DSD 02-2016_Wirtschaftsschutz
Transcrição
DSD 02-2016_Wirtschaftsschutz
VORWORT Einzigartiges Angebot Von Holger Köster > Die „Initiative Wirtschaftsschutz“ ist ein Denken wir doch einmal daran, wie wir selbst Angebot, wie es dies in dieser Form bisher nicht reagieren würden. Wem würden wir mehr gegeben hat. Wer seinen Betrieb gegen Spionage, Sabotage oder Desinformation schützen vertrauen, einem Fremden- und sei seine Rede noch so geschliffen formuliert, oder aber einem möchte, steht nicht allein auf weiter Flur, sondern Menschen, den wir kennen und schätzen? Eine kann sich auf ein Netzwerk der Sicherheitsbehör- wohl rhetorische Frage! 3 den und der relevanten Verbände verlassen. Wer Präsident Gregor Lehnert hat es in Berlin auf Sicherheit will, dem werden sinnbildlich gespro- den Punkt gebracht. Wirtschaftsschutz braucht chen viele Hände entgegengestreckt. Das ist Nähe, Vertrauen und bewiesene Kompetenz. beispielhaft in Europa und in der Welt. Nähe und Vertrauen wachsen nicht von heute auf HOLGER KÖSTER morgen. Ebenso wenig wie das gute Gefühl und die ist Vorsitzender des Arbeits- wenig, wenn auf Unternehmensseite zu Wenige Gewissheit, fachlich kompetent betreut zu werden. kreises Wirtschaftsschutz im bereit sind, diesen Handschlag zu erwidern. Die BDSW-Mitgliedsunternehmen sind in vielen BDSW. Entweder weil sie die Gefährdungspotenziale nicht Fällen langjährige Partner in Sachen Sicherheit- oder nur ungenügend erkennen oder weil sie ganz und ihr Wort hat Gewicht. Doch dieses einzigartige Angebot nützt herzlich einfach vom Tagesgeschäft zu sehr in Anspruch Es steht außer Zweifel, dass Wirtschaftsschutz genommen werden, um sich „auch noch“ um den und physische Sicherheit unabdingbar zusammen Sicherheitsaspekt zu kümmern. gehören. Sie bauen aufeinander auf, sie sind zwei Wirtschaftsschutz funktioniert nur dann, wenn Seiten einer Medaille. Denn was nützt das beste möglichst Viele an einem Strang ziehen. Jedes Wirtschaftsschutzkonzept, wenn es Angreifern Unternehmen, das nicht mitzieht, stellt eine Lücke gelingt, mit billigen Tricks in die Unternehmen dar, die ein gewiefter Angreifer nutzen könnte. zu spazieren? Und was Wir sprechen heute nicht ohne Grund von einer nützt der Wachschutz für zunehmenden Vernetzung- und gerade deshalb Tore, Zäune und Mauern, stellen ungeschützte Unternehmen nicht nur eine wenn ein Unternehmen Gefahr für sich selbst dar, sondern gegebenenfalls auch für alle anderen. Bundesinnenminister auf elektronischem Wege Dr. Thomas de Maizière sprach in Berlin davon, bedroht werden kann? Halten wir uns vor dass kleine und mittelständische Unternehmen Augen: Wirtschaftsschutz oftmals eng mit größeren Unternehmen zusammenarbeiten, zum Beispiel als Zulieferer. Sie sind ist eine Erweiterung des somit Bestandteil einer Sicherheitskette, die für schon alle Kooperationspartner von Belang sind. Der Level II des bereits Bestehenden. Vom Wachschutz mangelnde Eigenschutz eines einzigen Unternehmens innerhalb dieser Kette kann somit zum Sicherheitsrisiko aller anderen werden. Schutzes, den wir heute zum bieten – quasi Wirtschaftsschutz führt kein verschlungener Bundesinnenminister Dr. Thomas de Maizière während der Pfad, sondern eine gerade Auftaktveranstaltung der „Initiative Wirtschaftsschutz“ in Berlin. Unternehmen ein Bewusstsein für das Themenfeld Wirtschaftsschutz zu schaffen, ist ja beileibe Linie. (Bild: Christian Kruppa Photografie) kein Unterfangen, das erst seit kurzer Zeit unter- Ihr nommen wird. Bereits seit Jahrzehnten laufen Holger Köster < Der Versuch, bei kleinen und mittelständischen ambitionierte Sensibilisierungsversuche, ohne dass der ganz große Durchbruch erreicht wurde. Diese betrübliche Entwicklung den kleinen und mittelständischen Unternehmen anzulasten, wäre jedoch ein schwerer Fehler. 2 | 2016 DER SICHERHEITSDIENST DSD WIRTSCHAFTSSCHUTZ Wirtschaftsspionage: Wenn vom üppigen Steakteller nur die Garnierung übrig bleibt Von Klaus Henning Glitza vor Wirtschaftsschutz“2 steht, beschreibt eine wichtigsten Voraussetzungen für den Schutz der fremden Begehrlichkeiten bewahren will, muss „Filetstücke“ von Unternehmen gegen Spionage sie umfassend schützen. und Ausspähung. Nur wer seine so genann- > Sensibilisierungsspot zeigt: Wer die zen- 4 tralen Kernstücke des Unternehmens Der Sensibilisierungsspot der „Initiative Wirt- ten Assets vor unerwünschten fremden Zugriff schaftsschutz“ verdeutlicht pointiert, worum bewahrt, kann all dies, was sein Unternehmen es geht. Zwei Geschäftsleute sitzen in einem von anderen unterscheidet, seine Alleinstel- Restaurant. Einer bekommt ein saftiges Rinder- lungsmerkmale, sein geistiges Kapital in die filet samt Beilagen serviert, der andere nur die Zukunft tragen. KLAUS HENNING GLITZA Garnierung. Plötzlich schnappt sich der Mann Häufig wüssten die Betroffenen aber gar nicht, ist ehemaliger Redakteur der mit dem Sparmenü das Filetstück des anderen. was es dezidiert zu schützen gelte, verdeut- Hannoverschen Allgemeinen Betreten kommentiert der „Beraubte“: „Lassen lichte Dr. Hans-Georg Maaßen, Präsident des Zeitung, Träger des Deut- Sie sich nicht Ihre besten Stücke wegnehmen. Bundesamtes schen Förderpreises Kriminal- Seien Sie nicht so leichtfertig wie ich.“ für Verfassungsschutz (BfV). Als Beispiel nannte er den IT-Angriff auf die prävention (Stiftung Kriminal- Kürzer, knapper und treffender geht es Server des Deutschen Bundestages, der vom prävention, Münster), ist seit 2003 als Fachjournalist für kaum. Trotz der gewollten Überzeichnung hat der Sensibilisierungsspot1 viel mit dem realen lichkeit geheißen, bei dieser elektronischen Sicherheitsfragen tätig. Leben zu tun. Wirtschaftsspionage erfolge oft Attacke sei nichts wirklich Geheimes ausge- BfV entdeckt wurde. Oft habe es in der Öffent- ähnlich dreist, komme ähnlich unerwartet daher späht worden. Doch bei näherem Hinsehen rela- und werde ähnlich unterschätzt wie der Dieb- tiviere sich diese Aussage deutlich. Sofern der stahl des Filets, betonte Bundesinnenminister Angreifer Zugriff auf das interne Netz des Deut- Dr. Thomas de Maizière während der Auftakt- schen Bundestages hat, kann er beispielsweise veranstaltung der „Initiative Wirtschaftsschutz“ die Rufnummern und Erreichbarkeitsdaten von in Berlin. „Eine erfolgreiche Spionage erbeutet bedeutenden politischen Entscheidungsträgern das zentrale Kernstück. Zurück bleibt nur die erlangen. Diese kann er wiederum nutzen, um Garnierung.“ gezielte Ausspähungsaktivitäten gegen diese „Unternehmenswerte richtig schützen.“ zu ergreifen. Telefonnummern gehörten zu den Dieses Kapital, das aus gutem Grund an erster wichtigsten Grunddaten der strategischen Fern- Stelle des jüngst herausgegebenen „Leitfadens meldeüberwachung fremder Staaten und hätten für Angreifer höchsten Wert. Bezogen auf Unternehmen bedeuten bekanntgewordene Telefon- und Einwahlnummern, dass künftig vertrauliche Telefonate und Telefonkonferenzen abgehört werden können. Der beste Wach- und IT-Schutz gerät zur Makulatur, wenn sensible Informationen aus dem Telekommunikationsverkehr abgegriffen werden. Ziel muss es ein, die wirklichen Filetstücke zu identifizieren, diese gezielt zu schützen und sich nicht in einer nicht passgenauen Sicherheit zu verzetteln. Nehmen wir ein Beispiel: Wer an ein Maschinenbauunternehmen denkt, dem fallen als entscheidende Unternehmenswerte sofort Konstruktionspläne und Patente DSD DER SICHERHEITSDIENST 2 | 2016 WIRTSCHAFTSSCHUTZ ein. Das ist grundsätzlich nicht falsch, aber zu kurz gegriffen. Bundesinnenminister Dr. de Maizière wies bei der Auftaktveranstaltung „Initiative Wirtschaftsschutz“ in Berlin darauf hin, dass auch Produktpläne. Kundenlisten und Kontakte zu qualifizierten, günstigen Zulieferern ebenso zu den schützenswerten „Filetstücken“ gehören. Die „Filetstücke“, die „Kronjuwelen“, bestehen meist nicht nur aus einzigartigem technologischen Know-how, sondern auch aus speziellen Produktionsmethoden, besonderen Qualitätsmanagementprozessen, ausgeklügelten Vertriebs- Podiumsdiskussion während der Auftaktveranstaltung der „Initiative Wirtschaftsschutz“: wegen, (vl.) Evelyn Seibert (Moderatorin) Dr. Hans-Georg Maaßen, Gregor Lehnert und Holger Münch. optimierten Maßnahmen der Serviceleistungen, Kundenbindung und 5 (Bild: Christian Kruppa Photografie) natürlich aus Persönlichkeiten, die all dies repräsentieren. „Filetstücke“ müssen als zum angestrebten Ziel. Im Gegensatz zu in dieser Tiefe erlangen kann. Jedoch gibt Paket gesehen werden. So wie niemand Risiken, deren Eintrittswahrscheinlichkeit es probate Optionen der Hilfe zur Mithilfe. ein saftiges Rindersteak überschwäng- relativ gering ist, ist Wirtschaftsspionage Ein Externer kann durchaus aus objektiver lich loben wird, wenn die Vorsuppe und die und Konkurrenzausspähung als Angriff auf Sicht die Unternehmen auf bestimmte Beilagen qualitativ nicht mithalten können, das geistige Kapital eines Unternehmens, Aspekte aufmerksam machen und aus wird auch der Qualitätsbegriff stets durch jederzeit möglich. Der wachsende Konkur- übergreifendem Blickwinkel Vorschläge zu mehrere Faktoren bestimmt. Mit ande- renzdruck in einer zunehmend zusam- Sicherheitsmaßnahmen machen. ren Worten: Es muss nicht nur der „Kern“, menwachsenden Weltwirtschaft, die Oftmals genügen bereits einfachste sondern auch die „Schale“, die diesen Begehrlichkeiten aufstrebender Schwel- umgibt, geschützt werden. Jeder, auch ein len- und Entwicklungsländern und die verbessern. Denken wir an ein Unterneh- unwichtig erscheinender Bereich, muss einfache Erkenntnis, dass technologischer men, das Zugangskontrollsysteme. Video- darauf abgeklopft werden, ob er nicht als Rückstand am schnellsten und billigsten überwachungsanlagen und IT-Sicherheit „Bypass“ für einen Angriff ausgenutzt mit Know-how-Diebstahl aufgeholt werden vom Feinsten hat, aber seine Mitarbei- kann, wirken wie Turbos auf die globale ter nicht oder nur ungenügend sensibili- werden könnte. Selbst Mitarbeiterlisten sind ein Spionage. begehrtes Spionageziel. Zum einen lässt der zunehmende Gegenmaßnahmen, um den Schutz zu siert hat. Dr. de Maizière nannte in Berlin Es dürfte kein deutsches Unternehmen das Beispiel externer Speichermedien. Fachkräftemangel geben, das keine schützenswerten Assets „Es ist kaum zu glauben, in wie vielen manche Personaler bei der so genannten hat. Es gilt die Binsenweisheit: was man Unternehmen nach wie vor völlig sorglos Arbeitskraftbeschaffung „kreativ“ werden, hat, weiß man oftmals erst dann, wenn man nicht-firmeneigene um es diplomatisch auszudrücken. Und es nicht mehr hat. Genau wie es „Hidden tet sind. Das kann fatal sein bei fingier- zum anderen könnte mit der gezielten Champions“ gibt, gibt es auch versteckte ten Sticks, die Mitarbeiter auf Messen Abwerbung einer Fachkraft immer auch Unternehmenswerte, die uns erst nach geschenkt bekommen und die so zum die Absicht verbunden sein, neben der näherem Hinsehen ins Auge fallen. USB-Sticks gestat- Unterneh- Doch ohne Mitwirkung der Betriebe Vehikel von Trojanern werden.“ Ein sensibler Mitarbeiter, der wisse, mens-Know-how an den neuen Arbeits- geht nichts. Das Besondere ist, dass nur worauf es ankommt, sei die beste Firewall platz zu holen. das Unternehmen selbst die Kerndaten eines Betriebes, zitierte der Bundesminister dieser Analyse liefern kann. Es gibt kein Person deren spezifisches schaftsschutz ist ein Sicherheitskonzept, Patentrezept, Standardverfahren einen Sicherheitsexperten. Das gelte allerdings auch umgekehrt. Aktuelle Studien kurz Siko genannt. Ein Skriptum, das und schon gar keine Formeln, um Unter- zeigten, dass die Hälfte aller Angriffe unbe- vielen BDSW-Mitgliedsunternehmen aus nehmenswerte und den damit zusam- wusst oder bewusst von eigenen Mitarbei- täglicher Praxis bekannt ist. Im Siko menhängenden Schutzbedarf zu identifi- tern ausgeht. So habe ein Krankenhaus in werden die möglichen Bedrohungen und zieren. Jedes Unternehmen ist ein Unikat. Neuss jüngst vorübergehend geschlossen Gefahren identifiziert sowie Gegenmaß- Nur das Unternehmen selbst kennt alle werden müssen, weil ein offenbar nicht nahmen Schadensminimierungs- seine Facetten. Ein Know-how in eigener sensibilisierter Mitarbeiter einen dubiosen strategien beschrieben. Der erste Schritt Sache, das ein Außenstehender niemals E-Mail-Anhang geöffnet hat. Eine wichtige Grundlage für den Wirt- und kein ist die Auflistung der möglichen Risiken. Ein Risiko ist kurz formuliert eine negative Abweichung vom Normalzustand und 1 www.youtube.com/watch?v=nbLse7q55TI somit ein massives Hindernis auf dem Weg 2 www.wirtschaftsschutz.info/SharedDocs/Publikationen/DE/Ini_WiS/Leitfaden.html 2 | 2016 DER SICHERHEITSDIENST DSD WIRTSCHAFTSSCHUTZ Es ist eine altbekannte Tatsache, dass dent des Bundesamtes für Verfassungs- Allein eine höhere Sensibilität, ein Dinge nicht einfach passieren, sondern schutz deutlich. Als Spione durch so genann- geschärftes Bewusstsein für Bedrohungs- verursacht werden. Es gibt keine bekannten tes Social Engineering eruiert hatten, dass potenziale, ist ein großes Stück in Richtung „automatisierten“ Angriffe, vielmehr setzt ein Firmenchef gern und oft in einem italie- Wirtschaftsschutz. Schon ein kluger Mann namens Goethe wusste „Man sieht nur die raffinierteste IT-Attacke fast immer eine nischen Restaurant einkehrte, präparierten menschliche Handlung auf der Gegenseite sie die Webseite dieses Stammlokals mit das, was man weiß“. Mit anderen Worten: voraus. Selbst das Hacking der Bundestagsserver begann mit einer angeblich von den einer Malware. Der Unternehmer, der sich Nur bekannte Gefahren sind beherrsch- gerne über die aktuellen Angebote seines bare Gefahren. Vereinten Nationen stammenden Mail, die Lieblingsitalieners informierte, schleuste Wer weiß das besser und mit größerer auf eine infizierte Seite lockte. Wie raffiniert so unbewusst einen gefährlichen Trojaner in Expertise als die BDSW-Mitgliedsunter- die Angreifer vorgehen, machte der Präsi- das Firmennetzwerk ein. nehmen? < 6 Analysen und Hilfestellungen zum Wirtschaftsschutz Von Dr. Berthold Stoppelkamp Initiative Wirtschaftsschutz NIFIS-Studie: IT-Sicherheit und Auf dem am 26. April 2016 freigeschalteten Informationsportal Wirtschaftsschutz.info informieren ab sofort die nicht auf Servern von Firmen mit Mutter- oder verbänden über vielfältige Gefahren für die Tochtergesellschaften in den USA gespeichert deutsche Wirtschaft. Zugleich bietet das Infor- werden, um sich vor Spionage zu schützen. Wirtschaftsschutz Handlungsempfehlungen ist Leiter des Hauptstadtbüros und praxisnahe 63 Prozent wollen bei der Nutzung von Cloud- behördliche Diensten ausschließlich auf deutsche oder Sicherheitsinformationen, um diesen Gefahren www.nifis.org < www.wirtschaftsschutz.info < Sicherheitswirtschaft in Berlin Arbeitskreis Wirtschaftsschutz. zumindest europäische Anbieter zugreifen. entgegen zu wirken. des BDSW Bundesverband der und zuständiges Geschäftsführungsmitglied für den 87 Prozent der Unternehmen in Deutschland legen größten Wert darauf, dass ihre Daten gemeinsam mit Wirtschafts- und Sicherheits- mationsportal DR. BERTHOLD STOPPELKAMP Sicherheitsbehörden Datenschutz 2016 Kriminalitätsbarometer bitkom-Studie: Industrie im Visier Berlin-Brandenburg 2015 Damit liegt nun die fünfte empirische Analyse von Cyberkriminellen Laut dieser am 25. April 2016 vorgestellten zur Kriminalitätsbelastung der Unternehmen in Studie sind zwei von drei Industrieunternehmen dieser Region vor. Inhaltlich greift diese einzig- (69 Prozent) in Deutschland in den vergangenen artige, repräsentative Studie die Komplexe Jahren Opfer von Datendiebstahl, Wirtschafts- Kriminalitätseinstellungen, Kriminalitätsbelas- spionage oder Sabotage geworden. Pro Jahr tung, Dunkelfeld und Präventionseinstellungen entsteht ein Schaden von mehr als 22 Milliarden auf und kann auch für andere Regionen Deutsch- Euro. Mit der digitalen Vernetzung in der Indus- lands als gute Hilfestellung zur Verbesserung trie 4.0 entstehen neu Angriffsflächen. www.bitkom.org < des Wirtschaftsschutzes dienen. Am häufigsten (36,4 Prozent) waren die Unternehmen von Diebstahlskriminalität betroffen. www.akus.org < DSD DER SICHERHEITSDIENST 2 | 2016