Ende November 2007 sorgten die Ergebnisse einer Studie über die Spionagegefährdung der deutschen Wirtschaft bundesweit in den Medien für Resonanz. Sie bestätigte die Vermutung, dass die Verantwortung für unerwünschte Informationsabflüsse meist in den betroffenen Unternehmen selbst liegt, ob durch unbeabsichtigte Informationsweitergabe, durch löchrigen Schutz vor gezielten Angriffen durch Externe oder durch mangelnde Sensibilität für frustrierte Mitarbeiter, die ihr Wissen den Meistbietenden andienen.

Christian Schaaf, Autor der Studie, stellte in seinen Empfehlungen insbesondere den Schutz vor der gezielten Spionage durch Externe und Innentäter in den Vordergrund. Doch über die Befassung mit einem darauf zugeschnittenen Informationsschutzkonzept werden fast zwangsläufig auch all die durch Unachtsamkeit entstehenden Informationsabflüsse thematisiert werden können. WIK sprach mit Christian Schaaf über Ergebnisse und Schlussfolgerungen.


Nach Ihrer Erhebung werden Unternehmen in Deutschland in nennenswerter Zahl massiv durch Spionage geschädigt. Sind die Ergebnisse Resultat erfolgreicher Awareness-Bildung durch Behörden und Medien oder geben sie die reale Gefährdung wieder?
Christian Schaaf: Sicherlich hat dieses Thema in der Vergangenheit eine verstärkte Medienpräsenz erfahren, nicht erst seit unserer Studie. Dies hat wahrscheinlich auch dazu geführt, dass Vorfälle sensibler betrachtet oder Angriffe eher erkannt werden. Ob die Angriffe und Fälle von Spionage tatsächlich steigen, kann man jedoch nur mutmaßen. Fakt ist, dass viele Unternehmen, sofern sie die Möglichkeit der Anonymität haben, zwar über ihre Probleme berichten, damit aber nur ungern an die Öffentlichkeit gehen würden. Zu groß ist die Angst vor einem Imageschaden. Wir haben in unserer Studie die Möglichkeit der Anonymität gegeben, daher denke ich, dass die Ergebnisse eine reale Abbildung der aktuellen Gefährdung darstellen.

Wie lässt sich erklären, dass viele Unternehmensvertreter mit zunehmenden Spionageangriffen rechnen, zu einem Teil auch schon betroffen waren, den Schutz aber dennoch eher nachlässig betreiben?
Christian Schaaf: Der Sicherheitsmarkt ist teilweise für Unternehmen unüberschaubar. Alleine der Schutz gegen Hackerangriffe mit den vielfältigen Angeboten im Bereich IT-Sicherheit ist immens. Die Thematik Spionage ist dazu sehr umfangreich. Ein sinnvolles ganzheitliches Schutzkonzept bedeutet, dass man alle relevanten Bereiche erfassen und eventuell erst einmal eine Sicherheitsstruktur schaffen muss. Dies bedeutet Ressourcen zu schaffen sowie finanziellen und persönlichen Einsatz. Da ist es für viele Unternehmen leichter, das Thema zu verdrängen. Obwohl man die allgemeine Gefahr zwar realisiert, wird die eigene Gefahr oftmals unterschätzt.

Nur in ganz wenigen Fällen wurden, wenn es Hinweise auf die Täter gab, "fremde Nachrichtendienste" genannt. Sollte sich die Risikoanalyse deshalb vor allem auf die kriminelle Potenz von Wettbewerbern oder Geschäftspartnern als Auftraggeber oder Täter von Spionagehandlungen konzentrieren?
Christian Schaaf: Auch wenn ich glaube, dass die Zahl der Spionagefälle durch Wettbewerber oder Geschäftspartner deutlich zunimmt, so bin ich mir doch sicher, dass fremde Geheimdienste immer noch eine große Rolle spielen. Sie sind wahrscheinlich häufig nur sehr schwer als Täter zu erkennen. In den allermeisten Fällen gab es keine Hinweise auf die Täter. Auch für die so genannten Innentäter, also Mitarbeiter im Unternehmen, die für den Informationsabfluss verantwortlich sind, ist wahrscheinlich nicht immer zu erkennen, wer der tatsächliche Nutznießer ihrer Information ist. Ein Mitarbeiter, dem Geld geboten wird, um eine Information nach außen zu geben, hat häufig nur mit einer Person als Gegenüber zu tun. Welcher Organisation diese Person angehört, bleibt da meist offen. Es könnte genauso gut ein Krimineller wie ein Mitarbeiter eines ausländischen Geheimdienstes oder ein Konkurrent sein.

Wächst die Zahl der Mitarbeiter, die sich aktiv Wettbewerbern als Spione andienen?
Christian Schaaf: Absolut. Ähnlich wie bei anderen Delikten der Wirtschaftskriminalität sind Frustration am Arbeitsplatz, Geldprobleme oder mangelnde Integrität gegenüber dem eigenen Arbeitgeber häufig die Auslöser für das schädigende Verhalten eines Innentäters. Sieht man sich die Vielzahl von medienträchtigen wirtschaftskriminellen Vorfällen an, bei denen Manager beteiligt sind oder zumindest im Verdacht stehen, so wundert es nicht, wenn auch die Moral bei vielen Mitarbeitern sinkt. Stehen dann noch Restrukturierungsmaßnahmen im Unternehmen bevor, so überlegt sich vielleicht doch der eine oder andere, wie er in Zukunft sein Auskommen hat, beziehungsweise ob er "sich noch das holen sollte, was einem eigentlich zusteht". Informationen werden da schnell zu einer Ware.

Muss bei den Innentätern eher mit einem "U-Boot" gerechnet werden, das laufend alle erreichbaren Informationen abgreift, oder eher mit Tätern, die gezielt nach bestimmten Informationen suchen?
Christian Schaaf: Dies dürfte vermutlich von dem Motiv des betreffenden Mitarbeiters abhängen. Wenn es sich eher um einen frustrierten Mitarbeiter handelt, der sich verkannt fühlt und dem Unternehmen böswillig Schaden zufügen will, wird er wahrscheinlich möglichst viele Informationen sammeln. Handelt es sich um einen eingeschleusten oder angeworbenen Mitarbeiter, so kann man eher von einer zielgerichteten Informationsbeschaffung ausgehen. Aus meiner Sicht, ist der erste Fall das größere Problem für die Unternehmen, weil es sich häufig um unauffällige oder langjährig verdiente Mitarbeiter handelt. Die entsprechenden Schutzvorkehrungen müssen daher wesentlich früher angesetzt werden, zum Beispiel bei der Auswahl der Mitarbeiter, der Sensibilisierung von Führungsverantwortlichen oder der Personalförderung. Der Schutz gegen Angriffe von innen wird jedoch häufig bei Unternehmen völlig außer Acht gelassen.

Der mögliche Nutzen von erfolgreicher Wirtschaftsspionage ist in der Regel erheblich und rechtfertigt aus Tätersicht einen hohen Einsatz. Kann ein Unternehmen gezielte Wirtschaftsspionage wirklich mit einer gewissen Erfolgswahrscheinlichkeit abwehren - oder kann es nur Zeit gewinnen?
Christian Schaaf: Der Schutz gegen Spionage ist ein langfristiger Prozess. Eine hundertprozentige Sicherheit von heute auf morgen wird es sicher nicht geben. Aber es gibt eine hohe Chance, das Risikopotenzial durch strukturierte ganzheitliche Informationsschutzkonzepte zu begrenzen. Wir empfehlen den Unternehmen außerdem immer, sich gegen das Risiko von Spionage zu versichern. Die AIG EUROPE hat die erste und weltweit einzige Risiko-Police gegen Spionage auf den Markt gebracht. Gerade für innovative mittelständische Unternehmen sollte dies eigentlich zum Standard gehören. Eines ist sicherlich klar, die Angriffsformen werden sich aufgrund der technischen Möglichkeiten ständig verändern. Der kriminellen Phantasie sind hier keine Grenzen gesetzt. Und in einer Zeit von globalisierten Märkten wird auch der Druck für die meisten Unternehmen härter. Da wird eine "verkürzte" Entwicklungszeit oder die aktuelle Vertriebs- oder Kundenliste des Konkurrenten zunehmend interessanter.

Wäre es eventuell sinnvoll, mehr Energie in das Aufdecken der Täter und deren Auftraggeber sowie deren öffentliche Anprangerung zu stecken als in die Abwehr?
Christian Schaaf: Die Aufdeckung ist ein ganz wesentlicher und wichtiger Bestandteil, damit das "Leck" im Unternehmen erst einmal gefunden werden kann. Daher sollte in der Tat mehr Energie für die Aufdeckung verwandt werden. Nach meiner persönlichen Erfahrung ist die Vermeidung von Öffentlichkeit jedoch für viele Unternehmen der wichtigste Grundsatz zum Schutz gegen einen Imageschaden. Daher bin ich mir nicht sicher, ob die Ermittlungen zum Täter auch gleichbedeutend mit einer stärkeren Darstellung in der Öffentlichkeit sind. Wir stellen fest, dass die Nachfrage für Ermittlungen im Bereich Spionage deutlich zugenommen hat. Die Unternehmen wollen definitiv wissen, ob es tatsächlich einen Vorfall gab und wer die Täter sind. Nur meist wollen sie am Ende der Ermittlungen selbst darüber entscheiden, wie mit den Ergebnissen umgegangen wird. Häufig führt das auch heute noch dazu, dass Innentäter mit einem goldenen Handschlag aus dem Unternehmen verabschiedet werden.

Sie gehen in Ihrer Analyse auch auf die legalen Möglichkeiten der Informationsgewinnung ein. Eigentlich sollte man annehmen, auch angesichts der allgemeinen Defizite im Informationsschutz, dass die harte, illegale Konkurrenzspionage seltener und in geringerem Maße eingesetzt werden muss. Ist das der Fall?
Christian Schaaf: Vermutlich gibt es eine Vielzahl von bewussten oder unbewussten "weichen Angriffen" auf das Firmen Know-how, die je nach Sensibilisierung der Mitarbeiter zu mehr oder weniger Informationsabfluss führen können. Trotzdem können es sich Unternehmen vermutlich nicht erlauben, sich darauf zu verlassen, dass es dadurch keine weiteren illegalen Angriffe geben wird. Die Wichtigkeit einer Information gibt in der Regel der Ausschlag dafür, wie weit man in den illegalen Praktiken geht. Wenn eine Information einfach zu bekommen ist, wird sicherlich dieser leichtere Weg gegangen. Bei vielen Unternehmen werden vertrauliche Informationen besonders geschützt, daher ist es auch aufwändiger an sie heran zu kommen. Dafür ist dann mehr kriminelle Energie erforderlich.

Welche Maßnahmen sollten in einem Unternehmen, das sich erstmals um Informationsschutz kümmert, als erste umgesetzt werden.
Christian Schaaf: Für uns ist der Einstieg in den Informationsschutz die detaillierte und umfassende Analyse der Schwachstellen. Dazu werden sämtliche relevanten Bereiche, IT/Telekommunikation, Objektsicherheit, Infrastruktur, Personal, Prozesse sowie die Sicherheitskoordination genau daraufhin betrachtet, wo die tatsächlichen Schwachstellen liegen. Erst danach sollte man entscheiden, welche Maßnahmen in welchen Bereichen anhand der Priorisierung vordringlich sind. Alles andere führt zu blindem Aktionismus, der häufig teuer und nicht zielführend ist. Die Kosten für eine umfassende Risiko- und Schwachstellenanalyse sind dabei gering im Verhältnis zu dem Schaden der durch einen ungewollten Informationsabfluss an einen Konkurrenten entstehen kann. Christian Schaaf ist Geschäftsführer des Consulting-Unternehmens Corporate Trust Business Risk & Crisis Management GmbH, München. Erfahrungen im Sicherheitsbereich sammelte er bei der Polizei, unter anderem in leitender Funktion bei der Bekämpfung von Schwerstkriminalität, und anschließend als Leiter der Bereiche Ermittlung und Informationsschutz bei einem international tätigen Risk Consulting Unternehmen. Kontakt: schaaf@corporate-trust.de