Trojanischer Ferrari
Bedingt abwehrbereit: Deutsche Unternehmen im Visier der Wirtschaftsspionage
Wanzen im Sportwagen, bestochene Putzkräfte, gefakte Bewerbungsgespräche: Die Methoden, Unternehmen ihre Betriebsgeheimnisse zu entlocken, werden immer ausgefeilter. Mit der Unbedarftheit deutscher Manager in Sachen Abhörschutz dürfte es spätestens seit der NSA-Affäre vorbei sein. Davon profitiert auch die Sicherheitsindustrie.
Die Spione kamen im roten Ferrari, und sie parkten direkt auf dem Schreibtisch des Firmenchefs. Ein Mitbewerber hatte dem Geschäftsführer ein Miniaturmodell des italienischen Sportwagens geschenkt. Darin versteckt war eine Wanze, mit der die Konkurrenten über Monate hinweg alle wichtigen Gespräche mithören konnten.
Als dem mittelständischen Betrieb dämmerte, dass systematisch Geschäftsgeheimnisse nach außen drangen, war es schon zu spät. Um die Wanze zu finden, holte die Firma Abhörschutz-Spezialist Gernot Zehner von der Ultima Ratio GmbH. Mit mobiler Röntgentechnik, Wärmebildkameras und anderen Sensoren begab sich Zehner auf die Suche – und wurde im Modell-Ferrari fündig.
Für Zehner sind solche Funde an der Tagesordnung. 350 bis 400 Mal im Jahr werde die Ultima Ratio mit solchen Fällen beauftragt, so Zehner. „In 50 Prozent der Fälle finden wir etwas“, sagt der Lauschabwehr-Spezialist. Und das sei nur die Spitze des Eisbergs, sagt Zehner. „Auf einen enttarnten Lauschangriff kommen 200 nicht enttarnte.“
Erschreckend unbedarft
Erst kürzlich schlugen Zehners Sensoren in einem namhaften deutschen Unternehmen an. „Wir haben drei Wanzen gefunden, da lag dick der Staub drauf“, sagt Zehner. Mindestens zwölf Monate soll die Bespitzelung gedauert haben. Niemand weiß, wie viele Geheimnisse in der Zwischenzeit nach außen drangen.
Technisch sei eine solche Bespitzelung heutzutage kein Problem mehr. „Mit weniger als 1000 Euro kann man im Internet das entsprechende Material bestellen“, sagt der Experte für Abhörschutz. Zum Beispiel für eine Wanze in Größe eines Ein-Euro-Stücks. Man müsse es lediglich schaffen, das Gerät in den Büros zu platzieren. Oftmals würden dazu Putzkräfte bestochen, die Zugang zu allen Räumen haben. Andere Spione gäben sich als Kandidaten für eine offene Stelle aus und präparierten den Besprechungsraum, in dem das Bewerbungsgespräch stattfindet.
Ist die Wanze einmal versteckt, ist das Abhören kein Problem mehr. Besonders fein justierte Mikrofone können den Schall sogar über die Kupferleitungen handelsüblicher Steckdosen aufnehmen. Andere fangen, ausgestattet mit einem Bluetooth-Empfänger, Telefonate über Bluetooth-Headsets und auf Bluetooth-Tastaturen getippte Mails ab. Eine integrierte SIM-Karte in der Wanze überträgt Ton und Text an die Lauschangreifer. Jegliche Kommunikation könne so jederzeit mitgehört werden, sagt Gernot Zehner. Das Problem: Den meisten deutschen Managern fehle das Sicherheitsbewusstsein, die Gefahr zu erkennen. „Wenn ich sehe, dass Geschäftsführer vertrauliche Gespräche über Bluetooth-Headsets führen, rollen sich mir die Fußnägel hoch“, sagt Zehner. Nicht umsonst würden die Deutschen in Fachkreisen als besonders naiv in Sachen Abhörschutz gelten, so der Spezialist.
Mit dieser Unbedarftheit könnte es aber schon bald vorbei sein. Fälle wie der des trojanischen Ferrari sorgen dafür, dass die deutsche Wirtschaft sich immer stärker um ihren wichtigsten Besitz sorgt: ihr Wissen. In Form von Patenten, Bauplänen, aber auch Kundendateien und Preistabellen liegt auf Unternehmensrechnern ein riesiger Datenschatz, in vertraulichen Besprechungen diskutieren Manager über neue Expansionsstrategien. Wenn ein Mitbewerber, egal ob aus dem In- oder Ausland, an diese Informationen gelangt, können schnell immense Schäden entstehen.
Das große Schweigen
Zur klassischen Wirtschaftsspionage zwischen Konkurrenten ist in den vergangenen Jahren noch eine neue Gefahr ins Blickfeld deutscher Unternehmen gerückt. Die Enthüllungen von Edward Snowden über das Spionagenetzwerk des amerikanischen Geheimdiensts NSA haben viele Unternehmen verunsichert. Wenn die NSA sogar das Handy der Kanzlerin abhört, dürfte es auch kein Problem sein, die eigenen Firmentelefone zu knacken.
„Die NSA-Affäre hat die Unternehmen besorgter gemacht“, sagt Steffen Salvenmoser, Partner in der Abteilung Forensic Services der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC). Kurz nach den ersten NSA-Enthüllungen befragte Salvenmoser zahlreiche Unternehmen für die Studie „Wirtschaftskriminalität und Unternehmenskultur 2013“. 24 Prozent gaben an, nach Bekanntwerden der Affäre ein erhöhtes Risiko wahrzunehmen, dass Geheimnisse ausgespäht werden und dadurch Wettbewerbsnachteile entstehen. Das Deliktfeld sei aber generell sehr schwer zu erforschen, so Salvenmoser. „Man weiß nie sicher, ob man wirklich Opfer von Spionage wurde“, sagt der PwC-Experte. „Als Inhaber der Daten erkenne ich nicht oder nur mit zeitlicher Verzögerung, ob sie geklaut wurden oder nicht.“
Gesicherte Zahlen zu Spionagefällen gibt es kaum. Denn betroffene Firmen melden sich nur zögerlich bei der Polizei oder dem Verfassungsschutz. In den Medien tauchen die immer gleichen Fallbeispiele auf. Der Tunnelmaschinenbauer Vietz, der von einem Joint-Venture-Partner in China aufs Kreuz gelegt wurde – die chinesischen Partner kopierten gleich die ganze Fabrik wenige Kilometer vom ursprünglichen Werk entfernt. Oder der Hersteller von Faserbeton-Elementen Rieder, bei dem ein Gast aus China überführt wurde, der wichtige Produktionsschritte abfilmte. Und schließlich der Fall des deutschen Windkraft-Unternehmens Enercon, bei dem die NSA wichtige Technologien an einen US-Konkurrenten weitergegeben haben soll. Nach jahrelangem Patentstreit einigten sich die Parteien außergerichtlich.
Experten haben Verständnis für das große Schweigen unter den Spionageopfern. „Der Imageschaden, sollte ein Fall an die Öffentlichkeit gelangen, ist den meisten Firmen zu groß“, sagt Christian Schaaf, Geschäftsführer der Sicherheitsberatung Corporate Trust. Die Unternehmen gingen deshalb mit ihren Verdachtsfällen deutlich öfter zu einem Sicherheitsdienstleister als zu den Behörden.
Für die Studie „Industriespionage 2012“ hat Corporate Trust deutsche Unternehmen gefragt, wie oft es zu Spionagefällen komme und wie hoch der Schaden sei, der dabei entstehe. Rund 21 Prozent der Unternehmen gaben an, bereits Schäden durch Spionage erlitten zu haben. Weitere 33 Prozent hatten zumindest den Verdacht, ausgespäht worden zu sein. Insgesamt sei so ein Schaden von 4,2 Milliarden Euro entstanden – doppelt so viel, wie bei einer Vorgängerstudie im Jahr 2007. Dabei wurde das Know-how in einem Viertel der Fälle in Deutschland angezapft. Ebenso oft soll in Nordamerika deutsches Wissen ausspioniert worden sein. Asien, mit dem vermeintlich für Spionage berüchtigten China, wurde in nur 10 Prozent der Fälle als Ort der Bespitzelung angegeben.
Jeder Angreifer, egal ob staatlicher Geheimdienst oder Agent eines Wettbewerbers, braucht ein Einfallstor. Der beliebteste Angriffspunkt für die Späher der Konkurrenz war lange Zeit die Firmen-IT. Mit Hack-Angriffen und Trojanern versuchten sie sich Zugang zu sensiblen Daten im Firmennetzwerk zu erschleichen. „Die meisten Täter greifen zwar über die IT zu“, sagt Corporate-Trust-Geschäftsführer Christian Schaaf, „aber hier sind auch die größten Fortschritte in Sachen Sicherheit zu beobachten.“ Mit verhältnismäßig geringen Investitionen könne die IT-Sicherheit bereits signifikant verstärkt werden, so Schaaf. „Wer 3000 Euro in die IT-Sicherheit investiert, sorgt dafür, dass Angreifer gut und gerne 100 000 Euro aufwenden müssen, um durchzudringen.“ Das reiche schon als Abschreckung.
Risikofaktor Mensch
Deutlich schwieriger zu kontrollieren ist ein anderer Risikofaktor: die eigene Belegschaft. Einen typischen Fall schildert PwC-Experte Steffen Salvenmoser: „Ein Mitarbeiter wird von der Konkurrenz angesprochen, ob er einen neuen, besser bezahlten Job antreten will. Er wird zum Vorstellungsgespräch eingeladen und natürlich ausgefragt, an welchen Projekten er gerade arbeitet, welche Produkte sich gut verkaufen und wer gerade die wichtigsten Kunden sind“, so Salvenmoser. Social Engineering nennt sich diese Technik, bei der durch soziale Kontaktaufnahme und geschickte Gesprächsführung versucht wird, Betriebsgeheimnisse zu entlocken. Nach dem Gespräch ist die Konkurrenz schlauer, der vermeintliche Bewerber bekommt jedoch eine Absage – die freie Stelle gab es im Zweifel nicht einmal.
Salvenmoser empfiehlt deshalb, Mitarbeiter gezielt für solche Situationen zu schulen, damit sie nicht unbewusst zu viel verraten. Dazu gehöre allgemein ein vorsichtigerer Umgang mit Firmeninterna. Für manche Sicherheitsexperten könnte der erste Schritt in die Wirtschaftsspionage eine Bahncard für die erste Klasse sein. Denn in den bequemen Sesseln der Fernzüge vergäßen viele, wer noch alles mithören kann. Im Detail würde dort über Kunden, Preise und Konditionen diskutiert. Diese Informationen könnten jedem Wettbewerber sofort nützlich sein.
Auch für Kai Bussmann wird das Risiko, das von den eigenen Mitarbeitern ausgeht, noch zu wenig in die Sicherheitsüberlegungen einbezogen. Der Fokus der Unternehmen liege falsch. „Die Firmen fürchten sich vor IT-Bespitzelung, dabei ist im überwiegenden Teil der Fälle der Faktor Mensch das Problem“, sagt der Professor für Wirtschaftskriminologie. Ein Beispiel: Ein Unternehmen engagierte erst kürzlich einen Sicherheitsberater, um zu testen, wie gut der Zugang zu sensiblen Daten geschützt ist. Der Tester stellte sich vor die Firmenzentrale und verteilte USB-Sticks mit dem Hinweis, diese kämen von der Geschäftsleitung. Fast die Hälfte aller Mitarbeiter schöpfte keinen Verdacht und steckte den Speicherstick gleich in den Arbeitsrechner. Eine Warnung wies die Unbedarften sofort darauf hin, dass echte Angreifer jetzt bereits Zugang zum System hätten.
Diese „softe“ Industriespionage gehöre mittlerweile zum Alltag, sagt der Wirtschaftskriminologe Kai Bussmann. Allerdings können Firmen auch im normalen Alltagsgeschäft nur schwer ihr ganzes Wissen vor fremdem Zugriff schützen. „Man ist als Unternehmen permanent gezwungen, Wissen zu teilen.“ Sei es durch Joint Ventures im Ausland oder den Einsatz externer Dienstleister. Gerade Deutschland als innovatives Land sei besonders gefährdet. Schützen könne man sich effektiv nur durch Patente und eine stetige Weiterentwicklung der eigenen Technologie.
Wenn die Konkurrenz die Modelle des vergangenen Jahres kopiert, müssten die deutschen Firmen eben schon einen Schritt weiter sein. Die Geheimdienste auszubauen und womöglich mehr Geld in eigene Spionage zu stecken, wie es beispielsweise FDP-Politiker Martin Lindner jüngst forderte, sei deshalb fehlgeleitet. „Wir sollten mehr in Forschung und Entwicklung und Bildung investieren, anstatt zu versuchen, die nächsten 30 Jahre wie eine Glucke auf unserem Wissen zu sitzen“, sagt Kai Bussmann.
Aus ökonomischer Sicht handeln Wirtschaftsspione völlig rational. Schließlich ist nichts teurer als Forschung und Entwicklung. Wenn der gleiche Erfolg statt durch jahrelange Forschung auch durch einen eingeschleusten USB-Stick erreicht werden kann, ist Spionage eine lohnende Geschäftsstrategie.
„Um solche Hochtechnologien herzustellen, sind immense Investitionen in Forschung und Entwicklung erforderlich. Deshalb setzen ausländische Nachrichtendienste den gesamten Werkzeugkasten ihrer Ausspähinstrumente ein, um an sie zu gelangen“, sagte Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz, im Interview mit der WirtschaftsWoche. Besonders betroffen seien Branchen wie Luft- und Raumfahrt oder die Satellitentechnik.
Allerdings hat auch die deutsche Wirtschaft schon mal vom Ausspähen der Konkurrenz profitiert. Zur Zeit der Industrialisierung bauten deutsche Unternehmen die revolutionären britischen Webmaschinen einfach dreist nach. Das Siegel „Made in Germany“ galt damals noch als Warnung und nicht als Gütesiegel. „Alle großen Wirtschaftsnationen waren einmal große Wirtschaftsspione“, sagt der Wirtschaftskriminologe Kai Bussmann. Auf dem globalisierten Markt gebe es nur Wettbewerber, so Bussmann, keine Freunde.
Jan Guldner arbeitet als freier Wirtschaftsjournalist u.a. für Handelsblatt, WirtschaftsWoche, ZEIT Online und ZEIT Campus in Köln.
Internationale Politik 1, Januar/Februar 2014, S. 22-27