Die Konkurrenz schläft nicht, sie spioniert

Immer wieder stehen große Konzerne im Blickpunkt, weil sie Opfer eines Hackerangriffs wurden. Gerade erst wurde die britische Fluggesellschaft British Airways (BA) wegen gestohlener Kundendaten zu über 205 Millionen Euro Strafe verurteilt. Doch Datenklau und Spionage kommen nicht nur bei den Großen vor.

Tatsächlich war jedes dritte kleine und mittelständische Unternehmen in Deutschland in der Vergangenheit schon einmal von Wirtschaftsspionage oder Konkurrenzausspähung betroffen. Das ist eines der Ergebnisse des Forschungsprojekts des Max-Planck-Instituts für ausländisches und internationales Strafrecht (MPICC) in Freiburg und des Fraunhofer-Instituts für System- und Innovationsforschung (ISI) in Karlsruhe.

Das Know-how der eigenen Firma gesammelt auf einem USB-Stick? So dürfte der Albtraum manches Geschäftsführers aussehen. „Die Ergebnisse unserer Befragungen zeigen, dass sich kein Unternehmen sicher fühlen kann. Es kann alle Branchen und alle Unternehmensgrößenklassen treffen“, erklärt Dr. Esther Bollhöfer, die am Fraunhofer ISI für das Projekt verantwortlich war. 

Dennoch fehlt es gerade bei den kleinen Unternehmen an Präventionsstrategien: Jedes fünfte Unternehmen mit weniger als 50 Beschäftigten gab an, keine Strategie gegen physische Spionage zu haben, und auch nur wenige mehr verfügen über ein Präventionskonzept gegen Cyberspionage. Erschwerend kommt hinzu, dass sich viele Unternehmen scheuen, bei einem Spionage-Verdacht externe Unterstützung zu nutzen. „Es gibt bislang keine Standard-Vorgehensweise. Es herrscht in den Unternehmen eher große Unsicherheit beim Thema Spionage mit einem doppelten Dunkelfeld“, sagt Werner Heyer vom LKA Baden-Württemberg. 

„Entdecken Unternehmen einen Angriff, führt das nur selten zu einer Anzeige. Sie haben Angst vor den Schlagzeilen und damit vor einem Verlust des Ansehens. Zudem verzichten Firmen auf eine Anzeige, da die Schadenshöhe oft zu gering ist oder sie nicht wissen, wie sie so einen Vorfall bei den Behörden melden. Auf diese Weise bleibt oftmals im Dunkeln, was genau an Daten abgeflossen ist“, erzählt Jan Schäfer in Recht24.

Was können Unternehmen dagegen tun?

Planung ist das A und O. Hierbei helfen Berater. Mazars Deutschland etwa, klassischerweise eine Wirtschaftsprüfungsgesellschaft, hat neben den Rechts- und Steuerfragen längst auch Nachhaltigkeits- und eben auch IT-Aspekte im Portfolio. Deren Experten raten: „Die Sicherheit und Verlässlichkeit der Systeme und Dienste zu gewährleisten sowie die Pflicht eine scheinbar unüberschaubare Vielzahl von externen Anforderungen – IT-Compliance – zu erfüllen, stellt sich als Herausforderung innerhalb der Unternehmensführung und der IT-Governance dar.“

Doch wie sieht eine IT-Governance aus? Als ersten Schritt empfiehlt Mazars, eine IT-Strategie zu entwickeln und diese in eine angemessene IT-Ziel-Landschaft zu überführen. 

Um Kosten und Services zu optimieren ist die Auslagerung von IT-Dienstleistungen mittlerweile eine etablierte Alternative. Der Auslagerungsprozess und die zu treffenden vertraglichen Vereinbarungen sowie die Regelungen des gemeinsamen Betriebes stellen insbesondere für Firmen ohne große Vorerfahrung eine hohe Herausforderung dar.

Hier springt dann Mazars ein: „Wir begleiten unsere Kunden hinsichtlich der Berücksichtigung der regulatorischen und unternehmensinternen Anforderungen bei der Auswahl des Dienstleisters, der Gestaltung der Vereinbarungen, der Migration und Umstellung auf den Normalbetrieb sowie bei der Ausgestaltung und dem Aufbau eines gemeinsamen Betriebsführungskonzeptes, in dem die Verantwortungen, Zuständigkeiten sowie die Kommunikationswege, aber insbesondere auch vorgesehene Kontroll- und Reportingpflichten beschrieben und festgelegt sind.“