Schutz von Unternehmen vor Wirtschaftsspionage

Transkript

1 Schutz von Unternehmen vor Wirtschaftsspionage Sebastian Schips Florian Weller Roman Rohleder 2. Juli 2014 Inhaltsverzeichnis 1 Wirtschaftsspionage allgemein Definition und Abgrenzung Spionage Wirtschaftsspionage Industriespionage Wissenschaftsspionage Competitive Intelligence Produktpiraterie Aktuelle Lage Finanzieller Schaden Rechtliche Situation Berühmte Fälle der Vergangenheit Fall 1 - Enercon GmbH Fall 2 - Siemens AG Schutz vor Wirtschaftsspionage Patente und Lizenzierung Zutrittsschutz und Zutrittsregelungen Umgang mit Hardware Fremdgeräte im Netzwerk - BYOD Sichere Passwörter Unternehmensnetzwerke Push-Mail-Services Social Networks Awareness - der Mitarbeiter als Sicherheitsfaktor Cloud Computing Entsorgung von Altgeräten und Abfall Verhalten bei einem Sicherheitsvorfall Denial of Service Definition Motivation Politisch Finanziell Technik Syn-Flut Smurf

2 2.3.3 DNS Amplification Schutz Firewall Syn-Cookie Serverlastverteilung Externe Filterservices Competitive Intelligence Definition Historisches Ethik und Graubereich Motivation Der CI-Zyklus Datenerhebung im Rahmen des CI Primärrecherche - Observation Primärrecherche - HUMINT Sekundärrecherche - OSINT Schutz Fazit und Ausblick 27 5 Literaturverzeichnis 28 2

3 Einleitung Dieses Dokument behandelt die Gefahren der Wirtschaftsspionage und Möglichkeiten zum Schutz. Im ersten Kapitel dieses Dokuments wird das Thema Wirtschaftsspionage im Allgemeinen behandelt. Im zweiten Kapitel wird dann speziell die Angriffsart Denial of Service beleuchtet, welche in letzter Zeit vermehrt für Schlagzeilen gesorgt hat. Das dritte Kapitel befasst sich mit Competitive Intelligence. Abschließend wird noch ein Fazit gezogen und ein Blick in die Zukunft der Thematik gewagt. 1 Wirtschaftsspionage allgemein 1.1 Definition und Abgrenzung In diesem Abschnitt geht es darum, einige Begrifflichkeiten genau zu definieren. Damit soll klar gemacht werden, mit welcher Thematik sich diese Ausarbeitung auseinandersetzt. Eine messerscharfe Abgrenzung ist jedoch nicht immer möglich, in einigen Fällen verschwimmen die Grenzen zwischen den Begriffen auch etwas. Dies ist durch die unterschiedlichen nationalen Gesetzgebungen vor allem im internationalen Vergleich der Begrifflichkeiten der Fall Spionage Unter dem Begriff Spionage (lat.: spicari) wird das Beschaffen und Erlangen unbekannter Informationen sowie geschützten Wissens verstanden. Spionage ist der Oberbegriff, welcher sich in speziellere Unterbegriffe aufgliedern lässt. Diese sind im Folgenden beschrieben Wirtschaftsspionage Der Begriff Wirtschaftsspionage wird in der Literatur definiert als die staatlich gelenkte oder gestützte, von Nachrichtendiensten fremder Staaten ausgehende Ausforschung von Wirtschaftsunternehmen, Betrieben und Forschungseinrichtungen. [1] Die gewonnenen Erkenntnisse können später entweder zu staatlichen Zwecken verwendet werden oder an Wirtschaftsunternehmen im eigenen Land weitergeleitet werden um beispielsweise einen Know-How Vorsprung eines Konkurrenten aufholen zu können Industriespionage Die staatliche Lenkung ist auch der große Unterschied der Wirtschaftsspionage zur Industriespionage. Bei dieser wird ein Unternehmen direkt durch einen Konkurrenten beziehungsweise Wettbewerber ausgespäht und nicht durch einen Geheimdienst eines Staates. Dies kann auch eine Einzelperson sein. Einige Synonyme zum Begriff Industriespionage sind beispielsweise Konkurrenzausspähung, Betriebsspionage oder Konkurrenzspionage. 3

4 1.1.4 Wissenschaftsspionage Der Begriff Wissenschaftsspionage wird verwendet, wenn das Ziel der Angriffe Hochschulen beziehungsweise andere wissenschaftliche Einrichtungen sind Competitive Intelligence Dieser Thematik ist ein ganzes Kapitel gewidmet, siehe Kapitel 3.1 auf Seite Produktpiraterie Von den Begriffen abzugrenzen, aber in engem Zusammenhang, ist die sogenannte Produktpiraterie: das Geschäft mit nachgeahmten oder gefälschten Produkten (Plagiaten), die den Originalen zum Verwechseln ähnlich sehen, tatsächlich aber Kopien von geringerer Qualität sind. 1.2 Aktuelle Lage In diesem Kapitel soll etwas über die aktuelle Situation gesagt werden. Einer Studie aus dem Jahre 2012 zufolge wurden 21 Prozent der deutschen Unternehmen innerhalb von 3 Jahren durch mindestens einen konkreten Fall von Spionage geschädigt. Betrachtet man nur die forschungsstarken Unternehmen liegt dieser Prozentsatz sogar bei über 25. Dies alleine zeigt schon die Bedeutung von Wirtschafts- bzw. Industriespionage in der heutigen Unternehmenswelt. Am häufigsten von Spionageaktivitäten betroffen sind Technologiekonzerne, die vermehrt Aktivitäten im Bereich Forschung und Entwicklung ausführen. Außerdem sind solche Firmen interessant, die sogenannte Dual-Use-Güter herstellen, welche zum Einen einem friedlichen Zweck dienen aber auch für militärische Zwecke eingesetzt werden können. Es kommt jedoch auch vor, dass in den Bereichen Marketing und Vertrieb spioniert wird. Somit sind Unternehmen, die nicht direkt mit der Entwicklung neuer Technologien zu tun haben ebenso von Wirtschaftsspionage gefährdet. Im innovationsstarken Hochtechnologieland Deutschland und vor allem auch in der Innovationsregion Ostwürttemberg gibt es genügend Unternehmen, die interessante Ziele für Wirtschaftsspione sein könnten. Auch durch den Umstand, dass Mittelständler noch häufiger als Großkonzerne attackiert werden, ergibt sich für die Region Ostwürttemberg eine besondere Gefährung. [2] Finanzieller Schaden Laut des ehemaligen Bundesinnenministers Hans-Peter Friedrich beträgt der durch Wirtschaftsspionage in Deutschland verursachte Schaden jährlich etwa 50 Milliarden Euro. Den tatsächlichen Betrag wird man nie herausfinden können, da zum Einen nur ein Bruchteil der Fälle von Wirtschaftsspionage aufgedeckt wird und zum Anderen oftmals der Mantel des Schweigens darüber ausgebreitet wird, wenn ein Fall von Spionage im Unternehmen vorgefallen ist, um das Image des Unternehmens nicht zu beschädigen. Einer Statistik zufolge werden sogar nur 3 von 100 Fällen den Behörden gemeldet. Deshalb ist auch gut möglich, dass der Schaden noch größer ist als die vom Bundesinnenministerium angegebenen 50 Milliarden Euro. 4

5 Außerdem darf man nicht vergessen, dass durch Wirtschaftsspionage indirekt auch Arbeitsplätze verloren gehen. Laut dem Baden-Württembergischen Verfassungsschutzexperten Walter Opfermann gehen den deutschen Unternehmen jährlich bis zu Jobs durch Wirtschafts- und Industriespionage verloren. [3] Aufgrunddessen sollte man diesem Thema größere Aufmerksamkeit als bisher schenken und auch die Ausgaben zum Schutz vor Wirtschaftsspionage entsprechend anpassen Rechtliche Situation Im Allgemeinen stehen Wirtschaftsspionagetätigkeiten in Deutschland unter Strafe und werden rechtlich verfolgt. Zuständiges Bundesamt ist das Bundesamt für Verfassungsschutz. Bei der Industriespionage oder Konkurrenzausspähung sind die entsprechenden Paragrafen im Gesetz gegen den unlauteren Wettbewerb (UWG) geregelt. Hierzu im Folgenden ein Auszug aus 17 UWG: 17 Verrat von Geschäfts- und Betriebsgeheimnissen (1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, 1. sich ein Geschäfts- oder Betriebsgeheimnis durch a) Anwendung technischer Mittel, b) Herstellung einer verkörperten Wiedergabe des Geheimnisses oder c) Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert oder 2. ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter 1. gewerbsmäßig handelt, 2. bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder 3. eine Verwertung nach Absatz 2 Nummer 2 im Ausland selbst vornimmt. (5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an 5

6 der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. (6) 5 Nummer 7 des Strafgesetzbuches gilt entsprechend. [4] Allerdings gelten die Gesetze der Bundesrepublik Deutschland nur auf deutschem Staatsgebiet. Geschehen allerdings Spionagetätigkeiten außerhalb der Staatsgrenzen, kann dagegen von staatlicher Seite nichts unternommen werden. Als Beispiel sei hier das Abhören von Überseekabeln genannt. Es gibt von offizieller Seite keinen Auslandsgeheimdienst der Bundesrepublik Deutschland, der Wirtschaftsspionagetätigkeiten im Auftrag der deutschen Industrie nachgeht. Anders verhält es sich zum Beispiel in der Volksrepublik China. Hier gibt es im Ministerium für Staatssicherheit rund 30 Fachbereiche für verschiedene Aufklärungsbereiche und Wirtschaftsräume. Interessant scheinen vor allem das 11. Büro für internationale Beziehungen sowie das 13. Büro für Aufklärung im Bereich Wissenschaft und Forschung [5] Auch in den Vereinigten Staaten und dem Vereinigten Königreich gehört Wirtschaftsspionage mit zum erklärten Aufgabengebiet der Geheimdienste. Gerhard Schmid, Europa-Abgeordneter der SPD: Verglichen mit dem, was die Amerikaner mit ihrem Dienst NSA in Europa veranstalten, war die Stasi ein Club von Radioamateuren. Da geht s nicht allein um militärische oder innere Sicherheit, sondern vor allem um Wirtschaftsspionage. Es werden Angebote und technische Konstruktionsdetails ausgespäht. All dies wird der amerikanischen Wirtschaft übermittelt. [6] Hierzu ist auch Kapitel auf Seite 7 interessant. 1.3 Berühmte Fälle der Vergangenheit Konkurrenzausspähung gibt es schon seit sehr langer Zeit. So sind Archäologen davon überzeugt, dass es bereits in der Steinzeit die Ausspähung wirtschaftlich wertvoller Geheimnisse gab. Damals ging es dabei beispielsweise um das Auskundschaften von Techniken zum Behauen von Feuersteinen. Ausgrabungen lassen darauf schließen, dass Menschen, die diese Techniken beherrschten, oftmals auch über größere Entfernungen verschleppt wurden, um dieses Wissen auszubeuten. Dagegen sind erste Fälle von Wirtschaftsspionage erst seit dem fünften Jahrhundert nach Christus bekannt. Diese stammen aus der chinesischen Chronik Tang Shu. Das Spinnen von Seide stellte für die damalige Zeit eine absolute Innovation dar. Eine chinesische Prinzessin schmuggelte in ihrer Kopfbedeckung einige Seidenraupen nach Indien, wo sie den König von Jusadanna/Khotan heiraten sollte. Sie machte diesem die Raupen zum Hochzeitsgeschenk. Daraufhin weigerten sich viele Herrscher zu glauben, dass die von Ihnen so geschätzte Seide von Raupen produziert wurde. Später entsendete Kaiser Justinian I. zwei Mönche nach China, um den Chinesen das Geheimnis der Seidenherstellung zu entreissen. Die Mönche schmug- 6

7 gelten Seidenraupeneier bis nach Konstantinopel (heute Istanbul). Somit war die Seidenproduktion von nun an auch außerhalb Chinas möglich. Im 18. Jahrhundert war das Hauptziel der Werksspione die Porzellanherstellung, welche zunächst den Chinesen vorbehalten war. Diese konnten das Produktionsgeheimnis lange Zeit für sich behalten, bis es dem Jesuitenmönch Pater d Entrecolles als erstem Europäer gelang, einige Proben und Rezepturen nach Frankreich zu schmuggeln. Nach einigen Experimenten mit den Beschreibungen des Paters konnte in Frankreich auch Porzellan hergestellt werden und die Porzellanproduktion war auch in Europa angekommen. [6] Die Beispiele der Seidenproduktion und der Porzellanherstellung ist natürlich vor allem mit Blick auf die heutige Situation interessant. So werden heutzutage gerne genau die asiatischen Staaten der Spionage bezichtigt, die zur damaligen Zeit unangefochtene Technologieführer waren und zum Opfer von Spionagetätigkeiten wurden. Im Folgenden soll nun auf zwei Fälle von Wirtschaftsspionage, die in jüngerer Vergangenheit bekannt geworden sind, genauer eingegangen werden Fall 1 - Enercon GmbH Die Enercon GmbH mit Sitz in Aurich in Ostfriesland ist der größte deutsche Hersteller von Windkraftanlagen. Anfangs der 90er Jahre entwickelte die Firma das neue Windkraftanlagenmodell E-40. Dieses Modell mit variabler Drehzahl hat ein Rotorblattverstellsystem eingebaut, mit dem die Rotorblätter in den optimalen Winkel zum Wind gestellt werden können. Außerdem besitzt das Modell kein Getriebe mehr, sodass es ohne Öl arbeiten kann. Dies waren erhebliche Neuerungen auf dem Gebiet der Windkraftanlagen und so zeigten auch Konkurrenten gestiegenes Interesse an dem Modell, zum Beispiel die Firma Kenetech Windpower aus Livermire in Kalifornien. Die NSA hörte heimlich Telefonkonferenzen der Firma Enercon ab und stellte das Material der Firma Kenetech Windpower bereit. So kam diese an interne Details zu der Neuentwicklung. Im März 1994 gelang es zwei Mitarbeitern von Kenetech Windpower mithilfe des ehemaligen Mitarbeiters des Wilhelmshavener Deutschen Windenergie- Instituts Ubbo de Witt Zugang zu einer der neuen E-40 Anlagen zu erhalten. De Witt fungierte als Bindeglied und ließ seine Kontakte spielen und so erhielten die drei die Chance, auf dem Grundstück des Vorsitzenden des Bundesverbands Windenergie e.v. die Anlage alleine inspizieren zu können. Dabei wurden alle relevanten Teile vermessen und fotografiert und ein umfangreicher Bericht über die Aktion angelegt. Außerdem wurde klar, dass Enercon ihrerseits (noch) keine Patente für die Anlage angemeldet hatte. Einige Monate später, nachdem die Amerikaner ihrerseits die Patente dafür erlangt hatten, reichten Sie eine Patentverletzungsklage ein. Der Prozess war sehr langwierig und kostete Enercon mehr als 2 Millionen US-Dollar. Am Ende wurde der Firma Enercon der Export von Windenergieanlagen mit variabler Drehzahl oder Teilen davon in die Vereinigten Staaten bis Februar 2010 untersagt. Der damalige Firmenchef Aloys Wobben schätzt, dass 7

8 Abbildung 1: Enercon E-40 Quelle: 6f22f5b4b2 o.jpg er durch die Verwehrung des amerikanischen Marktes etwa 300 Arbeitsplätze nicht schaffen konnte. [6] Fall 2 - Siemens AG Ein weiterer Fall wurde zwar nie komplett bewiesen, allerdings gibt es mehrere Gründe, die andeuten, dass in diesem Fall Wirtschaftsspionage betrieben wurde. Im Spätsommer 1993 verlor der Siemens-Konzern einen Milliardenauftrag für den Bau seines Hochgeschwindigkeitszuges ICE in Südkorea. Man stand im Bieterwettstreit mit dem größten Konkurrenten aus Frankreich, dem Alcatel- Alsthom-Konzern mit ihrem TGV (Train à Grand Vitesse). Zielsicher wurden die Angebote aus Deutschland jeweils durch den französischen Mitbewerber unterboten. Durch verschiedene Hinweise kam später der Verdacht auf, dass Alsthom vermutlich Unterstützung durch den französischen Geheimdienst Direction Générale de la Sécurité (DGSE) hatte. Der Geheimdienst spionierte die Kostenkalkulationen von Siemens aus und so konnte der französische Konkurrent seine Angebote entsprechend anpassen. Den Zuschlag erhielt schließlich Alcatel- Alsthom. [7] 8

9 Abbildung 2: ICE und TGV Quelle: en ICE International.JPG 1.4 Schutz vor Wirtschaftsspionage Wie kann man sich vor Wirtschaftsspionage und Industriespionage schützen? Diesem Thema soll dieser Abschnitt gewidmet sein. Er gibt hilfreiche Tipps für Unternehmen und Hochschulen, durch welche Präventionsmaßnahmen die Gefahren einer Ausspähung eingedämmt werden können und was bei der Entdeckung von Spionagetätigkeiten im Unternehmen zu tun ist. Die Wirtschaftsschutz- Arbeitsbereiche der Landesämter für Verfassungsschutz können noch weitere Hilfestellung geben [8], wobei ein Unternehmen hauptsächlich selbst für einen entsprechenden Schutz zu sorgen hat Patente und Lizenzierung Alle schützenswerten Eigenentwicklungen eines Unternehmens sollten rechtzeitig patentiert beziehungsweise lizenziert werden. Damit hat man später Möglichkeiten, anderen den Nachbau rechtlich zu untersagen. Hierzu siehe auch auf Seite Zutrittsschutz und Zutrittsregelungen Es ist empfehlenswert, zunächst dort, wo es notwendig erscheint, schützenswerte Bereiche zu definieren. Diese sollten mit physischen und technischen Maßnahmen geschützt werden. Es sollten entsprechende Zutrittsregelungen definiert werden. Das verpflichtende Tragen eines Firmenausweises kann eine sinnvolle Ergänzung sein. So ist auf den ersten Blick erkennbar, wer zum Unternehmen gehört und wer nicht. Besucher im Unternehmen sollten dagegen grundsätzlich einen individuell vorbereiteten Besucherausweis tragen, der Personen- und Kontaktdaten des Besuchers enthält und erheblich zur Unternehmenssicherheit beiträgt. [8] Damit kann jederzeit nachvollzogen werden, welche Besucher sich derzeit in welcher Abteilung im Unternehmen befinden Umgang mit Hardware Handys und Smartphones: Die meisten Handys beziehungsweise Smartphones besitzen heutzutage eine Fotofunktion. Diese hochauflösenden Kameras können unter Umständen eine Gefahr für Ihre Betriebsgeheimnisse darstellen. 9

10 Sorgen Sie gegebenenfalls durch spezielle Aufkleber auf der Linse oder einer Hinterlegung in Schließfächern dafür, dass Kameras in besonders sensiblen Bereichen des Unternehmens nicht genutzt werden können. Webcam: Eine Webcam kann mit Hilfe von Schadsoftware auch dazu genutzt werden, Sie oder Ihr Büro zu beobachten und dadurch Firmengeheimnisse zu erlangen. Wird die Kamera sowieso nie verwendet, kann diese in den Systemeinstellungen deinstalliert werden. Des Weiteren sollte die Kamera genau wie das zugehörige Mikrofon abgeklebt werden, wenn sie nicht explizit benötigt wird. Drucker und Kopierer: Eine weitere Gefahr sind Netzwerkdrucker, da diese die Dokumente auf einem internen Flashspeicher zwischenspeichern. Diese Daten könnten mit den entsprechenden Tools ausgelesen werden. Oftmals kann der Drucker auch so konfiguriert werden, dass die Dokumente längerfristig gespeichert bleiben. Dabei muss man beachten, dass auf einen internen Speicher von 1024 Megabyte, wie er bei professionellen Geräten heutzutage Standard ist, ca Textdokumente Platz finden. Der größte Risikofaktor im Umgang mit Druckern und Kopierern ist und bleibt allerdings der Mitarbeiter. Oft werden Originale mit sensiblen Daten einfach im Kopierer vergessen oder Fehldrucke in den Abfalleimer unter dem Drucker geworfen. Diese sollten immer durch den Reißwolf, Mitarbeiter müssen auf diese Vorgehensweise deutlich hingewiesen werden. Drucker und Kopierer sollten mit einem PIN-Code versehen werden. Zusätzlich besteht die Möglichkeit schützenswerte Dokumente mit einem persönlichen Wasserzeichen zu versehen. So ist jederzeit erkennbar, wer den Ausdruck veranlasst hat. Vor Reparatur, Verkauf oder Entsorgung muss sichergestellt werden, dass Datenspeicher von Druckern oder Kopierern sicher gelöscht sind. Auch auf die Auswahl vertrauenswürdiger Servicepartner für die Durchführung dieser Dienstleistungen sollte geachtet werden. USB-Datenträger: Mit Hilfe von USB-Sticks können unbemerkt Schadprogramme ins Firmennetzwerk eingeschleust oder auf anderen Systemen verbreitet werden. Der Diebstahl von Daten ist mit einem USB-Stick schnell und ohne Aufwand möglich. Die Verwendung von USB-Sticks sollte zum Einen an den Firmenrechnern eingeschränkt werden und zum Anderen immer verschlüsselt erfolgen. Wurden USB-Sticks an fremden Computern angeschlossen, wird vor dem erneuten Einsatz am eigenen Rechner eine Überprüfung durch einen aktuellen Virenscanner dringend empfohlen. Desweiteren sollten gefundene USB- Sticks niemals an einem Rechner eingesteckt werden, um den Besitzer zu identifizieren. Oftmals werden solche USB-Sticks mit Absicht liegen gelassen, um die Firmen-IT mit einer Spionagesoftware zu infizieren. Der Angreifer spekuliert in diesem Fall auf die Neugier des Finders Fremdgeräte im Netzwerk - BYOD In vielen Unternehmen und auch an Hochschulen haben Besucher, externe Mitarbeiter, Servicekräfte beziehungsweise an Hochschulen die Studierenden die Möglichkeit, ihre eigenen Endgeräte an das Unternehmensnetzwerk anzuschließen. Dies wird Bring Your Own Device (BYOD) genannt. Ohne entsprechende Schutzvorkehrungen ergeben sich jedoch durch den Anschluss von Notebooks, Tablets oder Smartphones beträchtliche Sicherheitsrisiken unabhängig davon, 10

11 ob dies in bester Absicht erfolgt oder nicht. Der Zugang zu sensiblen Unternehmensdaten im Unternehmensnetz wird vereinfacht, genauso wie das Einbringen von Schadsoftware (Viren, Würmer und Trojaner). Außerdem könnten Hotspots geschaffen werden, durch die Dritte auf das Netz zugreifen können. Das Einbringen unternehmensfremder IT-Geräte in das Unternehmensnetzwerk sollte organisatorisch geregelt sein und in Form einer Policy festgeschrieben sein. Ergänzend sollten Netzwerkzugänge im Unternehmen durch geeignete technische Maßnahmen gegen das unberechtigte Anschließen von Geräten abgesichert werden. Hierzu stehen verschiedene Verfahren zur Auswahl (z.b. routerbasiertes MAC-Filtering) Sichere Passwörter Eine der einfachsten Möglichkeiten für einen Spion an vertrauliche Daten zu kommen, ist ein unsicheres Passwort. Die Mitarbeiter sollten in regelmäßigen Abständen dazu verpflichtet werden, ihr Passwort zu ändern. Es sollte mindestens 8 Zeichen lang sein. Bei Verschlüsselungsverfahren wie z.b. WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein, da hier so genannte Offline-Attacken möglich sind, die auch ohne stehende Netzverbindung funktionieren. Weitere Hinweise zu sicheren Passwörtern: Wenn möglich sollte der Begriff nicht in Wörterbüchern vorkommen. Tabu sind grundsätzlich Namen der Freundin, des Lieblingsvereins etc. Es sollten Sonderzeichen und Ziffern enthalten sein. Auch ein etwas komplexeres Passwort sollte man allerdings im Kopf behalten und nicht per Post-It an den Bildschirm kleben ;-) Unternehmensnetzwerke Gibt es im Unternehmen ein Wireless Lan, so sollte dieses entsprechend abgesichert werden. Dabei sollten am Besten sämtliche, aktuelle Sicherheitsmechanismen eingesetzt werden, wie zum Beispiel MAC-Filtering, WPA2-Verschlüsselung, Digitale Signatur und natürlich auch eine Authentisierung (mit bsp. EAP- TLS). Ist ein Wireless LAN allerdings nicht zwingend notwendig, so sollte darauf verzichtet werden. Bei vielen Geräten ist standardmäßig Bluetooth aktiviert, zum Beispiel Smartphones, Druckern, PCs.... Wird diese Technik nicht gebraucht, so sollte sie auch deaktiviert werden, da auch über Bluetooth-Schnittstellen ein unberechtigter Zugriff erfolgen kann Push-Mail-Services Push-Mail-Services sind Dienste, die das Abfragen nach neuen Nachrichten am Server überflüssig machen. Nachrichten werden quasi in Echtzeit auf das Empfänger-System gepusht. Bei Push-Mail-Services werden s vom Server des Unternehmens verschlüsselt zum Push-Center des Anbieters übertragen. Von dort aus werden sie dann zum mobilen Endgerät des Empfängers weitergeleitet. Die Sicherheit der Übertragungsverschlüsselung sowie der Schutz der Daten im Push-Center liegt dabei in der Verantwortung des Push-Mail-Anbieters - der Nutzer hat darauf keinen Einfluss. Dabei unterliegen sie bezüglich des Schutzes der Daten den Gesetzen des jeweiligen Landes, in dem das Push-Center 11

12 steht (oftmals in den USA mit erheblich lockereren Datenschutzregelungen). Möchte man im Unternehmen Push-Mail-Services nutzen, sollte man s mit schützenswertem Inhalt auf jeden Fall zusätzlich verschlüsseln Social Networks Aktuell sind rund 26 Millionen Deutsche bei Facebook registriert. Auch andere Social Networks wie beispielsweise XING erfreuen sich großer Beliebtheit. Vielen Menschen sind die Auswirkungen der Veröffentlichung von Daten in sozialen Netzwerken noch nicht vollständig bewusst. Deshalb sollte man seine Mitarbeiter für den Umgang dieser Plattformen schulen und klare Richtlinien im Unternehmen vorgeben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 10 goldene Regeln für den Umgang mit sozialen Netzwerken entwickelt. Zu finden sind diese unter der Adresse: https : / / www. bsi - fuer - buerger. de / BSIFB / DE / SicherheitImNetz/ SozialeNetze/Schutzmassnahmen/schutzmassnahmen_node.html Awareness - der Mitarbeiter als Sicherheitsfaktor Dies bedeutet, das Bewusstsein für den vertraulichen Umgang mit Daten in den Köpfen der Mitarbeiter zu schärfen. Daraus sollte dann auch die Akzeptanz für diverse Sicherheitsmechanismen entstehen. Dabei sollte man auch auf eventuelle komische Fragen von Interessenten auf Messen oder sonstigen Veranstaltungen achten. Werden diese nur gestellt, um an schützenswertes Material der Firma zu gelangen? Bei solchen Fragen sollte man dann sehr diskret antworten und auch anmerken, dass man bestimmte Interna durch Firmenrichtlinien nicht preisgeben darf Cloud Computing Durch die zunehmende Verbreitung von Cloud-Computing Diensten in Unternehmen müssen Mitarbeiter auch hierfür sensibilisiert werden. Für unternehmenskritische Daten sind Storage as a Service-Dienste wie Onedrive, Dropbox oder Google Drive völlig ungeeignet. Es ist hinlänglich bekannt, dass Geheimdienste leicht an diese Daten herankommen können. Ist es tatsächlich nötig einen solchen Dienst zu nutzen, so sollten die Daten auf jeden Fall vor dem Upload verschlüsselt werden. [10] Auch anderen Cloud-Diensten sollte man als Unternehmen sehr vorsichtig begegnen. Dazu gehören beispielsweise sogenannte Infrastructure As A Service - Dienste, zum Beispiel von Amazon oder Microsoft. Diese können komplette Server-Infrastrukturen in der Cloud hosten, zum Beispiel den Dateiserver, auf dem die Konstruktionszeichnungen gespeichert sind. Auch hier gilt: Ist dies nicht unbedingt erforderlich, so sollte darauf verzichtet werden. In jedem Falle sollten Techniken wie Tunnelnetzwerke (VPN) und Verschlüsselung verwendet werden Entsorgung von Altgeräten und Abfall In vielen Unternehmen ist es übliche Praxis gebrauchte Festplatten oder Geräte über Online-Auktionen zu versteigern, an firmeninterne Abteilungen weiterzugeben oder an Mitarbeiter zu verkaufen. Oft befinden sich auf den Daten- 12

13 trägern der Geräte noch interne Betriebsdaten, sensible Kundeninformationen, Passwörter oder Zugangsdaten, die nicht ausreichend gelöscht wurden und so leicht in falsche Hände geraten können. Das Löschen und anschließende Leeren des Papierkorbs oder auch das Formatieren eines Laufwerks entfernt Dateien nicht von der Festplatte, sondern versteckt sie nur. Vor einer Reparatur oder Ausmusterung von IT-Geräten sollten alle Daten sicher gelöscht werden um zu vermeiden dass diese in die Hände von Unberechtigten gelangen. Bei hochsensiblen Daten ist auch eine physikalische Zerstörung der Datenträger in Erwägung zu ziehen. Defekte Datenträger sollten vor ihrer Entsorgung grundsätzlich zerstört werden. Auch beim Abfall sollte ähnlich vorgegangen werden. Werden nicht mehr gebrauchte Dokumente achtlos in den Müll geworfen, landen sie häufig ungewollt bei Journalisten, Konkurrenten oder im Internet. Professionelle Datendiebe nutzen diesen kostengünstigen Weg der Informationsbeschaffung gerne, um an Interna zu gelangen. Geheimdienste ausländischer Staaten versuchen außerdem Personen anzuwerben, die als Servicekräfte bei interessanten Unternehmen angestellt werden, um an die sensiblen Daten zu kommen. Deshalb sollten wie bereits im vorhergehenden Abschnitt genannt, sensible Daten immer mithilfe eines Aktenvernichters unbrauchbar gemacht werden. Denn was für die Einen Abfall ist, ist für Andere brauchbare Information! Verhalten bei einem Sicherheitsvorfall Bei jedem Vorkommnis, das einen Verdacht auf Wirtschaftsspionage oder Konkurrenzausspähung nahelegt sollte der Sicherheitsverantwortliche beziehungsweise die Geschäftsleitung umgehend informiert werden. Außerdem sollte eventuell eine Kontaktaufnahme mit dem zuständigen Landesamt für Verfassungsschutz erfolgen. Mögliche Spuren oder konkrete Beweise sollten sichergestellt und weitergeleitet werden. Durch sogenannte IT-Forensik kann dann versucht werden, den oder die mutmaßlichen Täter zu identifizieren und zu belangen. 13

14 2 Denial of Service 2.1 Definition Im Folgenden wollen wir uns eine Denial of Service Attacke genauer anschauen. Denial of Service (im Folgenden kurz DoS genannt) bezeichnet die Nichtverfügbarkeit eines angebotenen Dienstes. Dies wird durch die Überlastung einer Infrastruktur hervorgerufen, entweder eine unbeabsichtigte oder eine mutwillige durch den Angriff auf eine Komponente im Datennetz, z.b. einen Server. Von Distributed Denial of Service Attacke (kurz: DDoS) wird gesprochen, wenn der Angriff nicht von einem Punkt, sondern von mehreren Punkten aus erfolgt. Dadurch ist es möglich auch für größere Last ausgelegte Systeme zu attackieren. [11] 2.2 Motivation Politisch Im Frühjahr 2013 wurden einige israelische Internetseiten von Anhängern der Hackergruppe Anonymous attackiert, diese wollten dadurch ihren Unmut über Bombenangriffe und die Abschaltung des Internets im Gazastreifen zum Ausdruck bringen. Anonymous: Attacken gegen Israel Angreifer des Hacktivisten-Kollektivs Anonymous haben am Montag ihre Attacken auf israelische Web-Angebote fortgesetzt. In einem Chat-Kanal der Szene wurde dazu aufgerufen, die Internet-Adresse der Zeitung Haaretz mit Datenanfragen zu überfluten. Aufgrund dieser DDoS-Attacke war haaretz.co.il für viele Internet-Nutzer nicht mehr zu erreichen. Die Hacker wollen mit ihrer am Sonntag gestarteten Aktion OpIsrael die Palästinenser unterstützen; sie haben damit gedroht, Israel aus dem Internet auszuradieren. In einem Tweet vom Sonntag bezifferten die Hacker das Ausmaß ihrer Angriffe auf über gehackte Websites, israelische Bankkonten sowie tausende Facebook-Seiten und Twitter-Accounts, wodurch ein Schaden von rund 3 Milliarden US-Dollar entstanden sein soll. Die Angaben von israelischer Seite klingen deutlich anders: So wurden rund 200 Webseiten am Sonntag attackiert, wie Alon Mantzur von der Sicherheitsfirma BSecure2 der israelischen Zeitung Jediot Achronot sagte. Unter anderem seien Webseiten des Verteidigungs- und Außenministeriums sowie der Stadtverwaltung von Tel Aviv betroffen gewesen. Der tatsächliche Schaden sei aber nur gering gewesen. Die Jerusalem Post zitiert einen Sicherheitsexperten, der von eher amateurhaften Attacken spricht. Ein Wissenschaftler von der Universität Tel Aviv sagte laut dpa, die Angriffe seien zwar ernst zu nehmen, aber im Prinzip auch nicht anders als das, was sich täglich abspiele. Hacker würden fast durchgehend israelische Webseiten angreifen, meist jedoch ohne großen Erfolg. Bereits im Vorfeld der Attacken richtete die Israelische Internet Vereinigung (ISOC) ein Krisentelefon auch für Privatnutzer ein und gab Sicherheitshinweise. Einen besonders schalen Beigeschmack bekommt die Anonymous-Aktion gegen Israel allerdings dadurch, dass die Cyberattacken laut Berichten auch vor der Website der Holocaust-Gedenkstätte Yad Vashem nicht Halt machten am Vorabend zum heute begangenen Nationalfeiertag Jom hascho a, an dem Opfern 14

15 der Shoa gedacht wird. Anon-intern scheint OpIsrael recht umstritten zu sein: Via Twitter distanzierten sich deutsche Anonymous-Aktivisten am Wochenende ausdrücklich von der Aktion gegen Israel. OpIsrael werde zum größten Teil von US Anons geführt, heißt es in dem Tweet. [12] Finanziell Im Jahre 2000 wurden DDos Angriffe auf diverse U.S. Websites u.a. Amazon, Yahoo und ebay durchgeführt. Dadurch war es nicht mehr möglich über die ebay Hauptseite Auktionen aufzurufen. Da die Auktionen jedoch auf anderen Servern liefen, konnte von einem kleinen Personenkreis per Direktlink zugegriffen werden, was zur Folge hatte, dass sehr viele Artikel sehr günstig versteigert wurden. We are experiencing an external denial of service attack, said ebay spokeswoman Jennifer Chu, speaking while the attack, which began at 3 p.m. PST, was continuing late Tuesday. We are working with local and federal authorities, our Internet provider, ISPs and other Internet sites that have been attacked, she added. The spokeswoman said the attack affected its servers hosted at a data center run by AboveNet Communications, a San Jose unit of Metromedia Fiber Network. The servers carried ebay s static pages - those that are not being continuously updated, such as its main home page and company profile - while the dynamic pages, which are hosted by a different company, were unaffected. This enabled the company to claim that the majority of its site was up and running, but in reality it meant that users could not reach the functioning pages, which include those associated with bidding, listing and searching, unless they had bookmarks that enabled them to bypass the home page. [13] 2.3 Technik Syn-Flut Eine Möglichkeit eine solche DoS Attacke durchzuführen ist die sogenannte Syn- Flut. Dieser Angriff basiert auf dem Ablauf einer TCP-Verbindung, daher betrachten wir diesen einmal genauer. Im folgenden Beispiel ist Alice ein Nutzer der mit dem Server Bob kommuniziert. Um eine TCP Verbindung aufzubauen sendet nun Alice ein Paket an Bob, dieses enthält eine zufällig ausgewählte Sequenznummer und eine Puffergröße für den Datenempfang. Außerdem besitzt dieses Paket ein gesetztes Syn-Bit. Diese Anfrage wird kurz mit SYN bezeichnet. Bob empfängt das Paket und legt dann einen sogenannten Transmission Control Block (kurz: TCB) an, anschließend antwortet er Alice seinerseits mit einem weiteren Paket, dieses enthält ebenfalls eine Sequenznummer, die Puffergröße von Bob, ein gesetztes Syn-Bit. Außerdem wird bei der Antwort das Acknowledgebit (kurz: ACK-Bit) gesetzt. Dies zeigt Alice, dass Bob die Verbindungsaufbauanfrage erhalten hat. Dieses ACK-Bit zeigt an, ob das ebenfalls im Paket enthaltene Acknowledgeflag gültig ist. Dieses Flag zeigt an, dass alle Informationen bis zu einer bestimmten Laufnummer erfolgreich empfangen wurden. Die Antwort von Bob wird kurz SYN/ACK genannt. 15

16 Nachdem nun dieses Paket von Bob an Alice wiederum mit einem Syn-Paket von Alice bestätigt wird, steht dann die TCP-Verbindung bidirektional zur Verfügung, dieser Vorgang wird abgekürzt als ACK bezeichnet. Diesen sogenannten 3-Wege-Handshake greift nun die Syn-Flut Attacke an. Bei einem solchen Angriff hat der Angreifer die Rolle von Alice. Er sendet innerhalb sehr kurzer Zeit sehr viele Syn-Anfragen an Bob. Dieser legt daraufhin für jede Anfrage einen TCB an und sendet auf jede Anfrage ein Syn/ACK Paket zurück. Diese Antworten gehen nun entweder ins Leere, dies ist der Fall, wenn der Angreifer eine gefälschte Absenderadresse angegeben hat oder werden einfach vom Angreifer verworfen. Da Bob jedoch auf den ACK von Alice wartet, behält er die TCBs noch eine Weile. Da jedoch sehr viele Anfragen gesendet werden läuft der Puffer mit nutzlosen Daten voll und kann somit keine ernst gemeinten Anfragen mehr bearbeiten. Abbildung 3: Syn-Flut Quelle: 16

17 2.3.2 Smurf Eine weitere Möglichkeit eine DoS Attacke durchzuführen ist der sogenannte Smurf-Angriff. Da für diesen Angriff ICMP-Pakete verwendet werden, schauen wir uns diese zunächst einmal an. Byte 1 Byte 2 Byte 3+4 Type Code Checksum Date (optional) Dies ist der übliche Aufbau eines ICMP-Pakets. Der Type steht hierbei für das Kommando, das ausgeführt werden soll, für einen Echo Request wäre das zum Beispiel die 8. Der Code für einen Echo Request ist immer 0. Ist das Ziel erreichbar, so generiert dieses einen Echo Reply des Typs 0 und des Codes 0, die Sender und Empfängeradressen werden bei der Antwort getauscht. Falls das Ziel nicht erreichbar sein sollte, so wird ein entsprechender Fehlertyp gewählt und mit dem entsprechenden Fehlercode versehen, zum Beispiel Type 3 Code 1 bedeutet Host nicht erreichbar. Bei einem Smurf Angriff schickt nun der Angreifer einen Echo-Request an die Broadcast Adresse eines Routers, welcher sich in einem ziemlich großen Netzwerk befindet. Er übernimmt jedoch davor die IP-Adresse des Opfers. Da die Request an die Broadcast Adresse geschickt wurde, leitet der Router die Anfrage an alle Rechner im Netzwerk weiter. Diese senden nun an das Opfer einen Echo Reply, was bei entsprechend vielen Antworten dessen Netzwerk überlastet. Abbildung 4: Smurf Angriff Quelle: attack diagram.png.scaled500.png DNS Amplification Es gibt noch einige andere Angriffsmöglichkeiten, jedoch möchten wir als letzte Möglichkeit die DNS Amplification Attack beschreiben. Diese Attacke verwen- 17

18 det öffentliche DNS-Server. Domain Name System Server (kurz DNS-Server) werden verwendet um Anfragen auf sogenannte Namensauflösungen zu beantworten. Die Namensauflösung funktioniert folgendermaßen: Wenn ein Student der Hochschule Aalen beispielsweise nach der Mailadresse seines Professors schauen will gibt er üblicherweise die Domain ein. Diese für Menschen gut lesbare Domain wird nun an einen DNS-Server gesendet und von diesem in die dazugehörende IP-Adresse umgewandelt, im Beispiel der Hochschule Aalen die Es kann nun vorkommen, dass die Antwort des DNS-Servers um einiges länger ist als die Anfrage. Diesen Tatbestand macht sich ein Angreifer zunutze. Wie auch beim Smurf-Angriff übernimmt der die IP-Adresse des Opfers oder fälscht die Absenderadresse einer DNS Anfrage. Dann sendet er sehr viele Anfragen an einen DNS-Server, von dem er weiß dass die Antworten ein Vielfaches der Anfragegrößen haben. Der Server sendet nun eine Menge an Daten an die Adresse des Opfers, was zu einer Überlastung von dessen Internetanschluss führen kann. Durch diesen Angriff wurden in der Vergangenheit schon Attacken durchgeführt, welche ein Angriffsvolumen von über 25 GB/s erreicht haben. Ein relativ aktueller Fall hierfür ist der Streit zwischen Cyberbunker und Spamhaus aus dem Jahre Kurz danach, am 19. März, startete eine zunächst gemäßigte, dann stark anschwellende DDoS-Attacke auf die Webserver von Spamhaus. Zu Peak-Zeitpunkten erreichte dieser Angriff nach Akamai-Angaben eine Datenflut-Stärke von bis zu 300 GBit/s. (... ) Den meisten sinnlosen Traffic erzeugten die Angreifer demnach mit einer DNS Amplification Attack oder auch DNS Reflection Attack. (... ) Im konkreten Fall war jede Anfrage etwa 36 Byte lang. Angefragt wurde ein DNS-Zonen-File von rund 3000 Zeichen Länge. Jede Anfrage wurde also von den DNS-Servern fast um den Faktor 100 verstärkt. Cloudflare habe mindestens anfragende DNS-Server registriert, erläutert Prince. Die Angreifer haben demzufolge gerade einmal 750 MBit/s abgehende Bandbreite benötigt, um eine durchschnittliche Traffic-Last von 75 GBit/s beim Opfer zu erzeugen. Es sei also nicht einmal ein großes Botnet nötig gewesen, um die Website vom Spamhaus aus dem Netz zu fegen. [14] 2.4 Schutz Firewall Eine Möglichkeit eine DoS-Attacke zu unterbrechen bzw. zu verhindern ist eine Firewall. Diese Möglichkeit wirkt jedoch nur wenn ein oder ein paar Geräte am Angriff beteiligt sind. Durch die Firewall können die IP-Adressen der Angreifer gesperrt werden. Künftige von den gesperrten Adressen gesendete Datenpakete werden verworfen. Diese Funktion kann oft sogar automatisiert werden, so dass 18

19 einfache Angriffe automatisch erkannt und die Adressen automatisch auf die Sperrliste aufgenommen werden. Bei einer DDoS Attacke ist diese Methode nicht sehr sinnvoll, da es zum Einen sehr viele angreifende Geräte sind, welche dann alle in die Liste eingetragen werden müssen. Und zum Anderen sind einige angreifende Geräte Teil eines Botnetzes, so dass der Besitzer, welcher nichts mit der Tat zu tun hat, von den Funktionen der Seite ausgeschlossen wird und somit als Kunde verloren geht Syn-Cookie Eine Möglichkeit Syn-Flut Angriffe zu unterbinden ist das sogenannte Syn- Cookie. Da diese Funktion jedoch die TCP-Optionen einschränkt wird dieses Verfahren nur im Falle eines Angriffs aktiviert. Das Syn-Cookie beschreibt einen Mechanismus, bei dem die Backlog-Queue des Servers deaktiviert wird, welche bei der Syn-Flut ja überfüllt werden soll. Um die Informationen, welche beim Normalbetrieb in der Queue stehen, trotzdem zu bekommen, hasht der Server diese und schickt den Hashwert als Sequenznummer an den Client. Aus der Client-ACK kann nun der Server prüfen ob dieses Cookie von ihm stammt. Wenn dies der Fall ist wird die Verbindung aufgebaut. Meist wird hierfür ein MD-Hashverfahren verwendet Serverlastverteilung Um die Überlastung eines Servers zu verhindern, können verschiedene Virtualisierungstechniken zum Einsatz kommen. Dabei werden die bereitgestellten Services auf verschiedene physische Server verteilt. Wird nun einer dieser Server angegriffen, arbeiten die anderen störungsfrei weiter oder die Last wird so gut auf alle Server verteilt, dass es gar nicht zur Überlastung kommt. Diese Gegenmaßnahme ist jedoch sehr kostenintensiv. Abbildung 5: Servervirtualisierung Quelle: Externe Filterservices Zum Abschluss möchten wir zum Schutz vor DoS-Angriffen die Möglichkeit aufzeigen externe Filterdienste in Anspruch zu nehmen oder selbst zu betreiben. 19

20 Hierbei wird der gesamte Datenstrom über einen Punkt mit genügend Bandbreite geleitet (aufgrund der Angriffsvolumen der Vergangenheit sollten Anbindungen mit mind. 400GBit/s gewählt werden). An diesem Punkt werden nun illegitime Anfragen ausgefiltert. Aufgrund der großen Bandbreite ist, im Falle eines Angriffes, immer noch genug Kapazität für legitime Anfragen vorhanden, so dass die Dienste uneingeschränkt zur Verfügung stehen. Aufgrund von Datenschutzbestimmungen muss jedoch darauf geachtet werden, dass die Daten nicht überall hin umgeleitet werden dürfen. 20

21 3 Competitive Intelligence 3.1 Definition Bevor wir uns weiter mit diesem Thema auseinandersetzen auch hier eine erste Definition und Abgrenzung um sich den nachfolgenden Gegenstand der Analyse und seiner Grenzen zu vergegenwärtigen. Als Competitive Intelligence (CI) wird [...] der systematische Prozess der Informationserhebung und -analyse bezeichnet, durch den aus fragmentierten (Roh-) Informationen über Märkte, Wettbewerbern und Technologien den Entscheidern ein plastisches Verständnis über sein Unternehmensumfeld entsteht. CI-Themen sind dabei meist zukunftsorientierte Aussagen zu Wettbewerberpositionierungen, -intentionen und -strategien. [15] Ein anschaulicher Vergleich wäre die Beziehung zwischen der des Krieges als bloße Fortsetzung der Politik mit anderen Mitteln, wie Von Clausewitz es in seinem Buch Vom Kriege beschrieb, und der der Industriespionage als bloße Fortsetzung des Competitive Intelligence mit anderen Mitteln. So sind sie zwar prinzipiell getrennt, unterscheiden sich dennoch in der Wahl der Mittel bzw. der Härte/der Intensität ihrer Verwendung, wodurch sich Graubereiche bilden. Der eigentliche Fokus beim Competitive Intelligence liegt dabei bei der Konkurrenzanalyse um diese und seine eigene Position besser einschätzen zu können, nicht auf der Beschaffung von Betriebsgeheimnissen: So wie der Arzneimittelhersteller Boehringer Ingelheim vor einigen Jahren. Das Forschungsteam entwickelte mit Verve, viel Aufwand und hohen Kosten neue Präparate. Alle waren fokussiert auf die Forschung, sagt ein ehemaliger Mitarbeiter. Dann nahm das CI- Team die Konkurrenz unter die Lupe und entdeckte, dass die an ähnlichen Produkten tüftelten und viel weiter waren. Wir hätten keine Chance auf ein Patent gehabt, sagt der Mann. Also stellten wir die Forschung diesbezüglich ein und konzentrierten uns auf andere Entwicklungen. So haben wir 150 Mio. Euro gespart. [16] 3.2 Historisches Wörtlich übersetzt bedeutet Competitive Intelligence soviel wie wettbewerbsorientierte (Früh-)Aufklärung und hat seine Wurzeln, wie der Name es erahnen lässt, im militärischen Bereich, aber auch im Bereich der Marktforschung. Gerade wegen dieser Verbindungen ist eine Festlegung der genauen Entstehungszeit nicht eindeutig möglich. Jedoch wurden bereits in den 1980er Jahren Bücher zum Thema von Michael Porter, Craig Fleisher und Babette Bensoussan veröffentlicht, welche noch heute als Grundlage und Leitfaden im CI-Bereich dienen. Maßgeblich an der Entwicklung des CI war vor allem auch die Gründung und der fortwährende Bestand der Society of Competitive Intelligence Professionals (heute Strategic and Competitive Intelligence Professionals ) (SCIP) im Jahr 1986, einer weltumspannenden Non-Profit Organisation mit dem Ziel der Fortbildung und Entwicklung des CI-Themenbereichs und dem Bieten einer Plattform für (angehende) CI-Professionals. Für die Verbreitung innerhalb 21

22 Abbildung 6: Abgrenzung Marktforschung, Competitive Intelligence und Wirtschaftskriminalität Quelle: [17, Seite 36] Deutschlands, sei auf eine Studie von 2001 von Nicnerski verwiesen, welche ergab, dass damals bereits nur 9% der befragten TOP 100 DAX-Unternehmen noch keine Konkurrenzanalyse durchführten. Die vergleichsweise Unbekanntheit der CI-Thematik, obgleich ihrer Verbreitung, lässt sich auf die Verschwiegenheit rund um diese Thematik zurückführen. 3.3 Ethik und Graubereich Während es sich bei Wirtschafts- und oder Industriespionage um klar illegale Aktivitäten handelt, handelt es sich bei CI um, von der Definition her, rein legale und ethisch korrekte Aktivitäten. Aufgrund der, trotz einer immer globalisierteren Welt, unterschiedlichen Gesetzgebungen, der ethisch flexiblen Na- tur des Menschen und der vielseitigen Einsetzbarkeit der Werkzeuge des CI besteht jedoch ein Graubereich und ein fließender Übergung von der CI zu Wirtschafts- und oder Industriespionage. Dabei sei angemerkt, dass dieser Übergang natürlich in beide Richtungen gilt, so werden beispielsweise auch Techniken aus dem CI-Bereich verwendet um mit den daraus erhaltenen Informationen weitere, gezielte Angriffe, wie Spearphishing, einem auf die Schwächen der ausgewählten Schlüsselperson maßgeschneiderten Angriff, auszuführen (vgl. Corporate Espionage, Winkler) Um sich jedoch möglichst von illegalen Aktivitäten abzugrenzen hat SCIP den folgenden Code of Ethics (Zitiert nach [17] und übersetzt nach [18]) entwickelt, welchem sich SCIP-Mitglieder verpflichten: 1. beständig bemüht zu sein, die Anerkennung für und die Achtung vor den CI-Ausübenden zu mehren 2. alle zuständigen Gesetze, national wie international, zu achten 22

23 3. alle relevanten Informationen, auch die eigene Identität und das eigene Unternehmen, akkurat anzugeben, bevor ein Interview durchgeführt wird 4. allen Auflagen für die vertrauliche Behandlung von Informationen nachzukommen 5. alle Interessenskonflikte zu vermeiden, die während der Tätigkeitsausübung auftreten 6. aufrichtige und realistische Empfehlungen und Schlussfolgerungen zu treffen, die bei der Tätigkeitsausübung anfallen 7. diese ethischen Richtlinien im eigenen Unternehmen, bei Unterauftragnehmern und innerhalb des gesamten Berufstandes zu fördern 8. sich gewissenhaft an die Grundsätze, Vorgaben und Richtlinien der eigenen Unternehmung zu halten 3.4 Motivation Es muss jedoch erwähnt werden, dass obwohl das Vorhandensein dieses Codes unter den CI-Professionals bekannt ist, nach diversen Studien trotzdem bis zu 30% ethisch fragwürdigen und zum Teil klar illegalen Maßnahmen der Informationsbeschaffung nachgehen. Die darunter meist vertretenen Maßnahmen waren die der Misrepräsentation, der Bestechung/Manipulation, verdeckter Überwachung und der des Diebstahls. Dieser vergleichsweise hohe Anteil bestätigt das Vorhandensein der anfangs genannten Graubereiche und der Berührungspunkte zur Industriespionage. Entsprechend würde eine Unterschätzung dieser Fakten und des Themenkreises der Competitive Intelligence zu einer unvollständigen Abdeckung von möglichen Risiken bei einer Risikoanalyse des eigenen Unternehmens führen, weshalb das Studium dieser Thematik in o.g. Zusammenhang eine wichtige Facette im Schutzkonzept eines Unternehmens spielen sollte. 3.5 Der CI-Zyklus Als Zentrales Element beim Competitive Intelligence steht der sogenannte CI- Zyklus. Dieser besteht aus den sechs Schritten Bedarfsbestimmung, Planung, Datenerhebung, Aufbereitung, Analyse und Berichterstattung. Im ersten Schritt, Bedarfsbestimmung, wird der Umfang und das Ziel der nachfolgenden Recherche mit den Bedarfsträgern vereinbart und abgeleitet. Im anschliessenden zweiten Schritt, Planung, wird der nachgelagerte Ablauf des Zyklus geplant und organisiert, so werden hier zum Beispiel unter anderem bereits mögliche Ziele und Quellen festgelegt. Schritt drei, Datenerhebung, befasst sich nun mit dem eigentlichen Zusammentragen von Informationen. Nachdem die Daten nun zusammengetragen sind, werden sie im vierten Schritt, der Aufbereitung, in eine einheitliche Form gebracht, strukturiert, nach ihrer Zuverlässigkeit bewertet und 23

24 Abbildung 7: Der CI-Zyklus - Quelle: Eigene Darstellung kommentiert. Anschliessend werden die aufbereiteten Daten im fünften Schritt, Analyse, entsprechend einer vielzahl möglicher Analyseverfahren ( Basisanalyseverfahren, wie Patentanalyse, Data-/Textmining, Benchmarking, Modell- /theoriegestütze Analysen, wie Wertschöpfungskettenanalyse, Analyseverfahren zur Entscheidungsunterstützung, wie Chancen-/Risiko-Analysen, oder Analyseverfahren zur Unterstützung der Hypothesenauswahl, wie Spieltheorie) in Hinblick auf die in Schritt eins, Bedarfsbestimmung, festgelegten Ziele ausgewertet. Im sechsten und letzten Schritt, Berichterstattung, oder auch Reporting, werden die gewonnen Erkenntnisse in entsprechender Form den Bedarfsträgern vorgetragen. In diesem Zusammenhang soll uns hier lediglich Schritt drei, Datenerhebung weiter interessieren, da dieser als einziger direkt auf externe Ressourcen zugreift, welche ggf. von dem zu schützendem Unternehmen beeinflussbar sind, d.h. die u.u. schützenswerten Informationen betrifft. 3.6 Datenerhebung im Rahmen des CI Bei der Datenerhebung im Rahmen des CI bedient man sich sowohl der Primärals auch der Sekundärrecherche. Dabei umfasst die Primärrecherche die Observation und das sog. HUMINT (HUMan INTelligence), also das Nutzen von Menschen als Informationsquelle, und die Sekundärrecherche das sog. OSINT (Open Source INTelligence), wobei sich Open Source in diesem Zusammenhang auf die freie und öffentliche Verfügbarkeit der Informationen bezieht und nicht zu verwechseln ist mit der Philosophie hinter Free and Open Source Software (FOSS). 24