Industriespionage

Es trifft nicht immer nur die Großen

06.11.2014 von Uwe Schrei

Industriespionage nimmt deutlich zu. Immer häufiger stehen dabei auch kleine und mittelständische Firmen im Fokus dieser Angriffe, die darauf abzielen, Informationen zu Wettbewerbsvorteilen zu stehlen.

Datendiebe sind oft näher am Unternehmenumfeld, als so mancher Security-Verantwortliche vermutet.
Foto:

Der größte Anteil der Angriffe auf unternehmerisches Wissen verwendet "Social Engineering - Techniken". Ein puzzleartiges Sammeln von Teilinformationen, meist durch das Nutzen ganz normaler menschlicher Stärken und Schwächen im privaten und beruflichen Alltag von Mitarbeitern. Etwa jedes 4. Unternehmen ist betroffen-meist ohne es zu bemerken. Wie kann man sich - insbesondere im Vertrieb - davor schützen?

Social Engineering - Risikofaktor Mensch

Social Engineering bezeichnet eine der perfidesten Spionagetechniken, die seit vielen Jahren weltweit existenzwichtiges unternehmerisches Wissenskapital gefährden. Angriffspunkte sind häufig Mitarbeiter im Außendienst (Vertriebs- und Servicemitarbeiter) oder deren Familienmitglieder. Benutzt werden menschliche Reaktionen und Verhaltensweisen wie beispielsweise Dankbarkeit, Hilfsbereitschaft, Einsamkeit, Autoritätsdenken, Stolz, Unsicherheit, Bequemlichkeit, Angst vor Konflikten oder Kontaktbedürfnis. Ein Großteil der Angriffe läuft auch über nichts ahnende Dienstleister und Zulieferer wie Werbeagenturen, Übersetzungsbüros, Wirtschaftsprüfer oder IT-Provider.
Mitarbeiter merken meist nichts von der Methodik, weshalb unternehmensinterne Compliance-Regeln und andere Verhaltensvorschriften hier kaum Unterstützung bieten.

Ziel der Angriffe ist zumeist das Erlangen von Firmeninterna oder sensiblen Daten, die eigene Strategien und Vorhaben erleichtern oder zur Vorbereitung eines Eindringens in Firmennetzwerke oder Werksgelände selbst dienen. Bevorzugt werden durch diese raffinierten Aktivitäten Baupläne, Preislisten, Verträge, Verhandlungsprotokolle und Ähnliches ergattert, oder Diebstähle vorbereitet.

Soziale Netzwerke, Firmenwebseiten und andere allgemein zugängliche Informationsquellen bieten dem Social Engineer umfangreiche Möglichkeiten, um sich auf seine Opfer umfassend vorzubereiten und mit diesen erste Kontakte zu knüpfen. Zu diesen Vorfeldermittlungen können auch Anrufe im Unternehmen gehören, die jedoch noch nicht die direkte Nachrichtenbeschaffung zum Ziel haben, sondern auf die Erlangung ergänzender Informationen zielen. Vermeintlich nebensächlich und unwichtig erscheinende Informationen werden später wie ein Puzzle zusammengefügt.

Angriffe auf unternehmensinterne Daten können allgegenwärtig sein.
Foto: F. Pfluegl - Fotolia

Industriespionage: wichtige Fakten

Etwa jedes dritte bis vierte Unternehmen in Europe ist gefährdet.
Betroffene Unternehmen aller Größen werden ein oder mehrmals pro Jahr professionell durch Industriespionage angegriffen. Der geschätzte Gesamtschaden liegt in Milliardenhöhe. Hans-Peter Friedrich hat 2013 als damaliger Bundesinnenminister den Schaden durch Wirtschaftsspionage auf etwa 50 Milliarden Euro gechätzt.
Das Eindringen in IT-Systeme spielt bei Industriespionage nur eine Teilrolle.
Ein ebenso großer Anteil der Attacken auf unternehmerisches Wissen verwendet Social Engineering-Techniken.
Oft werden ahnungslose Dienstleister in die Angriffe mit eingebunden.
Genutzt werden Detailinformationen aus Dienstleisterkreisen sowie unklare kommunikative Schnittstellen zu Kunden.
Die Auftraggeber professioneller Spionageteams kommen laut der Studie: Industriespionage 2014 aus unterschiedlichen Gruppen. Aus dem Investmentbereich ebenso wie aus Mitanbietern, Journalisten oder aus politischen Interessengruppen.

Praxisbeispiel: im ICE der Deutschen Bahn

Günther W. ist Vertriebsmitarbeiter eines großen, mitttelständischen Maschinenbauunternehmens. Im Rahmen eines Vertriebskongresses lernt er eine sympathische Vertriebsmitarbeiterin eines anderen Unternehmens kennen. Dabei stellen sie fest, dass sie am nächsten Tag den Heimweg zufällig im selben Zug antreten werden. Nachdem sie im Abteil Platz genommen haben, klappen beide ihren Laptop auf, um noch ein wenig zu arbeiten. Nach einiger Zeit geht Günther W. ins Bordbistro, um etwas zu trinken zu besorgen. Am Zielort angekommen verabschiedet man sich, tauscht Kontaktdaten aus und geht seines Weges.

Einen Tag später stellt Günther W. fest, dass einer seiner USB - Anschlüsse am Laptop defekt zu sein scheint. Wie sich jedoch herausstellte, befand sich darin ein kaum zu bemerkendes Spezialmodul, das nicht nur jeden Tastaturanschlag aufzeichnete ('Key Logger'), sondern zusammen mit diesen Tastaturimpulsen (also auch mit allen Passwörtern) den Platteninhalt immer dann stückweise an eine unbekannte Adresse schickte, wenn Günther W. irgendwo online war.

Das nachfolgende Brainstorming ließ es als sehr wahrscheinlich erscheinen, dass ihm dieses Bauteil in den USB - Anschluss gedrückt wurde, als er seinen Laptop im Zug für ein paar Minuten aus den Augen gelassen hatte. Wie sich herausstellte, war das Unternehmen der betreffenden Dame eine Fiktion, die Kontaktdaten gefälscht. Ein Social Engineering- Angriff also aus einer Kombination von menschlichem Verhalten und High - Tech - Ausrüstung.

Auf Reisen sind vertrauliche Daten ganz besonders gefährdet.
Foto: pressmaster - Fotolia.com

Selbsteinschätzung potenziell betroffener Unternehmen

Dazu Fred Maro, Gründer des Unternehmens FM-nospy und international anerkannter Fachmann zum Schutz gegen Social Engineering:

Wir befragten Führungskräfte aus 50 Unternehmen danach, worin diese die größte Gefahr für Informationsschutz auf Reisen sehen. Als Ergebnis ergaben sich folgende Punkte: Gefahrenunterschätzung der Reisenden, schwierig einzuschätzende Messe- und Kongressteilnehmer als Gesprächspartner, unnötig viele vertrauliche Daten auf Laptops, Tablets und Smartphones sowie 'Venus- und Adonis'-Fallen. In der selben Umfrage baten wir um eine Einschätzung der Sicherheit vertraulicher Informationen und Materialien im eigenen Unternehmen. Die Antworten zeugen oft von erheblicher Unkenntnis der tatsächlichen Spionagetechniken und einem erschreckendem Unterschätzen realer Gefahren. Beispiele von Antworten: Bei uns hat jeder Compliance Regeln unterschrieben. Wir haben einen Sicherheitsbeauftragten. Wir vertrauen unseren Dienstleistern. Unsere IT ist sehr gut geschützt. Oder: Bei uns gibt es nichts zu stehlen."

Viele Unternehmen unterschätzen die Gefahren durch Social Engineering.
Foto: Tomasz Trojanowski - Fotolia.com

So können sich Mitarbeiter schützen

Um sich als Mitarbeiter im Vertrieb vor Social-Engineer-Angriffen wirkungsvoll schützen zu können, muss man zuerst Stehlenswertes definieren und evaluieren (die "Kronjuwelen" des Unternehmens lokalisieren) und - mit den Augen erfahrener Spione - Schwachstellen in relevanten Prozessen, sowie im Alltagsverhalten finden und analysieren.

Ein großer Teil der Angriffe auf Vertriebsmitarbeiter geschieht während Dienstreisen, Besprechungen und Tagungen. Deshalb ist es sehr wichtig, vor Allem reisende Mitarbeiter über die Möglichkeiten und Vorgehensweisen dieser Spionageform aufzuklären. Nur wer Angriffstechniken kennt, kann sich vorbereiten. Dabei helfen allerdings keine Broschüren oder warnende Mails, sondern nur praxisgerechte Seminare mit Profis, die diese Angriffsformen und die Tricks der meist professionellen Spione sehr genau kennen.

Der Mitarbeiter stellt nicht nur das größte Sicherheitsrisiko im Unternehmen dar, er kann auch das beste Schutzschild gegen Angreifer sein - eine "Human Firewall" sozusagen. Nur wenn Mitarbeiter am Thema Informationsschutz Interesse finden, können Social Engineering Angriffe wirkungsvoll behindert oder sogar vermieden werden. (bw)

Industriespionage im Mittelstand

Industriespionage in Deutschland
Die Security-Firma Corporate Trust hat zusammen mit Brainloop und dem TÜV Süd knapp 600 Unternehmen zu ihren Erfahrungen mit Industriespionen befragt. Zumeist antwortete der Geschäftsführer oder ein Vorstandsmitglied. Die Autoren der Studie "Industriespionage 2012 Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar" werten das als Indiz dafür, dass Security heutzutage Chefsache ist.

Jedes fünfte Unternehmen war bereits Spionageziel
Gut jedes fünfte Unternehmen wurde in den vergangenen drei Jahren zumindest einmal Opfer von Industriespionage. Gegenüber der vergangenen Erhebung aus dem Jahr 2007 hat sich der Wert leicht erhöht. Damals gaben 18,9 Prozent der Befragten mindestens einen Vorfall zu Protokoll.

Viele Verdachtsfälle
Ein erklecklicher Teil der Firmen hat die Vermutung, dass es bereits einen Fall von Industriespionage gab. Unterm Strich hat sich demnach mehr als jedes zweites Unternehmen in den vergangenen drei Jahren mit Industriespionage auseinandersetzen müssen.

Mittelstand ist besonders betroffen
Wird die Zahl der Spionagefälle mit der Zahl der Befragten aus kleinen, mittelständischen und großen Unternehmen korreliert, dann zeigt sich, dass verhältnismäßig oft werden mittelständische Firmen angegriffen werden.

Spionageziel Fertigung
Gefährdet sind insbesondere Unternehmen aus den Fertigungsbranchen und Finanzdienstleister.

Angriffe lassen sich orten
Die meisten Unternehmen können die Vorfälle lokalisieren, nur weniger blieben diesbezüglich ratlos zurück. Bei der Auswertung zeigt sich, dass große Gefahr vor allem in Europa und Nordamerika besteht.

Zumeist Schäden bis zu 100.000 Euro
Das Groß der Schäden beläuft sich auf Beträge zwischen 10.000 und 100.000 Euro. Sehr große finanzielle Verlust gibt es insbesondere in Konzernen zu beklagen.

Immenser Gesamtschaden
Wenngleich die einzelnen Vorfälle selten Riesensummen verschlingen, summiert sich der Gesamtschaden zu der imposanten Zahl von jährlich rund 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies einem Anstieg um 50 Prozent.

Die Gefahr lauert im eigenen Haus
Oft sind die eigenen Mitarbeiter die Industriespione, wenngleich sie oft unbewusst Informationen weitergeben. Doch insgesamt zeigt sich, dass überall Gefahrenquellen lauern.

Die Einfallstore
Ein beliebtes Mittel der Spione sind Hackerangriffe. Während 2007 nur bei 14,9 Prozent aller Fälle ein Hackerangriff als konkrete Spionagehandlung zugrunde lag, waren es 2012 bereits 42,4 Prozent.

Die Folgekosten
Die finanziellen Schäden entstehen in der Regel durch Rechtstreitigkeiten und Imageschäden. Mehr als ein Drittel der Befragten berichtet von konkreten Umsatzeinbußen.

Mitarbeiter werden ausgespäht
Meistens sitzt der Täter im eigenen Haus. Externe Hacker arbeiten zudem häufig mit internen Mitarbeitern zusammen oder spähen Angestellte im Internet aus (Social Engineering) aus.

Sicherheit ist Chefsache
In vielen Firmen werfen die Geschäftsführer einen kritischen auf die Prozesse und Einrichtungen. Erwartbar war, dass auch die IT-Abteilungen eine bedeutende Rolle spielen, verfügen sie doch über das erforderliche technische Know-how.

Passwortschutz ist Standard
Passwort-geschützten IT-Systeme sind heute Standard in vielen Unternehmen, anders sieht es bei der Verschlüsselung aus.

Defizite werden nicht behoben
Obwohl den meisten Unternehmen bekannt ist, dass mobile Datenträger und Geräte besonders gefährdet sind, treffen wenige Firmen entsprechende Vorkehrungen.

Attacken Steueranlagen
Angriffe auf Steuerungsanlagen gefährden die Produktion. Der bekannteste Fall ist der Wurm Stuxnet, doch auch abseits der öffentlichkeitswirksamen Angriffe gibt es offenbar viele vergleichbare Vorfälle.

Umweltschäden drohen
Attacken auf die Steueranlagen können enorme Folgen zeigen. Fast immer ziehen sie finanzielle Verluste nach sich, häufig drohen bei entsprechenden Angriffen aber auch Umweltschäden.

Die gefährliche Seite der Mobility
Der Job der Security-Verantwortlichen wird nicht einfacher. Der Trend zum mobilen Endgerät erschwert die Absicherung der Installationen, und mit der Verbreitung leistungsstarker Smartphones sinkt zudem das Bewusstsein der Mitarbeiter für die IT-Sicherheit.

Was tun gegen Social Engineering?
Nacharbeiten sind in allen Segmenten erforderlich. Auf die relativ neue Bedrohung durch geschicktes Ausspähen von Mitarbeiter in sozialen Netzen habe viele Unternehmen noch keine Antwort gefunden.