InterviewSecurity

Interview mit Jörn Weber, Geschäftsführer der Corma GmbH, zum Thema „Schutz vor Wirtschaftsspionage“

Wir haben ein Interview mit Jörn Weber, Geschäftsführer der Corma GmbH, zum Thema „Schutz vor Wirtschaftsspionage“ geführt.

JW_2011_10_13_3772_protrait_649_Ausschnitt

Sysbus: „Edward Snowdens Enthüllungen der letzten Monate in Bezug auf die Aktivitäten diverser Geheimdienste lassen darauf schließen, dass mehr Länder in einem viel größerem Umfang Wirtschaftsspionage betreiben als zuvor angenommen. Es gibt zwar viele Dementis, diese sind aber – bei objektiver Betrachtung der Sachlage und der überwachten Ziele – wenig glaubwürdig. Unternehmen müssen also dem Schutz vor Wirtschaftsspionage einen hohen Stellenwert einräumen. Welche Methoden sind hier besonders vielversprechend?“

Weber: „Vorbeugend sollte das Unternehmen eine Risikoanalyse in vier Feldern machen: Know-how, Eigentum/Finanzen, Mitarbeiter und immaterielle Werte. Daraus sollte ein Sicherheitskonzept entwickelt werden. Darüber hinaus muss das Unternehmen für den Schadensfall gerüstet sein. Konzerne haben hierfür eigene Security-Abteilungen und Investigation Manager, aber gerade kleinere Unternehmen sind häufig Ziel von Angriffen. Kanzleien, Agenturen, Zulieferer oder andere Dienstleister verfügen oft über kritische Informationen ihrer Kunden, oftmals große Konzerne. Angreifer finden solche Informationen einfach unter ‚Referenzen‘ im Netz. Wenn ein Angriff festgestellt wurde, stellt sich sofort die Frage ‚Wer kann uns da helfen?‘. Idealerweise ruft das Unternehmen dann einen schon vorher ausgewählten Dienstleister an, anstatt in den Gelben Seiten zu schauen oder sich durch Google Adwords zu klicken. Wenn sogar bereits ein Rahmenvertrag inklusive Datenschutzvereinbarung abgeschlossen wurde, können sofort Maßnahmen gegen den Angriff erfolgen. Solche Dienstleister für den Ernstfall und auch größere Konzerne sind in der Lage, selbst Software-Technologien zum Schutz und zur Filterung von relevanten Informationen einzusetzen, wie es die NSA macht. Diese Instrumente zum Prüfen großer Datenmengen können zum Beispiel dabei helfen, Täter aufzuspüren, ihnen ihre Taten rechtsicher nachzuweisen und sie so zu stoppen.“

Sysbus: „Neben technischen Maßnahmen wie Verschlüsselung der Kommunikation und bestmöglicher Absicherung der Unternehmensdaten müssen sich auch die Mitarbeiter über die Gefahr der Wirtschaftsspionage im Klaren sein und das Unternehmen bei der Abwehr von Spionageangriffen schützen. Welche Schulungsmethoden führen in diesem Zusammenhang zum Erfolg?“

Weber: „Die Mitarbeiter müssen für das Thema sensibilisiert werden, das heißt sie müssen um die enormen, potenziellen Verluste durch Wirtschaftsspionage wissen, häufige Angriffsmethoden kennen und mögliche Angriffe sofort melden. Oft erhalten Kriminelle durch zu vertrauensselige Mitarbeiter wertvolle Informationen für ihre Angriffe (Social-Engineering). Mitarbeiterschulungen sind eine dauerhafte Unternehmenspflicht, zum einen weil sich die Wirtschaftsspionage-Angriffe verändern, aber auch weil die Sensibilität gegenüber dem Thema mit der Zeit wieder nachlässt und stets neue Mitarbeiter informiert werden müssen. Wir empfehlen Unternehmen, sich auch bei Schulungsmaßnahmen hierauf spezialisierte externe Hilfe zu holen. Ein Lerninhalt müssen hierbei Maßnahmen gegen Social Engineering-Angriffe sein, weil diese Angriffsart hohe Erfolgsaussichten hat.“

Sysbus: „Es gibt nicht nur Wirtschaftsspionage von staatlicher Seite, sondern auch aus der Wirtschaft selbst. Unterscheiden sich die Bedrohungen hier von denen, die bei Spionageaktionen durch Geheimdienste entstehen und sind andere Abwehrmaßnahmen erforderlich?“

Weber: „Staatliche Angreifer haben quasi ‚unbeschränkte‘ Mittel und sind in der Regel immun gegen Strafverfolgung im eigenen Land. Angreifer aus der Wirtschaft hingegen dürften kleinere Budgets haben, was sie aber nicht minder gefährlich macht, insbesondere wenn sie aus ‚auffälligen‘ Ländern kommen. An sich verlaufen die Abwehrmaßnahmen ähnlich. Im Vergleich zu Angriffen aus dem Ausland, wo Ermittlungsarbeit, Aufklärung und Strafverfolgung schwer beziehungsweise kaum möglich ist, sind die Erfolgsaussichten bei der Aufklärung von Wirtschaftsspionage, gerade im eigenen Land, höher. Hier ist von der Strafverfolgung bis zur finanziellen Rückgewinnung einiges möglich, wenn die Ermittlungen professionell durchgeführt werden.“

Sysbus: „Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus der Bedrohung der Wirtschaftsspionage für Unternehmensnetze ergeben?“

Weber: „Positiv an dem NSA-Skandal ist die erhöhte Wahrnehmung gegenüber Wirtschaftsspionage. Ich mahne immer mit einem Satz von Albert Einstein: ‚Jedes böse Erwachen setzt einen tiefen Schlaf voraus‘. Es gilt also, diese durch den NSA-Skandal erreichte Wachsamkeit nun zu erhalten und produktiv zu nutzen. Unternehmen müssen wissen, welche ihrer Ressourcen kostbar sind, sie müssen dauerhaft in den Schutz der Netzwerke investieren, und sie müssen auf den Schadensfall vorbereitet sein. Hierzu bieten wir den Unternehmen eine Checkliste, anhand derer sie unter den Aspekten ‚Physikalische und IT-Sicherheit‘, ‚Informationsschutz‘, ‚Interne Auditierung‘ und ‚Prävention‘ ihren Unternehmensschutz auf Funktion und Vollständigkeit überprüfen können.“

[subscribe2]