Insgesamt verzeichnete der IT-Sicherheitsexperte deutschlandweit im zweiten Quartal mehr als 65 Millionen Virenalarme, die durch die Kaspersky-Lösungen ausgelöst wurden. Setzt man die Virenalarme mit der Anzahl der Teilnehmer am Kaspersky Security Network in den jeweiligen Bundesländern in Relation, erhält man ein aussagekräftiges Bild darüber, wie malwareinfektionsgefährdet Nutzer von IT-Sicherheitslösungen in den einzelnen Bundesländern sind.

„Wir stufen die Cyberbedrohungslage in den jeweiligen Bundesländern nach den Kategorien ,gering‘, ,mittel‘, ,hoch‘ und ,sehr hoch‘ infektionsgefährdet ein“, erklärt Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab. „Laut unseren Analysen war im Untersuchungszeitraum keines der Bundesländer sehr stark infektionsgefährdet, allerdings weisen sechs Länder ein hohes und neun ein mittleres Infizierungsrisiko auf. Lediglich Nutzer in Brandenburg hatten im zweiten Quartal nur leicht mit Viren, Würmern und Trojanern zu kämpfen.“
Der MIR-Report [2] von Kaspersky Lab ergibt für den Zeitraum April bis Juni 2014 folgende Rangfolge hinsichtlich der mittleren Virenalarme pro Nutzer:

Eine Analyse der Infektionsentwicklung in den einzelnen Monaten zeigt, dass die mittleren Virenalarme innerhalb Deutschlands im gesamten zweiten Quartal 2014 vergleichsweise konstant waren.

Bei E-Mail-Gefahren und lokalen Virenfunden führt Sachsen

Der MIR-Report beinhaltet alle Virenalarme, die beim Surfen, bei der E-Mail-Kommunikation und durch einen lokalen Scan der Virenschutzprogramme ausgelöst wurden. Nimmt man alle drei Kategorien zusammen führt Bayern – vor allem wegen der bundesweit überdurchschnittlich beim Surfen ausgelösten Alarme. Wenn es allerdings ausschließlich um Gefahren bei der E-Mail-Kommunikation und lokalen Schädlingsfunden geht, zieht der Freistaat Sachsen am Freistaat Bayern vorbei.

So liegt Sachsen zum einen bei den Gefahren über infizierte Anhänge und in E-Mails enthaltene Links mit durchschnittlich 8,96 von Kaspersky Lab gemessenen Mail-Alarmen pro Teilnehmer am Kaspersky Security Network (KSN) in Deutschland an der Spitze. In dieser Kategorie liegt das Saarland auf dem letzten, und damit sichersten Platz (2,63 mittlere E-Mail-Alarme). Zum zweiten stehen in Sachsen laut MIR-Report auch die Rechner, mit den meisten von Kaspersky Lab erkannten und blockierten lokalen Angriffsversuchen (29,30 mittlere lokale Virenalarme). Es folgen Bayern (28,58 mittlere lokale Virenalarme) und Baden-Württemberg (26,92 mittlere lokale Virenalarme). Am wenigsten lokale Schädlingsalarme wurden im zweiten Quartal auf den Rechnern der Nutzer in Brandenburg (15,89 mittlere lokale Virenalarme) ausgelöst.

Deutschland im weltweiten Vergleich auf Platz 20

Setzt man die von Kaspersky Lab zwischen April und Juni gemessenen Web-Bedrohungen für Deutschland in den weltweiten Vergleich, liegt Deutschland auf dem zwanzigsten Rang und gilt in der globalen Analyse als mittelriskant angriffsgefährdet; auf den ersten drei Plätzen der am stärksten gefährdeten Länder liegen hier Russland, Kasachstan und Armenien. Die größte Gefahr einer Infizierung über das Internet ergibt sich nach wie vor über Drive-by-Downloads. Hier wird der Nutzer ohne sein aktives Zutun unbemerkt infiziert, wenn er eine kompromittierte (gehackte) Seite besucht.

[1] Der Malware- und Infektions-Risiko-Report (MIR-Report) von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) auf freiwilliger Basis der Nutzer gewonnen werden. Der MIR-Report gibt Aufschluss über die Cyberbedrohungslage in Deutschland. Dabei wird die mittlere Anzahl der Virenalarme pro Teilnehmer am Kaspersky Security Network gemessen, die bei den deutschen Kaspersky-Nutzern aufgeteilt nach Bundesländern ermittelt wurden. Die mittleren Virenalarme des MIR-Reports setzen sich aus allen Alarmen zusammen, die die Kaspersky-Lösungen für einen bestimmten Zeitraum bei Surfen, beim E-Mailen und bei lokalen Untersuchungen (Scans) ausgelöst haben. Um Rückschlüsse auf den wahren Wert der Kaspersky-Ergebnisse ziehen zu können, bezieht Kaspersky Lab das so genannte Konfidenzintervall in seinen Report mit ein. Alle Details zum Untersuchungsdesign des MIR-Reports können Sie unter www.kaspersky.de/mir-report abrufen.

Bildmaterial: Kaspersky, Thorben Wengert, pixelio.de

So simpel ist es wahrscheinlich nicht. Spionage hat es immer gegeben und es wird sie auch immer geben. Die jüngste Forderung einer Bundestagsabgeordneten, die USA sollten ihre Spionage-Aktivitäten auf deutschem Boden komplett einstellen, ist so naiv wie unrealistisch. Die jüngsten zwei Fälle mutmaßlicher US-Spionage im Bundesnachrichtendienst und im Verteidigungsministerium sind ein unschöner, kleiner Skandal – aber mehr auch nicht. Sie hatten eine konsequente diplomatische Note zur Folge: die Ausweisung des seit etwa eineinhalb Jahren amtierenden deutschen CIA-Repräsentanten.

Natürlich spioniert auch Deutschland in anderen Ländern, und ganz sicher auch in den USA. Die Spionage ist eines der ältesten Gewerbe der Welt. Schon im Altertum beschäftigten Despoten ein Heer von Spitzeln, die oftmals weit mehr verrieten als nur militärische Geheimnisse. Ein zentraler „Schauplatz“ des Kalten Krieges war die Aktivität von Heerscharen hervorragend ausgebildeter Spione, die nach ihre Enttarnung nicht selten in abenteuerlichen Austauschaktionen an Grenzübergängen wieder ihren Auftraggebern zugeführt wurden. Nicht wenige Experten weisen darauf hin, dass die Aktivitäten dieser Dienste weit Schlimmeres verhindert haben in einer dunklen Zeit der Blockpolitik, denn zumindest konnten sich Akteure diesseits und jenseits des Eisernen Vorhangs so ein einigermaßen genaues Bild über die Kampfbereitschaft des Gegners machen.

Diese Argumente sollen Spionage nicht beschönigen oder verherrlichen – sie ist ohne Frage ein „dreckiges Geschäft“. Aber in der Politik sind wir jetzt gefordert, die größeren Zusammenhänge zu betonen, und die lauten nun einmal, dass die USA und Deutschland viel mehr verbindet, als sie trennt. Auch wenn heute kaum jemand mehr so gerne auf die Rettungsaktion der USA während der Berlin-Blockade durch die berühmt gewordenen Rosinenbomber hinweist: es ist ein elementarer Teil der deutsch-amerikanischen Geschichte, gekrönt durch Kennedys Ausspruch „Ich bin ein Berliner“.

Natürlich war diese umfangreiche Hilfsleistung kein altruistischer Freundschaftsdienst. Die USA waren sich geopolitisch zutiefst bewusst, dass ein Abdriften des zentralen europäischen Landes Deutschland in den Kommunismus unbedingt vermieden werden musste. Diese Bedrohung ist heute Gott sei Dank Vergangenheit, aber es spricht noch immer vieles für eine enge Allianz zwischen Deutschland, bzw. Europa und den USA. Das fängt beim bewährten Verteidigungsbündnis NATO an, erstreckt sich weiter über massive Kapitalverflechtungen der beiden Kontinente und findet seinen aktuellen Höhepunkt im geplanten Freihandelsabkommen TTIP (Transatlantic Trade and Investment Partnership). TTIP und die Spionage-Skandale sind eng miteinander verzahnt, auch wenn sie inhaltlich nichts gemeinsam haben. Denn ausgerechnet kurz vor dem Start der Verhandlungen überschattete ein Skandal die transatlantischen Beziehungen. Damals wurden erstmals Dokumente von Edward Snowden über amerikanische Spionagepraktiken veröffentlicht. Speziell in Deutschland formieren sich seit dieser Zeit die unterschiedlichsten Aktivisten-Gruppen, die vor Chlorhühnern, wachsender Hinterzimmer-Politik der EU und einer geplanten Schattenjustiz für Konzerne durch neue Schiedsgericnte warnen und teilweise auch gezielte Desinformationspolitik betreiben.

Die sozialen Medien verleihen der Protestbewegung dabei eine völlig neue Kraft. Die Online-Plattform Campact startete im vergangenen Winter eine eigene Kampagne gegen TTIP. Inzwischen haben über 600.000 Menschen diesen Aufruf unterzeichnet, viele von ihnen ohne das Wissen, dass Campact seine Kampagnen vor Veröffentlichung intensiv auf die zu erwartende Reaktion testet und auch ansonsten hoch professionell arbeitet. Inzwischen äußerst sich fast jeder Funktionär in Deutschland negativ zu TTIP, es entstehen Anti-TTIP-Bündnisse, die beinahe schon an die Anti-Atomkraftbewegung der 80er erinnern.

Tatsache ist: TTIP würde sowohl den USA als auch Europa einen deutlichen Wachstumsschub verleihen, Experten rechnen mit Raten zwischen 4 und 5 Prozent auf beiden Seiten. Natürlich sind intensive Verhandlungen notwendig, um sowohl europäische als auch US-amerikanische Interessen zu wahren. Und natürlich muss dieser gesamte Prozess politisch transparent und für den Bürger nachvollziehbar durchgeführt werden.

Aktuell steht TTIP nach Expertenmeinung aus Brüssel kurz vor dem Aus: nicht aufgrund realer Fakten, sondern aufgrund einer unnötig emotionalisierten Stimmung in der Bevölkerung. Die Empörungs-Wellen im Umfeld der Spionage-Skandale haben in nicht unerheblichem Maße dazu beigetragen. Aber Äpfel sind nun einmal keine Birnen.

Achim von Michel
Herausgeber mittelstandinbayern.de

Einerseits ist beim Einrichten eines Datenraums der Umgang mit den jeweiligen Datenschutz-Anliegen der Beteiligten, die sich aus deren wirtschaftlichen Interessen ergeben, wichtig. Andererseits muss die Effizienz der Prozesse gewährleistet bleiben, die mit dem Datenraum zusammenhängen. Das zeigte sich kürzlich beim beinahe geplatzten Verkauf der Telekom Austria an den mexikanischen Millionär Carlos Slim. (2)

Eine Lehre aus dem Skandal ist, dass es neben einer Sicherheit für die Daten auch eine Sicherheit geben muss für den Nachweis, wer was wann und wie lange mit jeder einzelnen Datei im Datenraum gemacht hat, also umfassende Transparenz über die Nutzung des Datenraums. Virtuelle Datenräume brauchen daher ein Journal, das alle Vorgänge im Datenraum dokumentiert:

· wer berechtigt ist, Dokumente einzusehen,
· wann wer wie lange Zugang zu den Dokumenten hat,
· welche Dokumente er ansieht und
· was er damit macht.

Das Journal dient dazu, bei einem eventuellen Missbrauch von vertraulichen Informationen nachzuvollziehen, was im Datenraum vorgegangen ist.

Normalerweise behält jedoch der Betreiber eines virtuellen Datenraums, zum Beispiel der Betreiber des Rechenzentrums, Zugang zu den Unterlagen, die sich im Datenraum befinden, obwohl er an dem dort behandelten Projekt überhaupt nicht beteiligt ist. Das kann gerade bei wichtigen Projekten kritisch sein, da der Datenraum-nicht komplett unter Kontrolle des Eigentümers der Daten liegt. Aus diesem Grund bauen große Konzerne gern eigene Datenraum-Systeme. Mittlere Unternehmen können sich das aber nicht leisten, obwohl auch sie existenzielle und vertrauliche Unterlagen mit anderen teilen müssen, und auch im Mittelstand kann dabei viel Geld auf dem Spiel stehen. Wenn Mittelständler jedoch die Dienstleistung „Datenraum in der Cloud“ kaufen oder mieten, dann setzt das voraus, dass sie auf die Diskretion und die Versicherungen des Dienstleisters vertrauen müssen.

Das vom BMWi geförderte Projekt Sealed Cloud (3) bietet dafür eine Cloud-Infrastruktur, die den Zugriff des Betreibers auf die Daten seiner Kunden mittels rein technischer Maßnahmen ausschließt. Einsatzgebiet für die »Sealed Cloud« sind die öffentliche Verwaltung und mittelständische ebenso wie große Unternehmen. Auf der Basis der Sealed Cloud bietet Uniscon jetzt zusätzlich Datenräume an, deren Preis-Leistungsverhältnis auch für den Mittelstand attraktiv sein könnte, wobei sie dennoch den Grad an Sicherheit und gleichzeitiger Transparenz bieten, der auch bei einem Mega-Merger wie im Fall der Telekom Austria gefordert ist. (5) Macht sich jemand an einem Server-Rack des Sealed-Cloud-Datenraums zu schaffen, erkennt die Hardware diesen Versuch, fährt die betroffenen Server sofort herunter und vernichtet alle darauf gespeicherten Daten. Sämtliche Daten werden zuvor verschlüsselt im Data Center von Uniscon abgelegt, der Provider selbst hat keinen Zugriff auf die von den Nutzern verwendeten Schlüssel. (6) Die Sealed Cloud wird von einem Konsortium weiter entwickelt, zu dem neben Uniscon das Institut Fraunhofer AIESEC und die Firma SecureNet gehören. Das BMWi fördert die patentierte Sealed-Cloud-Technologie.

Patentanwalt Berthold Bettenhausen setzt IDGARD und den virtuellen Datenraum von Uniscon bereits ein. Er ist Gründungspartner der Kanzlei Dehmel & Bettenhausen Patent- und Rechtsanwälte (7), einer der führenden deutschen Patentanwaltskanzleien im Bereich Biotechnologie und Pharma. Er fasst seine Erfahrungen wie folgt zusammen: „Die wesentliche Erfahrung für uns ist, abgesehen von den technischen Leistungen im Hintergrund, dass unsere Mandanten die Professionalität dieser Lösung, die unsere Kanzlei einsetzt, anerkennen.“ Bettenhausen bezieht sich auf die Oberfläche von IDGARD, mit der sich virtuelle Datenräume einfach im Browser, ohne zusätzliche Software, nutzen lassen, daneben aber auch aus Outlook heraus oder mit gängigen Smartphones und Tablets.

Quellen-Nachweise:
(1) https://de.wikipedia.org/wiki/Datenraum
(2) http://www.zdf.de/ZDF/zdfportal/blob/31066252/3/data.pdf
(4) http://www.sealedcloud.de/
(5) https://www.idgard.de/pdf/wp-datenraum-DE.pdf
(6) http://www.computerwoche.de/a/eine-cloud-im-kaefig,2534259
(7) http://www.debe-patent.de

Bildnachweis: Rainer Sturm / pixelio.de

„Obwohl Sicherheitsfragen als wichtig empfunden werden, mangelt es an einer wirksamen Umsetzung in den Unternehmen“ erläutert Prof. Dieter Kempf, DsiN-Beiratsmitglied und Vorstandsvorsitzender von Datev, das Ergebnis der Umfrage. „Es zeigt klar, dass wir mehr Engagement bei der Sensibilisierung zu IT-Sicherheit brauchen, um Schwachstellen in Unternehmen abzubauen.“

Eine weitere Herausforderung sind unzureichende Maßnahmen beim Datenschutz. Teilweise wurde ein Rückgang der Sicherheitsvorkehrungen seit Beginn der Datenerhebung durch DsiN im Jahre 2011 gemessen. Michael Littger, Geschäftsführer von DsiN, erläutert: „Viele Defizite lassen sich schon durch mehr Sicherheitsbewusstsein abbauen. Hier sprechen wir auch über den richtigen Umgang mit der Verschlüsselung von sensiblen Daten. Wir setzen uns daher dafür ein, dass Aufklärungsarbeit als zentraler Baustein für mehr IT-Sicherheit einen höheren Stellenwert erfährt – in der Wirtschaft sowie der Politik.“

DsiN-Empfehlungen:
Die Aufklärung von Mitarbeitern ist eine wesentliche Säule für IT-Schutz von Unternehmen. Sensible Dokumente, die z.B. per E-Mail versendet werden, sollten stets verschlüsselt werden. Wichtig ist es auch, den Transfer von Daten in und aus den IT-Systemen zu regeln. Hier spielt die Integration von mobilen Geräten und Datenträgern eine wichtige Rolle. Um das Sicherheitsbewusstsein in Unternehmen nachhaltig zu stärken, stellt DsiN weitere Angebote online kostenfrei zur Verfügung unter www.sicher-im-netz.de

Jeden Tag sind Unternehmen diversen Risiken, Gefahren und Katastrophen ausgeliefert. Nicht immer muss es gleich das Worst Case Szenario sein, aber bereits kleinere Vorfälle wie zum Beispiel Verzögerungen bei der Rohstofflieferung aufgrund eines Hochwassers oder Stromausfall kann ein Unternehmen Tausende von Euros kosten – vom Imageschaden bei Kunden, die ihre Ware zu spät oder gar nicht erhalten, ganz abgesehen.

Unternehmer sehen an vorderster Front andere Gefahren. Die größte darunter ist der drohende Fach- und Führungskräftemangel – ein Ergebnis, das kaum verwundert, lebt der deutsche Mittelstand doch stark von der Expertise und Innovation seiner Mitarbeiter. Auf Platz zwei halten 39 Prozent der Befragten den Abfluss von Daten für ein ernstzunehmendes Risiko; das Spektrum reicht hier von innovativen Entwicklungen über Forschungsergebnisse bis hin zu sensiblen Kundendaten – alles Bereiche, in denen schnell hohe finanzielle, rechtliche Schwierigkeiten oder Imageverlust drohen.

Überraschend ist allerdings, dass für einen Großteil der Geschäftsführer eigene Mitarbeiter für den Datenverlust verantwortlich sind: Knapp 30 Prozent sind überzeugt, ihre Angestellten entwenden Daten absichtlich, um sie an die Konkurrenz zu verkaufen. In den meisten Fällen schaden Mitarbeiter ihrem Arbeitgeber aus Unzufriedenheit oder mangelnder Anerkennung – eine Tatsache, die nicht zu unterschätzen ist. Aber auch durch soziale Netzwerke, „Social Engineering“ und allgemeine Unachtsamkeit werden Informationen und Firmenwissen versehentlich weitergegeben. Vom gestohlenen Laptop mit den neuesten Konstruktionsplänen, einem netten Gespräch mit dem mutmaßlichen Interessenten auf der Messe, der eigentlich ein Spion der Konkurrenz ist, einem Fax, das an die falsche Adresse geht oder eine Rechnung, die unverschlüsselt versendet wird – viele Situationen sind denkbar und leider auch Alltag in deutschen Unternehmen.

Mittelständler wiegen sich in scheinbarer Sicherheit

Zwar sind sich die befragten Firmenchefs der Risiken bewusst, mehr als die Hälfte beschäftigt sich öfter als einmal in der Woche mit potenziellen Gefahren, jedoch denkt nicht einmal ein Viertel über mögliche Lösungen nach. Weshalb? Der operative Alltag mit seinen Problemen hält die Unternehmer davon ab, sich ausreichend um strategische Themen zu kümmern. Stattdessen bereiten ihnen Personalprobleme, Konjunktur, Finanzen und der Wettbewerb Sorgen. Das sind Themen, die unmittelbar den Gewinn und Verlust des Unternehmens betreffen und mit Kennzahlen sowie Controlling leichter zu greifen sind als abstrakte Themen wie Risikoszenarien, die nur langfristig zu bewerten sind. Trotzdem glauben die befragten Manager auf mögliche Katastrophen und Risiken gut vorbereitet zu sein: Auf einer Skala von 1 bis 10, wobei 10 bedeutet, alle Eventualitäten unter Kontrolle zu haben, lag der Durchschnittswert bei 6,38; nur ein Viertel der Befragten bewertete sich mit einer 5 oder schlechter. Ebenso positiv wird das eigene Risikomanagement eingeschätzt: Knapp 60 Prozent sind überzeugt, ein wirksames bis sehr wirksames Risikomanagement zu betreiben – Zahlen, die konträr zur Aussage stehen, die Unternehmensstrategie berge das höchste Risikopotenzial. Denn ebenfalls 60 Prozent gaben fehlende Führungs- und Managementkompetenz sowie unklare Unternehmensstrategie als Bereiche an, in denen sie das höchste Risiko vermuten. Doch wesentliches Element einer jeder guten Unternehmensstrategie ist eine umfassende Risikobewertung und -steuerung.

Gegen diese Einschätzung spricht auch, dass eine systematische Risikobewertung für lediglich 17 Prozent der Unternehmen in den letzten drei Jahren die umfangreichste Maßnahme zur Risikosteuerung war; sogar nur fünf Prozent investierten in ein strukturiertes Risikomanagement. Auf der Agenda stehen vielmehr Einzelmaßnahmen wie die Einführung von Notfallmanagement und Krisenübungen; Maßnahmen, die zugegebenermaßen wichtig sind, die aber eine komplette Risiko- und Sicherheitsstrategie nie ersetzen können. Was Mittelständler brauchen, sind nicht einzelne konzentrierte Maßnahmen, sondern ein richtiges System – nur dann sind sie gegen Gefahren gerüstet und auf alle Eventualitäten vorbereitet.

Fünf Schritte zu einer besseren Risikoabwehr

Ein gut aufgestelltes Risikomanagement, das den Unternehmenserfolg nachhaltig fördert, braucht je nach Größe und Komplexität der Organisation, Zeit und Ressourcen. Allerdings ist es mit entsprechender Anleitung und gegebenenfalls externer Unterstützung möglich, in wenigen Workshops einen guten Überblick über Risiken und Chancen zu erhalten – und diese zu steuern.

Folgende Schritte sind für ein erfolgreiches Risikomanagement unerlässlich:
Erstens legen Sie Verantwortliche im Unternehmen fest. Zweitens identifizieren Sie die wichtigsten Werte Ihres Unternehmens und identifizieren Sie daraus Bedrohungen und Schwachstellen. Drittens analysieren Sie Risiken, also welcher Schaden könnte daraus entstehen und wie wahrscheinlich ist dieses Szenario. Werten Sie dann viertens diese Ergebnisse aus und legen Sie entsprechende Maßnahmen fest. Bewerten Sie fünftens diese Maßnahmen kritisch und führen Sie regelmäßige Risikobewertungen durch.

Über den Autor:

Uwe Rühl kennt Extremsituationen aus seiner früheren Tätigkeit in Rettungsdienst, Feuerwehr und Katastrophenschutz. Außerdem entwickelte er unter anderem Sicherheitsstrategien zur Fußball-Weltmeisterschaft 2006 in Deutschland.
Heute sorgt er mit seinem Spezialistenteam dafür, dass Konzerne und Mittelständler potenzielle Sicherheitsrisiken rechtzeitig erkennen und behandeln.
Weitere Informationen und die Zusammenfassung zur Studie „Alles auf Risiko – Wie leichtfertigt deutsche Mittelständler mit modernen Gefahren umgehen“ unter: www.ruehlconsulting.de

Statt Manager und IT-Profis zu ihren Bemühungen rund um die IT-Sicherheit zu befragen, sollte dieStudie klären, wie gut die Mitarbeiter mit IT-Risiken umgehen. Die Antworten legen nahe, dass sie sich oft alleingelassen fühlen: Zwar wird laut 80 Prozent der Befragten großer Wert auf IT-Sicherheit in ihren Unternehmen gelegt, jedoch erhalten 62 Prozent nie ein Training. Mehr als 80 Prozent gaben an, dass sie ein solches für notwendig oder nützlich halten würden.

„Die Mitarbeiter sind ein elementarer Bestandteil einer jeden Sicherheitsinfrastruktur“, sagt Sascha Plathen, Manager Channel Sales Central Europe bei McAfee. „Sie arbeiten tagtäglich mit vertraulichen Daten. Investitionen in IT-Sicherheitslösungen zahlen sich nicht aus, wenn die Angestellten sich nicht an die Regeln halten. Wenn es denn überhaupt Regeln gibt.“

Der Feind neben mir?

83 Prozent der Angestellten in kleinen und mittleren Unternehmen halten digitale Daten für einen zentralen Business-Faktor. Über zwei Drittel arbeiten regelmäßig mit Kundenkontaktdaten, fast zwei Drittel mit Rechnungsdaten und knapp 50 Prozent mit vertraulichen Kundendaten. Die größte Bedrohung geht laut der meisten Mitarbeiter von der eigenen Belegschaft aus: 39,3 Prozent der Befragten befürchten, dass ihre Kollegen oder sie selbst unabsichtlich einen Sicherheitsvorfall verursachen könnten.

Ganz unbegründet ist diese Sorge nicht: Fast 11 Prozent haben schon einmal einen Vorfall beobachtet, der von einem Kollegen ausging, 4,6 Prozent gaben an, selbst schon einmal an einem Vorfall schuld gewesen zu sein. „Die gefühlte Unsicherheit ist nachvollziehbar. KMUs haben heute Zugang zu leistungsfähigen Tools wie auch Großunternehmen sie nutzen – doch damit steigt auch die Komplexität. Mobile, Cloud, Social Media kommen als neue Themen hinzu und wollen beherrscht werden“, sagt Sascha Plathen.

In KMUs angekommen: Private Geräte und Dienste

Mehr als 20 Prozent der Angestellten nutzen laut eigener Angaben ihre privaten Mobilgeräte, um Arbeits-E-Mails abzurufen und geschäftliche Vorgänge zu bearbeiten. Private Webmail-Dienste (33 Prozent), Online-Filesharing mit Diensten wie Dropbox oder Box und Online-Workspace wie beispielsweise Google Drive (beide etwa 10 Prozent) werden auf Arbeitsrechnern genutzt. „Der Einzug privater Geräte oder Dienste in das Arbeitsumfeld schafft eine Parallelinfrastruktur, in der der Arbeitgeber nur noch schwer kontrollieren kann, wo seine Daten verwaltet, gespeichert oder weitergegeben werden“, so Sascha Plathen weiter.

Danach gefragt, wie sicher sich die Angestellten im Umgang mit mobilen Geräten fühlen, bewerteten 39 Prozent ihren Wissensstand mit sieben bis zehn auf einer Skala von eins bis zehn (zehn bedeutet „ich fühle mich sehr sicher“). In Bezug auf Cloud-Themen gaben sich nur noch ein Viertel diese Noten. „Bring-your-Own-Device und Bring-your-Own-Infrastructure sind die Fachbegriffe für den Trend, private Geräte oder Dienste im Unternehmen zu nutzen“, erklärt Sascha Plathen. „Auch in KMUs sind diese Praktiken angekommen und die Unternehmen sollten sich besser heute als morgen überlegen, wie sie ihre Daten schützen. Schulungen der Mitarbeiter sind ein wichtiger erster Schritt.“

Gefühl des Alleingelassenseins

Die McAfee-Umfrage belegt, dass Angestellte mehr Ausbildung in IT-Sicherheit bekommen wollen. Laut der Befragten wäre ein Training in mobiler Sicherheit (77 Prozent), Cloud Security (72 Prozent) oder dem Schutz vor Schadprogrammen (81 Prozent) notwendig oder zumindest nützlich. Doch nur in 11,4 Prozent der Unternehmen gibt es Seminare zu mobiler, in 7 Prozent zu Cloud-Sicherheit. Schriftliche Guidelines sind ebenfalls rar, vor allem für die neuen Themen: 149 von 1.000 Firmen haben solche Vorgaben für mobile Sicherheit, 53 von 1.000 zu Cloud Security implementiert. Von den Mitarbeitern, die sich schon einmal ein Schadprogramm auf dem Rechner eingefangen haben, hatte nur ein Viertel jemals ein Training zu Passwort- oder E-Mail-Sicherheit.

„Für Cyber-Sicherheit sind alle verantwortlich: Unternehmer, deren IT-Personal und Angestellte, aber auch Sicherheitsanbieter wie wir müssen aktiver werden“, so Sascha Plathen. „Das ist ein Grund dafür, warum wir offizieller Partner der Allianz für Cyber-Sicherheit geworden sind, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik mit dem Ziel, gemeinsam für mehr IT-Sicherheit zu sorgen. Außerdem veröffentlichen wir regelmäßig den McAfee Quarterly Threat Report zur aktuellen Bedrohungslage, der Unternehmen hoffentlich dabei hilft, die Gefahren besser einschätzen zu können.“

* Hintergrund zur Umfrage

McAfee hat im Zeitraum April/Mai 2013 1.000 Angestellte in kleinen und mittleren Unternehmen (25-100 Arbeitnehmer) in Deutschland befragt. Abgefragt wurden die Bedeutung von digitalen Daten, der Umgang mit der IT, das Sicherheitsbewusstsein, Erfahrungen mit IT-Sicherheit sowie Bedarf und Nachfrage nach IT-Sicherheitsausbildung.

Erstmals konnte systematisch empirisch untersucht werden, wie und warum Unternehmen Opfer von Wirtschaftskriminalität werden. Aus diesen Erkenntnissen entwickelt die Studie eine Typologisierung der Unternehmen als potenzielle Opfer und analysiert, warum trotz offensichtlicher Bedrohung Unternehmen nur unzureichende Maßnahmen zur Schadensabwehr ergreifen. Das Ergebnis ist ein Vier-Stufen-Modell, das von Stufe 1 (unprotected) bis Stufe 4 (professionaly protected) reicht. Auf Grundlage dieser Typisierung haben sich alarmierende Kernergebnisse herauskristallisiert: 83 Prozent der Unternehmen im Public und 78 Prozent im Private Sector sind nicht professionell geschützt – das heißt nicht auf Stufe 4. Sie verfügen über kein vollständiges Compliance-Management-System mit Hinweisgebersystem, das umfassenden Schutz vor Wirtschaftskriminalität bieten würde. 17 Prozent aller öffentlichen Unternehmen haben überhaupt keine Compliance-Tools und immerhin 16 Prozent im Private Sector sind damit völlig ungeschützt.

Public Sector: Trotz rechtlicher Verpflichtung unzureichender Schutz

Während im Private Sector 84 Prozent der Unternehmen zumindest einzelne Präventionsinstrumente, wie beispielsweise ein Hinweisgebersystem einsetzen, scheint der Public Sector noch sorgloser: Ein so zentrales Element wie einen klar formulierten Verhaltenskodex besitzen weniger als die Hälfte aller öffentlichen Unternehmen mit nur 43 Prozent – im Gegensatz zu 62 Prozent in der Privatwirtschaft. Die Mitarbeiter haben somit keine klaren Richtlinien, welches Verhalten überhaupt erlaubt ist. „Der Public Sector schützt sich gegen Wirtschaftskriminalität schlechter als der Private Sector. Dies ist umso erstaunlicher, da hier die gesetzlichen Vorgaben strenger sind und in letzter Konsequenz der Steuerzahler die so entstehenden Schäden tragen muss“, kommentiert Dieter John, Leiter des RölfsPartner Competence Centers Fraud – Risk – Compliance und Co-Autor der Studie.

Kontrollparadoxon: Führt Compliance zu mehr Wirtschaftskriminalität?

Unternehmen, die über keinen Verhaltenskodex verfügen, berichten deutlich seltener davon, Opfer von Wirtschaftskriminalität geworden zu sein, als Unternehmen, die einen Verhaltenskodex implementiert haben (22 gegenüber 45 Prozent im Public bzw. 28 gegenüber 42 Prozent im Private Sector). Dies gilt grundsätzlich, wenn einzelne Compliance-Elemente im Unternehmen implementiert sind. „Hier wirkt das Kontrollparadoxon“, erläutert Prof. Dr. Hendrik Schneider von der Universität Leipzig und Co-Autor der Studie. „Einzelne Compliance-Instrumente steigern die Entdeckungswahrscheinlichkeit und machen die Schäden erst sichtbar. Unternehmen verzeichnen daher einen Anstieg der aufgedeckten Wirtschaftskriminalität, da sie Kriminalität vom Dunkel- ins Hellfeld holen.“

Hinweisgebersystem als entscheidender Erfolgsfaktor verkannt

Bei vollständiger Implementierung eines Compliance-Management Systems ist das Risiko, Opfer einer Straftat zu werden, deutlich geringer. Es entsteht eine Komplementärwirkung aller Compliance-Elemente, sodass nach der Etablierung des Systems auch eindeutige und wissenschaftlich belegbare Präventionseffekte erzeugt werden. Hier kommt einem Hinweisgebersystem eine besondere Bedeutung zu: Es ist das einzige Instrument, mit dem Mitarbeitern sich Gehör verschaffen können (Bottom-up-Instrument). Daher ist es ein großer Fehler, dass besonders Unternehmen aus dem Mittelstand dieses Instrument bisher eher ablehnen. Entsprechend geschützte Unternehmen erkennen nicht nur mehr Delikte, sie senken auch die Viktimisierungswahrscheinlichkeit von 31 auf 25 Prozent.

Opferkarrieren nach dem Schema der „erlernten Hilflosigkeit“

Somit stellt sich die Frage, warum Unternehmen trotz offensichtlicher Bedrohung nicht präventiv in Schutzmechanismen investieren, zumal die Kosten für den Aufbau einer schlagkräftigen Compliance-Organisation im Vergleich zu denen eines Schadenfalls vergleichsweise gering sind. „Die finanziellen Einbußen bei einem Unternehmen, das Opfer von Wirtschaftskriminalität wurde, lösen oft Sparzwänge aus. Trotz eindeutiger Defizite des internen Kontrollsystems werden dadurch keine Verbesserungen und Investitionen in die Compliance-Organisation in Erwägung gezogen“, erläutert John. „Das Problem scheint gelöst, wenn ein Täter gefunden wurde. Genau dort liegt aber die Gefahr von sogenannten Opferkarrieren nach dem Schema der erlernten Hilflosigkeit.“

Die Ergebnisse der Studie legen nahe, dass bei öffentlichen Unternehmen Wirtschaftskriminalität eine genau so starke Bedrohung darstellt wie in der Privatwirtschaft. Allerdings ist das Problembewusstsein weniger stark ausgeprägt, wodurch weniger in Prävention und Aufdeckung investiert wird. „So ist es wohl nur eine Frage der Zeit, wann in den Medien vom nächsten prominenten Fall zu lesen sein wird“, so Prof. Dr. Schneider.

(Quelle: www.presseportal.de)

Vielfältige Anwendungsbereiche

Das für die Privatwirtschaft maßgebliche Bundesdatenschutzgesetz findet immer dann Anwendung, wenn personenbezogene Daten durch den Einsatz von IT-Systemen erhoben, verarbeitet oder genutzt werden. Unter personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Für Unternehmen ergeben sich damit entsprechende rechtliche Verpflichtungen sowohl im Innen- als auch im Außenverhältnis.

Beschäftigtendatenschutz

Zunächst gilt es also, die personenbezogenen Daten von Bewerbern und Mitarbeitern datenschutzkonform zu verarbeiten. Schon die herkömmliche Personalverwaltung erfordert eine Einhaltung gesetzlicher Datenschutzvorgaben. Oft werden zudem Beschäftigtendaten aus dem Haus gegeben, sei es im Rahmen einer externen Lohnbuchhaltung oder auch durch die Übermittlung im Firmenverbund zu Personalplanungszwecken (in letzterem Fall kommt verbundenen Unternehmen dabei entgegen häufiger Meinungen keine datenschutzrechtliche Privilegierung zugute). Aber auch außerhalb der Personalverwaltung bringen Themen wie Videoüberwachung, Bring-Your-Own-Device oder der Einsatz von Social Media stets Anforderungen an den Beschäftigtendatenschutz mit sich.

Kundendatenschutz

Im Außenverhältnis sehen sich mittelständische Firmen ebenfalls datenschutzrelevanten Regelungsbereichen ausgesetzt: das Speichern von Daten zu Ansprechpartnern bei Geschäftsverbindungen sowie von Informationen zu Endkunden ist ein entsprechend relevanter Vorgang. Oft kommen hier Kundendatenbanken zum Einsatz, die eine Vielzahl von Datenkategorien enthalten, um zum einen die Kundenhistorie umfassend zu dokumentieren und zum anderen ein gezieltes Marketing zu ermöglichen. Gerade bei Erfüllung dieses Zwecks schließen sich eine Reihe von weiteren Anforderungen in Bezug auf den Datenschutz an. So etwa beim Versand von Werbemails oder Newslettern bzw. bei der Ansprache über Social Media-Plattformen.

Datenverarbeitung durch externe Dienstleister

Unabhängig davon, ob es sich um die Verarbeitung von personenbezogenen Daten in den oben skizzierten Innen- und Außenbereichen handelt: immer mehr Unternehmen greifen dabei auf externe Unterstützung zurück. Dies reicht von der Inanspruchnahme von Cloud-Computing-Angeboten für bestimmte Geschäftsprozesse über die Fernwartung eigener Hard- und Software bis zum ganzheitlichen Outsourcing der IT-Umgebung. Die regelmäßig durch solche Maßnahmen verbundenen Kosteneinsparungen entbinden Firmen jedoch nicht von der Verpflichtung zur Einhaltung des Datenschutzes. Diese Verantwortung lässt sich nicht auslagern; gleichwohl kann man ihr rechtlich durch entsprechende Vereinbarungen zur Auftragsdatenverarbeitung begegnen.

Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten

Neben den inhaltlichen Anforderungen an den Datenschutz in den oben beschriebenen Bereichen haben Unternehmen aber auch entsprechend formelle Aspekte zu beachten. Eine wesentliche Anforderung liegt insbesondere in der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Sind mehr als neun Mitarbeiter in der automatisierten Datenverarbeitung beschäftigt (darunter fällt z.B. die Zugriffsmöglichkeit auf eine Kundendatenbank oder die Zuteilung eines geschäftlichen E-Mail-Accounts), muss ein Datenschutzbeauftragter bestellt werden. Dieser hat die Einhaltung des Datenschutzes im Unternehmen zu überwachen; eine entsprechende Fachkunde und Zuverlässigkeit wird dabei gesetzlich vorgeschrieben. Aufgrund möglicher Interessenkonflikte scheiden jedoch beispielsweise Geschäftsführer oder IT-Leiter für diese Funktion aus. Für viele Unternehmen kommt daher nicht nur aus Kostengründen die Bestellung eines externen Datenschutzbeauftragten bevorzugt in Frage.

Fazit

Die Anforderungen an den Datenschutz sind vielfältig – auch für mittelständische Unternehmen – und sollten nicht unterschätzt werden. Denn die Nichteinhaltung entsprechender Vorschriften kann Bußgelder nach sich ziehen und – im Zweifelsfall wiegt dies noch schwerer – einen Imageschaden in der Außendarstellung bewirken. Ein nachhaltiges Datenschutzkonzept, insbesondere durch den Abschluss notwendiger Vereinbarungen zum Datenschutz mit externen Dienstleistern, durch die Implementierung von Mitarbeiter-Richtlinien und die Durchführung von Schulungen zum Umgang mit personenbezogenen Daten sowie durch die Erstellung gesetzlich geforderter Dokumentationen stellt die Datenschutzkonformität im Unternehmen sicher.

Über den Autor:
Helge Kauert, LL.M. ist Rechtsanwalt und Partner der überörtlichen und auf das Datenschutzrecht spezialisierten Kanzlei Kinast & Partner Rechtsanwälte am Standort München. Er berät Unternehmen in allen Belangen des Datenschutzes und ist für Firmen unterschiedlichster Branchen und Größen als externer Datenschutzbeauftragter tätig. Weitere Informationen finden Sie unter www.kinast-partner.de/externer-datenschutzbeauftragter

Mit dem Projekt „Bewusstseinsbildung für IKT-Sicherheit in KMU durch Finanzierer als Brückenbauer – Bottom-up und Top-down”, das eine Laufzeit von 18 Monaten hat, will der BVMW kleine und mittelständische Unternehmen für die Wichtigkeit sicherer IT-Systeme im betrieblichen Alltag sensibilisieren. Die Unternehmen sollen motiviert werden, durch Investitionen in diesem Bereich ihre Wirtschaftsleistung zu steigern.

Durch eine Vielzahl von Aktionen und Initiativen auf Bundes- und Regionalebene des Verbands werden Best-Practice-Beispiele von mittelständischen Unternehmen und Finanzierern gesammelt. Wie können sichere IT-Systeme Unternehmensabläufe optimieren? Wie viel IT ist möglich und wie viel ist tatsächlich nötig? Mit diesen und weiteren Fragen befasst sich der BVMW im Rahmen des Projekts.

Zentraler Bestandteil ist die enge Kooperation mit Banken und -verbänden. Banken sind aufgrund der Bearbeitung sensibler Daten zu aktivem Sicherheitsmanagement verpflichtet und verfügen über fundiertes Know-how beim Einsatz sicherer IT. KMU bauen auf diese Kompetenz, etwa bei der Kontenverwaltung. Das Projekt führt die vorhandene Expertise zur Unterstützung von KMU zusammen. „Wir wollen uns bei diesem Pilotvorhaben als Brückenbauer gemeinsam mit Banken und Finanzierern engagieren“, so Ohoven.

Ziel des Projekts ist die Erstellung eines Leitfadens zur sicheren Nutzung von IT-Systemen in mittelständischen Unternehmen. Der Leitfaden steht nach Abschluss des Projekts allen KMU zur Verfügung.

Die Task Force „IT-Sicherheit in der Wirtschaft“ ist eine Initiative des Bundesministeriums für Wirtschaft und Technologie, die gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung vor allem kleine und mittelständische Unternehmen für IT-Sicherheit sensibili¬sieren und dabei unterstützen will, die Sicherheit der IKT-Systeme zu verbessern. Weitere Informationen zur Task Force und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar.

Wirtschaftsspionage wird ja immer von anderen Staaten betrieben.
Können Sie uns hier Länder nennen, die auf diesem Gebiet besonders aktiv sind ?

George: Wirtschaftsspionage ist sicher ein internationales Phänomen. Die deutlichsten Bestrebungen sehen wir jedoch in Russland und der Volksrepublik China. Wichtig erscheint uns dabei, dass sich die Strategie zur Abwehr solcher Beschaffungsmaßnahmen nicht auf ein Land fokussiert, sondern in alle Richtungen wirkt, denn gerade auch in technischer Hinsicht ist ein rein länderbezogener Schutz nicht möglich.

Besonders Innovationen sowie Ergebnisse aus Forschung und Entwicklung sind begehrte Ziele. Sind hier manche Branchen besonders gefährdet oder kann es jedes Unternehmen treffen?

George: Wenn man Deutschland als Gesamtbild betrachtet wird schnell klar, dass wir kein rohstoffreiches Land im herkömmlichen Sinne sind. Unsere Rohstoffe sind Ideenreichtum, Innovation und schnelle Umsetzung in marktfähige Lösungen. Das weckt natürlich Begehrlichkeiten nach diesen Rohstoffen im Ausland. Durch Know-how- Diebstahl lassen sich oft jahrelange Forschungs- und Entwicklungskosten aber auch viel Zeit einsparen. Mittelständische Unternehmen sind der Innovationsmotor Deutschlands, weshalb gerade diese, oft hochtechnologisch orientierten Unternehmen, Ziel von Ausspähungsversuchen sind. Dazu werden u.a. Delegationen, Praktikanten oder auch elektronische Angriffe auf die Unternehmensnetzwerke genutzt, um nur einige Beispiele zu nennen.

Wirtschaftsspionage wird von Mitarbeitern fremder Geheimdienste betrieben, jedoch wird auch oft versucht, Mitarbeiter als Spione anzuwerben. Welche vorbeugenden Maßnahmen kann ein Unternehmen ergreifen, um sich dagegen zu schützen?

George: Die Gefahr existiert, das stimmt, aber ich glaube ehrlich gesagt nicht, dass es sehr oft vorkommt, dass Mitarbeiter als Spione angeworben werden. Aber die bewusste Informationsweitergabe geschieht ja nicht nur an andere Geheimdienste, sondern auch an den Mitbewerber. Vielleicht hat ein Mitarbeiter auch nur vor, den Arbeitgeber zu wechseln und nimmt mehr Informationen mit, als für ihn gedacht waren.
Zu vorderst sind es loyalitätsbildende Maßnahmen, die den besten Schutz vor einen „Innentäter“ bieten. Ein Mitarbeiter, der sich mit dem Unternehmen verbunden fühlt, wird diesem auch in kritischen Phasen loyal gegenüber stehen. Es klingt paradox, aber eine Kindereinrichtung im Unternehmen kann mittelbar auch eine Maßnahme zum aktiven Know-how-Schutz darstellen. Darüber hinaus gilt es, sinnvolle Regelungen zu schaffen, die genau definieren, wie mit schutzwürdigen Informationen im Unternehmen umzugehen ist.
Die andere große Gefahr lauert in der unbewussten Informationsweitergabe. Bedenken Sie, wieviele Informationen über soziale Netzwerke ausgetauscht, bei Messen erläutert und in Fachforen diskutiert werden. Hierbei wird der ein oder andere Mitarbeiter durchaus zum Spion, vielleicht auch ohne sein eigenes Wissen. Die Informationssammler geben sich nämlich nicht immer mit ihren wahren Identität zu erkennen und nutzen gezielt die vielfältigen Möglichkeiten unserer globalisierten und it-vernetzten Welt.

Die Wirtschaftsspionage findet in zunehmenden Maß über das Internet statt. Speziell im IT-Bereich bestehen jedoch bei einigen Unternehmen Sicherheitslücken. Welche Lösungsansätze können Sie den Unternehmern aufzeigen?

George: Das allgemein verbindlich und in zwei Sätzen zu formulieren ist schwierig, da jeder Fall unterschiedlich gelagert ist. Müsste ich es tun, würde ich Folgendes empfehlen: herkömmlicher Schutz wie Firewall und Antivirensoftware ist sinnvoll aber nicht ausreichend: hier müssen zusätzliche Maßnahmen geschaffen werden. Da es aber weder finanziell sinnvoll noch technisch machbar ist dies unternehmensweit umzusetzen, können sich diese zusätzlichen Maßnahmen nur auf bestimmte Daten, Prozesse oder Mitarbeiter des Unternehmens beziehen. Voraussetzung dafür ist allerdings, die „Kronjuwelen“ des Unternehmens zu kennen bzw. zu identifizieren, um dann beurteilen zu können auf welchen Systemen sie lagern, welche Mitarbeiter mit ihnen Umgang haben und in welchen Büros sie behandelt werden.

(George lacht): Jetzt sind es doch mehr als zwei geworden. Aber im Ernst, das Bayerische Landesamt für Verfassungsschutz steht Ihnen bei Fragen rund um den Know-how-Schutz gerne kostenfrei für Beratungsgespräche zur Verfügung. Und falls Sie einen Verdacht auf Know-how-Verlust haben, stehen wir Ihnen natürlich ebenso kostenfrei wie garantiert vertraulich zur Verfügung.

Speziell bei Auslandsreisen steigt doch das Risiko, Opfer von Know-how-Diebstahl zu werden – können Sie uns hier ein paar Verhaltenstipps mit auf die Reise geben?

George: Das sehen Sie richtig. Schon zu Hause plaudern wir nach Feierabend unbedarft im Biergarten mit Bekannten über interne Firmenangelegeheiten. Oder denken Sie einfach an Ihre letzte Zugfahrt oder ihren Aufenthalt im Wartebereich der Abflughalle. In diesen Situationen entscheidet der Zufall, wer außer Ihrem Gesprächspartner noch zuhört und damit über den Schaden, der dem Unternehmen entstehen könnte. Im Ausland sieht dies häufig anders aus. Hier wird dem Zufall im Wartebereich, an der Hotelbar, dem Taxi, im Hotelzimmer oder am Telefon gerne etwas auf die Sprünge geholfen. Der richtige Umgang mit sensiblen Informationen spielt deshalb hierbei die wesentliche Rolle. Gerne beraten wir auch dazu. Generell raten wir zu einer Reise mit leichtem Gepäck, auch hinsichtlich der Technik. Weniger ist mehr. Lassen Sie die Dinge, die sich nicht unbedingt benötigen zu Hause und verwenden Sie sogenannte Reiselaptops, die zum einen verschlüsselt sind und auf denen zum anderen nur die Informationen gespeichert werden, die sie tatsächlich benötigen.

Michael George ist Key-Note-Speaker beim BVMW MittelstandsForum Sicherheit am 10. Juli 2012 bei Rödl & Partner. Dort spricht er zum Thema „Wirtschaftsspionage 2.0 – Neue Wege für Spione?“