Risiken durch Industriespionage

Ein Groß­teil der Unter­neh­men des Ver­ar­bei­ten­des Gewer­be ergreift zu wenig Schutz­maß­nah­men gegen Wirt­schafts­spio­na­ge und Kon­kur­renz­aus­spä­hung – obwohl Betrie­be aller Bran­chen poten­zi­ell bedroht sind. Zu die­ser Ein­schät­zung kommt das Fraun­ho­fer ISI in sei­ner neu­en Mit­tei­lung aus der Erhe­bung Moder­ni­sie­rung der Pro­duk­ti­on.

Wirt­schafts­spio­na­ge und Kon­kur­renz­aus­spä­hung sind eine gro­ße Bedro­hung – auch für klei­ne und mit­tel­stän­di­sche Unter­neh­men (KMU) des Ver­ar­bei­ten­den Gewer­bes. Mit der Digi­ta­li­sie­rung ist die Men­ge an digi­tal ver­füg­ba­ren Infor­ma­tio­nen gestie­gen, zudem haben sich die Kom­mu­ni­ka­ti­ons­pro­zes­se ver­viel­fäl­tigt: Auch Maschi­nen und Anla­gen sind zuneh­mend in offe­ne Net­ze ein­ge­bun­den. Fin­den Angrei­fer ein Leck, kön­nen sie Infor­ma­tio­nen in fast belie­bi­ger Detail­tie­fe direkt über die Pro­duk­ti­ons­sys­te­me bezie­hungs­wei­se die Anla­gen­steue­run­gen abru­fen. Eine Schwach­stel­le kann ein Unter­neh­men rui­nie­ren – wenn bei­spiels­wei­se Wett­be­wer­ber nach einer erfolg­rei­chen Aus­spä­hung das glei­che Pro­dukt oder die glei­che Dienst­leis­tung schnel­ler und güns­ti­ger auf den Markt brin­gen.

Um her­aus­zu­fin­den, wel­che Erfah­run­gen Indus­trie­be­trie­be gemacht haben und wie sie sich schüt­zen, hat das Fraun­ho­fer-Insti­tut für Sys­tem- und Inno­va­ti­ons­for­schung ISI im Rah­men des Pro­jekts WiS­KoS Daten der Erhe­bung Moder­ni­sie­rung der Pro­duk­ti­on aus­ge­wer­tet. Die­se Erhe­bung wird alle drei Jah­re durch­ge­führt und umfasst Anga­ben von 1.300 Pro­duk­ti­ons­be­trie­ben. Die jetzt erschie­ne­ne Mit­tei­lung „Spio­ne in der Pro­duk­ti­on. Unter­schätz­te Risi­ken füh­ren zu unzu­rei­chen­dem Schutz“ zeigt, dass alle Bran­chen des Ver­ar­bei­ten­den Gewer­bes betrof­fen sind, gleich­zei­tig aber vie­le Betrie­be kei­ne aus­rei­chen­den Schutz­maß­nah­men imple­men­tiert haben.

Vor allem Elektronik- und Elektroindustrie sind betroffen

Die Fra­ge nach Vor­fäl­len oder kon­kre­ten Ver­dachts­fäl­len zur Wirt­schafts­spio­na­ge und Kon­kur­renz­aus­spä­hung in den ver­gan­ge­nen fünf Jah­ren bejah­ten im Durch­schnitt elf Pro­zent der Betrie­be. Beson­ders betrof­fen sind die Elek­tro­nik-/Elek­tro­in­dus­trie mit fast 21 Pro­zent an betrof­fe­nen Betrie­ben, gefolgt vom Maschi­nen­bau und der Che­mie /Pharmaindustrie (bei­de jeweils 16 Pro­zent). Aber auch die ande­ren Bran­chen sind gefähr­det: Im Schnitt hat­ten acht Pro­zent der Betrie­be in den weni­ger betrof­fe­nen Bran­chen einen Vor­fall oder kon­kre­ten Ver­dachts­fall zu ver­zeich­nen.

Ein wich­ti­ger Fak­tor für eine Gefähr­dung ist die inter­na­tio­na­le Ver­flech­tung eines Betriebs: Unter­neh­men mit einer Pro­duk­ti­ons­stät­te im Aus­land berich­ten mit einem Anteil von 17 Pro­zent häu­fi­ger von Vor­fäl­len bezie­hungs­wei­se Ver­dachts­fäl­len als sol­che ohne einen Aus­lands­be­zug (10 Pro­zent). Eben­so mel­det jedes fünf­te Unter­neh­men mit einer For­schungs- und Ent­wick­lungs­ab­tei­lung im Aus­land min­des­tens einen Vor­fall oder Ver­dachts­fall. Bei Unter­neh­men, die nur im Inland for­schen, liegt der Anteil bei 11 Pro­zent, auch sie sind also Gefah­ren aus­ge­setzt.

Beschäftigte müssen stärker eingebunden werden

Trotz des Risi­kos ver­fü­gen vie­le Betrie­be nicht über rele­van­te Schutz­maß­nah­men gegen Wirt­schafts­spio­na­ge und Kon­kur­renz­aus­spä­hung:

  • Nur drei Vier­tel der Pro­dukt­in­no­va­to­ren und zwei Drit­tel der ande­ren Indus­trie­be­trie­be beschrän­ken den Zugang zum Betriebs­ge­län­de.
  • Fast eben­so vie­le Betrie­be haben Sicher­heits­vor­schrif­ten gegen uner­laub­ten Infor­ma­ti­ons­ab­fluss.
  • Nur zwei Drit­tel der Pro­dukt­in­no­va­to­ren und die Hälf­te aller ande­ren Betrie­be haben spe­zi­el­le IT-Sicher­heits­maß­nah­men.
  • Im Hin­blick auf die Schu­lung und Sen­si­bi­li­sie­rung von Beschäf­tig­ten bie­ten durch­schnitt­lich nur zwei von fünf Unter­neh­men den Beschäf­tig­ten ent­spre­chen­de Maß­nah­men an.

Knapp die Hälf­te aller Indus­trie­be­trie­be haben kei­ne oder zu weni­ge IT-Sicher­heits­maß­nah­men umge­setzt. Zudem wer­den die Beschäf­tig­ten, die oft Zugriff auf sen­si­ble Infor­ma­tio­nen haben, nicht in die Schutz­maß­nah­men ein­ge­bun­den. Dabei wäre vor allem letz­te­res ent­schei­dend: Die Erhe­bung hat gezeigt, dass bei gut der Hälf­te der betrof­fe­nen Betrie­be auch betriebs­in­ter­ne Per­so­nen an der Aus­spä­hung betei­ligt waren. Dies geschah nicht immer mit böser Absicht, son­dern auch durch Unvor­sich­tig­keit, Fahr­läs­sig­keit und Unwis­sen. Typi­sche Bei­spie­le sind das Öff­nen kri­ti­scher E-Mails (67 Pro­zent der Angrif­fe) und unge­nü­gend gesi­cher­te Smart­pho­nes oder Tablets (28 Pro­zent).