"Abschöpfen von Insiderwissen" kostet 20 Milliarden Euro
Betriebsgeheimnisse werden gezielt ausspioniert, weil Unternehmen und Belegschaften nicht ausreichend über das Problem informiert seien, sagt Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für die Sicherheit in der Wirtschaft.
Nana Brink: Kriminelle im Nadelstreifen sind im Visier der Fahnder: In den USA plauderte ein wichtiger Mitarbeiter eines Zulieferbetriebes des Computergiganten Apple die letzten Neuigkeiten aus - und jetzt hat er gestanden. Bekannt wurde dabei, dass der Mann sein Insiderwissen für teures Geld an Börsenspekulanten verkauft hat. Weitergedacht heißt das, Investoren könnten mit diesem Wissensvorsprung abschätzen, wie sich ein Unternehmen und dessen Kurs an der Börse entwickeln, kurz gesagt, Millionengewinne könnten so auf illegale Weise gemacht werden. Was in den USA möglich ist, wird wohl an den deutschen Grenzen nicht Halt machen, und am Telefon ist jetzt Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für die Sicherheit in der Wirtschaft. Guten Morgen, Herr Stoppelkamp!
Berthold Stoppelkamp: Schönen guten Morgen!
Brink: Nehmen wir das Beispiel USA, das ich eingangs erwähnte: Wie stark ist denn die deutsche Wirtschaft von Spionage betroffen?
Stoppelkamp: Die deutsche Wirtschaft ist leider auch in erheblichem Umfang durch Spionage betroffen. Nach wissenschaftlichen Erhebungen ist der Schaden für die deutsche Volkswirtschaft durch ungewollten Know-how-Abfluss auf mindestens 20 Milliarden Euro jährlich zu beziffern.
Brink: Haben Sie konkrete Beispiele?
Stoppelkamp:Beispiele kann man einerseits nennen das Abschöpfen von Insiderwissen durch sogenanntes Social Engineering, das heißt Ansprechen von Wissensträgern mit der festen Absicht, an Betriebsgeheimnisse zu kommen, ohne dass die Leute merken, dass sie ausspioniert werden. Besonders betroffen sind Forschungssektoren im Umweltbereich, wo es derzeit darum geht, im Umwelttechnologiebereich besonders führend zu werden, insbesondere bei den Elektroantrieben und bei der Speicherkapazität von Batterien. Diese dort agierenden Know-how-Träger sind besonders gefährdet, und die müssen sich besonders schützen.
Brink: Das heißt, lässt sich jemand einstellen in einem Betrieb mit der konkreten Absicht, dann sozusagen Spionage auszuüben, oder ist das jemand, der schon im Betrieb ist?
Stoppelkamp: Die meisten Fälle, die bekannt werden – ich betone aber, die Dunkelziffer ist sehr groß –, also die meisten Fälle, die bekannt werden, sind die Fälle, wo Mitarbeiter bereits mehrere Jahre im Unternehmen arbeiten und dann angegangen werden von Konkurrenten oder von ausländischen Nachrichtendiensten, um an das entsprechende Wissen zu kommen.
Brink: Sie haben gesagt, die Dunkelziffer ist sehr hoch, und vorher haben Sie die Zahl von 20 Milliarden genannt. Wie hoch ist denn die Dunkelziffer? Kann man das irgendwie noch ein bisschen einschränken?
Stoppelkamp: Die Dunkelziffer kann man so einschränken, dass von zirka 100 Spionageangriffen überhaupt nur zirka sechs beim Unternehmen als solche erkannt werden, das heißt, in den meisten Fällen gehen Informationen verloren, ohne dass man richtig feststellt, dass es sich um einen Spionageangriff gehandelt hat. Die Dunkelziffer ist leider deshalb so hoch, weil die Mehrzahl der Unternehmen, die bei Studien angeben, dass sie betroffen sind, diese Vorgänge nicht an die staatlichen Behörden, insbesondere das Bundesamt für Verfassungsschutz und die Landesämter für Verfassungsschutz, melden, und dementsprechend diese Vorgänge zwar in Befragungen auftauchen, aber nicht in einer Statistik, und dementsprechend die Sicherheitsbehörden das Problem haben, genau diese Hilfestellung zu geben bezogen auf die aktuellen Probleme.
Brink: Warum ist das so? Herrscht da Misstrauen, oder warum macht man das nicht aktenkundig, warum meldet man das nicht?
Stoppelkamp: Es herrscht einerseits sicher eine große Zurückhaltung, weil man befürchtet, dass viel Staub aufgewirbelt wird, wenn im Detail ermittelt wird, und der zweite Aspekt ist ganz einfach das Fehlen von ausreichenden personellen Ressourcen im Unternehmen, um selbst schon mal gewisse Aufklärungsarbeit durchzuführen. Gerade im mittelständischen Bereich haben wir durchgängig keine Sicherheitsmanager in den Unternehmen, und da ist wirklich das Problem, dass durch die fehlenden Ressourcen ganz einfach man bedauert, da hat es Informationsabflüsse gegeben, aber man das nicht richtig nachforschen lässt.
Brink: Und wie kann man sich dann als Unternehmen schützen, gerade auch als mittelständisches Unternehmen?
Stoppelkamp: Also man sollte auf jeden Fall die kostenfreien Informationsangebote vom Bundesamt für Verfassungsschutz beziehungsweise den Landesämtern für Verfassungsschutz zur Spionageabwehr nutzen. Man sollte durchaus darüber nachdenken, seine Mitarbeiter durch Schulungen, die durch Verbände für Sicherheit in der Wirtschaft angeboten werden, zu sensibilisieren. Und ganz entscheidend ist, dass man überhaupt ein Sicherheitskonzept für sein Unternehmen entwirft. Da reichen durchaus zwei Seiten aus, wo genau festgelegt wird die Verhaltensregeln, insbesondere auch die Festlegung, was als besonders schützenswert gilt. Viele Mitarbeiter haben leider, weil in dem Unternehmen keine Sensibilisierung stattfindet, gar nicht das Gefühl, dass sie jetzt am Telefon beispielsweise oder übers Internet wichtige Betriebsinterna, die andere nichts angehen, kommunizieren, sondern man hat halt das Gefühl, ja, wenn ich das hier im Unternehmen alles weiß, dann darf das im Grunde auch ein Außenstehender wissen. Und da muss man sehr sensibilisieren.
Brink: Sie haben erwähnt, dass das Bundesamt für Verfassungsschutz tätig wird auch im Sinne von Prävention. Was kann denn der Staat noch tun?
Stoppelkamp: Der Staat kann in dem Sinne eigentlich nur mehr tun, indem er auf staatlicher Seite gewonnene Informationen über Bedrohungsszenarien, die den Staat betreffen, die eventuell auch auf die Wirtschaft übertragbar sind, solche Dinge der Wirtschaft entsprechend mitteilt. Das findet statt, aber in dem Themenkomplex ist es ganz einfach so, dass im Grunde leider aus der Wirtschaft zu wenig Informationen an die staatliche Seite fließen. Also da sind wir auch als Wirtschaft gefordert, mehr für Schutzkonzepte zu sorgen.
Brink: Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für die Sicherheit in der Wirtschaft. Schönen Dank für das Gespräch!
Stoppelkamp: Wiederhören!
Die Äußerungen unserer Gesprächspartner geben nicht unbedingt die Meinung der Redaktion wieder
Berthold Stoppelkamp: Schönen guten Morgen!
Brink: Nehmen wir das Beispiel USA, das ich eingangs erwähnte: Wie stark ist denn die deutsche Wirtschaft von Spionage betroffen?
Stoppelkamp: Die deutsche Wirtschaft ist leider auch in erheblichem Umfang durch Spionage betroffen. Nach wissenschaftlichen Erhebungen ist der Schaden für die deutsche Volkswirtschaft durch ungewollten Know-how-Abfluss auf mindestens 20 Milliarden Euro jährlich zu beziffern.
Brink: Haben Sie konkrete Beispiele?
Stoppelkamp:Beispiele kann man einerseits nennen das Abschöpfen von Insiderwissen durch sogenanntes Social Engineering, das heißt Ansprechen von Wissensträgern mit der festen Absicht, an Betriebsgeheimnisse zu kommen, ohne dass die Leute merken, dass sie ausspioniert werden. Besonders betroffen sind Forschungssektoren im Umweltbereich, wo es derzeit darum geht, im Umwelttechnologiebereich besonders führend zu werden, insbesondere bei den Elektroantrieben und bei der Speicherkapazität von Batterien. Diese dort agierenden Know-how-Träger sind besonders gefährdet, und die müssen sich besonders schützen.
Brink: Das heißt, lässt sich jemand einstellen in einem Betrieb mit der konkreten Absicht, dann sozusagen Spionage auszuüben, oder ist das jemand, der schon im Betrieb ist?
Stoppelkamp: Die meisten Fälle, die bekannt werden – ich betone aber, die Dunkelziffer ist sehr groß –, also die meisten Fälle, die bekannt werden, sind die Fälle, wo Mitarbeiter bereits mehrere Jahre im Unternehmen arbeiten und dann angegangen werden von Konkurrenten oder von ausländischen Nachrichtendiensten, um an das entsprechende Wissen zu kommen.
Brink: Sie haben gesagt, die Dunkelziffer ist sehr hoch, und vorher haben Sie die Zahl von 20 Milliarden genannt. Wie hoch ist denn die Dunkelziffer? Kann man das irgendwie noch ein bisschen einschränken?
Stoppelkamp: Die Dunkelziffer kann man so einschränken, dass von zirka 100 Spionageangriffen überhaupt nur zirka sechs beim Unternehmen als solche erkannt werden, das heißt, in den meisten Fällen gehen Informationen verloren, ohne dass man richtig feststellt, dass es sich um einen Spionageangriff gehandelt hat. Die Dunkelziffer ist leider deshalb so hoch, weil die Mehrzahl der Unternehmen, die bei Studien angeben, dass sie betroffen sind, diese Vorgänge nicht an die staatlichen Behörden, insbesondere das Bundesamt für Verfassungsschutz und die Landesämter für Verfassungsschutz, melden, und dementsprechend diese Vorgänge zwar in Befragungen auftauchen, aber nicht in einer Statistik, und dementsprechend die Sicherheitsbehörden das Problem haben, genau diese Hilfestellung zu geben bezogen auf die aktuellen Probleme.
Brink: Warum ist das so? Herrscht da Misstrauen, oder warum macht man das nicht aktenkundig, warum meldet man das nicht?
Stoppelkamp: Es herrscht einerseits sicher eine große Zurückhaltung, weil man befürchtet, dass viel Staub aufgewirbelt wird, wenn im Detail ermittelt wird, und der zweite Aspekt ist ganz einfach das Fehlen von ausreichenden personellen Ressourcen im Unternehmen, um selbst schon mal gewisse Aufklärungsarbeit durchzuführen. Gerade im mittelständischen Bereich haben wir durchgängig keine Sicherheitsmanager in den Unternehmen, und da ist wirklich das Problem, dass durch die fehlenden Ressourcen ganz einfach man bedauert, da hat es Informationsabflüsse gegeben, aber man das nicht richtig nachforschen lässt.
Brink: Und wie kann man sich dann als Unternehmen schützen, gerade auch als mittelständisches Unternehmen?
Stoppelkamp: Also man sollte auf jeden Fall die kostenfreien Informationsangebote vom Bundesamt für Verfassungsschutz beziehungsweise den Landesämtern für Verfassungsschutz zur Spionageabwehr nutzen. Man sollte durchaus darüber nachdenken, seine Mitarbeiter durch Schulungen, die durch Verbände für Sicherheit in der Wirtschaft angeboten werden, zu sensibilisieren. Und ganz entscheidend ist, dass man überhaupt ein Sicherheitskonzept für sein Unternehmen entwirft. Da reichen durchaus zwei Seiten aus, wo genau festgelegt wird die Verhaltensregeln, insbesondere auch die Festlegung, was als besonders schützenswert gilt. Viele Mitarbeiter haben leider, weil in dem Unternehmen keine Sensibilisierung stattfindet, gar nicht das Gefühl, dass sie jetzt am Telefon beispielsweise oder übers Internet wichtige Betriebsinterna, die andere nichts angehen, kommunizieren, sondern man hat halt das Gefühl, ja, wenn ich das hier im Unternehmen alles weiß, dann darf das im Grunde auch ein Außenstehender wissen. Und da muss man sehr sensibilisieren.
Brink: Sie haben erwähnt, dass das Bundesamt für Verfassungsschutz tätig wird auch im Sinne von Prävention. Was kann denn der Staat noch tun?
Stoppelkamp: Der Staat kann in dem Sinne eigentlich nur mehr tun, indem er auf staatlicher Seite gewonnene Informationen über Bedrohungsszenarien, die den Staat betreffen, die eventuell auch auf die Wirtschaft übertragbar sind, solche Dinge der Wirtschaft entsprechend mitteilt. Das findet statt, aber in dem Themenkomplex ist es ganz einfach so, dass im Grunde leider aus der Wirtschaft zu wenig Informationen an die staatliche Seite fließen. Also da sind wir auch als Wirtschaft gefordert, mehr für Schutzkonzepte zu sorgen.
Brink: Berthold Stoppelkamp, Geschäftsführer der Arbeitsgemeinschaft für die Sicherheit in der Wirtschaft. Schönen Dank für das Gespräch!
Stoppelkamp: Wiederhören!
Die Äußerungen unserer Gesprächspartner geben nicht unbedingt die Meinung der Redaktion wieder