Als PDF downloaden - Haufe.de

Unternehmensführung – Titelthema
CHECKLISTE
Überprüfen Sie das Sicherheitskonzept Ihrer Firma
Das Sicherheitskonzept eines Unternehmens ruht nach der Studie des Sicherheitsforums Baden-
Württemberg „Know-how-Schutz 2009/10“ auf zwei Säulen: Den Bereichen „Personal und Geschäftsabläufe“
sowie „Objekt- und IT-Sicherheit“. Anhand der beiden folgenden Checklisten können
Sie entsprechende Lücken in Ihrem Unternehmen identifi zieren.
PERSONAL UND GESCHÄFTSABLÄUFE
> Enthalten die Arbeitsverträge Wettbewerbs- und Geheimhaltungsklauseln?
> Existiert ein ethischer Verhaltenkodex für die Mitarbeiter?
> Ist sensibles Wissen nur für relevante Mitarbeiter verfügbar?
> Gibt es ein Compliance-Programm?
> Werden die Mitarbeiter in Sicherheitsfragen geschult?
> Besteht eine Risiko- und Schwachstellenanalyse?
> Binden Sie Ihre Geschäftspartner in das Sicherheitskonzept
ein?
> Existiert eine Risikoanalyse der Geschäftspartner?
> Haben die Mitarbeiter Sicherheitsanweisungen für Auslandsreisen?
> Können Mitarbeiter (auch anonym) Hinweise auf Sicherheitslücken
oder Risiken geben?
Um aussagekräftige Informationen über Strategien und Produkte
von Unternehmen zu erhalten, bedarf es nicht einmal in
jedem Fall illegaler Mittel. So lassen sich relevante Firmeninformationen
oftmals durch die Auswertung frei zugänglicher
Quellen beschaffen. Dies trifft besonders auf wissenschaftliche
Ausarbeitungen wie Forschungsberichte und Diplomarbeiten
zu. Interessante Einblicke liefern aber auch Werkszeitungen,
Werbeinfos, Handbücher, Patent- beziehungsweise Lizenzunterlagen
und schließlich Dokumentationen im Zusammenhang
mit Qualitätszertifi zierungen oder Beschreibungen zu
versichernder Risiken. Auch die vielfältigen Möglichkeiten im
World Wide Web und die persönliche Darstellung in sozialen
Netzwerken liefern wertvolle Informationen sowie ideale Ansatzpunkte
für sogenannte Social-Engineering-Maßnahmen.
Kostenlose Know-how-Beschaffung
Die offene Gewinnung von Informationen bei gutgläubigen
Gesprächspartnern gehört ebenfalls zum Handwerkszeug
von Wirtschaftsspionen und Konkurrenzausspähern: Vor
allem bei Messen, Kongressen und Werksbesichtigungen sind
im Verlauf von Verkaufsverhandlungen oder Fachgesprächen
Betriebsgeheimnisse schnell preisgegeben. Die Akquisitionsphase
bei Neugeschäften bietet potenziellen Kunden viele
Möglichkeiten der kostenlosen Know-how-Beschaffung, zum
Beispiel über die Anforderung detaillierter Produkt- und Leis-
OBJEKT- UND IT-SICHERHEIT
> Gibt es ein Schutzkonzept für IT- und Telekommunikationssysteme?
> Ist der Server-Bereich besonders geschützt?
> Besteht Passwortschutz auf allen Geräten?
> Werden E-Mail-Verkehr, Daten und Netze
verschlüsselt?
> Gibt es eine Zugangskontrolle zum Betriebsgelände?
> Werden besonders sensible Bereiche überwacht?
> Werden die Betriebsdaten nach Gefährdungsstufen
segmentiert?
> Besteht ein Abhörschutz für TK-Anlagen und
Besprechungsräume?
> Werden solche Räume und Anlagen regelmäßig einer
Lauschabwehrüberprüfung unterzogen?
tungsbeschreibungen im Rahmen von Angeboten oder sogar
die Entsendung von Personen zur Begutachtung der Firma des
Lieferanten.
Zum Einsatz kommen ebenso Geheimagenten, die getarnt
als Journalisten oder Diplomaten auftreten, aber auch sogenannte
Non-Professionals spielen eine Rolle. Dabei handelt
es sich um unauffällige Studenten, Gastwissenschaftler und
Praktikanten aus anderen Staaten. Sie halten sich zu Studien-
oder Ausbildungszwecken zeitlich befristet in Deutschland
auf, fühlen sich jedoch ihren Heimatländern manchmal ganz
besonders verpfl ichtet. Insbesondere chinesische Nachrichtendienste
bedienen sich dieser Beschaffungsmethode.
Auch die russische Staatsführung scheut kaum Anstrengungen,
in den nächsten Jahren wirtschaftlich auf westlichen
Standard zu kommen. Die Nachfolgeorganisationen des KGB
haben ihre Wirtschaftsspionage stark ausgebaut. Seit dem
Jahr 1998 überwacht der russische Inlandsgeheimdienst FSB
mit dem Überwachungsprogramm SORM II offi ziell den gesamten
E-Mail- und Internet-Verkehr, der über russische Internet-Service-Provider
abgewickelt wird. Auf der Grundlage
des gleichnamigen Gesetzes müssen alle russischen Anbieter
von Internet-Zugängen dem Nachrichtendienst einen ständigen
Zugriff auf den Datenverkehr ermöglichen, der in oder
über Russland abgewickelt wird. Zudem sind die Telefongesellschaften
verpfl ichtet, dem Inlandsnachrichtendienst einen
permanenten Zugang zu Informationen über Telefonkun-
26 ProFirma 11 2010
Quelle: Sicherheitsforum Baden-Württemberg