BITKOM-Studie

Schaden durch Industriespionage steigt auf 55 Mrd. Euro pro Jahr

Auch wenn die Zahl der von Industriespionage oder Sabotage betroffenen Unternehmen in den letzten zwei Jahren kaum gestiegen ist, hat der Schaden doch deutlich zugenommen. Geklaut wird aber nicht nur auf digitalem Weg.

Mehr als die Hälfte der Unternehmen in Deutschland (53 %) sind in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden, berichtet der Digitalverband BITKOM. Dadurch ist ein Schaden von rund 55 Mrd. Euro pro Jahr entstanden. Befragt wurden 1.069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen. Schon vor zwei Jahren hatte der Verband eine Studie zu diesem Thema durchgeführt, damals waren 51 % der Unternehmen betroffen. Der entstandene Schaden ist jedoch von damals 51 auf heute 55 Mrd. Euro gewachsen.

Industriespionage kann jeden treffen

„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, warnte BITKOM-Präsident Achim Berg bei der Vorstellung der Studie in Berlin.

„Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen. Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung. Wichtig ist aber auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie den Behörden untereinander – wie in der ‚Initiative Wirtschaftsschutz‘, betonte Dr. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz (BfV).

Nach der Studie wurden in den letzten zwei Jahren in jedem sechsten Unternehmen (17 %) sensible digitale Daten gestohlen. Erbeutet haben die Täter in erster Linie Kommunikationsdaten wie E-Mails (41 %) oder Finanzdaten (36 %). Aber auch Kundendaten (27 %) wurden entwendet, in 11 % der Fälle waren es Patente oder Informationen aus Forschung und Entwicklung, in 10 % Mitarbeiterdaten.

Schwachstelle Mensch

Nicht immer geht es allerdings um digitale Daten. Oft wird auch die Hardware, etwa Notebooks oder Smartphones, entwendet. Betroffen waren davon 30 % der Unternehmen. Unklar ist dabei laut Studie, ob die Täter an den Geräten oder den darauf befindlichen Daten interessiert waren. Rund jedes fünfte Unternehmen berichtet vom sogenannten Social Engineering (Analoges Social Engineering 20 %, Digitales Social Engineering 18 %). Dabei werden Mitarbeiter gezielt manipuliert, um an sensible Informationen zu kommen, mit denen dann in einem weiteren Schritt zum Beispiel Schadsoftware auf die Firmenrechner gebracht werden kann.

Jedes achte Unternehmen (12 %) ist in den letzten zwei Jahren Opfer von digitaler Sabotage geworden, durch die etwa die Produktion gestört wurde. 8 % berichten vom Ausspähen der digitalen Kommunikation wie E-Mails, 7 % vom Abhören von Telefonaten oder Besprechungen. Klassische Diebstähle sind dagegen inzwischen aber eher selten. 17 % der Unternehmen beklagen einen Dokumentendiebstahl, in 4 % der Unternehmen wurden Produktionssysteme oder Betriebsaufläufe auf analogem Weg sabotiert.

Spionage und Sabotage: Täter aus den eigenen Reihen

Täter sind in vielen Fällen aktuelle oder ehemalige Mitarbeiter des Unternehmens, berichtet die Studie. 62 % der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. Aber auch Mitbewerber, Kunden, Lieferanten oder Dienstleister gehören mit 41 % zum Täterkreis, dazu kommen 21 % Hobby-Hacker und 7 % Personen aus der organisierten Kriminalität.

Ausländische Nachrichtendienste wurden in 3 % der Unternehmen identifiziert. 7 % konnten keinen Schuldigen ermitteln. Jedes dritte von Unternehmen (37 %) berichtet außerdem, dass die Täter aus Deutschland kamen. Der Großteil der Angriffe aber kommt aus dem Ausland: In 23 % der Fälle kamen die Verursacher aus Osteuropa, bei 20 % aus China und in 18 % der Fälle aus Russland. Erst danach folgen die USA (15 %), die Summe aller westeuropäischen Länder (12 %) und Japan (7 %).

Betroffene schweigen viel zu häufig

Nicht einmal jedes dritte betroffene Unternehmen (31 %), so merkt die Studie an, schaltet staatliche Stellen ein. Maaßen mahnt: „Es gilt der Grundsatz `Need to share`, wenn wir gemeinsam die deutsche Volkswirtschaft widerstandsfähiger gegen Wirtschaftsspionage machen wollen. Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln.“

Bei 46 % der Unternehmen wurden zumindest interne Untersuchungen eingeleitet, externe Spezialisten kamen in 34 % der Fälle hinzu. Überhaupt keine Untersuchung leisteten sich nur 3 % der Betroffenen. Vor zwei Jahren waren das noch stattliche 10 %. Erster Ansprechpartner bei den Behörden ist für die meisten Unternehmen mit 84 % die Polizei. Den Staatsanwalt schalteten 57 % ein. An die Datenschutzaufsicht oder an das Bundesamt für Sicherheit in der Informationstechnik wenden sich jeweils 15 %, an den Verfassungsschutz 3 %.

Meist ist es die Angst vor Imageschäden, der Unternehmen dazu veranlasst, sich nicht an die Behörden zu wenden; das sagen zumindest 41 % der betroffenen Unternehmen. Angst vor negativen Konsequenzen hatten 35 %, fast genauso viele (34 %) glaubten nicht daran, dass der Täter erwischt würde oder weil ihnen der Aufwand zu hoch war (29 %).

Unternehmen ergreifen Maßnahmen gegen Industriespionage

Nach der Studie setzen alle befragten Unternehmen mindestens einen technischen Basisschutz, etwa Passwörter auf allen Geräten, Firewalls oder Virenscanner, ein und legen Backups ihrer Daten an. Anspruchsvollere Maßnahmen wie Intrusion Detection Systeme (20 %) oder Penetrationstests (17 %) werden dagegen nicht so häufig eingesetzt. Auch im Bereich der organisatorischen Sicherheit sind Standardmaßnahmen weit verbreitet, etwa die Festlegung von Zugriffsrechten für bestimmte Informationen (99 %), die eindeutige Kennzeichnung von Betriebsgeheimnissen (85 %) oder die Festlegung von Zutrittsrechten in bestimmte Unternehmensbereichen (81 %).

Dagegen setzt nur eine Minderheit auf Sicherheits-Zertifizierungen (43 %) oder regelmäßige Sicherheitsaudits durch externe Spezialisten (24 %). Großen Nachholbedarf gibt es im Bereich der personellen Sicherheit. Nur 6 von 10 Unternehmen (58 %) führen Background-Checks bei Bewerbern für sensible Positionen durch, nur jedes zweite hat einen Sicherheitsverantwortlichen benannt (54 %) oder schult Mitarbeiter zu Sicherheitsthemen (53 %). „Wenn man bedenkt, dass Angriffe sehr oft durch aktuelle oder frühere Mitarbeiter erfolgen, so verwundert die Nachlässigkeit bei der Mitarbeiterschulung. Hier ließe sich die Sicherheit in den Unternehmen mit vergleichsweise geringem Aufwand und in kurzer Zeit deutlich verbessern“, so Berg.

Tipps zur Verbesserung der Sicherheit von BITKOM und Bundesverfassungsschutz

1. Sicherheit zur Chefsache machen

  • Sensibilisierung der Geschäftsführung
  • Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene
  • Einrichtung eines Wirtschaftsschutz-Beauftragten oder eines Informations-Sicherheitsbeauftragten

2. Technische IT-Sicherheit steigern

  • Basisschutz ergänzt um Verschlüsselung und spezielle Angriffserkennung
  • Security Information Event Management: Überwachung vernetzter Geräte und Erkennung von Anomalien
  • Security by Design bei allen Schnittstellen und vernetzten Geräten
  • Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten

3. Organisatorische Sicherheit erhöhen

  • Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben
  • Praxisorientierung aller Sicherheitsregularien
  • Zugriffsrechte auf Daten sowie physische Zugangsrechte für sensible Bereiche
  • Besuchermanagement: Umgang mit Gästen und Delegationen
  • Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen
  • Etablierung einer „clean-desk-policy“: Welche Daten sind am Arbeitsplatz wirklich nötig?

4. Personelle Sicherheit verbessern

  • Etablierung einer Sicherheitskultur
  • Arbeitsplatzspezifische Schulungen/Sensibilisierungen
  • Informationssicherheit auf Geschäftsreisen im Ausland beachten
  • IT-Experten mit Produktions-Know-how

5. Sicherheitszertifizierungen anstreben.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.