Kleine und mittelständische Unternehmen machen es Angreifern zu einfach, an sensible Daten zu gelangen. Der VDI (Verein Deutscher Ingenieure) gibt an, dass die durch Wirtschaftsspionage entstehenden Kosten sich auf 100 Milliarden EUR belaufen. Sogar das Bundesamt für Verfassungsschutz unterhält für dieses Thema ein eigenes Ressort. Aber ist es überhaupt möglich, für dieses Problem eine vernünftige Lösung zu finden?

Für den Wirtschaftsstandort Deutschland ist Wirtschaftsspionage ein sehr großes Problem, welches Schäden in gewaltiger Höhe verursacht. Dabei sind die Schäden nicht immer sofort offensichtlich, wie z. B. bei Patentanmeldungen durch Dritte. In aller Regel zeigen sich die Schäden nicht unmittelbar, sondern beispielwese indirekt durch den Verlust eines Auftrags, weil ein Konkurrent ein günstigeres Angebot unterbreitet hat.

Dass ein Konkurrent im Falle von Wirtschaftsspionage preisgünstiger anbieten kann, ist klar: Aufgrund der illegal erlangten Daten spart der Konkurrent an Entwicklungskosten und kann sich direkt der Herstellung widmen. Deswegen schätzt der VDI die jährlichen Schäden auf gut 100 Milliarden Euro. Eine weitere Studie der Firma Samsung zeigt, dass bereits in 29 Prozent der Firmen mit mehr als 1.000 Mitarbeitern wichtige Daten auf privaten Geräten verloren gingen. Grund genug, mehr Prävention zu betreiben.

Allerdings verzichten viele kleine und mittelständige Unternehmen teilweise oder sogar ganz auf geeignete Schutzmaßnahmen. Durch Cloud-Dienste und die Nutzung privater Mobilgeräte (BYOD = Bring Your Own Device) werden im Gegensatz sogar noch weitere Türen weit aufgestoßen. Der Grund dafür liegt in erster Linie darin begründet, dass bei beiden Diensten ausschließlich die unmittelbare Kostenersparnis im Vordergrund steht, die Auswirkungen auf die Sicherheit der Daten jedoch nicht einmal ansatzweise beziffert wird.

Die Investition in Sicherheitsmaßnahmen zahlt sich aus.

Bei Cloud-Diensten wird oftmals bewusst darauf verzichtet, zu prüfen, wo die Daten denn liegen und wer darauf zugreifen kann – Hauptsache preisgünstig und unkompliziert. Bei der Nutzung privater Mobilgeräte wird ebenfalls nur auf die Kostenersparnis geachtet, die dadurch besteht, dass die Investition in das Arbeitsmittel sowie die Wartung desselben entfällt – das genutzte Arbeitsmittel ist Eigentum des Mitarbeiters! Doch genau hier ist der Wirtschaftsspionage Tür und Tor geöffnet.

Wer kontrolliert auf den Geräten laufenden Applikationen? Wer kontrolliert die Daten, die diese Applikationen nach außen schicken? Wer regelt die Daten, die der Mitarbeiter auf sein Gerät übertragen darf? Wer regelt den Zugriff auf solche Geräte, um z. B. Daten zu löschen? Diese und weitere andere Punkte müssen eindeutig zum Ziel der Sicherheit der Unternehmensdaten geregelt werden.

Der Mut zum Risiko ist erstaunlich groß.

In allen Fällen, in denen diese Maßnahmen nicht getroffen werden, haben es Cyber-Kriminelle sehr leicht, in ein Firmennetz einzudringen, um an wichtige Interna zu gelangen. Das Bewusstsein, hier handeln zu müssen, ist jedoch durchaus vorhanden. Eine Studie der „Nationale Initiative für Informations- und Internet-Sicherheit“ (NIFIS) zeigt, dass von den befragten Unternehmen 77 Prozent spezielle IT-Sicherheitslösungen für die Verwaltung und Schutz bei der Nutzung privater Mobilgeräte als notwendig erachten. Den Zugriff dieser Geräte auf sensible Unternehmensdaten nur eingeschränkt ermöglichen zu wollen erachten 65 Prozent als wichtig.

Allerdings fehlen vielfach Lösungen, um diese Ziele bzw. Wünsche umzusetzen. Dabei scheuen Firmen den dazu notwendigen Implementations- und Kontrollaufwand – vielfach herrscht leider noch die überholte Meinung vor, man selbst sei doch viel zu uninteressant, als dass man ausspioniert wird. Aber gerade der kleine Mittelstand, der in Deutschland die treibende Innovationskraft ist, vernachlässigt an dieser Stelle leichtsinnig und oberflächlich den Informationsschutz und riskiert in hohem Maße seine Geschäftsfähigkeit.

Trotzdem sollte man die Organisation nicht vernachlässigen. Wie viele Mitarbeiter nutzen ihre mobilen Geräte, um im öffentlichen Raum an Geschäftsdaten zu arbeiten? Ist das erwünscht und höher zu bewerten, als die Datensicherheit? Kann man auch hier geeignete Maßnahmen treffen, um die Kommunikation abhörsicher zu machen?

Wie viele Firmen haben geeignete Richtlinien bezüglich der Nutzung von sozialen Netzwerken? Es ist nämlich sehr einfach, aus den an sich harmlosen Beiträgen eines Mitarbeiters „Morgen bin ich auf Geschäftsreise bei der Firma ABC“ auf neue Entwicklungen zu schließen und weitere Spähmaßnahmen einzuleiten. Alle dadurch entstandenen Datenverluste lassen sich nicht durch technische Maßnahmen verhindern – hier ist die Sensibilisierung der Mitarbeiter gefragt. Sinnvoll kann das nur durch Schulungsmaßnahmen erfolgen.

Fazit

Die Tendenz, die neuen technischen Möglichkeiten ausschließlich generell auf Kostenersparnis hin auszuwählen, stellt ein riesiges Einfalltor für Wirtschaftsspionage dar. Gemeint sind hier sowohl die staatlich organisierte Spionage als auch die im Auftrag von Konkurrenzunternehmen.

Die meisten Wirtschaftsunternehmen in Deutschland sind zwar über das Problem unterrichtet, tun jedoch entweder zu wenig oder erst gar nichts für den Schutz ihrer Daten. Und falls etwas unternommen wird, so liegt das Augenmerk in aller Regel stark auf der IT-Technik, während die soziale Komponente der Mitarbeiter dabei vergessen wird.