Corporate Security: Unternehmenssicherheit im Ausland in Zeiten von Terror, Cybercrime und Wirtschaftsspionage
Terror, Gewalt, zunehmende (Cyber-) Kriminalität – das Thema Sicherheit bestimmt die Nachrichtenlage mehr denn je. Betroffen sind davon vor allem auch die Unternehmen, die international handeln oder produzieren, denn (Rechts-)Sicherheit und Frieden sind auch Grundlage für erfolgreiches Wirtschaften. Doch inwiefern sind deutsche Unternehmen, ihre Produkte und die Wertschöpfungsketten im Ausland tatsächlich Gefahren ausgesetzt und was können sie dagegen tun? Eine Spurensuche.
Viel gelb und orange – und zu oft sieht man leider auch rot: Auf der World Security Risk-Map, die die Sicherheitsexperten von AKE SKABE stetig aktualisieren, sieht es zurzeit leider recht farbenfroh aus. Kein gutes Zeichen, denn die Farbskala – sie reicht von zartem hellgrün bis dunkelrot – kennzeichnet die aktuelle Gefährdungslage in den Ländern dieser Welt. Der Index bringt die Einschätzungen der Spezialisten zu regionalen Gefahren wie Kriminalität, Unruhen, Terror sowie internen und externen Konflikten zusammen. Besonders gefährlich ist die Lage erwartungsgemäß in Krisenherden wie Syrien, Afghanistan und der Irak, in denen Unternehmen und ihre Mitarbeiter ohne größtmögliche Sicherheitsvorkehrungen nicht unterwegs sein können. Hier sind umfassende Risiko- und Sicherheitskonzepte, die die Gefahrenabwehr bis hinab zum einzelnen Mitarbeiter durchdeklinieren, unverzichtbar.
Bedrohung nicht nur in Krisenregionen
Doch viele Länder hätte man auf dieser Karte so nicht erwartet: Schwellenländer wie Mexiko, Indien, Pakistan sowie auch China und Brasilien sind demnach ebenfalls erhöhte Gefahrengebiete, vor allem aufgrund der großen Kriminalität. Diese „Emerging Markets“ sind allerdings auch wichtige Märkte und Produktionsstandorte für deutsche Firmen. Dort droht zwar keine unmittelbare „Gefahr für Leib und Leben“ wie in den Krisenregionen, doch das Risiko von Korruption oder Kriminalität in klassischer und digitaler Form ist in diesen Ländern eine ernstzunehmende Bedrohung. Zudem stehen die Unternehmen teils auch besonders im Fokus von Nachrichtendiensten und Konkurrenten.
„Kronjuwelen“ im Visier
Im Vordergrund des Interesses stehen dabei die unternehmenseigenen „Kronjuwelen“, also die unternehmenswichtigen Daten. Dazu gehören neben Finanz-, Produkt-, Forschungs- und Entwicklungsdaten vor allem auch Prozessdaten (u. a. Supply Chain-Daten). Der Bayerische Verfassungsschutz schätzt, dass sich rund fünf Prozent aller Unternehmensdaten zu diesen hochsensiblen Daten zählen lassen. Keine Herkulesaufgabe, diese zu schützen, sollte man meinen. Doch: „Deutsche Unternehmen gehen immer noch sehr sorglos – zu sorglos – mit ihren Kronjuwelen um, mit ihren Patenten und unternehmensspezifischem Wissen“, weiß der Geschäftsführer von AKE SKABE, Friedrich Christian Haas. (Link zum Interview unter dem Zitat) Das Unternehmen aus Bielefeld entwickelt und implementiert Sicherheitskonzepte für Unternehmen und kennt sich daher bestens mit der Situation deutscher Firmen im Ausland aus – gerade auch mit dem Schutz der unternehmenswichtigen Daten. Das grundsätzliche Problem dabei: Während die echten Kronjuwelen sich entweder auf dem Haupt eines Würdenträgers oder im Safe befinden, sind sie in Unternehmen – und auch bei deren Zulieferern –von zahlreichen Personen täglich in Gebrauch. Wie so oft ist der Mensch, sprich der Mitarbeiter, der Unsicherheitsfaktor Nummer eins. Vor allem mobile Datengeräte wie Laptops und Handys sind zu oft ein leichtes Angriffsziel. Bei Reisen ins Ausland rät das Bundesamt für Verfassungsschutz deshalb mittlerweile, nur noch die unbedingt nötigen Informationen mit sich zu führen, getreu dem Grundsatz der „Datensparsamkeit“. Noch weiter ging ein Verfassungsschützer aus Niedersachen, der Anfang des Jahres laut NWZ Online empfahl: „Kaufen Sie sich vor der Auslandsreise einen neuen Laptop, laden Sie nur die notwendigsten Daten darauf – und schmeißen sie ihn nach der Auslandsreise weg. Trojaner kriegen Sie nie wieder weg!“
Andere Länder – andere Sitten: „Legale“ Wirtschafts- und Industriespionage
Besonders heikel wird es dort, wo spionierende Nachrichtendienste sich sogar auf „umfassende Exekutivbefugnisse“ stützen können, wie das Bundesamt für Verfassungsschutz warnt. Mit anderen Worten: Wirtschaftsspionage ist etwa in Russland und China sogar gesetzlich legitimiert, um die eigene Wirtschaft und heimische Unternehmen zu stärken. So ist es kein Wunder, dass deutsche Unternehmen in diesen Ländern am häufigsten von Industriespionage betroffen waren: Rund 39 Prozent hatten in Asien und etwa 33 Prozent in den GUS-Staaten mit Datenklau zu kämpfen, so ein Untersuchung von Corporate Trust. Die vielen unbemerkten Attacken sind hier nicht mit eingerechnet.
Was können Unternehmen im Ausland also tun, um das Risiko von Spionage, Datenklau und Wissensverlust zu minimieren? Natürlich sollten sämtliche technisch möglichen Vorkehrungen getroffen werden: Verschlüsselung der Kerndaten und stets aktueller Schutz der IT vor Cyberattacken – jeweils über die gesamte Wertschöpfungskette hinweg. Weiterhin sollten Mitarbeiter mit Zugang zu sensiblen Daten regelmäßig überprüft und das Personalmanagement entsprechend sensibilisiert werden.
Unterschiedlichen Auffassungen vom Geschäftsgebaren vorbeugen
Ein weiterer wichtiger Aspekt ist das Screening der Businesspartner. Zwar hat die Mehrheit der deutschen Firmen Geheimhaltungsverpflichtungen mit Geschäftspartnern abgeschlossen, vollständige Sicherheit garantieren derlei Vereinbarungen jedoch nur selten. Insofern überrascht es sehr, dass nur wenige Unternehmen, maximal ein Viertel, einen professionellen Hintergrundcheck ihrer Businesspartner vor Start der Geschäftsbeziehung durchführen.
Auch externe Sicherheits-Audits zählen nicht zum Standardrepertoire, sind aber prinzipiell die beste Grundlage eines fundierten Sicherheitskonzepts für das Ausland: „Es gilt grundsätzlich präventiv zu prüfen, wie hoch das Risiko für ein Unternehmen ist, welche Risiken des Wissensabflusses bei der Produktion im Ausland bestehen, wo Schwachstellen im Wissensmanagement liegen“, sagt Sicherheitsexperte Haas. „Grundlegend würde ich immer ein solides externes Audit empfehlen, zum Beispiel als Vorbereitung auf eine Zertifizierung. Aus den Ergebnissen können Geschäftsführung und Verantwortliche intelligente Maßnahmen zur Risikominimierung entwickeln, die auch in den Betriebsablauf erfolgreich integriert werden können.“