Industriespionage

Es trifft nicht immer nur die Großen

06.11.2014


Uwe Schrei schreibt als Vertriebsexperte zu den Themen Vertriebsoptimierung, Führungskräfte-Entwicklung und Change Management. Sein Unternehmen SMS Senior Management Services  kooperiert mit der Akademie der Steinbeis Hochschule Berlin und stellt damit mittelständischen Unternehmen im IT-Umfeld aktuelles und fundiertes Vertriebswissen zur Verfügung.
Industriespionage nimmt deutlich zu. Immer häufiger stehen dabei auch kleine und mittelständische Firmen im Fokus dieser Angriffe, die darauf abzielen, Informationen zu Wettbewerbsvorteilen zu stehlen.
Datendiebe sind oft näher am Unternehmenumfeld, als so mancher Security-Verantwortliche vermutet.
Datendiebe sind oft näher am Unternehmenumfeld, als so mancher Security-Verantwortliche vermutet.
Foto:

Der größte Anteil der Angriffe auf unternehmerisches Wissen verwendet "Social Engineering - Techniken". Ein puzzleartiges Sammeln von Teilinformationen, meist durch das Nutzen ganz normaler menschlicher Stärken und Schwächen im privaten und beruflichen Alltag von Mitarbeitern. Etwa jedes 4. Unternehmen ist betroffen-meist ohne es zu bemerken. Wie kann man sich - insbesondere im Vertrieb - davor schützen?

Social Engineering - Risikofaktor Mensch

Social Engineering bezeichnet eine der perfidesten Spionagetechniken, die seit vielen Jahren weltweit existenzwichtiges unternehmerisches Wissenskapital gefährden. Angriffspunkte sind häufig Mitarbeiter im Außendienst (Vertriebs- und Servicemitarbeiter) oder deren Familienmitglieder. Benutzt werden menschliche Reaktionen und Verhaltensweisen wie beispielsweise Dankbarkeit, Hilfsbereitschaft, Einsamkeit, Autoritätsdenken, Stolz, Unsicherheit, Bequemlichkeit, Angst vor Konflikten oder Kontaktbedürfnis. Ein Großteil der Angriffe läuft auch über nichts ahnende Dienstleister und Zulieferer wie Werbeagenturen, Übersetzungsbüros, Wirtschaftsprüfer oder IT-Provider.
Mitarbeiter merken meist nichts von der Methodik, weshalb unternehmensinterne Compliance-Regeln und andere Verhaltensvorschriften hier kaum Unterstützung bieten.

Ziel der Angriffe ist zumeist das Erlangen von Firmeninterna oder sensiblen Daten, die eigene Strategien und Vorhaben erleichtern oder zur Vorbereitung eines Eindringens in Firmennetzwerke oder Werksgelände selbst dienen. Bevorzugt werden durch diese raffinierten Aktivitäten Baupläne, Preislisten, Verträge, Verhandlungsprotokolle und Ähnliches ergattert, oder Diebstähle vorbereitet.

Soziale Netzwerke, Firmenwebseiten und andere allgemein zugängliche Informationsquellen bieten dem Social Engineer umfangreiche Möglichkeiten, um sich auf seine Opfer umfassend vorzubereiten und mit diesen erste Kontakte zu knüpfen. Zu diesen Vorfeldermittlungen können auch Anrufe im Unternehmen gehören, die jedoch noch nicht die direkte Nachrichtenbeschaffung zum Ziel haben, sondern auf die Erlangung ergänzender Informationen zielen. Vermeintlich nebensächlich und unwichtig erscheinende Informationen werden später wie ein Puzzle zusammengefügt.

Angriffe auf unternehmensinterne Daten können allgegenwärtig sein.
Angriffe auf unternehmensinterne Daten können allgegenwärtig sein.
Foto: F. Pfluegl - Fotolia

Industriespionage: wichtige Fakten

  • Etwa jedes dritte bis vierte Unternehmen in Europe ist gefährdet.
    Betroffene Unternehmen aller Größen werden ein oder mehrmals pro Jahr professionell durch Industriespionage angegriffen. Der geschätzte Gesamtschaden liegt in Milliardenhöhe. Hans-Peter Friedrich hat 2013 als damaliger Bundesinnenminister den Schaden durch Wirtschaftsspionage auf etwa 50 Milliarden Euro gechätzt.

  • Das Eindringen in IT-Systeme spielt bei Industriespionage nur eine Teilrolle.
    Ein ebenso großer Anteil der Attacken auf unternehmerisches Wissen verwendet Social Engineering-Techniken.

  • Oft werden ahnungslose Dienstleister in die Angriffe mit eingebunden.
    Genutzt werden Detailinformationen aus Dienstleisterkreisen sowie unklare kommunikative Schnittstellen zu Kunden.

  • Die Auftraggeber professioneller Spionageteams kommen laut der Studie: Industriespionage 2014 aus unterschiedlichen Gruppen. Aus dem Investmentbereich ebenso wie aus Mitanbietern, Journalisten oder aus politischen Interessengruppen.

Praxisbeispiel: im ICE der Deutschen Bahn

Günther W. ist Vertriebsmitarbeiter eines großen, mitttelständischen Maschinenbauunternehmens. Im Rahmen eines Vertriebskongresses lernt er eine sympathische Vertriebsmitarbeiterin eines anderen Unternehmens kennen. Dabei stellen sie fest, dass sie am nächsten Tag den Heimweg zufällig im selben Zug antreten werden. Nachdem sie im Abteil Platz genommen haben, klappen beide ihren Laptop auf, um noch ein wenig zu arbeiten. Nach einiger Zeit geht Günther W. ins Bordbistro, um etwas zu trinken zu besorgen. Am Zielort angekommen verabschiedet man sich, tauscht Kontaktdaten aus und geht seines Weges.

Einen Tag später stellt Günther W. fest, dass einer seiner USB - Anschlüsse am Laptop defekt zu sein scheint. Wie sich jedoch herausstellte, befand sich darin ein kaum zu bemerkendes Spezialmodul, das nicht nur jeden Tastaturanschlag aufzeichnete ('Key Logger'), sondern zusammen mit diesen Tastaturimpulsen (also auch mit allen Passwörtern) den Platteninhalt immer dann stückweise an eine unbekannte Adresse schickte, wenn Günther W. irgendwo online war.

Das nachfolgende Brainstorming ließ es als sehr wahrscheinlich erscheinen, dass ihm dieses Bauteil in den USB - Anschluss gedrückt wurde, als er seinen Laptop im Zug für ein paar Minuten aus den Augen gelassen hatte. Wie sich herausstellte, war das Unternehmen der betreffenden Dame eine Fiktion, die Kontaktdaten gefälscht. Ein Social Engineering- Angriff also aus einer Kombination von menschlichem Verhalten und High - Tech - Ausrüstung.

Auf Reisen sind vertrauliche Daten ganz besonders gefährdet.
Auf Reisen sind vertrauliche Daten ganz besonders gefährdet.
Foto: pressmaster - Fotolia.com

Selbsteinschätzung potenziell betroffener Unternehmen

Dazu Fred Maro, Gründer des Unternehmens FM-nospy und international anerkannter Fachmann zum Schutz gegen Social Engineering:

Wir befragten Führungskräfte aus 50 Unternehmen danach, worin diese die größte Gefahr für Informationsschutz auf Reisen sehen. Als Ergebnis ergaben sich folgende Punkte: Gefahrenunterschätzung der Reisenden, schwierig einzuschätzende Messe- und Kongressteilnehmer als Gesprächspartner, unnötig viele vertrauliche Daten auf Laptops, Tablets und Smartphones sowie 'Venus- und Adonis'-Fallen. In der selben Umfrage baten wir um eine Einschätzung der Sicherheit vertraulicher Informationen und Materialien im eigenen Unternehmen. Die Antworten zeugen oft von erheblicher Unkenntnis der tatsächlichen Spionagetechniken und einem erschreckendem Unterschätzen realer Gefahren. Beispiele von Antworten: Bei uns hat jeder Compliance Regeln unterschrieben. Wir haben einen Sicherheitsbeauftragten. Wir vertrauen unseren Dienstleistern. Unsere IT ist sehr gut geschützt. Oder: Bei uns gibt es nichts zu stehlen."

Viele Unternehmen unterschätzen die Gefahren durch Social Engineering.
Viele Unternehmen unterschätzen die Gefahren durch Social Engineering.
Foto: Tomasz Trojanowski - Fotolia.com

So können sich Mitarbeiter schützen

Um sich als Mitarbeiter im Vertrieb vor Social-Engineer-Angriffen wirkungsvoll schützen zu können, muss man zuerst Stehlenswertes definieren und evaluieren (die "Kronjuwelen" des Unternehmens lokalisieren) und - mit den Augen erfahrener Spione - Schwachstellen in relevanten Prozessen, sowie im Alltagsverhalten finden und analysieren.

Ein großer Teil der Angriffe auf Vertriebsmitarbeiter geschieht während Dienstreisen, Besprechungen und Tagungen. Deshalb ist es sehr wichtig, vor Allem reisende Mitarbeiter über die Möglichkeiten und Vorgehensweisen dieser Spionageform aufzuklären. Nur wer Angriffstechniken kennt, kann sich vorbereiten. Dabei helfen allerdings keine Broschüren oder warnende Mails, sondern nur praxisgerechte Seminare mit Profis, die diese Angriffsformen und die Tricks der meist professionellen Spione sehr genau kennen.

Der Mitarbeiter stellt nicht nur das größte Sicherheitsrisiko im Unternehmen dar, er kann auch das beste Schutzschild gegen Angreifer sein - eine "Human Firewall" sozusagen. Nur wenn Mitarbeiter am Thema Informationsschutz Interesse finden, können Social Engineering Angriffe wirkungsvoll behindert oder sogar vermieden werden. (bw)

Zur Startseite