Interview: Harald Hornacek
In einer Umfrage zur Wirtschafts- und Industriespionage in österreichischen Unternehmen gaben 5,1 Prozent der Betriebe an, dass sie in den letzten fünf Jahren mindestens einmal Opfer von Angriffen geworden seien. Nun ist diese Studie bereits vier Jahre alt, die technologischen Möglichkeiten haben sich rasant entwickelt – wie ist der Status heute?
Generell ist Industrie- und Wirtschaftsspionage ein Thema, das große volkswirtschaftliche Auswirkungen haben kann. Wir unterschieden dabei zwei große Bereiche: Jene der Unternehmen, wenn es um den Diebstahl oder die unrechtmäßige Erwerbung von Kundenkarteien, Forschungsergebnissen oder den Diebstahl von Patenten und Technologien geht und somit ein Entwicklungsvorsprung verloren gehen kann. Dabei handelt es sich meist um Konkurrenzspionage Die zweite Dimension, also Wirtschafts- und Industriespionage, ist jene, dass ein Land seine Situation gegenüber einem oder mehreren anderen Ländern verbessern will. Da sind wir im Feld der Nachrichtendienste, die aber auch versuchen können – und das auch tun – für ihr Land Wirtschaftskenntnisse zu erwerben oder auch andere Länder zu schwächen, indem sie Einfluss auf Produktentwicklungen nehmen oder auch Falschinformationen einschleusen. Es geht gerade bei Industrie- und Wirtschaftsspionage daher auch immer darum, das große Ganze zu betrachten. Wie Sie eingangs sagten, haben sich die Möglichkeiten zur Spionage durch das Internet massiv verändert. Die elektronische Ausspähung ist daher etwas, das Unternehmen extrem fordert. Vor allem deshalb, da Angriffe nicht mehr von Leuten verübt werden müssen, die physisch vor Ort sind: Man braucht nicht in einen Serverraum einzubrechen, um an Firmendaten zu gelangen. Das lässt sich heute technisch von jedem Punkt der Welt aus erledigen. Es gibt spezielle „Angriffsdienstleistungen“, wenn also Top-Spezialisten im Auftrag eines konkurrierenden Unternehmens oder aus politischen Gründen sich in Unternehmensnetzwerke hacken.
Wissen die Unternehmen eigentlich, in welcher Gefahr sie sich täglich befinden?
Auch wenn das Bewusstsein steigt, sind sich Unternehmen vieler Gefahren noch nicht bewusst. Das ist ein großes Problem. So läuft man eigentlich auf jeder Dienstreise Gefahr, dass versucht wird, über das Firmenequipment – Handy, Tablet, Laptop – auf Firmennetzwerke zuzugreifen oder die Devices zu „verseuchen“, damit nachträglich Zugang in die Netzwerke gefunden wird. Die Eindringlinge bewegen sich zunächst unauffällig. Wenn man sie bemerkt, ist es meist zu spät.
Wer sind aus Ihrer Erfahrung die größten Gefahrenquellen für Angriffe?
Hinter jedem Angriff stehen Menschen. Und die größte Gefahr geht nach wie vor vom Mitarbeiter aus. Das muss nicht zwangsläufig mit krimineller Energie einhergehen. Oft sind es Lebensumstände, die Menschen anfällig machen – eine Krankheit, Probleme im Zusammenleben, Ärger oder Frustration über den Arbeitgeber. Dann bieten sich „Retter in der Not“ an und rufen später eine Gegenleistung ab. So werden Krisensituationen betrügerisch ausgenützt.
Was können Unternehmen dagegen tun?
Einfach gesagt: Unternehmen sollten darauf achten, wie es ihren Mitarbeitern geht. Sind sie kurz vor dem Burn-out, haben sie Probleme, verhalten sie sich abteilungsintern vielleicht auffällig? Besteht die Gefahr aufgrund einer Lebenssituation, dass Abhängigkeitsverhältnisse entstehen könnten? Sind Schlüsselkräfte abwanderungswillig? Wie gesagt, Geheimnisse werden oft nicht böswillig, sondern aus einer Notlage heraus weitergegeben.
Es ist sicherlich schwierig, hier die Grenze zu ziehen: Wie soll ein Unternehmen entscheiden, wer eine Gefahrenquelle darstellen könnte, ohne Persönlichkeitsrechte zu verletzen?
Jedes Unternehmen sollte wissen, wer die Menschen im Betrieb sind, die Zugang zu Unternehmenswissen und relevanten –daten haben. Diese Mitarbeiter sollten auch entsprechend im Unternehmen unterstützt werden bzw. ihnen klare Kompetenzen zugeordnet werden. Der größte Schaden wird durch unzufriedene Insider verursacht, die das Unternehmen verlassen wollen und dann Firmendaten mitnehmen oder großen Kunden oder auch der Konkurrenz zur Verfügung stellen. Hier lassen sich sehr wohl Schutzmechanismen im Betrieb aufbauen, die nicht in die direkten Persönlichkeitsrechte eingreifen, aber das Unternehmen vor Schaden bewahren können.
Mehr als 70 Prozent der in der Studie befragten, von Spionage betroffenen Unternehmen haben angegeben, unternehmenskritische Folgeschäden erlitten zu haben. Aber ist es denn nicht selbstverständlich, dass ein Betrieb sein Know-how ausreichend schützt?
Das ist leider keine Selbstverständlichkeit. Oftmals wissen Unternehmen auch nicht, was wirklich schützenswertes Wissen im Betrieb ist. Je kleiner Firmen sind, umso mehr Menschen sind in alles Mögliche eingeweiht. Für solche Unternehmen kann die Weitergabe von Kompetenzen existenzgefährdet sein. Eine Möglichkeit ist, Spezialwissen gezielt zu verteilen. Man muss sich im Klaren sein: Sicherheit ist teuer und sie macht langsam. Aber sie ist nötig. Jedes Unternehmen sollte alles daran setzen, eine klare Schutzstrategie zu haben. Das heißt zunächst, das schützenswerte Wissen zu definieren. Dann zu prüfen, wer Zugang haben sollte oder haben muss zu diesem Wissen. Zudem braucht es klare Sicherheitsschranken bzw. –überprüfungen jener Menschen, die Zugriff auf Know-how haben. Jedes Unternehmen muss sich personell, strukturell, physisch, elektronisch und regulatorisch absichern. Wenn Firmengeheimnisse dann doch entwendet werden, kann man dem Unternehmen dann zumindest keine Nachlässigkeit vorwerfen. Das kann im Fall einer strafrechtlichen Verfolgung von größter Wichtigkeit sein.
Welche Rolle spielt in diesem Umfeld das BVT?
Es ist auch unsere Aufgabe als BVT, den Wirtschaftsstandort zu schützen. Deshalb engagieren wir uns intensiv in Prävention, Beratung und Sensibilisierung. Wir arbeiten mit Verbänden zusammen, wir organisieren Vorträge, wir stehen für Beratungsgespräche zur Verfügung. Das ist deshalb so wichtig, weil die Schäden, die durch Wirtschafts- und Industriespionage entstehen, von ein paar tausend Euro bis zu hunderten Millionen Euro reichen können. In manchen Fällen wird das Unternehmen in seiner Existenz gefährdet.
An wen soll sich ein Betrieb eigentlich als erstes wenden, wenn ein Verdacht besteht? An die Polizei oder gleich an das BVT?
Der erste Ansprechpartner für ein Unternehmen ist in der Regel nicht die Polizei, sondern eine Institution wie eine Rechtsanwaltskanzlei, Steuerberater oder auch eine Detektei. Die Polizei wird zumeist später hinzugezogen. Das hat den Vorteil, dass betroffene Unternehmen besser vorbereitet sind und wissen, was sie gegenüber der Behörde bekannt geben möchten. Sie können so in gewisser Weise die Causa besser steuern. Die Polizei als Behörde muss einen Bericht abliefern. Wir sind als BVT Teil des Innenministeriums und somit dem amtlichen Vorgehen verpflichtet. Das heißt, dass wir als Sicherheitsbehörde im Falle eines Offizialdeliktes die Staatsanwaltschaft informieren müssen. Meist handelt es sich bei den in Frage kommenden Delikten um Antrags- oder Ermächtigungsdelikte die dem Geschädigten in jedem Stadium der Ermittlung Einflussmöglichkeiten bieten – z. B. durch Nichterteilen oder Zurückziehen einer Ermächtigung oder dem Nichtstellen eines Antrags. Auch der Staatsanwalt hat Möglichkeiten Firmeninteressen zu berücksichtigen und kann ungewollten Informationsabfluss während des Ermittlungsverfahrens vorbeugen. Sollte es in weiterer Folge zur Anklage und zu einer Verhandlung kommen, ist diese zwar öffentlich aber auch der Richter kann zum Schutz von Geschäftsgeheimnissen die Öffentlichkeit in bestimmten Fällen ausschließen. Dies ist allerdings in der Verhandlung zu beantragen. In diesem späten Stadium droht allerdings ein Imageschaden und deshalb scheuen sich auch viele Firmen, im Fall einer Spionage-Attacke zu Gericht zu gehen.
Wo liegt Österreich im internationalen Vergleich? Sind unsere Unternehmen besonders gefährdet?
Österreich ist weder im positiven wie im negativen Sinne eine Ausnahme. Die Problematik zieht sich durch alle Länder in allen Regionen dieser Welt. Die Bedrohung ist permanent vorhanden, und das durchaus in großer Breite. Sie muss aber nicht schlagend werden. Die Anzeigestatistik läuft interessanterweise nicht parallel zu den Erkenntnissen der jüngsten Umfrage. Ich denke, Unternehmen haben große Angst vor Reputationsverlusten und vor Imageschäden. Daher entsteht auch bei vielen Vorfällen in letzter Konsequenz und auf Wunsch des betroffenen Unternehmens kein Antrag auf Verfolgung durch die Strafbehörden. In der von Ihnen zitierten Studie kommt zum Ausdruck, dass lediglich ein Viertel der betroffenen Unternehmen die Behörden nach einem Angriff eingebunden hat. Als häufigster Grund werden hier Beweisprobleme genannt.
Kontakt zum BVT für Fragen rund um Prävention oder zur Erstaufnahme im Verdachtsfall: wis@bvt.gv.at