Je mehr Wettbewerbsvorteile ein Unternehmen gegenüber der Konkurrenz besitzt, desto größer sind seine Chancen, langfristig am Markt erfolgreich zu bleiben. Das Gros dieser Vorteile beruht in erster Linie auf Wissensvorsprung. Verliert ein Unternehmen diesen, büßt es seine Wettbewerbsfähigkeit ein. Gerade deswegen bleibt das Mittel der Spionage für Angreifer so interessant, da es erstens nicht kostenaufwendig ist und zweitens schnelle Ergebnisse liefert.
Zu den Autoren
Norbert Wolf ist ehemaliger Sicherheitschef von Siemens und Inhaber der Consultingfirma "Wolf-Track-International". Bernd-Oliver Bühler ist geschäftsführender Gesellschafter der Unternehmensberatung "Janus Consulting".
Die Globalisierung des Wettbewerbs und die ständig wachsende technische Vernetzung von Wirtschaft und Gesellschaft führen zu immer aggressiveren Methoden der legalen und illegalen Informationsbeschaffung durch Nachrichtendienste, Mitbewerber und Informationshändler. Zahlreiche Staaten aus Ost und West bekennen die Notwendigkeit von Wirtschaftsspionage im jeweils nationalen Interesse. Erleichtert werden diese Aktivitäten im Zeitalter der Informationsgesellschaft, weil immer öfter über kabellose Funktastatur, Bluetooth, ungesicherte WLAN-Verbindungen kommuniziert wird.
Integraler Schutz
Um bestmögliche Sicherheit für Informationen zu haben, müssen Unternehmen diese im Rahmen eines ganzheitlichen Prozesses schützen, und zwar vom Ursprung einer Information über die Verarbeitung und Weiterleitung bis hin zum Empfänger. Jede Kette ist nur so stark wie das schwächste Glied. Virtuell bauen viele Unternehmen zusätzliche Sicherheitsvorkehrungen ein. Dass sie aber auch in der realen Welt angegriffen werden können – leichter und schneller sogar als in der virtuellen – blenden viele immer noch aus.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Ein integraler Schutz muss zusätzlich zur IT-Sicherheit folgenden Ansprüchen gerecht werden. Es geht auch um den Schutz des gesprochenen Wortes in Räumen, im Freien (Richtmikrofon) oder im Auto sowie um jede weitere Form der Kommunikation über Telefon, Fax und Email bis hin zur Videokonferenz. Viele denken jetzt an sogenannte „Wanzen“, also Miniatursender, die gezielt in Büro- oder Besprechungsräume platziert werden, um Gespräche mithören zu können. Tatsächlich ist die Bandbreite der Thematik jedoch weitaus größer.
Der unsichtbare Feind
Zusätzliche Brisanz erhält das Thema durch die Massenentwicklung und Vermarktung von leistungsfähigen Spezialgeräten wie zum Beispiel „Wanzen“ und Scannern und deren Verfügbarkeit für jedermann. Die Angriffe richten sich gezielt gegen Personen (funktionsabhängig) oder Firmenzentralen, Strategieabteilungen und/oder Forschungs- und Entwicklungs-Einrichtungen. Lauschcomputer werden per Satellit oder Richtfunk auf spezielle Suchbegriffe in Telefonaten programmiert. Die sogenannte „Kompromittierende Abstrahlung“ von ungeschützten Rechnern (einschließlich Laptops) ermöglicht ein Erfassen der Informationen durch Experten bis zu 30 Metern Entfernung.
Schwachstelle Mobiltelefon
Die „billigste Wanze“ ist das Handy: Eingeschaltete Mobiltelefone eignen sich dazu, über eine aufgebaute Verbindung Raumgespräche unbemerkt und direkt an jeden beliebigen Ort zu übertragen. Über „vergessene“ Mobiltelefone kann unbemerkt von außen eine Verbindung aufgebaut werden. Dazu müssen zuvor bestimmte Leistungsmerkmale aktiviert werden. Darüber hinaus können Mobiltelefone mit entsprechenden technischen Aufwand und Know-How so manipuliert werden, dass diese unbemerkt zum Abhören von Raumgesprächen benutzt werden können.
So veränderte Geräte können auch in scheinbar ausgeschaltetem Zustand senden. Diese Risiken schaltet man dadurch aus, dass bei Sitzungen mit vertraulichem Inhalt keine Mobiltelefone zugelassen sind. Ein hohes Maß an Sicherheit ist bereits gegeben, wenn die Stromversorgung des Handys unterbrochen und der Akku entfernt wird.
Es bedarf nicht viel, um die Gesprächssicherheit zu erhöhen. Einfache Lösungen sind zu bevorzugen. Ein einfaches, aber zuverlässiges Gerät zur Feststellung, ob bei einer Besprechung alle Mobiltelefone ausgeschaltet sind ist der sogenannte „Mobifinder“ (Größe einer Zigarettenschachtel) der Firma Rohde & Schwarz.
Schwachstelle Funkmikrofon
Über schnurlose Mikrofone (Funkmikrofon) bei Vorträgen oder als Headset verwendet von Sekretärinnen, kann das gesprochene Wort mit sogenannten Scannern bis zu 300 Metern Entfernung abgehört werden. Auch hier sind die dafür notwendigen Lauschgeräte in „Spyworld-Läden“ in allen deutschen Großstädten preiswert zu erwerben. Der Aufwand für einen erfolgreichen Angriff ist auch hier wieder extrem gering.
Schwachstelle PC
Auch um IT-technisch bestens gesicherte PCs anzugreifen, braucht es nur sehr wenig. Entsprechende Systeme kann jeder im Internet kaufen. So gibt es inzwischen rund vier Zentimeter lange und damit sehr unauffällige Sticks, die zwischen Tastatur und Computer gesteckt werden. Die Speicherkapazität von bis zu 64 MB reicht aus, um alle Tastenanschläge aufzuzeichnen. Deswegen sollten auch Reinigungs- und technische Servicekräfte nicht unkontrolliert in sensiblen Räumen arbeiten.
Schwachstelle Telefon
Aber auch das gute alte Telefon steht mehr denn je auf der Risikoliste. So bieten mehrere Firmen im Ausland alle Arten von Telefonhörern für Festnetze mit eingebauter Wanze zum Kauf an. Der Austausch eines Telefonhörers ist auch für Laien relativ einfach. So wurde der Vorstandsvorsitzende eines global agierenden deutschen Konzerns nachweislich abgehört mit einem in seinem Hotelzimmer versteckt angebrachten Babyphone.
Schwachstelle Kopiergeräte
Man sieht es ihnen nicht an. Aber neben dem typischen Papierkorb können auch die Kopiergeräte extrem ergiebig für Industriespione sein - insbesondere dann, wenn diese als Kombigeräte auch faxen und scannen können. Die Verwaltungscodes für solche Geräte stellen Hersteller auf ihrer Homepage ins Netz. Clevere Hacker gelangen in das Netzwerk von Wirtschaftsunternehmen und programmieren mit dem Code Drucker, Scanner und Fax so um, dass sie auf die Datenspeicher zugreifen und sensible Daten absaugen können.
Vorbeugen statt heilen wollen
Ist ein Unternehmen Ziel eines erfolgreichen Spionageangriffes geworden, lässt der Schaden zwar noch reduzieren, ganz aus der Welt ist er aber nicht mehr zu schaffen. Deswegen braucht es einen größtmöglicher Schutz zur Abwehr von Lauschangriffen. Dieser ist nur durch die Kombination von personellen, organisatorischen und technischen Schutzmaßnahmen zu erreichen.
Wachsame Mitarbeiter
Voraussetzungen für den richtigen Umgang mit schutzwürdigen Informationen ist die Sensibilisierung der Mitarbeiter. Dies kann zum Beispiel erreicht werden durch Mitarbeitergespräche (Verhaltensempfehlungen) und einen Baustein „Sicherheit“ in Seminaren. Die Einhaltung des „need-to-know“-Prinzips reduziert von vornherein die Gefahr des „Abfließens“ schutzwürdiger Informationen. Auf un- beziehungsweise teilverschlüsselten Kommunikationsstrecken muss zurückhaltend mit schutzwürdigen Informationen umgegangen werden. In der Öffentlichkeit sollten schutzwürdige Themen nicht besprochen werden. Bei Reisen in Staaten mit besonderen Sicherheitsrisiken sollten die betroffenen Mitarbeiter gezielt beraten werden.
Robuste Organisation
Einige Maßnahmen mögen auf den ersten Blick unbedeutend erscheinen. Aufgrund von nachrichtendienstlichen Erkenntnissen haben sie jedoch einen erheblichen Stellenwert. Wichtig sind:
- Der Einsatz von Speicher-Faxgeräten (Verhinderung des Zugriffs Unbefugter),
- die gemeinsame Nutzung von Verschlüsselungsgeräten (zum Beispiel Projekte) im Einzelfall,
- die Einrichtung von abhörgeschützten Besprechungsräumen (aufwendig und kostspielig),
- Durchführung von Abhörsicherheitsmaßnahmen bei Veranstaltungen,
- Zutrittsbeschränkungen/-kontrolle,
- Offentragen von Lichtbildfirmenausweisen,
- Schutz der technischen Kommunikationszentralen und Telekommunikationen vor unbefugtem Zugriff,
- Einfluss auf Fremdfirmenauswahl und Personalflutkation,
- Kontrolle des Fremdpersonals (zum Beispiel Reinigungs- und Wartungskräfte) beim Aufenthalt in „kritischen Räumen“,
- Trennen von Werkschutz-und sonstigen Dienstleistungen (nicht aus der derselben Firma) zur Wahrung der Objektivität des Werkschutzes,
- rechtzeitiges Einbinden von Fachleuten bei der Planung von Neu-oder Umbauten (zum Beispiel Lage zu schützender Räume wie Rechenzentrum),
- kurzfristiges Wechsel von Besprechungsorten bei Gesprächen mit schutzwürdigen Inhalten,
- Verschließen unbesetzter Büros (zum Beispiel während der Mittagspause),
- Berücksichtigung von Nachbarn bei der Mischnutzung von Gebäuden in schutzwürdigen Bereichen,
- „Aufsplitten“ vertraulicher Fax-Mitteilungen (zeitlich versetzt senden) und derart gesplittet, dass der Aussagewert des Gesamtdokumentes verschleiert wird,
- Schließen von Jalousien beziehungsweise „blickdichten“ Vorhängen (Verhinderung von Infrarot-Lauschangriffen sowie eine kritische Risikobeurteilung bezüglich der Aufzeichnung von Gesprächen oder Veranstaltungen
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Sichere Technik
Bei Neu- beziehungsweise Umbaumaßnahmen sind Überlegungen zur Abhörsicherheit frühzeitig in die Planung einzubeziehen. Nachträgliche Schutzmaßnahmen sind erfahrungsgemäß aufwendiger und schwerer in bestehende betriebliche Abläufe zu integrieren. Zu berücksichtigen sind unter anderem die Auswahl des Objektes (Lage, Nutzung benachbarter Areale, andere Mieter im Objekt), die besonders zu schützenden Räume im Objekt (Kommunikationszentralen, Rechenzentren, Verteilerräume, Besprechungsräume) sowie Schallschutzmaßnahmen, Kabelführung (zum Beispiel Netzkabel zum Einbau von Netzfiltern vorbereiten, geschützte Verlegung von Daten- und Telefonleitungen).
Fazit:
Es ist immer leichter anzugreifen, denn zu verteidigen. Auf Verteidigung zu verzichten oder fahrlässig Risiken einzugehen, heißt den unternehmerischen Erfolg langfristig zu gefährden. „Mitleid bekommt man umsonst – Neid muss man sich verdienen“. Erfolg will nicht nur geschaffen, sondern auch verteidigt sein.