Industriespionage nimmt weltweit in alarmierendem Ausmaß zu. Manche Staaten halten Konkurrenzausforschung gar für ein legitimes Mittel im globalen Wettbewerb. Fremde Geheimdienste, so warnt der Verfassungsschutz, nähmen deutsche Unternehmen verstärkt ins Visier - große Konzerne ebenso wie den innovationsfreudigen Mittelstand. Die Wettbewerbsfähigkeit der Volkswirtschaft insgesamt sei in Gefahr. Mit isolierten Schutzvorkehrungen für dieses oder jenes technische System ist dem Problem nicht beizukommen.

Notwendig ist vielmehr ein ganzheitlicher Risikomanagementansatz, bei dem die Information als solche in den Mittelpunkt rückt und über ihren Lebenszyklus hinweg betrachtet wird. Informationssicherheit darf auch nicht länger allein der IT-Abteilung überlassen bleiben. Die Führungsetage steht unter Zugzwang: Manager müssen ihre Mitarbeiter für das brisante Thema sensibilisieren und dem Schutz geschäftskritischer Informationen die entsprechende Priorität im Unternehmen verschaffen.

Information ist das Lebenselixier der Wissensgesellschaft: Kaum ein Prozess unserer Lebens- und Arbeitswelt, der nicht von steuernden, überwachenden oder dokumentierenden Informationsflüssen begleitet wäre. Vernetzte IT-Systeme in Fabriken, Banken und Behörden, Universitäten, Kauf- und Krankenhäusern und nicht zuletzt im Wohnzimmer daheim - die digitale Datenflut schwillt unaufhaltsam an. Aus jüngsten Erhebungen, die IDC im Auftrag von EMC durchgeführt hat, geht hervor, dass 2007 weltweit etwa 281 Milliarden Gigabytes im Umlauf waren. Bis 2011, so die Prognose, werde sich das digitale Universum gegenüber 2006 auf 1,8 Billionen Gigabyte verzehnfachen. Das sind knapp 2 Trilliarden Zeichen - eine Zahl mit 21 Stellen.

Schäden in Milliardenhöhe

Wie gut ein Unternehmen relevante Informationen selektieren und zu komplexem Wissen verknüpfen kann - davon hängen Innovationskraft und Geschäftserfolg unmittelbar ab. Deutschland ist eine Innovationsnation par excellence. Die Produktion mag aus Kostengründen ins Ausland abwandern, Forschung und Entwicklung jedoch bleiben der Heimat meist treu. Das zeigt sich zum Beispiel im Maschinenbau, einer der tragenden Säulen der deutschen Volkswirtschaft. Das dort akkumulierte Konstruktions- und Fertigungs-Know-how repräsentiert eines der wertvollsten Güter der Unternehmen - immaterielles Kapital, um das uns mancher in der Welt beneidet.

Informationen indes sind ein flüchtiges Gut: Wie leicht lassen sie sich digital kopieren, und manches Geschäftsgeheimnis fließt verbal aus dem Unternehmen ab, etwa in einem unbedachten Gespräch auf einer Messe. Da die Information nicht im Wortsinn verloren geht, sondern „nur" der exklusive Besitz daran, bemerkt zunächst meist niemand den Verlust. Erst wenn mit fremdem Know-how billig hergestellte Waren den Markt zu Dumping-Preisen überschwemmen, wird der Datendiebstahl offenkundig. Dann aber ist es zu spät. Fast jedes fünfte deutsche Unternehmen war bereits Ziel eines Spionageangriffs. 64,4 Prozent der von Ausforschung betroffenen Unternehmen klagten über finanzielle Folgen, so eine aktuelle Studie zu Industriespionage von Corporate Trust. Die Schadenssummen rangieren dabei zwischen 10.000 und einer Million Euro. Besonders bitter: Kaum eine Versicherung kompensiert Schäden infolge von Industriespionage. Denn in der Regel ist es sehr schwierig, den Spionagevorfall selbst sowie den dadurch verursachten monetären Schaden zu beziffern, wie es gängige Vertrauensschadenversicherungen jedoch verlangen.

Die Dunkelziffer von Industriespionagevorfällen ist riesig. Dr. August Hanning, Staatssekretär im Bundesinnenministerium und ehemaliger Leiter des Bundesnachrichtendienstes sprach im Oktober letzten Jahres von geschätzten 20 Milliarden Euro pro Jahr. In einem Interview führte er weiter aus: „Im verschärften internationalen Wettbewerb operieren unsere Konkurrenten beim Ringen um Marktanteile zunehmend mit dem Mittel der Wirtschaftsspionage. Sie ersparen sich damit eigene Forschungs- und Entwicklungskosten." Diebstahl statt Forschung, so das leider stimmige Kalkül, senkt die Produktionskosten der Konkurrenten - und vernichtet hierzulande Arbeitsplätze.

Gefahr noch immer unterschätzt

Die Pullacher Behörde unterscheidet ebenso wie der Verfassungsschutz zwischen staatlich gelenkter beziehungsweise gestützter und quasi privatwirtschaftlicher Konkurrenzausspähung. Nur im ersten Fall findet der Begriff Wirtschaftsspionage Anwendung. Und nur in diesem Fall treten bundesdeutsche Abwehrdienste in Aktion. Dies allerdings immer häufiger. Denn die professionelle Ausspähung deutscher Unternehmen unter Mittäterschaft fremder Geheimdienste hat bedrohliche Ausmaße angenommen. Die meisten Angriffe kommen aus Fernost, verschiedenen Schwellenländern und - im Verfassungsschutzbericht 2007 erneut explizit erwähnt - aus der Russischen Föderation. Von Ausspähung durch Geheimdienste und ausländische Konkurrenten in besonderem Maße bedroht sind laut Verfassungsschutzbericht Spitzentechnologiefelder, in denen Deutschland international vorne liegt. Genannt werden: Automobilbau, erneuerbare Energien, Chemieindustrie, Kommunikationstechnik, Optoelektronik, Röntgen- und Rüstungstechnologie, Verbundwerkstoff- und Materialforschung sowie Werkzeugmaschinenbau. Trotz der offenkundig wachsenden Gefahr unterschätzen viele deutsche Unternehmer das Risiko: Zwar glauben 80 Prozent der von Corporate Trust Befragten an einen weltweiten Anstieg der Industriespionage. Doch nur 33,7 Prozent leiten daraus ein höheres Bedrohungspotenzial für das eigene Unternehmen ab.

Die miesen Tricks der Datendiebe

Die Spionagemethoden beinhalten klassische Ausforschungs- und Abhörmethoden und schließen verstärkt generalstabsmäßig geplante Angriffe auf Computernetze und digitale Kommunikationssysteme ein. Der chinesische Geheimdienst beispielsweise schleust vermehrt als Praktikanten getarnte Spione in deutsche Firmen ein, warnen Verfassungsschützer. Russische Dienste hingegen versuchen, Mitarbeiter anzuwerben, um sie im Anschluss abzuschöpfen. Vorsicht geboten ist auch bei externen Mitarbeitern: Beratern wird zum Beispiel allzu leichtfertig ein eigener Netzwerkanschluss und damit Zugriff auf sensible Unternehmensdaten gewährt. Oder bestochene Reinigungskräfte schließen unbeobachtet einen sogenannten Key-Logger an die Bürocomputer an. Die unscheinbaren Adapter werden einfach zwischen Tastaturkabel und PC gesteckt und schneiden dann sämtliche Tastatureingaben mit. Besonders interessant natürlich: Zugangskennungen und Passwörter. Diese lassen sich auch über den Monitor auf einfache Weise erschleichen. Denn vor allem ältere Computer strahlen ihr Bild meterweit ab. Oft genügt eine einfache Fernsehantenne im Nebenraum, um den Bildschirminhalt mitzulesen. Immer aufwendiger und raffinierter dagegen werden professionelle Hightech-Lauschangriffe: Wanzen erleben ein Comeback, versteckt zum Beispiel in der Kaffeekanne. Selbst vertrauliche Gespräche in geschlossenen Räumen lassen sich aus großer Entfernung abhören - etwa per Laser, der die Vibration von Fensterscheiben abtastet.

Der Verfassungsschutz rät

„Betroffene und gefährdete Unternehmen sollten nicht davor zurückschrecken, den Verfassungsschutz zu konsultieren", rät Hans Elmar Remberg, Vizepräsident des Bundesamts für Verfassungsschutz. Spionageabwehr zählt zu den Kernkompetenzen der Kölner Behörde. Deren Erfahrungen im politischen und militärstrategischen Bereich können überaus nützlich sein für die Abwehr von Wirtschaftsspionage. Besser jedoch ist es, den Fall der Fälle erst gar nicht abzuwarten. Auch beim Informationsschutz gilt: Prophylaxe ist die beste Therapie. Angesichts unüberschaubarer Datenmengen und in vielen Unternehmen fluktuierender Belegschaft kann Prävention nur durch ein informationszentriertes Risikomanagement gelingen. Ziel muss es sein, die Integrität und Vertraulichkeit geschäftskritischer Informationen während des ganzen Lebenszyklus mit minimalem Kostenaufwand zu garantieren. Unabhängig davon, wo diese Informationen gespeichert sind und wer in welcher Situation und über welches Zugangsmedium darauf zugreift.

Ganzheitliches Information Risk Management

Nicht alle Informationen sind aus Sicherheitsperspektive in gleichem Maße schutzbedürftig. Zunächst gilt es herauszufinden, wo im Unternehmen welche Arten von Informationen generiert, verarbeitet, wiederverwendet und schließlich archiviert werden. Im zweiten Schritt ist festzustellen, welche dieser Daten vertraulich sind. Beantworten lässt sich diese Frage nur im Kontext der konkreten Geschäftsprozesse und vor dem Hintergrund von Organisationsstruktur, Personal, IT-Anwendungen und der alles verbindenden Netzwerkinfrastruktur. Je höher das Tempo auf den Märkten, desto dynamischer wird diese Umgebung. Der Schutz vor Vertraulichkeits- und Integritätsverlust von Informationen kann daher kein ein für allemal erreichbarer Zustand sein. Information Risk Management muss stattdessen als fortwährender Prozess im Information Lifecycle Management fest verankert werden.

Erst die detaillierte Kenntnis des Statusquo im Unternehmen schafft die Voraussetzung für eine fundierte Risikobewertung und liefert damit die Entscheidungsgrundlage für gegebenenfalls notwendige Investitionen in zusätzliche Sicherheitsvorkehrungen. Der Ablauf für ein durchgängiges Risk Information Management lässt sich grob in folgende Abschnitte gliedern:

• Identifizieren und Klassifizieren: Geschäftskritische Informationen werden über sämtliche Datenquellen hinweg lokalisiert und gemäß Schutzbedarf priorisiert.
• Definition von Sicherheitsrichtlinien: Hier wird der Umgang mit sensiblen Informationen konkret festgelegt, also das „Wie" des Informationsschutzes beschrieben. Richtlinien betreffen zwar vorrangig Daten und IT-Infrastruktur, schließen aber auch Personalfragen ein, zum Beispiel Verhaltens- und Kommunikationsregeln mit Partnern, Kunden und Medien.
• Durchsetzen der Richtlinien: In diesem Schritt werden alle erforderlichen organisatorischen Maßnahmen eingeleitet und entsprechende Technologien implementiert, beispielsweise Authentifizierungs- und Zugriffskontrolllösungen für bestimmte IT-Anwendungen sowie Mitarbeiterschulungen und die Vergabe von Rollen und Rechten.
• Kontrolle und Dokumentation: Schließlich gilt es, die Einhaltung der Richtlinien zu überwachen und den Sicherheitsstatus technischer Systeme lückenlos zu dokumentieren.

Compliance wird bezahlbar

Der präventive Schutz vor digitalen oder traditionellen Spionageangriffen hat noch einen weiteren Aspekt: In vielen Branchen nämlich blockiert der Zwang, Compliance mit einem schier undurchschaubaren Dickicht nationaler und EU-weiter Bestimmungen nachzuweisen, etliche Abläufe und treibt die Kosten in die Höhe. Die Verifizierbarkeit der Sicherheit schutzwürdiger Geschäftsinformationen samt aller zugrundeliegenden Prozesse und Systeme schafft Abhilfe und ermöglicht damit auch eine kosteneffiziente Compliance-Strategie. Ein ganzheitliches Information-Risk-Konzept, das in eine übergeordnete ILM-Strategie eingebettet ist, vermeidet demnach nicht nur wirtschaftliche Schäden infolge von Industriespionage, sondern begrenzt zugleich laufende Kosten. Die Wettbewerbsfähigkeit eines Unternehmens wird also auch auf dieser Ebene nachhaltig gestärkt. Und dreisten Dieben wird das kriminelle Treiben zunehmend schwerer gemacht - wenn nicht sogar unmöglich.