Industriespionage: Wie sich der Einkauf schützen kann

Lesezeit 3 Minuten

Wanzen, versteckte Kameras und abgehörte Telefonleitungen – auch in Deutschland sind solche Spionage-Aktionen, keine Seltenheit mehr. In diesem Beitrag schreiben wir über die Risiken und geeignete Präventionsmaßnahmen.

Der Mittelstand als Angriffsziel

Sicherheitsstrukturen sind in der Wirtschaft das A und O: Während große Unternehmen, wie die Global Player, meist über qualitativ hochwertige Schutzmaßnahmen verfügen, gilt dies für den Mittelstand eher weniger. Oft sind gescheute Kosten oder bevorzugte Investitionen in Maschinen, um die Wettbewerbsfähigkeit zu erhalten, die Gründe dafür, weshalb Sicherheitsstrukturen in Unternehmen nur rudimentär umgesetzt werden. Dies macht die Mittelständler zur Zielscheibe.

Ein Beispiel für einen „geglückten“ Spionageeinsatz ist ein mittelständisches Unternehmen in Erlangen, das auf High-Tech-Plattenspieler spezialisiert ist. Der deutsche Unternehmer hat kurze Zeit vor der Entdeckung des Spionage-Angriffs ein Patent für ein innovatives Plattenspielerlager erhalten. Auf einer internationalen Messe wurde das Modul mit den entsprechenden Bauteilen vorgestellt. Das Perfide: An einem chinesischen Stand war ein Bauteil vorzufinden, dass dem des Plattenspieler-Spezialisten so nahe kam, dass für den Unternehmer sofort klar war: Er ist Opfer einer Spionage-Attacke. Nach kurzer Zeit stand fest, dass aus China auf seine Firmen-IT zugegriffen wurde.

Solch eine Erfahrung ist wohl der Albtraum eines jeden Unternehmers. Der Schaden, den eine Ausspähung auslösen kann, ist immens. Der Bundesverband der Deutschen Industrie (BDI) geht davon aus, dass die Industriespionage jährlich Schäden in Höhe von 50 Milliarden Euro anrichtet. Jedes dritte Unternehmen ist betroffen und die Zahl der mittelständischen Unternehmen steigt.

Häufige Spionageformen

Auch deutsche Wettbewerber sind eine Gefahr, denn sie können sich ebenfalls Zugriff auf Informationen verschaffen. Besonders beliebt bei den Spionen sind die Branchen, die technisches Know-how bieten und somit Innovationen auf der Spur sind. Dazu zählen zum Beispiel die Automobil- und Luftfahrzeugbranche sowie der Maschinenbau.

Von Hacker-Angriffen auf Webseiten, Online-Konten und E-Mail-Adressen über Lauschattacken mit Richtmikrofonen bis hin zur Wanze im Werbegeschenk: Die Kreativität der Datendiebe, um wichtige Daten wie Baupläne und Entwürfe zu erhalten, ist kaum zu überbieten. Sogenannte Keylogger ermöglichen es den Tätern beispielsweise die Eingaben der Mitarbeiter auf der Tastatur zu protokollieren und dadurch zu überwachen. Die sich immer weiterentwickelnde Technik macht es sehr mühsam, sich den Spionage-Attacken zu widersetzen. Die andere Seite stellen die Mitarbeiter dar: Fast jede zweite Tat geht von den eigenen Mitarbeitern aus, die sensible Daten oft gegen Geld an die Konkurrenz weitergeben.

Datenklau im Einkauf

Ein großes Interesse der Datendiebe gilt den Produktentwicklungen und Preisinformationen. Diese stellen den größten Teil der Spionageziele dar, denn mit Hilfe dieser Informationen können deutliche Wettbewerbsvorteile erzielt werden. Aber auch Lieferanten- und Einkaufskonditionen sowie Lagerbestände können in Erfahrung gebracht werden und so zu unlauteren Vorteilen führen. Der Lieferant ist eine wichtige Instanz in der Kette der Produktentwicklung und birgt durch die vertraulichen Daten hinsichtlich der Einkaufskonditionen oder innovativen Bauteile ein großes Gefahrenpotenzial. Da die Lieferanten ihre Geschäftsbeziehung zu den einzelnen Unternehmen teilweise öffentlich machen, sind sie einfach als deren Lieferanten zu identifizieren. Das Unternehmen kann also auch über den Lieferanten ausspioniert werden. Daher ist der Beschaffungsbereich besonders gefährdet und muss ausreichend geschützt werden.

Agiert man unvorsichtig, kann die Konkurrenz erfahren, dass ein Unternehmen eine innovative Maschine auf den Markt bringen will oder zu besseren Konditionen einkauft. Die Konkurrenz könnte den Lieferanten auf entsprechende Vergünstigungen ansprechen. Aktuell befindet sich die Wertschätzung des Einkaufs in mittelständischen Unternehmen im Wandel. Es werden neue Potenziale geschaffen, Einsparungen im Einkauf umzusetzen. Dies ist ein Wettbewerbsvorteil, den ein kompetenter Einkäufer nicht durch Spionage verspielen möchte.

Die wichtigsten Schutzmaßnahmen im Einkauf

Wie aber muss ein Einkäufer handeln, um das Gefahrenpotenzial im Einkauf so gering wie möglich zu halten?

Es sollte eine Selbstverständlichkeit sein, eine Anti-Viren-Software und Firewall auf allen Rechnern zu installieren. Da sogenannte Phishing-Attacken es ermöglichen, durch das Öffnen gefälschter WWW-Seiten, E-Mails oder Kurznachrichten an sensible Daten zu gelangen, sollte versucht werden, wichtige Dokumente nicht über E-Mail oder Fax zu übermitteln. Lässt sich dies nur schwer vermeiden, sollten hier Verschlüsselungen zum Einsatz kommen. Um wichtige Angelegenheiten zu klären, sollte anstelle von Telefonaten das persönliche Gespräch gesucht werden. Ebenso ist die Telekommunikation zu schützen, da auch Laien in der Lage sind, eine Wanze in den Telefonapparat einzubauen. Präventivmaßnahmen dafür sind Leitungsüberwachungs- oder Sprachverschlüsselungsmethoden. Die Verschlüsselung der innerbetrieblichen Kommunikation, abhörsichere Kabel und ein Störsignal zur Überlagerung der EDV-Abstrahlung sind unabdingbar, um sich vor Angriffen zu schützen.

Durch Praxis-Workshops können Szenarien und Gefahren im täglichen Geschäft aufgezeigt und Gegenmaßnahmen ergriffen werden. Es ist ratsam, eine schriftliche Geheimhaltungsvereinbarung mit dem Lieferanten abzuschließen, um im Falle einer Ausspähung rechtlich abgesichert zu sein.

Bewusst eingeschleuste Mitarbeiter, die interne Daten abspeichern und die Telefone verwanzen, können bei unauffälligem Verhalten nur schwer identifiziert werden. Insofern sollte bei Tätigkeiten, die die Einsicht auf sensible Daten erlauben, nicht auf Zeitarbeit oder Outsourcing gesetzt werden. Angreifer gelangen auch mit Hilfe des „Social Engineering“ an relevante Informationen aus dem Einkauf. Diese Methode nutzt Charakterzüge wie Freundlichkeit und Hilfsbereitschaft aus, um den Mitarbeitern wertvolles Wissen zu entlocken. Ein simples Beispiel ist, dass ein Angreifer sich als einen Kollegen ausgibt und sich „dringend“ eine Datei zusenden lassen muss. Um „Social Engineering“ weitestgehend zu vermeiden, sollten die Bildschirme beim Verlassen des Arbeitsplatzes gesperrt werden, damit Unbefugte sich nicht in das Computernetz einschleusen können. Eine gewagte, jedoch effiziente Methode, um zukünftige Mitarbeiter besser einschätzen zu können ist, sie in einem Bewerbungsgespräch bewusst einer Stresssituation oder einem fiktiven Szenario auszusetzen, in dem es um den Umgang mit vertraulichen Informationen geht. Es könnte die Frage gestellt werden, wie der Bewerber mit einem unangekündigten Präsent eines Lieferanten, der sonst nichts schickt oder dessen Name unbekannt ist, umgehen würde. Der „Test“ sollte jedoch aufgelöst werden, um dem Vertrauensverhältnis zwischen Arbeitgeber und potenziellem Mitarbeiter nicht zu schaden. Schließlich hilft die Sensibilisierung der Einkäufer, Lieferanten und Mitarbeiter für das Thema Industriespionage, welches derzeit leider noch zu sehr auf die leichte Schulter genommen wird.

Es ist eine Herausforderung, das zwischenmenschliche Vertrauen und die gebotene Vorsicht, sowohl in technischer als auch in menschlicher Hinsicht, in einem ausgewogenen Verhältnis in die Praxis umzusetzen. Eine frühzeitige Umsetzung der Schutzmaßnahmen ist jedoch unerlässlich, um einen Grundstein für die Unternehmenssicherheit zu legen.

Die Autoren:

Thomas Wandler, Partner Kloepfel Consulting Österreich

Ilja Kipermann, Geschäftsführer Kloepfel Outsourcing

Wenn Sie weitere Informationen wünschen wenden Sie sich an: t.wandler@kloepfel-consulting.com oder i.kipermann@kloepfel-outsourcing.com

Industriespionage: Wie sich der Einkauf schützen kann

Industriespionage: Wie sich der Einkauf schützen kann

Inhaltsverzeichnis