Heisses Eisen für KMU – illegal auf Datenfang

von Fabrice Müller

Die heute praktizierte Wirtschaftsspionage ist quasi ein Überbleibsel der Taktik von Nachrichtendiensten.

Gehen Wirtschaftsspionage und Cyber-Angriffe nur die grossen Unternehmen etwas an? Mitnichten – immer häufiger sind auch KMU-Betriebe davon betroffen. Tendenz steigend. Auch Unternehmen in der Region Bern sind alarmiert.

Über 40 Millionen pro Woche. Allein 600 Millionen im vergangenen August. Rund zwölf Milliarden pro Quartal. Nein, das sind keine Umsatz- oder Verkaufswerte. Diese Zahlen stehen für die Anzahl der Cyber-Angriffe, die in letzten Zeit auf die IT-Infrastruktur der Bedag Informatik AG in Bern registriert und abgewehrt wurden. Das Unternehmen ist im Rechenzentrumsbetrieb tätig und unterhält Server-Lösungen für öffentliche Institutionen und Unternehmen. «Wir stellen seit zwei bis drei Jahren einen massiven Anstieg an Eindringungsversuchen fest. Die Bedrohungslage hat sich somit deutlich verschärft – und wir halten dagegen», berichtet CEO Felix Akeret, der sich erst kürzlich an einer internationalen Konferenz über Cyber-Angriffe und Wirtschaftsspionage mit anderen Fachleuten auf C-Level austauschte. Früher seien die Angriffe im Sinne von Wirtschaftsspionage vor allem von staatlichen Geheimdienstorganisationen gesteuert worden. «Heute stehen vermehrt private Akteure dahinter. Die Wirtschaftsspionage ist zu einem ‹Big Business› geworden», sagt Felix Akeret, der über einen langjährigen Background im Bereich «Defence» sowie IT-Sicherheit verfügt.

Immer mehr Fälle landen beim Nachrichtendienst des Bundes (NBD)
Die Verwendung von Informations- und Kommunikationstechnologien, um an Informationen zu gelangen, zu denen man mit herkömmlichen Mitteln keinen Zugang hätte, nahm in den letzten Jahren laut des Nachrichtendienstes des Bundes (NDB) stark zu. Kriminelle, Konkurrenten, Staaten, Terroristen oder unabhängige Gruppierungen verwenden diese Technologien, um in Informatiksysteme einzudringen und sich Zugang zu sensiblen Daten zu verschaffen. Wie Carolina Bohren, stellvertretende Chefin Kommunikation des NDB informiert, erhalte der Nachrichtendienst aufgrund der verstärkten Sensibilisierung für das Thema bei Wirtschaftsinstanzen in den letzten Jahren mehr Rückmeldungen zu Verdachtsfällen als früher. «Auch die Anzahl der Unternehmen, die von Cyber-Spionage betroffen sind, hat in den letzten Jahren stark zugenommen.» Derzeit führt die Universität Bern im Auftrag des NDB eine Studie über Wirtschaftsspionage in der Schweiz durch; die Studie soll voraussichtlich Ende 2019 erscheinen. Der NDB geht im Bereich der Wirtschaftsspionage von einer hohen Dunkelziffer aus: «Spionageversuche werden manchmal nicht erkannt oder nicht gemeldet. Gerade für kleinere Unternehmen ist es oft schwierig, Spionage zu erkennen, weil ihnen nicht selten das Bewusstsein dafür fehlt.» Zudem seien die nötigen Sicherheitsmassnahmen zum Schutz sensibler Daten häufig nicht vorhanden. Wird ein Spionageversuch hingegen erkannt, verzichte manches Unternehmen darauf, den Vorfall den zuständigen Behörden zu melden. Grund: «Es befürchtet eine Offenlegung seines Geschäfts- und Fabrikationsgeheimnisses sowie einen Reputationsverlust», begründet der NDB. 

Lukratives, erfolgreiches Geschäft
Wirtschaftsspionage, und insbesondere Cyber-Angriffe verursachen weltweit einen Schaden von gegen sechs Trillionen US-Dollar. «Die Cyber-­Kriminalität hat sich zu einem lukrativen, erfolgreichen Geschäft entwickelt, das mit dem Aufkommen des Internets seinen Lauf genommen hat», sagt Peter Meier, Mitarbeiter der coprin ag in Effretikon. Das Unternehmen hat sich auf Präventions- und Sicherheitsdienste für Unternehmen spezialisiert. Aus Sicherheitsgründen möchte der Mitarbeiter, der Firmen im In- und Ausland berät, nicht mit seinem richtigen Namen erwähnt werden; er wird deshalb als Peter Meier zitiert. Die heute praktizierte Wirtschaftsspionage sei – so Peter Meier – quasi ein Überbleibsel der Taktik von Nachrichtendiensten, um an Informationen zu gelangen. Im Zentrum stehen Spionageaktivitäten über IT-Technologien, über persönliche Kontakte sowie über Prozesse in den Unternehmen, die ausspioniert werden. 

«Active Interception»
Moderne Computerprogramme und Technologien erlauben es der Wirtschaftsspionage, in fremde IT-Infrastrukturen einzudringen. Peter Meier erwähnt zum Beispiel das Modell «Active Interception»; das Gerät in der Grösse eines Koffers erlaube es, eine bestehende Antenne der Swisscom digital zu kopieren und sich so in andere Kommunikationsgeräte einzuloggen. «Auf diese Weise erhält man Zugriff auf alle Telefon- und Handy-­Daten eines Unternehmens. Auch das ist übrigens eine Technik, die von den Nachrichtendiensten angewandt wird», sagt Peter Meier. Wird das Handy einer Person überwacht beziehungsweise verfolgt, erhalten die Akteure zudem Informationen über das Kommunikationsverhalten und die Aufenthaltsorte der Zielperson. «Auf diese Weise lässt sich ein Profil der Person erstellen, das zeigt, wo sie besonders angreifbar ist, beispielsweise um an Daten zu gelangen», erklärt Peter Meier. 

Der Mensch als Türöffner
Der Faktor Mensch spiele auch in den sozialen Medien eine wichtige Rolle. Wirtschaftsspione verfolgen ihre Zielpersonen in den sozialen Medien, bauen ein Vertrauensverhältnis zu ihnen auf und stellen vordergründig unverdächtige Fragen zur Arbeit. Und schliesslich helfen die Kenntnisse über die Prozesse und Verantwortlichkeiten im Unternehmen, um gezielt an Informationen heranzukommen. «Wer die Prozesse und Kontakte im Unternehmen kennt, für den ist der Betrieb wie ein offenes Buch», warnt Peter Meier. Kenne ein Wirtschaftsspion beispielsweise die Kontakte und Geschäftsbeziehungen von Partnerbetrieben bzw. Zulieferfirmen, sei es für ihn ein Leichtes, einen gefälschten E-Mail-Account dieser Zuliefererfirma zu erstellen und unter dem Namen eines dem Zielunternehmen bekannten Mitarbeiters ein E-Mail mit Malware zu senden. Mit dem Öffnen des Mails wird die Malware aktiviert und liefert ab diesem Zeitpunkt unerkannt sämtliche Ein- und Ausgänge von E-Mails an die kriminellen Akteure. Weitere in der Wirtschaftsspionage üblichen Methoden sind etwa Unternehmensbesuche von ausländischen Delegationen, Angebote von Dienstleistungen an Forschungsunternehmen, die Teilnahme an gemeinsamen Projekten, der Erwerb von Technologien und Unternehmen zur Platzierung neuer Mitarbeitender in sensiblen Bereichen sowie die Abschöpfung ehemaliger Angestellter, die Zugang zu sensiblen Informationen hatten.

Welche Firmen und Branchen sind von Wirtschaftsspionage betroffen? Der NDB nennt verschiedene Gründe, weshalb ein Unternehmen Ziel von Wirtschaftsspionage wird. Interessant seien zum Beispiel Unternehmen, die Güter im Hochtechnologiebereich herstellen und «kritisches» Know-how besitzen. Ebenso kommen Firmen infrage, die weltweit führend einen Nischenmarkt bedienen oder Geschäftsbeziehungen zu sogenannten Risiko­staaten pflegen. Mögliche Gründe dafür, dass ein Unternehmen Opfer von Wirtschaftsspionage wird, können sein, dass es angewandte Forschung betreibt oder seine Güter Exportkontrollen unterliegen. Als eine Medizinaltechnik-Firma in einem stark regulierten Bereich mit strengen Anforderungen an Marktzulassungen sieht Thomas Kutt, Head of Investor Relations der Yposmed Holding AG in Burgdorf, das Unternehmen nicht als vorrangiges Ziel von Wirtschaftsspionage. «Alle technischen Errun­genschaften von Ypsomed sind ausserdem mit Patenten geschützt.» Trotzdem misst das Unternehmen mit rund 1500 Mitarbeitenden der Cyber-­Sicherheit höchste Bedeutung zu. «Wir führen laufend interne Schulungen zur Sensibilisierung der Mitarbeiter durch und erhöhen permanent die internen Anforderungen zur IT-Sicherheit. Wir haben umfassende Systeme und Prozesse im Einsatz und lassen sie auch laufend durch Dritte prüfen», erläutert Thomas Kutt und betont: «Die Cyber-­Sicherheit erhält bei uns auch in Zukunft höchste Aufmerksamkeit.»

Hinweise für Spionagetätigkeiten
Eindeutige Erkennungszeichen einer Wirtschaftsspionagetätigkeit im Unternehmen gebe es keine, sagt der NDB. «Am Anfang liegen meist nur Vermutungen vor. Diesen sollte man aber unbedingt nachgehen und mögliche Beweise sicherstellen.» Folgende Punkte können auf eine Spionagetätigkeit hinweisen: Ein Innentäter kann dadurch auffallen, dass er sich zu ungewöhnlichen Zeiten im Firmengebäude aufhält, eine grosse Menge an Daten auf den USB-Stick kopiert oder Dokumente fotokopiert. Ein Mitarbeiter unterhält private Kontakte zu Angestellten von ausländischen Botschaften oder Konkurrenzunternehmen. Weitere Hinweise sind unerklärliche elektronische Datenabflüsse oder wenn beim Besuch einer Delegation die Anzahl der Delegationsmitglieder viel höher ist als normalerweise üblich. Wenn bei einem Cyber-Angriff beispielsweise eine Ransomware eingesetzt wird, kann dies eine Tarnung für einen gravierenderen Angriff sein. 

Bewusstseinsprozess für KMU
Um sich vor Wirtschaftsspionage und Cyber-Attacken zu schützen, müsse sich ein Unternehmen zuerst einmal bewusst sein, wo die Schwach­­stellen liegen, empfiehlt Peter Meier und spricht von einem Bewusstseinsprozess. Mögliche Schutzmassnahmen sind unter an­derem die Sensibilisierung der Mitarbeitenden für den korrekten Umgang mit Informationen und Daten – unter anderem auch auf Geschäftsreisen im Ausland. Peter Meier empfiehlt deshalb, für heikle Gespräche ein altes Handy zu benutzen, weil dieses mit den modernen Abhörsystemen nicht kompatibel sei. Zu den weiteren Schutzmassnahmen gehören etwa die Regelung und Limitierung der Zugriffsrechte der Mitarbeitenden auf Daten, Akten und Produkte, oder die Segmentierung der IT-Netzwerke, indem etwa das Netzwerk der Forschungsabteilung vom restlichen Firmennetzwerk getrennt ist. Hinzu kommen zum Beispiel Zutrittskontrollen und die ständige Begleitung von externen Besuchern, die Verschlüsselung von Festplatten und E-Mails und die Überprüfung von Lieferanten und Beratern. «Da viele KMU-Betriebe nicht über genügend Ressourcen und Know-how verfügen, um die Sicherheit ihrer Informatiknetzwerke zu gewährleisten und zu überwachen, sind Investitionen in externe Unterstützung empfehlenswert», betont der NDB.

Dreiteiliges Sicherheitskonzept
Die Bedag AG schützt sich auf einer ganzen Anzahl Ebenen vor Wirtschaftsspionage und Cyber-Angriffen. Ein nicht zu vernachlässigender Punkt sei dabei – so Felix Akeret – die Sensibilisierung und Schulung der Mitarbeitenden, um Angriffe über den Faktor Mensch zu unterbinden oder diese so rasch wie möglich zu entdecken und zu eliminieren. Das Sicherheitskonzept werde konsequent und kontinuierlich an die laufende Bedrohungslage angepasst. Wichtig sei dabei auch der Austausch in der IT-­Sicherheits-Community. Die Bedag AG baut derzeit ihre Abteilung im Kampf gegen Cyber-Angriffe weiter aus – zum einen, um sich zu schützen, zum anderen, um die Detektivierung, sprich, die Suche nach Eindringlingen zu verstärken. «Der Einsatz von künstlichen Intelligenzen hilft, den Faktor Mensch zu entlasten und die Sicherheit weiter zu erhöhen», ist Felix Akeret überzeugt. Sein Unternehmen berät auch andere Betriebe im Umgang mit Cyber-Angriffen und profitiert dabei von den eigenen Erfahrungen. Zu Schaden gekommen seien die Bedag AG und deren Kunden aufgrund von Cyber-Angriffen und Wirtschaftsspionage dank der bisher ausgeführten Vorsorgemassnahmen bis heute nicht. Dennoch bezeichnet Felix Akeret den potenziellen Schaden als «sehr hoch» – nicht nur im Hinblick auf den Missbrauch von Daten, sondern auch aufgrund eines Imageschadens, der dadurch entstehen könnte.

Öffentliche Programme gegen Spionage und Cyber-Angriffe
Der Nachrichtendienst des Bundes (NDB) führt seit 2004 unter dem Namen «Prophylax» ein Präventions- und Sensibilisierungsprogramm hinsichtlich der Bedrohung durch Proliferation und Spionage, das an Unternehmen, Hochschulen und Forschungsinstitute gerichtet ist. Im Rahmen von vertraulichen bilateralen Gesprächen soll das Bewusstsein dieser Instanzen für diese Thematiken geschärft werde

Schnelltests und Tools für KMU
Generelle Informationen sowie die Möglichkeiten zur Einschätzung der eigenen Sicherheitsvorkehrungen: 

  • Prophylax: Präventions- und Sensibilisierungsprogramm des Nachrichtendienstes des Bundes (NDB) Unter
    www.ndb.admin.ch / wirtschaftsspionage finden sich zudem der Sensibilisierungsfilm «Im Visier» sowie weitere Dokumente zum Thema Wirtschaftsspionage.
  • Self-Assessment rund um den IKT-Minimalstandard
    mittels Bewertungstool des Bundesamts für wirtschaftliche Landesversorgung (BWL)
  • Cybersecurity-Schnelltest für KMU von ICTSwitzerland

MELANI
In der Melde- und Analysestelle Informationssicherung MELANI des Bundes arbeiten Partner zusammen, welche im Umfeld der Sicherheit von Computersystemen und des Internets sowie des Schutzes der schweizerischen kritischen Infrastrukturen tätig sind. Die Website von MELANI richtet sich an private Computer- und Internetbenutzer sowie an kleinere und mittlere Unternehmen (KMU) der Schweiz. 

www.melani.admin.ch