Intellectual Property

Schützen Sie Ihr geistiges Eigentum richtig?

20.09.2017
Von  , und


Alyson ist Autorin und freie Redakteurin und schreibt für verschiedene Tech-Publikationen über Themen wie strategische Unternehmenskommunikation. Darüber hinaus hat sie Erfahrung in Testing, Wettbewerbsanalysen und Produkt-Reviews.
Derek Slater schreibt für unsere US-Schwesterpublikation CSO Online.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

So stehlen Spione und Diebe Ihr geistiges Eigentum

Um solide Defensivmaßnahmen aufstellen zu können, sollten Sie wissen, wie die Cyberspione und Datendiebe vorgehen, die es auf Ihr geistiges Eigentum abgesehen haben.

Öffentlich verfügbare Informationen: Laut dem Competitive- Intelligence-Experten Leonard Fuld, fügen laxe Security-Richtlinien Unternehmen in der Regel mehr Schaden zu als Datendiebe und Cyberspione. Hier einige Beispiele, wie Mitarbeiter unbeabsichtigt Unternehmens-Details verraten können, die - in der richtigen Kombination - dafür sorgen können, dass Wettbewerbsvorteile sich in Luft auflösen und die Konkurrenz wie durch Zauberhand Marktanteile gutmacht:

  • Sales-Mitarbeiter, die kommende Produkte auf Messen präsentieren

  • Technische Abteilungen, die ihre F&E-Standorte in Stellenausschreibungen detailliert beschreiben

  • Zulieferer oder Partner, die sich öffentlich mit Verkaufszahlen auf der eigenen Webseite brüsten

  • PR-Abteilungen, die Pressemitteilungen über die Einreichung von Patenten herausgeben

  • Unternehmen, die in streng regulierten Branchen tätig sind und bei ihren Reports (die teilweise veröffentlicht werden) versehentlich zuviel Informationen preisgeben

  • Mitarbeiter die Kommentare in Internetforen oder auf sozialen Kanälen posten

Telefonarbeit: John Nolan ist Gründer der Phoenix Consulting Group und hat einige tolle Geschichten darüber auf Lager, was Leute ihm regelmäßig am Telefon erzählen. Leute wie er sind der Grund dafür, dass auch scheinbar gut gemeinte Listen mit Namen, Titeln und Durchwahlen aller Mitarbeiter oder interne Newsletter, die Abgänge oder Beförderungen verkünden, unter Verschluss gehalten werden sollten. Denn je mehr Nolan über die Person, die er anruft, weiß, desto besser kann er aus ihr Informationen herauskitzeln. "Ich stelle mich erst einmal vor und sage dann zum Beispiel: ‚Ich arbeite gerade an einem Projekt und mir wurde gesagt, Sie sind der beste Ansprechpartner, wenn es um gelbe Marker geht. Haben Sie gerade ein paar Minuten?‘", beschreibt er seine Methoden. "Von 100 Leuten sind 50 bereit mit uns zu sprechen, nur auf Grundlage der eben genannten Informationen."

Die anderen 50 fragen zunächst, was die Phoenix Consulting Group eigentlich ist, beziehungsweise tut. Darauf bekommen sie von Nolan zur Antwort, dass es sich um ein Research-Unternehmen handelt, dass im Kundenauftrag handelt. Den Namen des Kunden könne er jedoch aus rechtlichen Gründen nicht nennen (was auch der Wahrheit entspricht). Daraufhin legen im Schnitt 15 Leute auf - die anderen 35 lassen sich auf ein Gespräch ein. Keine schlechte Quote. Beim Gespräch macht sich Nolan dann Notizen, die in zweierlei Datenbanken abgelegt wird: Eine für seinen Kunden und eine für sich selbst. In letztgenannter Datenbank befinden sich die Informationen von circa 120.000 Quellen - inklusive Daten über deren Qualifikation, Freundlichkeit und persönlicher Informationen.

Cyberspione und Datendiebe nutzen ganz ähnliche Taktiken und versuchen Informationen zu erlangen, indem sie diese indirekt erfragen oder sich mit fremden Identitäten schmücken. Diese Vorgehensweise bezeichnet man auch als Social Engineering. Solche digitalen Betrugsmaschen beginnen ebenfalls meist mit einem - auf den ersten Blick - harmlosen Anruf eines Studenten, der gerade an seiner Bachelor-Arbeit schreibt oder einer vermeintlichen E-Mail des Kollegen der gerade ganz dringend ein Dokument braucht. Auch im Namen der Assistenz der Geschäftsleitung verschicken kriminelle Hacker gerne E-Mails und erschleichen sich so beispielsweise Kontakt- und Adresslisten oder gleich millionenschwere Geldbeträge, die für vermeintliche Großaufträge dringend überwiesen werden müssen.

Dabei sind viele dieser Anrufe noch nicht einmal illegal. Denn während es in bestimmten Fällen illegal sein kann, eine fremde Identität anzunehmen, ist es in der Regel nicht strafbar, unehrlich zu sein.

Öffentlichkeitsarbeit: Im Zuge des Technologie-Booms wurde ein bestimmter US-Linienflug, der jeden Morgen von Austin, Texas nach San Jose, Kalifornien ging, als "The Nerd Bird" bekannt. Schließlich karrte der Flieger regelmäßig IT-Geschäftsleute von einem US-High-Tech-Zentrum zum anderen. Nebenbei wurden Flüge wie dieser für Spione und Diebe zur willkommenen Gelegenheit, Informationen abzugreifen. Die Möglichkeiten sind vielfältig: Mitgehörte Unterhaltungen, ein verstohlener Blick auf die Powerpoint-Präsentation oder die Excel-Tabelle des Sitznachbarn.

Jeder öffentliche Platz, an dem sich Ihre Mitarbeiter auf einer Dienstreise aufhalten können, ist auch den Cyberkriminellen zugänglich: Flughäfen, Cafes und Restaurants, Bars und insbesondere Messen und Events. Dabei kommen auch andere Szenarien in Betracht: Mitarbeiter von Konkurrenten könnten sich zu solchen Gelegenheiten als potenzielle Kunden ausgeben, um an wertvolle Informationen zu kommen. Ihre Mitarbeiter sollten sich deshalb immer darüber bewusst sein, welche Informationen sie - insbesondere bei öffentlichen Auftritten - herausgeben können und welche nicht. Dazu sollten Sie unbedingt die Zusammenarbeit mit dem Marketing Team fördern.

Eine weitere potenzielle Schwachstelle: Bewerbungsgespräche. Besonders verzweifelte Wettbewerber könnten das Risiko eingehen und eigene Mitarbeiter als Bewerber einschleusen oder externe Auftraggeber anheuern, um das zu tun. Möglich ist auch, dass Konkurrenz-Unternehmen Ihre Mitarbeiter zum Job Interview einladen - alleine mit dem Hintergedanken, interne Informationen zu "erbeuten".

Vollendung: Einige Aspekte zum Schutz von geistigem Eigentum sind relativ einfach zu bewerkstelligen. In Deutschland wird Wirtschaftsspionage auf Bundesebene vom Verfassungsschutz (VS) verfolgt, auf Landesebene sind die jeweiligen VS-Landesämter zuständig. Auch das Bundesamt für Sicherheit in der Informationstechnik beschäftigt ein Spionageabwehrteam. Zusätzlich können Geheimhaltungsverträge das Schutzniveau Ihrer Intellectual Properties erhöhen. So richtig kompliziert wird es aber erst, wenn es darum geht Ihren Mitarbeiter zu verdeutlichen, wie vermeintlich nutzlose Informationen miteinander kombiniert werden können, um ein nützliches Informations-Portfolio zu erstellen. Und wie eine simple Telefonliste in den Händen von Leuten wie John Nolan zur Waffe werden kann.

Folgende Situation: Nolan hatte einmal einen Kunden, der ihn damit beauftragt hatte, Informationen darüber zu beschaffen, ob ein bestimmter Konkurrent an einer bestimmten Technologie arbeitet. Bei seinen Recherchen fand Nolan heraus, dass neun oder zehn Menschen, zu diesem Spezialgebiet regelmäßig publiziert hatten, seit sie zusammen studiert hatten. Plötzlich hatten allesamt damit aufgehört. Einige Recherchen später wusste Nolan, dass sie alle in eine bestimmte Gegend gezogen waren und für dasselbe Unternehmen tätig sind.

Zwar wurde so kein Geschäftsgeheimnis oder strategisch wichtige Informationen offengelegt, aber Nolan konnte die Puzzleteile einfach zusammensetzen. Er telefonierte mit den betreffenden Personen, besuchte Konferenzen, auf denen sie sprachen und fragte sie nach den Events ganz gezielt danach, warum sie nicht länger über dieses eine Spezialgebiet schrieben und sprachen. Letztendlich konnte Nolan - und sein Auftraggeber - aus den gewonnenen Informationen ziemlich gut extrahieren, wann der Konkurrent mit seiner Technologie auf den Markt kommen würde. Nach Nolans Aussage habe das seinem Kunden gut zwei Jahre Vorsprung gegenüber den Plänen der Konkurrenz verschafft.

Grauzonen: Andere Länder, andere Sitten. In manchen Gegenden der Welt sind Abhör-Equipment, Bestechungen, Diebstahl und Erpressung an der Tagesordnung. Bill Boni, Security-VP bei T-Mobile USA, hat bei einem Finanzinstitut in Südamerika Dinge erlebt, die in unseren Breitengraden unvorstellbar wären. Nachdem die Entscheider der Bank den Verdacht hatten, dass sie bespitzelt werden, engagierten sie kurzerhand Security-Berater, die die Geschäftsräume von Wanzen befreien sollten. Als das Datenleck so nicht geschlossen werden konnte, wurde ein neues Team beauftragt. "Dabei wurden 27 verschiedene Abhörgeräte entdeckt", so Boni. "Die gesamte Vorstandsebene wurde abgehört und heimlich gefilmt. Das erste Team, dass die Wanzen finden sollte, hat diese wahrscheinlich erst installiert."

Manchmal wird Industriespionage auch von Regierungen oder Regierungsinstitutionen gefördert oder gar in Auftrag gegeben. Dahinter kann beispielsweise die Motivation stecken, lokalen Unternehmen gegenüber der Konkurrenz aus anderen Ländern einen Vorteil verschaffen zu wollen. Deswegen gibt es auch kein einheitliches Set von Guidelines zum Schutz von Intellectual Property, das überall auf der Welt funktioniert. Es ist der Job des CSOs, die Risiken für die Länder, in denen sein Unternehmen Geschäfte macht, abzuschätzen und entsprechend zu handeln. Dazu gehören auch die immer gleichen Prozesse wie der Hinweis auf ausreichend geschützte Endgeräte. Dabei ist es wichtig zu wissen, dass einige Länder weitergehende Vorsichtsmaßnahmen erfordern, als andere. Vorstände, die nach Pakistan reisen, sollten beispielsweise ein Pseudonym für Buchungen nutzen, ihr Hotelzimmer auf Wanzen untersuchen lassen oder sogar eigene Security-Leute zum Schutz wichtiger Dokumente oder Informationen anheuern.

Internet of Things: Eine der verwundbarsten Umgebungen überhaupt stellt die Healthcare-Industrie dar. In vielen Krankenhäusern können an einem einzelnen Bett inzwischen durchschnittlich bis zu 15 Internet of Things (IoT)-fähige, medizinische Geräte hängen - wovon etwa die Hälfte über das Internet kommuniziert. Und kriminelle Hacker haben längst begriffen, dass geschützte Patienteninformationen sehr viel wertvoller sind, als "gewöhnliche", persönliche Daten.

Diese IoT-Geräte schaffen ein neues Einfallstor für Hacker im Netzwerk der Kliniken. Sollten Cyberkriminelle sich Zugriff auf medizinische Geräte verschaffen, die lebenswichtige Funktionen überwachen, könnte das Leben von Patienten auf dem Spiel stehen.

Die meisten Experten sind sich inzwischen einig, dass die Hersteller der IoT-Devices diese viel zu schnell auf den Markt geworfen haben - ohne darüber nachzudenken, wie man diese gegen Angriffe von außen absichert. Nur einige der Probleme: Die Prozessoren in den Geräten sind in der Regel zu schwach für Intrusion-Detection-Systeme und nur wenige Geräte sind überhaupt updatefähig. Inzwischen arbeiten viele Hersteller auch an automatischen Update-Prozessen, da die meisten Verbraucher eben so wenig Wert auf Updates legen.

In der Praxis würden solche lebensbedrohlichen Hacks meist daran scheitern, dass die Angreifer (geografisch) nicht nah genug am Geschehen sind, um das schwächste Glied in der Kette - den Endpunkt - anzugreifen. Dennoch sollten Unternehmen und Institutionen alles daran setzen, eine ganzheitliche IT Sicherheitsstrategie zu entwickeln, um alle potenziellen Angriffspunkte abzusichern.

Netzwerk-Nomadentum: R.P. Eddy, CEO beim Beratungsunternehmen Ergo, empfiehlt seinen Kunden grundsätzlich, eine Auditierung ihres geistigen Eigentums vornehmen zu lassen: "Nur so können Sie sehen, wie gut geschützt Ihr geistiges Eigentum wirklich ist. Wenn ein Leak die Daten nach China, Russland oder zu einem Konkurrenten hat fließen lassen, kann das erhebliche Auswirkungen haben - etwa bei Übernahmen und Fusionen." Bis zum Deal zwischen Verizon und Yahoo nahm kaum ein Kunde dieses Angebot in Anspruch. Nachdem die Kompromittierung von 500 Millionen User Accounts der Reputation von Yahoo nachhaltigen Schaden zugefügt hatte, musste der Übernahme-Preis "restrukturiert" werden. Die Angreifer hatten sich über Monate unbemerkt im Netzwerk von Yahoo ausgetobt.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.