Studie: Industriespionage 2012 - Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Studie: Industriespionage 2012
Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar
Begleitet durch:
Inhalt
Vorwort
5
Ergebnisse in Kürze 8
Methodik der Studie 10
Betroffene Unternehmen 13
Schäden durch Spionage 19
Die Täter 27
Aufklärung der Vorfälle 29
Sicherheitsvorkehrungen im Unternehmen 31
31
Allgemein
IT 34
Personal 38
Objektsicherheit 41
Sichere Prozesse 42
43
Sicherheit bei Auslandsreisen
Sicherheit von Steuerungsanlagen 44
Einschätzung der künftigen Risiken 49
Schlussfolgerungen
55
Prävention
56
Ausblick
64
Glossar
68
Seite 2
Eine Investition in Wissen bringt
noch immer die besten Zinsen.
Benjamin Franklin
Seite 3
Vorwort
Christian Schaaf
Geschäftsführer
Corporate Trust
Hackerangriffe auf Sony, Google, RSA, die Der Abfluss von sensiblem Know-how stellt
NATO oder den IWF machen deutlich, für jedes Unternehmen eine ernst zu
Die Industriespionage hat dass der Cyberwar1 längst zur Realität nehmende Bedrohung dar. Der Wettbe-
geworden ist. Der Computerwurm „Stux- werbsvorteil schwindet und konkurrierende
sich in den letzten Jahren net“ wurde vermutlich speziell entwickelt, Unternehmen können eigene Produkte
dramatisch entwickelt. um die Steuerungsanlagen Simatic S7, mit
denen Frequenzumrichter von Motoren
günstiger am Markt positionieren, weil
sie Entwicklungskosten einsparen. Da es
des iranischen Atomprogramms gesteu- in Deutschland jedoch keine konkreten
ert wurden, zu sabotieren. Die genauen Zahlen, Daten oder Fakten zur aktuellen
Ziele der Auftraggeber sind zwar nicht be- Bedrohung durch Industriespionage gibt,
kannt, die Komplexität des Angriffs zeigt war die vorliegende Studie nötig, um ein
jedoch, dass wir uns von einem Zeitalter klares Bild der tatsächlichen Vorfälle zu
der Skript-Kiddies und Cracker hin zu einer erhalten und wieder einmal realistisch
neuen Dimension der Gefährdung ent- das Risiko für die Wirtschaft einschätzen
wickelt haben. Die sogenannten Advanced zu können.
Persistant Threats (APTs), also Angriffe
durch eine fortgeschrittene und andau- Unter Industriespionage versteht man die
ernde Bedrohung, veranschaulichen, dass Zusammenfassung aller Spionagetätig-
die Cyber-Kriminellen2 ihre Ziele und Tak- keiten zum Nachteil eines Unternehmens.
tiken verändert haben und heute we- Dazu gehören sowohl die Wirtschafts-
sentlich aggressiver vorgehen als früher. spionage durch ausländische Nachrichten-
Die veränderte Bedrohungslage wird ein dienste als auch die Konkurrenzausspähung
grundlegendes Umdenken in Bezug auf durch Mitbewerber und Spionage durch or-
IT-Sicherheit, Informationsschutz und die ganisierte Verbrecherbanden oder illoyale
Grundregeln für den Wissensaustausch Mitarbeiter. Die Informationszugriffe kön-
erforderlich machen. nen dabei sehr unterschiedlich erfolgen.
1)Cyberwar: Darunter versteht man die kriegerische Auseinandersetzung im und um den virtuellen Raum, den sog. Cyberspace, mit Mitteln vorwiegend aus dem
Bereich der Informationstechnik. Cyberwar bezeichnet auch die Aktivitäten staatlicher Spezialeinheiten, um Gegner oder sonstige Ziele online
auszukundschaften bzw. sie im Ernstfall zu sabotieren.
2)Cyber-Kriminelle: Täter, die für ihre Straftaten überwiegend Computer bzw. das Internet als Tatwaffe einsetzen.
Seite 4
Staatliche Stellen mit ihren vielfältigen greifer rüsten auf – dieser Bedrohung In diesem Sinne hat Corporate Trust zu-
technischen Mitteln und häufig einer Viel- muss man sich stellen. sammen mit der Brainloop AG und der
zahl von menschlichen Ressourcen setzen TÜV SÜD AG versucht, mit dieser Studie
zunehmend auf die Möglichkeiten der Spio- Wenn es um den Schutz des eigenen die aktuelle Bedrohung für die deutsche
nage über das Internet. Ob dies schon ein Know-how geht, ist es zwar wichtig, ein Wirtschaft realistisch zu erfassen. Durch
Krieg ist, sei dahingestellt; es steht jedoch vernünftiges Bewusstsein für die Risiken die Dokumentation aller tatsächlichen
fest, dass sich auch deutsche Unternehmen zu haben, es ist jedoch ebenso wichtig, ein Vorfälle, Schäden, bestehenden Sicher-
gegen die neuen Bedrohungen wappnen gesundes Vertrauen in die eigenen Sicher- heitsvorkehrungen und der Erwartun-
sollten, um weiterhin ihre starke wirt- heitsvorkehrungen und die Zuverlässigkeit gen für die Zukunft können zielgerichtete
schaftliche Position am Weltmarkt be- seiner Mitarbeiter zu setzen. Zu wenig Si- Empfehlungen gegeben sowie ein Best
halten zu können. cherheit ist fahrlässig, zu viel Sicherheit Practice-Ansatz abgeleitet werden.
ist unwirtschaftlich. In diesem Spannungs-
Obwohl nach der aktuell vom Bundeskrimi- feld sollte man mit dem richtigen Augenmaß
nalamt (BKA) herausgegebenen Polizei- nur bedarfsgerechte Maßnahmen im ei- Ihr
lichen Kriminalstatistik 20103 (PKS) die genen Unternehmen implementieren, um Christian Schaaf
Zahl aller erfassten Straftaten um zwei nicht zu verschrecken. Sicherheit sollte nie-
Prozent zurückgegangen ist, stiegen im mals als Hemmschuh empfunden werden
gleichen Zeitraum die Fälle von „Aus- oder Selbstzweck sein. Sicherheit, auch
spähen, Abfangen von Daten“ um 32,2 Pro- die zum Schutz vor Industriespionage,
zent an. Nach dem ebenfalls vom BKA sollte helfen, die wirtschaftlichen Ziele
herausgegebenen Bundeslagebild Wirt- des Unternehmens zu erreichen. Sicherheit
schaftskriminalität 20104 ist die Anzahl sollte ermöglichen und nicht verhindern.
der Fälle, bei denen das Internet als Tat- Daher ist es wichtig, die aktuellen Risiken
mittel genutzt wurde, um 190 Prozent an- zu kennen, um nur dort in Sicherheit zu
gestiegen, dies betrifft also mehr als 25 investieren, wo es tatsächlich nötig ist.
Prozent aller registrierten Fälle. Die An-
3)Polizeiliche Kriminal- Zusammenstellung aller der Polizei bekannt gewordenen strafrechtlichen Sachverhalte unter Beschränkung auf ihre erfassbaren wesentlichen Inhalte.
statistik (PKS): Die PKS soll im Interesse einer wirksamen Kriminalitätsbekämpfung zu einem überschaubaren und möglichst verzerrungsfreien Bild der angezeigten
Kriminalität führen. (http://www.bka.de/DE/Publikationen/PolizeilicheKriminalstatistik/pks_ _node.html)
4)Bundeslagebild http://www.bka.de/nn_193360/DE/Publikationen/JahresberichteUndLagebilder/Wirtschaftskriminalitaet/wirtschaftskriminalitaet_ _node.html?_ _nnn=true
Wirtschaftskriminalität
2010:
Seite 5
Vorwort
Eine Begleiterscheinung der Globalisie- Mittelständische Firmen sind sich häufig
rung ist die Zunahme des Wettbewerbs der Bedrohung durch illegalen Know-how-
Im Fokus der Spionage: zwischen Unternehmen und Volkswirt- Transfer nicht bewusst. Sie verfügen nur
schaften. „Made in Germany“ steht hierbei selten über ein umfassendes und effek-
deutsche Unternehmen für technologischen Fortschritt, höchste tives Informationsschutzkonzept.
und ihr Know-how Qualität und erfolgreichen internationalen
Wettbewerb. Die Ergebnisse der vorliegenden Studie
von „Corporate Trust“ belegen erneut:
Die Innovationskraft insbesondere mit- Spionage ist Realität!
telständischer Unternehmen ist ein Mar-
kenzeichen der deutschen Wirtschaft und Eine stetig zunehmende Herausforderung
ein wesentlicher Wettbewerbsfaktor. sind die elektronischen Angriffe auf Rech-
ner und Computernetzwerke. Ergebnis
Die Wirtschaftskraft Deutschlands ist der meist unentdeckt bleibenden Opera-
eine der Grundlagen für Wohlstand und tionen sind ungewollter Informationsab-
Stabilität. fluss, eine Fremdsteuerung oder auch
Sabotage einzelner Rechner und ggf. auch
von IT-Netzwerken.
Der internationale Wettbewerb um zu-
kunftsfähige Produkte und Anwendungen Seit einigen Jahren sind Angriffe dieser
findet aber auch mit Mitteln und Methoden Art auch auf Bundesministerien und andere
der Spionage statt. Konkurrierende Un- öffentliche Stellen mit steigender Zahl fest-
ternehmen und fremde Nachrichtendienste stellbar. Für den Bereich der Wirtschaft
versuchen, auf diesem Weg produktorien- gibt es keine Vergleichszahlen, jedoch ist
tiertes sowie unternehmens- und markt- hier von einem erheblichen Dunkelfeld
relevantes Know-how zu beschaffen. auszugehen. Diese Entwicklung führte
Seite 6
im vergangenen Jahr dazu, dass im Be- Hierbei besteht nach Aussage der Studie Das Angebot des BfV umfasst vielfältige
reich des Bundesministeriums des Innern noch erheblicher Nachholbedarf. „Security-Awareness“-Aktivitäten, so z.B.
das „Cyber-Abwehr-Zentrum“ errichtet bilaterale Sicherheitsgespräche, Sensibi-
wurde, um das Erkenntnisaufkommen Die von „Corporate Trust“ vorgelegte Stu- lisierungsvorträge in Unternehmen und bei
und die Analysefähigkeit sowie die Zu- die zeigt einmal mehr die Vielfalt und die Verbänden, diverse Publikationen, einen
sammenarbeit der zuständigen Behörden Zunahme der Risiken für die Unternehmen elektronischen Newsletter sowie ein um-
zu optimieren. und die Notwendigkeit, vor allem den prä- fangreiches Internetangebot zum Wirt-
ventiven Wirtschaftsschutz deutlich zu in- schaftsschutz.
Eine nicht unbeträchtliche Bedrohung geht tensivieren.
auch von „Innentätern“ aus, die in Anbe- Wirtschaftsschutz ist eine gemeinsame
tracht ihrer legalen Zugangsmöglichkeiten Die vorliegende Studie bestätigt leider Aufgabe von Staat und Wirtschaft: Wirt-
und ihres Insiderwissens über innerbe- auch die Erfahrung der Verfassungsschutz- schaftsschutz ist Teamwork!
triebliche Schwachstellen in der Lage sind, behörden, dass Unternehmen sich bei
den Unternehmen mehr Schaden zuzufü- Spionageverdacht noch zu selten an die
gen als externe Täter. Sicherheitsbehörden wenden. Dr. Alexander Eisvogel
Vizepräsident,
Die Sensibilisierung der Mitarbeiter in Die Behörden für Verfassungsschutz sind Bundesamt für Verfassungsschutz
Sicherheitsfragen und ihre Einbindung in die „Dienstleister“ für Spionageabwehr in
das Sicherheitsmanagement ist daher un- Deutschland.
abdingbare Voraussetzung für einen wirk-
samen Informationsschutz. Das Wirtschaftsschutzkonzept des Bundes-
amtes für Verfassungsschutz „Prävention
Im Rahmen eines Sicherheitsmanage- durch Information“ basiert auf jahrzehnte-
ments sollte vorrangig das Erfolgswissen langer Erfahrung in der Aufklärung und Ab-
– die sogenannten „Kronjuwelen“ – ermit- wehr von Wirtschaftsspionage sowie der ver-
telt und dessen Schutz priorisiert werden. traulichen Kooperation mit den Betroffenen.
Seite 7
Ergebnisse in Kürze
In Deutschland gab es bei den Fallzahlen von Industriespionage eine Steigerung um 2,5
Prozent. Während bei der Studie 2007 nur 18,9 Prozent angaben, durch mindestens einen
konkreten Fall von Spionage geschädigt worden zu sein, waren es 2012 insgesamt 21,4
Prozent. Zusammen mit den Verdachtsfällen, die nicht konkretisiert bzw. eindeutig belegt
werden konnten – 2012 bei 33,2 Prozent aller befragten Unternehmen – mussten sich damit
54,6 Prozent der deutschen Wirtschaft mit Industriespionage beschäftigen.
Der Mittelstand ist immer noch deutlich am häufigsten von Spionage betroffen. Bei der
Auswertung aller Schäden, unter Berücksichtigung des Verhältnisses zwischen Be-
teiligung an der Befragung und tatsächlichen Fallzahlen, verzeichnet der Mittelstand mit
23,5 Prozent im Verhältnis die meisten Vorfälle. Es folgen die Konzerne mit einer Häufigkeit
von 18,8 Prozent und die Kleinunternehmen mit 15,6 Prozent.
Der deutschen Wirtschaft entsteht durch Industriespionage jährlich ein Gesamtschaden
von ca. 4,2 Milliarden Euro. Im Vergleich zur Studie 2007 (2,8 Milliarden Euro) entspricht dies
einem Anstieg um exakt 50,0 Prozent und belegt eindringlich, wie hoch das neue Bedrohungs-
potenzial durch Cyberwar1 tatsächlich ist.
Die Häufigkeit der finanziellen Schäden durch Industriespionage ist ebenfalls deutlich
angestiegen. Während bei der Studie 2007 nur 64,4 Prozent der geschädigten Unternehmen
angaben, einen finanziellen Schaden erlitten zu haben, waren es 2012 bereits 82,8 Prozent.
Dies stellt einen Anstieg um 28,7 Prozent dar.
Bei der Unterscheidung der Schäden nach Unternehmensgröße fiel auf, dass Kleinbetriebe
nur Schäden bis maximal 100.000 Euro feststellten, die finanziellen Negativauswir-
kungen im Mittelstand vor allem im Bereich 10.000 bis 100.000 Euro lagen (53,5 Prozent) und
23,5 Prozent der geschädigten Konzerne auch im Bereich über einer Million Euro Schäden
bezifferten.
Die Spionage fand hauptsächlich in den GUS-Staaten (27,0 Prozent der Fälle), Europa (26,6
Prozent), Deutschland (26,1 Prozent) und in Nordamerika (25,2 Prozent) statt. Industrie-
spionage direkt vor Ort in Asien identifizierten die Unternehmen nur in 10,4 Prozent aller
Vorkommnisse. Anscheinend gehen die Firmen konkreten Hinweisen sehr stark nach und
können die Angriffsorte auch identifizieren. Nur 6,3 Prozent aller geschädigten Unter-
nehmen war es völlig unklar, wo die Spionage bzw. der Informationsabfluss stattfand.
Nach wie vor sind der Vertrieb mit 18,3 Prozent sowie Forschung & Entwicklung mit 16,0
Prozent die am häufigsten ausspionierten Bereiche. Danach kommen die Bereiche Mergers
& Acquisitions mit 14,2 Prozent, die IT-Administration bzw. IT-Services mit 12,7 Prozent,
Fertigung/Produktion mit 8,4 Prozent, Personal mit 7,5 Prozent, Einkauf mit 5,7 Prozent und
der Bereich Management/Geschäftsleitung mit 5,1 Prozent.
Die häufigsten Schäden entstehen durch eigene Mitarbeiter, externe Geschäftspartner
und Hackerangriffe2. Die bewusste Informationsweitergabe bzw. der Datendiebstahl durch
eigene Mitarbeiter war bei 47,8 Prozent der konkreten Spionagehandlungen für den In-
formationsabfluss verantwortlich. Zusammen mit den Fällen von Social Engineering3 (22,7
Prozent), bei denen Mitarbeiter geschickt ausgefragt wurden, waren Mitarbeiter damit in
70,5 Prozent aller Fälle an Industriespionage beteiligt.
Rechtsstreitigkeiten und Imageschäden bei Kunden oder Lieferanten sind die häufigsten
Folgen von Industriespionage. 65,4 Prozent der geschädigten Unternehmen beklagen hohe
Kosten für Rechtsstreitigkeiten und 59,9 Prozent einen entsprechenden Imageschaden. Im-
merhin noch rund ein Drittel aller Unternehmen (36,0 Prozent) verzeichnete auch Umsatz-
einbußen durch den Verlust von Wettbewerbsvorteilen.
Nur bei jedem fünften Vorfall – exakt bei 19,9 Prozent – wurden der Verfassungsschutz oder
die Polizeibehörden hinzugezogen, bei 57,6 Prozent zumindest externe Sicherheitsfachleute
wie Computer- oder Abhörschutzspezialisten bzw. forensische Ermittler.
Bereits mehr als die Hälfte der Unternehmen hat den Informationsschutz zur Chefsache
erklärt bzw. einen Chief Information Security Officer (CISO) etabliert. Auf die Frage, wer
sich um die zentralen Belange des Informationsschutzes kümmert, gaben 31,2 Prozent an,
dass dies zur Chefsache erkoren sei, und bei 20,4 Prozent der Firmen gibt es bereits einen
CISO.
Die Sicherheitsmaßnahmen hinken in der Regel der tatsächlichen Bedrohung hinterher.
Fast die Hälfte aller Unternehmen (49,2 Prozent) hat immerhin eine vertragliche Vereinba-
rung zur Geheimhaltung bzw. Vertraulichkeit mit externen Geschäftspartnern, 46,4 Prozent
1)Cyberwar: Darunter versteht man die kriegerische Auseinandersetzung im und um den virtuellen Raum, den sog. Cyberspace, mit Mitteln vorwiegend aus dem
Bereich der Informationstechnik. Cyberwar bezeichnet auch die Aktivitäten staatlicher Spezialeinheiten, um Gegner oder sonstige Ziele online
auszukundschaften bzw. sie im Ernstfall zu sabotieren.
2)Hackerangriff: Unerlaubtes Eindringen in fremde Computer- oder Netzwerksysteme, meist durch das Überwinden von Sicherheitsmechanismen.
3)Social Engineering: Ausspionieren über das persönliche Umfeld, durch zwischenmenschliche Beeinflussung bzw. durch geschickte Fragestellung, meist unter Verschleierung der
eigenen Identität (Verwenden einer Legende). Social Engineering hat das Ziel, unberechtigt an Daten, geheime Informationen, Dienstleistungen oder
Gegenstände zu gelangen.
4)Sicherheits-Policy: (auch Sicherheitsrichtlinie oder Sicherheitsleitlinie) Beschreibt den erstrebten Sicherheitsanspruch eines Unternehmens und konzeptionell die Maßnahmen, um
dorthin zu kommen.
5)Sensibilisierung: Unterweisung bzw. Schulung der Mitarbeiter zu einer bestimmten Gefahrenlage mit Bezugnahme auf eine aktuelle Bedrohung.
Seite 8
haben eine Sicherheits-Policy4 mit klaren Regeln für den Informationsschutz. Jedoch bezie-
hen nur 7,5 Prozent externe Partner über eine technische Möglichkeit, z.B. eine sog. Docu-
ment Compliance Management Lösung, in die Sicherheits-Policy mit ein.
In den meisten Fällen ist den Führungsverantwortlichen und Mitarbeitern gar nicht deut-
lich bewusst, welches Know-how schützenswert ist. Eine Schutzbedarfsanalyse sollte für
alle unmissverständlich regeln, welche Daten/Informationen geheim, vertraulich oder of-
fen zugänglich sind. Nur 20,4 Prozent der befragten Unternehmen gaben an, eine solche
Schutzbedarfsanalyse bereits erstellt und allen Mitarbeitern bekannt gegeben zu haben.
Die IT-Sicherheitsvorkehrungen sind noch nicht ausreichend, um sich effektiv gegen Cy-
berwar1 zu schützen. Zwar verfügen annähernd 90 Prozent der Unternehmen über einen
Passwortschutz auf allen Geräten und eine entsprechende Absicherung des Firmennetz-
werks gegen Angriffe von außen, jedoch nur 18,9 Prozent setzen auf verschlüsselten E-
Mail-Verkehr und nur 18,6 Prozent verbieten es, USB-Sticks und portable Festplatten oder
CD-Brenner an den PC anzuschließen.
Auf die Gefahren von Social Engineering3 ist lediglich ein Viertel aller Mitarbeiter vorbereitet.
73,9 Prozent der Unternehmen führen keine regelmäßigen Schulungen zur Sensibilisierung5
durch.
Unternehmen verlassen sich zumeist auf Geheimhaltungsverpflichtungen in den Arbeitsver-
trägen, die Integrität von neuen Bewerbern wird dagegen nur selten geprüft. Während es bei
79,1 Prozent aller befragten Firmen bereits einen entsprechenden Passus in den Arbeitsver-
trägen gibt, prüfen nur 5,9 Prozent vor der Einstellung die Integrität des Bewerbers.
Obwohl bei Industriespionage die häufigsten Schäden durch Mitarbeiter entstehen, machen
sich zu wenige Unternehmen Gedanken über die Loyalität ihrer Angestellten. Nur bei 34,8
Prozent der Firmen wird eine regelmäßige Mitarbeiterbefragung zur Erfassung der Loyalität
durchgeführt. Dieser Loyalitäts-Index6 kann einen klaren Aufschluss darüber geben, wie es
um das Betriebsklima bestellt ist und woran es im Unternehmen mangelt.
Während 81,4 Prozent bauliche Sicherheitsvorkehrungen gegen unberechtigte Zutritte
treffen, findet nur bei etwas mehr als einem Drittel (exakt 38,5 Prozent) eine Überwachung
von besonders sensiblen Bereichen durch Video- oder Zugangskontrollen statt. Abhörsi-
chere Besprechungsräume gibt es sogar nur bei 2,2 Prozent aller Unternehmen. Einen
Sweep7, bei dem solche Bereiche nach Wanzen abgesucht werden, lassen nur 2,2 Prozent
regelmäßig durchführen.
Die meisten Unternehmen gehen bei Geschäftsreisen ins Ausland viel zu sorglos mit ihren
Informationen um. 55,6 Prozent gaben an, keinerlei Sicherheitsvorkehrungen zu treffen.
Nur ca. jedes sechste Unternehmen rüstet seine Angestellten mit verschlüsselter Hard-
und/oder Software für eine geschützte Kommunikation (16,4 Prozent) oder speziell vorbe-
reiteten Reise-Laptops mit Minimalkonfiguration und nur geringem Datenbestand (14,1
Prozent) aus bzw. sensibilisiert seine Mitarbeiter durch eine Schulung für das erhöhte
Risiko von Industriespionage (12,1 Prozent).
Zwar haben nur 18,8 Prozent aller Unternehmen, die Steuerungsanlagen einsetzen, einen
konkreten Angriff festgestellt, jedoch gaben 63,6 Prozent dieser Unternehmen an, dass
Schäden deutliche finanzielle Auswirkungen für das Unternehmen haben könnten. 36,4
Prozent gaben sogar an, dass ein Angriff zu einem Ausfall oder einer Fehlsteuerung führen
könnte, welche die Umwelt wesentlich gefährden könnten. Immerhin noch 13,0 Prozent
gehen sogar davon aus, dass ein Ausfall oder eine Fehlsteuerung die Versorgungslage in
Teilen der Bevölkerung gefährden könnten.
Über drei Viertel aller befragten Firmen gehen davon aus, dass die zukünftige Bedrohung
durch Industriespionage zunimmt. Jedoch glaubt nur noch die Hälfte, dass dies auch für
ihr eigenes Unternehmen zutrifft. Zum Vergleich: 2007 gaben noch 66,3 Prozent der Un-
ternehmen an, dass ihr eigenes Risiko für Industriespionage gleich bleiben würde. Bei der
aktuellen Studie sehen dies nur noch 47,7 Prozent so optimistisch.
Als häufigstes Risiko betrachten die Unternehmen die zunehmende Verwendung mobiler
Geräte wie Tablets und Smartphones (63,7 Prozent), gefolgt von der sinkenden Sensibilität
der eigenen Mitarbeiter im Umgang mit vertraulichen Daten (54,3 Prozent). Auch das zu-
nehmende Outsourcing8 von Dienstleistungen (52,4 Prozent) und der zunehmende Einsatz
von Cloud-Services9 (47,7 Prozent) werden als Bedrohungen der Zukunft eingeschätzt. Die
vermehrten Aktivitäten staatlich gelenkter Hackergruppen sehen 44,1 Prozent der Firmen als
zunehmendes Risiko für ihr Know-how.
6)Loyalitäts-Index: Beurteilung von Unternehmen und Organisationen im Hinblick auf kriminelle und fahrlässige Handlungen von Mitarbeitern. Der Loyalitäts-Index liefert durch
eine Mitarbeiterbefragung mit einer psychologisch fundierten Vorgehensweise Parameter, welche auf potenzielle Risiken hinweisen.
7)Sweep: Absuche nach Wanzen mit technischen Geräten durch Hochfrequenz-Spezialisten. Dient in der Regel der Lauschabwehr.
8)Outsourcing: Damit wird in der Ökonomie die Abgabe von Unternehmensaufgaben und -strukturen an Drittunternehmen bezeichnet. Es ist eine spezielle Form des Fremd-
bezugs von bisher intern erbrachter Leistung, wobei in der Regel Verträge die Dauer und den Umfang der Leistung festschreiben.
9)Cloud-Service: (auch Cloud-Computing) Umschreibt den Ansatz, abstrahierte IT-Infrastrukturen (z.B. Rechenkapazitäten, Datenspeicher, Netzwerk-Kapazitäten oder auch <
fertige Software) dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Angebot und Nutzung dieser Dienstleistungen erfolgen
dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud-Computing angebotenen
Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.B. Rechenleistung, Speicherplatz),
Plattformen und Software.
Seite 9
Methodik der studie
Die vorliegende Studie „Industriespionage wurde ihnen die Möglichkeit geboten, Corporate Trust möchte sich auf diesem
2012 – Aktuelle Risiken für die deutsche auf einer eigens dafür erstellten Web- Wege ganz herzlich bei der Brainloop AG
Wirtschaft durch Cyberwar“ wurde in Zu- seite online den Fragebogen zu beant- und der TÜV SÜD AG für ihre partner-
sammenarbeit mit der Brainloop AG und worten. Dafür wurden im Anschreiben schaftliche Begleitung der Studie sowie
der TÜV SÜD AG auf der Grundlage einer die für alle Teilnehmer einheitlichen bei allen Teilnehmern für ihren wesentli-
Befragung von 6.924 deutschen Unter- Benutzerdaten angegeben. So wurde ge- chen Beitrag zum Gelingen der Studie be-
nehmen erstellt. Für die Studie wurde ein währleistet, dass nur angeschriebene danken.
repräsentativer Querschnitt aus ca. Unternehmen an der Onlinebefragung
65.000 Unternehmen nach dem Zufalls- teilnehmen konnten. Zusätzlich wurden
prinzip ausgewählt und befragt. 30 Unternehmen in telefonischen Inter-
views direkt zu ihren Erfahrungen mit In-
Um ein möglichst umfassendes Bild der dustriespionage befragt.
aktuellen Bedrohung zu erhalten, wurde
großer Wert darauf gelegt, die Befragung Die Beteiligung fiel, ähnlich der Vorgän-
branchenübergreifend durchzuführen und gerstudie aus dem Jahr 2007, in den
sämtliche Unternehmensgrößen zu be- verschiedenen Branchen sehr unter-
rücksichtigen, vom Kleinunternehmen bis schiedlich aus. Dies kann zum einen
zum Konzern, jeweils gemessen an Um- darauf zurückzuführen sein, dass in
satzvolumen und Anzahl der Mitarbei- einzelnen Bereichen eine differenzierte
ter. Es wurden allerdings nur Unterneh- Wahrnehmung der Risiken vorherrscht
men mit mindestens zehn Mitarbeitern oder zum anderen, dass in manchen
bzw. einem Umsatz über einer Million Euro Branchen immer noch eine geringere Be-
berücksichtigt. Aus den vorangegangenen reitschaft besteht, über die Probleme zu
Studien der letzten Jahre wurde deutlich, sprechen.
dass sich viele Unternehmen trotz ihres
hohen Umsatzes und der Vielzahl ihrer Im ersten Bereich der Befragung wur-
Mitarbeiter noch zum Mittelstand zählen. den Informationen zum Unternehmen
Daher wurde vor allem berücksichtigt, zu selbst erhoben, danach zu den Vorfällen
welcher Kategorie sich die Unternehmen und Risiken, den aktuellen Sicherheits-
selbst zugehörig fühlten. vorkehrungen im Unternehmen (speziell
zur Sicherheit in Steuerungsanlagen), zur
Die Befragung wurde im Januar und Fe- Einschätzung der künftigen Risiken und
bruar 2012 durchgeführt und richtete sich zur weiteren Prävention. Die Befragung
überwiegend an die Mitglieder des Vor- war dabei so angelegt, dass die vorgege-
stands bzw. der Geschäftsführung (48,9 benen Antwortoptionen erfahrungsgemäß
Prozent aller Antworten), jedoch auch an 80 Prozent der denkbaren Antworten ab-
die Leiter Unternehmenssicherheit (7,5 Pro- deckten. Für die restlichen 20 Prozent gab
zent), Leiter IT (6,9 Prozent), Leiter Interne es überwiegend die Möglichkeit, zusätzli-
Revision (6,9 Prozent), Compliance Offi- che Antworten in Form eines Freitextes
cer (6,7 Prozent), Chief Information Se- zu geben. Bei den meisten Fragen waren
curity Officer/CISO (6,4 Prozent), Leiter Mehrfachantworten zugelassen.
Risikomanagement (4,7 Prozent), Leiter
Finanzen, Controlling oder Rechnungs- Am Ende der Befragung wurde den Teil-
wesen (2,3 Prozent), Leiter Personal (0,3 nehmern die Gelegenheit geboten, ihre
Prozent) und Leiter Recht (0,2 Prozent). Kontaktdaten anzugeben. Als kleines
Darüber hinaus gaben 9,2 Prozent der Dankeschön erhielten sie für ihre Beteili-
Befragten an, zu einem sonstigen Bereich gung eine kostenlose Erstberatung. Es
im Unternehmen zu gehören. war jedoch allen Teilnehmern freigestellt,
auch anonym zu antworten. Die meisten
Erstaunlicherweise wurde der Fragebo- Unternehmen wollten keine Angaben zur
gen nur in 6,4 Prozent aller Fälle vom Chief Firma machen. Dies war insbesondere
Information Security Officer (CISO) eines in solchen Fällen festzustellen, wo gra-
Unternehmens ausgefüllt, also von genau vierende Spionagevorfälle erwähnt wur-
der Stelle, die sich hauptverantwortlich den und auch entsprechende Schäden
um den Informationsschutz kümmern aufgetreten waren.
sollte. Die Ergebnisse zeigen, dass es
bisher vermutlich in den wenigsten Un- Von den 6.924 angeschriebenen Firmen
ternehmen eine solche Position gibt bzw. antworteten genau 597 Teilnehmer, dies
dass der Informationsschutz heute tat- entspricht 8,6 Prozent aller befragten Un-
sächlich in den meisten Unternehmen zur ternehmen. Die Antwortbereitschaft lag
„Chefsache“ erklärt wurde. damit im normalen Durchschnitt vergleich-
barer Studien, jedoch unter dem Durch-
Für die Befragung wurde ein standar- schnitt der Studie Industriespionage aus
disierter Fragebogen postalisch an die dem Jahr 2007 (9,9 Prozent).
Unternehmen versandt. Darüber hinaus
Seite 10Teilnahme an der Studie
Automobil- / Luftfahrzeug- / Schiffs- / Maschinenbau 14,2 %
Chemie / Pharma / Biotechnologie 13,9 %
Eisen und Stahl / Metallverarbeitung / Grundstoffe 13,1%
Elektro / Elektronik / Feinmechanik / Optik 11,4 %
Banken / Finanzdienstleistungen / Versicherungen 10,9 %
Computer / Software 8,5 %
Logistik / Verkehr 6,0 %
Immobilien / Wohnungswirtschaft 5,4 %
Textil / Bekleidung / Leder / Holz / Glas 5,2 %
Steuerberatung / Unternehmens- / Personal- / Wirtschaftsprüfung 4,7 %
Sonstige Dienstleistungen 3,5 %
Telekommunikation / Internet 2,2 %
Handel / E-Commerce 0,2 %
Touristik / Hotels und Gaststätten / Freizeit 0,2 %
Bauwirtschaft / Bauzulieferer 0,2 %
Versorgung / Energie 0%
Nahrungs- und Genussmittel 0%
Medien / Werbung 0%
Gesundheit / Pflege 0%
Sonstiges 0,2 %
GRAFIK 1 Quelle: Corporate Trust 2012
Welche Position nehmen Sie im Unternehmen ein?
GRAFIK 2 Quelle: Corporate Trust 2012
Seite 11Seite 12
Betroffene Unternehmen
Das Risiko durch Industriespionage stellt Dies zeigt, dass sich in der Gesamtheit
in Deutschland eine ernst zu nehmende (konkrete Spionagefälle und Verdachts-
Über 20 Prozent aller Bedrohung dar. Während bei der Studie fälle) 54,6 Prozent der deutschen Wirt-
im Jahr 2007 18,9 Prozent der Teilnehmer schaft mit Industriespionage ausein-
Unternehmen hatten in angaben, in mindestens einem konkreten andersetzen mussten. Gerade die hohe
den letzten drei Jahren Fall ausspioniert worden zu sein, hatten
bei der aktuellen Befragung bereits 21,4
Zahl der Verdachtsfälle, die nicht eindeu-
tig belegt werden konnten – immerhin
einen konkreten Spio- Prozent aller befragten Unternehmen in jedes dritte Unternehmen war hiervon
den letzten drei Jahren konkrete Spio- betroffen – dürfte ein Beweis dafür sein,
nagevorfall. nagevorfälle bzw. einen Informationsab- dass es für deutsche Firmen immer noch
fluss zu verzeichnen. Dies entspricht einer schwierig ist, Spionage umfassend auf-
Steigerung von 2,5 Prozent und bedeutet, zuklären. Hier fehlen oftmals nicht nur die
dass in den letzten drei Jahren immerhin entsprechenden internen Ressourcen oder
jedes fünfte Unternehmen von Spionage das Know-how für Forensik und die sehr
betroffen war. speziellen Ermittlungen, sondern auch die
Bereitschaft, sich bei einem solchen Vor-
Bei den Verdachtsfällen verhielt es sich fall an die Behörden zu wenden oder an die
ähnlich. Im Jahr 2007 gaben 35,1 Prozent Öffentlichkeit zu gehen. Zu stark ist immer
der Vorstände, Geschäftsführer oder Si- noch die Angst, dass durch ein bekannt ge-
cherheitsverantwortlichen an, einen Ver- wordenes „Leck“ ein Reputationsschaden
dacht auf Spionage bzw. Informations- entstehen könnte.
abfluss verzeichnet zu haben, der nicht
näher belegt werden konnte. Im Jahr 2012
reduzierten sich die Verdachtsfälle gering-
fügig auf 33,2 Prozent aller befragten Un-
ternehmen.
Gab es in Ihrem Unternehmen in den letzten drei Jahren
konkrete Spionage-Vorfälle bzw. einen Informationsabfluss?
Stand: 2007
Quelle: Studie Industriespionage 2007
GRAFIK 3 Quelle: Corporate Trust 2012
Gab es in Ihrem Unternehmen einen Verdacht auf Spionage
bzw. Informationsabfluss, der nicht konkretisiert bzw. eindeutig
belegt werden konnte?
Stand: 2007
Quelle: Studie Industriespionage 2007
GRAFIK 4 Quelle: Corporate Trust 2012
Seite 13Betroffene Unternehmen
Von den befragten Unternehmen waren (21,4 Prozent der Teilnehmer) waren 10,9
66,2 Prozent dem Mittelstand zuzurech- Prozent Kleinunternehmen, 16,4 Prozent
Der Mittelstand ist noch nen (dies entspricht laut einer Richtlinie Konzerne und 72,7 Prozent mittelstän-
der EU-Kommission einem Unternehmen dische Firmen. Gemessen am Verhältnis
immer am stärksten ge- mit 50 bis 250 Mitarbeitern oder 50 bis zu ihrer Beteiligung an der Befragung
fährdet. 500 Millionen Euro Umsatz oder alterna-
tiv denjenigen, die sich in der Befragung
waren damit 15,6 Prozent der Kleinunter-
nehmen, 18,8 Prozent der Konzerne und
selbst als Mittelstand bezeichneten), 18,8 23,5 Prozent der Mittelständler betroffen.
Prozent waren Konzerne (mehr als 250
Mitarbeiter oder mehr als 500 Millionen Dies zeigt, dass gerade der Mittelstand
Euro Umsatz) und 15,1 Prozent Kleinun- mit seiner hohen Innovationsfähigkeit und
ternehmen (10 bis 50 Mitarbeiter oder Produktqualität stark im Fokus von Indus-
10 bis 50 Millionen Euro Umsatz). Jedes triespionage steht. Mittelständische Firmen
Unternehmen ist heute gefährdet, Opfer sind zwar das Rückgrat der deutschen
eines Hackerangriffs1 oder Informations- Wirtschaft, haben jedoch vermutlich im-
abflusses zu werden. In den letzten drei mer noch nicht genügend Sicherheits-
Jahren waren jedoch die mittelständischen vorkehrungen getroffen, um dem Ab-
Unternehmen am häufigsten von Spionage fluss von Know-how wirkungsvoll entge-
betroffen und unterliegen daher anschei- genzutreten. Deutsche Konzerne sind hier
nend dem höchsten Risiko. mit ihren Corporate Security-Abteilungen
offenbar besser gerüstet.
Von den insgesamt durch einen Informa-
tionsangriff geschädigten Unternehmen
Teilnahme an der Studie
Mittelstand 66,2 %
Konzern
18,8 %
Kleinunternehmen 15,1 %
GRAFIK 5 Quelle: Corporate Trust 2012
Schäden im Verhältnis zur Teilnahme an der Studie
Mittelstand 23,5 %
Konzern 18,8 %
Kleinunternehmen 15,6 %
GRAFIK 6 Quelle: Corporate Trust 2012
1)Hackerangriff: Unerlaubtes Eindringen in fremde Computer- oder Netzwerksysteme, meist durch das Überwinden von Sicherheitsmechanismen.
Seite 14Die Bewertung, welches individuelle Risiko einmal eine Steigerung um 2,9 Prozent im Ver-
für ein Unternehmen besteht, kann sich auch gleich zur Studie von 2007 dar; damals war der
Am häufigsten sind die an der Häufigkeit orientieren, wie oft Angriffe Maschinenbau mit 26,9 Prozent ebenfalls am
auf Unternehmen der gleichen Branche, mit stärksten betroffen. In der aktuellen Erhebung
Finanzwirtschaft und der vergleichbarem Know-how oder ähnlichen folgt allerdings mit 21,5 Prozent die Finanz-
Maschinenbau betroffen. Produkten stattfinden. Daher war es in der
Befragung wichtig, zu erfahren, welche
dienstleistungsbranche. Interessanterweise
beteiligte sich das Segment „Banken / Finanz-
Branchen besonders vielen Fällen von In- dienstleistungen / Versicherungen“ im Jahr
dustriespionage ausgesetzt sind. Viele der 2007 nicht an der Studie; somit konnte auch
teilnehmenden Unternehmen gaben bei der keine Erfassung der Schadenszahlen erfolgen.
Frage nach konkreten Spionagehandlungen
mehrere Vorfälle an, sodass dies auch in die Die Ergebnisse aus diesen Antworten sollten
Gefährdung je Branche mit einfloss. allerdings nicht dazu verleiten, weniger ge-
schädigte Branchen automatisch als geringer
Die Unternehmen wurden daher neben ihrer gefährdet einzustufen – niedrigere Schadens-
Umsatzgröße und Mitarbeiterzahl auch nach zahlen können sich ebenso aus einer gerin-
ihrer Branchenzugehörigkeit gefragt. Bei den geren Studienbeteiligung in einem bestimmten
tatsächlichen Spionagefällen ergaben sich da- Segment ergeben. Außerdem herrscht in
bei vor allem für zwei Branchen deutlich er- einzelnen Branchen erfahrungsgemäß eine
höhte Risiken: So kam es bei der wesentlich geringere Sensibilität für die Wahrnehmung
zum Rückgrat der deutschen Wirtschaft ge- von Spionage bzw. es existieren weniger Si-
hörenden Automobil- / Luftfahrzeug- / Schiffs- cherheitsvorkehrungen, sodass es oftmals
und Maschinenbaubranche mit 29,8 Prozent schwerer fällt, Informationsabfluss überhaupt
am häufigsten zu Schäden. Dies stellt noch zu bemerken.
Geschädigte Branchen
GRAFIK 7 Quelle: Corporate Trust 2012
Stand: 2007
Quelle: Studie Industriespionage 2007
Seite 15Betroffene Unternehmen
Von allen befragten Firmen gaben ledig- Bei der Betrachtung, welche Unternehmen
lich 7,0 Prozent an, keine Geschäftsbe- Schäden durch Industriespionage ange-
Die Geschäftstätigkeit im ziehungen ins Ausland zu unterhalten. ben und gleichzeitig Geschäftsbeziehun-
Die meisten Unternehmen (46,6 Prozent) gen im Ausland unterhalten, wird das
Ausland erhöht das Risiko verfügen zumindest über Kunden im Aus- Risiko deutlich: Bei exakt 96,0 Prozent
deutlich. land, 44,2 Prozent betreiben eigene Nie-
derlassungen bzw. Tochterunternehmen,
aller Firmen gibt es ein Auslandsengage-
ment, nur 4,0 Prozent der Unternehmen
30,2 Prozent haben Handelsvertretungen, mit einem Spionagevorfall haben keine ge-
Vertriebs- oder Servicepartner und 28,0 schäftlichen Beziehungen ins Ausland.
Prozent sogar ein Joint Venture.
Aufgrund der geringen Zahl von 7,0 Pro-
Bei den Regionen, in die Geschäftsbezie- zent der Unternehmen, die keinerlei Aus-
hungen unterhalten werden, war Europa landsbeziehungen unterhalten, ist die
mit 86,1 Prozent am häufigsten vertreten, hohe Zahl an geschädigten Unternehmen
gefolgt von Asien (55,8 Prozent), Nord- mit Auslandsengagement (96,0 Prozent)
amerika (53,4 Prozent) und den GUS-Staaten allerdings nicht verwunderlich. Dies zeigt
(45,2 Prozent). vermutlich auch, dass sich überwiegend
Firmen an der Studie beteiligten, die im
Ein Großteil der deutschen Wirtschaft ist Ausland präsent sind und daher offenbar
damit global unterwegs und deshalb auch stärker für die Risiken von Industriespio-
unterschiedlichsten Risiken ausgesetzt. nage sensibilisiert sind.
Haben Sie Geschäftsbeziehungen im Ausland?
(Mehrfachnennungen möglich)
Nur Kunden 46,6 %
Eigene Niederlassungen / Tochterunternehmen 44,2 %
Vertriebs- oder Servicepartner /
Handelsvertretungen 30,2 %
Joint Venture 28 %
Sonstiges 6,9 %
Nein 7%
GRAFIK 8 Quelle: Corporate Trust 2012
In welche Regionen haben Sie diese Geschäftsbeziehungen?
(Mehrfachnennungen möglich)
Europa 86,1 %
Asien 55,8 %
Nordamerika 53,4 %
GUS-Staaten 45,2 %
Mittlerer und Naher Osten 38,2 %
Mittel- und Südamerika 37,2 %
Afrika 23,1 %
Sonstiges 4,7 %
9,2 %
Keine Angaben
GRAFIK 9 Quelle: Corporate Trust 2012
Seite 16Während bei der Studie 2007 noch 76,9 vorbereitet. Zum anderen ist es jedoch
Prozent der geschädigten Unternehmen auch möglich, dass gerade die gehäuften
Spionage findet (neben angaben, dass die Spionage oder zumindest Hackerangriffe aus dem Reich der Mitte
der Verdacht auf einen solchen Vorfall in zwar als solche erkannt, jedoch aufgrund
Deutschland) vor allem in Deutschland stattfand, sind es aktuell nur des Angriffs auf ein Unternehmenssystem
den GUS-Staaten, Europa noch 26,1 Prozent. Das Bewusstsein der
Unternehmen für kriminelle Angriffe im
in Deutschland als Angriffe „in Deutsch-
land“ gewertet wurden. Erstaunlich schei-
und Nordamerika statt. Ausland dürfte damit deutlich gestiegen nen außerdem die Zahlen von Spionagevor-
sein. Nur noch 6,3 Prozent der Firmen fällen in Europa (26,6 Prozent) und Nord-
sind sich völlig im Unklaren darüber, wo amerika (25,2 Prozent). Offenbar werden
die Spionage bzw. der Datenabfluss statt- die Bedingungen im internationalen Ge-
fand. Die meisten Vorfälle ereigneten sich schäftsfeld härter und es wird von Konkur-
in den GUS-Staaten (27,0 Prozent), gefolgt renten zunehmend mit verbotenen Mitteln
von Europa (26,6 Prozent), Deutschland gearbeitet.
(26,1 Prozent), Nordamerika (25,2 Prozent)
und Asien (10,4 Prozent). Das Ergebnis zeigt, dass nach wie vor von
einer hohen Spionagetätigkeit durch die
Die geringen Schadenszahlen für Asien Nachrichtendienste Chinas und der GUS-
könnten zum einen darauf zurückzuführen Staaten auszugehen ist – also der klas-
sein, dass sich mittlerweile die Mehrzahl sischen Wirtschaftsspionage1 – , Unterneh-
der Unternehmen des Risikos bewusst men jedoch ebenso bei ihrer Geschäfts-
sind, bei Geschäften in China einen Informa- tätigkeit in Europa oder Nordamerika von
tionsabfluss zu erleiden. Folglich wurden Industriespionage betroffen sein können.
sicherlich oftmals verstärkte Schutzmaß- Dies erfordert vermutlich ein Umdenken bei
nahmen implementiert und die Mitarbeiter der Sensibilisierung von Mitarbeitern und
entsprechend auf ihre Reisen nach Asien der Planung von Geschäftsprozessen.
Können Sie konkretisieren, wo die Spionage zum Nachteil Ihres Unternehmens
stattfand? (Mehrfachnennungen möglich)
GUS-Staaten 27 %
Europa (ausgenommen Deutschland) 26,6 %
Deutschland 26,1 %
Nordamerika 25,2 %
Asien 10,4 %
Afrika 5,4 %
Mittlerer und Naher Osten 0,5 %
Mittel- und Südamerika 0%
0%
Sonstiges
Völlig unklar, wo die Spionage bzw. 6,3 %
der Datenabfluss stattfand
GRAFIK 10 Quelle: Corporate Trust 2012
1)Wirtschaftsspionage: Staatlich gelenkte oder gestützte, von fremden Nachrichtendiensten ausgehende Ausforschung von Wirtschaftsunternehmen und Betrieben.
Seite 17Seite 18
Schäden durch Spionage
Der deutschen Wirtschaft entsteht durch Am deutlichsten fällt der Anstieg bei der
Industriespionage jährlich ein Gesamt- Schadenshöhe im Bereich zwischen
Die finanziellen Schäden schaden von ca. 4,2 Milliarden Euro. Im Ver- 10.000 und 100.000 Euro aus: Hier ver-
gleich zur Studie 2007 (2,8 Milliarden Euro) dreifachten sich die Schäden von 14,3 Pro-
durch Industriespionage entspricht dies einem Anstieg um 50,0 zent (2007) auf 45,3 Prozent (2012). Auch
sind deutlich angestiegen. Prozent und belegt eindringlich, wie hoch
das neue Bedrohungspotenzial durch Cy-
die Schäden über einer Million Euro stie-
gen von 7,2 Prozent (Studie 2007) auf 9,1
berwar tatsächlich ist. Prozent (Studie 2012) an. Lediglich die
Schäden bis 10.000 Euro sanken von 21,7
In Deutschland gibt es ca. 3,1 Millionen Prozent (2007) auf 10,4 Prozent (2012).
umsatzsteuerpflichtige Unternehmen. Etwa
zwei Drittel davon sind Einzelunternehmen. Interessant war auch, dass bei der Diffe-
Für die Befragung wurden lediglich Unter- renzierung der Schäden nach Unterneh-
nehmen mit mindestens 10 Mitarbeitern mensgröße die Kleinbetriebe nur Schäden
bzw. einem Umsatz über einer Million Euro bis maximal 100.000 Euro feststellten,
ausgewählt. Somit wurde (analog zur Stu- die finanziellen Negativauswirkungen im
die 2007) von einer Referenzgröße von ca. Mittelstand vor allem im Bereich von 10.000
65.000 zu berücksichtigenden deutschen bis 100.000 Euro lagen (53,5 Prozent) und
Unternehmen ausgegangen. Bei den Scha- 23,5 Prozent der geschädigten Konzerne
denssummen wurde jeweils nur ein Mit- auch im Bereich über einer Million Euro
telwert angenommen, also z.B. 55.000 Schäden bezifferten.
Euro bei der Kategorie von 10.000 bis
100.000 Euro. Die starke Veränderung bei den finanziel-
len Schäden der Unternehmen ist zum Teil
Für die Hochrechnung des Gesamtscha- auf das veränderte Bedrohungsspektrum
dens auf die zu referenzierenden 65.000 – Stichwort „Cyberwar“ – zurückzuführen,
Unternehmen wurde der Gesamtschaden vermutlich jedoch auch auf eine veränderte
von ca. 8,4 Milliarden Euro noch einmal Wahrnehmung von Industriespionage. Ein
um 50 Prozent bereinigt, weil davon aus- gesteigertes Bewusstsein für Risiken und
zugehen ist, dass sich vor allem Unter- die Notwendigkeit von Informationsschutz
nehmen mit einer erhöhten Sensibilität führt zwangsläufig zu einer stärkeren Sen-
für Industriespionage an der Studie be- sibilisierung für die Auswirkungen.
teiligten. Unter Bezugnahme auf die erho-
benen Schadensfälle und die prozentuale Heute existieren in vielen Unternehmen
Verteilung der finanziellen Schäden je Un- mehr Sicherheitsvorkehrungen in der IT
ternehmensgröße ist daher – sehr konser- sowie bei der Qualitätssicherung mit Kun-
vativ gerechnet – der deutschen Wirtschaft den und Lieferanten. Hackerattacken, un-
ein Gesamtschaden von mindestens 4,2 berechtigte Datenzugriffe oder neue Kon-
Milliarden Euro entstanden. kurrenten mit identischen Produkten
werden daher schneller als Spionage
Insgesamt hatten 82,9 Prozent der geschä- identifiziert und die Schäden erkannt.
digten Unternehmen einen finanziellen
Schaden zu verzeichnen. Dies stellt einen
Anstieg um 28,7 Prozent dar (Studie 2007:
64,4 Prozent).
Schäden nach Unternehmensgröße
Konzerne
53,5 %
48,7 % Mittelstand
38,8 % Kleinunternehmen
28,2 %
25,5 %
23,5 % 23,1 %
18,1 % 20 %
10,2 %
5,8 %
2,6 % 2%
0% 0%
über 1 Mio. Euro 100.000 bis 1 Mio. Euro 10.000 bis 100.000 Euro bis 10.000 Euro Kein finanzieller Schaden
nachweisbar / feststellbar
GRAFIK 11 Quelle: Corporate Trust 2012
Seite 19Schäden durch Spionage
Kann der Schaden durch Spionage finanziell beziffert werden?
GRAFIK 12 Quelle: Corporate Trust 2012
Stand: 2007
Quelle: Studie Industriespionage 2007
Seite 20Bei der aktuellen Befragung wurde der Alle Angaben im Freitext zu „Sonstiges“
Vertrieb mit 18,3 Prozent von den betrof- (3,3 Prozent) bezogen sich fast aus-
Industriespionage ge- fenen Unternehmen abermals am häufig- schließlich auf Kunden- oder Lieferanten-
sten als Angriffsziel für Industriespionage daten. Hier scheint es so, dass diese Infor-
schieht am häufigsten genannt; bereits 2007 war dies der am mationen von den Unternehmen nicht ein-
im Vertrieb, gefolgt von stärksten betroffene Bereich. Wie nicht
anders erwartet, ist Forschung & Ent-
deutig dem Bereich Vertrieb oder Einkauf
zugeordnet werden konnten. Wahrschein-
Forschung & Entwick- wicklung mit 16,0 Prozent der zweitge- lich handelt es sich hier bei den Schadens-
fährdetste Bereich, gefolgt von Mergers & fällen überwiegend um Vorkommnisse,
lung sowie Mergers & Acquisitions mit 14,2 Prozent aller Angriffe bei denen Mitarbeiter das Unternehmen
sowie IT-Administration und IT-Service verließen und Kunden- oder Lieferanten-
Acquisitions mit 12,7 Prozent. daten mitnahmen.
Forschung & Entwicklung war 2007 mit Interessant ist auch, dass nur noch 8,6
16,1 Prozent ebenfalls der am zweithäufig- Prozent der geschädigten Unternehmen
sten betroffene Bereich, jedoch war damals keine Angaben darüber machen konnten
Mergers & Acquisitions mit 3,7 Prozent der oder wollten, in welchem Bereich spioniert
Bereich, in dem am wenigsten spioniert wurde; bei der Befragung 2007 waren es
wurde. Dies hat sich offenbar stark verän- immerhin noch 20,8 Prozent. Dies ist ver-
dert und belegt, dass die strategischen mutlich ein Beleg dafür, dass Unterneh-
Pläne eines Unternehmens (vor allem im men bereits mehr und bessere Sicherheits-
Hinblick auf Expansionsziele und poten- vorkehrungen implementiert haben, die es
zielle Übernahmekandidaten) zu den in- ihnen ermöglichen, einen Informationsab-
teressantesten Informationen für Spionage fluss zu erkennen.
gehören.
In welchem Bereich wurde spioniert bzw. fand der Informationsabfluss statt?
(Mehrfachnennungen möglich)
Vertrieb 18,3 %
Forschung und Entwicklung 16 %
Mergers & Acquisitions 14,2 %
IT-Administration, IT-Service 12,7 %
Fertigung / Produktion 8,4 %
Personal 7,6 %
Einkauf 5,7 %
Management / Geschäftsleitung 5,1 %
3,3 %
Sonstiges
Keine Angaben 8,6 %
GRAFIK 13 Quelle: Corporate Trust 2012
Seite 21Schäden durch Spionage
Weiterhin stellen die eigenen Mitarbeiter Bei der Frage nach den konkreten Hand-
eines der größten Risiken für Unternehmen lungen waren Mehrfachnennungen erlaubt.
Schäden entstehen vor dar. Bei der Befragung zu den konkreten Dadurch war es für die Unternehmen mög-
Handlungen wurde unterschieden zwischen lich, sowohl die Handlungen mehrerer ein-
allem durch eigene Mit- bewusster Informationsweitergabe bzw. zelner Industriespionage-Vorfälle zu be-
arbeiter sowie externe dem Datendiebstahl für eigene Zwecke
und dem fahrlässigen Informationsabfluss,
nennen als auch verschiedene Handlungen
bei nur einem Angriff anzugeben. Von dieser
Geschäftspartner und z.B. bei der Handhabung von Daten, im Option machten viele der geschädigten
Umgang mit Geräten oder durch Social Unternehmen Gebrauch.
Hackerangriffe. Engineering1.
Die Angriffsqualität bei Industriespionage
Dabei stellte sich heraus, dass 47,8 Pro- verändert sich; sogenannte APT (Advan-
zent der konkret festgestellten Spionage- ced Persistant Threats), also Angriffe durch
fälle auf die bewusste Informations- oder eine fortgeschrittene und andauernde Be-
Datenweitergabe bzw. den Datendiebstahl drohung, nehmen deutlich zu. Dadurch stel-
durch eigene Mitarbeiter zurückzuführen len die Unternehmen heute oftmals kom-
sind. Nicht wesentlich geringer war die binierte Schadenshandlungen fest. Bei ei-
Häufigkeit beim Abfluss von Daten durch nem Hackerangriff ist es umso leichter, in
externe Dritte wie Zulieferer, Dienstleister die Systeme einzudringen, je mehr inter-
oder Berater: 46,8 Prozent der geschä- nes Wissen über das Unternehmen be-
digten Unternehmen gaben an, hierdurch kannt ist. Daher gibt es in Verbindung mit
ausspioniert worden zu sein. Hackeran- einem solchen Hackerangriff2 häufig auch
griffe erreichen mit 42,4 Prozent ebenfalls erkannte Social Engineering-Anrufe bzw.
noch eine sehr hohe Schadensquote. detektierte Versuche, auf die E-Mail-Kom-
munikation zuzugreifen oder Telefone zu
manipulieren.
Welche konkreten Handlungen fanden statt?
(Mehrfachnennungen möglich)
Bewusste Informations- oder Datenweitergabe / Datendiebstahl durch eigene Mitarbeiter,
um sich einen eigenen Vorteil zu verschaffen (z.B. finanziell bessere Stelle 47,8 %
bei einem neuen Arbeitgeber)
Abfluss von Daten durch externe Dritte wie Zulieferer, Dienstleister oder Berater 46,8 %
Hackerangriffe auf EDV-Systeme und Geräte (Server, Laptop, Tablet, Smartphone) 42,4 %
Diebstahl von IT- und Telekommunikationsgeräten (PC, Laptop, Handy etc.) 32,7 %
Geschicktes Ausfragen von Mitarbeitern, sog. Social Engineering, z.B. am Telefon, in sozialen 22,7 %
Netzwerken / Internetforen, im privaten Umfeld, auf Messen oder sonstigen Veranstaltungen
Sonstiger Informationsabfluss außerhalb des Firmengeländes, z.B. durch unbedachte 15,5 %
Kommunikation, schlecht gesicherte Heimarbeitsplätze oder Cloud Services
12,2 %
Abhören und Mitlesen von elektronischer Kommunikation, z.B. E-Mails
Einbruch in Gebäude bzw. Diebstahl von Dokumenten, Unterlagen, Mustern, Maschinen 11,2 %
oder Bauteilen etc.
6,5 %
Abhören von Besprechungen, Telefonaten bzw. Mitlesen von Faxen
Sonstiges 0,4 %
GRAFIK 14 Quelle: Corporate Trust 2012
1)Social Engineering: Ausspionieren über das persönliche Umfeld, durch zwischenmenschliche Beeinflussung bzw. durch geschickte Fragestellung, meist unter Verschleierung der
eigenen Identität (Verwenden einer Legende). Social Engineering hat das Ziel, unberechtigt an Daten, geheime Informationen, Dienstleistungen oder
Gegenstände zu gelangen.
2)Hackerangriff: Unerlaubtes Eindringen in fremde Computer- oder Netzwerksysteme, meist durch das Überwinden von Sicherheitsmechanismen.
Seite 22Bei der Durchführung der aktuellen Be- Vergleicht man die Ergebnisse mit der
fragung wurde Wert darauf gelegt, ver- Studie 2007, so muss man auch dort die
Technische Angriffe sind gleichbare Aussagen zur Studie 2007 zu beiden Formen „Belauschen von vertrau-
erhalten, um hierdurch die Entwicklung lichen Besprechungen” (10,7 Prozent) und
noch immer ein gebräuch- von Industriespionage zu erkennen. „Abhören von Telefonaten bzw. Mitlesen
liches Mittel, um an sen- Während 2007 nur bei 14,9 Prozent aller
von Faxen oder E-Mails“ (5,3 Prozent)
zusammenfassen. Hieraus ergibt sich eine
sible Informationen zu Fälle ein Hackerangriff2 als konkrete Spio- Gesamthäufigkeit von 16,0 Prozent. Im
nagehandlung zugrunde lag, waren es Vergleich zur aktuellen Studie beläuft sich
gelangen. 2012 bereits 42,4 Prozent. Die Schäden damit der Anstieg bei dieser technischen
durch Hackerangriffe haben sich damit Form von Spionage auf 2,7 Prozent.
annähernd verdreifacht.
In Bezug auf das Abhören von Telefonaten,
bzw. das Mitlesen von Faxen oder E-Mails
ist die Entwicklung nicht ganz so drastisch.
Für die Auswertung wurden die konkreten
Handlungen „Abhören und Mitlesen von elek-
tronischer Kommunikation, z.B. E-Mails“
(12,2 Prozent) und „Abhören von Bespre-
chungen, Telefonaten bzw. das Mitlesen
von Faxen“ (6,5 Prozent) zusammenge-
fasst. Diese Vorkommnisse wurden damit
in insgesamt 18,7 Prozent aller Fälle fest-
gestellt, spielen also in fast jedem fünften
Fall von Industriespionage eine Rolle.
Schäden durch klassische Angriffsformen
Hackerangriff 42,4 %
Abhören bzw. Mitlesen von elektronischer Kommunikation (z.B. E-Mails) 12,2 %
Abhören von Besprechungen, Telefonaten bzw. Mitlesen von Faxen 6,5 %
GRAFIK 15 Quelle: Corporate Trust 2012
Stand: 2007
Quelle: Studie Industriespionage 2007
Seite 23Schäden durch Spionage
Die Folgen von Spionage können unter- Patentrechtsverletzungen (44,2 Prozent)
schiedliche Auswirkungen haben. Oft- und Umsatzeinbußen durch Verlust von
Rechtsstreitigkeiten und mals ist ein Informationsabfluss feststell- Wettbewerbsvorteilen (36,0 Prozent).
bar, ohne dass unmittelbar ein Zusam-
Imageschäden bei Kun- menhang mit einem konkreten Schaden Auffallend ist dabei, dass zwar nur etwa
den oder Lieferanten sind erkannt wird. Dieser kann sich zum einen
erst wesentlich später einstellen (z.B.
ein Drittel aller Unternehmen durch die
Industriespionage Umsatzeinbußen regis-
die häufigsten Folge von wenn ein Mitbewerber mit dem gestohle- trierte, jedoch fast 60 Prozent Image-
nen Know-how plötzlich billigere Plagiate schäden bei Kunden oder Lieferanten ver-
Industriespionage. anbietet), zum anderen können aber auch zeichneten. Die Angst der Firmen vor ei-
die sofort eingeleiteten rechtlichen Schritte nem Reputationsschaden ist also berech-
verhindern, dass bei einem Konkurrenten tigt. Kunden oder Lieferanten reagieren
überhaupt ein Vorteil entsteht. Für ein Un- negativ, wenn der Verdacht besteht, dass
ternehmen ist trotzdem ein Schaden ent- vertrauliche Daten abgeflossen sind.
standen, weil auch die Auseinandersetzung
mit dem Fall Kapazitäten bindet. Interessant war bei dieser Frage, dass nur
annähernd jedes fünfte Unternehmen ei-
Befragt nach der konkreten Schädigung nen Ausfall bzw. eine Schädigung von IT-
bei den Fällen von Spionage bzw. dem Ver- Geräten verzeichnete. Dies ist vermutlich
dacht, gaben 65,4 Prozent der Unterneh- darauf zurückzuführen, dass die Angriffe
men an, dass sie hohe Kosten für Rechts- bei Industriespionage in der Regel gegen
streitigkeiten hatten. An zweiter Stelle (59,9 die „Vertraulichkeit“ der Daten gerichtet
Prozent) wurden Imageschäden bei Kun- sind und weniger gegen die „Verfügbarkeit“
den oder Lieferanten genannt, gefolgt von von Informationen oder EDV-Systemen.
Gab es Hinweise auf eine konkrete Schädigung (materiell / immateriell)
für das Unternehmen?
(Mehrfachnennungen möglich)
Hohe Kosten für Rechtsstreitigkeiten 65,4 %
Imageschäden bei Kunden oder Lieferanten 59,9 %
Patentrechtsverletzungen
(auch schon vor der Anmeldung) 44,2 %
Umsatzeinbußen durch Verlust
von Wettbewerbsvorteilen 36 %
Negative Medienberichterstattung 21,9 %
Erpressung mit „abgesaugten“ Daten 20,5 %
Ausfall bzw. Schädigung von IT-Geräten 18,8 %
Höhere Mitarbeiterfluktuation 2,4 %
Sonstiges 0%
Nein 0,7 %
GRAFIK 16 Quelle: Corporate Trust 2012
Seite 24Sie können auch lesen
