Jede Auseinandersetzung mit dem Thema Industriespionage leidet unter einem doppelten Handicap:
Zum einen löst allein das Wort „Spionage“ dramatische Assoziationen aus, die in der Regel direkt aus der Popkultur stammen. Wer Spionage sagt oder hört denkt automatisch an Schlagworte wie James Bond, „Mission Impossible“, die NSA, den KGB, den Mossad und an all die hiermit verbundenen Elemente der Popkultur. Das allgemeine Bild der Spionage hat daher häufig etwas Fantastisches, Unwirkliches oder Realitätsfernes, wird aber nicht mit den Wirklichkeiten des geschäftlichen Alltags in Verbindung gebracht.
Zum anderen betrachten Unternehmen Spionage zuallererst als ein technisches bzw. kriminelles Problem. Einbrüche, Hacking, DOS-Attacken, Einsatz von Maulwürfen oder Verrat von Betriebsgeheimnissen durch langjährige Mitarbeiter: All diese Szenarien vereint ein klar erkennbares kriminelles Motiv, es ist ein verantwortlich Handelnder ersichtlich und das jeweilige Verbrechen findet direkt in der Einflusssphäre des Unternehmens statt.
Über den Autor
Michael Hellerforth ist Rechtsanwalt in Mülheim an der Ruhr und ehemaliger Abteilungsleiter bei der Nato.
Die Konsequenzen für die Sicherheitsstrategie der meisten Unternehmen sind klar. Wichtige Daten werden durch physische Trennung geschützt, Zugänge zu kritischen Betriebsstätten werden beschränkt, IT-Systeme werden gehärtet und aktiv geschützt und Mitarbeiter werden bei Einstellung oder Versetzung soweit durchleuchtet wie es die aktuelle Gesetzeslage erlaubt.
Unzweifelhaft sind diese Maßnahmen sinnvoll und geboten. Was den meisten Unternehmen allerdings nicht klar ist, ist dass ein auf den technisch/organisatorischen Ansatz reduziertes Schutzkonzept den Faktor Mensch weitgehend ausklammert und gleichzeitig ein falsches Gefühl der Sicherheit vermittelt. Und genau diese Schwachstellen nutzt Social Engineering aus.
Die Auseinandersetzung mit dem Thema wird zudem dadurch erschwert, dass es in der deutschen Sprache keine allgemein anerkannte Bezeichnung gibt weder für „Intelligence“ noch für „Social Engineering“. Viele Betroffene haben daher nur eine ungefähre Idee davon was sich hinter diesen Schlagworten überhaupt verbirgt. Eine kurze Klarstellung und Definition der Begriffe scheint daher hier geboten:
- Intelligence ist die gezielte und geplante Erkenntnisgewinnung durch Beschaffung, Auswertung und Aufbereitung von Informationen. Die Spionage ist dabei eine Form der Intelligence,
- Social Engineering ist die aktive Manipulation von Informationen im Internet und sozialen Medien zwecks Beeinflussung einer Zielperson oder Zielorganisation um von dieser Informationen zu gewinnen und/oder diese zu einem bestimmten Verhalten zu bewegen.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Social Engineering nutzt hierbei die ganze Palette von Social Media, Blogs, kommerziellen Angeboten und Kommunikationsdiensten aller Art.
Wichtig in diesem Zusammenhang ist die Tatsache, dass nicht jede Art der Intelligence automatisch Industriespionage darstellt. Damit eine Operation als Industriespionage qualifiziert, muss diese mit dolosen und/oder illegalen Mitteln außerhalb der Rechtsordnung durchgeführt werden. Grundsatz ist: alles ist erlaubt, was nicht explizit verboten ist. Angesichts des in der Regel massiven Vorsatzes und der gezielten Täuschungsabsicht gegenüber der betroffenen Person findet Social Engineering selten in einer Grauzone statt und kann, wenn es gegen die Industrie gerichtet ist, als Industriespionage qualifiziert werden.
