ExpertenRat: Wirtschaftsspionage 2.0
Zur Eröffnung der Augsburger Geschäftsstelle des Bayerischen IT-Sicherheitsclusters sprach Prof. Dr. Gordon Thomas Rohrmair, Vizepräsident der Hochschule Augsburg und Wissenschaftlicher Leiter der Regionalgeschäftsstelle des Clusters über Wirtschaftsspionage in Sozialen Netzwerken. Im Interview zeigt Prof. Rohrmair nochmals auf, dass Spionage über das Web gerade den Mittelstand (be-) trifft und wie diesem Risiko begegnet werden kann:
Prof. Dr. Gordon Thomas Rohrmair, Vizepräsident der Hochschule Augsburg und Wissenschaftlicher Leiter des IT-Sicherheitsclusters Augsburg
Herr Prof. Rohrmair, betrifft Wirtschaftsspionage über Soziale Medien primär Großkonzerne oder sollten sich auch mittelständische Unternehmen der Gefahr bewusst sein, über Facebook & Co. ausspioniert zu werden?
Auch kleine und mittelständische Unternehmen sollten hier eine Sensibilität entwickeln. Industriespionage via Internet betrifft insbesondere innovationsstarke Unternehmen - ganz unabhängig von der Betriebsgröße. Die sozialen Netzwerke sind dazu da, Kontakte zu anderen Menschen aufzubauen. Wenn es einem Industriespion gelingt, einen solchen Kontakt zu einem Mitarbeiter einer Firma aufzubauen, kann er darüber Firmeninterna ausspionieren.
Wie verfahren die Angreifer, um an vertrauliche Informationen zu gelangen?
Wirtschaftsspione treten heutzutage mittels „TargetedAttacks“ gezielt an Informationsträger im Unternehmen heran. Die Angreifer sammeln auf Social Media Plattformen oder Firmenseiten Informationen über Mitarbeiter. Anhand von Qualifikationen oder Beiträgen in Foren erkennen Industriespione in welcher Abteilung eine Person arbeitet, mit welchen Aufgaben sie betraut ist oder z.B. welche IT Systeme benutzt werden. Angreifer versenden dann beispielsweise Freundschaftsanfragen an Betriebsangehörige. Oft genug werden solche Anfragen angenommen, auch wenn die Absender im „echten Leben“ unbekannt sind. Dann unterhält man sich ein bisschen im Chat oder man schickt sich Nachrichten. Und irgendwann ist bei einer solchen Nachricht eine Datei dabei. Wenn der Nutzer die anklickt, wird ein Programm installiert, mit dem der Spion Zugriff auf den Firmenrechner hat und damit auch auf geheime Dokumente. Dabei sind nicht nur Mitarbeiter gefährdet, die mit sicherheitsrelevanten Informationen zu tun haben, denn selbst wenn ein Unternehmen seine Mitarbeiter schützt, könnten ja Angehörige, etwa Ehegatten oder Kinder,Informationen weitergeben.
Konzerne wie Porsche haben reagiert und Sicherheitsmaßnahmen gegen Angriffe von außen ergriffen. Genügt das Ihrer Ansicht nach oder ist die Sicherheitslücke oft auch in den eigenen Reihen, im Unternehmen, zu suchen?
Sogenannte „Insider Angriffe“ sind natürlich ein Problem, dem es schwer ist bei zu kommen. Dabei ist es gar nicht immer der Fall, dass ein Mitarbeiter absichtlich einen IT Angriff gegen die eigene Firma ausführt. So kann z.B. ein unbedachtes neukonfigurieren von IT Systemen Schwachstellen öffnen.
Wie kann sich ein Unternehmen gegen diese Form der Wirtschaftsspionage schützen?
Im Prinzip gibt es keinen richtigen Schutz. Man kann nur aufklären. Es kann keine technische Verteidigung gegen solche Angriffe geben, da es hier ja um soziales Vertrauen geht. Die Spione verwenden zum Teil sogar Anwendungen, die die Profile von Kindern oder Verwandten fälschen. Da schöpft der Mitarbeiter natürlich keinen Verdacht. Im Grunde hilft da nur ein offenes Ansprechen der Probleme. Darum sind Awareness Programme im Bereich IT Sicherheit auch so wichtig. Um Hilfe bei dieser Fragestellung zu bekommen haben wir unter anderem den IT-Sicherheits-Cluster Bayern. Doch auch staatliche Institutionen wie der Wirtschaftsschutz, beraten entgeltlos Unternehmen bei der Sicherung Ihrer wichtigsten Daten. Außerdem können sich die Unternehmen durch das Aufstellen einiger wichtigerRegeln für den Umgang mit Social Media so positionieren, dass zumindest die gravierendsten Risiken überschaubar werden, z.B. müssen als geheim eingestufte Informationen geheim bleiben und dürfen nicht in sozialen Netzen oder Foren veröffentlicht oder Angestellte sollten für soziale Netze nicht die gleichen Passwörter verwenden wie in ihren Firmenzugängen.
Sie sind auch im IT-Sicherheitscluster aktiv. An welche Unternehmen richtet sich das Netzwerk und was ist die Zielsetzung der Augsburger Geschäftsstelle im aiti-Park?
Der IT-Sicherheits-Cluster richtet sich an alle interessierten Unternehmen. Jedes Unternehmen kann also beitreten. Der Grundgedanke des Clusters ist es, eine Plattform zu etablieren auf der sich Unternehmen treffen können und zusammen Lösungen für Ihre IT Sicherheitsprobleme erarbeiten. Ferner wird es in Augsburg einen neuen Schwerpunkt geben, der sich mit IT Sicherheit in der Industrieautomatisierung beschäftigt.
Wie stehen Sie zum Thema Facebook & Co. in Unternehmen? Sehen Sie Social Media als Chance oder Risiko für den unternehmerischen Erfolg?
Prinzipiell sind solche Netze schon etwas Gutes und im Rahmen eines modernen Marketings auch nicht mehr weg zu denken - aber wie bei jeder neuen Technologie gibt es auch hier Personen, die damit Unfug treiben – manche aus reiner Langeweile, manche um Profit zu machen.
Mehr zum IT-Sicherheitscluster am 23. November bei der Kooperationsveranstaltung Mobile Security: "Angriffsszenarien auf mobile Dienste - Organisatorische und technische Sicherheitskonzepte für mobile IT-Systeme" oder direkt hier und unter www.it-sicherheit-bayern.de
