Erlkönige

Für viele Unternehmen heißt es heute, sich auf ihre Kernkompetenzen zu konzentrieren, um am internationalen Markt bestehen zu können. Diese Konzentration auf das Wesentliche bedeutet automatisch aber auch das Outsourcen von Aufgaben, die für das Unternehmen zwar wichtig sind, aber nicht zu dessen definierten Kernkompetenzen gehören. Von diesem externen Einkaufen von Dienstleistungen lebt heute ein ganzer Wirtschaftszweig, Datensicherheitsfirmen eingeschlossen.

Ein in Norddeutschland ansässiges mittelständisches Unternehmen aus dem Bereich der Medizintechnik hatte sich ganz auf die Entwicklung von Geräten spezialisiert. Nachdem ein Gerät bis zur Serienreife entwickelt worden war, wurden die Komponenten aus Kostengründen im Ausland bei entsprechenden Lohnarbeitsfirmen gefertigt. Um sicherzustellen, dass keine dieser Firmen genau wusste, was sie herstellten, wurde die Herstellung der Geräteeinzelteile auf verschiedene Unternehmen aufgesplittet. Die Endmontage der einzelnen Teile zum fertigen Gerät und die Qualitätskontrolle erfolgte dann wieder bei dem deutschen Entwicklungsunternehmen. Zum Vertrieb der Geräte wurden dann mit anderen Firmen OEM-Verträge geschlossen.
Da sich das Unternehmen mehr auf die Entwicklung spezialisiert hatte, war es von seiner Struktur her eher einem typisch amerikanischen Think Tank ähnlich und ein erheblicher Teil der Unternehmenseinnahmen wurden auch wieder in neue Entwicklungstätigkeiten reinvestiert.

Einen herben Rückschlag erlitt das Unternehmen erstmals im Herbst 1997, als ein neu entwickeltes Gerät gerade für die Markteinführung vorbereitet wurde und ein Mitbewerber im Markt ein sehr ähnliches Gerät mit gleichen Leistungseigenschaften vier Monate früher auf den Markt brachte. Zu alledem wurde das Konkurrenzprodukt auch noch ca. 10% preiswerter angeboten. Damit war mit einem Schlag der erhoffte Absatzmarkt für die Neuentwicklung stark beeinträchtigt und die erhofften Umsatz- und Gewinnerwartungen mussten drastisch zurück geschraubt werden.

So etwas kann schon einmal passieren, jedoch passierte es dem Unternehmen von nun an mit praktisch jeder Neuentwicklung, dass diese ca. 3 - 4 Monate vor Markteinführung durch einen Mitbewerber auf den Markt gebracht wurden. Ebenfalls auffällig daran war, dass bei den Konkurrenzgeräten einige Konstruktionsdetails doch eine geradezu verblüffende Ähnlichkeit mit der eigenen Konstruktion aufwiesen. Man mutmaßte deshalb im Herbst 1999, dass hier ein Fall von Wirtschaftsspionage vorliegen könnte. Da in der Zwischenzeit die Konkurrenz im Markt die Nase vorn hatte, wurde es für das Unternehmen langsam kritisch, da die Entwicklungskosten sehr hoch waren und die Umsatz- und Gewinnerwartungen jedes Jahr niedriger ausfielen. Die finanziellen Probleme des Unternehmens zehrten bereits an der Substanz und es musste Personal entlassen werden. Durch den Verdacht der Industriespionage sah sich die Unternehmensführung gezwungen, externe Hilfe zur Aufklärung des Verdachts in Anspruch zu nehmen.

Es wurde eine Detektei mit der Ermittlung beauftragt, ob einer der Angestellten mit den Vorfällen etwas zu tun haben könnte. Es herrschte wohl bei der Unternehmensleitung noch der Glaube vor, Wirtschaftsspione würden Trenchcoat und dunkle Schlapphüte tragen und mit Minox Kameras die Blaupausen abfotografieren.

Die Ermittlungen der Detektei konnten keinerlei Verdachtsmomente erbringen, dass ein Mitarbeiter des Unternehmens sich durch Weiterleiten von Konstruktionsunterlagen ein Zubrot verdiente. Die Detektei äußerte deshalb den Verdacht, ob vielleicht durch technische Maßnahmen Spionage betrieben würde, also z.B. Hacker in das firmeninterne Netzwerk eingedrungen sein könnten und dabei von den Konstruktionsdaten Kopien angefertigt haben.

Das Entwicklungsunternehmen nahm Datensicherheitsbelange sehr ernst. Die Unternehmensleitung war sich sehr wohl bewusst, dass ihr Erfolg im Markt nur durch die konsequente Erarbeitung und Anwendung von qualitativ hochwertigen Informationen zu erklären war, dass praktisch Informationen und deren effiziente Verarbeitung das gesamte Unternehmen überhaupt existieren ließen. Entsprechend hohen Stellenwert hatte der Informationsschutz im Unternehmen. Das Unternehmen verfügte über einen fachlich qualifiziert ausgebildeten hauptberuflichen Datenschutzbeauftragten, der über die gesetzlichen Vorgaben hinaus für die gesamte Datensicherheit im Unternehmen zuständig war. Für die Unternehmensleitung war Datensicherheit ein integraler Bestandteil aller Unternehmensprozesse.

Da die Datensicherheit in diesem Unternehmen sehr gut dokumentiert war und anhand eines Sicherheits-Audits der hohe technische Sicherheitsstandard im Unternehmen bestätigt wurde, musste ein anderer Lösungsansatz gefunden werden. Dabei wurde der gesamte Abwicklungsprozess einer Entwicklung, von der ersten Idee bis hin zum Prototypen und den Vorseriengeräten überprüft und dokumentiert. Im Rahmen dieses Prozess-Audits kam man zu der Erkenntnis, dass ab einer gewissen Entwicklungsstufe man selbst viele Dienstleistungen extern einkaufte bzw. vertraglich an andere Unternehmen fest vergeben hatte. Dabei fiel auf, dass es durch dieses Outsourcing ein Fachunternehmen gab, welches sich auf unterschiedliche Arten des Prototypenbaus spezialisiert hatte. Abgesehen von der Entwicklungsabteilung selbst war dieses Unternehmen der einzige Punkt außerhalb, an welchem die gesamten Gerätedaten zusammen kamen, nämlich um den ersten Prototypen zu bauen.

Mit Zustimmung des Unternehmensleitung des Prototypbauers durften wir ein kurzes und oberflächliches Sicherheits-Audit durchführen und kamen zu der Erkenntnis, dass das Unternehmen in datentechnischer Hinsicht in geradezu desolatem Zustand war und, obwohl ISO 9000 zertifiziert, praktisch keinerlei Datensicherheitsmaßnahmen implementiert waren. Es existierte nicht einmal ein Antiviren-Produkt und selbst die Sicherungskopien von den Servern wurden nur sporadisch durchgeführt. Es ergab also durchaus Sinn, als Wirtschaftsspion bei diesem Unternehmen anzusetzen, da hier praktisch keine Schutzmaßnahmen vorhanden waren.

Zwar war darüber nicht unmittelbar nachzuweisen, dass bei dem Unternehmen, welches den Prototypenbau durchführte, auch tatsächlich die Wirtschaftsspionage stattfand, doch wurden andere Schutzmaßnahmen getroffen, die ebenfalls zum Ziel führten. Es wurden wie in der Endgerätefertigung auch im Prototypenbau mehrere Firmen damit beauftragt, die einzelnen Teile für den Prototyp herzustellen bzw. diesen teilweise zu montieren. Die Endmontage findet seitdem direkt in der Entwicklungsabteilung statt.

Schadenstechnische Bewertung

Auch in diesem Fall war es der Unternehmensleitung nicht möglich, die Schadenshöhe auch nur annähernd zu beziffern. Eine erste Schätzung der Unternehmensführung geht von ca. 12 - 20 Mill. DM Umsatzverlust pro Jahr aus. Die Verluste durch die hohen Entwicklungskosten konnten ebenfalls nicht näher benannt werden. Bedingt durch den Umsatzrückgang mussten Kündigungen ausgesprochen werden, womit dieser Vorfall auch eine direkte Schadensauswirkung auf die betroffenen Mitarbeiter hatte.

Eine Unternehmensleitung muss sich heutzutage immer vor Augen halten, dass Datensicherheit auch eine soziale Komponente in der Unternehmenskultur darstellt und nicht auf einen rein technischen Vorgang reduziert werden kann.

Sicherheitstechnische Bewertung

Der Fall zeigt auf, dass selbst bei Unternehmen, in denen ein vorbildliches Datensicherheitsmanagement herrscht, Angriffspunkte vorhanden sind, die dann erfolgreich missbraucht werden können. Gemäß dem alten Sprichwort “Die stärkste Kette ist nur so stark wie ihr schwächstes Glied” haben die Angreifer beim schwächsten Glied in der Datensicherheitskette, dem Prototypenbauer, angesetzt. Obwohl sehr viel für die Datensicherheit unternommen wurde, zeigt dieser Vorfall verschiedene Probleme auf.

1. Datensicherheit ist kein einmal erreichter Zustand, sondern ein dynamischer Prozess, der regelmäßiger Kontrolle unterliegen muss.
Deshalb ist es notwendig, sowohl die IT-Infrastruktur als auch die getroffenen Datensicherheitsmaßnahmen regelmäßig durch externe und unabhängige Dienstleister einem Sicherheits-Audit zu unterziehen. Die dabei anfallenden Berichte müssen sorgfältig studiert und die darin vorgeschlagenen Verbesserungsmaßnahmen konsequent umgesetzt werden. Durch ein unabhängiges Sicherheits-Audit wäre eher aufgefallen, dass durch die Vergabe aller Prototypenaufträge an einen Anbieter ein Problem erwachsen könnte, unabhängig davon, wie hoch oder niedrig dessen Datensicherheitsstandards sind.

2. Der externe Einkauf von Dienstleistungen muss breit gestreut und damit auf verschiedene Anbieter aufgeteilt werden.
Dadurch wird erreicht, dass man nicht zu sehr von einem Anbieter abhängig wird und andererseits der Anbieter nicht umfassende Kenntnisse über interne Vorgänge im Unternehmen bekommt oder dessen technisches Know-how komplett erhält.

3. Da auf die Datensicherheitsmaßnahmen bei externen Beschaffungen kein unmittelbarer Einfluss genommen werden kann, muss im Rahmen der Vertragsgestaltung indirekt durch entsprechende Haftungsklauseln Einfluss genommen werden.
Sollte ein externer Zulieferer / Dienstleister, der Daten zur Verfügung gestellt bekommt, nicht auf diese Haftungsklauseln eingehen bzw. nicht bereit sein diese zu akzeptieren, ist es besser von einem Vertrag mit diesem Unternehmen abzusehen. Man muss sich immer vergegenwärtigen: vertrauliche Unternehmensdaten, die man zur Weiterverarbeitung außer Haus gibt, verlassen den direkten Einflussbereich des Unternehmens und damit auch alle getroffenen Schutzmaßnahmen.

4. Ein Unternehmen, welches nach ISO 9000 ff zertifiziert ist, muss nicht notwendigerweise über hohe Datensicherheitsstandards verfügen.
Wer heute im verarbeitenden Gewerbe entsprechende hochqualifizierte Aufträge haben möchte, ist de facto gezwungen, sein Unternehmen oder Teile davon nach ISO 9000 ff zu zertifizieren, um ein Qualitätsmanagementsystem nachweisen zu können. Dabei entsteht bei vielen Auftraggebern oftmals der Trugschluss, dass Unternehmen, die nach ISO 9000 ff zertifiziert sind, ebenfalls über entsprechend hohe Standards bei den eingeführten Datensicherheitsmaßnahmen verfügen. Wie dieser Fall belegt, und dies ist kein Einzelfall, sondern in der Praxis viel eher ein Normalfall, hat die Qualitätszertifizierung herzlich wenig mit Datensicherheit zu tun, ihre Gemeinsamkeiten tendieren in der unternehmerischen Praxis gegen Null. Was das Qualitätsmanagement anbelangt, sollte der Bereich Datensicherheit integraler Bestandteil des Qualitätsmanagement sein. Dass im Rahmen der ISO 9000 die Datensicherheit keine Berücksichtigung findet, offenbart eine der Schwächen der ISO-Standards.

Best regards,

Howard