Spionagegeschichten haben für uns etwas Spannendes.
Etwas, das man nach der Arbeit genießt. Beispielsweise als Netflix-Serie. Oder als nostalgisches Filmepos a la James Bond.
„Es hat aber mit unserem Leben / unserer Firma gar nichts zu tun. Das ist Fiktion. In der Realität gibt es so etwas nicht.“
Wirklich?
Realität
In Österreich haben die durch Spionage verursachten Schäden die Milliarden-Euro-Grenze pro Jahr nachweislich längst überschritten. Wenn man davon ausgeht, dass mangels zielführender Strategien Spionage oft nicht nachgewiesen werden kann, muss eine noch viel höhere Dunkelziffer angenommen werden.
Heutige Spionage zielt nicht mehr nur auf Politik und Militär, sondern immer stärker auch auf Wirtschaft und Wissenschaft ab.
Denn jede Strategieentwicklung kann nur so gut sein, wie die Information, auf der sie basiert. Ein Know How, in das keine Investition gesteckt werden musste, weil es gestohlen ist, bringt natürlich Wettbewerbsvorteile.
Können Entscheidungsträger des Gegners/Opfers durch Erpressung und Bestechung beeinflusst werden, kann der Angreifer eher eigene Interessen durchsetzen. Wenn Gegner/Opfer durch Sabotage geschwächt sind, hat der Angreifer einen Vorteil.
Kein Wunder also, dass Spionage sich als zweitältestes Gewerbe der Menschheit durchgesetzt hat. Schon 1500 v. Chr. hatten die Ägypter einen komplexen Behördenapparat, den sie bezeichnend „Die Augen des Pharao“ nannten.
Schon 500 v. Chr. schrieb im chinesischen Reich der kaiserliche Berater Sunzi das Werk „die Kunst des Krieges“, welches weniger Kriegs- als vielmehr konkrete Spionagestrategien enthielt.
Und auch heute gilt: Information ist der Rohstoff der Zukunft.
Dabei bleibt über die Menschheitsgeschichte bis heute ein Axiom nach wie vor aktuell:
Der eine hat die Information – und der anderer will die Information.
Die Konstante in der Spionage ist also der Mensch.
Angriff
Die relative Neuerung, dass Speicherung und Kommunikation mit der Digitalisierung auf derselbe Technik basieren, hat IT-Hacks provoziert. Der Angreifer war nicht mehr auf den Faktor Mensch angewiesen.
So wurden IT-Hacks sehr attraktiv für Kriminelle.
Die IT-Security hat darauf reagiert und in den letzten zwei Jahrzehntem hervorragende Arbeit geleistet. Damit wurde der „reine IT-Hack“ weitgehend verunmöglicht zb durch geschlossene Systeme oder – und wenn nicht, dann jedenfalls massiv erschwert.
ABER: Spione suchten sich immer schon das schwächste Glied einer Schutzkette. Natürlich tun dies auch heutige Cyberkriminelle. Und das schwächste Glied in den „Firewalls“ der aktuellen Systeme ist nun einmal der Mensch – in Betrieben ist dies der Mitarbeiter.
Neben den neuen Cybercrime-Methoden bedient sich dabei Spionage nach wie vor „traditioneller“ Methoden – mit heutigem Equipment.
Waffen
Mit verdeckter Videoüberwachung werden Produkt- oder Herstellungsdetails, aber auch handelnde Personen abgefilmt. Mit ausgefeilter Technik wird das gesprochene Wort der Opfer abgehört und gespeichert. Aus dem so erlangten Bild- und Tonmaterial werden Sequenzen geschnitten, die – aus dem Zusammenhang gerissen – das Opfer kompromittierend darstellen.
Competitive Intelligence heißt das legale Sammeln und Auswerten von Informationen über Konkurrenzunternehmen. Dies wird in der Spionage kombiniert mit den Recherchen, die ohne des Titels „Berechtigtes Interesse“ illegal sind.
Sammeln von persönlichen Daten durch Observationen und verdeckte Befragungen oder einfachen Müllauswertung (Dumpster Diving). Alle diese Informationen werden ausgewertet. Es werden Gruppen- und Personenprofile erstellt, welche die Grundlage für effektives Social Engineering sind. So weiß der Spion, WEN er als Opfer, und vor allem WIE er ihn/sie ansprechen kann und welche Reize er setzen muss, um zum Ziel zu kommen.
Betrug wie z.B. Phishing und CEO-Frauds, aber auch Bestechung funktionieren nur mit diesen Informationen. Hat das Opfer dann einen kleinen Verstoß oder Fehler begangen ist der Erpressung Tür und Tor geöffnet.
Schutz
Natürlich kann man sich auch gegen Spionage schützen. Wie viel ein Unternehmen gegen Spionage unternehmen muss, zeigt Risikomanagement auf. Stark vereinfacht ist es wie bei anderen Risikobereichen: Ist der mögliche Schaden groß – muss viel investiert werden, ist er klein - reicht niedriger Aufwand.
In jedem Fall sollte aber drei Bereichen gleichviel Gewicht eingeräumt werden:
a) IT-Security,
b) physische Sicherheit und
c) Risikominimierung des Faktors Mensch/Mitarbeiter.
Letztere sollte über zwei Seiten realisiert werden:
Top-Down – durch eine umfassende Strategie und praxisnahe Taktik, die Sicherheitsexperten mit den internen Prozessverantwortlichen abstimmen.
Button-Up – hier muss in Workshops Kenntnis um das Angriffsrisiko und um die Umsetzung der Gegenmaßnahen vermittelt werden.
So ist entsprechendes Wissen regelmäßig zu vermitteln:
für die MitarbeiterInnen und auch externes Service Personal im Haus:
Bewusstsein für geheime Daten schaffen!
für die ZuarbeiterInnen:
Korruption und Erpressung - Erkennen und lösen!
Social Engineering - Erkennen und lösen!
für die Mitglieder des mittleren und oberen Managements:
Verstecktes Video- und Ton- Aufnahmegerät - Kennen und erkennen!
Observanten und Verfolger erkennen!
Handlungsmöglichkeiten:
Need to Know strategie anwenden!
Diskret kommunizieren lernen!
für das Management im Auslandeinsatz zusätzlich:
Geheime Daten auf Reisen generell schützen lernen!
Länderspezifisches Risiko erkennen!
Der Leitsatz der Risikomanager „Jedes Risiko ist gleichzeitig eine Chance“ ist keine leere Worthülse und trifft auch hier zu: Der Mitarbeiter ist für Unternehmen im Bezug auf Spionage zwar ein großes Risiko, aber der geschulte Mitarbeiter ist der mit Abstand wirksamste Schutz.
Fotoquelle: Header Shutterstock