17. Mai. 2011
Gespannte Ruhe oder unterschätzte Bedrohung?
Wirtschaftsspionage und Datenklau werden Unternehmen in Zukunft vor immer größere Probleme stellen – davon sind nahezu alle deutschen Firmen überzeugt. Doch gleichzeitig sehen sich die in einer Studie von Ernst & Young befragten Führungskräfte von 400 deutschen Unternehmen derzeit auf der sicheren Seite: 38 % schätzen die Bedrohung für ihr eigenes Unternehmen momentan als "gering" ein, 52 % halten sich für "mäßig" bedroht, und nur jedes zehnte Unternehmen sieht eine starke eigene Gefährdung. Offenbar vertrauen die Manager auf die Wirksamkeit ihrer präventiven Vorkehrungen, die 83 % für ausreichend halten. Und nur 8 % berichten von Wirtschaftsspionage oder Datenklau in den vergangenen drei Jahren. Andererseits: Zwei Drittel der Unternehmen gehen davon aus, dass ihre eigene Bedrohung zukünftig zunehmen wird.
Dass sich so viele Firmen gegen unerwünschten Informationsabfluss ausreichend geschützt fühlen, findet Dr. Stefan Heißner, Leiter der Abteilung Fraud Investigation & Dispute Services bei Ernst & Young, jedoch "fern der Realität". Als gleichermaßen unrealistisch erachtet er die geringe Zahl der Befragten, die einräumen in den vergangenen Jahren Ziel von Spionage oder Datendiebstahl gewesen zu sein: "Wir müssen daraus schließen, dass die Mehrheit der Unternehmen noch gar keine Sensibilität für diese Art von Risiko entwickelt hat", fürchtet er. "Nach unserer Erfahrung hat jedes Unternehmen mit solchen Problemen zu kämpfen – keineswegs nur Großkonzerne." Heißner schätzt den jährlichen Schaden durch Datendiebstahl allein in Deutschland auf 20 Milliarden Euro.
Auf jeden Fall werde das Thema nach wie vor unterschätzt, betont Heißner, denn generell gelte: "Es gibt heute keine Information mehr, an die man nicht herankommt. Wer das nicht grundsätzlich akzeptiert, wiegt sich in falscher Sicherheit." Zur Datengewinnung bedürfe es längst nicht immer krimineller Methoden: "Oft genügt die schlichte menschliche Eitelkeit. Welche Mengen an Know-how manche Leute in Vorträgen auf Kongressen oder in Zeitschriftenartikeln preisgeben, ist gelegentlich schon dramatisch." Nicht minder problematisch sei das Auskunftsverhalten in Telefongesprächen, wenn aus Höflichkeit bereitwillig heikle Informationen weitergegeben werden.
Auch die einfache Recherche von Informationen, die frei im Internet zur Verfügung stünden, führe häufig zu erstaunlich vollständigen Datensammlungen. Das größte Gefahrenpotenzial lauert allerdings der Umfrage zufolge in der eigenen Belegschaft: Zwei Drittel der Studienteilnehmer hätten Mitarbeiter als Täter ausgemacht – in 44 % der Fälle aktuell Beschäftigte, in 22 % Ehemalige. "Manche Mitarbeiter erhöhen beim Arbeitsplatzwechsel ihren Wert dadurch, dass sie wertvolle Informationen als Morgengabe mitbringen. Andere werden als Know-how-Träger gezielt abgeworben", erläutert Heißner. Das Abwerben von Mitarbeitern der Konkurrenz liegt denn auch mit 22 % der realen Fälle in der Umfrage auf dem zweiten Platz in der Rangliste der "Spionagehandlungen", direkt hinter dem unmittelbaren Diebstahl geschäftskritischen Know-hows und noch vor "Hackerangriffen auf EDV-Systeme".
Geld und Rache häufige Motive
Hauptmotive der Mitarbeiter-Täter seien persönliche Bereicherung (53 %) und Racheabsichten (31 %). Wettbewerbsvorteile waren in 18 % der Fälle wesentlich, zum Beispiel wenn sich Mitarbeiter mit den Kundendaten oder anderem Know-how ihrer Arbeitgeber als deren Konkurrenten selbstständig machen. Nicht unbedingt amüsant: In jedem zehnten Fall spielt Unwissenheit eine maßgebliche Rolle.
Die beliebtesten Spionageziele sind laut Ernst & Young der Vertrieb (22 %) sowie Forschung und Entwicklung (17 %); Personalwesen und Finanzbereiche folgen gleichauf mit jeweils 13 %. Ein Datenabfluss im Vertrieb könne leicht auch zum Kartellthema werden, etwa wenn es um Prospektaussagen, Produktstarts oder künftige Preisbewegungen gehe: "Hinter mancher Preisabsprache, die das Kartellamt vermutet, steckt in Wirklichkeit der Datenklau von Konkurrenten", vermutet Heißner. Eine spezielle Form des unlauteren Wettbewerbs, die Produktpiraterie, stehe ebenfalls häufig in Zusammenhang mit rechtswidrig beschafften Daten.
Wie unzulänglich die Spionageabwehr in vielen Firmen noch organisiert sei, mache eine Zahl besonders deutlich: Bei 31 % der Befragten, also bei fast einem Drittel, spielte "Kommissar Zufall" eine entscheidende Rolle beim Aufdecken krimineller Handlungen. Da könne es kaum beruhigen, dass in 35 % der Fälle die internen Kontrollsysteme mit ihren Standarduntersuchungen und in 27 % der Fälle gezielte interne Routineprüfungen die Delikte ans Licht brachten. Erfreulicher sei schon die Quote von 13 %, in denen die Hinweise von Mitarbeitern auf die richtige Spur führten, so Ernst & Young weiter.
Unzulängliche Maßnahmen
Selbst im "Kernbereich des Datenklaus", als den Ernst & Young die Informationstechnik nennen, scheine der "gefühlte Sicherheitsbedarf noch recht gering". Zwar setzen die meisten Unternehmen auf eine Grundausstattung aus Firewalls, Passwortschutz und allgemein hohen Standards der IT-Sicherheit. Doch an der "aktiven Prävention" hapere es noch allerorten: Nur in 21 % der Firmen seien CD/DVD-Brenner oder USB-Ports verboten, mit denen Mitarbeiter mobile Datenträger erzeugen können – lediglich bei 18 % habe die Mehrheit der Mitarbeiter keinen Internetzugang, bemängelt das Wirtschaftsprüfungs- und Beratungshaus. Gerade einmal 10 % der Befragten seien nach BSI-Standards zertifiziert und nur 6 % hätten Intrusion-Detection-Systeme installiert.
Zudem betont Heißner: "IT-Sicherheit ist nicht alles! Vorbeugende Maßnahmen sind auch in anderen Bereichen notwendig, zum Beispiel in der Personalführung, in der Gestaltung der unternehmensinternen Prozesse und der Beziehungen zu den Geschäftspartnern." In der Studie gaben 94 % der Unternehmen an, ihre Arbeitsverträge mit Geheimhaltungsverpflichtungen zu versehen -- doch dahinter vermutet Heißner überwiegend Generalklauseln. Dass 81 % klare Regelungen über den Umgang mit schützenswerten Informationen erlassen haben, möchte er ebenfalls hinterfragen: !Wie genau sind die schützenswerten Informationen definiert? Hier darf man das Feingefühl der Mitarbeiter nicht überfordern." Tatsächlich hätten nur 34 % angegeben, Firmen- und Betriebsgeheimnisse eindeutig gekennzeichnet oder klassifiziert zu haben.
"Klar ist: Das Thema Spionagesicherheit stellt viele deutsche Unternehmen noch vor erhebliche Probleme", zieht Heißner als Fazit. Die Datenskandale der jüngeren Vergangenheit seien "nur die Spitze des Eisbergs und lediglich vorläufige Höhepunkte einer Entwicklung, die eng mit der immer dichteren elektronischen Vernetzung zusammenhängt". Jedes Unternehmen müsse sich bewusst sein, dass ein absoluter Schutz von internen Netzen und Datenbeständen kaum mehr möglich sei: "Die Gegenseite findet immer neue Wege, darauf zuzugreifen. Umso wichtiger ist es, alle Möglichkeiten der Absicherung zu nutzen, nicht nur die technischen. Zum Sicherungs-Repertoire gehört es auch, die Mitarbeiter für die Risiken im alltäglichen Kontakt zur Mitwelt – selbst nach Feierabend – zu sensibilisieren, sie emotional an die Firma zu binden und ihre Wechselbereitschaft mit vernünftigen Gehältern in Grenzen zu halten."
