Vernetzt Verwanzt Verloren E-Book

THOMAS R. KÖHLER

VERNETZT,VERWANZT,VERLOREN

Die unglaublichen Methoden der Wirtschaftsspionage

eBook Edition

Alle Fälle und Ereignisse, die in diesem Buch geschildert sind, wurden nach bestem Wissen und Gewissen recherchiert. Dennoch können Unrichtigkeiten durch Verzerrung von Tatsachen auf Quellenebene nicht ausgeschlossen werden ebenso wenig wie eine Vollständigkeit bei der Übersicht über die Bedrohungslage garantiert werden kann. Dies liegt in der Natur der Sache dieses besonders sensiblen Themas und der rasanten technischen Entwicklung. Die Empfehlungen in diesem Buch sollen anleiten, sich weitergehend mit der Problematik des Schutzes von Informationen vertraut zu machen. Sie können jedoch keine persönliche Beratung durch IT-Security-Experten ersetzen, sondern diese höchstens vorbereiten.

Mehr über unsere Autoren und Bücher:www.westendverlag.de

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlags unzulässig. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

ISBN 978-3-86489-555-5

© Westend Verlag GmbH, Frankfurt/Main 2014

Satz: Publikations Atelier, Dreieich

Druck und Bindung: CPI – Clausen & Bosse, Leck

Printed in Germany

Inhalt

Vorwort

1Spionage: ein unterschätztes Thema

Die Paranoia von gestern ist die Bedrohung von morgen

Digitale Transformation und Spionage

Warum wir so wenig über Industriespionage erfahren

2Vom Wettbewerb zum Wirtschaftskrieg

Wirtschaft ist Krieg

Die große Begriffsverwirrung

An den Grenzen von Recht und Ethik

Es kann jeden treffen

3Von der Old-School-Spionage zu modernen Angriffsmethoden

Frühzeit der Wirtschaftsspionage

Spionage als internationales Business

Böse Mitarbeiter

Unfair Play

Vielfältige Interessen

Ein neues Zeitalter der Wirtschaftsspionage

4Wirtschafts- und Industriespionage im digitalen Zeitalter

Hilflose Opfer

Gefährliche Orte und Geräte

Eingebaute Risiken

Neue Gefahrenpotenziale

Wirtschaftsspionage und Cybercrime

5Auf dem Weg zum »spionagesicheren« Unternehmen

Risiken erkennen

Feinde erkennen

Gefahren erkennen, aber wie?

Know-how schützen

Säulen des Unternehmensschutzes

Die Zukunft der Wirtschafts- und Industriespionage

Anmerkungen

Register

Vorwort

»Only the paranoid survive.«(Andy Grove, ehemaliger Chef von Intel)

Es war ein Mittwochvormittag, daran erinnere ich mich genau, auch wenn mir das genaue Datum nicht mehr präsent ist. Anfang der Neunzigerjahre, ich war Student, die Semesterferien hatten gerade begonnen. Anders als andere Kommilitonen fand ich mich nicht am Strand, sondern in einem großen Maschinenbaubetrieb im Süden Deutschlands wieder. Sechs Wochen Arbeit in der Fabrik halfen mir dabei, mein Studium zu finanzieren. Das Unternehmen und die Arbeit dort kannte ich bereits, nur an das frühe Aufstehen – Arbeitsbeginn war stets um 7 Uhr – konnte ich mich nicht gewöhnen. Immerhin war es mir gelungen, für diesen Sommer einen der begehrten Jobs in der Besucherbetreuung zu ergattern. Das bedeutete zwar den Verzicht auf allerlei mögliche Zuschläge – und damit am Ende weniger Geld –, aber eben auch angenehme Arbeitsbedingungen bis hin zu ausgedehnten Mittagessen im eigentlich nur für die Geschäftsleitung und deren Besucher reservierten Kasino, wie die Vorstandskantine genannt wurde.

Alles, was ich dafür tun musste, war, Besucher abzuholen – stets mindestens zu zweit – und nach einem vorgegebenen Regieplan durch verschiedene Stationen von Konstruktion, Fertigung und Logistik zu begleiten und zwischendurch zum Mittagessen und Kaffeetrinken zu führen. Meist gab es auch für mich das eine oder andere über die Abläufe im Unternehmen zu lernen: An jeder Station in der Fabrik wurde nämlich genau nach Plan in kurzen Vorträgen von den jeweiligen Fachverantwortlichen erläutert, was denn nun das Besondere des gezeigten Vorgangs war. Doch davon ist mir im Wesentlichen nur das lustige Englisch in Erinnerung geblieben – Marke: »Wir können alles außer Englisch!«

An einem Mittwoch geschah es dann. Es sollte mein persönliches Schlüsselerlebnis werden, mich mit dem Thema der wirtschaftlich motivierten Spionage auseinanderzusetzen – ein Thema, das mich mein weiteres Berufsleben lang begleiten würde und nun, beinahe ein Vierteljahrhundert nach dem Vorfall, in dieses Buch mündet.

Zum Mittagessen kamen wir wie immer im Kasino an – doch ein Platz an der festlich gedeckten Tafel blieb unbesetzt. Einer der Gäste fehlte, aber welcher, das war nicht auszumachen. Bei der Gruppe handelte es sich um Asiaten in dunklen Anzügen und weißen Hemden. Zu ähnlich sahen diese für mich und meine Kollegin aus, mit der ich mir diese Aufgabe teilte. So war auch das Abhandenkommen eines Gruppenmitglieds uns bis zu jenem Augenblick nicht aufgefallen. Ein schnelles Nachzählen bestätigte den Verdacht: Die Tafel war korrekt eingedeckt, nur ein Teilnehmer, der am Morgen bei der Ausgabe der Besucherausweise noch anwesend war, blieb verschwunden – ein Fall für den Werksschutz. Erst eine halbe Stunde später wurde er in einer orchestrierten Suchaktion über den gesamten Unternehmenscampus entdeckt: in einem Kopierraum des Hauptgebäudes – weit weg von der mit der Gruppe abgelaufenen Route. Offenbar hatte es ihm besonders ein Ordner mit Konstruktionsplänen aus einem Meisterbüro an einer neu eingerichteten Fertigungslinie angetan. Diesen trug er nämlich bei sich, samt einiger weniger Fotokopien, denn er war gezielt vorgegangen und hatte nur sehr selektiv Material kopiert.

Was danach allerdings geschah, sorgte bei mir für höchstes Erstaunen: Anders als erwartet, gab es kein Donnerwetter. Der abtrünnige Besucher wurde vom Werksschutz zu seiner Gruppe zurückeskortiert, das Mittagessen wurde mit etwas Verspätung gemeinsam eingenommen, und auch das Besuchsprogramm am Nachmittag wurde wie geplant durchgeführt – mit leichten Kürzungen bei den Erklärungen. Der wesentliche Unterschied: Neben meiner Kollegin und mir waren an jenem Nachmittag bis zur Verabschiedung der Besucher noch vier Werksschützer immer in der Nähe der Gruppe, ganz unauffällig – so unauffällig, wie man in schwarzer Uniform und mit Funkgerät am Hosenbund eben sein kann.

Im Grunde aber passierte nichts: Weder rief jemand die Polizei, noch wurde der Vorgang selbst justiziabel gemacht. Im Gegenteil: Man gab sich alle Mühe, nur nichts nach außen dringen zu lassen und gegenüber den Besuchern »das Gesicht zu wahren«. Erst Jahre später begriff ich, warum in eben jenem so offensichtlichen Fall des versuchten Know-how-Diebstahls das Unternehmen nicht nur nichts unternommen hatte, sondern auch noch alles dafür tat, den Vorgang zu vertuschen: Man wollte ein in China geplantes Joint Venture auf keinen Fall gefährden.

Heute, fast 25 Jahre später, hat sich bei dem Maschinenbauer einiges geändert. Das nach einigen Höhen und Tiefen prosperierende Unternehmen ist Teil eines großen deutschen Konzerns, Informationsverarbeitung und Kommunikationstechnik im Unternehmen haben sich dramatisch weiterentwickelt – so viel weiter, dass heute vielfach von einer umfassenden »Digitalisierung« oder »digitalen Transformation« die Rede ist. Es darf vermutet werden, dass auch der versuchte Know-how-Diebstahl, den ich damals miterlebte, heute nicht mehr am Kopierer erfolgen, sondern sich der neuen Möglichkeiten bedienen würde, welche die umfassende Vernetzung unserer Gesellschaft mit Internet und Smartphone bringt.

Geräuschlos und ohne Aufsehen, aber effektiv: So beschreibt man in der Tat am besten die neuen Methoden dessen, was im allgemeinen Sprachgebrauch mit Wirtschaftsspionage bezeichnet wird. Dieses Buch spürt anhand einiger konkreter Beispiele diesen neuen gefährlichen und teilweise kaum zu glaubenden Methoden nach – nicht als Anleitung zum Nachmachen, sondern als Warnung und zum Schutz der betroffenen Unternehmen vor den akuten Spionagegefahren des 21. Jahrhunderts. Gefährdet sind Organisationen aller Größen – vom Einzelunternehmer bis zum multinationalen Konzern.

Rottach-Egern, im August 2014Thomas R. Köhler

1Spionage: ein unterschätztes Thema

Es liegt in der menschlichen Natur, Risiken unzureichend einzuschätzen. Ganze Gruppen von Gefahren werden systematisch unterschätzt, andere dafür deutlich überschätzt. Ein Musterbeispiel für eine überschätzte Bedrohung ist die Wahrnehmung des Risikos, durch einen Haiangriff zu Schaden zu kommen. Die Bedrohung scheint enorm, Haiangriffe sind aus den Sommerschlagzeilen der großen Publikumszeitungen nicht wegzudenken.

Bei genauer Betrachtung stellt man jedoch fest, dass weltweit jährlich nur 70 bis 100 Attacken von Haien auf Menschen mit 5 bis 15 Todesfällen stattfinden. Diese quasi amtliche Dokumentation derartiger Vorfälle durch das International Shark Attack File (ISAF) der Universität Florida liefert dazu die harten Fakten.1 Ob und wie viele deutsche Staatsbürger durch Haiattacken zu Schaden kommen, ist im Detail nicht bekannt. Man kann jedoch getrost davon ausgehen, dass diese eher unterproportional vertreten sind, da an deutschen Küsten Haie üblicherweise nicht vorkommen.

Würde man nun die Angst vor dem Hai als rational betrachten und demzufolge als Maßstab für die Einschätzung von Lebensrisiken nehmen, so müsste man sich noch viel mehr davor fürchten, bei jeder Mahlzeit an verschlucktem Essen zu sterben: Immerhin 615 Menschen sind alleine in Deutschland 2008 auf diese Weise zu Tode gekommen.2 Von massiven Ängsten breiterer Bevölkerungsgruppen, während der Mahlzeit zu verunglücken, ist jedoch nichts bekannt.

Menschliche Ängste und Befürchtungen sind nur selten rational. Die Gefahr, beim morgendlichen Brötchenholen unter ein Auto zu geraten, dürfte deutlich höher sein, als im Urlaub ein Opfer von Haien zu werden. Ebenso gravierend höher ist das Risiko, im Internet Opfer eines Identitätsdiebstahls zu werden – wobei derartig »unsichtbare« Risiken für Menschen kaum einzuschätzen sind. Beim Hai hat man immerhin spätestens nach dem Kinofilm Der weiße Hai ein plastisches Bild der Gefahr vor Augen.

Generationen von Psychologen haben sich bereits mit der Frage auseinandergesetzt, warum auch und gerade Menschen, die sich sonst sehr nüchtern und statistikfixiert verhalten, bei der Risikoeinschätzung so irrational reagieren. Forscher der Universität Dartmouth und andere Verhaltenswissenschaftler sehen hier unser Unterbewusstsein am Werk und verweisen auf die erwiesene Nützlichkeit unserer intuitiven Risikoeinschätzung in früheren Jahrtausenden, die in der Folge auch zu diffusen Ängsten vor von Menschen gemachten Gefahren führen.3 Nur zu dumm, dass unsere moderne Zeit bis dato zu kurzlebig war, um langfristig geprägte Vorstellungen zu ändern.

Das Problem der unzureichenden Fähigkeit zur Risikoeinschätzung haben wir nicht nur als Privatpersonen, sondern ebenso auch Verantwortliche in Unternehmen. Insbesondere im Bereich der Unternehmenssicherheit ist die Wahrnehmung oft der Vater der Sorgen – und ebenso der Nachlässigkeiten. IT-Security-Spezialisten können ein Lied davon singen. Ganz gleich, ob dafür der ITLeiter zuständig ist, die Abteilung Unternehmenssicherheit oder gar die Geschäftsführung selbst: Nicht zu Unrecht gilt der Job eines Verantwortlichen für Computersicherheit als eine der undankbarsten Aufgaben, die man in einem Unternehmen übernehmen kann – eine Ansicht, die ich über Jahre bei meiner Arbeit für den Aufbau sicherer IT- und TK-Infrastrukturen immer wieder bestätigt gefunden habe. Ein Lob ist nie zu erwarten, denn als Selbstverständlichkeit gilt, wenn alles gut läuft. Wenn etwas schiefgeht, sich also ein sicherheitsrelevanter Vorfall ereignet, wird die Verantwortung beim Sicherheitschef gesucht – der sich vielleicht gleich um einen neuen Arbeitgeber bemühen darf.