DSD 02-2016_Wirtschaftsschutz

VORWORT
Einzigartiges Angebot
Von Holger Köster
> Die „Initiative Wirtschaftsschutz“ ist ein
Denken wir doch einmal daran, wie wir selbst
Angebot, wie es dies in dieser Form bisher nicht
reagieren würden. Wem würden wir mehr
gegeben hat. Wer seinen Betrieb gegen Spionage, Sabotage oder Desinformation schützen
vertrauen, einem Fremden- und sei seine Rede
noch so geschliffen formuliert, oder aber einem
möchte, steht nicht allein auf weiter Flur, sondern
Menschen, den wir kennen und schätzen? Eine
kann sich auf ein Netzwerk der Sicherheitsbehör-
wohl rhetorische Frage!
3
den und der relevanten Verbände verlassen. Wer
Präsident Gregor Lehnert hat es in Berlin auf
Sicherheit will, dem werden sinnbildlich gespro-
den Punkt gebracht. Wirtschaftsschutz braucht
chen viele Hände entgegengestreckt. Das ist
Nähe, Vertrauen und bewiesene Kompetenz.
beispielhaft in Europa und in der Welt.
Nähe und Vertrauen wachsen nicht von heute auf
HOLGER KÖSTER
morgen. Ebenso wenig wie das gute Gefühl und die
ist Vorsitzender des Arbeits-
wenig, wenn auf Unternehmensseite zu Wenige
Gewissheit, fachlich kompetent betreut zu werden.
kreises Wirtschaftsschutz im
bereit sind, diesen Handschlag zu erwidern.
Die BDSW-Mitgliedsunternehmen sind in vielen
BDSW.
Entweder weil sie die Gefährdungspotenziale nicht
Fällen langjährige Partner in Sachen Sicherheit-
oder nur ungenügend erkennen oder weil sie ganz
und ihr Wort hat Gewicht.
Doch dieses einzigartige Angebot nützt herzlich
einfach vom Tagesgeschäft zu sehr in Anspruch
Es steht außer Zweifel, dass Wirtschaftsschutz
genommen werden, um sich „auch noch“ um den
und physische Sicherheit unabdingbar zusammen
Sicherheitsaspekt zu kümmern.
gehören. Sie bauen aufeinander auf, sie sind zwei
Wirtschaftsschutz funktioniert nur dann, wenn
Seiten einer Medaille. Denn was nützt das beste
möglichst Viele an einem Strang ziehen. Jedes
Wirtschaftsschutzkonzept, wenn es Angreifern
Unternehmen, das nicht mitzieht, stellt eine Lücke
gelingt, mit billigen Tricks in die Unternehmen
dar, die ein gewiefter Angreifer nutzen könnte.
zu spazieren? Und was
Wir sprechen heute nicht ohne Grund von einer
nützt der Wachschutz für
zunehmenden Vernetzung- und gerade deshalb
Tore, Zäune und Mauern,
stellen ungeschützte Unternehmen nicht nur eine
wenn ein Unternehmen
Gefahr für sich selbst dar, sondern gegebenenfalls auch für alle anderen. Bundesinnenminister
auf elektronischem Wege
Dr. Thomas de Maizière sprach in Berlin davon,
bedroht werden kann?
Halten
wir
uns
vor
dass kleine und mittelständische Unternehmen
Augen: Wirtschaftsschutz
oftmals eng mit größeren Unternehmen zusammenarbeiten, zum Beispiel als Zulieferer. Sie sind
ist eine Erweiterung des
somit Bestandteil einer Sicherheitskette, die für
schon
alle Kooperationspartner von Belang sind. Der
Level II des bereits Bestehenden. Vom Wachschutz
mangelnde Eigenschutz eines einzigen Unternehmens innerhalb dieser Kette kann somit zum
Sicherheitsrisiko aller anderen werden.
Schutzes, den wir heute
zum
bieten
–
quasi
Wirtschaftsschutz
führt kein verschlungener
Bundesinnenminister Dr. Thomas de Maizière während der
Pfad, sondern eine gerade
Auftaktveranstaltung der „Initiative Wirtschaftsschutz“ in Berlin.
Unternehmen ein Bewusstsein für das Themenfeld Wirtschaftsschutz zu schaffen, ist ja beileibe
Linie.
(Bild: Christian Kruppa Photografie)
kein Unterfangen, das erst seit kurzer Zeit unter-
Ihr
nommen wird. Bereits seit Jahrzehnten laufen
Holger Köster <
Der Versuch, bei kleinen und mittelständischen
ambitionierte
Sensibilisierungsversuche,
ohne
dass der ganz große Durchbruch erreicht wurde.
Diese betrübliche Entwicklung den kleinen und
mittelständischen Unternehmen anzulasten, wäre
jedoch ein schwerer Fehler.
2 | 2016
DER SICHERHEITSDIENST
DSD
WIRTSCHAFTSSCHUTZ
Wirtschaftsspionage: Wenn vom üppigen
Steakteller nur die Garnierung übrig bleibt
Von Klaus Henning Glitza
vor
Wirtschaftsschutz“2 steht, beschreibt eine wichtigsten Voraussetzungen für den Schutz der
fremden Begehrlichkeiten bewahren will, muss
„Filetstücke“ von Unternehmen gegen Spionage
sie umfassend schützen.
und Ausspähung. Nur wer seine so genann-
> Sensibilisierungsspot zeigt: Wer die zen-
4
tralen
Kernstücke
des
Unternehmens
Der Sensibilisierungsspot der „Initiative Wirt-
ten Assets vor unerwünschten fremden Zugriff
schaftsschutz“ verdeutlicht pointiert, worum
bewahrt, kann all dies, was sein Unternehmen
es geht. Zwei Geschäftsleute sitzen in einem
von anderen unterscheidet, seine Alleinstel-
Restaurant. Einer bekommt ein saftiges Rinder-
lungsmerkmale, sein geistiges Kapital in die
filet samt Beilagen serviert, der andere nur die
Zukunft tragen.
KLAUS HENNING GLITZA
Garnierung. Plötzlich schnappt sich der Mann
Häufig wüssten die Betroffenen aber gar nicht,
ist ehemaliger Redakteur der
mit dem Sparmenü das Filetstück des anderen.
was es dezidiert zu schützen gelte, verdeut-
Hannoverschen Allgemeinen
Betreten kommentiert der „Beraubte“: „Lassen
lichte Dr. Hans-Georg Maaßen, Präsident des
Zeitung, Träger des Deut-
Sie sich nicht Ihre besten Stücke wegnehmen.
Bundesamtes
schen Förderpreises Kriminal-
Seien Sie nicht so leichtfertig wie ich.“
für
Verfassungsschutz
(BfV).
Als Beispiel nannte er den IT-Angriff auf die
prävention (Stiftung Kriminal-
Kürzer, knapper und treffender geht es
Server des Deutschen Bundestages, der vom
prävention, Münster), ist seit
2003 als Fachjournalist für
kaum. Trotz der gewollten Überzeichnung hat
der Sensibilisierungsspot1 viel mit dem realen
lichkeit geheißen, bei dieser elektronischen
Sicherheitsfragen tätig.
Leben zu tun. Wirtschaftsspionage erfolge oft
Attacke sei nichts wirklich Geheimes ausge-
BfV entdeckt wurde. Oft habe es in der Öffent-
ähnlich dreist, komme ähnlich unerwartet daher
späht worden. Doch bei näherem Hinsehen rela-
und werde ähnlich unterschätzt wie der Dieb-
tiviere sich diese Aussage deutlich. Sofern der
stahl des Filets, betonte Bundesinnenminister
Angreifer Zugriff auf das interne Netz des Deut-
Dr. Thomas de Maizière während der Auftakt-
schen Bundestages hat, kann er beispielsweise
veranstaltung der „Initiative Wirtschaftsschutz“
die Rufnummern und Erreichbarkeitsdaten von
in Berlin. „Eine erfolgreiche Spionage erbeutet
bedeutenden politischen Entscheidungsträgern
das zentrale Kernstück. Zurück bleibt nur die
erlangen. Diese kann er wiederum nutzen, um
Garnierung.“
gezielte Ausspähungsaktivitäten gegen diese
„Unternehmenswerte
richtig
schützen.“
zu ergreifen. Telefonnummern gehörten zu den
Dieses Kapital, das aus gutem Grund an erster
wichtigsten Grunddaten der strategischen Fern-
Stelle des jüngst herausgegebenen „Leitfadens
meldeüberwachung fremder Staaten und hätten
für Angreifer höchsten Wert.
Bezogen auf Unternehmen bedeuten bekanntgewordene Telefon- und Einwahlnummern, dass
künftig vertrauliche Telefonate und Telefonkonferenzen abgehört werden können. Der beste
Wach- und IT-Schutz gerät zur Makulatur, wenn
sensible Informationen aus dem Telekommunikationsverkehr abgegriffen werden.
Ziel muss es ein, die wirklichen Filetstücke
zu identifizieren, diese gezielt zu schützen und
sich nicht in einer nicht passgenauen Sicherheit zu verzetteln. Nehmen wir ein Beispiel:
Wer an ein Maschinenbauunternehmen denkt,
dem fallen als entscheidende Unternehmenswerte sofort Konstruktionspläne und Patente
DSD
DER SICHERHEITSDIENST
2 | 2016
WIRTSCHAFTSSCHUTZ
ein. Das ist grundsätzlich nicht falsch, aber
zu kurz gegriffen. Bundesinnenminister
Dr. de Maizière wies bei der Auftaktveranstaltung „Initiative Wirtschaftsschutz“ in
Berlin darauf hin, dass auch Produktpläne.
Kundenlisten und Kontakte zu qualifizierten,
günstigen Zulieferern ebenso zu den schützenswerten „Filetstücken“ gehören.
Die „Filetstücke“, die „Kronjuwelen“,
bestehen meist nicht nur aus einzigartigem
technologischen
Know-how,
sondern auch aus speziellen Produktionsmethoden, besonderen Qualitätsmanagementprozessen, ausgeklügelten Vertriebs-
Podiumsdiskussion während der Auftaktveranstaltung der „Initiative Wirtschaftsschutz“:
wegen,
(vl.) Evelyn Seibert (Moderatorin) Dr. Hans-Georg Maaßen, Gregor Lehnert und Holger Münch.
optimierten
Maßnahmen
der
Serviceleistungen,
Kundenbindung
und
5
(Bild: Christian Kruppa Photografie)
natürlich aus Persönlichkeiten, die all dies
repräsentieren. „Filetstücke“ müssen als
zum angestrebten Ziel. Im Gegensatz zu
in dieser Tiefe erlangen kann. Jedoch gibt
Paket gesehen werden. So wie niemand
Risiken, deren Eintrittswahrscheinlichkeit
es probate Optionen der Hilfe zur Mithilfe.
ein saftiges Rindersteak überschwäng-
relativ gering ist, ist Wirtschaftsspionage
Ein Externer kann durchaus aus objektiver
lich loben wird, wenn die Vorsuppe und die
und Konkurrenzausspähung als Angriff auf
Sicht die Unternehmen auf bestimmte
Beilagen qualitativ nicht mithalten können,
das geistige Kapital eines Unternehmens,
Aspekte aufmerksam machen und aus
wird auch der Qualitätsbegriff stets durch
jederzeit möglich. Der wachsende Konkur-
übergreifendem Blickwinkel Vorschläge zu
mehrere Faktoren bestimmt. Mit ande-
renzdruck in einer zunehmend zusam-
Sicherheitsmaßnahmen machen.
ren Worten: Es muss nicht nur der „Kern“,
menwachsenden
Weltwirtschaft,
die
Oftmals
genügen
bereits
einfachste
sondern auch die „Schale“, die diesen
Begehrlichkeiten aufstrebender Schwel-
umgibt, geschützt werden. Jeder, auch ein
len- und Entwicklungsländern und die
verbessern. Denken wir an ein Unterneh-
unwichtig erscheinender Bereich, muss
einfache Erkenntnis, dass technologischer
men, das Zugangskontrollsysteme. Video-
darauf abgeklopft werden, ob er nicht als
Rückstand am schnellsten und billigsten
überwachungsanlagen und IT-Sicherheit
„Bypass“ für einen Angriff ausgenutzt
mit Know-how-Diebstahl aufgeholt werden
vom Feinsten hat, aber seine Mitarbei-
kann, wirken wie Turbos auf die globale
ter nicht oder nur ungenügend sensibili-
werden könnte.
Selbst
Mitarbeiterlisten
sind
ein
Spionage.
begehrtes Spionageziel. Zum einen lässt
der
zunehmende
Gegenmaßnahmen, um den Schutz zu
siert hat. Dr. de Maizière nannte in Berlin
Es dürfte kein deutsches Unternehmen
das Beispiel externer Speichermedien.
Fachkräftemangel
geben, das keine schützenswerten Assets
„Es ist kaum zu glauben, in wie vielen
manche Personaler bei der so genannten
hat. Es gilt die Binsenweisheit: was man
Unternehmen nach wie vor völlig sorglos
Arbeitskraftbeschaffung „kreativ“ werden,
hat, weiß man oftmals erst dann, wenn man
nicht-firmeneigene
um es diplomatisch auszudrücken. Und
es nicht mehr hat. Genau wie es „Hidden
tet sind. Das kann fatal sein bei fingier-
zum anderen könnte mit der gezielten
Champions“ gibt, gibt es auch versteckte
ten Sticks, die Mitarbeiter auf Messen
Abwerbung einer Fachkraft immer auch
Unternehmenswerte, die uns erst nach
geschenkt bekommen und die so zum
die Absicht verbunden sein, neben der
näherem Hinsehen ins Auge fallen.
USB-Sticks
gestat-
Unterneh-
Doch ohne Mitwirkung der Betriebe
Vehikel von Trojanern werden.“
Ein sensibler Mitarbeiter, der wisse,
mens-Know-how an den neuen Arbeits-
geht nichts. Das Besondere ist, dass nur
worauf es ankommt, sei die beste Firewall
platz zu holen.
das Unternehmen selbst die Kerndaten
eines Betriebes, zitierte der Bundesminister
dieser Analyse liefern kann. Es gibt kein
Person
deren
spezifisches
schaftsschutz ist ein Sicherheitskonzept,
Patentrezept,
Standardverfahren
einen Sicherheitsexperten. Das gelte allerdings auch umgekehrt. Aktuelle Studien
kurz Siko genannt. Ein Skriptum, das
und schon gar keine Formeln, um Unter-
zeigten, dass die Hälfte aller Angriffe unbe-
vielen BDSW-Mitgliedsunternehmen aus
nehmenswerte und den damit zusam-
wusst oder bewusst von eigenen Mitarbei-
täglicher Praxis bekannt ist. Im Siko
menhängenden Schutzbedarf zu identifi-
tern ausgeht. So habe ein Krankenhaus in
werden die möglichen Bedrohungen und
zieren. Jedes Unternehmen ist ein Unikat.
Neuss jüngst vorübergehend geschlossen
Gefahren identifiziert sowie Gegenmaß-
Nur das Unternehmen selbst kennt alle
werden müssen, weil ein offenbar nicht
nahmen
Schadensminimierungs-
seine Facetten. Ein Know-how in eigener
sensibilisierter Mitarbeiter einen dubiosen
strategien beschrieben. Der erste Schritt
Sache, das ein Außenstehender niemals
E-Mail-Anhang geöffnet hat.
Eine wichtige Grundlage für den Wirt-
und
kein
ist die Auflistung der möglichen Risiken.
Ein Risiko ist kurz formuliert eine negative Abweichung vom Normalzustand und
1
www.youtube.com/watch?v=nbLse7q55TI
somit ein massives Hindernis auf dem Weg
2
www.wirtschaftsschutz.info/SharedDocs/Publikationen/DE/Ini_WiS/Leitfaden.html
2 | 2016
DER SICHERHEITSDIENST
DSD
WIRTSCHAFTSSCHUTZ
Es ist eine altbekannte Tatsache, dass
dent des Bundesamtes für Verfassungs-
Allein eine höhere Sensibilität, ein
Dinge nicht einfach passieren, sondern
schutz deutlich. Als Spione durch so genann-
geschärftes Bewusstsein für Bedrohungs-
verursacht werden. Es gibt keine bekannten
tes Social Engineering eruiert hatten, dass
potenziale, ist ein großes Stück in Richtung
„automatisierten“ Angriffe, vielmehr setzt
ein Firmenchef gern und oft in einem italie-
Wirtschaftsschutz. Schon ein kluger Mann
namens Goethe wusste „Man sieht nur
die raffinierteste IT-Attacke fast immer eine
nischen Restaurant einkehrte, präparierten
menschliche Handlung auf der Gegenseite
sie die Webseite dieses Stammlokals mit
das, was man weiß“. Mit anderen Worten:
voraus. Selbst das Hacking der Bundestagsserver begann mit einer angeblich von den
einer Malware. Der Unternehmer, der sich
Nur bekannte Gefahren sind beherrsch-
gerne über die aktuellen Angebote seines
bare Gefahren.
Vereinten Nationen stammenden Mail, die
Lieblingsitalieners informierte, schleuste
Wer weiß das besser und mit größerer
auf eine infizierte Seite lockte. Wie raffiniert
so unbewusst einen gefährlichen Trojaner in
Expertise als die BDSW-Mitgliedsunter-
die Angreifer vorgehen, machte der Präsi-
das Firmennetzwerk ein.
nehmen? <
6
Analysen und Hilfestellungen
zum Wirtschaftsschutz
Von Dr. Berthold Stoppelkamp
Initiative Wirtschaftsschutz
NIFIS-Studie: IT-Sicherheit und
Auf dem am 26. April 2016 freigeschalteten
Informationsportal Wirtschaftsschutz.info informieren
ab
sofort
die
nicht auf Servern von Firmen mit Mutter- oder
verbänden über vielfältige Gefahren für die
Tochtergesellschaften in den USA gespeichert
deutsche Wirtschaft. Zugleich bietet das Infor-
werden, um sich vor Spionage zu schützen.
Wirtschaftsschutz
Handlungsempfehlungen
ist Leiter des Hauptstadtbüros
und
praxisnahe
63 Prozent wollen bei der Nutzung von Cloud-
behördliche
Diensten ausschließlich auf deutsche oder
Sicherheitsinformationen, um diesen Gefahren
www.nifis.org <
www.wirtschaftsschutz.info <
Sicherheitswirtschaft in Berlin
Arbeitskreis Wirtschaftsschutz.
zumindest europäische Anbieter zugreifen.
entgegen zu wirken.
des BDSW Bundesverband der
und zuständiges Geschäftsführungsmitglied für den
87 Prozent der Unternehmen in Deutschland legen größten Wert darauf, dass ihre Daten
gemeinsam mit Wirtschafts- und Sicherheits-
mationsportal
DR. BERTHOLD STOPPELKAMP
Sicherheitsbehörden
Datenschutz 2016
Kriminalitätsbarometer
bitkom-Studie: Industrie im Visier
Berlin-Brandenburg 2015
Damit liegt nun die fünfte empirische Analyse
von Cyberkriminellen
Laut dieser am 25. April 2016 vorgestellten
zur Kriminalitätsbelastung der Unternehmen in
Studie sind zwei von drei Industrieunternehmen
dieser Region vor. Inhaltlich greift diese einzig-
(69 Prozent) in Deutschland in den vergangenen
artige, repräsentative Studie die Komplexe
Jahren Opfer von Datendiebstahl, Wirtschafts-
Kriminalitätseinstellungen, Kriminalitätsbelas-
spionage oder Sabotage geworden. Pro Jahr
tung, Dunkelfeld und Präventionseinstellungen
entsteht ein Schaden von mehr als 22 Milliarden
auf und kann auch für andere Regionen Deutsch-
Euro. Mit der digitalen Vernetzung in der Indus-
lands als gute Hilfestellung zur Verbesserung
trie 4.0 entstehen neu Angriffsflächen.
www.bitkom.org <
des Wirtschaftsschutzes dienen. Am häufigsten
(36,4 Prozent) waren die Unternehmen von Diebstahlskriminalität betroffen.
www.akus.org <
DSD
DER SICHERHEITSDIENST
2 | 2016