Sicherheit versus Spionage und Datenklau. Wie real sind die Gefahren der Wirtschaftskriminalität für den Mittelstand in Deutschland? Ein Gastbeitrag von Friedrich P. Kötter

Man liest es immer wieder in den Medien: Vor allem mittelständische Unternehmen sind vom unerlaubten „Schulterblick“ Dritter in die Unternehmensgeheimnisse und von Hacker-Attacken betroffen. Jüngste Schätzungen zu den durch Wirtschaftsspionage verursachten Schäden für die deutsche Wirtschaft variieren aufgrund der hohen Dunkelziffer zwischen 50 Milliarden[1] und 100 Milliarden Euro pro Jahr.[2] Und wenn man die Statistiken im Bereich Datensicherheit betrachtet, dann kommt man ebenfalls aus dem Staunen nicht mehr heraus: Die Anzahl der bspw. an eine der führenden Anti-Hacker-Communities gemeldeten Ereig­nisse in der Kategorie „in den letzten 24 Stunden“ zeigt 443.552 und in der Kategorie „in den letzten 30 Tagen“ stolze 12.824.759 wichtige gemeldete Vorfälle an.

Die Bundesregierung, der Bundesverband der Deutschen Industrie (BDI) und der Deutsche Industrie- und Handelskammertag (DIHK) scheinen das Problem nun ernst zu nehmen und haben die Erarbeitung eines nationalen Schutzkonzepts gegen Wirtschaftsspionage beschlossen. Ziel der drei Partner ist es, eine nationale Wirtschaftsschutzstrategie auszuarbeiten, bei der insbesondere mittelständische Unternehmen stärker für Sicherheitsfragen sensibilisiert werden sollen. Die massiven Versuche, empfindliche Daten aus deutschen Unternehmen zu stehlen, sollen damit verhindert oder mindestens eingeschränkt werden. Hofft man.

Ich glaube, dass sich nur wenige Unternehmen ausreichend vor den Späh-Attacken schützen. Sie unterschätzen die Gefährdungen von Wirtschaftskriminalität – aus welchen Gründen auch immer. Ein Artikel in der Frankfurter Allgemeinen Zeitung vom 30.12.2013 zu diesem Thema mit dem Titel „Mittelständler unterschätzen die Gefahr von Wirtschaftsspionage“ bringt es meiner Ansicht nach auf dem Punkt. Darin bezieht der Sicherheitsexperte Friedrich P. Kötter, Geschäftsführer von KÖTTER Security, Essen, genau zu diesem Thema Stellung. Das habe ich zum Anlass genommen und ihn gebeten, in diesem Monat einen Gastkommentar zu diesem so wichtigen Thema in meinem Blog zu schreiben.

 

Gastkommentar von Friedrich P. Kötter

Wie kann sich der deutsche Mittelstand gegen Spähangriffe und Wirtschaftsspionage schützen?

Die Wirtschaftsspionage wurde gerne Ländern wie Russland, Nordkorea oder China zugeschrieben. Nach den NSA-Enthüllungen von Edward Snowdon sind nun auch die USA offiziell ganz nach oben auf die Liste gerutscht – zumindest in unseren Köpfen. Ein No-Spy oder Low-Spy-Abkommen mit Amerika soll es nun in Zukunft richten. Wird dieses Abkommen bzw. diese freundschaftliche Verabredung die erhoffte Sicherheit bringen?

Doch zurück ins Heute: Trotz NSA-Affäre unterschätzen einerseits viele mittelständische Unternehmen in Deutschland die Gefahren durch Wirtschaftsspionage. Andererseits spüren sie den wachsenden Druck des Wettbewerbs. Ursache für die verschärfte Wettbewerbslage ist vor allem steigende Konkurrenz in der globalen Welt. Dieser zunehmende Wettbewerb macht sich vor allem durch einen immer intensiver werdenden Preiskampf bemerkbar. Gleichzeitig bekommen immer mehr deutsche Unternehmen zu spüren, dass dieser Wettbewerb nicht allein mit fairen Mitteln ausgetragen wird. Erst vor einiger Zeit warnte z. B. der NRW-Verfassungsschutz, dass jedes zweite Unternehmen schon einmal Ziel von Konkurrenzausspähung oder Wirtschaftsspionage war.[3] Gemäß BKA-„Bundeslagebild Wirtschaftskriminalität“ belief sich der Gesamtschaden 2012 auf fast 3,8 Milliarden Euro. Auch wenn dieser im Vergleich zu den beiden Vorjahren damit wieder unter die Vier-Milliarden-Euro-Marke sank, macht die Wirtschaftskriminalität immer noch rund die Hälfte des in der Polizeilichen Kriminalstatistik (PKS) registrierten Gesamtschadenvolumens von ca. 7,6 Milliarden Euro aus.[4] Zudem kommen weitere Schäden wie Wettbewerbsverzerrungen oder Reputationsverlust hinzu, weshalb andere Schätzungen zur Wirtschaftskriminalität deutlich darüber hinausgehen. So beziffert der Verband Deutscher Maschinen- und Anlagenbau (VDMA) die Schäden durch Know-how-Diebstahl und Produktpiraterie für den deutschen Maschinen- und Anlagenbau auf ca. acht Milliarden Euro. Dies, so der Verband, entspricht dem Verlust von rd. 37.000 Arbeitsplätzen.[5]

Diese Zahlen unterstreichen in aller Deutlichkeit, dass die Innovationen, Geschäftsideen und Unterneh­mensinterna deutscher Unternehmen insbesondere des Mittelstandes nicht ausreichend geschützt sind.

Wichtiger Grund hierfür: Das Risikobewusstsein ist in vielen Managementbereichen nicht ausreichend vorhanden und das Thema Prävention wird im Vergleich mit den Vereinigten Staaten, Großbritannien und Frankreich bei uns in Deutschland noch zu stark vernachlässigt.

Das Problem: Viele Firmen scheuen entsprechende Investitionen. Obwohl auch die DAX 30 ihre Aufwendungen für Sicherheitsmaßnahmen zurückgeführt haben, verfügen diese nach wie vor am ehesten über gute Strukturen. Hingegen sind die meisten deutschen Mittelstandsunternehmen nicht ausreichend geschützt. Obwohl sie das bevorzugte Ziel ausländischer Spionage sind, fehlt dem Management häufig das Bewusstsein für die vielfältigen Bedrohungen seines Unternehmens − oder noch schlimmer: Es nimmt aus Kostengründen Sicherheitsrisiken bewusst in Kauf. Daran hat sich trotz der angeführten Debatte um Spionageangriffe auf Mobiltelefone und Netzwerke auch in den letzten Monaten nicht viel geändert. Viele Mittelständler setzen immer noch auf Lücke oder die alte Rheinische Volksweisheit „Et hätt noch immer jot jejange“ und hoffen, dass ihnen nichts passiert. Gänzlich wird die Grundregel „Leistung muss sich lohnen“ ad absurdum geführt, wenn der Dienstleister die Service-Level-Agreements zur Zufriedenheit des Auftraggebers erfüllt, der Einkauf dies gleichzeitig aber als Anlass für Auftragsreduzierungen oder Preisverhandlungen nutzt. Frei nach dem Motto: „Wenn nichts passiert, müssen wir auch nicht so viel zahlen.“ Dies verdeutlicht, dass die sensiblen Themen Sicherheit und Risk Management in letzter Instanz nicht auf der Einkaufsebene entschieden werden dürfen, sondern Sache des Managements sind.

Schwachstellen und Sicherheitslücken im Unternehmen aufdecken und schließen

Vor der angeführten Strategie vieler Unternehmen, auf Lücke zu setzen, kann ich nur eindringlich warnen! Und auch davor, dass sich die Diskussion zum Thema Unternehmenssicherheit ausschließlich auf den Schutz der IT-Systeme und der Datensicherheit beschränkt. Denn die Angriffe von außen erfolgen nach­weislich nicht nur per Computer. Die ungebetenen Gäste machen sich auch oft unzureichende Zutrittskon­trollen zunutze. So können Unbefugte in Forschungs- oder Produktionsbereiche gelangen und dort Daten sowie vieles weiteres wertvolles Know-how stehlen.

Zur Absicherung von Firmenarealen sind ganzheitliche Konzepte aus Sicherheitsdiensten und -technik erforderlich. Durch die Kombination von personeller Sicherheit (zum Beispiel Empfangs- und Pforten­dienste, Streifengänge) mit technischen Komponenten (Zutrittskontrollsysteme, Videotechnik, Aufschal­tung auf Notruf- und Service-Leitstellen) werden alle Bereiche gleichwertig geschützt.

Ein weiterer zentraler Aspekt betrifft die Geheimhaltung durch die Beschäftigten. Hierzu muss es klare Konzepte sowie eindeutige Leitlinien und Vorschriften für die Mitarbeiter geben, damit sie nicht leichtfertig mit sensiblen Informationen und Betriebsgeheimnissen umgehen. Damit das Ganze nicht sprichwörtlich bei „grauer Theorie“ verbleibt, sollten die Mitarbeiter im Rahmen von Schulungen anschaulich erfahren, wie leicht der Einzelne − z. B. durch unbedachte Gespräche an der Hotelbar über Produktinnovationen des eigenen Unternehmens − zur wertvollen Quelle für Spionageaktivitäten werden kann.

Die Verantwortung hierfür muss in einer Hand beim Vorstand/bei der Geschäftsführung gebündelt werden. „Sicherheit muss Chefsache“ sein. Nur ein integriertes Risk Management, bei dem die Fäden in einer Hand zusammenlaufen, sorgt langfristig für optimale Sicherheit und wird damit für Unternehmen zum strategischen Erfolgsfaktor.

Last but not least ist der Einsatz von Subunternehmern ein wichtiges Thema. Denn eine ganze Reihe von Anbietern reicht ihre Aufträge mittlerweile fast ausschließlich an Subunter­nehmer und „Scheinselbst­ständige“ weiter, um so Lohnkosten zu sparen. Diese Unternehmen fungieren lediglich noch als eine Art „Makler“.
Sicherheit aus einer Hand bedeutet jedoch nicht allein, das gesamte Know-how in den eigenen Reihen zu haben. Genauso entscheidend ist es, die erforderlichen Maßnahmen auch mit eigenem Personal umzusetzen. Schließlich ist Sicherheit absolute Vertrauenssache und kann daher nicht einfach über Schnittstellen delegiert werden. Mit Blick auf die gezielte Auswahl des Sicherheitsanbieters sollten Auftraggeber daher unbe­dingt darauf achten, dass der Dienstleister seine Aufgaben mit eigenen Mitarbeitern erbringt. Denn nur so ist für die Kunden wirkliche Leistungssicherheit gewährleistet.

Die Investitionen in dieses Stück Zukunftssicherung und Wettbewerbsfähigkeit sind unverzichtbar. Denn in Zeiten stetiger Globalisierung und wirtschaftlicher Verflechtungen ist es für Unternehmen unerlässlich, ihr Know-how optimal zu schützen.

Über den Autor:

„Herr Kötter ist Geschäftsführender Gesellschafter der KÖTTER Unternehmensgruppe (koetter.de), die in diesem Jahr ihr 80-jähriges Bestehen feiert und mit der Sparte Security größter familiengeführter Sicherheitsanbieter in Deutschland ist.. Das Familienunter­nehmen ist mit dem von Sicherheitsdienstleistungen und -technik über Geld- & Wertdienste bis zum Risiko­management reichenden Full-Service das einzige integrale Sicherheitsunternehmen im deutschsprachigen Raum. Durch internationale Kooperationen – u. a. mit G4S und der Securitas AG, Schweizerische Bewachungsgesellschaft – steht KÖTTER darüber hinaus für ein weltweites Netzwerk.

Quellen:

[1] Aussage des ehemaligen Bundesinnenministers Hans-Peter Friedrich. In: Handelsblatt online vom 28. August 2013: Wirtschaftsspionage: 50-Milliarden-Schaden.
[2] Verein Deutscher Ingenieure. In: Focus online vom 03. Februar 2014: Ingenieure warnen vor milliardenteurer Spionage.
[3] NRW-Verfassungsschutz. In: fair-news.de vom 6. November 2013.
[4] BKA: Bundeslagebild Wirtschaftskriminalität 2012, S. 4.
[5] VDMA: Studie Produktpiraterie 2012. S. 5.