Leitfaden zur Spionagebekämpfung

Inhaltsverzeichns:

1. Einführung
2. Informationsschutzkonzept
2.1 Ziele
2.2 Strategische Regeln
2.3 Rahmenbedingungen
2.4 Stufenplan
2.5 Maßnahmen
2.6 Besondere Risikobereiche
3. Behandlung eines Spionagefalls und Möglichkeiten der Schadensbegrenzung
4. Anhang

1. Einführung

 
        Wissen bedeutet nur solange Macht,
        solange man es für sich behält
Das Gebot, sich gegen die Folgen der illegalen Nutzung des eigenen Wissens durch fremde Staaten, Konkurrenten oder Einzelpersonen zu wehren, gewinnt angesichts einer weltweit verschärften Konkurrenzsituation, einer rezessiven Wirtschaftslage sowie einer ständig steigenden Abhängigkeit von modernen Informations- und Kommunikationssystemen zunehmend an Bedeutung. Prävention in Form von Informationsschutzkonzepten bietet die Gewähr dafür, materielle und immaterielle Schäden zu vermeiden oder wenigstens zu minimieren. Dabei darf die Aufmerksamkeit nicht nur der Verhinderung des eigentlichen Spionageakts gelten. Voraussetzung für das erfolgreiche Ausspähen von Betriebsgeheimnissen ist das - häufig durch menschliche Schwächen begünstigte - "Aushebeln" der personellen und materiellen Schutzmaßnahmen und damit das möglichst unbemerkte Eindringen in den unmittelbaren Herkunftsbereich der Information.
Gesellschaftliche Veränderungen und verfeinerte Methoden der illegalen Informationsbeschaffung erfordern auch neue Formen der Prävention. Abwehrmaßnahmen müssen heute professionellen Charakter besitzen. Vorgehensweisen der Vergangenheit wie das "Gießkannenprinzip" und die "Rasenmähermethode" haben ausgedient. Nur ein ganzheitliches Schutzkonzept schafft die Voraussetzungen für eine zeitgemäße Sicherheitsstruktur.
Die Idee der integrierten Sicherheit sieht die Umsetzung eines alle Unternehmensbereiche umfassenden und in die globale Unternehmenssicherheit eingebetteten, unternehmensweit durchgängigen und sowohl auf die tatsächliche Gefährdungssituation als auch auf die Belange der Nutzer zugeschnittenen Schutzkonzepts mit vorbeugenden und abwehrenden Komponenten vor. Dabei sind die Grundsätze der Verhältnismäßigkeit und der Wirtschaftlichkeit zu beachten.
Die Erarbeitung und Realisierung eines Informationsschutzkonzepts ist zu einer komplexen und interdisziplinären Managementaufgabe geworden. Konzeptionelles Vorgehen bedeutet mehr als die Addition von Einzelmaßnahmen, vielmehr ist darunter das geplante Erfassen und strukturierte Aufarbeiten von Problemen zur Erreichung des definierten Zieles zu verstehen.
Was im Einzelfall schützend wirkt, hängt von vielen Parametern ab. Jedes Unternehmen hat in Abhängigkeit von seiner Größe, Struktur, Produktpalette, Finanzkraft und Gefährdungssituation spezifische Sicherheitsvorstellungen und Sicherheitsvorkehrungen zu entwickeln. Dabei sollen sowohl für das gesamte Unternehmen als auch für einzelne Riskobereiche - etwa die EDV - individuelle Sicherheitsüberlegungen angestellt werden. Bei Standardlösungen sind Sicherheitslücken vorprogrammiert. Die Schutzmaßnahmen müssen sich auf die für den wirtschaftlichen Erfolg eines Unternehmens bedeutsamen Informationen konzentrieren. Ziel sollte sein, Security-Risiken nicht lediglich zu verwalten, sondern ein aktives Security-Management zu entwickeln und dabei zu versuchen, den (vermeintlichen) Zielkonflikt zwischen originären und Sicherheitsaufgaben zu lösen.
Informationssicherheit darf nicht an Firmen- oder Landesgrenzen haltmachen. International agierende - und teilweise mit ausländischen Konkurrenten kooperierende - Unternehmen müssen sich auf Informationsverluste bei ausländischen Niederlassungen, Konzerngesellschaften oder Geschäftspartnern einstellen.
Die vorliegende Broschüre ist als Leitfaden zur Erstellung eines Informationsschutzkonzepts vor allem in kleinen und mittleren Unternehmen im "offenen" Bereich der gewerblichen Wirtschaft gedacht. Sie sind häufig wegen ihrer innovativen Forschungs- und Entwicklungsvorhaben und des vorhandenen Know-how beliebte Ausspähungsobjekte, verfügen aber relativ selten über ausgeprägte Sicherheitsstrukturen, wie sie beispielsweise in geheimgeschützten Unternehmen anzutreffen sind. Dort stellt sich aufgrund der Vorschriften des Geheimschutzhandbuchs die Sicherheitslage insgesamt günstiger dar. Nicht selten fehlt im "offenen" Bereich auch die Erkenntnis, daß eigene Entwicklungen für den Markt bedeutsam sind und Betriebsgeheimnisse besser geschützt werden sollten.
Die Auswahl geeigneter Sicherheitsmaßnahmen kann entweder mit aufwendigen Analyseinstrumenten oder unter Verzicht auf eine differenzierte Betrachtung bestehender Schwachstellen und Risiken erfolgen. Um die jeweiligen Nachteile - arbeitsaufwendiges Verfahren, dessen Ergebnisse stark subjektiv geprägt sein können, bzw. Pauschalmaßnahmen ohne gezielte Schutzwirkung - möglichst weitgehend auszuschließen, ist es sinnvoll, beide Ansätze miteinander zu verbinden.
Die Broschüre stellt den Gesamtprozeß der Entwicklung und Umsetzung eines Informationsschutzkonzepts auf der Basis von Schwachstellen- und Risikoanalysen dar. Soweit in einem Unternehmen bereits in Teilbereichen Sicherheitsmaßnahmen verwirklicht sind, eignet sie sich auch als Arbeitsgrundlage zur Beseitigung verbliebener Defizite.
Thematisch konzentriert sich diese Ausarbeitung auf die Verhinderung der illegalen Nutzung von Informationen. Ein komplettes Informationsschutzkonzept hat darüber hinaus Maßnahmen gegen die Zerstörung und Verfälschung von Daten durch Sabotage, Feuer, Hardwareausfall, fahrlässige und zufällige Informationsverluste etc. vorzusehen. Allerdings decken die hier vorgestellten Schutzvorkehrungen diese Bereiche teilweise mit ab.
Der redaktionelle Teil enthält grundsätzliche Aussagen und Empfehlungen zu den angesprochenen Themenbereichen. Er zeigt auch die intensiven Verflechtungen zwischen den angestrebten Zielen, der Einhaltung strategischer Regeln, den Bemühungen um günstige Rahmenbedingungen und der Einführung konkreter Maßnahmen auf. Die Grundforderungen der Prävention wie ziehen sich wie ein roter Faden durch alle Phasen. Die konkreten Maßnahmen und Arbeitsschritte sind am Ende der Broschüre in tabellarischer Form zusammengefaßt.
Die Gewährleistung der Informationssicherheit ist keine von den Unternehmen allein zu bewältigende Aufgabe. Staat und Wirtschaft bilden vielmehr eine Gefahrengemeinschaft bzw. Sicherheitspartnerschaft. Das Landesamt bietet deshalb über diese Broschüre hinaus Hilfe zur Selbsthilfe in Form von

2. Informationsschutzkonzept

2.1 Ziele:

 2.1.1
Soll-Zustand ist die Gewährleistung der Informationssicherheit durch die Eliminierung erkannter Risiken bei gleichzeitiger Reduzierung des Kostenaufwands für Sicherheitsmaßnahmen. Durch die frühzeitige Berücksichtigung von Sicherheitsinteressen bei der Gestaltung innerbetrieblicher Entscheidungsprozesse und Arbeitsabläufe wird eine optimale Verknüpfung mit den wirtschaftlichen Unternehmenszielen erreicht.
Die gewünschte Wirkung wird allerdings nur dann erzielt, wenn der Sicherheitsgedanke integraler Bestandteil der Firmenphilosophie wird und in der Zielkonzeption des Unternehmens Berücksichtigung findet. Dann kann damit gerechnet werden, daß das Konzept von der Unternehmensführung und der Belegschaft gemeinsam getragen wird. Zielvorstellung ist ein kollektives Sicherheitsgefühl ("Wir-Gefühl").
Systematisierte Qualitätsanforderungen spielen zunehmend auch im Sicherheitsbereich eine Rolle. Selbst wenn im Einzelfall keine Zertifizierung nach bestimmten Qualitätsnormen (z. B. DIN ISO 9000 ff., Total Quality System) angestrebt wird, sollte sich jedes Unternehmen zum Ziel setzen, zeitgemäße Qualitätsansprüche im eigenen Unternehmen zu verwirklichen. Dies wird durch die Standardisierung von Arbeitsabläufen, die Anwendung bewährter Methoden und Instrumente sowohl im Rahmen der Vorarbeiten als auch bei der späteren Umsetzung der gewonnenen Erkenntnisse und durch die Berücksichtigung von Verbesserungsvorschlägen der Belegschaft erreicht. Ergebnisse müssen in Berichten festgehalten und in Richtlinien umgesetzt werden.
2.1.2
Absoluten Schutz gegen unfreiwillige Informationsverluste gibt es allerdings nicht. Die komplizierte Struktur moderner Unternehmen mit ihren vielfältigen Querverbindungen und Kommunikationsmöglichkeiten läßt es selbst bei Bereitstellung erheblicher finanzieller Mittel fast aussichtslos erscheinen, Betriebsgeheimnisse auf Dauer vor konzentrierten Angriffen von Konkurrenten oder Nachrichtendiensten schützen zu können. Vielfach ist es nur eine Frage des finanziellen und technischen Aufwands, ob Ausspähungsversuche erfolgreich verlaufen. Bei nüchterner Betrachtungsweise wird man sich darauf konzentrieren müssen,

2.2 Strategische Regeln

 2.2.1
Ohne strategische Überlegungen läßt sich eine derart komplexe Aufgabe wie die Erstellung und Umsetzung eines Informationsschutzkonzepts nicht erfolgreich bewältigen. Die Gesamtstrategie soll die Grundlage für operative Entscheidungen und Aktivitäten sowie den Rahmen für die Integration einzelner Maßnahmen bilden. Sie muß langfristig angelegt sein, Kultur und Struktur des Unternehmens berücksichtigen, flexibel auf veränderte Bedingungen reagieren und in einem Umfeld implementiert werden, das ihre erfolgreiche Umsetzung erwarten läßt. Eine permanente Abstimmung der Strategie mit den anvisierten Zielen und beabsichtigten Maßnahmen ist unerläßlich. Machbarkeitsprüfungen, die Erarbeitung von Planungsalternativen und Strategie-Kontrollsysteme schützen vor Fehlentscheidungen. Vorhandene Rationalisierungs- und Kreativitätspotentiale sind extensiv zu nutzen.
2.2.2
Bei der Erstellung der Konzeption ist vom Grundsatz der Prävention auszugehen. Sicherheitsüberlegungen müssen möglichst frühzeitig in Entscheidungsprozessen und betrieblichen Abläufen Berücksichtigung finden. Alle einschlägigen Entwicklungen, auch wenn sie erst in der Zukunft sicherheitsrelevant werden, müssen in die Überlegungen einbezogen werden. Gleichzeitig muß angestrebt werden, die Zahl der sicherheitskritischen Außenbeziehungen, Objekte und Subjekte zu reduzieren. Bei Vertragspartnern ist beispielsweise auf die Einhaltung vergleichbarer Sicherheitsstandards zu achten.
Nicht alles, was grundsätzlich als geheimhaltungsbedürftig angesehen wird, kann in einem modernen Unternehmen mit seinen vielfältigen internen und externen Kommunikationslinien tatsächlich geschützt werden. Ziel muß es sein, Weniges, aber wirklich Bedeutsames effektiv zu schützen. Die Konzentration auf den Kernbestand der für die Zukunft des Unternehmens wichtigen Informationen ist gleichbedeutend mit der Inkaufnahme von Restrisiken. Weniger ist manchmal mehr!
In Anbetracht einer weitreichenden Delegation von Verantwortung auch im Sicherheitsbereich wird breite Akzeptanz zu einem entscheidenden Faktor. Die Belegschaft muß - als Bestandteil einer unternehmensweiten Einführungsstrategie - von Anfang an in Sicherheitsüberlegungen eingebunden und fortlaufend über den aktuellen Sachstand unterrichtet werden. Wichtig ist, daß die Mitarbeiter ihre Erfahrungen in den Entscheidungsprozeß einbringen können. Motivations- und Anreizsysteme wie die Ausweitung des betrieblichen Vorschlagswesens auf den Sicherheitsbereich runden die Palette ab.
Moderner Informationsschutz darf sich nicht auf die Optimierung vorhandener Strukturen und Arbeitsabläufe in vermeintlich sicherheitskritischen Bereichen beschränken. Nur eine ganzheitliche Betrachtung unter Einbeziehung aller Organisationseinheiten und betrieblichen Ebenen ermöglicht die Identifizierung potentieller Risikobereiche und die Einbeziehung unterschiedlicher, teilweise sogar widersprüchlicher Anforderungen in einen Güter- und Interessen-Abwägungsprozeß. Ergebnis ist eine den Bedürfnissen der unterschiedlichen betrieblichen Einheiten gerecht werdende Sicherheitsstruktur und größtmögliche Effizienz bei optimaler Wirtschaftlichkeit. Auf diese Weise wird erreicht, daß Sicherheit keine Bremse für Innovationen und effiziente Aufgabenerfüllung darstellt.

2.3 Rahmenbedingungen

 2.3.1
Das Ergebnis aller Bemühungen um Verbesserung der Informationssicherheit hängt entscheidend davon ab, inwieweit die im jeweiligen Unternehmen vorhandenen Rahmenbedingungen einen solchen Prozeß begünstigen. Sicherheitskonzepte sind nicht selten deshalb so löcherig, weil die Rahmenbedingungen nicht stimmen. Wichtig ist ein betriebliches Klima, in dem sich eine regelrechte Sicherheitskultur entwickeln kann.
2.3.2
Sicherheit gehört zu den strategischen Erfolgsfaktoren eines modernen Unternehmens. Ihr Stellenwert im Unternehmen zeigt sich beispielsweise an der Wahrnehmung von Sicherheitsaufgaben durch das Management und der personellen Ausstattung der mit Sicherheitsaufgaben betrauten Organisationseinheiten. Der Grad der Sicherheit ist in hohem Maße ein Spiegelbild der betrieblichen Führung und Stimulierung.
Sicherheit ist "Chefsache"! Das Management ist in besonderer Weise verpflichtet, sich mit der Informationssicherheit als wichtigem Bestandteil der Zielkonzeption eines Unternehmens zu befassen. Dazu gehört auch, sich umfassend und objektiv über den Themenkomplex Informationsschutz zu unterrichten. Nur wer selbst Sicherheitsaufgaben wahrnimmt und Kompetenz sowie Verantwortungsbereitschaft durch präzise Vorgaben und vorbildliches Verhalten deutlich macht, kann von den Mitarbeitern aller betrieblichen Ebenen das erforderliche Maß an Akzeptanz und Risikobewußtsein sowie von der Personalvertretung die gebotene Unterstützung bei der Realisierung von Sicherheitsvorhaben erwarten. Vorgesetzte tragen die Verantwortung für die Sicherheit der Daten und Informationen ihres Arbeitsbereichs.
Es wirkt sich in jeder Hinsicht positiv aus, wenn die Unternehmensleitung den Regelkreis der betrieblichen Risikobewältigung selbst steuert, kontrolliert und optimiert. Sie sollte sich die Entscheidung über die Umsetzung interner und externer Informationen in Sicherheitsüberlegungen und Gegenmaßnahmen - etwa in bezug auf die Informationspolitik - nicht nehmen lassen.
Zu den unverzichtbaren Rahmenbedingungen gehört auch eine der Komplexität der Aufgabe und den gestellten Anforderungen angemessene Sach- und Personalausstattung der Sicherheitsorganisation. Allerdings ist Informationsschutz nicht nur eine Aufgabe des Sicherheitsverantwortlichen und seines Teams. Es muß gelingen, die Verantwortung jeder einzelnen Person, Arbeits- ebene und Organisationseinheit für den Gesamterfolg deutlich zu machen und teilweise unterschiedliche Interessen verfolgende Partner für eine einheitliche Konzeption zu gewinnen.
Einfache, klare und leicht verständliche Vorschriften sind Grundvoraussetzung für effizienten Informationsschutz. Von überflüssigem Ballast befreite innerbetriebliche Instruktionen erleichtern auch weniger geübten Mitarbeitern die praktische Anwendung von Sicherheitsmaßnahmen. Bei Bedarf muß Hilfestellung im Umgang mit diesen Bestimmungen gegeben werden.

2.4 Stufenplan

 2.4.1
Die Erarbeitung und Implementierung der Sicherheitskonzeption3 ist ein überaus komplexer Vorgang, der schon aus qualitativen Gründen nur schrittweise vollzogen werden sollte. Die vorgeschlagene Vorgehensweise soll verhindern, daß Sicherheitsmaßnahmen losgelöst vom Bewußtseinsstand der Mitarbeiter eingeführt und dem Unternehmen quasi unvorbereitet übergestülpt werden. Zudem bietet eine derart differenzierte Betrachtungsweise Gewähr dafür, daß keine grundlegenden Gesichtspunkte übersehen werden.
Auch die Umsetzung der Maßnahmen selbst wird aus organisatorischen, finanziellen und psychologischen Gründen in der Mehrzahl der Fälle eher stufenweise vorgenommen werden müssen.
2.4.2
Die vielschichtige Aufgabenstellung und die notwendige Einbindung aller betroffenen Arbeitsbereiche legen es nahe, eine Projektgruppe mit der Erstellung einer Konzeption Informationsschutz zu beauftragen. Sie kann mit Hilfe erprobter Managementmethoden den Rahmen für den Ressourceneinsatz definieren, Vorarbeiten koordinieren, Analysen veranlassen, Strategien zur Umsetzung der Analysenergebnisse festlegen, Restrisiken aufzeigen, die notwendigen Kosten ermitteln, Entscheidungen herbeiführen und den Fortgang der Angelegenheit überwachen. Im Bedarfsfall kann die Hinzuziehung externer Berater erwogen werden.
Durch Analysen der unterschiedlichsten Art, in die auch die Mitarbeiter eingebunden werden können (Systemaudit), soll zunächst eine Gesamteinschätzung (Ist-Zustand) des Unternehmens unter Sicherheitsgesichtspunkten erreicht werden. Wichtig ist eine solide Bestandsaufnahme zu den Fragen, welche Gefahren dem Unternehmen von außen drohen und wo es intern verwundbar ist. Ziel ist vor allem, das Zusammenwirken mehrerer Gefährdungsfaktoren und die daraus abzuleitende Gefahrenpotenzierung bereits im Ansatz zu erkennen. Dies setzt nicht nur eine detaillierte Kenntnis der sicherheitsrelevanten Entscheidungs-, Informations- und Arbeitsprozesse voraus, sondern auch eine Auseinandersetzung mit der Frage, was überhaupt als schützenswertes Betriebsgeheimnis anzusehen ist. Auch die sinnvolle Verknüpfung vieler, anscheinend bedeutungsloser Informationen kann zu wichtigen neuen Erkenntnissen führen. In diesem Zusammenhang muß versucht werden, das eigene Unternehmen mit den Augen eines potentiellen Angreifers - Nachrichtendienst oder Konkurrent - zu sehen. Bei der Durchführung von Analysen kann auf verschiedene Techniken und Hilfsmittel zurückgegriffen werden. Gebräuchliche Methoden sind In der Praxis wird sich häufig - je nach geforderter Flexibilität und Sicherheitsbedarf im Unternehmen - eine Kombination der beschriebenen Verfahren feststellen lassen. Dabei kann auf Hilfsmittel wie bereichs- und problemorientierte Checklisten, Toolprogramme und Sicherheitshandbücher zurückgegriffen werden. Nach Auffassung des Landesamts bietet sich die nachfolgend beschriebene Vorgehensweise an.
Die Bedrohungs-/Schwachstellenanalyse erfaßt auf der Basis einer möglichst realistischen Lagedarstellung konkrete Bedrohungen und Ereignisse, die Verletzungen der Informationssicherheit zur Folge haben könnten, geht auf Problembereiche ein und nimmt Stellung zur Eintrittswahrscheinlichkeit bzw. Schadenshäufigkeit. Jede Bedrohung stellt für das Unternehmen eine latente Gefahr dar, sie wird im Zusammenwirken mit einer Schwachstelle zu einem Risiko, dessen Wertigkeit sich aus Schadenshöhe und Schadenseintrittshäufigkeit ermitteln läßt.
Die kommerziellen Folgen einer potentiellen Verletzung der Informationssicherheit und der wirtschaftliche Nutzen von Sicherheitsmaßnahmen können mit dem Instrument der Risikoanalyse beurteilt werden. Auch wenn die Verluste häufig nicht exakt meßbar sein dürften, so ist dennoch unter Berücksichtigung folgender quantitativer und qualitativer Faktoren eine Bezifferung in möglichst präzisen DM-Beträgen anzustreben: Das Informationsschutzkonzept soll gewährleisten, daß die Kette der Informationsverarbeitung von der Entstehung einer Idee bis zur Vernichtung entsprechender Unterlagen kein schwaches Glied aufweist.
Die Auswahl und Festlegung der Prioritäten von notwendigen und geeignet erscheinenden Sicherheitsmaßnahmen erfolgt unter Berücksichtigung der Ergebnisse der Risikoanalyse auf der Basis von Kosten-Nutzen-Entscheidungen. Es muß festgelegt werden, welche Informationen und Objekte absoluten Schutz erfordern (und wo sich ein überproportionaler finanzieller Einsatz lohnt), wo ein Teilschutz genügt, welche Risiken in Kauf genommen werden können und in welcher zeitlichen Reihenfolge einzelne Sicherheitsmaßnahmen zur Ausführung gelangen sollen. Hilfreich sind in diesem Zusammenhang folgende Überlegungen: Die Realisierung des Konzepts besteht schwerpunktmäßig darin, die konzeptionell festgelegten und von der Unternehmensleitung gebilligten Maßnahmen verbindlich einzuführen und die organisatorischen Voraussetzungen für eine erfolgreiche Umsetzung zu schaffen. In einem Leitbild "Sicherheit" kann der Verankerung des Sicherheitsgedankens in der Unternehmensphilosophie und der daraus abzuleitenden Firmenpolitik sichtbar Ausdruck gegeben werden. Es sollte die - durch praktische Handlungsanweisungen konkretisierten - wesentlichen Unternehmensziele in sicherheitsmäßiger Hinsicht enthalten.
Prävention bedarf der Kontrolle, sie erhält die Wachsamkeit. Prävention ist ein stumpfes Schwert, wenn Sicherheitsverstöße nicht sanktioniert werden. Die Ankündigung von Sanktionen ohne entsprechende Ahndung führt zur Nichtbeachtung von Schutzmaßnahmen.
Betriebsinternen Veränderungen und neuen technischen Möglichkeiten muß durch die permanente Fortschreibung der Konzeption Rechnung getragen werden.

2.5 Maßnahmen

 Durch die Kombination sorgfältig aufeinander abgestimmter personeller, materieller (technischer, organisatorischer) und rechtlicher Maßnahmen wird eine umfassende Schutzwirkung erzielt. Der Verzicht auf einen der genannten Bestandteile führt zwangsläufig zu Sicherheitslücken.
Die Schutzmaßnahmen müssen ausgewogen, praktikabel und jederzeit wirksam sein, abwehrenden und präventiven Charakter besitzen sowie eine sofortige Verfolgung der festgestellten Sicherheitsverstöße erlauben.
2.5.1
Personelle Maßnahmen
2.5.1.1
Mitarbeiter - in allen Bereichen und auf allen Ebenen - können mehr verraten, als fremde Nachrichtendienste oder Konkurrenten auf andere Weise je herauszufinden in der Lage wären. Konsequenterweise sind die meisten und schwerwiegendsten Sicherheitsverletzungen auf menschliches Fehlverhalten der "Geheimnisträger" im eigenen Unternehmen zurückzuführen, die Abläufe und Schwachstellen in ihrer Firma bestens kennen. Der zunehmende Wertewandel in der Gesellschaft - verbunden mit einer veränderten Einstellung zur Arbeit an sich und der inneren Bindung an den Arbeitgeber - verleitet Menschen in weitaus stärkerem Maße als früher zur Illoyalität. Häufig ist keinerlei Unrechtsbewußtsein festzustellen. Betriebliche Sicherheitskonzepte müssen deshalb gezielt auf die "Schwachstelle Mensch" ausgerichtet sein und die Erhöhung des Sicherheitsbewußtseins, der Kompetenz und der Akzeptanz zum Ziel haben.
Die entsprechenden Maßnahmen müssen den gesamten Beschäftigungszyklus eines Mitarbeiters umfassen. Die richtige Personalauswahl und die konsequente Einhaltung moderner Führungsgrundsätze dürften die kostengünstigsten Mittel des vorbeugenden Informationsschutzes sein.
2.5.1.2
Herzstück der Informationssicherheit ist die Zuverlässigkeit der Menschen in sensiblen Verwendungen. Das Prinzip Verantwortung muß bei immer mehr Mitarbeitern zu einem entscheidenden Faktor ihres Handelns werden. Durch eine entsprechende Personalpolitik (Führung, Förderung, Betreuung) können dafür günstige Voraussetzungen geschaffen werden.
Informationsverluste hätten vielfach schon durch eine sorgfältigere Personalauswahl - unter Einbeziehung der Möglichkeiten moderner Personaldiagnostik sowie Ausschöpfung aller externen Informationsquellen - verhindert oder gemindert werden können. Hier kommt es in erster Linie auf die Echtheit, Lückenlosigkeit und Schlüssigkeit der Bewerbungsunterlagen sowie den persönlichen Eindruck des Bewerbers an. Im Einzelfall sollte man sich nicht scheuen, Kontakt zu Sicherheitsbehörden aufzunehmen, wenn Anhaltspunkte für einen nachrichtendienstlich beeinflußten Lebenslauf oder sonstige Auffälligkeiten zu erkennen sind. Erfahrungsgemäß kommt es in Konfliktsituationen besonders auf die charakterliche Qualität und die psychische Stabilität von Mitarbeitern an. Auch die wirtschaftliche Situation kann eine nicht unerhebliche Rolle spielen. Die Besetzung von Stellen in hochsensiblen Arbeitsbereichen sollte niemals ohne Beteiligung des Sicherheitsverantwortlichen erfolgen.
Dem Grundsatz der Prävention muß durch ein bewußtseins-, kompetenz- und akzeptanzförderndes Sensibilisierungsprogramm (Information und Schulung) Rechnung getragen werden, das sowohl der aktuellen Gefährdungssituation Rechnung trägt als auch das gewandelte Selbstverständnis der heutigen Generation berücksichtigt. Die Einführung neuer Sicherheitsmaßnahmen kann nicht mehr einfach befohlen, sondern muß psychologisch geschickt vorbereitet werden. Es hat sich als sinnvoll erwiesen, zunächst eine allgemeine Grundsensibilisierung vorzunehmen und dieses Niveau durch ergänzende Maßnahmen zu erhalten bzw. ggf. zielgruppenorientiert weiter zu steigern. Management, Führungskräfte, Verantwortliche und Mitarbeiter mit Zugang zu Betriebsgeheimnissen aller Art, professionelle Informationsmittler (z. B. Werbe- und PR-Mitarbeiter, Vertriebspersonal) und die im Bereich Unternehmenssicherheit selbst eingesetzten Mitarbeiter verdienen in diesem Zusammenhang besondere Aufmerksamkeit. Der Aufwand für ausführliche persönliche (anlaß- oder zeitbezogene) Gespräche lohnt sich.
2.5.2
Organisatorische Maßnahmen
2.5.2.1
Der Bedeutung des innerbetrieblichen Informationsschutzes ist auch durch organisatorische Maßnahmen Rechnung zu tragen. Die Organisationsstrukturen4 sind auf der Basis der Schwachstellenanalyse modernen informationstechnischen Gegebenheiten anzupassen. "Selbstlernende Organisationseinheiten" tragen dazu bei, die Sicherheitslage eines Unternehmens auf Dauer positiv zu gestalten.
2.5.2.2
Bestellung eines Sicherheitsverantwortlichen
Die Bestellung eines fachlich versierten, unternehmensweit zuständigen, mit umfassenden Kompetenzen und einem fest umrissenen Aufgabenfeld ausgestatteten Sicherheitsverantwortlichen (Sicherheits-Manager) mit entsprechendem Persönlichkeitsprofil ist für die Erreichung eines akzeptablen Sicherheitsniveaus unerläßlich. In größeren Unternehmen sollte daran gedacht werden, einen oder mehrere Mitarbeiter ausschließlich mit diesen Aufgaben zu be- trauen bzw. eine - auch über den Informationsschutz hinaus - für Grundsatzfragen, Analysen, Konzepte und sicherheitspolitische Leit- und Richtlinien zuständige Organisationseinheit "Unternehmenssicherheit" einzurichten.
Der Sicherheitsverantwortliche sollte möglichst hochrangig in der Firmenhierarchie verankert sein, in alle sicherheitsrelevanten Abläufe und Planungen eingebunden werden und auf die Unterstützung von Fachleuten aus den unterschiedlichsten Sparten (Datenverarbeitung, Datensicherheit, Technik) zurückgreifen können. Besonders bedeutsam erscheint die enge Zusammenarbeit mit Forschung und Vertrieb (Projekt-Manager, Produkt-Manager, Begutachtung der zur Veröffentlichung vorgesehenen Prospekte, Handbücher, Dokumentationen, Forschungsberichte), der Personalabteilung (Inhalt der Stellenanzeigen, Einfluß auf Personalauswahl) sowie mit Revision und Datenschutz. Durch intensive Kontakte zu Sicherheitsbehörden, Selbstschutzorganisationen der Wirtschaft (z. B. Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V. und entsprechende Regionalverbände) und Sicherheitsverantwortlichen anderer Unternehmen können der aktuelle Wissensstand verbessert und drohende Problemstellungen frühzeitig erkannt werden.
2.5.2.3
Schriftliche Anweisungen und Empfehlungen
Die im Leitbild "Informationssicherheit" in allgemeiner Form postulierten Unternehmensgrundsätze zum Informationsschutz müssen durch bereichsspezifische oder zielgruppenorientierte schriftliche Anweisungen und Empfehlungen konkretisiert werden. Verständlich formuliert, übersichtlich gegliedert und auf das Notwendige beschränkt, sind sie das geeignete Mittel, die Belegschaft auf effiziente Weise über die Sicherheitskonzeption des Unternehmens, bestehende Schutzmaßnahmen und persönliche Sorgfalts-, Melde- und Geheimhaltungspflichten zu unterrichten.
Eine fachkundige Erläuterung dieser Vorschriften und unbürokratische Hilfestellung bei der praktischen Umsetzung erhöhen die Akzeptanz deutlich.
2.5.2.4
Kontrollen
Die dynamische Entwicklung technischer Möglichkeiten sowie betriebsinterne Veränderungen bei Geschäftsabläufen und Produktionsprozessen erfordern eine regelmäßige, im Idealfall begleitende Überprüfung der konzeptionellen Überlegungen und Tests der Sicherheitssysteme. Die Beteiligung der innerbetrieblichen Revision wird empfohlen. Kriterien zur Feststellung des Zielerreichungsgrads sind die Verfügbarkeit und Wirksamkeit der unterschiedlichen Komponenten, der Realisierungsgrad der erforderlichen Maßnahmen und der Grad der Akzeptanz. Festgestellte Mängel müssen beseitigt werden, Sicherheitsverstöße dürfen nicht ohne Konsequenzen bleiben.
2.5.3
Bauliche und technische Maßnahmen
2.5.3.1
Spionagefälle werden oft dadurch begünstigt, daß Betriebsfremde unerkannt und ohne große Hindernisse überwinden zu müssen an schutzwürdige Bereiche eines Unternehmens herankommen oder diese gar betreten können. Dieser Gefahr kann durch die bauliche, mechanische und elektronische Absicherung des gesamten Werkskomplexes sowie einzelner Gebäude, Gebäudeteile, Räume oder Objekte entgegengewirkt werden. Die Schutzfunktion der meisten technischen Einrichtungen steht und fällt mit ihrer sachgemäßen Bedienung.
Bei der Planung von Bauvorhaben sind von Anfang an Sicherheitsüberlegungen zu berücksichtigen, da eine nachträgliche Veränderung oder technische Aufrüstung oft nicht mehr möglich oder mit erheblichen zusätzlichen Kosten verbunden ist. Die Beteiligung des Sicherheitsverantwortlichen sollte grundsätzlich bei jedem Planungsvorhaben erfolgen.
2.5.3.2
Der Einsatz moderner Sicherheitstechnik muß im Hinblick auf die erheblichen Kosten besonders sorgfältig auf die jeweilige Gefährdungssituation ausgerichtet werden. Eine Überdimensionierung ist in jedem Fall zu vermeiden. Folgende Überlegungen sind geeignet, technische Mittel sachgerecht in die Gesamtkonzeption zu integrieren: Sicherheitsprobleme sind aus wirtschaftlichen Erwägungen vorrangig durch organisatorische Maßnahmen zu lösen. Erst wenn der Aufwand für eine entsprechende organisatorische Regelung unangemessen hoch erscheint, eine unvertretbare Beeinträchtigung betrieblicher Abläufe befürchtet werden muß oder die Zielvorstellungen durch organisatorische Maßnahmen nicht oder nur in unzureichendem Maße realisiert werden können, sollten technische Lösungen zum Einsatz kommen. Eigenwirkung der Technik Die Überfrachtung technischer Mittel durch zusätzliche organisatorische Maßnahmen bringt keinen zusätzlichen Sicherheitsgewinn und lähmt die Eigenverantwortung der Betroffenen. Hoher Qualitäts- und Produktstandard Nur hochwertige und technologisch auf dem neuesten Stand befindliche Produkte und Systeme erfüllen die Anforderungen, die in Anbetracht des rasanten technischen Fortschritts gerade auch im Bereich der Sicherheitstechnik gestellt werden müssen . Die notwendige Akzeptanz auf der Nutzerseite kann nur dann erwartet werden, wenn die technischen Sicherheitsmaßnahmen mit den Prinzipien einer offenen und freien Gesellschaft vereinbar, auf die Betroffenen abgestimmt und für diese durchschaubar sind.
2.5.4
Rechtliche Maßnahmen
2.5.4.1
Die Schutzwirkungen rechtlicher Maßnahmen sind nicht immer unmittelbar zu erkennen, deshalb werden sie gerne unterschätzt. Zumindest tragen sie aber dazu bei, finanzielle Verluste in Grenzen zu halten und potentielle Wirtschaftsspione abzuschrecken.
Die erfolgreiche Durchsetzung arbeitsrechtlicher, strafrechtlicher und zivilrechtlicher Ansprüche setzt ausgefeilte vertragliche Regelungen voraus. Innovative Entwicklungsvorhaben und gewerblicher Rechtsschutz müssen Hand in Hand gehen.
2.5.4.2
Durch entsprechende Passagen in Arbeitsverträgen und Betriebsvereinbarungen kann das Unternehmen Sanktionen und haftungsrechtliche Bestimmungen bei unbefugter Nutzung sensibler Daten vereinbaren, die Rückgabe betrieblicher Unterlagen beim Ausscheiden regeln und Geheimschutzklauseln von vornherein auf die Zeit nach dem Ende des Arbeitsverhältnisses ausdehnen.
Die Anmeldung von Patenten und Gebrauchsmustern ist durchaus eine geeignete Schutzmaßnahme, allerdings unter Sicherheitsaspekten nicht unumstritten, weil dadurch schützenswerte Informationen häufig erst Dritten zugänglich gemacht werden.

2.6 Besondere Risikobereiche

Die Realisierung von Sicherheitsmaßnahmen auf der Basis einer Gesamteinschätzung des Unternehmens wirkt sich grundsätzlich in allen Organisationseinheiten positiv aus. Dennoch macht es Sinn, Arbeitsfelder mit spezifischen Problemstellungen oder neu auftretende Risikobereiche eigenständigen Untersuchungen zu unterziehen. Dies trifft beispielsweise für die Informationstechnik und die immer weiter verbreitete Neigung von Unternehmen zu, aus Kostengründen einzelne Unternehmensbereiche auszugliedern oder bestimmte Aufgaben an Fremdfirmen zu übertragen. Die Beschäftigung von Diplomanden und Praktikanten wird als Beispiel einer alltäglichen Praxis erwähnt, deren sicherheitsmäßiger Aspekt viel zu wenig beachtet wird.
2.6.1
Informationstechnik (IT)
2.6.1.1
Immer leistungsfähigere elektronische Informations- und Kommunika- tionsmittel, die verschiedene Dienste in einem Netz integrieren, gestalten betriebsinterne Abläufe um, erleichtern und beschleunigen den Verkehr der Wirtschaftsunternehmen untereinander und intensivieren den Austausch wissenschaftlicher Erkenntnisse. Die Werte der Informationen auf den Computersystemen wachsen permanent an, gleichzeitig eröffnet die weltweite Vernetzung unterschiedlichster Einzelsysteme fast nicht mehr kontrollierbare Zugangs- und Zugriffsmöglichkeiten berechtigter und unberechtigter Nutzer auch auf firmeninterne Netze. Zudem werden die Erstellung detaillierter Firmenprofile sowie die Ausforschung von Entscheidungsprozessen durch weitreichende Auswertungsmöglichkeiten erleichtert. Dadurch ergeben sich wesentlich umfassendere und risikolosere Möglichkeiten der illegalen Informationsbeschaffung bei relativ geringem Aufwand. Die zunehmende Anzahl "naiver" Benutzer, die über keinerlei Kenntnis der komplexen Strukturen moderner Kommunikationsnetze verfügen, vergrößert die Sicherheitsprobleme zusätzlich.
Es ist ein weitverbreiteter Irrglaube, daß moderne Kommunikationstechnik automatisch vor Informationsverlusten schützt. So ist beispielsweise häufig noch nicht in vollem Umfang bekannt, welche Risiken in sicherheitsmäßiger Hinsicht die per Datenfernübertragung mögliche Fernwartung/Ferndiagnose bei software-gesteuerten Geräten wegen der damit verbundenen Informations- und Eingriffsmöglichkeiten aufweist. Durch den Anschluß eines Rechners an das Internet entstehen weitere Gefährdungsmomente.
Informationsverluste sind in erster Linie durch zu erwarten. Darauf sollten sich auch die Schutzmaßnahmen konzentrieren.
Durch dilettantisches Vorgehen wird häufig der ursprüngliche Schaden nur noch vergrößert. Die besonderen Gefährdungspotentiale moderner Informations- und Kommunikationssysteme legen eine Inanspruchnahme externer Berater nahe. Das Bundesamt für Sicherheit in der Informations- technik (BSI) hat zahlreiche Schriften und Faltblätter zu dieser Thematik veröffentlicht.
2.6.1.2
Die konzeptionelle Aufarbeitung von Sicherheitsmaßnahmen im IT-Bereich erfolgt grundsätzlich in Anlehnung an die bereits beschriebenen Methoden und Arbeitsschritte: Status-Definition, Bedrohungs-/Schwachstellenanalyse, Risikoanalyse, Erstellung und Realisierung einer Konzeption (Grund- und Aufbauschutz), Kontrolle und Fortschreibung der getroffenen personellen, organisatorischen, technischen und infrastrukturellen Maßnahmen. Die für den ITGrundschutz statthaften pauschalen Ansätze von Maßnahmenempfehlungen sind allerdings nicht ohne weiteres für hochschutzbedürftige IT-Systeme ausreichend. Je nachdem, ob es sich bei der eingesetzten Konfiguration um handelt, sind zum Schutz vor abgestufte Maßnahmen bezüglich der vorzusehen. 2.6.2
Zusammenarbeit mit Fremdfirmen 2.6.2.1
Mit der Ausgliederung einzelner Unternehmensbereiche und der Übertragung bestimmter Aufgaben an Fremdfirmen geht immer auch die Gefahr des ungewollten Know-how-Abflusses einher. Besonders kritisch sind Aufträge an Fremdentwickler, der Einsatz privater Sicherheitsdienstleister oder die Übertragung von EDV-Aufträgen an Externe. 2.6.2.2
Geschäftsverbindungen aller Art (z. B. auch mit wissenschaftlichen Institutionen), die das Risiko von Informationsverlusten in sich bergen, sollten intensiv auf Schwachstellen untersucht werden. Über die sorgfältige Auswahl der Geschäftspartner hinaus muß besonderes Augenmerk auf die Gewährleistung eines vergleichbaren Sicherheitsniveaus gelegt werden. Dies könnte durch die Integration des Partnerunternehmens in das eigene Sicherheitssystem und die vertragliche Zusicherung bestimmter Sicherheitsstandards erreicht werden. Der laufenden Kontrolle der Einhaltung der Sicherheitsanforderungen kommt ebenfalls entscheidende Bedeutung zu.
Beim Einsatz von Fremdfirmen (z. B. Wartungs- und Reinigungsdienste) auf dem eigenen Betriebsgelände sollten personelle Sicherheitsmaßnahmen und die vertragliche Vereinbarung bestimmter Standards ebenfalls die Regel sein. Der Auftraggeber sollte zumindest über das eingesetzte Personal umfassend informiert werden und berechtigt sein, ggf. einzelne Fremdfirmen-Angehörige - ohne Angabe von Gründen - zurückzuweisen.
2.6.3
Beschäftigung von Diplomanden/Praktikanten
Bei der Beschäftigung von Diplomanden und Praktikanten - vor allem aus Ländern mit einem großen Technologierückstand - liegt die Gefahr des Know-how-Verlustes auf der Hand. Eine unbeaufsichtigte Tätigkeit am Abend oder am Wochenende erleichtert den Zugriff auf Unternehmensdaten. Zumindest die Beschäftigung in sensiblen Bereichen mit umfangreichen Zugangsmöglichkeiten sollte sorgsam geprüft und ggf. von Sicherheitsmaßnahmen begleitet werden.

3. Behandlung eines Spionagefalls und Möglichkeiten der Schadensbegrenzung

3.1


Auch das ausgefeilteste Informationsschutzkonzept garantiert keinen absoluten Schutz gegen Informationsverluste. Um den im konkreten Einzelfall drohenden Schaden möglichst gering zu halten, müssen alle erdenklichen Anstrengungen unternommen werden, die "undichte Stelle" frühzeitig zu entdecken und wirksame Gegenmaßnahmen zu treffen. Durch eigene Umfeld-/Marktanalysen und die Verpflichtung der Mitarbeiter zur Meldung relevanter Sachverhalte kann die "Frühwarnfunktion" des Sicherheitsverantwortlichen eine deutliche Verbesserung erfahren. Nichts sollte dem Zufall überlassen bleiben, denn selbst in diesem Stadium kann professionelles Verhalten noch eine erhebliche Schutzwirkung entfalten. Die Vorlage beweiskräftiger Unterlagen kann die Erfolgsaussichten rechtlicher Maßnahmen deutlich erhöhen.
Die Zahl der Verdachtshinweise aus der Wirtschaft an die Sicherheitsbehörden ist außerordentlich gering und entspricht bei weitem nicht ihrer Bedeutung als Ausspähungsziel. Es gilt, im Interesse einer grundlegenden Verbesserung des Informationsschutzes im Wirtschaftsbereich die offensichtlich noch vorhandenen "Informationsreserven" auszuschöpfen. Die Analyse aller verfügbaren Informationen ist unverzichtbare Basis einer wirksamen Prävention.

3.2


Nur in Ausnahmefällen gibt es konkrete personenbezogene Hinweise oder wird ein Spion auf frischer Tat ertappt. Die Aufdeckung von Spionagefällen ist in aller Regel auf die Auswertung vager Hinweise zurückzuführen, die einzeln oder in ihrer Gesamtheit auf einen Verratsfall hindeuten. Indikatoren für das Vorliegen eines Spionagefalls können direkt eine bestimmte Person betreffen, aber auch auf das eigene Unternehmen oder Geschäftspartner bezogen sein. Daneben gilt es, die Fülle all jener sonstiger Faktoren, die im Einzelfall den Verlust von Know-how begünstigen können, zu berücksichtigen.
Hinweise von Betriebsangehörigen sind ausnahmslos ernst zu nehmen. Im Bedarfsfall muß eine vertrauliche Behandlung der Mitteilung zugesichert und auch eingehalten werden. Der Sicherheitsverantwortliche koordiniert die notwendigen Ermittlungsschritte und entscheidet über die Einschaltung externer Spezialisten. Zumindest kleinere Unternehmen dürften angesichts der personellen und materiellen Möglichkeiten der Geheimdienste fremder Staaten oder konkurrierender Konzerne überfordert und auf die Hilfe von außen angewiesen sein. Die Furcht vor Imageverlusten sollte kein Unternehmen davon abhalten, vertrauensvoll mit den jeweils zuständigen Sicherheitsbehörden zusammenzuarbeiten, da sonst die Chance vertan wird, die eigenen Erfahrungen aus einem Spionagefall der gesamten gewerblichen Wirtschaft zugutekommen zu lassen.

3.3


Das Landesamt für Verfassungsschutz Baden-Württemberg bietet im Rahmen der Sicherheitspartnerschaft mit der Industrie Hilfe zur Selbsthilfe an. Ziel ist, Entscheidungsträger in Wirtschaft und Wissenschaft mit aktuellen und über den Wissensstand der öffentlichen Medien hinausgehenden Informationen aus den originären Aufgabenbereichen des Verfassungsschutzes (Terrorismus, Links-, Rechts- und Ausländerextremismus, Spionageabwehr, Scientology-Organisation) zu versehen.
Unternehmen in Baden-Württemberg können anlaßbezogen oder in allgemeiner Form individuelle Empfehlungen zur personellen, organisatorischen und technischen Sicherheit erhalten. Personenbezogene Auskünfte (beispielsweise im Rahmen von "Sicherheits-Checks") können in diesem Zusammenhang aufgrund der strikten gesetzlichen Vorgaben (§ 10 Abs. 4 LVSG) allerdings nicht erteilt werden.
Interessenten wenden sich bitte schriftlich oder telefonisch an das 
        Landesamt für Verfassungsschutz
        Baden-Württemberg
        Abteilung 4 (Spionageabwehr, Geheim- und Sabotageschutz) -
        Postfach 50 07 00
        70337 Stuttgart
        Tel.: 0711/95 44-301
        Fax: 0711/95 44-444
Anregungen und Kritik greift das Landesamt gern auf.

4. Anhang

 Die nachfolgende Literaturliste stellt eine unvollständige Auswahl der zu den behandelten Themen erschienenen Beiträge dar:
(Autoren/Herausgeber/Titel)
KES 93/4, S. 63 ff.
PUBLIKATIONEN DES LANDESAMTES FÜR VERFASSUNGSSCHUTZ BADEN-WÜRTTEMBERG Öffentlichkeitsarbeit, Taubenheimstraße 85 A, 70372 Stuttgart, Tel.: 0711/9544-181/182, Fax: 0711/9544-444 Stand: 18.03.1997