13. September 2021

Schutz von Geschäftsgeheimnissen durch Industriespionage – die Rolle des Information Security Awareness Trainings

Von Dr. Andreas Sascha Müller

Das oberste Gut eines jeden Unternehmens sind seine Geschäftsgeheimnisse. Diese gilt es vor unautorisierten Zugriffen zu schützen. Welche Rolle spielen Information Security Awareness Trainings beim Kampf gegen Industriespionage und die damit verbundenen Sabotagehandlungen in der Form von Cyberangriffen?

Unternehmen sind, je nach Branche, unterschiedlich stark dem Risiko des Geheimnisdiebstahls ausgesetzt. Am stärksten betroffen sind die produzierenden Industriebetriebe. Bei diesen kann der Verlust von Geschäftsgeheimnissen zur Reproduktion eines Produkts und somit zu bedeutenden Umsatzeinbussen führen. In der Praxis sind insbesondere (sklavische) Fälschungen, Plagiate sowie Raubkopien bekannt. Bei dieser sogenannten Produktepiraterie wir das Produkt gänzlich kopiert, teilweise verändert oder mit einem neuen Markennamen versehen. Insbesondere in der pharmazeutischen Branche kann dies zu schwerwiegenden Konsequenzen führen. Nicht nur hat eine Veränderung der Rezeptur gesundheitliche Folgen für die Konsumenten, sondern es drohen überdies haftpflichtrechtliche Ansprüche gegen den Hersteller des Originals. Aber auch bei Dienstleistungsunternehmen können Geschäftsideen gestohlen sowie anschliessend imitiert oder an die Konkurrenz verkauft werden. Auch diese sogenannte Industriespionage wurde in den letzten Jahren vermehrt festgestellt.

Treiber und Einflussfaktoren

Ein Treiber für den Geheimnisdiebstahl ist die Globalisierung und der damit einhergehende steigende Wettbewerbsdruck. Ebenfalls einen Einfluss hat die Digitalisierung und die zunehmende Vernetzung von Maschinen und Gegenständen. Im Zuge der Covid-19 Pandemie haben Cyberangriffe tendenziell zugenommen. Im Rahmen der epidemiologischen Massnahmen gegen die Pandemie wurde global Homeoffice verordnet. Selbstredend waren diejenigen Unternehmen nicht darauf vorbereitet, die bis anhin auf die Präsenz der Arbeitnehmenden gezählt haben. Als Folge dürfte die Informatik- und Cybersicherheit am Arbeitsplatz zu Hause gelitten haben. Da sich nun in vielen Unternehmen Homeoffice als fester Bestandteil moderner Unternehmensführung etabliert hat, gilt es die Verwundbarkeiten systematisch zu analysieren und zu beheben.

Cyberangriffe und Industriespionage

Aktuell führen viele Cyberangriffe zu einer Verschlüsselung der Daten, die gegen Lösegeld wieder verfügbar gemacht werden sollen. Ein Beispiel ist der erst kürzlich erfolge Angriff gegen eine schwedische Supermarktkette. Von 800 Ladengeschäften mussten aufgrund des Cyberangriffs temporär deren 400 schliessen. Sicherheitsrelevant werden solche Sabotagehandlungen dann, wenn damit Einrichtungen wie Spitäler oder, wie erst kürzlich geschehen, die grösste Gasleitung der USA stillgelegt werden. Nicht selten gelingt es den Tätern unter Zuhilfenahme von Industriespionage an die erforderlichen Informationen zu kommen. Oftmals werden sie dabei, wie beispielsweise im Fall «Sika», von Insiderinnen oder Insidern unterstützt. Die Erhaltung der Geschäftsgeheimnisse sind für den Geschäftserfolg und die strategische Unternehmensentwicklung entscheidend. Missbraucht jemand diese Informationen, steht die Existenz eines Unternehmens auf dem Spiel.

Information Security Awareness Trainings

Wie können Information Security Awareness Trainings dazu beitragen, Unternehmen von Industriespionage und Cyberangriffen zu schützen? Der Mensch entwickelt und wartet Maschinen. Ausserdem interagiert er mit anderen Menschen mittels Maschinen und kommuniziert selbst direkt mit Maschinen. Die Interaktion von Menschen in Verbindung mit technischen Schwachstellen von Systemen führen zu Verwundbarkeiten, die für Cyberangriffe ausgenützt werden können. Aus der empirischen sozialwissenschaftlichen Literatur geht hervor, dass der Mensch oft als das schwächste Glied in der Unternehmensorganisation angesehen wird (Nohlberg und Kowalski, 2008; D’Arcy et al., 2009; Crossler et al., 2013; Son, 2011; Doherty und Tajuddin, 2018). Weitet man die Suche in der Literatur aus, lassen sich ebenfalls Meinungen finden, die den Menschen als das stärkste Glied betrachten. Neuere Untersuchungen deuten darauf hin, dass immer der Mensch und eine technische Schwachstelle überwunden werden müssen, damit Cyberangriffe gelingen (van Schaik et al., 2017).

Information Security Awareness Trainings, beziehungsweise Security Education Awareness Trainings (SETA), unterstützen Unternehmen darin, ihre Mitarbeitenden zu schulen, einen achtsameren Umgang mit den Informations- und Kommunikationssystemen zu pflegen (Posey et al., 2015; Doherty und Tajuddin, 2018). Ein solches Training besteht grundsätzlich aus vier Teilen. Der erste Teil widmet sich dem «Warum» und zeigt den Teilnehmenden auf, weshalb die Thematik für das Unternehmen von Wichtigkeit ist. Der zweite Teil besteht aus Praxisbeispielen zu Bedrohungen und Sicherheitsvorfällen. Eigener Erfahrungen zufolge ist es der Wunsch vieler Mitarbeitenden, besser über die konkrete Bedrohungslage aufgeklärt zu werden. Diese würden somit gerne wissen, ob das Unternehmen bereits einmal bedroht wurde und wie diese Bedrohungen konkret aussahen. Dabei gilt es zu beachten, dass gerade in Bezug auf komplexe Cyberbedrohungen eine der Zielgruppe entsprechende stufengerechte und verständliche Kommunikation angewandt wird, damit das Training wirksam ist (Irons, 2019). Der dritte Teil umfasst konkrete Handlungsanweisungen, mit denen Angriffe entdeckt und abgewehrt werden können. Die Handlungsanweisungen sind auf ein notwendiges Minimum zu reduzieren und Empfehlungen sind zu vermeiden, da diese als fakultativ und weniger wichtig wahrgenommen werden könnten. Der vierte und letzte Teil des SETA Trainings umfasst die Diskussion zwischen den anwesenden Fachexpertinnen und Fachexperten und den Teilnehmenden. Für die Diskussion soll genügend Zeit eingeräumt werden, da die Fragen der Gruppe von zentraler Wichtigkeit für die Weiterentwicklung des Abwehrdispositivs des Unternehmens sein können. Falls es den Trainern gelungen ist, eine vertrauenswürdige Atmosphäre zu schaffen, werden die Teilnehmenden konkrete Beispiele für mögliche sicherheitsrelevante Verwundbarkeiten im Unternehmen einbringen.

Um die Akzeptanz zu erhöhen, empfiehlt es sich, das Training freiwillig und nicht obligatorisch anzubieten. Aufgrund der hohen Wichtigkeit der Ausbildung für das Unternehmen kann dieser Entscheid fragwürdig erscheinen. Im Rahmen der empirischen Forschungsarbeit hat sich allerdings gezeigt, dass die Motivation der Teilnehmenden deutlich höher ausfällt, wenn sie sich aus eigenem Antrieb und Interesse zum Training anmelden, als wenn ihnen dies befohlen wird. Dieses Vorgehen entspricht ebenfalls der Protection Motivation Theory (PMT). Die PMT besagt, dass die Mitarbeitenden die Infrastruktur, ihr Umfeld sowie ihren Arbeitsplatz dann bestmöglich schützen können, wenn sie selbst den Sinn und die Notwendigkeit ihres Handelns erkennen (Posey et al., 2015). Die Mitarbeitenden verstehen oft weit mehr von Cyber- und Informatiksicherheit, als wir annehmen. Die Fragen und Kritik der Mitarbeitenden sind massgebend, da sie diejenigen sind, die das Arbeitsumfeld und die Schwachstellen am besten kennen. In der Regel berichten die aus der Ausbildung zurückkehrenden Mitarbeitenden ihren Kolleginnen und Kollegen von diesem spannenden und wertvollen Training, was eine positive Gruppendynamik nach sich zieht und rasch dafür sorgt, dass die Nachfrage für das Training das Platzangebot überstieg.

Erkenntnis

Das Risiko von Sabotagehandlungen und Industriespionage lässt sich nicht gänzlich reduzieren. Jedoch ist es einem Unternehmen möglich, sich gegen die Gefahr zu wappnen, indem es seine Mitarbeitenden darauf vorbereitet und bei den technischen Schwachstellen entsprechende Massnahmen ergreift. Letzteres lässt sich unter Beizug von Expertinnen und Experten in Cyber- und Informatiksicherheit erreichen. Für die Planung und Durchführung von SETA Trainings können Ausbildnerinnen und Ausbildner hilfreiche Unterstützung leisten.

Quellen:

CROSSLER, R.E., JOHNSTON, A.C., LOWRY, P.B., HU, Q., WARKENTIN, M. and BASKERVILLE, R., 2013. Future directions for behavioral information security research. Computers & Security, vol. 32, no. 1, pp. 90–101.
D’ARCY, J., HOVAV, A. and GALLETTA, D., 2009. User awareness of security countermeasures and its impact on information systems misuse: a deterrence approach. Information Systems Research, vol. 20, no. 1, pp. 79–98.
DOHERTY, N. and TAJUDDIN, S., 2018. Towards a user-centric theory of value-driven information security compliance. Information Technology and People, vol. 31, no. 2, pp. 348–367. • IRONS, A., 2019. Delivering cybersecurity education effectively. In: I. VASILEIOU and S. FURNELL, eds, Cybersecurity education for awareness and compliance. IGI Global, pp. 135–157.
POSEY, C., ROBERTS, T.L. and LOWRY, P.B., 2015. The impact of organizational commitment on insiders’ motivation to protect organizational information assets. Journal of Management Information Systems, vol. 32, no. 4, pp. 179–214.
NOHLBERG, M. and KOWALSKI, S., 2008. The cycle of deception: a model of social engineering attacks, defences and victims. Proceedings of the Second International Symposium on Human Aspects of Information Security & Assurance. Plymouth, UK, 8–9 July 2008 [online] [viewed 5 April 2020]. Available from: https://pdfs.semanticscholar.org/ 78be/be2dd349781b55819e677a917aa480b3b05e.pdf • SON, J.Y., 2011. Out of fear or desire? Toward a better understanding of employees’ motivation to follow IS security policies. Information & Management, vol. 48, no. 7, pp. 296–302.
VAN SCHAIK, P., JESKE, D., ONIBOKUN, J., COVENTRY, L., JANSEN, J., and KUSEV, P., 2017. Risk perceptions of cyber-security and precautionary behaviour. Computers in Human Behavior, vol. 75, pp. 547–559.

Autor: Dr. Andreas Sascha Müller

Dr. Andreas Sascha Müller promovierte zwischen 2013 und 2021 an der University of Liverpool in Organisationsentwicklung und verfasste eine anwendungsorientierte Arbeit, wie die Cyber- und Information Security Awareness in einem Unternehmen erhöht werden kann. Er blickt auf 22 Jahre Berufserfahrung in der Unternehmensberatung, Audit und Risk Excellence in der Life Science Industrie und in der öffentlichen Verwaltung zurück. Unter anderem war er mehrere Jahre auf der Stufe Bundesrat und bei Ernst & Young als Berater und Prüfer tätig. Im Jahr 2012 schloss er an der Hochschule Luzern den MAS Economic Crime Investigation erfolgreich ab. Er ist Betriebsökonom FH und eidg. Dipl. Informatiker sowie spezialisiert in Risikomanagement und Cybersicherheit.