Industriespionage: Sicherheit ist Chefsache

Industriespionage nimmt weltweit in alarmierendem Ausmaß zu. Manche Staaten halten Konkurrenzausforschung gar für ein legitimes Mittel im globalen Wettbewerb. Große Konzerne geraten ebenso ins Fadenkreuz wie der innovationsfreudige Mittelstand. Mit isolierten Schutzvorkehrungen für dieses oder jenes technische System ist dem Problem nicht beizukommen.

Notwendig ist vielmehr ein ganzheitlicher Risikomanagementansatz, bei dem die Information als solche in den Mittelpunkt rückt und über ihren Lebenszyklus hinweg betrachtet wird. Informationssicherheit darf auch nicht länger allein der IT-Abteilung überlassen bleiben. Die Führungsetage steht unter Zugzwang: Manager müssen ihre Mitarbeiter für das brisante Thema sensibilisieren und dem Schutz geschäftskritischer Informationen die entsprechende Priorität im Unternehmen verschaffen.

Information ist das Lebenselixier der Wissensgesellschaft: Kaum ein Prozess unserer Lebens- und Arbeitswelt, der nicht von steuernden, überwachenden oder dokumentierenden Informationsflüssen begleitet wäre. Vernetzte IT-Systeme in Fabriken, Banken und Behörden, Universitäten, Kauf- und Krankenhäusern und nicht zuletzt im Wohnzimmer daheim - die digitale Datenflut schwillt unaufhaltsam an. Aus jüngsten Erhebungen, die IDC im Auftrag von EMC durchgeführt hat, geht hervor, dass 2007 weltweit etwa 281 Milliarden Gigabytes im Umlauf waren. Bis 2011, so die Prognose, werde sich das digitale Universum gegenüber 2006 auf 1,8 Billionen Gigabyte verzehnfachen. Das sind knapp 2 Trilliarden Zeichen - eine Zahl mit 21 Stellen.

SCHÄDEN IN MILLIARDENHÖHE
Wie gut ein Unternehmen relevante Informationen selektieren und zu komplexem Wissen verknüpfen kann - davon hängen Innovationskraft und Geschäftserfolg unmittelbar ab. Informationen indes sind ein flüchtiges Gut: Wie leicht lassen sie sich digital kopieren, und manches Geschäftsgeheimnis fließt verbal aus dem Unternehmen ab, etwa in einem unbedachten Gespräch auf einer Messe. Da die Information nicht im Wortsinn verloren geht, sondern "nur" der exklusive Besitz daran, bemerkt zunächst meist niemand den Verlust. Erst wenn mit fremdem Know-how billig hergestellte Waren den Markt zu Dumping-Preisen überschwemmen, wird der Datendiebstahl offenkundig. Dann aber ist es zu spät. Besonders bitter: Kaum eine Versicherung kompensiert Schäden infolge von Industriespionage. Denn in der Regel ist es sehr schwierig, den Spionagevorfall selbst sowie den dadurch verursachten monetären Schaden zu beziffern, wie es gängige Vertrauensschadenversicherungen jedoch verlangen.

Die Dunkelziffer von Industriespionagevorfällen ist riesig. August Hanning, Staatssekretär im deutschen Bundesinnenministerium und ehemaliger Leiter des Bundesnachrichtendienstes sprach im Oktober letzten Jahres von geschätzten 20 Mrd. Euro pro Jahr. In einem Interview führte er weiter aus: "Im verschärften internationalen Wettbewerb operieren unsere Konkurrenten beim Ringen um Marktanteile zunehmend mit dem Mittel der Wirtschaftsspionage. Sie ersparen sich damit eigene Forschungs- und Entwicklungskosten." Diebstahl statt Forschung, so das leider stimmige Kalkül, senkt die Produktionskosten der Konkurrenten.  Von Ausspähung durch Geheimdienste und ausländische Konkurrenten in besonderem Maße bedroht sind laut einem bericht des deutschen Verfassungsschutzes Spitzentechnologiefelder. Genannt werden: Automobilbau, erneuerbare Energien, Chemieindustrie, Kommunikationstechnik, Optoelektronik, Röntgen- und Rüstungstechnologie, Verbundwerkstoff- und Materialforschung sowie Werkzeugmaschinenbau.

DIE TRICKS DER DATENDIEBE
Die Spionagemethoden beinhalten klassische Ausforschungs- und Abhörmethoden und schließen verstärkt generalstabsmäßig geplante Angriffe auf Computernetze und digitale Kommunikationssysteme ein. Der chinesische Geheimdienst beispielsweise schleust vermehrt als Praktikanten getarnte Spione in deutsche Firmen ein, warnen dort die Verfassungsschützer. Russische Dienste hingegen versuchen, Mitarbeiter anzuwerben, um sie im Anschluss abzuschöpfen. Vorsicht geboten ist auch bei externen Mitarbeitern: Beratern wird zum Beispiel allzu leichtfertig ein eigener Netzwerkanschluss und damit Zugriff auf sensible Unternehmensdaten gewährt. Oder bestochene Reinigungskräfte schließen unbeobachtet einen sogenannten Key-Logger an die Bürocomputer an. Die unscheinbaren Adapter werden einfach zwischen Tastaturkabel und PC gesteckt und schneiden dann sämtliche Tastatureingaben mit. Besonders interessant natürlich: Zugangskennungen und Passwörter. Diese lassen sich auch über den Monitor auf einfache Weise erschleichen. Denn vor allem ältere Computer strahlen ihr Bild meterweit ab. Oft genügt eine einfache Fernsehantenne im Nebenraum, um den Bildschirminhalt mitzulesen. Immer aufwendiger und raffinierter dagegen werden professionelle Hightech-Lauschangriffe: Wanzen erleben ein Comeback, versteckt zum Beispiel in der Kaffeekanne. Selbst vertrauliche Gespräche in geschlossenen Räumen lassen sich aus großer Entfernung abhören - etwa per Laser, der die Vibration von Fensterscheiben abtastet.

Auch beim Informationsschutz gilt: Prophylaxe ist die beste Therapie. Angesichts unüberschaubarer Datenmengen und in vielen Unternehmen fluktuierender Belegschaft kann Prävention nur durch ein informationszentriertes Risikomanagement gelingen. Ziel muss es sein, die Integrität und Vertraulichkeit geschäftskritischer Informationen während des ganzen Lebenszyklus mit minimalem Kostenaufwand zu garantieren. Unabhängig davon, wo diese Informationen gespeichert sind und wer in welcher Situation und über welches Zugangsmedium darauf zugreift.

GANZHEITLICHES INFORMATION RISK MANAGEMENT
Nicht alle Informationen sind aus Sicherheitsperspektive in gleichem Maße schutzbedürftig. Zunächst gilt es herauszufinden, wo im Unternehmen welche Arten von Informationen generiert, verarbeitet, wiederverwendet und schließlich archiviert werden. Im zweiten Schritt ist festzustellen, welche dieser Daten vertraulich sind. Beantworten lässt sich diese Frage nur im Kontext der konkreten Geschäftsprozesse und vor dem Hintergrund von Organisationsstruktur, Personal, IT-Anwendungen und der alles verbindenden Netzwerkinfrastruktur. Je höher das Tempo auf den Märkten, desto dynamischer wird diese Umgebung.

Der Schutz vor Vertraulichkeits- und Integritätsverlust von Informationen kann daher kein ein für allemal erreichbarer Zustand sein. Information Risk Management muss stattdessen als fortwährender Prozess im Information Lifecycle Management fest verankert werden.

Erst die detaillierte Kenntnis des Statusquo im Unternehmen schafft die Voraussetzung für eine fundierte Risikobewertung und liefert damit die Entscheidungsgrundlage für gegebenenfalls notwendige Investitionen in zusätzliche Sicherheitsvorkehrungen. Der Ablauf für ein durchgängiges Risk Information Management lässt sich grob in folgende Abschnitte gliedern:

Identifizieren und Klassifizieren: Geschäftskritische Informationen werden über sämtliche Datenquellen hinweg lokalisiert und gemäß Schutzbedarf priorisiert.

Definition von Sicherheitsrichtlinien: Hier wird der Umgang mit sensiblen Informationen konkret festgelegt, also das „Wie" des Informationsschutzes beschrieben. Richtlinien betreffen zwar vorrangig Daten und IT-Infrastruktur, schließen aber auch Personalfragen ein, zum Beispiel Verhaltens- und Kommunikationsregeln mit Partnern, Kunden und Medien.

Durchsetzen der Richtlinien: In diesem Schritt werden alle erforderlichen organisatorischen Maßnahmen eingeleitet und entsprechende Technologien implementiert, beispielsweise Authentifizierungs- und Zugriffskontrolllösungen für bestimmte IT-Anwendungen sowie Mitarbeiterschulungen und die Vergabe von Rollen und Rechten.

Kontrolle und Dokumentation: Schließlich gilt es, die Einhaltung der Richtlinien zu überwachen und den Sicherheitsstatus technischer Systeme lückenlos zu dokumentieren.

COMPLIANCE WIRD BEZAHLBAR
Der präventive Schutz vor digitalen oder traditionellen Spionageangriffen hat noch einen weiteren Aspekt: In vielen Branchen nämlich blockiert der Zwang, Compliance mit einem schier undurchschaubaren Dickicht nationaler und EU-weiter Bestimmungen nachzuweisen, etliche Abläufe und treibt die Kosten in die Höhe. Die Verifizierbarkeit der Sicherheit schutzwürdiger Geschäftsinformationen samt aller zugrundeliegenden Prozesse und Systeme schafft Abhilfe und ermöglicht damit auch eine kosteneffiziente Compliance-Strategie. Ein ganzheitliches Information-Risk-Konzept, das in eine übergeordnete ILM-Strategie eingebettet ist, vermeidet demnach nicht nur wirtschaftliche Schäden infolge von Industriespionage, sondern begrenzt zugleich laufende Kosten. Die Wettbewerbsfähigkeit eines Unternehmens wird also auch auf dieser Ebene nachhaltig gestärkt. Und dreisten Dieben wird das kriminelle Treiben zunehmend schwerer gemacht - wenn nicht sogar unmöglich. (EMC/rnf)

• Aus EMC ON Sommer/Herbst 2008.

Quelle: Computerwelt, 8.7.2009

URL zum Artikel: http://www.computerwelt.at/detailArticle.asp?a=122515&n=4