Das geistige Eigentum Ihres Unternehmens ist unter Umständen wertvoller als seine physischen Güter. Finden Sie heraus, ob Sie Ihre Intellectual Properties richtig schützen. [...]
Öffentlichkeitsarbeit: Im Zuge des Technologie-Booms wurde ein bestimmter US-Linienflug, der jeden Morgen von Austin, Texas nach San Jose, Kalifornien ging, als „The Nerd Bird“ bekannt. Schließlich karrte der Flieger regelmäßig IT-Geschäftsleute von einem US-High-Tech-Zentrum zum anderen. Nebenbei wurden Flüge wie dieser für Spione und Diebe zur willkommenen Gelegenheit, Informationen abzugreifen. Die Möglichkeiten sind vielfältig: Mitgehörte Unterhaltungen, ein verstohlener Blick auf die Powerpoint-Präsentation oder die Excel-Tabelle des Sitznachbarn.
Jeder öffentliche Platz, an dem sich Ihre Mitarbeiter auf einer Dienstreise aufhalten können, ist auch den Cyberkriminellen zugänglich: Flughäfen, Cafes und Restaurants, Bars und insbesondere Messen und Events. Dabei kommen auch andere Szenarien in Betracht: Mitarbeiter von Konkurrenten könnten sich zu solchen Gelegenheiten als potenzielle Kunden ausgeben, um an wertvolle Informationen zu kommen. Ihre Mitarbeiter sollten sich deshalb immer darüber bewusst sein, welche Informationen sie – insbesondere bei öffentlichen Auftritten – herausgeben können und welche nicht. Dazu sollten Sie unbedingt die Zusammenarbeit mit dem Marketing Team fördern.
Video: Watch this hacker break into a company
Eine weitere potenzielle Schwachstelle: Bewerbungsgespräche. Besonders verzweifelte Wettbewerber könnten das Risiko eingehen und eigene Mitarbeiter als Bewerber einschleusen oder externe Auftraggeber anheuern, um das zu tun. Möglich ist auch, dass Konkurrenz-Unternehmen Ihre Mitarbeiter zum Job Interview einladen – alleine mit dem Hintergedanken, interne Informationen zu „erbeuten“.
Vollendung: Einige Aspekte zum Schutz von geistigem Eigentum sind relativ einfach zu bewerkstelligen. In Deutschland wird Wirtschaftsspionage auf Bundesebene vom Verfassungsschutz (VS) verfolgt, auf Landesebene sind die jeweiligen VS-Landesämter zuständig. Auch das Bundesamt für Sicherheit in der Informationstechnik beschäftigt ein Spionageabwehrteam. Zusätzlich können Geheimhaltungsverträge das Schutzniveau Ihrer Intellectual Properties erhöhen. So richtig kompliziert wird es aber erst, wenn es darum geht Ihren Mitarbeiter zu verdeutlichen, wie vermeintlich nutzlose Informationen miteinander kombiniert werden können, um ein nützliches Informations-Portfolio zu erstellen. Und wie eine simple Telefonliste in den Händen von Leuten wie John Nolan zur Waffe werden kann.
Folgende Situation: Nolan hatte einmal einen Kunden, der ihn damit beauftragt hatte, Informationen darüber zu beschaffen, ob ein bestimmter Konkurrent an einer bestimmten Technologie arbeitet. Bei seinen Recherchen fand Nolan heraus, dass neun oder zehn Menschen, zu diesem Spezialgebiet regelmäßig publiziert hatten, seit sie zusammen studiert hatten. Plötzlich hatten allesamt damit aufgehört. Einige Recherchen später wusste Nolan, dass sie alle in eine bestimmte Gegend gezogen waren und für dasselbe Unternehmen tätig sind.
Zwar wurde so kein Geschäftsgeheimnis oder strategisch wichtige Informationen offengelegt, aber Nolan konnte die Puzzleteile einfach zusammensetzen. Er telefonierte mit den betreffenden Personen, besuchte Konferenzen, auf denen sie sprachen und fragte sie nach den Events ganz gezielt danach, warum sie nicht länger über dieses eine Spezialgebiet schrieben und sprachen. Letztendlich konnte Nolan – und sein Auftraggeber – aus den gewonnenen Informationen ziemlich gut extrahieren, wann der Konkurrent mit seiner Technologie auf den Markt kommen würde. Nach Nolans Aussage habe das seinem Kunden gut zwei Jahre Vorsprung gegenüber den Plänen der Konkurrenz verschafft.
Grauzonen: Andere Länder, andere Sitten. In manchen Gegenden der Welt sind Abhör-Equipment, Bestechungen, Diebstahl und Erpressung an der Tagesordnung. Bill Boni, Security-VP bei T-Mobile USA, hat bei einem Finanzinstitut in Südamerika Dinge erlebt, die in unseren Breitengraden unvorstellbar wären. Nachdem die Entscheider der Bank den Verdacht hatten, dass sie bespitzelt werden, engagierten sie kurzerhand Security-Berater, die die Geschäftsräume von Wanzen befreien sollten. Als das Datenleck so nicht geschlossen werden konnte, wurde ein neues Team beauftragt. „Dabei wurden 27 verschiedene Abhörgeräte entdeckt“, so Boni. „Die gesamte Vorstandsebene wurde abgehört und heimlich gefilmt. Das erste Team, dass die Wanzen finden sollte, hat diese wahrscheinlich erst installiert.“
Manchmal wird Industriespionage auch von Regierungen oder Regierungsinstitutionen gefördert oder gar in Auftrag gegeben. Dahinter kann beispielsweise die Motivation stecken, lokalen Unternehmen gegenüber der Konkurrenz aus anderen Ländern einen Vorteil verschaffen zu wollen. Deswegen gibt es auch kein einheitliches Set von Guidelines zum Schutz von Intellectual Property, das überall auf der Welt funktioniert. Es ist der Job des CSOs, die Risiken für die Länder, in denen sein Unternehmen Geschäfte macht, abzuschätzen und entsprechend zu handeln. Dazu gehören auch die immer gleichen Prozesse wie der Hinweis auf ausreichend geschützte Endgeräte. Dabei ist es wichtig zu wissen, dass einige Länder weitergehende Vorsichtsmaßnahmen erfordern, als andere. Vorstände, die nach Pakistan reisen, sollten beispielsweise ein Pseudonym für Buchungen nutzen, ihr Hotelzimmer auf Wanzen untersuchen lassen oder sogar eigene Security-Leute zum Schutz wichtiger Dokumente oder Informationen anheuern.
Internet of Things: Eine der verwundbarsten Umgebungen überhaupt stellt die Healthcare-Industrie dar. In vielen Krankenhäusern können an einem einzelnen Bett inzwischen durchschnittlich bis zu 15 Internet of Things (IoT)-fähige, medizinische Geräte hängen – wovon etwa die Hälfte über das Internet kommuniziert. Und kriminelle Hacker haben längst begriffen, dass geschützte Patienteninformationen sehr viel wertvoller sind, als „gewöhnliche“, persönliche Daten.
Diese IoT-Geräte schaffen ein neues Einfallstor für Hacker im Netzwerk der Kliniken. Sollten Cyberkriminelle sich Zugriff auf medizinische Geräte verschaffen, die lebenswichtige Funktionen überwachen, könnte das Leben von Patienten auf dem Spiel stehen.
Die meisten Experten sind sich inzwischen einig, dass die Hersteller der IoT-Devices diese viel zu schnell auf den Markt geworfen haben – ohne darüber nachzudenken, wie man diese gegen Angriffe von außen absichert. Nur einige der Probleme: Die Prozessoren in den Geräten sind in der Regel zu schwach für Intrusion-Detection-Systeme und nur wenige Geräte sind überhaupt updatefähig. Inzwischen arbeiten viele Hersteller auch an automatischen Update-Prozessen, da die meisten Verbraucher eben so wenig Wert auf Updates legen.
In der Praxis würden solche lebensbedrohlichen Hacks meist daran scheitern, dass die Angreifer (geografisch) nicht nah genug am Geschehen sind, um das schwächste Glied in der Kette – den Endpunkt – anzugreifen. Dennoch sollten Unternehmen und Institutionen alles daran setzen, eine ganzheitliche IT Sicherheitsstrategie zu entwickeln, um alle potenziellen Angriffspunkte abzusichern.
Netzwerk-Nomadentum: R.P. Eddy, CEO beim Beratungsunternehmen Ergo, empfiehlt seinen Kunden grundsätzlich, eine Auditierung ihres geistigen Eigentums vornehmen zu lassen: „Nur so können Sie sehen, wie gut geschützt Ihr geistiges Eigentum wirklich ist. Wenn ein Leak die Daten nach China, Russland oder zu einem Konkurrenten hat fließen lassen, kann das erhebliche Auswirkungen haben – etwa bei Übernahmen und Fusionen.“ Bis zum Deal zwischen Verizon und Yahoo nahm kaum ein Kunde dieses Angebot in Anspruch. Nachdem die Kompromittierung von 500 Millionen User Accounts der Reputation von Yahoo nachhaltigen Schaden zugefügt hatte, musste der Übernahme-Preis „restrukturiert“ werden. Die Angreifer hatten sich über Monate unbemerkt im Netzwerk von Yahoo ausgetobt.
Dieser Artikel basiert auf einem Beitrag der US-Publikation CSO Online.
*Alyson Behr ist Autorin und freie Redakteurin und schreibt für verschiedene Tech-Publikationen und Florian Maier beschäftigt sich mit dem Themenbereich IT-Security
Be the first to comment