Industriespionage gehört zu den Kriminalzweigen mit stark wachsenden Zuwachsraten. Dabei stehen nicht nur die „Großen“ im Focus der Wirtschaftskriminellen, sondern zunehmend kleine und mittelständische Unternehmen.
Datendiebe zielen darauf ab, Informationen aller Art zu stehlen, um sich somit Wettbewerbsvorteile zu verschaffen. Dabei wird ein Großteil der Angriffe auf Unternehmenswissen mit Hilfe von sogenannten „Social-Engineering-Techniken“ durchgeführt.
Social-Engineering
Social-Engineering beschreibt das Sammeln von Teilinformationen, welche in aller Regel durch das Ausnutzen normaler menschlicher Stärken und Schwächen sowohl im privaten als auch im beruflichen Alltag von Mitarbeitern erlangt werden. Diese Teilinformationen werden mit steigender „Informationsgewinnung“ nach und nach wie ein Puzzle zu einem Ganzen zusammengeführt.
Ungefähr 25% der Unternehmen sind davon betroffen, meist ohne dass diese es bemerken. Wie kann man sich aber davor schützen?
Der Mensch als Risikofaktor
Social-Engineering gefährdet seit vielen Jahren weltweit existenzwichtiges unternehmerisches Wissenskapital. Die verwendeten Methoden gehören zu den perfidesten Spionagetechniken, denn diese haben als Hauptangriffspunkt Menschen, deren Stärken und Schwächen hemmungslos ausgenutzt werden. Social-Engineering greift nicht nur Unternehmensmitarbeiter an, sondern auch deren privates Umfeld (Familien-, Freundes- und Bekanntenkreis).
Skrupellos ausgenutzt werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Dankbarkeit, Einsamkeit, Autoritätsdenken, Unsicherheit, Bequemlichkeit, Stolz, Angst vor Konflikten, Kontaktbedürfnis usw. Dabei laufen viele Angriffe über ahnungslose Dritte.
Mitarbeiter bemerken diese Methodik meist nicht – unternehmensinterne Vorschriften und Verhaltensregeln bieten in diesen Fällen kaum bis gar keine Unterstützung, da der Informationsabgriff außerhalb des direkten Schutzbereiches des Unternehmens stattfindet.
Die Angriffsziele sind vielfältig. Meist jedoch geht es darum, gezielt Firmeninterna zu erlangen, um sich Wettbewerbsvorteile zu verschaffen. Auch Sabotage kann dabei ein Ziel sein, um dem Wettbewerber Schaden zuzufügen. Dabei versuchen Wirtschaftskriminelle durch Informationsklau sich einen Weg zu Firmennetzwerken zu verschaffen: Benutzernamen, Passwörter, Kontakte, E-Mail-Verkehr, Baupläne, Preislisten, Verträge, Verhandlungsprotokolle usw. sind beliebte Puzzlebausteine, die einerseits direkte Informationen des Wettbewerbers liefern und anderseits den Weg zum Firmennetzwerk ebnen.
Soziale Netzwerke, Kontaktbörsen, Foren, Firmenwebseiten und andere allgemein zugängliche Informationspools sind für Kriminelle eine dankbare Informationsquelle, um sich auf ihre Opfer vorzubereiten. Nicht selten werden bereits hier die ersten Kontakte mit den ahnungslosen Opfern geknüpft.
Auch Anrufe im Unternehmen gehören zu diesen Vorbereitungen. Sie haben allerdings noch nicht die direkte Nachrichtenbeschaffung zum Ziel, sondern sie zielen auf die Erlangung ergänzender Informationen. Scheinbar beiläufig und belanglos erscheinende Informationen werden später wie ein Puzzle zusammengefügt.
Einige Fakten der Industriespionage
Ungefähr jedes dritte bis vierte Unternehmen in Europa ist von Industriespionage bedroht. Dabei handelt es sich um Unternehmen aller Größen, die ein oder mehrmals pro Jahr professionell durch Industriespionage angegriffen werden. Der geschätzte Gesamtschaden liegt in mehrstelliger Milliardenhöhe. Der damalige Bundesinnenminister Hans-Peter Friedrich hat 2013 den Schaden durch Industriespionage auf etwa 50 Milliarden Euro geschätzt.
Das Eindringen in IT-Systeme spielt bei Industriespionage lediglich eine Teilrolle. Ein ebenso großer Anteil der Angriffe auf das unternehmerische Wissen macht sich Social-Engineering-Techniken zunutze.
Häufig werden nichtsahnende Dienstleister in die Angriffe mit eingebunden. Genutzt werden Detailinformationen aus den Kreisen der Dienstleister wie auch unklare Kommunikationsschnittstellen zu Kunden.
Praxisbeispiel aus dem Alltag eines Bahnreisenden
ICE-Fall Auftraggeber professioneller Spionageteams kommen aus dem Investmentbereich ebenso wie aus Wettbewerbern, Journalisten oder aus politischen Interessengruppen. Nicht selten verbergen sich auch staatliche Institutionen darunter.
Der Vertriebsmitarbeiter eines großen, mittelständischen Maschinenbauunternehmens reist mit dem ICE der deutschen Bahn. Auf einem Vertriebskongress lernt er eine freundliche Vertriebsmitarbeiterin eines anderen Unternehmens kennen. Während eines Gespräches stellen beide fest, dass sie am nächsten Tag den Heimweg zufällig im selben Zug antreten werden.
Nachdem am nächsten Tag beide im Abteil Platz genommen haben, klappen sie ihre Notebooks auf, um etwas zu arbeiten. Der Vertriebsmitarbeiter geht nach einiger Zeit ins Bordbistro, um etwas zu trinken zu besorgen. Am Zielort angekommen verabschieden sie sich und tauschen ihre Kontaktdaten aus.
Am nächsten Tag stellte der Vertriebsmitarbeiter fest, dass einer seiner USB-Anschlüsse am Notebook angeblich defekt war. Es stellte sich aber heraus, dass es sich darin ein kaum zu bemerkendes Spezialmodul befand, das nicht nur jeden Tastaturanschlag aufzeichnete, sondern zusammen mit diesen Tastaturimpulsen – also auch mit allen Passwörtern – den Inhalt der Festplatte stückweise an eine unbekannte Internetadresse schickte, sobald der er online war.
Hier kann man davon ausgehen, dass ihm dieses Bauteil in den USB-Anschluss gedrückt wurde, als er sein Notebook im Zug für wenige Minuten aus den Augen verloren hatte. Das wird dadurch bestärkt, dass das Unternehmen der Zugbegleiterin eine Fiktion war – die Kontaktdaten waren gefälscht. Hier fand ein Social-Engineering-Angriff aus einer Kombination von menschlichem Verhalten und High-Tech-Ausrüstung statt.
Wie schätzen sich potenziell betroffene Unternehmen ein?
Eine Befragung von Führungskräften aus 50 Unternehmen, wo diese die größten Gefahren für Informationsschutz sehen ergab folgende Ergebnisse:
- Gefahrenunterschätzung der Reisenden
- Schwierig einzuschätzende Messe- und Kongressteilnehmer als Gesprächspartner
- Unnötig viele vertrauliche Daten auf Laptops, Tablets und Smartphones
- Fallen mit „netten“ Bekanntschaften
In derselben Umfrage wurde um eine Einschätzung der Sicherheit vertraulicher Informationen und Materialien im eigenen Unternehmen gebeten. Oft zeugen die Antworten von erheblicher Unwissenheit der wirklichen Spionagetechniken und einer alarmierenden Verkennung realer Gefahren. Beispiele von Antworten: „Bei uns hat jeder Verhaltensregeln unterschrieben.“ „Wir haben einen Sicherheitsbeauftragten.“ „Wir vertrauen unseren Dienstleistern.“ „Unsere IT ist sehr gut geschützt.“ Oder sehr oft: „Bei uns gibt es nichts zu stehlen.“
Wie können Mitarbeiter geschützt werden?
Um einen wirkungsvollen Schutz vor Social-Engineer-Angriffen zu ermöglichen, muss als erstes klar und unmissverständlich definiert werden, was im Unternehmen besonders schützenwert ist. Danach muss man diese besonders schützenwerte Information mit den Augen erfahrener Spione betrachten. Hier müssen u. a. alle Schwachstellen in relevanten Prozessen, sowie im Alltagsverhalten gefunden und analysiert werden. Daraus müssen geeignete Maßnahmen zum Schutz dieser Information erarbeitet und ständig weiter entwickelt werden.
Ein großer Teil von Social-Engineer-Angriffen geschieht während Dienstreisen, Besprechungen und Tagungen. Aus diesem Grund ist es sehr wichtig, vor allem reisende Mitarbeiter über die Möglichkeiten und Vorgehensweisen dieser Spionagemethoden aufzuklären. Wenn der Mitarbeiter die Angriffstechniken kennt, kann er sich entsprechend vorbereiten. Allerdings helfen hierbei weder Broschüren, noch warnende E-Mails – nur praxisgerechte und professionelle Seminare, die diese Angriffsformen und die Tricks der Spione sehr genau kennen, können für die richtige Sensibilisierung der Mitarbeiter sorgen und damit zu einem effektiveren Schutz beitragen.
Der sorglose bzw. unwissende Mitarbeiter stellt das größte Sicherheitsrisiko im Unternehmen dar. Ist er aber gut geschult und informiert, kann er auch zum besten Schutzschild gegen Angreifer mutieren – eine „menschliche Firewall“ sozusagen. Ständige Schulungs- und Informationsmaßnahmen stellen die einzige Möglichkeit dar, Mitarbeiter als wirkungsvollen Schutzschild in die Unternehmenssicherheit einzubinden und somit die schwächste Sicherheitsstelle im Unternehmen zu stärken.
Nehmen Sie das Thema IT-Sicherheit bitte Ernst, denn es kann jeden treffen. Hier ein Beispiel aus der aktuellen Presse (Quelle: Handelsblatt):
»China steigt in den Himmel der Industrienationen auf: Im Rahmen der Luftfahrtmesse in Zhuhai wurde als Weltpremiere der Regionaljet ARJ-21 vorgestellt, eine Maschine mit 90 Plätzen. Es ist das erste größere Passagierflugzeug der Volksrepublik. Die Manager von Airbus und Boeing zeigten sich beeindruckt, auch von den vielen Bauteilen, die ihnen bekannt vorkamen.«
Um sich vor der steigenden Cyberkriminalität zu schützen, bietet die isential gmbh ein Lösungspaket an, welches aus verschiedenen, ineinandergreifenden Komponenten besteht. Wir beginnen mit der Erstellung einer ersten Bestandsaufnahme und einer exakten Systemanalyse. Danach erarbeiten wir ein Sollkonzept mit entsprechenden Lösungsansätzen, bei der selbstverständlich auch die Kosten-/Nutzen-Rechnung mit einfließt. Unsere Konzeption besteht aus einer Vielzahl aufeinander abgestimmte Module – alle „Made in Germany“.
isential gmbh schult regelmäßig Ihre Mitarbeiter im Sicherheitsbereich und sorgt für den notwendigen Informationsfluss. Wir informieren kontinuierlich Ihre Mitarbeiter über neue Bedrohungsszenarien, was zu einer erheblichen Erhöhung der Sicherheit in Ihrem Unternehmen beiträgt.
Sprechen Sie uns einfach an. Gemeinsam sorgen wir für den notwendigen Unternehmensschutz.