Prävention gegen Betriebsspionage

Deutsche Unternehmen erleiden jedes Jahr hohe Schäden durch Betriebsspionage. Der Faktor Mensch ist dabei oftmals die größte Schwachstelle und die Angreifer gehen immer trickreicher vor, um ihre Opfer zu überlisten. Weil immer mehr persönliche Daten im Internet abgreifbar sind, können die Kriminellen ihre Angriffe zielgerichtet vorbereiten. Die Begleiterscheinungen von Internet of Things (IoT) werden dies in Zukunft für die Täter noch deutlich erleichtern.

Im aktuell von Corporate Trust gemeinsam mit dem Bayerischen Verband für Sicherheit in der Wirtschaft (BVSW) und der Brainloop AG herausgegebenen Future Report wurden 4.738 Vorstände, Geschäftsführer beziehungsweise Leiter der Bereiche Compliance, Risikomanagement, Unternehmenssicherheit Informationsschutz, Recht, Finanzen, Controlling, Interne Revision, IT oder Personal zu den Schäden befragt. Bei knapp 30 Prozent aller befragten Unternehmen gab es einen Fall von Spionage oder Informationsabfluss und über die Hälfte aller Unternehmen wurde in den letzten zwei Jahren bereits Opfer eines Angriffs durch die Organisierte Kriminalität, zum Beispiel durch Spear-Phishing-Mails oder eine Fake President Attacke (auch bekannt als CEO-Fraud).

Der Report, in dem die aktuellen Sicherheitsherausforderungen für Deutschland anhand der weltweiten Megatrends betrachtet wurden, zeigt deutlich, wie verwundbar unsere Wirtschaft ist. Über die konkreten und belegbaren Fälle hinaus konnte ein Viertel aller Unternehmen (exakt 25,6 Prozent) nicht sagen, ob sie bereits angegriffen wurden. Hier fehlen vermutlich entsprechende Systeme und Prozesse, um einen solchen Angriff überhaupt feststellen zu können – leider symptomatisch für viele Firmen.

Die realistische Beurteilung der Gefahrenlage fällt vielen Menschen schwer und im Zweifelsfall sind die anderen immer mehr bedroht als man selbst. Auf die Frage, welche Gefahren sie durch Industrie 4.0 beziehungsweise Internet of Things (IoT) für die deutsche Wirtschaft allgemein und konkret für ihr eigenes Unternehmen sehen, gaben 83,9 Prozent an, dass sie Cyberattacken in Zukunft als größte Bedrohung für die deutsche Wirtschaft sehen. Konkret für ihr eigenes Unternehmen schätzen dies jedoch nur 66,5 Prozent als Bedrohung ein. Die zunehmende Abhängigkeit vom Internet sehen zwar 80,7 Prozent als Gefahr für die deutsche Wirtschaft, jedoch nur in 51,6 Prozent auch als Gefahr für ihre eigene Firma.

Trotz hoher Schäden wird die Bedrohung durch Betriebsspionage also immer noch häufig unterschätzt. Die präventiven Maßnahmen müssen sich nicht nur auf die stärkere Absicherung der IT- und Telekommunikationssysteme stützen, sondern vermehrt um die User kümmern. Denn sie werden in Zukunft noch viel häufiger die Angriffsziele sein. Bei der Prävention in den Unternehmen sollte dabei allerdings mehr Wert auf Sensibilisierung und Unterstützung der Mitarbeiter beim Verstehen der digitalen Prozesse gelegt werden, als auf Kontroll- und allumfassende Überwachungsmaßnahmen.

Um die Herausforderungen nochmal anhand von Beispielen und Zahlen deutlich zu machen. Früher genügte es für einen Spionageangriff, Werbe-E-Mails mit Trojaner-Anhängen an Mitarbeiter eines Unternehmens zu versenden oder manipulierte USB-Sticks auf dem Weg vom Parkplatz zum Firmeneingang auszulegen. Die Täter konnten sich sicher sein, dass der eine oder andere Mitarbeiter auf den Anhang beziehungsweise die Datei auf dem Stick klickte. Die Schadsoftware breitete sich darüber erst auf dem Rechner des Mitarbeiters und später auf das ganze Firmennetzwerk aus. Moderne IT-Systeme und Firewalls sind heute so gut, dass sie dies rechtzeitig erkennen und in der Regel verhindern können. Außerdem sind die meisten Mitarbeiter sensibilisiert, nicht mehr bedenkenlos auf jeden schlecht gemachten E-Mail-Anhang zu klicken.

Hier liegt allerdings das Problem. Die Täter gehen heute sehr viel gezielter vor. Während früher mit einem E-Mail-Massenversand möglichst viele Rechner beziehungsweise Unternehmen angegriffen wurden (man spricht vom „Gießkannenprinzip“), um den Schadcode durch unachtsamen User auf alle schlecht gesicherten Rechner zu bringen, sind die Angriffe heute ganz zielgerichtet. Während früher einfach möglichst viele Informationen und Daten erbeutet werden sollten, geht es den Tätern heute ganz konkret um einzelne Unternehmen oder bestimmte Technologien. Wenn eine Angriffsmethode (zum Beispiel Trojaner in E-Mail-Anhängen) nicht funktioniert hat, bedeutet dies noch lange nicht, dass sie aufgeben. Der moderne Angriffsbaukasten sowohl der Nachrichtendienste, als auch der Industriespione und der Organisierten Kriminalität (OK) bietet eine Vielzahl von Möglichkeiten, um sich einen Zugang ins Firmennetzwerk oder auf bestimmte Computer zu verschaffen. Die Täter versuchen so viele Methoden und greifen so lange an, bis sie an ihr Ziel kommen. Man spricht in diesem Zusammenhang von langanhaltenden und nachhaltigen Angriffen, sogenannten APT-Angriffen (Advanced Persistent Threat).

Dazu recherchieren die Täter oft über mehrere Wochen die genauen Ansprechpartner, ihre Hobbies, Freunde, frühere Arbeitgeber oder gebräuchlichen Redewendungen im Unternehmen. Sie nutzen dazu Soziale Netzwerke oder im Darknet gekaufte Informationen über Zugangsdaten, die zuvor bei einem Hack auf ein Portal erbeutet wurden. In Zukunft werden dies auch viele Informationen sein, die über schlecht gesicherte Server von Wearable -Anbietern abgegriffen werden, denen wir bedenkenlos unsere Daten übermittelt haben. Mit diesem Wissen können die Täter ganz gezielte Angriffe erstellen, zum Beispiel sehr persönliche E-Mails, die von den Usern kaum mehr von Echt-E-Mails, die sie den ganzen Tag im Geschäftsbetrieb erhalten, unterschieden werden können.

Um sich vor solchen Angriffen zu schützen, müssen die Mitarbeiter erst einmal verstehen, wie die Täter heute vorgehen, wie kritisch es ist, sämtliche persönlichen Daten in sozialen Netzwerken oder allen möglichen sonstigen Stellen im Internet einzugeben. Sie müssen sensibilisiert werden, wie leicht es ist sie darüber auszuforschen und anschließend gezielt zu manipulieren. Für solche Maßnahmen gibt es derzeit in den wenigsten Unternehmen eine geeignete Stelle. Die Personalabteilung wäre eigentlich fachlich zuständig für die Schulung von Mitarbeitern, ihr fehlt aber in der Regel das entsprechende Know-how. Die IT-Abteilung, bei der dieses Know-how vorhanden sein sollte, wird in den meisten Fällen nicht als zuständige Stelle für die Schulung der Mitarbeiter wahrgenommen.

Um die Herausforderungen der Zukunft zu lösen, müssen die Präventionsmaßnahmen auf die aktuellen Angriffe abgestimmt werden und viele Bereiche im Unternehmen zusammen wirken. Neben der IT und dem HR-Bereich muss auch die Compliance involviert sein, um sowohl Regularien für die Kontrolle der IT-Geräte aufzustellen, jedoch im Gegenzug auch auf das Augenmaß bei der Umsetzung solcher Kontrollen zu achten. Außerdem sollte sich auch die Geschäftsleitung intensiv mit dem Thema befassen. Erstens sind gerade die Top-Manager in nicht unerheblichem Maße das Ziel solcher Angriffe. Zweitens werden entsprechende Budgets sowohl für die Härtung der IT-Infrastruktur wie auch für die Sensibilisierung der Mitarbeiter erst dann freigegeben, wenn dem Management bewusst ist, wie wichtig solche Maßnahmen sind. Gerade bei der Umsetzung von Sensibilisierungsmaßnahmen für Mitarbeiter ist es wichtig, dass das Management mit Vorbildfunktion voran geht und alle Maßnahmen mittragen werden. Nur dann wird man sich zukünftig effektiv vor Betriebsspionage schützen können. Der gesamte Future Report steht unter www.corporate-trust.de/de/portfolio-items/future-report-2 zum Download bereit.

Autor/Foto: Christian Schaaf, Geschäftsführer der Corporate Trust, Business Risk & Crisis Management GmbH