Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Foto: Corporate Trust<br />
ProFirma 11 2010<br />
INTERVIEW<br />
„Die Schwachstelle ist <strong>de</strong>r Mensch“<br />
Christian Schaaf, Geschäftsführer <strong>de</strong>r Münchener Sicherheitsberatung Corporate Trust,<br />
zu Know-how-Schutz, Mitarbeiterschulungen und Attacken von ausländischen Geheimdiensten.<br />
Herr Schaaf, <strong>de</strong>r Spionageschwerpunkt<br />
liegt bei <strong>de</strong>n forschungsintensiven Unternehmen.<br />
Können sich die übrigen Firmen<br />
in Sicherheit wiegen?<br />
Schaaf: Nein, <strong>de</strong>nn auch die Produktionsverfahren,<br />
Absatzwege, Preise, Margen<br />
o<strong>de</strong>r Personalinformationen sind für<br />
Angreifer interessant.<br />
Geht die größte Gefahr von Hightech-<br />
Attacken aus?<br />
Schaaf: Die größte Gefahr geht gar nicht<br />
von Hightech-Attacken aus, son<strong>de</strong>rn<br />
sie liegt schlicht in <strong>de</strong>r Schwachstelle<br />
Mensch. 70 Prozent <strong>de</strong>r Täter sitzen hinter<br />
<strong>de</strong>r Firewall und haben oft Vollzugriff<br />
auf alle sensiblen Daten.<br />
Was raten Sie für <strong>de</strong>n wirksamen Informationsschutz<br />
im Unternehmen?<br />
Schaaf: Für <strong>de</strong>n wirksamen Informationsschutz<br />
im Unternehmen ist ein<br />
ganzheitliches Sicherheitskonzept zu<br />
schaffen. Aus diesem Konzept können<br />
konkrete Handlungsanweisungen, Richtlinien<br />
und Verbote für <strong>de</strong>n einzelnen<br />
Mitarbeiter abgeleitet wer<strong>de</strong>n. Diese<br />
sollten <strong>de</strong>n Mitarbeitern bekannt gemacht<br />
wer<strong>de</strong>n und verbindlich sein. Mit<br />
<strong>de</strong>r Sensibilisierung von Mitarbeitern<br />
und natürlich auch klaren Vorgaben <strong>de</strong>s<br />
Managements lässt sich hier bereits viel<br />
erreichen. So sollten alle Mitarbeiter<br />
<strong>de</strong>s Unternehmens ein „Awareness-Programm<br />
durchlaufen.<br />
Sollte man bei Einstellung eines chinesischen<br />
Praktikanten o<strong>de</strong>r <strong>de</strong>m Kontakt<br />
mit einem chinesischen Wissenschaftler<br />
Vorsicht walten lassen?<br />
Schaaf: Je<strong>de</strong>r Mitarbeiter an einer sensiblen<br />
Position stellt einen gewissen Risikofaktor<br />
dar und sollte daher vor <strong>de</strong>r<br />
DAS GESPRÄCH FÜHRTE PATRIK VON GLASOW<br />
Einstellung entsprechend überprüft wer<strong>de</strong>n.<br />
Bei ausländischen Mitarbeitern gilt<br />
dies beson<strong>de</strong>rs, weil man hier oftmals die<br />
vorgelegten Zeugnisse o<strong>de</strong>r gemachten<br />
Angaben wesentlich schwerer auf Richtigkeit<br />
überprüfen kann. Von China ist bekannt,<br />
dass von staatlicher Seite verstärkt<br />
Wirtschaftsspionage betrieben und dazu<br />
auch Einfl uss auf Landsleute im Ausland<br />
genommen wird, um an Informationen zu<br />
kommen. Daher sollte man bei Bewerbern<br />
aus China eine entsprechen<strong>de</strong> Vorsicht<br />
walten und einen Background-Check durch<br />
Sicherheitsspezialisten durchführen lassen.<br />
Sie können klären, ob die vorgelegten<br />
Zeugnisse echt sind, die Angaben zu Beschäftigungszeiten<br />
o<strong>de</strong>r Qualifi kationen<br />
stimmen o<strong>de</strong>r Beziehungen zu staatlichen<br />
Stellen bekannt sind.<br />
Raten Sie von einer Freundschaft mit<br />
einem chinesischen Mitarbeiter ab?<br />
Schaaf: Nein, natürlich nicht. Aber je<strong>de</strong>r<br />
Mitarbeiter sollte in Bezug auf Informationen<br />
über seine Arbeit zurückhaltend sein,<br />
auch gegenüber Kollegen, die nicht direkt<br />
in <strong>de</strong>m Bereich arbeiten. Unternehmen<br />
sollten bei <strong>de</strong>n Mitarbeitern ein Bewusst-<br />
sein schaffen, dass „Flurtratsch“ scha<strong>de</strong>n<br />
kann und sensible Informationen<br />
nicht unnötig an Kollegen weitergegeben<br />
wer<strong>de</strong>n sollten.<br />
Haben Sie weitere Vorschläge bezüglich<br />
<strong>de</strong>r Gefahr <strong>de</strong>s Informationsabfl usses<br />
nach China o<strong>de</strong>r für die Kooperation mit<br />
chinesischen Unternehmen?<br />
Schaaf: Im Vorfeld von Joint Ventures<br />
mit chinesischen Firmen sollte auf je<strong>de</strong>n<br />
Fall ein Background-Check durch Sicherheitsspezialisten<br />
zum Unternehmen und<br />
<strong>de</strong>n han<strong>de</strong>ln<strong>de</strong>n Personen durchgeführt<br />
wer<strong>de</strong>n. Es sollte genau abgewogen<br />
wer<strong>de</strong>n, wie viele Informationen tatsächlich<br />
an <strong>de</strong>n Geschäftspartner transferiert<br />
wer<strong>de</strong>n müssen. Außer<strong>de</strong>m sollte<br />
das Unternehmen durch entsprechen<strong>de</strong><br />
Vorsichtsmaßnahmen die IT- und Telekommunikationssicherheitgewährleisten.<br />
Dazu zählen beispielsweise<br />
spezielle Reise-Laptops, die nur eine<br />
Minimalkonfi guration aufweisen und<br />
auf <strong>de</strong>nen möglichst keine vertraulichen<br />
Dokumente gespeichert sind, sowie<br />
Möglichkeiten für eine verschlüsselte<br />
Kommunikation.<br />
Was raten Sie, wenn man Opfer eines<br />
Angriffs aus China wird?<br />
Schaaf: Alle Vorfälle und Verdachtsmomente<br />
sollten auf je<strong>de</strong>n Fall umfassend<br />
aufgeklärt wer<strong>de</strong>n. Häufi g gehen auch<br />
frem<strong>de</strong> Nachrichtendienste über die<br />
Schwachstelle Mensch und haben einen<br />
internen Mitarbeiter „angezapft“.<br />
Bei konkreten Hinweisen o<strong>de</strong>r Verdacht<br />
auf einen nachrichtendienstlichen Angriff<br />
aus China sollte auf je<strong>de</strong>n Fall auch<br />
Kontakt mit einem Lan<strong>de</strong>samt o<strong>de</strong>r <strong>de</strong>m<br />
Bun<strong>de</strong>samt für Verfassungsschutz aufgenommen<br />
wer<strong>de</strong>n.<br />
29