Tipps gegen Betriebsspionage: „Handys werden vernachlässigt“
Firmen müssen Mitarbeiter einbinden, sagt Unternehmensberater Thomas Schüler. Abhörsichere Handys und Open Source Software helfen auch.
taz: Herr Schüler, einer Studie zufolge sind vor allem Finanzwirtschaft und Maschinenbau von Industriespionage betroffen. Warum brauchen Sie als Unternehmensberater Sicherheitsmaßnahmen?
Thomas Schüler: Allein schon deshalb, weil wir immer wieder sensible Kundendaten bei uns haben. Wenn ein Kunde etwa aus der Automobilindustrie kommt, sind diese Daten für Werkspionage besonders anfällig: Entwicklungen sind am Anfang noch nicht patentgeschützt. Greift ein Konkurrent in dieser Phase Daten ab, ist der Schaden enorm.
Das Wertvollste für Industriespione sind also Pläne für Maschinen?
Und natürlich Herstellungsverfahren. Gerade im Pharmabereich, zum Beispiel in der Herstellung von Generika. Die Entwicklung dauert da etwa 10 bis 20 Jahre und erfordert viele Versuchsreihen. Früh dran zu sein sichert einem hier also den Markt. Wenn das nun ausgespäht wird und ein anderes Unternehmen einige Monate später das gleiche Medikament auf den Markt bringt, war der gesamte Einsatz eigentlich umsonst.
Welche Maßnahmen treffen Sie?
Viele. Zunächst einmal muss man ehrlich sein: Eine hunderprozentige Sicherheit gibt es nicht. Man kann nur versuchen, es Eindringlingen so schwer wie möglich zu machen. Dann ist man unattraktiv für einen Angriff. Hilfreich ist etwa Open Source Software. Denn hier lässt sich im Zweifelsfall selbst überprüfen, ob es irgendwelche Hintertüren gibt. Ob ein Angreifer etwa an einem PC auf das Mikro zugreifen und damit den Raum abhören kann.
Und sonst?
Die Unternehmenskultur spielt eine große Rolle. Unternehmen, die Mitarbeiter sehr gut einbinden, geben ihnen kein Interesse, gegen das Unternehmen zu handeln und etwa Geheimnisse nach außen zu tragen. Dieses Einbinden ist in hierarchisch aufgestellten Unternehmen am schwierigsten.
Sie sagen jetzt gar nichts von verschlüsselten E-Mails und Festplatten. Ist das nachrangig?
Nein, das ist Standard. Aber man muss sich auch anschauen, wie Ausspähungen heutzutage eigentlich laufen. Die kommen meist aus China, dort sind die Dienste von Hackern preiswerter und es gibt eine Kultur des Kopierens. Was bei uns sozial geächtet ist, ist dort sozial geachtet. Daher gibt es dort mittlerweile viele gut ausgebildete Leute, die sich darauf spezialisiert haben. Und wenn chinesische Hacker den Weg in einen Konzern suchen, dann gehen sie nicht über eine gut abgesicherte Konzernzentrale. Sie suchen sich etwa eine Filiale in Brasilien und dort einen ungesicherten Drucker.
Und was ist da die Lösung?
Man muss ein Bewusstsein für Datensicherheit schaffen. Überall, bei jedem Mitarbeiter. Gerade internationale Konzerne verwenden viel Aufwand auf das, was nach außen hin die Zentrale ist, und vernachlässigen den Rest. Ein Punkt wird dabei besonders vernachlässigt, und zwar die Handys. Da liegen wichtige Informationen auf völlig unsicheren Systemen.
Wie wird das bei Ihnen gehandhabt?
Wir haben Handys, die die Anrufe verschlüsseln. Gleiches gilt auch für die auf den Telefonen liegenden Daten.
Unternehmen berichten, dass es Mitarbeitern lästig ist, sich etwa alle paar Monate ein neues Passwort auszudenken.
Das sind Klagen, die mir natürlich auch bekannt sind. Und daher ist die Unternehmenskultur so wichtig: Denn Unternehmensinteressen sind meist auch Mitarbeiterinteressen, und wenn das Unternehmen durch Wirtschafsspionage Geld verliert, können auch Arbeitsplätze in Gefahr sein. Ich habe vor Kurzem einen großen Konzern erlebt, da müssen die Mitarbeiter zwar regelmäßig die Passwörter wechseln. Aber viele haben sie auf einem Zettel unter der Tastatur liegen. So nützt das natürlich nichts.
Leser*innenkommentare
Gerechtes Teilen führt zu mehr Verantwortung
Gast
"Unternehmenskultur" sollte mit einer finanziellen Beteiligung der Mitarbeiterinnen und Mitarbeiter beginnen. Wenn es nur um einen "Job" und ein Gehalt geht, dann fühlt sich natürlich niemand wirklich dafür verantwortlich und es denkt auch niemand an das Unternehmen als Ganzes. Das betrifft nicht nur die Datensicherheit. Da eine finanzielle Beteiligung aber auch Mitsprache bedeutet, verweigern sich die meisten Unternehmer dieser Möglichkeit eine "Unternehmenskultur" zu schaffen. Bis das Unternehmen von "Investoren" übernommen wird.
Hanns
Gast
Kleine Anmerkung zur Passwortkultur:
http://xkcd.com/936/
Regelmaessig neue PWs zu benutzen ist Bloedsinn und macht es dem Angreifer leichter. Lange Passphrasen, wie im Beispiel, sind viel sicherer und vor allem auch besser erinnerbar.