Kürzlich ging eine besorgniserregende Nachricht durch die Medien. Hacker hatten 16 Millionen Passwörter und E-Mail-Adressen erbeutet. Mit diesen können die Kriminellen beispielsweise in Ihrem Namen E-Mails versenden. Als wäre das nicht schlimm genug, können die Cyber-Verbrecher so auch weitere Mail-Adressen und Passwörter in Erfahrung bringen. Es kann zu einem Flächenbrand kommen. Und das sowohl privat als auch geschäftlich.
Das ist jedoch nur die Spitze des Eisbergs. In einem kürzlich gehaltenen Vortrag des Abteilungsleiters Spionageabwehr des Ministeriums für Inneres und Kommunales des Landes Nordrhein-Westfalen wird das ganze Ausmaß der Cyber-Spionage deutlich: Die Datenräuber kommen aus allen Erdteilen und haben es vornehmlich auf Unternehmen abgesehen. Der Experte berichtete zum Beispiel von Geschäftsreisen nach China und Russland, die unerwünschte Folgen hatten. Bei einem Test in China ließ man einen Laptop kurzzeitig unbeaufsichtigt. Er war passwortgeschützt und dennoch fand man auf ihm später Spionage-Software. Das gespeicherte Wissen war nun nicht mehr geheim.
Auch Mobiltelefone sind ein beliebtes Ziel, wenn es um Wirtschaftsspionage geht: Die Freude über eine Handy-Ladestation oder ein offenes WLAN-Netz kann schnell schwinden. Das attraktive Angebot zieht nämlich nicht selten ein böses Erwachen nach sich, denn solche ungeschützten Kanäle können Einfallstore für Späh-Software sein.
Datendiebe müssen nicht einmal mehr viel Geld ausgeben, denn Spionage-Technik ist erschwinglich geworden. Zudem sitzen die Cyber-Spione häufig in der direkten Nachbarschaft. Lokale Konkurrenten können bereits ab 100 Euro Spionage-Software kaufen und sofort einsetzen. Kleine und mittelständische Unternehmen ergreifen aber trotzdem häufig nicht die notwendigen Sicherheitsmaßnahmen. Sie sind wie ein Ritter, der ohne Rüstung in den Kampf zieht.
Sie haben das Gefühl, es ginge um einen James-Bond-Film? Keineswegs, hierbei handelt es sich nicht um einen spannenden Agententhriller, sondern die Realität. Nicht weniger als die wirtschaftliche Zukunft kleiner und mittelständischer Unternehmen steht dabei auf dem Spiel. Deren Know-how ist vielfach ihre Trumpfkarte, insbesondere kleine Betriebe mit High-Tech-Erzeugnissen unterschätzen oft die Risiken der Online-Spionage. Eine Naivität, die sie zu einem leichten Angriffsziel von Hackern macht.
Erst der Datenklau, dann die Insolvenz
Kaum ein Tag vergeht, an dem es nichts Neues zur NSA gibt. Sehr viel weniger Beachtung finden der chinesische und der russische Auslandsgeheimdienst. Nur warum? Das chinesische Ministerium für Staatssicherheit und der russische SWR stehen der NSA um nichts nach. Fast alle Bürger, die im Internet unterwegs sind, werden von den Nachrichtendiensten ausgehorcht.
Der Leichtsinn einer Menge von Unternehmen führt zu Spionage-Schäden, die in Deutschland jedes Jahr Kosten in Höhe eines zweistelligen Milliardenbetrags verursachen. Der Erfolg der Spione lässt sich jedoch nicht nur auf die Blauäugigkeit zurückführen: Die Datenkraken gehen bei ihrer Arbeit sehr raffiniert vor. Und zahlreiche internetfähige Geräte lassen sich ohne großen Aufwand für das Ausspähen von Daten zweckentfremden.
Die Konsequenzen für ein von Online-Spionage betroffenes Unternehmen können fatal sein. Wenn Ihr größter Mitbewerber auf einmal genau das gleiche Produkt wie Sie anbietet, ist ein Kundenverlust vorprogrammiert. Für einige Firmen sind Kundendaten oder Baupläne wie eine Lebensversicherung. Wenn solche Informationen in die falschen Hände geraten, droht die Insolvenz.
Es lässt sich allerdings schwer nachweisen, dass eine Firmenpleite einem Datendiebstahl geschuldet ist. Die Aufklärungsquote bei derartigen Fällen ist laut Ministeriums-Angaben sehr niedrig. Das liegt vor allem an einer extremen Unterbesetzung. In Nordrhein-Westfalen mit einer Bevölkerung von 18 Millionen Einwohnern beschäftigen sich nur 100 Mitarbeiter mit der Spionageabwehr. Für die gleiche Bevölkerungszahl sind in Russland 33.000 Mitarbeiter verantwortlich. In China ist die Zahl noch höher.
Was Sie zu Ihrem Schutz tun können
Schützt mich denn nicht der deutsche Staat? Jedes Bundesland unterhält zwar eine Spionageabwehr, die ist der Aufgabe aber wegen ihrer Unterbesetzung nicht gewachsen. Deshalb müssen Sie selbst aktiv werden! Ohne Wenn und Aber! Diese Maßnahmen machen den Online-Spionen das Leben schwer:
Schulung der Mitarbeiter: Selbst wenn Sie Ihren Angestellten vertrauen, müssen Sie wachsam bleiben. Geheimnisse verlassen allerdings auch aufgrund von Unachtsamkeiten das Unternehmen. Ein Mitarbeiter muss normalerweise nur spezielle Daten auf eine Geschäftsreise mitnehmen. Und was er auf jeden Fall braucht, muss er so gut wie möglich vor dem Zugriff Unbefugter schützen. Dieses Bewusstsein müssen Sie schärfen.
Rekrutierung des Personals: Der Chef des IT-Notfall-Teams der Deutschen Telekom ist bei perfekten Bewerbungen aus dem Ausland stets skeptisch. Wer bereit ist, für ein niedriges Gehalt zu arbeiten, steht vielleicht bereits woanders auf der Gehaltsliste. Seien Sie vorsichtig, wenn Sie Personal auswählen.
Gedankenaustausch unter Leidensgenossen: Die Online-Spionage betrifft nicht allein Sie. Was dem Partnerunternehmen schlimmes geschehen ist, soll sich bei Ihnen nicht wiederholen. Tauschen Sie sich am besten mit Berufsgenossen über das Thema aus. Wer die Gefahren kennt, kann besser auf sie reagieren.
Trau, schau, wem?: Nach Feierabend sollten sich ausschließlich Personen in Ihrem Unternehmen aufhalten, die Ihr volles Vertrauen genießen: Die undichte Stelle kann etwa eine bestochene Reinigungskraft sein.
Feind hört mit: Sogar unbewusst kann ein Angestellter mit verwanztem Mobiltelefon interne Informationen nach außen schleusen. In einer Reihe von großen Konzernen sind Handys in Besprechungen Tabu. Denn diese lassen sich fremdsteuern, sogar wenn sie nicht eingeschaltet sind. Wenn es bei einem Meeting in Ihrem Unternehmen um sensible Themen geht, sollte daher ein striktes Verbot für Handys gelten.
Daten: Nicht alle Informationen bedürfen höchster Geheimhaltung. Organisieren Sie Ihr Firmenwissen entsprechend seiner Wichtigkeit. Was kann ruhig jeder wissen? Was darf auf keinen Fall die Firma verlassen? Nicht alles muss auf jedem PC abgespeichert sein. Je nach Tätigkeit und Position sollten Sie in Ihrem Netzwerk unterschiedliche Zugriffsrechte vergeben. Die größten Firmengeheimnisse müssen Sie gesondert speichern.
Internet: Wer nicht mit Social Media arbeitet, muss sich dort auch nicht einloggen. Bei der Benutzung von Facebook riskieren die Nutzer beispielsweise, sich einen Trojaner einzufangen. Der ist dann Türöffner für Schadsoftware wie zum Beispiel Spionage-Programme. Gleiches gilt für die Nutzung von E-Mail-Accounts. Die private Nutzung stellt ein vermeidbares Risiko dar und sollte verboten sein.
Testen Sie sich: Das Innenministerium von NRW stellt Unternehmen einen Selbsttest bereit, mit dem Sie Ihren Gefährdungsgrad herausfinden können.
Fazit: Von Online-Spionage sind auch kleine Unternehmen betroffen. Wenn Sie der Konkurrenz auch in Zukunft voraus sein wollen, müssen Sie Ihre Daten schützen. Denn andernfalls wird es niemand tun. Die Methoden der Cyber-Kriminellen sind kaum mehr zu durchschauen. Daher rät es sich, ein wachsames Auge zu behalten. Sollten Sie etwas Verdächtiges (Mitarbeiter macht ohne Grund Fotos o. Ä.) beobachten, können Sie sich an das jeweils verantwortliche Innenministerium (in NRW: www.mik.nrw.de) wenden. Nehmen Sie die Bedrohung ernst und ergreifen Sie Sicherheitsmaßnahmen. Dann können Sie ohne Angst in die Zukunft blicken.