- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Die Konkurrenz schläft nicht, sie spioniert


Wirtschaftsspionage oder Konkurrenzausspähung: Ein Maßnahmenkatalog soll Kooperation von Unternehmen und Ermittlungsbehörden erleichtern
Die Bedrohung besteht gleichermaßen von innen, etwa durch unzufriedene oder ehemalige Mitarbeiter, wie von außen, etwa durch Cyberspionage

- Anzeigen -





Jedes dritte kleine und mittlere Unternehmen in Deutschland war schon einmal von Wirtschaftsspionage oder Konkurrenzausspähung betroffen. Täter sind ausländische Staaten oder Konkurrenzunternehmen. Wissenschaftler-Team des Max-Planck Instituts für ausländisches und internationales Strafrecht (Freiburg) und des Fraunhofer Instituts für System- und Innovationsforschung (Karlsruhe) stellt europaweite Untersuchung vor.

Gesetzlicher Rahmen in Deutschland nicht mehr zeitgemäß
Nicht nur die Global Player können Opfer sein - auch jedes dritte kleine und mittlere Unternehmen (KMU) in Deutschland war in der Vergangenheit schon von Wirtschaftsspionage oder Konkurrenzausspähung betroffen. Täter können ausländische Staaten, Wettbewerber oder die eigenen Mitarbeiter sein. Zwanzig Prozent der Unternehmen haben keine Strategien zur Entdeckung oder Abwehr von Angriffen auf ihr Know-how entwickelt und wären auf einen solchen Fall nicht vorbereitet.

Das sind einige der Ergebnisse des Forschungsprojekts "Wirtschaftsspionage und Konkurrenzausspähung in Deutschland und Europa" (WISKOS), das ein Forschungsteam des Max-Planck-Instituts für ausländisches und internationales Strafrecht (MPICC) in Freiburg und des Fraunhofer-Instituts für System- und Innovationsforschung (Fraunhofer ISI) in Karlsruhe gemeinsam mit dem Bundeskriminalamt (BKA), dem Landeskriminalamt (LKA) Baden-Württemberg und der Sächsischen Hochschule der Polizei durchgeführt hat. Gefördert wurde das Projekt durch das Bundesministerium für Bildung und Forschung.

KMU stellen in Deutschland die meisten Arbeitsplätze und gelten als Garant für das Wirtschaftswachstum. Sie entwickeln wertvolles und begehrtes Know-how, das bei der Konkurrenz oder anderen Staaten Interesse weckt. Die WISKOS-Studie von MPICC und Fraunhofer ISI ergab, dass über alle Branchen hinweg jedes dritte Unternehmen bereits von einem Spionage- oder Ausspähungsvorfall betroffen war, von einem Verdacht auf einen Angriffsversuch berichtete sogar jedes zweite Unternehmen. Darüber hinaus ist von einer hohen Dunkelziffer auszugehen. Die Bedrohung besteht gleichermaßen von innen, etwa durch unzufriedene oder ehemalige Mitarbeiter, wie von außen, etwa durch Cyberspionage.

"Die Ergebnisse unserer Befragungen zeigen, dass sich kein Unternehmen sicher fühlen kann. Es kann alle Branchen und allen Unternehmensgrößenklassen treffen", erklärt Dr. Esther Bollhöfer, die am Fraunhofer ISI für das Projekt verantwortlich war.

Dennoch fehlt es gerade bei den kleinen Unternehmen an Präventionsstrategien: Jedes fünfte Unternehmen mit weniger als 50 Beschäftigten gab an, keine Strategie gegen physische Spionage zu haben, und auch nur wenige mehr verfügen über ein Präventionskonzept gegen Cyberspionage. Erschwerend kommt hinzu, dass sich viele Unternehmen scheuen, sich bei einem Spionage-Verdacht externe Unterstützung zu suchen. "Es gibt bislang keine Standard-Vorgehensweise. Es herrscht in den Unternehmen eher große Unsicherheit beim Thema Spionage mit einem doppelten Dunkelfeld", sagt Werner Heyer vom LKA Baden-Württemberg.

Grundsätzlich können sich die Betriebe eine Kooperation mit den Behörden gut vorstellen, so die Untersuchung - klare Zuständigkeiten und ein vertrauensvolles Verhältnis vorausgesetzt. "Gegenseitiges Vertrauen entsteht vor allem durch Kommunikation und Kooperation. Bestehende Zusammenarbeitsplattformen zwischen Polizei und Unternehmen sind daher zu stärken und auszubauen. Auf diese Weise entstehen Kooperationsstrukturen und -mechanismen, die im Schadensfall ein schnelles und vertrauensvolles Handeln und Zusammenwirken ermöglichen", erläutert Albert Märkl, Leiter des Kriminalistischen Instituts des BKA. "Denn Strafverfolgungsbehörden können nur dann erfolgreich arbeiten, wenn sie schnellstmöglich Kenntnis von den Schadensfällen erhalten."

Neben einer Analyse des Hell- und Dunkelfeldes beim illegalen Know-how-Abfluss hat das Wissenschaftsteam von MPICC und Fraunhofer ISI Leitfäden mit praktischen Empfehlungen für Unternehmen, Wissenschaftsorganisationen und Polizeibehörden erstellt. Sie sollen für dieses Kriminalitätsphänomen sensibilisieren sowie über Präventionsmaßnahmen und das Vorgehen nach einem Vorfall informieren. "Durch die langjährige Studie und die daraus gewonnenen Erkenntnisse sind wir in der Lage, sowohl den Unternehmen als auch den Ermittlungsbehörden praktische Leitfäden in die Hand zu geben, die ihnen bei der Prävention und der Aufklärung solcher Delikte helfen und Hürden bei der Kooperation abbauen", sagt Susanne Knickmeier, wissenschaftliche Mitarbeiterin am MPICC.

Die rechtlichen Analysen liefern darüber hinaus Hinweise für den Gesetzgeber zu einer Überarbeitung des derzeitigen gesetzlichen Rahmens. Hier erscheint insbesondere die strikte Trennung von Wirtschaftsspionage und Konkurrenzausspähung nicht mehr zeitgemäß. "Sie ist aus Sicht der betroffenen Unternehmen irrelevant und im Hinblick auf eine effektive Aufklärung und strafrechtliche Verfolgung nicht zielführend", betont Dr. Michael Kilchling, wissenschaftlicher Referent am MPICC.

Das WISKOS-Projekt im Überblick: Im Projekt WISKOS wurden neben einem Vergleich der Rechtslage in allen Mitgliedsstaaten der Europäischen Union sowie der Schweiz (Modul 1) in einer Mehrebenen-Evaluation das Hellfeld (Modul 2) und das Dunkelfeld (Modul 3) unter anderem im Hinblick auf Konsequenzen von Angriffen für KMU, Verdachtsfaktoren sowie potentielle Täter und ihre Modi Operandi analysiert, um auf dieser Grundlage innerbetriebliche Präventions- und Verfolgungsstrategien zu entwickeln.

Modul 1: Länder-Screening Landesberichte aus allen 28 EU-Mitgliedsstaaten und der Schweiz zu den rechtlichen Regelungen, dem verfahrensrechtlichen Rahmen und statistischen Basisdaten.

Modul 2: Mehrebenen-Evaluation Literatur- und Dokumentenanalyse, Strafaktenanalyse (n=713 Strafakten zu Fällen der Konkurrenzausspähung aus Deutschland), Exemplarische Fallstudien (n=50 Fallstudien aus Bulgarien, Dänemark, Österreich, der Schweiz und dem Vereinigten Königreich, Experteninterviews (n=62 mit Vertretern von Behörden, KMU, Kammern, Verbänden, Wissenschaftsorganisationen in Deutschland sowie Bulgarien, Dänemark, Österreich, der Schweiz und dem Vereinigten Königreich)

Modul 3: Dunkelfeldbefragung Erhebung Modernisierung der Produktion 2015 (n= 1.282 Betriebe,) Erhebung bei produzierenden Betrieben und industrienahen Dienstleistern bis zu 250 Mitarbeiter 2017 (n=583 Betriebe)

Umfangreiche Materialien inklusive Handlungsleitfäden sowie weitere Informationen finden Sie unter http://wiskos.de und auf der BKA-Webseite unter www.bka.de.
(Bundeskriminalamt: ra)

eingetragen: 08.12.18
Newsletterlauf: 10.01.19


Meldungen: Tipps & Hinweise

  • Gefahr für jedes Sicherheitssystem

    Auch wenn die Methoden von Cyber-Angreifern immer raffinierter werden, die Hauptangriffswege bleiben gleich: gefälschte E-Mails und bösartige Downloads. Nur eine vollständige Isolierung dieser Gefahrenherde garantiert ein sicheres Surfen und Downloaden von Dokumenten, meint Sicherheitssoftware-Anbieter Bromium. Cyber-Angreifer nehmen Unternehmen und Behörden nach wie vor unter Nutzung der Angriffswege E-Mail und Download ins Visier. So vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Auch Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, liegt im Trend und stellt eine große Gefahr für jedes Sicherheitssystem dar. Zudem stellen bösartige Downloads, also Downloads mit unbekanntem Schadcode, die IT immer noch vor vermeintlich unlösbare Probleme. Bei Downloads von Dateien aus externen Quellen besteht immer die Gefahr, Opfer von Malware zu werden: sei es durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffsvarianten der Hacker sind dabei äußerst vielfältig: Sie reichen von Fake-Updates über URL-Weiterleitungen und DNS-Manipulationen bis hin zu fingierten Treibern und System-Tools.

  • Sicherheits-Tipps für das Arbeiten von unterwegs

    Immer mehr Menschen arbeiten bei schweißtreibenden Temperaturen nicht nur im Büro, sondern auf dem Balkon, im Schwimmbad, an Urlaubsorten oder wo auch immer Abkühlung geboten wird. Einige verwandeln ihren gesamten Arbeitsplatz in eine Weltreise: Die Zahl der digitalen Nomaden beläuft sich laut Schätzungen auf eine halbe Million Menschen. Das Arbeiten von unterwegs bietet zwar eine willkommene Ablenkung, aber auch ein erhöhtes Sicherheitsrisiko. Deshalb hat die OTRS AG folgende Tipps zusammengestellt, wie das Sicherheitsrisiko beim Arbeiten außerhalb des Büros möglichst gering gehalten werden kann.

  • KRITIS-Unternehmen sind attraktive Ziele

    Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario - ein länger andauernder europaweiter Stromausfall - erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht.

  • Verwendung von PGP und Keyservern

    In letzter Zeit traten gehäuft Probleme bei der Verwendung von PGP und Keyservern auf: Bereits Angriffe mit einfachsten Methoden auf SKS Keyserver führten zu Überlastungen und dazu, dass Schlüssel unbrauchbar wurden. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. Die E-Mail-Verschlüsselung per PGP ist attraktiv: Kostenfrei und mit wenig Aufwand können Anwender ihren Mail-Verkehr verschlüsseln. Dieses Verfahren hat jedoch deutliche Schwächen, die dazu führen, dass das vermeintliche Gefühl von Sicherheit tatsächlich beeinträchtigt wird. "Mittels eines PGP Key Servers kann jeder Nutzer auf einfache Art ein Schlüsselpaar erstellen. Das allerdings ist das erste Problem: Jeder kann für jeden x-beliebigen anderen Menschen eine Nutzerkennung anlegen, die aus Vor- und Zunamen sowie der E-Mail-Adresse besteht. Eine Identitätsprüfung findet dabei nicht statt", so Christian Heutger, CTO der PSW Group. Stattdessen verifizieren und bestätigen andere Nutzer die Identität nach dem Ansatz des Web of Trust: Durch eine PGP-Signatur bekunden PGP-Nutzer ihr Vertrauen am öffentlichen Schlüssel.

  • Laterales Phishing: Die wachsende Bedrohung

    Der Missbrauch gehackter E-Mail-Konten durch Cyberkriminelle ist nach wie vor eine der größten Bedrohungen für die E-Mail-Sicherheit. Dabei entwickeln Angreifer ihre Taktiken kontinuierlich weiter: In Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego entdeckten Sicherheitsforscher von Barracuda eine neue und wachsende Art des Kontoübernahme-Angriffs: das laterale Phishing. Bei lateralen Phishing-Angriffen missbrauchen Cyberkriminelle kompromittierte Konten, um Phishing-Mails an eine Reihe von Empfängern zu senden, von engen Kontakten innerhalb des Unternehmens bis hin zu Geschäftspartnern anderer Unternehmen. Die Studie ergab, dass eines von sieben Unternehmen in den letzten sieben Monaten laterale Phishing-Angriffe erlebt hat.