In fast jedem zweiten Fall von Industriespionage und Know-How-Diebstahl sitzt der Feind im eigenen Unternehmen: 48 Prozent der taten verursachen eigene Mitarbeiter. In weiteren 23 Prozent der Fälle wurden Mitarbeiter geschickt ausgehorcht oder über die zwischenmenschliche Ebene zu der Tat verleitet. Insgesamt beträgt die Höhe der Schäden durch Industriespionage in der deutschen Wirtschaft mindestens bei 4,2 Milliarden Euro – und hat sich damit verdoppelt in den vergangenen fünf Jahren, belegt eine repräsentative Umfrage unter 7000 Unternehmen plus Tiefeninterviews durch die Sicherheitsberatung Corporate Trust aus München, die der „WirtschaftsWoche“ exklusiv vorliegt.
Mindestens jedes zweite Unternehmen (54,6 Prozent) hatte in den vergangenen drei Jahren entweder einen Spionagefall im eigenen Haus (21,4 Prozent) oder zumindest einen konkreten Verdacht (33,2 Prozent). 78 Prozent der Unternehmen befürchten, dass die Bedrohung durch Industriespionagedurch Cyberwar weiter ansteigt und 35 Prozent fürchten, dass die eigenen Sicherheitsvorkehrungen gegen Hackerangriffe, Abhöraktionen und der Diebstahl von IT- und Telekommunikationsgeräten nicht ausreicht. Weil die Unternehmen über diese Vorkommnisse nicht reden wollen – aus Sorge um das Image ihrer Firma -, schalten sie oft auch nicht die Polizei oder die Staatsanwaltschaft ein, so dass Experten von hohen Dunkelziffern ausgehen. Die Studie weiter: Konzerne mit ihren eigenen Sicherheitsabteilungen und dem üblichen Vier-Augen-Prinzip sind besser gefeit gegen Industriespionage als das Rückgrat der deutschen Wirtschaft: die Hidden Champions und der innovative Mittelstand.
Wer sind die Geschädigten?
Mittelständische Unternehmen sind denn auch mit 23,5 Prozent diejenigen, die am häufigsten geschädigt werden. Konzerne folgen mit 18,8 Prozent und Kleinunternehmen mit 15,6 Prozent. Konzerne sind deshalb ein klein wenig besser geschützt vor Wirtschaftsspionage, weil dort vielfach das Vier-Augen-Prinzip herrscht und die gegenseitige Kontrolle höher ist. Zudem haben die meisten inzwischen eigene Sicherheitsabteilungen, die sich um das Thema kümmern. Wie verschwiegen die Firmen bei dem Thema sind, zeigt dieses Ergebnis: Nur in jedem fünften Fall informierten die Unternehmen die Polizei oder den Verfassungsschutz. Doch 57,6 Prozent schalteten externe Sicherheitsprofis wie Computer- oder Abhörspezialisten sowie forensische Ermittler aus Sicherheitsberatungen oder auch von WP-Gesellschaften etwa wie Ernst & Young ein.
Die größte Herausforderung sieht auch Alexander Eisvogel, Vizepräsident des Bundesamts für Verfassungsschutz, in den „elektronischen Angriffen auf Rechner und Computernetzwerke mit ungewolltem Informationsabfluss und Fremdsteuerung oder Sabotage“. Und dass „eine beträchtliche Bedrohung von den Mitarbeitern der Unternehmen selbst ausgehe. Weil jene mit ihren legalen Zugangsmöglichkeiten und Insiderwissen über die Schwachstellen in der Lage sind, den Unternehmen mehr Schaden zuzufügen als externe Täter.“ Zwar wird auch von außen die IT angezapft, schildert Corporate-Trust-Chef Christian Schaaf. Die chinesischen Praktikanten, die früher in Unternehmen eingeschleust wurden, seien deshalb heute auch gar nicht mehr nötig.
Gefährlicher seien jedoch Mitarbeiter, die bei ihrem Weggang Daten mitnehmen wie Lieferanten- oder Kundenlisten. Gerade entlassene Mitarbeiter mit Rachegelüsten seien für Unternehmen ziemlich gefährlich – und das wird nur selten bedacht. Andere Fallkonstellationen: Ein Vertriebsmitarbeiter rückt an Kunden oder potenzielle Kunden, Daten heraus, die der Betreffende weiterverwendet. Gerade Vertriebler seien oft sorglos, sähen nur ihre Zahlen und tun viel, nur um noch etwas mehr zu verkaufen, beobachtet Schaaf. Oder: Mitarbeiter lassen sich am Telefon oder auf Messen von Fremden ausfragen – weil sie zu sorglos, zu gutmütig sind.
Nur 26,1 Prozent der Unternehmen sensibilisieren ihre Mitarbeiter für solche Vorgehensweisen von Tätern. Nicht einmal 20 Prozent setzen Schutz-Techniken ein wie verschlüsselten E-Mail-Verkehr oder externe Festplatten an Rechnern und verbieten USB-Sticks. Sorgen machen sich die 62 Prozent der Unternehmen auch die Smartphones der Mitarbeiter, die den Know-How-Abfluss beschleunigen oder erst ermöglichen. Etwa wenn private Iphones der Mitarbeiter nicht so gut gesichert sind wie firmeneigene Geräte.
Christian Schaaf, Gründer und Geschäftsführer von Corporate Trust, München
Was wird gestohlen?
Wenn aussenstehende Dritte die Täter sind, werden zum Beispiel in Zulieferbetrieben oft Bauzeichnungen gestohlen. Das Gegenmittel ist laut Sicherheitsexperte Schaaf: „Ein Produzent sollte die Arbeit auf mehrere Zulieferer verteilen, damit nicht einer von ihnen alles kennt und in der Lage ist, es selbst nachzubauen.“ Eine Schwachstelle bilden regelmässig outgesourcte Abteilungen, berichtet Schaaf. Nicht nur dass den Unternehmen die Datenkontrolle fehlt, weil die Daten dann ausser Haus sind – und je weiter weg im Ausland umso schwieriger. Sondern auch weil die outgesourcten Mitarbeiter oft ein besonderes Risikopotenzial darstellen. Verlassen sie ihr Unternehmen doch meist nur unfreiwillig und haben manchmal Rachegelüste. Und die asiatischen Praktikanten, vor denn sonst gewarnt wurde, sind immer weniger ein Problem: „Die brauchen nicht mehr hierher nach Deutschland kommen. Die Unternehmen lagern ja alles möglich nach China aus, so dass jene sich nur vor Ort bedienen brauchen“, sagt Schaaf.
Auch Geschäftsreisende mit Laptops sind schon technisch sehr leicht angreifbar. Etwa wenn sie angezapft werden, während sie sich beim Provider einloggen, weiß Schaaf. Ganz normale Einbrüche kommen hinzu. Der Sicherheitsprofi erlebte es, wie in einem Großmaschinenbaukonzern in die Forschungs- und Entwicklungsabteilung eingebrochen wurde und zehn von insgesamt elf Entwickler-PC´s gestohlen wurden. Auch Aktentaschen mit ausgedruckten Unterlagen, die im Auto liegen oder in einer Business Lounge kurz unbeobachtet sind, verschwinden oft. Schaaf berichtet auch von professionellen Datensammlern, die über externe Reinigungsfirmen ihre Leute in Firmen schleusen. Die schauen sich in den Abendstunden ungestört um und bieten später die Unterlagen gezielt der Konkurrenz zum Kauf an – die womöglich viel eigene Forschungsaufwendungen dann sparen kann. Oder man bietet einem aus dem Reinigungsteam gezielt 5000 Euro an, damit er aus der Firma irgendein begehrtes Gerät mitbringt. Entsprechend befürchten die Unternehmen auch künftig noch mehr Unheil und sehen sich auch nicht genug geschützt: 37 Prozent erwarten einen starken Anstieg der Wirtschaftsspionage, 39,5 Prozent einen leichten Anstieg und 23,3 Prozent glauben, dass die Quote so bleibt wie bisher. Nur an einen Rückgang, an den glaubt niemand laut der Control-Risk-Studie.
54,3 Prozent unterstellen ihren Mitarbeitern dabei sinkende Sensibilität im Umgang mit dem Firmen-Know-How. Schaaf bestätigt, dass etliche auch mit sensiblen Daten zu lachs umgehen. „Wer die Namen seiner Kinder und sein Geburtstdatum bei Facebook öffentlich macht, dessen Passworte sind auch rascher zu knacken.“ Die Cloud-Services beunruhigen 47,7 Prozent der Unternehmen und 63,7 Prozent fürchten besonders die steigende Anzahl der mobilen Geräte. „Erstaunlich, dass die Unternehmen trotz der Unsicherheiten mit der Cloud sich dennoch auf dieses Risiko einlassen – nur um Kosten zu sparen“, wundert sich Schaaf. Sind die Schäden erst mal eingetreten, sind Imageschäden bei Kunden und Lieferanten sowie Rechtsstreitigkeiten die Folge. 65,4 Prozent der betroffenen Unternehmen beklagen hohe Rechtsverfolgungskosten und 59,9 Prozent Imageschäden.