen oder der Medieninhaber ist ausgeschlossen. Hinweis Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter! Wien, Mai 2011

12 INHALTSVERZEICHNIS VORWORT 7 WIRTSCHAFTS- UND INDUSTRIESPIONAGE IN ÖSTERREICH 8 TEIL A ALLGEMEINES DAS HANDBUCH Projekt WIS Inhalt des Handbuches Gestaltung Positionierung Abgrenzung Bearbeitungsgrundlagen BEGRIFFSKLÄRUNG Competitive Intelligence Wirtschaftsspionage Industriespionage Zusammenfassung 16 TEIL B DER INFORMATIONSSCHUTZPROZESS KOMPASS ZUM SICHEREN UNTERNEHMEN Gesamtprozess Corporate Security Policy Sensible Unternehmensinformationen Identifikation der Bedrohungen Security-Analysephasen Kontextanalyse Bedrohungs- und Verwundbarkeitsanalyse Trendanalyse Erstellung Security Lagebild Strategieentwicklung Bedrohungs-, Verwundbarkeits- und Auswirkungsminimierung Entscheidung, Umsetzung und KVP HANDLUNGSEMPFEHLUNGEN Basisschutzempfehlungen Erweiterte Schutzmaßnahmen 31 5

13 5. PRAXISBEISPIEL Beschreibung Musterunternehmen Corporate Security Policy Schützenswertes Unternehmens-Know-How Identifikation der Bedrohungen Security Analysephase Kontextanalyse (Auszugsweise) Bedrohungs- und Verwundbarkeitsanalyse (Auszugsweise) Trendanalyse (Auszugsweise) Erstellung Security Lagebild Strategieentwicklung Bewältigung VERDACHTSMOMENT WAS IST ZU TUN? Kontakt LITERATUREMPFEHLUNGEN 42 TEIL C ANHANG Anhang A Glossar Anhang B Checklisten Anhang C Verzeichnisse 47 Abbildungsverzeichnis 47 Abkürzungsverzeichnis 48 Literaturverzeichnis Notizen 50 6

14 Vorwort Wirtschafts- und Industriespionage stellen gesetzlich strafbare Handlungen dar, welche geeignet sind die wirtschaftliche Leistungsfähigkeit Österreichs negativ zu beeinflussen. Neben dem potentiellen finanziellen Schaden erscheint es aus der Sicht des BM.I/.BVT wichtig, auch einen möglichen Reputationsverlust des Wirtschaftsstandortes Österreich zu vermeiden. Deshalb ist das BM.I/.BVT bestrebt in Kooperation mit der Wissenschaft und Wirtschaft die Sensibilität in Bezug auf Wirtschafts- und Industriespionage stetig zu erhöhen. Seitens der österreichischen Unternehmen besteht ein reges Interesse an Informationen über Sicherheitsmaßnahmen für sensible Unternehmensinformationen. Dies zeigte die Resonanz auf die Veröffentlichung der, vom Fachbereich Risiko- und Sicherheitsmanagement der FH Campus Wien, 2010 durchgeführten Studie Wirtschafts- und Industriespionage in Österreich Das vorliegende Handbuch soll nun Interessierten als praxisorientiertes Nachschlagewerk dienen. Es soll ihnen ermöglichen, die darin vorgestellten Sicherheitsanalysemethoden sowie Handlungsempfehlungen als Grundlage für die Optimierung der Sicherheit ihres Unternehmens heranzuziehen. Die Attraktivität des Wirtschaftsstandortes Österreich wird durch gezielte Maßnahmen zur Steigerung der Unternehmenssicherheit erhöht. Dies wiederum erhöht die innere Sicherheit Österreichs. Ein besonderer Dank seitens des BM.I/.BVT ergeht an den Fachbereich Risiko- und Sicherheitsmanagement der FH Campus Wien, für dessen engagierte Arbeit bei der Erstellung dieses Handbuches und der Durchführung der diesem vorangegangenen Studie, sowie an die Industriellenvereinigung und die Wirtschaftskammer Österreich für die gute Zusammenarbeit. Direktor Mag. Peter Gridling Bundesamt für Verfassungsschutz und Terrorismusbekämpfung 7

15 Wirtschafts- und Industriespionage in Österreich Dachte man lange Zeit bei Wirtschafts- und Industriespionage an Hochtechnologien wie Medizin, Luftund Raumfahrt und an die einfache Reproduktion von Produkten, so muss die Gefahr viel weitreichender als bisher angenommen gesehen werden. Das belegt die aktuelle Studie Wirtschafts- und Industriespionage in Österreich Nahezu jedes Unternehmen kann Opfer von Wirtschafts- und Industriespionage werden und in weiterer Folge sowohl einen hohen finanziellen wie auch qualitativen (z.b. Image, Reputation) Schaden erleiden. Neben den legalen Methoden greifen Unternehmen und Staaten, unter Druck des wirtschaftlichen Wettbewerbes, immer öfter auch zu unlauteren Methoden der Informationsbeschaffung. Die Angriffsmöglichkeiten und somit die Bedrohungen, die sich im Rahmen des Methodenspektrums der Wirtschafts- und Industriespionage ergeben, sind äußerst vielfältig. Sie können ein Unternehmen von weit außerhalb, beispielsweise von einem anderen Kontinent über das Internet, Satellit oder die Telekommunikationsleitungen treffen. Schwachstellen ergeben sich aber auch durch die eigenen MitarbeiterInnen und die Geschäftstätigkeit, also den Verkaufs- und Erfolgsdruck an sich. Zugleich gibt es in Österreich, insbesondere im Bereich der Wirtschaft, wenig bekannte Informationen und oftmals wenig ausgeprägte Sensibilität hinsichtlich des Umgangs mit den Herausforderungen und Bedrohungen im Bereich Wirtschafts- und Industriespionage untersuchte der Fachbereich Risiko- und Sicherheitsmanagement, im Auftrag des Bundesministeriums für Inneres/Bundesamt für Verfassungsschutz und Terrorismusbekämpfung und mit Unterstützung der Wirtschaftskammer Österreich sowie der Industriellenvereinigung, die unmittelbare Betroffenheit österreichischer Unternehmen durch Wirtschafts- und Industriespionage. Mit erstaunlichen Ergebnissen. Beinahe jedes Dritte (31%) der befragten österreichischen Unternehmen war in der Vergangenheit bereits mindestens einmal Opfer von Wirtschafts- und Industriespionage. Die Rückläufe ließen einen besonders starken Trend von Wirtschafts- und Industriespionage in den Sparten Gewerbe und Handwerk sowie Industrie erkennen. In diesen ereigneten sich insgesamt mehr als 50% der verzeichneten Vorfälle. Der monetäre Schaden in solchen Fällen reicht von kleiner als EUR bis hin zu mehreren Hunderttausend Euro und überschreitet in einigen Fällen sogar die 1,5 Mio. EUR Grenze. Für die österreichische Wirtschaft entsteht dadurch ein hochgerechneter Schaden von ca. 880 Mio. EUR jährlich. Dies ist jedoch nur die sichtbare Spitze des Eisberges. Da viele Unternehmen nie Kenntnis darüber erlangen, Opfer von Wirtschafts- und Industriespionage geworden zu sein bzw. das genaue Abschätzen des Schadensumfanges nur sehr schwer durchführbar ist, liegt die Dunkelziffer mit Sicherheit um ein Vielfaches höher. ExpertenInnen schätzen den jährlichen Schaden sogar auf 2 bis 3 Milliarden EUR. Aus Sicht der befragten Unternehmen ist es vor allem die in- und ausländische Konkurrenz, die am kritischen Unternehmens-Know-How Interesse hat. Nachrichtendienste werden als Bedrohung nur sehr eingeschränkt wahrgenommen. Ob dies nun der Realität entspricht, oder mit ihrer professionellen Arbeitsweise und der verzögerten Auswirkung von Wirtschaftsspionage zusammenhängt, lässt sich nur schwer darstellen. 8

16 Erschreckend ist jedoch, dass in 48% aller Vorfälle von Wirtschafts- und Industriespionage abgewanderte MitarbeiterInnen die Ursache für den Wissensabfluss darstellen. Hierunter fallen neben Personen, die aus mangelndem Unrechtsbewusstsein heraus handeln und bewusst abgeworbenen SchlüsselmitarbeiterInnen auch frustrierte ehemalige ArbeitnehmerInnen, die offensiv den alten Arbeitgeber oder die Arbeitgeberin schädigen möchten. In 8% aller Vorfälle waren sogar aktive MitarbeiterInnen am Geheimnisverrat beteiligt. Gesetzliche Bestimmung, Geheimhaltungsvereinbarung und Wettbewerbsklauseln, die von rund 85% aller Unternehmen als Absicherungsmaßnahme getroffen werden, führen scheinbar nicht zum erhofften Schutzniveau. Auf die Frage, wer für den Abfluss sensibler Unternehmensinformationen im Ereignisfall verantwortlich war, antworteten die befragten Unternehmen wie folgt. Abfluss sensibler Unternehmensinformationen im Ereignisfall ausl. Nachrichtendienste Lieferanten aktive MitarbeiterInnen 2% 9% 9% ausl. Konkurrenz untreue Partner 20% 22% inkl. Konkurrenz 29% ehemalige MitarbeiterInnen 48% 0% 20% 40% 60% Informationen sind immaterielle Güter, die das Fortbestehen unserer Unternehmen und somit in weiterer Folge unserer gesamten Wirtschaft überhaupt erst ermöglichen. Der Schaden, den Organisationen bei Verlust erleiden wird in vielen Fällen zur Existenzbedrohung. Wettbewerbsvorteile die einmal verloren gegangen sind, sind oft nicht mehr wiederherzustellen. Der Schutz der sensiblen Unternehmensinformationen muss somit die Basis aller unserer wirtschaftlichen Bemühungen sein. Absolute Sicherheit ist jedoch eine Illusion. Egal wie viel in die Absicherung seitens der Organisation investiert wird, es werden immer Unsicherheiten und Restrisiken bestehen bleiben. Vielmehr gilt es die für das Fortbestehen notwendigen materiellen und immateriellen Ressourcen sowie deren vorhandenen Bedrohungen zu identifizieren und diesen Bedrohungen in angemessenem Maße zu begegnen. 9

17 10

18 Teil A Allgemeines 11

19 1. Das Handbuch 1.1. Projekt WIS 2010 Im Herbst 2009 entstand in Zusammenarbeit zwischen dem Bundesamt für Verfassungsschutz und Terrorismus be kämpfung sowie dem Fachbereich Risiko- und Sicherheitsmanage ment an der FH Campus Wien die Idee zum Projekt Wirtschafts- und Industriespionage. Ziel war es, das Be drohungspotential ausgehend von Wirtschafts- und Industriespionage, ein hochgerechnetes jährliches Schadenspotential für die österreichische Wirtschaft sowie die diesbezügliche Sensibilisierung österreichischer Unternehmen im Rahmen einer Studie darzustellen. Bis dato wurde im österreichischen Wirtschaftsraum versucht mittels ExpertInneneinschätzungen die Bedrohungen von Wirtschafts- und Industriespionage zu umreißen, da Studien zu dieser Thematik leider nur im Ausland existierten. Mit der Präsentation der Studienergebnisse am 18. November 2010 konnte erstmals statistisches Datenmaterial für die österreichische Wirtschaft bereitgestellt werden. Im Sinne der Problembegegnung war es weiters Ziel des Projektes, den BedarfsträgerInnen zielgerichtete Informationen und Handlungsempfehlungen zur Verfügung zu stellen. Das Projekt wurde im Zeitrahmen von September 2009 bis Mai 2011 durch den Studiengang Integriertes Sicherheitsmanage ment der FH Campus Wien unter ständiger fachlicher Anleitung der ExpertInnen des Projektauftraggebers sowie der Unterstützung der Partner Wirtschaftskammer Österreich und Industriellenvereinigung durchgeführt. Der Projekt umfang betrug am Ende weit mehr als 3000 Personenarbeitsstunden. Die Studie Wirtschafts- und Industriespionage 2010, zwei wissenschaftliche Arbeiten zur Thematik, eine E-Learning Plattform sowie das vorliegende Handbuch bilden die zentralen Ergebnisse des ersten wissenschaftlichen Ansatzes, der der österreichischen Wirtschaft gezielte Hilfestellungen zum Schutze ihrer sensiblen Unternehmensinformationen vor Wirtschafts- und Industriespionage zur Verfügung stellt Inhalt des Handbuches Im Rahmen der Studie Wirtschafts- und Industriespionage konnte dargelegt werden, dass österreichische Unternehmen die Thematik vorwiegend als Problem der IT verstehen. Hier hatten dreiviertel der befragten Unternehmen sowohl die Verantwortlichkeiten geklärt als auch entsprechende Sicherheitskonzepte umgesetzt. Ein Absicherungskonzept, das jedoch nur Teilaspekte der Thematik betrachtet, ist auf seine Wirksamkeit hin nur bedingt als tauglich einzustufen. Ein ausschließliches Absichern der IKT-Struktur eines Unternehmens ohne die Betrachtung weiterer Aspekte der Informationssicherheit, wie z.b. das Gefahrenpotential im Umgang mit fremden Personen am Firmengelände und der mangelnden Absicherung verschiedener hochsensibler Bereiche, würde dem Gefahrenpotential nur unzulänglich begegnen. Mit dem vorliegenden Handbuch möchten die Projektpartner den Führungskräften und den Sicherheitsverantwortlichen ein praktisches Hilfsmittel zur Unterstützung bei der Einführung, Umsetzung sowie der ständigen Kontrolle und Verbesserung eines ganzheitlichen Informationsschutzprozesses zur Verfügung stellen. Das Handbuch beschreibt einen detaillierten Prozess anhand dessen die verschiedenen spezifischen Bedrohungen für die jeweilige Organisation identifiziert, analysiert, bewertet und bewältigt werden können. Aufgrund der erkannten Bedrohungen und der geringen Sensibilisierung richtet sich das vorliegende Handbuch vor allem an die Strukturen und Prozesse von kleinen und mittleren Unternehmen (KMUs). Die Grundsätze sind jedoch auf sämtliche Organisationen jeglicher Größenordnung sinngemäß umleg- und anwendbar. Der Begriff Unternehmen wird im Rahmen des Handbuches synonym verwendet und ist für alle Organisationsformen zu verstehen. Kapitel eins beschäftigt sich grundlegend mit dem Handbuch und beschreibt dessen Zustandekommen sowie dessen in halt lichen Aufbau. Das zweite Kapitel beschäftigt sich mit einer kurzen grundsätzlichen Begriffsbestimmung und einer allgemeinen theoretischen Betrachtung von Wirtschafts- und Industriespionage. Es werden die verschiedenen AkteurInnen kurz dargestellt sowie die Begriffe abgegrenzt, um ein einheitliches Verständnis für das Fachgebiet zu schaffen. Kapitel drei beschäftigt sich mit dem vorgestellten Prozess zum Schutz vor Bedrohungen ausgehend von Wirtschaftsund Industriespionage. Es wird zuerst der Gesamtprozess im Überblick vorgestellt und in weiterer Folge jeder Schritt detailliert erläutert. Aufbauend auf die Analysephasen des Informationsschutzprozesses werden im Kapitel vier Handlungsempfehlungen vorgestellt. Anhand für jedes Unternehmen umsetzbarer Basisschutzempfehlungen wird gezeigt, wie man bereits mit einfachen Maßnahmen wirksamen Schutz gegen ungewollten Informationsabfluss im Unternehmen erreichen kann. Im Kapitel fünf findet sich ein ausgearbeitetes Praxisbeispiel. Anhand einer Musterfirma wird der gesamte Prozess noch- 12

20 mals durchlaufen und die einzelnen Schritte besprochen. Dies soll vor allem zur Verständlichkeit beitragen und dem Grundsatz der Einfachheit und Anwendbarkeit Rechnung tragen. Kapitel sechs gibt Handlungsempfehlungen, falls in einem Unternehmen Verdachtsmomente auf den Abfluss von schützenswerten Know-How auftauchen. Darüber hinaus finden Sie hier noch Kontaktadressen der zuständigen Stellen im Bundesministerium für Inneres. Zur Vertiefung der Fachkenntnisse wird im Kapitel sieben weiterführende Literatur empfohlen. Im Anhang findet sich ein Glossar, das die Begriffe wie sie hier verwendet werden zum einheitlichen Verständnis erläutert. Des Weiteren befinden sich darin Checklisten als Hilfe zur Selbstbeurteilung bereits eingeführter Absicherungskonzepte gegen Wirtschafts- und Industriespionage Gestaltung Das Handbuch wurde als Leitlinie konzipiert, sodass man grundsätzlich den Schritten leicht folgen kann. Ziel war es ein einfach zu verstehendes und umsetzbares Hilfsmittel für die Praxis zu schaffen. Aus diesem Grund wurden einzelne Schritte nicht bis ins Detail ausgeführt. Je nach Anwendungsgebiet und Bedarf können einzelne Module hinzugefügt bzw. weiter vertieft abgearbeitet werden. Das Handbuch soll neben der Sensibilisierung für die Thema tik und der Einführung eines Prozesses zum Schutz vor ungewolltem Informationsabfluss, als Hilfe zur Selbstbeurteilung dienen. Anhand der verschiedenen Checklisten kann das bereits eingeführte Informations sicherheitskonzept auf Vollständigkeit überprüft werden Positionierung Das vorliegende Handbuch versteht sich als ergänzende Leitlinie zu bereits vorhandenen anderen Werken wie z.b. dem Österreichischen Informationssicherheitshandbuch des BKA oder dem deutschen Handbuch für Geheimschutz in der Wirtschaft sowie bestehenden Rechtsvorschriften wie z.b. dem Datenschutz- bzw. dem Informationssicher heitsgesetz. Das vorliegende Werk setzt die relevanten Vorschriften und Regelungen weder außer Kraft noch steht es in Widerspruch zu diesen. Das Österreichische Informationssicherheitshandbuch stellt einen sehr umfassenden Ansatz im Bereich Informationssicherheit dar. Aufgrund seines Ursprunges als IT-Sicherheitshandbuch ist die Ausrichtung jedoch sehr IT-lastig. Hier möchte sich das vorliegende Handbuch abgrenzen bzw. das Österreichische Informationssicherheitshandbuch ergänzen Abgrenzung Es ist nicht Ziel dieses Handbuches die theoretischen Aspekte der Wirtschafts- und Industriespionage, weiter als zum Verständnis der Thematik nötig, zu beleuchten. Im Bezug auf Hintergrundinformationen über AkteurInnen, internationale Beziehungen, Methoden von AngreiferInnen usw. wird auf die vorhandene Fachliteratur verwiesen. Das Ziel des Informationssicherheitsmanagements nach ISO 27000ff ist es die Integrität 1, die Verfügbarkeit 2 und die Vertraulichkeit 3 sicherzustellen. Das Handbuch ist als Leitlinie zum Schutz vor ungewollten Informationsabfluss durch Wirtschafts- und Industriespionage ausgerichtet. Daher wird im Vordergrund das Ziel der Vertraulichkeit betrachtet und die weiteren Zielaspekte des Informationssicherheitsmanagements hintangestellt. Aufgrund der Ausrichtung des Handbuches an KMUs mit dem Ziel die Führungskräfte sowie die Sicherheitsverantwortlichen zu erreichen, ist das vorliegende Werk so gestaltet, dass der Prozess auch von diesen umsetzbar ist. Der Bereich der IT-Sicherheit wird nur im notwendigen Maße bearbeitet, wie diese für das allgemeine Verständnis erforderlich ist. Die Darstellung bzw. die Konzipierung eines vollständigen IT-Sicherheitskonzeptes lässt sich in Form dieser Leitlinie nicht abbilden. Hier möchten die VerfasserInnen klar auf das Beiziehen entsprechender Fachkompetenz hinweisen. Weiters werden die Grundsätze der Gebäudesicherheit ebenfalls nur bis zum Grad des allgemeinen Verständnisses dargestellt. Für die Implementierung eines Objektsicherheits konzeptes ist ebenfalls auf entsprechende Fachkompetenz zu verweisen Bearbeitungsgrundlagen Sicherheit kann nur im Zusammenspiel aller Bereiche und durch Integration in die bestehenden Prozesse einer Organisation erfolgreich sein. Aus diesem Grund wurde 1 Informationen dürfen nur von Personen verändert werden, die auch die Berechtigung dafür besitzen. 2 Informationen müssen für die berechtigten Per-sonen und Prozesse verfügbar sein, wenn diese benötigt werden. 3 Informationen dürfen nur Personen zugänglich sein, die dafür auch die Berechtigung besitzen. 13

21 darauf geachtet, bereits bestehende und gängige Methodologien für die Absicherung einer Organisation gegen Wirtschafts- und Industriespionage zu nutzen. Bei der Identifizierung und Bewertung der Risiken stützt man sich im Wesentlichen auf die Grundsätze der ONR :2010, da sie die wesentlichen Aspekte des Risikomanagements methodisch zusammenfassen und auch einen Leitfaden zum Aufbau der Studie darstellte. Für die weitere Konzeption des Informationsschutzprozesses wurde sich weitgehend an die Vorgaben der ÖNORM S 2403:2009 Cor por ate Security Management gehalten. Weiters wurden als Basisliteratur für die Prozessanalyse der Unternehmen sowie die Erarbeitung der einzelnen Prozessschritte folgende Regelwerke, Normen und Richtlinien berücksichtigt: n ONR 49000:2010ff Risikomanagement für Organisationen und Systeme: Die ONR 49000:2010 zeigt auf, wie das Risikomanagement wirksam betrieben, aufrechterhalten, laufend verbessert und in andere Managementsysteme eingebettet werden kann. Risikomanagement hat in Organisationen die Verbesserung der Zielerreichung und in Systemen die Erhöhung der Sicherheit zum Ziel. Allgemein dient es zur Verminderung der Unsicherheit von Entscheidungen. n ÖNORM S 2400:2009ff Business Continuity und Corporate Security Management: Die ÖNORM S 2400:2009 befasst sich mit Business Continuity and Corporate Security Management in Organisationen bzw. Systemen. Die ÖNORM definiert die Anforderungen an Unternehmen sowohl im Umgang mit Natur- und technischen Gefahren, als auch mit den hier zutreffenden intentionalen Gefahren. Dies sind per Definition potenzielle kriminelle oder bösartige Handlungen, die von Menschen bewusst gesetzt werden. Die ÖNORM kann in Unternehmen eigenständig eingeführt werden, eignet sich aber auch zur Implementierung in andere Managementsysteme. n ISO/IEC 27001:2005 Informationstechnologie Sicherheitstechnik, Informationssicherheit Managementsysteme Anforderungen: Die Norm ISO 27001:2005 befasst sich mit der Sicherheit von Informationen. Der Anwendungsbereich der Norm ist, basierend auf den klassischen Grundwerten der IT-Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit, den Datenschutz von Informationen zu garantieren. Die Norm beschäftigt sich vordergründig mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung (Datenschutz/ Datensicherheit). Sie kann in Unternehmen eigenständig zur Anwendung kommen, eignet sich aber auch zur Eingliederung in andere Managementsysteme. 14

22 2. Begriffsklärung Für den weiteren Verlauf des Handbuches ist es dienlich die einzelnen Begriffe voneinander abzugrenzen. Dies zeichnet sich jedoch aufgrund verschiedenster Definitionen in der Literatur, oft nicht zurechenbaren AkteurInnen und deren unüberblickbarer Methodenvielfalt als äußerst schwierig. Der hier angeführte Versuch einer einheitlichen Begriffsführung stellt einen Teil der Ergebnisse der wissenschaftlichen Arbeiten des Projektes dar. Im Sinne der Zuständigkeit des Projektauftraggebers, dem Bundesamt für Verfassungsschutz und Terrorismusbekämpfung wird Spionage allgemein definiert als die Auskundschaftung von Geheimnissen durch nachrichtendienstlich gesteuerte Personen oder Gruppen, sowie die Auskundschaftung von Betriebsgeheimnissen zu Gunsten des Auslandes (vgl..bvt Broschüre Wirtschafts spionage) Competitive Intelligence Die Definition von Competitive Intelligence (CI) ist trotz der systematischen Aufarbeitung des Themas sehr umstritten. Der Begriff Business Intelligence wird oft synonym für CI verwendet, von manchen AutorInnen jedoch auch zur Abgrenzung verschiedener Methoden und Tatbestände verwendet. Allgemein wird Competitive Intelligence als legales Tool der Marktforschung verstanden (vgl. Lux/Peske 2002, S.17f). Die Society of Competitive Intelligence Professionals (SCIP), ein weltweite Organisation von Competitive Intelligence SpezialistInnen, definiert CI wie folgt: Competitive Intelligence (CI) is the process of monitoring the competitive environment. CI enables senior managers to take informed decisions about everything from marketing, R&D, and investing tactics to long-term business strategies. Effective CI is a continuous process involving the legal and ethical collection of information analysis Es handelt sich hier also um die zielgerichtete Sammlung, Auswertung und Aufbereitung sämtlicher relevanter Informationen aus offen zugänglichen Quellen um Unsicherheiten in Entscheidungen zu vermeiden. Die Society of Competitive Intelligence schreibt in ihrem Code of Ethics: To comply with all applicable laws, domestic and international. Im Bereich der FachexpertInnen wird Competitive Intelligence auch verstanden, als die legale Kunst zu wissen, was mein Mitbewerber macht. Genau dort, wo Competitive Intelligence endet, nämlich bei der Grenze zur Illegalität, beginnt Wirtschafts- und Industriespionage Wirtschaftsspionage Nach wissenschaftlicher Betrachtung der vielen verschiedenen Interpretationen und Definitionen für Wirt schaftsspionage kann festgestellt werden, dass diese grundsätzlich durch vier Faktoren bestimmt ist: n Beschaffung wirtschaftlich relevanter, nicht offen zugänglicher Informationen n Staatliche Lenkung n Involvierung nachrichtendienstlicher Organisationen und Methoden n Illegalität (zumindest nach rechtlicher Auffassung des geschädigten Staates) Wirtschaftsspionage ist die von ausländischen, staatlich gelenkten Nachrichtendiensten gezielte Ausforschung von Wirtschaftunternehmen und Betrieben zur Stärkung der eigenen Wirtschaft. Geht s der Wirtschaft gut, geht s uns allen gut. heißt es in der Kampagne der Wirtschaftskammer Österreich, die den Nutzen der Wirtschaftskraft des gesamten Staates für die einzelnen BürgerInnen verdeutlichen möchte. Aus ähnlichen Motiven handeln verschiedene nachrichtendienstliche Organisationen. Es wird langfristig versucht, im Ausland Erkenntnisse zu sammeln und diese über Kontakte oder dafür eingerichtete Plattformen gezielt an BedarfsträgerInnen im jeweiligen Heimatland weiterzugeben. Im Gegenzug unterstützt die Wirtschaft die Finanzierung der Nachrichtendienste. Hieraus ergibt sich ein Beziehungsdreieck aus Staat, Wirtschaft und Nachrichtendienst, welches je nach Kulturkreis und staatlicher Struktur eine unterschiedlich starke Ausprägung findet. Aus rechtlicher Sicht ist Wirtschaftsspionage in Österreich ein Offizialdelikt, d.h. die Staatsanwaltschaft wird von sich aus tätig. Sie fällt im Strafgesetzbuch unter den 256 Geheimer Nachrichtendienst zum Nachteil Österreichs und den 319 Militärischer Nachrichtendienst für einen fremden Staat. 15

23 2.3. Industriespionage Für Industriespionage werden viele Begriffe wie z.b. Konkurrenzausspähung, Konkurrenzausforschung oder Werksspionage synonym verwendet. Methoden und Ausspähungsziele sind in vielen Fällen gleich deren der Wirtschaftsspionage bzw. zum Teil natürlich auch der Competitive Intelligence. Bei Industriespionage erscheint die TäterInnenkomponente als wichtiges Unterscheidungsmerkmal zur Wirtschafts spionage. Die MitbewerberInnen stehen hinter den Aktivi täten. Industriespionage ist die Konkurrenzforschung bei der die Grenze der legal erlaubten Methoden überschritten wird. Ziel ist der Erwerb von Informationen die geeignet sind, die eigene Marktposition zu stärken oder Wett be werbsvorteile anderer Unternehmen zu egalisieren. Industriespionage wird von MitbewerberInnen durchgeführt. Aus rechtlicher Sicht ist Industriespionage ein Privat anklagedelikt. Es wird seitens der Staatsanwaltschaft nur dann Anklage erhoben, wenn das geschädigte Unternehmen dies wünscht, also Privatanklage erhebt. Die Tatbestände der Industriespionage finden sich im österreichischen Recht zum einem im Strafgesetzbuch 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses, 123 Auskundschaftung eines Geschäfts- oder Betriebs geheimnisses und 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands wieder. Zum anderen finden sich Tatbestände auch im Bundesgesetz gegen unlauteren Wettbewerb 11 Verletzung von Geschäftsoder Betriebsgeheimnissen - Missbrauch anvertrauter Vorlagen. Abbildung 1 stellt die verschiedenen Aspekte der Wirtschafts- und Industriespionage zum direkten Vergleich gegenüber. Unterscheidungsmerkmal Wirtschaftsspionage Industriespionage Herkunft des Angreifers staatlich gelenkte Nachrichtendienste Konkurrenzunternehmen Ziel des Angriffs Angriff erfolgt aufgrund nationalökonomischer Interessen gegen Wirtschafts- und Wissenschaftsunternehmen oder Industriebereiche anderer Länder und ist meist auf über einzelne Unternehmen hinausgehende Interessensgebiete gerichtet Betriebs- und Geschäftsgeheimnisse zur Stärkung der Konkurrenzfähigkeit Zeitliche Ausrichtung des Angriffs Modus Operandi ist oft auf langfristige Perspektiven (bis zu 20 Jahre) angelegt und darauf ausgerichtet, wirtschaftliche oder wissenschaftliche Defizite auf breiter Basis auszugleichen langfristig angelegte, professionelle Durchführung; Einsatz von nachrichtendienstlichen Mittel; verdecktes Nutzen von MitarbeiterInnen konzentriert sich meist auf zeitlich absehbare wirtschaftliche Vorteile zeitlich absehbar, Einsatz von z.b. PrivatdetektivInnen, WissenshändlerInnen, OK usw.; Abwerben von MitarbeiterInnen Folgen/Geschädigte Aufwand des Einsatzes 2.4. Zusammenfassung mittelbarer volkswirtschaftlicher Schaden, Schadenshöhe nur schwer abschätzbar der betriebene Aufwand kann weit höher sein als dies rational erklärbar ist unmittelbarer wirtschaftlicher Schaden für Einzelunternehmen der betriebene Aufwand steht meist in einem materiellen Verhältnis zu dem angestrebten Ziel Abbildung 1: Begriffsabgrenzung Der Übergang von der Industrie- zur Wirtschaftsspionage ist fließend. Die Methoden sind ähnlich, bzw. über weite Strecken deckungsgleich und die UrheberInnen oft nicht zu erkennen. Die Frage nach dem/der UrheberIn hat zwar rechtliche Auswirkungen auf Zuständigkeit und Strafverfolgung, ist für die Unternehmen in der Praxis aber sekundär, vor allem auch, weil in vielen Fällen entschieden wird, den Rechtsweg gar nicht zu beschreiten. Von den im Zuge der Studie WIS 2010 befragten Unternehmen wandten sich nur 13% der Opfer von Wirtschafts- und Industriespionage an die zuständigen Behörden bzw. den Verfassungsschutz. In Summe geht es bei Wirtschafts- und Industriespionage um organisierte und getarnte Aktivitäten zur Beschaffung von Geheimnissen. Eine Information kann aber nur dann öffentlich nicht zugänglich sein, wenn das Unternehmen auch etwas unternimmt, diesen Status zu definieren und zu erhalten (vgl. Kehler 2010, S. 13f). 16

24 Teil B Der Informationsschutzprozess 17

25 3. Kompass zum sicheren Unternehmen Ziel der Prävention gegen Wirtschafts- und Industriespionage ist es, das Risiko des ungewollten Abfluss von kritischen Unternehmensinformationen auf ein für das Unternehmen akzeptables Restrisiko herabzusetzen. Absolute Sicherheit ist selbst durch Einsatz enormer Finanzmittel nicht zu erreichen. Betrachtet man nun die Fülle an Leitlinien und Checklisten, die auf verschiedensten Wegen zu beziehen sind, so findet man ausgesprochen viele verschiedene Herangehensweisen an das Bedrohungsspektrum und noch mehr Handlungsempfehlungen, wie man sich dagegen schützen könnte. Es ist nicht Ziel dieses Prozesses Standardempfehlungen dar zustellen, diese finden sich zur Ergänzung in einem eigenen Kapitel. Ziel dieses Prozesses ist es, ihnen einfache Schritte aufzuzeigen, wie sie an diese äußerst komplexe Thematik herantreten und ihr in weiterer Folge entsprechend begegnen können. Nach Lux/Peske (2002) ist für alle Informationssicherheitsmanagementkonzepte der analytische, prozessuale Aufbau charakteristisch. Ein mehrstufiger Prozess wird in regelmäßigen Abständen durchlaufen, um auf verschiedenste Veränderungen in der Umwelt des Unternehmens reagieren zu können. Im ersten Schritt werden die zu schützenden kritischen Informationen identifiziert. Darauf aufbauend werden potentielle AngreiferInnen 4 und deren Möglichkeiten ermittelt und die realen Schwachstellen und aktuellen Gefahrenpotentiale analysiert. Ausschließlich die Schnittmenge der drei Einzelkomponenten stellt das aktuelle Risiko dar. Ein angestrebtes Sicherheitsniveau macht nur dann Sinn, wenn es auch wirtschaftlich begründbar und vertretbar ist. Ein wahlloses Investieren in verschiedenste Absicherungsmöglichkeiten, ohne jeglichen Zusammenhang mit dem im Kontext stehenden Unternehmen und den damit einhergehenden spezifischen Bedrohungen, würde diesem Grundsatz mit Sicherheit widersprechen. Bedrohungen sind für jedes Unternehmen spezifisch. Ein Grund stock an Basisschutzmaßnahmen ist grundsätzlich überall zu empfehlen, eine entsprechend wirksame Absicherung ist jedoch nur nach Durchführung entsprechender Analysen und der Gestaltung eines spezifischen Informationsschutzkonzeptes umsetzbar. Schwachstellen Kritische Informationen RISIKO Angreifer Wie bereits eingangs erwähnt, ist es Ziel dieses Handbuches, den Sicherheits verant wortlichen und Führungskräften ein praktisches Hilfsmittel zu bieten. Anhand des nachstehenden Prozesses sollte es ihnen möglich sein, ihr eigenes Unternehmen zu analysieren, die kritischen Unternehmensinformationen zu identifizieren und hinsichtlich ihrer Wichtigkeit zu bewerten. Es sollte ihnen möglich, sein verschiedene potentielle AngreiferInnen zu erheben und deren Möglichkeiten ihren Schwachstellen gegenüber zu stellen. Darauf aufbauend ist es ihnen möglich, ein speziell für ihr Unternehmen ausgerichtetes Informationssicherheits kon zept zu erstellen und dieses umzusetzen, um so das Risiko ungewollt Opfer von Wirtschafts- und Industriespionage zu werden, auf ein akzeptables Niveau zu verringern. Abbildung 2: Darstellung des Risikos in Anlehnung an Pattakos 1997, S. 76 Um ein bestangepasstes Informationssicherheitskonzept zu erstellen, muss das Unternehmen, mit seinen spezifischen Gegebenheiten in seinem Kontext betrachtet und darauf aufbauend, durch wirtschaftlich vertretbare Maßnahmen ein akzeptables Sicherheitsniveau erreicht werden. In weiteren Verlauf dieses Kapitels wird zuerst der Ge samtprozess schematisch dargestellt. Danach werden die einzelnen Prozessschritte detailliert im Hinblick auf Inhalt, Zweck und Durchführung erläutert. Im Kapitel fünf finden Sie ein ausgearbeitetes Musterbeispiel analog dem hier vorgestellten Informationsschutzprozesses. Dieses soll vor allem zur Verständlichkeit beitragen. 4 AngreiferInnen wird hier synonym verwendet für alle realen und potenziellen AngreiferInnen bzw. allgemeine Bedrohungen 18

26 3.1. Gesamtprozess Das Ziel der Abwehr von Wirtschafts- und Industriespionage ist es, den ungewollten Informationsabfluss zu verhindern und somit das langfristige Überleben der Organisation zu ermöglichen. Da sich nur ein sehr geringer Anteil der österreichischen Unternehmen in der Geheimschutzbetreuung der zuständigen Behörden des BM.I und BMLVS befindet, ist der Großteil für den Know-How-Schutz selbst verantwortlich. Der hier vorgestellte Prozess lehnt sich stark an die Methologie in der ÖNORM S 2403:2009 Corporate Security Management an. Corporate Security beschreibt die Sicher heitsaufgaben von Organisationen und Systemen gegen intentionale Gefahren. Dies sind nach Definition der ÖNORM S 2401:2009 potenziell kriminelle oder bösartige Handlungen, die von Personen bewusst gesetzt werden. Diese Handlungen können sowohl von Einzelpersonen als auch TäterInnengruppen begangen werden, die sich innerhalb oder außerhalb der Organisation befinden. Eine Mischform, z.b. das Beliefern eines ausländischen Nach richtendienstes mit sensiblen Unternehmensdaten durch einen Mitarbeiter oder eine Mitarbeiterin, ist ebenso möglich. Der angemessene Umgang mit Risiken ist, neben der Er reichung der geschäftlichen wie unternehmerischen Zielsetzungen, Verantwortung der Führungsebene. Ihre Verant wortung ist es, Systeme in ihrem Unternehmen einzuführen und aufrecht zu erhalten, die den spezifischen Bedrohungen des Unternehmens begegnen. Ziel der Unternehmensführung muss es sein, ein bestmöglich angepasstes, wirtschaftlich vertretbares und flexibles Informationsschutzkonzept zu erarbeiten und umzusetzen. Nur das Abstützen auf starre Checklistensysteme, Geheimschutzhandbücher und einfache Verhaltensregeln, würde langfristig nicht zum gewünschten Erfolg führen. Aufgrund der Schwierigkeiten in der Unterscheidung der beiden Bedrohungsgruppen, Wirtschafts- und Industrie spiona ge, durch Unternehmen sowie den unzureichend zuordenbaren AkteurInnen und der ähnlichen Methodik, unterscheidet der Prozess in der Analysephase nicht mehr zwischen den beiden Gruppen. Abbildung 3 zeigt die einzelnen Prozessschritte, die im weiteren Verlauf dieses Kapitels näher erläutert werden. Corporate Security Policy sensible Informationen identifizieren Identifikation der Bedrohungen Bedrohungs-, Verwundbarkeits- und Auswirkungsminimierung Strategieentwicklung Security Analyse- Phasen Entscheidung Umsetzung Kontinuierliche Verbesserung und Auditierung Abbildung 3: Gesamtprozess in Anlehnung an ÖNORM S 2403:

27 3.2. Corporate Security Policy Die Corporate Security Policy ist ein Grundsatzdokument, das am Anfang des Prozesses erstellt wird und das die Richtung für die weitere Bearbeitung vorgibt. Es beschreibt die Werte, Prinzipien und den erstrebten Sicherheitsanspruch einer Organisation. Die Verantwortung für die Erstellung und Umsetzung der Corporate Security Policy unterliegt der obersten Leitung des Unternehmens. Im Rahmen der Er stellung sind zumindest folgende Grundsätze zu beachten: 1. Oberste Priorität hat der Schutz von Leben und Gesundheit von Menschen 2. Schutz der menschlichen Würde unter allen Umständen 3. Einhaltung der nationalen und internationalen Rechtsnormen sowie den allgemeinen Prinzipien der Deklaration der Menschenrechte (vgl. ÖNORM S 2401:2009, Punkt 7, S. 10) Der Ablauf für die Erstellung der Corporate Security Policy gliedert sich in folgende 3 Abschnitte: n Einführung mit der Festlegung der Voraussetzungen und Ressourcen. n Definition der Werte der Organisation mit der Analyse der Organisation, den niedergeschriebenen und gelebten Werten und den Geschäftszielen unter der Berücksichtigung von internen und externen Einflussfaktoren. n Erstellung der Corporate Security Policy basierend auf den Analysen erfolgt die Entwicklung und Ausarbeitung von Security-spezifischen Werten, die hierbei zusammengefasst und in der Policy verankert werden müssen. Der Umfang der Corporate Security Policy kann je nach Unternehmen sehr unterschiedlich sein. Je nach Anforderung an das Dokument, von einem allgemeinen Statement wie das Unternehmen zum Bereich Sicherheit steht, bis hin zur detaillierten Leitlinie für den gesamten Arbeitsablauf in diesem Bereich, kann eine Corporate Security Policy entweder nur ein kurzer Absatz sein oder mehrere Seiten umfassen Sensible Unternehmensinformationen Im nächsten Schritt werden sämtliche sensiblen Unternehmens informationen identifiziert und diese nach ihrer Wichtigkeit bewertet. Ziel ist es, einen weitreichenden Über blick über die Informationsstruktur der Organisation zu erhalten. Hier empfiehlt es sich einen/mehrere Workshops mit den verschiedenen Unternehmensbereichen im Einzelnen abzuhalten und das in diesen Bereichen vorhandene sensible Unternehmenswissen zu erfassen. Ziel ist es, folgende Fragestellungen zu beantworten: n Welche Informationen sind überhaupt sensibel? Aus der Fülle an Informationen ist nur ein kleiner Teil wirklich als sensibel einzustufen n In welcher Form liegen diese Informationen vor? Papierform in einem Tresor, in einer Datenbank, etc. n Wo befinden sich diese im Unternehmen? In welchen Bereichen, wer hat intern als auch extern Zugang zu diesen Informationen n Wer braucht Zugang zu diesen Informationen? Wer benötigt für die Erfüllung seiner Arbeitsaufgaben tatsächlich diese sensiblen Informationen In einem weiteren Schritt ist es von großer Bedeutung die verschiedenen identifizierten Informationen nach ihrer Be - deutung unternehmensintern zu klassifizieren. Hierzu werden die einzelnen Informationen betrachtet und der zu erwartende Schaden bei Verlust beurteilt. Anhand folgender beispielhaften Leitfragen lässt sich eine erste Einteilung durchführen: n Was passiert, wenn diese Information an einen Konkurrenten verloren geht? n Welche Auswirkung hat dies auf den Wettbewerbsvorsprung? n Wie lange braucht mein Konkurrent um die Informationen gewinnbringend umzusetzen? n Wie lange wäre diese Information für mich noch von Bedeutung gewesen? n Könnte ich bei Verlust einen eventuellen Schaden mindern? Die unternehmensinterne Klassifizierung ist nicht zu verwechseln mit der behördlichen Klassifizierung nach be stimmten Richtlinien wie z.b. dem Informations sicherheitsgesetz. Diese wird ausschließlich durch die staatlichen Stellen im In- und Ausland durchgeführt. Im Rahmen der unternehmensinternen Klassifizierung bietet es sich jedoch an, sich an das System der Behörden anzulehnen. Die Wahl der einzelnen Bewertungsstufen und die damit verbundenen Sicherheitsrichtlinien unterliegen jedoch keinen allgemein gültigen Vorgaben. Diese müssen vom Unternehmen im eigenen Kontext erstellt werden. Um klare Zuweisung der Begriffe zum eigenen Unternehmen und dessen Standards zu erhalten, besteht die Möglichkeit die einzelnen Klassifizierungsstufen mit dem Firmenkürzel zu erweitern. Abbildung 4 erläutert eine mögliche unternehmensinterne Klassifizierung in Anlehnung an die behördlichen Bestimmungen. Als Schutzobjekt für die Betrachtung wird das Fortbestehen des Unternehmens herangezogen. Eine Unterteilung in drei Klassifizierungsstufen ist grundsätzlich 20