Problem & Ausgangssituation
Auf einer Fach-Messe stellen die Mitarbeiter eines mittelständischen Maschinenbau-Unternehmens fest, dass bei einem französischen Mitbewerber, dessen Stand nur einige Meter entfernt war, eine Maschine ausgestellt wurde, die ihrem neuesten Produkt zum Verwechseln ähnlich sah. Die Entwicklung ihrer Maschine hatte enorme Kosten verursacht. Sie sollte auf der Messe das „High-light“ sein und war daher streng geheim gehalten worden. Man versprach sich vor allem durch diese Neuvorstellung einen gehörigen Umsatzzuwachs. Trotz intensiver Überlegungen und interner Recherchen konnte man sich nicht erklären, wie es zu dem Informationsabfluss gekommen war.
Corporate Trust wurde beauftragt aufzuklären, ob durch den Konkurrenten spioniert wurde bzw. ob ein eigener Mitarbeiter die sensiblen Betriebsgeheimnisse verraten hatte. Außerdem sollte im nächsten Schritt ein Informationsschutzkonzept erstellt werden, bei dem ganzheitlich für alle Bereiche Maßnahmen etabliert werden sollten, um zukünftig solche Vorfälle zu vermeiden.
Analyse & Feststellung
Die IT-Spezialisten von Corporate Trust untersuchten zuerst die Netzwerkstruktur im Unternehmen und Zugriffsberechtigungen auf die Entwicklungsdaten. Dabei wurde festgestellt, dass es einige Schwachstellen gab, durch die von einer ausländischen Niederlassung unkontrolliert auf die Entwicklungsrechner zugegriffen werden konnte. Darüber hinaus war die Konfiguration der Telefonanlage so manipuliert worden, dass von zwei bestimmten Arbeitsplätzen dieser Niederlassung jedes Telefonat im gesamten Unternehmen mitgehört werden konnte. Mehr noch, durch Nutzung der Funktion „Babyphone“ konnte jedes Telefon so aktiviert werden, dass über das Mikrofon sämtliche Gespräche im Raum mitgehört werden konnten ohne dass dies der abgehörte Kollege bemerkt hätte. Da sich der Verdacht hierdurch sehr schnell auf drei Mitarbeiter eingrenzte, wurden ihre Rechner durch die IT-Forensiker von Corporate Trust gerichtsverwertbar gesichert und untersucht. Dabei wurde nachgewiesen, dass ein Mitarbeiter bereits über Jahre vertrauliche Betriebsgeheimnisse des Maschinenbau-Unternehmens an den französischen Mitbewerber verkauft hatte. Die weiteren Recherchen brachten ans Tageslicht, dass er sowohl die Telefonanlage manipuliert als auch die IT-Zugänge zu den Entwicklungsrechnern eingerichtet hatte. Die nötigen Informationen, um dies tun zu können, hatte er durch geschicktes Nachfragen (Social Engineering) bei unbedarften Kollegen erhalten.
Es folgte eine Anzeige bei der Staatsanwaltschaft, die zur Festnahme des Mitarbeiters und einer Schadensersatzforderung im siebenstelligen Euro-Bereich führte.
Handlung & Erfolg
Der Vorfall löste im gesamten Unternehmen Bestürzung aus. Die Mitarbeiter waren geschockt, dass ein Kollege aus ihren Reihen mit solch krimineller Energie vorging. Deshalb entschloss man sich, diesen Umstand zur Sensibilisierung aller Mitarbeiter zu nutzen. Durch mehrere Awareness-Schulungen wurden sämtliche Mitarbeiter über die technischen Möglichkeiten und aktuellen Risiken durch Industriespionage informiert. Dabei wurde auch aufgezeigt, wie man Social Engineering erkennen und sich davor schützen kann. Darüber hinaus wurde durch Corporate Trust ein Sicherheitskonzept für die IT etabliert, um das sensible Know-how zu schützen. Durch die Analyse der Ursachen für die Spionage wurde von der Unternehmensleitung erkannt, dass die Loyalität der Mitarbeiter ein wichtiger Schutzfaktor ist. Mit Hilfe des CT-Loyalitäts-Index (Online-Mitarbeiterbefragung) wurden Unternehmensbereiche identifiziert, in denen eine schlechte Firmenkultur und geringe Mitarbeiterverbundenheit herrschte. Abgeleitet daraus wurden Maßnahmen ergriffen, um die Loyalität zu steigern. Unter anderem wurden Betreuungsstellen für die Mitarbeiter bei finanziellen oder persönlichen Problemen eingerichtet und in zwei Abteilungen wurden Coaching-Maßnahmen der Vorgesetzten durchgeführt. Über sie gab es eine Vielzahl von Beschwerden bezüglich ihres Umgangs mit den Mitarbeitern bzw. der herablassenden Art.