Können Sie schweigen?
Von Sabine Philipp
Wenn Unternehmensinformationen in die falschen Hände gelangen, ist der Dreh- und Angelpunkt fast immer der Mensch. Das belegen Untersuchungen zur Industriespionage wie die Studie von Corporate Trust mit bestürzender Regelmäßigkeit. Neben dem frustrierten Mitarbeiter, der dem Chef eins auswischen möchte und dem hoch verschuldeten Kollegen, der keinen anderen Ausweg sieht, wird so mancher auch unbewusst für den Feind tätig.
Wer hat in seinem Bekanntenkreis noch nichts von der Arbeit erzählt? Leider hört manchmal auch der Feind mit. Oft unbemerkt. Er sitzt z.B. im selben Eisenbahnabteil, wenn ein Telefonat über das Handy geführt wird. Oder er treibt sich auf Messen und bei Auslandsbesuchen herum. Denn dort fühlen sich viele Menschen einsam und erzählen nach dem einen oder anderen Gläschen mehr, als sie eigentlich sollten. Manchmal sind es auch scheinbar nette Menschen, die gezielt auf die Mitarbeiter angesetzt werden, am Ende mit Drogen etwas nachhelfen – und anschließend den Laptop stehlen.
Sensibilisieren Sie also Ihre Mitarbeiter, dass sie nicht über Vorkommnisse im Betrieb reden sollen. Auch wenn sie noch so harmlos erscheinen. Man muss allerdings dazu sagen, dass es nicht immer leicht ist, den Mund zu halten. Denn die Spione sind mitunter psychologisch geschult und kennen viele Tricks, um das Vertrauen der Leute zu gewinnen.
Unter uns gesagt
Vor allem Mitarbeiter in gehobener Position werden bevorzugt eingeladen oder erhalten sonstige Gefälligkeiten. Dadurch entstehen relativ rasch Abhängigkeiten oder die Verbindung wird gar mit Freundschaft verwechselt. Leute, die anderen „einen Gefallen schulden“, sind eine stets offene Informationslücke für Firmengeheimnisse. Aufklärung innerhalb des Unternehmens tut hier besonders Not.
Die Einführung ins Thema steckt das Feld der Gefahren ab und sagt, warum gerade KMU im Kreuzfeuer stehen. Teil 1 geht zum Lauschangriff über und hört mit, was passiert, wenn ausländische Agenten im Staatsauftrag mitmischen. Teil 2 setzt im Gegenzug bei Know-how- und Geheimnisträgern innerhalb der Firma an und will wissen, ob Angestellte dicht halten. Teil 3 prüft die IT-Verteidigung und gibt praktische Tipps, wie Schnüffler keine Chance haben. Teil 4 geht schließlich die Notfallpläne durch – damit der Schaden gering bleibt und die Täter nicht ungestraft davonkommen. Ein separater Sonderbeitrag warnt außerdem vor den gängigsten Schlichen, Tricks und Masken von Konkurrenz und Geheimdiensten.
Das gilt ebenso bei Nebentätigkeiten. Die sollten immer angegeben werden. Denn gerne werden Mitarbeiter in ihrer Freizeit z.B. für einen Vortrag engagiert, bei dem sie über eine bestimmte Technik, die sie mitentwickelt haben, referieren sollen. Man fühlt sich geehrt und gewürdigt – aber nicht selten kommt die Einladung direkt von der Konkurrenz.
Im Chatroom des Feindes
Trojaner und Schnüffelsoftware scheinen auf den ersten Blick ein rein technisches Sicherheitsproblem zu sein. Das stimmt leider nicht ganz, denn Gauner, die auf Aushorchen aus sind, haben ihre Strategie den modernen Zeiten angepasst und tummeln sich nun unerkannt in sozialen Netzwerken à la Facebook. Stichwort: Social Engineering.
Die Spione sammeln im Web zunächst möglichst viele Informationen über das potenzielle Opfer, z.B. Konferenzbesuche und Mitgliedschaften in Organisationen, die auf Netzwerkportalen veröffentlicht sind. Anschließend kontaktieren die Täter mithilfe dieser Infos gezielt den Mitarbeiter oder sie locken ihn auf passgenau infizierte Seiten.
Bevor Sie im Verdachtsfall nach dem Maulwurf im Betrieb graben, sollten prüfen, ob die regulären Informationskanäle überhaupt dicht sind. Der Hauptschwachpunkt: E-Mail. Ein typischer Fall sind längst veraltete oder schlicht falsche Verteiler, die auch Unbefugte auf dem Laufenden halten.
Eine weitere beliebte Methode ist es, im Namen von Netzwerkbekannten, deren Namen ebenfalls öffentlich sind, Nachrichten zu verschicken bzw. deren Accounts zu knacken. Das immer gleiche Prinzip, mit dem Firmen ihre E-Mail-Adressen zusammensetzen (z.B. erster Buchstabe des Vornamens, Punkt, Nachname, @-Zeichen und Firmendomain) hilft den Tricksern dabei beträchtlich. Sie müssen dann nur eins und eins zusammenrechnen und haben die Kontaktinfo.
Fazit: Es geschieht jeden Tag
So entlegen, überdimensioniert und aufwändig die Mittel vielleicht manchem erscheinen – unrealistisch sind diese Szenarien keineswegs; sie alle wurden in Berichten des Verfassungsschutzes bestätigt oder kamen im Gespräch mit IT-Unternehmen wie Cisco zur Sprache.
Im Gespräch mit dem MittelstandsWiki berichtet Christian Schaaf, Geschäftsführer von Corporate Trust und Fachautor, warum Vertriebsdaten so wertvoll sind, was Angestellte vom geraden Weg abbringt und warum Aushorcher oft leichtes Spiel haben. „Viele Firmen“, sagt er, „vergessen, dass die Täter hinter der Firewall sitzen.“
Corporate Trust Business Risk & Crisis Management GmbH, Graf-zu-Castell-Straße 1, 81829 München, Tel.: 089-599887580, info@corporate-trust.de, www.corporate-trust.de
Nun ist Paranoia zwar ein schlechter Ratgeber, aber ein gesundes Misstrauen ist wichtig. Klären Sie Ihre Mitarbeiter daher auf, denn häufig sind sie überfordert, wenn Täter sie kontaktieren. Am wichtigsten ist, dass Sie ein offenes Ohr für Ihre Mitarbeiter haben – gerade wenn es für sie bereits unangenehm und peinlich ist, mit der Sprache herauszurücken, weil sie sich verplappert haben oder gar erpresst werden.
- Das größte Verständnis nutzt aber wenig, wenn Mitarbeiter Sie bewusst hintergehen, sei es aus Geltungssucht, aus Geldgier oder aus gekränkter Ehre. Deshalb ist es wichtig, noch andere Methoden zu Absicherung zu verwenden. Mehr darüber erfahren Sie in Teil 3 dieser Serie.