Nicht nur international tätige Industriekonglomerate leisten sich umfangreiche Forschungsabteilungen, um das längerfristige Überleben des Unternehmens auf dem Weltmarkt durch Innovationsfähigkeit sicherzustellen. Gerade in Deutschland hat sich ein äußert innovativer Mittelstand einen festen Platz im internationalen Wettbewerb gesichert. Diese Unternehmen haben selten mehr als 300 Mitarbeiter, sind aber oftmals in ihrem speziellen Fachgebiet mitunter Marktführer und bestimmen durch ihr technisches Know-how und die Kreativität ihrer Entwickler aktiv die Entwicklung ihres Marktsegments oder wirken daran zumindest maßgeblich mit.

Ein solches Unternehmen, im Schwäbischen beheimatet, in der Elektrotechnik tätig und international bekannt, stand 1998 seit über einem Jahr vor dem Problem, dass aus dem Unternehmen mit geradezu chirurgischer Präzision führendes Personal aus den Bereichen Forschung, Entwicklung, Fertigung und Marketing abgeworben wurde. Die Abwerbungsversuche fanden so geschickt statt, dass weder die Firmenleitung noch die Personalabteilung (auf neuhochschwäbisch auch Human Resources Development genannt) im Vorfeld davon etwas mitbekamen. Ein Abwerbungsversuch wurde für die Firmenleitung erst dann offensichtlich, wenn der Mitarbeiter bereits das Unternehmen auf eigenen Wunsch verlassen hatte und plötzlich bei einem Mitbewerber wieder auftauchte. Dadurch war es der Firmenleitung nicht möglich gegen diesen „Brain Drain” durch Präventivmaßnahmen im Vorfeld etwas zu unternehmen. Es konnte auch keine Erklärung gefunden werden, warum die Mitarbeiter gingen, ob es eventuell Unzufriedenheiten in ihrem Betätigungsfeld waren, die man sicher hätte beseitigen können.

Das Ganze fiel eigentlich nur dadurch auf, dass über einen Zeitraum von über 17 Monaten mehrere Parameter bei den meisten Kündigungen identisch waren und die dabei aus dem statistischen Mittel erheblich abwichen.

  • In dem beobachteten Zeitraum war die Kündigungsrate um ca. das 16-fache höher als in den gesamten 20 Jahren davor.

  • Alle Mitarbeiter kündigten plötzlich und für die Firmenleitung nicht vorhersehbar.

  • Es gab im Vorfeld keinerlei Anzeichen für eine Unzufriedenheit der Mitarbeiter, die kündigten.

  • Die Arbeitsqualität der Mitarbeiter war sehr gut und es gab auch keine Anzeichen für eine mittelmäßige oder gar schlechte Beurteilung durch Vorgesetzte, die auf eine innere Kündigung des Mitarbeiters hätten schließen lassen.

  • Die überwiegende Anzahl der ehemaligen Mitarbeiter tauchte in einem Zeitraum von 3-6 Monaten bei dem gleichen Mitbewerber auf.

  • Es gab innerhalb des Unternehmens keinerlei Anzeichen für die Tätigkeit von Personalberatungsfirmen (so genannte Headhunter).

Nach knapp 18 Monaten wurde die ganze Angelegenheit der Unternehmensführung zu unheimlich und sie beauftragte meine Beratungsfirma mit Ermittlungen, denn man vermutete hinter den ganzen Vorkommnissen bereits einen schweren Fall von Wirtschaftsspionage. Hinzu kam die Tatsache, dass das Unternehmen in seinem Marktsegment bereits erheblich an Wettbewerbsfähigkeit eingebüßt hatte und auch noch nicht absehbar war, wann sich dieses wieder zum Positiven hin ändern würde.

Nach dem ersten Kontakt mit der Unternehmensleitung begann meine Arbeit unter dem Deckmantel eines externen Wirtschaftsprüfers in der Personalabteilung des Unternehmens. Im Rahmen dieser "Wirtschaftsprüfung im Hinblick auf die Allokation von Human Resources und deren Optimierung" wurden kurz die wichtigsten Abteilungen und deren Tätigkeiten innerhalb des Unternehmens identifiziert und gewichtet sowie die wichtigsten Unternehmensprozesse definiert. Nachdem ein entsprechendes Organisationsmodell bestehend aus den Daten der Abteilungen und Unternehmensprozesse generiert war, konnten die ehemaligen Angestellten in dieses Organisationsmodell übertragen werden. Dabei wurden die Personen gemäß ihrer subjektiven Wichtigkeit für das Unternehmen, ihrem Fachwissen, ihrer Abteilungszugehörigkeit und ihrer Rolle in einzelne Geschäftsprozesse in das Organisationsmodell eingetragen. Dabei konnten verschiedene Tatsachen festgestellt werden.

  • Die Mitarbeiter, die offensichtlich abgeworben wurden, wurden sehr gezielt aus bestimmten unternehmenskritischen Positionen abgeworben.

  • Für diese gezielte Art der Abwerbung galt, dass entweder durch den Weggang des Mitarbeiters ein großer Schaden innerhalb der Organisationsstruktur oder eines Unternehmensprozesses des Unternehmens angerichtet wurde, der so schnell nicht über den Arbeitsmarkt wieder kompensiert werden konnte, oder aber der Mitarbeiter verfügte über besonders detailreiche fachliche Kenntnisse in den Bereichen Forschung / Fertigung.

  • Der Abwerber musste über sehr detaillierte und präzise State-of-the-Art Informationen über die interne Organisation des Unternehmens verfügen.

Und es war genau dieser letzte Punkt, der darauf schließen ließ, dass hier mit Mitteln und Methoden der Wirtschaftsspionage gearbeitet wurde. Da es sehr schwer ist, Abwerbungen in einem Unternehmen aktiv zu verhindern, und es auch in der firmeninternen Gerüchteküche keinerlei Anzeichen auf die Tätigkeit von Headhuntern gab, blieb als einzige Möglichkeit herauszufinden, woher der Abwerber seine umfangreichen Kenntnisse über die firmeninterne Organisation bekommen hatte.

Es folgte eine umfangreiche sicherheitstechnische Überprüfung des Internetzugangs, der Firewall, der Serverinfrastruktur sowie der Client-Computer, der Notebooks, der Telearbeitsplätze und der Telekommunikationsmittel, doch es konnten keine nennenswerten sicherheitstechnischen Mängel entdeckt werden, die z.B. auf die Tätigkeit von Hackern schließen ließen. Es wurde sogar erfolglos nach Abhörmitteln (Wanzen) in den wichtigsten Räumlichkeiten gesucht.

Nachdem fast zwei Monate lang erfolglos nach dem Informationsleck gesucht wurde und dem Unternehmen dadurch erhebliche Kosten entstanden sind, sollte nichts unversucht gelassen werden und als eine Art Verzweiflungstat wurde noch ein selbstentwickeltes Intrusion Detection System zusätzlich zur Firewall installiert. Doch auch dieses System konnte keinerlei Eindringlinge in das firmeninterne Netz aufspüren.

Es gab jedoch eine kleine Regelmäßigkeit auf dem Web-Server, die durch die eingebaute Statistikfunktion des Intrusion Detection Systems einem Systemadministrator auffiel. Es gab eine HTML-Seite auf dem Web-Server, die in der Seitenstatistik praktisch nicht auftauchte, weil sie sich keiner anschaute bis auf zwei Zugriffe pro Tag, die immer zur gleichen Zeit um 11:30 Uhr und um 21:30 Uhr stattfanden. Das ist zwar kein Anzeichen für ein Sicherheitsproblem, doch der Systemadministrator wollte wissen, wieso diese Seite so regelmäßig aufgerufen wurde. Er war sich sicher, dass es keine automatisierte Update-Funktion oder ähnliches für diese Seite gab, die eine solche Regelmäßigkeit begründen könnte.

Als die Seite aufgerufen wurde, erschien das komplette firmeninterne Telefonverzeichnis auf dem Bildschirm. In diesem Telefonverzeichnis waren alle Angestellten des Unternehmens verzeichnet, mit Namen, Tätigkeitsbezeichnung, Abteilung, Telefonnummer, evtl. Faxnummer, evtl. Handynummer, E-Mailadresse und Gebäudelageplan, in welchem Zimmer sich der Arbeitsplatz der Person befand.

Aus diesem, über das Internet einsehbaren, firmeninternen Telefonverzeichnis konnte man einzelne Personen nicht nur entsprechenden Abteilungen zuordnen, sondern auch deren Tätigkeitsgebiet und deren Aufgabe erkennen sowie entsprechende Personalhierarchien wie auch den gesamten organisatorischen Aufbau des Unternehmens ableiten. Da mit jedem Mitarbeiter, der das Unternehmen verließ bzw. in dem Unternehmen neu anfing, auch das Telefonverzeichnis jeweils aktualisiert werden musste, wurde kurzerhand vom Internet aus eben diese Web-Seite mit dem Telefonverzeichnis zweimal am Tag von einem Script automatisch auf Veränderungen hin abgefragt. Das Unternehmen lieferte praktisch seinen Widersachern auch noch die Munition in Form interner Informationen frei Haus.

Auf Nachfrage bei dem Webmaster, warum denn das firmeninterne Telefonbuch auf der Web-Seite überhaupt veröffentlicht wird, wurde festgestellt, dass einige Zulieferer des Unternehmens diesen Wunsch geäußert hatten, damit sie über das Internet in der Lage sind festzustellen, wer für sie im Falle von Rückfragen oder Problemen der richtige Ansprechpartner ist. Außerdem gab der Web-Master an, es hätte ihm niemand ausdrücklich gesagt, dass diese Informationen nicht einer breiteren Öffentlichkeit zugänglich gemacht werden dürften.

Nachdem nun die mutmaßliche Informationsquelle entdeckt worden war, musste noch verifiziert werden, dass das Telefonverzeichnis auch tatsächlich missbraucht wurde und wer die Informationen aus dem Verzeichnis nutzte. Dazu wurde in das Telefonverzeichnis ein neuer fiktiver Angestellte eingetragen und in der Unternehmenshierarchie so exponiert platziert, dass mit ziemlicher Sicherheit innerhalb der nächsten Monate mit einem Abwerbungsversuch zu rechnen war. Die angegebene Telefonnummer lief dabei auf ein sprichwörtlich "rotes" Telefon beim Abteilungsleiter Human Resources auf.

Gleichzeitig konnte bei der nächsten Abfrage des Telefonverzeichnisses auf dem Web-Server die IP-Adresse des Abfragers dokumentiert werden. Dabei führte die IP-Adresse zu einem Personalberatungsunternehmen in Frankfurt/Main, welches mittels Standleitung und damit durch eine feste IP-Adresse an das Internet angeschlossen ist.

Sechs Wochen nach Eintrag des fiktiven Mitarbeiters wurde der erste Versuch gestartet, diesen abzuwerben.

Schadenstechnische Bewertung


Wie groß der tatsächliche Schaden für das betroffene Unternehmen endgültig war, kann nicht mit letzter Sicherheit gesagt werden, denn wie soll man die Kreativität und Innovationsfähigkeit von so genannten Knowledge Workern z.B. im Bereich Forschung und Entwicklung in Umsatzzahlen fassen? Grobe Schätzungen der Unternehmensführung gingen von ca. 38 Mio. DM Umsatzverlust für die ersten 18 Monate und nach Aufdeckung des Falls noch einmal von ca. 100 Mio DM Umsatzverlust für die darauf folgenden 24 Monate aus. Tatsächlich konnte festgestellt werden, dass das Unternehmen seinen festen Platz unter den ersten drei Firmen des Marktes deutlich verloren hatte (eine Marktstudie besagte ca. Rang 8 ) und man zu dieser Spitzengruppe innerhalb der nächsten 36 Monate nach Entdeckung des Falls nicht mehr aufschließen konnte. Zwar mussten durch den Umsatzrückgang keine Kündigungen ausgesprochen werden, jedoch stand das Unternehmen noch immer vor dem Problem, die wichtigen offenen Stellen nicht wieder mit Fachkräften besetzen zu können, da diese am Arbeitsmarkt derzeit faktisch nicht vorhanden waren.

Sicherheitstechnische Bewertung


Niemand in dem Unternehmen hätte geglaubt, dass etwas so Unscheinbares wie ein gut gepflegtes firmeninternes Telefonverzeichnis in den falschen Händen einen solchen Schaden in dem Unternehmen anrichten kann.

1. Es gab innerhalb des Unternehmens keine Person, die im Bereich der Datensicherheit oder des gesetzlichen Datenschutzes ausgebildet war.
Dieses Versäumnis ist heutzutage unverzeihlich. Firmen müssen erkennen, welche Werte ihre kreativen und engagierten Mitarbeiter darstellen und wie viel Geld in ihren Informationen und ihrem Know-how steckt, auch wenn dies nicht ausdrücklich in der Unternehmensbilanz aufgeführt wird.

2. Es gab keinerlei Ansätze innerhalb des Unternehmens durch Schulung bzw. Ausbildung der Systemadministratoren oder gar der Computeranwender ein grundsätzliches Ausbildungsfundament und dadurch ein Bewusstsein für Sicherheitsstandards und Datensicherheit zu schaffen.
Nur durch die Ausbildung der Anwender kann ein vernünftiges Datenschutzkonzept im Unternehmen adaptiert werden.

3. Das Sicherheitsbewusstsein innerhalb des Unternehmens, was Informationen und Dokumente anbelangt, war bedingt durch mangelnde Ausbildung nicht sehr hoch.
Man arbeitete mit Dokumenten in materieller wie in elektronischer Form jeden Tag und machte sich keine großen Gedanken über die Sensibilität der Informationsinhalte.

4. Es gab von Seiten der Geschäftsführung keinerlei Anzeichen, dass Datensicherheit innerhalb des Unternehmens irgendeine Rolle spielt oder gar integraler Bestandteil von Unternehmensprozessen oder der Geschäftspolitik ist.
Nur wenn die Unternehmensführung klar erkennen lässt, dass für sie Datensicherheit ebenso wichtig ist wie jeder andere Unternehmensprozess auch, wird sich das auf das gesamte Unternehmen und seine Mitarbeiter übertragen. Datensicherheitsmaßnahmen, die nicht die Unterstützung der Firmenleitung haben, werden über kurz oder lang von den Mitarbeitern als unnötig abgetan und ignoriert bzw. nicht angewendet.

5. Es gab keinerlei Dokumenten- und Informationsrichtlinien zur Klassifizierung von Informationen und zur Einschränkung der Verbreitung solcher Informationen.
Es war für die Anwender in dem Unternehmen nicht ersichtlich, welche Informationen eventuell einen erhöhten Schutz genießen bzw. in ihrer Verbreitung eingeschränkt sind. Damit konnte jeder Anwender über die Informationen im Rahmen des "gesunden Menschenverstands" verfügen. Gerade heute, in der Informationsgesellschaft, müssen Informationen eindeutig klassifiziert werden, um deren Missbrauch zu verhindern.

Best regards,

Howard

1500mm

No comments

The author does not allow comments to this entry