Spionage: „Dauert 240 Tage, bis ein Angriff bemerkt wird“

Fünf Prozent der österreichischen Unternehmen waren laut einer Umfrage in den vergangenen fünf Jahren von Wirtschafts- oder Industriespionage betroffen. Was auf den ersten Blick nach wenig klingt, ist in Zahlen gegossen doch bemerkenswert. „Hochgerechnet waren 8400 Firmen betroffen. Der geschätzte Schaden beläuft sich auf eine Milliarde Euro pro Jahr, wobei die Dunkelziffer noch höher sein dürfte“, erklärt Studiengangsleiter Martin Langer vom Fachbereich Risiko- und Sicherheitsmanagement der FH Campus Wien im futurezone-Interview.

Globalisierte Welt

Wer glaubt, dass nur Großkonzerne von Angriffen betroffen sind, irrt gewaltig. Drei Viertel der ausspionierten Firmen haben weniger als 200 Mitarbeiter und weniger als zwei Millionen Euro Umsatz, zählen folglich zu den kleinen und mittleren Unternehmen (KMU). Dass auch im kleinen Österreich verhältnismäßig viele Firmen von Industrie- und Wirtschaftsspionage betroffen sind, liegt daran, dass sich viele Unternehmen in Spezialbranchen – etwa als Technologiezulieferer in der Autobranche – als innovative Marktführer etabliert haben.

In nahezu der Hälfte der Fälle kommen Mitbewerber als Täter infrage. Die Angriffe, die folglich als Industriespionage klassifiziert werden können, werden mit unterschiedlichsten Methoden aus dem In- und Ausland durchgeführt. Aber auch Wirtschaftsspionage, bei der sich ausländische Nachrichtendienste Informations- und Technologievorteile verschaffen wollen, findet auch in Österreich statt. „Die meisten dieser Angriffe bleiben allerdings im Dunkeln. Selbst Angela Merkel hat ja nicht gewusst, dass ihr Handy vom US-Geheimdienst abgehört wird“, erklärt Langer.

Monatelang unentdeckt

Durch die zunehmende Vernetzung und die Abhängigkeit von technischen Systemen ist der Anteil an Cyberangriffen steigend. Problematisch ist, dass diese oft monatelang unentdeckt bleiben. „Es dauert im Schnitt 240 Tage, bis ein Cyberangriff bemerkt wird“, sagt Sicherheitsberater Timo Kob im Gespräch mit der futurezone. Abhilfe können hier Sicherheits- und Monitoringlösungen schaffen, die bei verdächtigen Datentransfers nach außen Alarm schlagen, etwa wenn diese zu seltsamen Tageszeiten, aber auch mit unerklärlichen Datenmengen stattfinden.

In den überwiegenden Fällen spielt menschliches Versagen weiterhin eine wichtige Komponente, wie auch der aktuelle FACC-Vorfall zeigt. Das beginnt mit unzufriedenen Mitarbeitern, die Daten mittels USB-Stick aus dem Firmennetzwerk abziehen und den Mitbewerbern zukommen lassen. Andere gehen einfach zu achtlos mit ihrem Passwort um und ermöglichen so den Angreifern Zugriff aufs System. In vielen Fällen installieren Mitarbeiter unwissentlich Schadsoftware, wenn sie gewisse Dokumente und eMail-Anhänge auf dem Computer öffnen oder etwa einen untergejubelten USB-Stick an ihrem System anschließen.

Personalisierte Angriffe

„Die Attacken sind in den vergangenen Jahren dezidiert professioneller und zielgerichteter geworden. Oft werden Mitarbeiter mit maßgeschneiderten eMails kontaktiert, die auf das Unternehmen abgestimmte Viren und Trojaner enthalten“, sagt Kob. Um die Mitarbeiter in die Falle zu locken, würden deren teilweise öffentlichen Xing- und Facebook-Profile durchstöbert, wo sich von Freundesnamen über Hobbys viel wertvolle Information finden lässt. Wird als Absender ein Arbeitskollege oder Freund vorgetäuscht, ist die Chance größer, dass der Empfänger ohne nachzudenken Anhänge öffnet oder sensible Informationen preisgibt.

Keine Strategie

Das Bewusstsein, dass gezielte Angriffe auch beträchtlichen Schaden verursachen kann, sei mittlerweile zwar gestiegen. Echte Strategien würden meist aber fehlen. „90 Prozent der Firmen haben keinen Verantwortlichen für das Thema. Sie müssen herausfinden, was ihre wichtigsten Assets, ihr wichtigstes Know-how ist und dieses schützen“, sagt Langer. Um das Risiko zu verringern, müsse der Personenkreis, der auf die „Kronjuwelen“ der Firma Zugriff habe, drastisch limitiert werden, rät der Sicherheitsexperte.

„Wenn 130 Personen Zugriff auf Informationen im Unternehmen haben, muss man bei einem Vorfall gar nicht erst versuchen, die mögliche Schwachstelle ausfindig zu machen“, analysiert Langer. Die meisten Firmen würden 20 bis 50 Prozent ihrer Firmenbereiche als streng vertraulich einstufen. Das sei allerdings ein viel zu hoch gegriffener Wert, der den Schutz tatsächlich sensibler Information unmöglich mache.