Exkurs EU-DSGVO (Datenschutzgrundverordnung): Chancen nutzen im Zusammenhang mit einem ganzheitlichen Online Risk Management

08.08.2018

Durch die EU-DSGVO haben Privatpersonen mehr Rechte und Möglichkeiten, gewisse Details und Informationen beispielsweise aus dem Internet entfernen zu lassen. Ob dies jedoch immer möglich oder empfehlenswert ist, bedarf einer eingehenden Prüfung eines jeden Einzelfalls. Möglicherweise kommt man im Rahmen einer individuellen Folgenabschätzung auch zu der Erkenntnis, dass es besser sein dürfte einen Sachverhalt nicht anzusprechen, um so sprichwörtlich „keine schlafenden Hunde zu wecken“.

Um in die Lage zu kommen bestimmte ungewünschte Inhalte aus dem Internet entfernen zu können, so muss man (1) darüber Kenntnis erlangen, dass solche Inhalte vorliegen und (2) wo diese für Jedermann zugänglich sind, sowie (3) wer der Betreiber einer bestimmten Homepage, eines Portals oder Blogs ist. In diesem Zusammenhang greift unser praxiserprobtes OSRINT – Verfahren (Open Source Risk Intelligence)!

Bei Internetplattformen bzw. Homepages die außerhalb der EU gehostet bzw. betrieben werden, ist ein Durchsetzen der persönlichen Rechte unter Bezugnahme auf die EU-DSGVO sicherlich schwierig, wenn nicht gar unmöglich. Allerdings sind auch diese außerhalb der EU gehosteten Portale der neunen EU-DSGVO unterworfen, sobald sich deren Angebot/Inhalt auch auf den europäischen Markt richtet; beispielsweise ein Portal ist auch in deutscher Sprache verfügbar oder Ähnliches.
 
Ein zstzl. Gewinn der neuen Verordnung ist sicherlich, dass es nunmehr nicht mehr möglich ist, die/den Inhaber einer Internetdomain so ohne Weiteres abfragen zu können. Dies schützt ebenfalls Vermögende (HNWI, UHNWI) die beispielsweise eigene Homepages betreiben oder in der Vergangenheit privat und/oder geschäftlich bestimmte Domainnamen für sich registriert hatten.

Damit die Domainregistrierungsstelle(n) die Inhaberdaten herausgibt, muss man für jeden Einzelfall ein berechtigtes Interesse nachweisen; beispielsweise ein eingeleitetes Mahn- / Insolvenzverfahren, Eigenabfrage als Domaininhaber / Technischer Support oder Ähnliches.
 
Des weiteren hat die EU-DSGVO zu einem regelrechten „Blogsterben“ geführt. Zahlreiche Blogbetreiber, die sich u.U. ebenfalls in der Vergangenheit kritisch gegenüber Vermögenden und „dem Kapital“ als Solches äußerten und/oder auch Angaben aus Reichenlisten, Parteispenden oder Ähnliches veröffentlichten, haben ihren Blog bzw. ihre Homepage wegen der neuen Verordnung z.T. komplett vom Netz genommen und offline gestellt. Das ist in Verbindung mit einem ganzheitlichen Online Risk Management durchaus als positiv zu bewerten.
 
Ob es erfolgsversprechend ist, sich mit einem Löschungsersuchen an offizielle und renommierte Homepagebetreiber (BILANZ, MANAGER MAGAZIN, FORBES, WIRTSCHAFTSWOCHE …) im Zusammenhang mit Parteispenden, Gesamtvermögen / Reichenlisten, Gehalt / Einkommen und Ähnliches zu wenden, muss je Einzelfall betrachtet und bewertet werden. Durchaus erfolgsversprechend scheinen diejenigen Sachverhalte und Ausgangssituationen zu sein, wo neben dem (häufig geschätzten) Vermögen / Einkommen z.B. auf Reichenlisten und/oder den Angaben zu Parteispendenhöhen, auch Privatanschriften mit aufgeführt sind. In diesem Zusammenhang sollte man zumindest in den Dialog mit dem jeweiligen Portalbetreiber treten um (1) zu erfahren was alles und wo/wie es gespeichert ist, (2) auf welcher Rechtsgrundlage (welches begründete Interesse) die Veröffentlichung erfolgt ist und (3) versuchen die Angaben (komplett bzw. teilweise) mit einem Hinweis auf die EU-DSGVO löschen zu lassen.
 
Nach unserem Verständnis muss im Zusammenhang mit der neuen EU-DSGVO nun (theoretisch / praktisch) jede Person vor der eigentlichen Veröffentlichung deren persönlichen Daten darüber in Kenntnis gesetzt werden, was im Detail und wo etwas publiziert wird.
 
Möglicherweise kann man aber auch grundsätzlich die Gunst der Stunde im Zusammenhang mit der weitverbreiteten „Verunsicherung bzw. Halbwissen um die EU-DSGVO“ nutzen, und die Löschung kompletter Datensätze mit dem Hinweis auf die EU-DSGVO einfordern. Es ist gut vorstellbar, dass Homepage- oder Blogbetreiber derzeit eher dazu neigen etwas (ungeprüft und ohne kritische Beurteilung/Hinterfragung) komplett zu löschen, als sich auf eine juristische und vermeintlich ergebnisoffene Auseinandersetzung einzulassen. 
  
Auch Behörden müssen sich der neuen EU-DSGVO unterwerfen; nach unserer Einschätzung herrscht auch dort große Verunsicherung bzw. Unwissen zur neuen Verordnung. Sollte in der Vergangenheit ein Versuch beispielsweise auf Auskunftssperre im Zusammenhang mit den privaten Meldeanschriften nicht erfolgreich gewesen sein, so wäre es durchaus empfehlenswert zu prüfen, ob man ggf. einen neuen Versuch mit dem Hinweis auf die neue EU-DSGVO unternehmen sollte. Wenngleich bei Behörden das Drohszenario „Bußgeld“ keine Wirkung zeigen wird, so könnte man u.U. eine mögliche Dienstaufsichtsbeschwerde ins Spiel zu bringen.


Privatimus GmbH: WINSTONgolf Trophy 2018 Sponsor, Drewke Group

27.07.2018

Sven Leidel, Partner bei der Privatimus GmbH und einer der Hauptsponsoren des Golftuniers in Vorbeck beim WINSTONgolf der Drewke Group, auf dem Foto mit Volker Seidel (Bankhaus Lenz) und Alexander Drewke (Drewke Group) zu sehen. Weitere Sponsoren des Golfturniers waren Puma, Mercedes, Bankhaus Lenz, Cobra und andere renommierte Marken. An dem Turnier nahmen zahlreiche Amateure, Fortgeschrittene sowie Pro´s teil. Sie stellten sich den Herausforderungen des anspruchsvollen Platzes. Abends konnten die Gäste in schöner geselliger Runde den Tag Revue passieren und ausklingen lassen. Die Privatimus GmbH bedankt sich beim Ausrichter, dass sie ein Teil dieses großartigen Turniers sein durfte und freut sich darauf auch im kommenden Jahr das Golfturnier erneut als Sponsor zu unterstützen; vielleicht dann sogar mit einem eigenen Starter.

IMG_6221

IMG_7755


Modus Operandi: Virtual Kidnapping

16.07.2018

Zahlreiche Behörden warnen ihre Bürger vor einem neuen Phänomen der Kriminalität – Virtual Kidnapping. Hierbei wird, unter dem Vorwand eine nahestehende Person sei entführt worden, eine Lösegeldforderung gestellt. Eine tatsächliche Entführung fand jedoch nie statt. Somit handelt es sich nicht um eine Entführung im eigentlichen Sinne, sondern um eine spezielle Form des Betrugs.
Die geografische Verbreitung dieses Phänomens war lange Zeit auf Mexiko und Teile Südamerikas beschränkt. Doch seit dem Jahr 2014 steigen die Vorfälle in den USA, Kanada und Spanien rasant an. Auch in weiteren Ländern Westeuropas sowie in Russland und China sind erste Fälle bekannt geworden.

Infolge dieser Dynamik haben sich verschiedene Vorgehensweisen des Virtual Kidnappings, wie nachfolgend aufgelistet, entwickelt. Dabei gilt jedoch immer derselbe Grundgedanke: Das Ausnutzen einer Zeitspanne, in der die angeblich entführte Person weder telefonisch noch über Social Media erreichbar ist.

Einige Beispiele von unterschiedlichen Vorgehensweisen:

• Fremdländische Personen, wie internationale Schüler bzw. Studenten, Dienstreisende oder Touristen, werden von jemandem kontaktiert, der vorgibt, für eine Behörde des Herkunftslandes zu arbeiten. Dieser teilt dem Angerufenen mit, dass er dort in eine Straftat verwickelt sei, und wird gebeten bei der Untersuchung mitzuwirken. Der Angerufene wird aufgefordert für einige Stunden jeglichen Kontakt, auch zur Familie, zu vermeiden. Anschließend erhält die Familie einen Anruf, dass ihr Verwandter entführt wurde und nur durch eine Lösegeldforderung freigelassen wird.

• Der Täter stellt sich als Bandenmitglied oder korrupter Beamter vor und fordert Lösegeld für eine entführte Person.

• Zwei sich nahestehende Personen werden zeitgleich angerufen. Beiden wird die Entführung des jeweils anderen erzählt und Lösegeld gefordert.

• Es wird abgewartet bis eine Person nicht erreichbar ist, wie zum Beispiel beim Kinobesuch oder beim Reisen mit einem Transportmittel ohne Mobilfunkverbindung (Flugzeug oder lange Busfahrt durch eine abgelegene Region). Diese Zeitspanne kann genügen, um einer nahestehenden Person von dessen Entführung zu überzeugen und Lösegeld zu fordern.

• Es wird ein Handy eines kürzlich tödlich Verunglückten benutzt, um von diesem eine Entführung vorzutäuschen.

• Zufallsanrufe: Täter rufen zahlreiche Nummern an und hoffen, dass einer auf den Betrug hereinfällt.

Alle Vorgehensweisen versuchen Gefühle von Angst, Panik und Dringlichkeit zu erzeugen, um das Opfer zu einer hastigen Entscheidung zu drängen. Denn zumeist wird gedroht, dass die vermeintlich entführte Person zu Schaden kommen wird, sobald der Angerufene auflegt bzw. die gestellten Bedingungen nicht zügig erfüllt. Zur Verstärkung dieses Effekts wird in einigen Fällen versucht die Glaubwürdigkeit einer Entführung zu erhöhen, indem ein Komplize im Hintergrund um Hilfe schreit und weint. Eine weitere Möglichkeit die Echtheit zu fingieren wird mittels „Call ID Spoofing“ ermöglicht. Durch diese technische Neuerung kann die Originalrufnummer verschleiert und eine behördliche Rufnummer vorgetäuscht werden. Dies erschwert nicht nur die Strafverfolgung, sondern nutzt auch das Vertrauen der Bürger in die Behörden aus. Es ist schwierig solch einen Betrug zu erkennen. Aber es gibt einige Indikatoren, die dabei helfen können:

• Eingehender Anruf stammt von einer ausländischen Rufnummer

• Mehrere aufeinanderfolgende Telefonanrufe

• Anrufe kommen nicht vom Telefon der entführten Person

• Täter sind sehr bemüht den Angerufenen am Telefon zu halten

• Es wird vehement verneint die entführte Person zu sprechen

• Lösegeld wird nur per elektronischem Zahlungsmittel akzeptiert, Bargeld wird abgelehnt

• Nach dem ersten Aufkommen von Widerstand verringert sich die Höhe des Lösegeldes zügig

Je aufwendiger die Vorgehensweise ist, desto eher wird es von kriminellen Banden mit entsprechenden Ressourcen durchgeführt. Jedoch findet Virtual Kidnapping auch bei Kleinkriminellen großen Zulauf. Das Motiv ist bei beiden Tätergruppen gleich – der schnelle finanzielle Gewinn. Das geforderte Lösegeld fällt zumeist geringer als bei einer klassischen Entführung aus. Die Transaktion erfolgt dafür umso schneller. Bei unvorbereiteten Taten, wie es bei Zufallsanrufen oder entwendeten Mobiltelefonen der Fall ist, sind es häufig Beträge von Hunderten bis Tausenden US-Dollar. Bei geplanten Taten wird das (wohlhabende) Opfer gezielt durch Recherche ausgesucht, wodurch sich die Lösegeldforderung auf ein Vielfaches erhöhen kann. Diese Suche basiert oftmals auf frei verfügbaren Informationen im Internet. Die Menge der Details hängt davon ab, wie viel die Person im Internet über sich freigibt oder mittelbar durch Dritte offenbart wird. Insbesondere Jugendliche verbringen viel Zeit in sozialen Netzwerken und hinterlassen eine unüberschaubare Menge an Informationen. Auch die Interaktion mit Unbekannten ist im Internet sehr leicht möglich. Um Minderjährige vor einem Missbrauch ihrer Informationen zu schützen, können einige Maßnahmen beachtet werden:

• Sensibilisierung der Kinder und Jugendlichen auf die Gefahren, die von der Nutzung des Internets, besonders von Social Media, ausgehen

• Den Umgang mit vertraulichen Informationen sowie Fremden im Internet schulen

• Auf Sicherheitsfunktionen bei allen Endgeräten achten, wie zum Beispiel die Deaktivierung des „Geotaggings“, damit der Standort des Nutzers nicht lokalisiert werden kann

• Datenschutzeinstellungen der Dienste so einstellen, dass der erwünschte Schutz der Privatsphäre gewährleistet ist

Zukünftig kann mit der Zunahme des Virtual Kidnappings gerechnet werden, da es durch einige Faktoren begünstigt wird: Zum einen bedarf es zur Tat keiner kostenintensiven oder hochentwickelten Ressourcen. Ein Telefonbuch, ein Telefon und ein elektronisches Zahlungsmittel genügen. Zum anderen erfolgt sowohl die Kontaktaufnahme als auch die Lösegeldübermittlung gänzlich ohne Interaktion von Angesicht zu Angesicht. Die Digitalisierung erleichtert zudem nicht nur das Sammeln von Informationen, sondern erlaubt dem Täter unabhängig von einem bestimmten Ort zu agieren. Es gab bereits Fälle, in denen Insassen aus südamerikanischen Gefängnissen heraus mit Erfolg Anrufe getätigt haben. Des Weiteren erschwert der transnationale Charakter der Tat die Verbrechensbekämpfung erheblich.

Keep in Mind

• Bei Virtual Kidnapping wird unter dem Vorwand eine nahestehende Person sei entführt worden, eine Lösegeldforderung gestellt, obwohl keine tatsächliche Entführung stattfand.

• Das Opfer wird durch emotionalen Druck oftmals zu einer überschnellen Reaktion gedrängt.

• Das Motiv der Täter ist der schnelle finanzielle Gewinn.

• Minderjährige sind besonders gefährdet, da sie teilweise viele vertrauliche Informationen über Social Media teilen. Hier hilft Sensibilisierung.

• Zukünftig kann mit der Zunahme des Virtual Kidnappings gerechnet werden, da es durch einige Faktoren, wie minimaler Ressourcenaufwand, Digitalisierung und transnationale Verkettung, begünstigt wird.

Quellen:

Red24 Kidnap for Ransom and Extortion Global Monitor October – Dezember 2017.

Red24 Kidnap for Ransom and Extortion Global Monitor December 2016 – March 2017.

Wright, R. (2009). Kidnap for Ransom. ISBN 978-1-4200-8007-0.

Anmerkung Seitens der Privatimus GmbH: Dies ist ein Blogbeitrag von Christian Kluge.


Reisesicherheit: Elemente eines Hotelaudits aus Sicht der Konzernsicherheit

28.06.2018

Für eine große Zahl von Unternehmen sind Dienstreisen ein wichtiger Aspekt des Geschäftserfolgs. Besonders durch die anhaltende Globalisierung nehmen die auswärtigen Tätigkeiten Jahr für Jahr zu. Auch Gebiete, die durch Kriminalität und Terror stark belastet sind, bleiben für international Agierende nicht außen vor. Insbesondere bei der Planung von Reisen in solchen Risikogebieten kommt der zuständigen Stelle im Unternehmen eine außerordentliche Bedeutung zu.

Für die Beherbergung der Mitarbeiter wird zumeist auf ein Hotel, da es Komfort, Service und Sicherheit bieten soll, zurückgegriffen. Doch eine international weit verbreitete Sicherheitszertifizierung von Hotels, welches sowohl die Angriffssicherheit (Security) als auch die Betriebssicherheit (Safety) betrachtet, hat sich bis dato nicht etabliert. Zudem variieren je nach Land die gesetzlichen Sicherheitsanforderungen an Hotels, sodass auch hier kein einheitliches Bild erzeugt wird. Um dennoch für Reisende die optimale Wahl einer sicheren Unterkunft zu bieten, kann beispielsweise der organisationsübergreifende Erfahrungsaustausch genutzt werden. Dabei wird auf bewährte Kenntnisse von anderen Unternehmen oder Behörden vertraut. Eine weitere Möglichkeit ist, dass die potenziellen Hotels durch ein unternehmenseigenes Sicherheits-Audit überprüft werden. Durch eine solche Standardisierung kann eine Vergleichbarkeit verschiedener Beherbergungsstätten hergestellt und eine begründete Auswahl getroffen werden.

Jedoch ist ein Audit mit hohem personellem und zeitlichem Aufwand verbunden. Zudem reicht die einmalige Überprüfung eines Hotels nicht aus, da es nur eine Momentaufnahme darstellt. Eine regelmäßige Kontrolle ist aufgrund des Aufwandes kaum möglich. Ein denkbarer Kompromiss wäre, nach einem erstmaligen Audit, dem zukünftigen Reisenden einen auf die Kernelemente verkürzten Auditbogen auszuhändigen. Dadurch wäre eine wiederholte Überprüfung der wichtigsten Aspekte sichergestellt.

Im Folgenden werden ausgewählte Elemente des Auditbogens aufgezeigt. Dieser kann in die Teile „Allgemeine Hotelinformationen“, „Security“ und „Safety“ untergliedert werden.

Allgemeine Hotelinformationen

Der erste Teil des Audits dient der Erfassung von Rahmeninformationen über das Hotel, um es im Gesamtkontext einzuordnen und sicherheitsrelevante Aspekte ableiten zu können.

Hierzu zählt beispielsweise die Untersuchung der Lage des Hotels: Liegt es, im Bezug zum Stadtkern, peripher oder zentral? Befindet es sich in einem Wohn- oder Gewerbegebiet? Sind staatliche Hilfskräfte in einer angemessenen Entfernung? Ist es in der Nähe eines Risikogebietes für Naturkatastrophen?

Ferner sind geplante betriebliche Veränderungen (Erweiterung, Renovierung) zu beachten, denn solche Maßnahmen sind häufig mit dem temporären Aussetzen von Sicherheitsmaßnahmen verknüpft. Auch lässt die Frage nach dem Unternehmenssitz des Hotelbetreibers Rückschlüsse auf das Sicherheitsbewusstein des Hotels zu. So haben renommierte Herbergen, deren Sitz in den USA liegen, häufig einen hohen Sicherheitsstandard, sind aber auch im Fokus für terroristische Aktivitäten.

Security – Wie sicher ist der Reisende vor Angriffen auf das Hotel?

Während der erste Teil des Auditbogens vor allem die Umgebung außerhalb der Hotelanlage betrachtet, wird im Bereich „Security“ der Blickwinkel zunehmend verengt. Hier werden Elemente, die dem Schutz vor kriminellen Handlungen und Angriffen dienen, untersucht. Ein zentraler Aspekt ist die Objektsicherheit, die sich aus dem Perimeterschutz, der Gebäudesicherung und organisatorischen Maßnahmen des Hotels zusammensetzt.

Unter Perimeterschutz wird das Sichern und Überwachen der äußeren Umgrenzung der Hotelanlage verstanden, das heißt: Gibt es eine durchgehende mechanische Barriere? Wie ist deren Beschaffenheit? Und wird sie optronisch/sensorisch/personell überwacht? Gibt es eine Zufahrtskontrolle für Fahrzeuge auf das Hotelgelände?

Im nächsten Schritt ist bei der Gebäudesicherung unter anderem zu beachten, ob Sicherheitsglas verbaut ist, oder die Glasflächen zumindest mit einer Splitterschutzfolie bezogen sind. Im Inneren des Gebäudes würde eine Personen- und Gepäckschleuse das Sicherheitsniveau erheblich erhöhen.

Neben der baulichen Härtung des Hotels und den technischen Anlagen zur Überwachung sowie Kontrolle sind die organisatorischen Maßnahmen ein wichtiger Aspekt:

• Innerhalb des Hotels wird ein System zur Zutrittsbeschränkung des Personals und der Gäste nach dem „need-to-have“-Prinzip eingesetzt

• Notfallpläne zu verschiedenen Szenarien sind schnell abrufbar

• Verfahrensanweisung für den Umgang mit Alarmmeldungen sind dem Personal bekannt

• Professioneller Shuttleservice ist vorhanden

• Rezeption ist rund um die Uhr besetzt

• Regelmäßige Schulungen aller Mitarbeiter in punkto Sicherheit, welche sowohl allgemeine als auch spezifisch lokale Risiken umfassen

• Zusammenarbeit mit den lokalen Hilfskräften (Feuerwehr, Ordnungskräfte)

Ein weiterer Faktor zum Schutz des Reisenden ist die Hotel- und Gästezimmerausstattung. Hierzu gehören beispielweise:

• Hotelsafe (nicht zu verwechseln mit dem Zimmersafe) ist fest verbaut und mit personalisierbaren Schließfächern ausgestattet

• Parkflächen (Parkplatz, Tiefgarage) sind technisch/personell überwacht und dauerhaft beleuchtet

• Akustisches Warnsystem zur Benachrichtigung der Personen vor spezifischen Gefahren ist integriert

• Panikraum ist vorhanden, autark, ausreichend dimensioniert und hermetisch abschließbar

• Unterbrechungsfreie Stromversorgung ist gewährleistet

• „Women-only“-Bereich mit technischer bzw. personeller Überwachung

• Gästezimmertür hat einen Türspion sowie eine Sperrvorrichtung (z.B. Türkette)

Safety – Wie gefährdet ist der Reisende durch einen Brand?

Im abschließenden Teil „Safety“ wird der Fokus auf das Risiko der Brandentstehung und -ausbreitung gerichtet. Denn immer wieder kommt es zu gefährlichen Hotelbränden wie zuletzt in einem Londoner Luxushotel im Juni 2018. Wichtige Punkte sind hier eine funktionstüchtige Brandmeldeanlage in Verbindung mit Detektions- und Brandlöscheinrichtungen. Auch der organisatorische Brandschutz, wie das Brandschutzkonzept, die Ausbildung des Personals sowie einer regelmäßigen Brandschutzbegehung, ist bedeutsam.

Im Bereich Flucht und Evakuierung sollten ebenso wichtige Aspekte überprüft werden:

• Tragfähigkeit des Flucht- und Rettungswegekonzeptes

• Fluchtwege sind gekennzeichnet, notbeleuchtet und weder verstellt noch verschlossen

• Instruktionen zum Verhalten bei Notsituationen sind im Gästezimmer in mehreren Sprachen (mindestens in Englisch) vorhanden

• Sammelplatz ist gegeben, ausreichend dimensioniert und gekennzeichnet

Keep in Mind

• Dienstreisen werden immer häufiger – auch in Risikogebieten

• Das unternehmenseigene Sicherheitsaudit eines Hotels verringert das Gefährdungsrisiko von Reisenden und schafft Vergleichbarkeit

• Das Audit besteht aus drei Teilen: „Allgemeines“, „Security“ und „Safety“

• Allgemeines: der Fokus liegt auf der Umgebung außerhalb der Hotelanlage

• Security: hier wird vor allem die Objektsicherheit betrachtet, um die Vulnerabilität gegenüber Angriffen sichtbar zu machen

• Safety: abschließend wird der Schutz vor dem Risiko Brand überprüft

Quelle:
National Counter Terrorism Security Office (2014). Counter Terrorism Protective Security Advice for Hotels and Restaurants.

Anmerkung Seitens der Privatimus GmbH: Dies ist ein Blogbeitrag von Christian Kluge.


Disziplinen der nachrichtendienstlichen Informationsgewinnung im Kontext der Wirtschaftsspionage

26.03.2018

Bereits der englische Philosoph Francis Bacon (1561-1626) verlautete “Wissen ist Macht”. Getreu diesem Leitgedanken nutzen staatliche und privatwirtschaftliche Institutionen vielfältige Disziplinen zur Beschaffung von möglichst validen Informationen. Trifft dies auf die Motivation vertrauliche Unternehmensdaten zu gewinnen, um einen wirtschaftlichen Vorteil zu erlangen, kann es ernsthafte Folgen für den Betroffen haben. Vor allem der Wirtschaftsstandort Deutschland steht mit seiner Spitzentechnologie im Visier vieler Konkurrenzunternehmen. Aber auch fremde Nachrichtendienste haben ein außerordentliches Interesse zur Stärkung ihrer heimischen Wirtschaft und betreiben aktiv Wirtschaftsspionage.

Im Folgenden werden drei relevante Disziplinen zur Informationsabschöpfung vorgestellt, um einen ersten Überblick zu verschaffen. Besonderes Augenmerk wird auf den digitalen Wandel gelegt, der durch seine Dynamik und Effizienz die Art und Wichtigkeit dieser Disziplinen stets verändert. Die rechtliche und ethische Betrachtung der Disziplinen bleibt in dieser Ausführung außen vor.

Open Source Intelligence (OSINT)

Durch die Disziplin Open Source Intelligence ist eine weitreichende Informationsgewinnung aus öffentlich frei zugänglichen, nicht notwendigerweise kostenfreien, Quellen möglich. Dabei werden Informationen systematisch gesammelt, analysiert und auf den Empfänger angepasst aufbereitet.

Bis zum 20. Jahrhundert gab es im großen Umfang lediglich Druckerzeugnisse. Diese wurde anschließend durch elektronische Medien, wie Radio und Fernsehen, ergänzt. Eine Vervielfältigung dieser Quellen war zumeist ein aufwendiges Unterfangen. Heute sind dagegen die Möglichkeiten der Recherche und Reproduktion durch das Internetzeitalter enorm gestiegen. So ist der schnelle und freie Zugang an große Informationsmengen für jedermann legal, gefahrlos und preiswert möglich.

Beispiele aus dem Spektrum der öffentlich zugänglichen Informationsquellen:

• Medien (Print und online): Presseerzeugnisse, Fachliteratur, wissenschaftliche Veröffentlichungen, Werbeprospekte
• Internet: Suchmaschinen, Blogs, Soziale Netzwerke, Jobportale, webbasierte Anwendungen, Datenbanken, Geodaten
• Institutionen: Behörden, Think Tanks, NGOs, Universitäten, Berufsverbände
• Veranstaltungen: Tagungen, Konferenzen, Messen

Infolge OSINT kann ein grundlegendes Lagebild über einen Sachverhalt gebildet werden. Es bietet zudem eine robuste Basis für andere Disziplinen. Im Allgemeinen gelten Open-Source-Informationen als aktuell und sind bereits in der frühen Phase einer eventuellen Krise gegenwärtig. Wird der Blickwinkel auf OSINT verändert, so kann diese Disziplin für die strategische Ausrichtung eines Unternehmens genutzt werden. Denn mit Hilfe der Konkurrenzanalyse (Competitive Intelligence) können die Aktivitäten der Wettbewerber verfolgt und Chancen sowie Risiken rechtzeitig erkannt werden.

Die weltweite Abschöpfung von öffentlichen Informationen hat jedoch Risiken. Es ist schwierig und aufwendig aus deren Überfluss, die für den Sachverhalt relevante Information aufzuspüren und zu verifizieren. Um valide Detailinformationen zu erlangen, ist eine Bestätigung durch dritte unabhängige Quellen notwendig. Denn nur, weil ein Fakt vielmals öffentlich auftaucht, muss er nicht belastbar sein. Vor allem die aktuellen Vorfälle zum Thema Fake News zeigen dies auf. Daher werden weitere Disziplinen der Informationsgewinnung genutzt.

Human Intelligence (HUMINT)

Die Informationsgewinnung durch menschliche Quellen wird Human Intelligence bezeichnet. Sie ist die Kernkompetenz vieler Nachrichtendienste, da ein komplexer Vorgang verstanden werden muss – die menschliche Psyche. Für den Informationsaustausch bedarf es mindestens zweier Personen. Dieser Austausch erfolgt entweder aktiv, also aus eigenem Antrieb des Informationsgebers heraus, oder passiv, ohne des Wissens eines Informationsabflusses.

Nicht selten sind es (ehemalige) Mitarbeiter, die infolge von geeigneten Anreizen wichtige Interna freigeben. Mögliche Anreize sind monetäre Mittel, ideologische Gründe, Frustration oder ein wirksames Druckmittel.

Aber auch durch das subtile Ausnutzen einer Gesprächssituation, wie bei einem Messebesuch, können mit Hilfe geschickter Fragetechniken weitreichende Erkenntnisse erhoben werden. Insgesamt sind die Grenzen zwischen HUMINT, OSINT und dem Social Engineering, der sozialen Manipulation zur Täuschung, um vertrauliche Informationen zu gewinnen, fließend. Gerade durch soziale Netzwerke, wie Facebook, Xing oder LinkedIn wird das Aufspüren von geeigneten Zielpersonen vereinfacht. Sind diese nicht hinreichend sensibilisiert, können die Netzwerke zu einem Einfallstor fürs Social Engineering werden.

Der große Vorteil dieser Disziplin liegt aufgrund der operativen Informationsbeschaffung in der Detailtiefe einer Erkenntnis sowie der Möglichkeit gezielt danach zu fragen. Gleichzeitig birgt es jedoch durch den zwischenmenschlichen Kontakt ein höheres Risiko für den Informationsgeber und -nehmer sowie deren Reputation. Um dieses Problem zu minimieren, können elektronische Hilfsmittel und Methoden, wie in der folgenden Disziplin, angewendet werden.

Signals Intelligence (SIGINT)

Infolge der zunehmenden Vernetzung und der stetig anhaltenden Verkleinerung elektronischer Systeme, gewinnt SIGINT stetig an Bedeutung. Hierbei handelt es sich um die Informationsgewinnung durch elektronische Maßnahmen, wie zum Beispiel das Abhören von Telefonaten und Besprechungsräumen, der visuellen Überwachung mittels Kamera oder das Mitlauschen einer Funktastatur.
Diese Disziplin teilt sich in eine Vielzahl von Bereichen auf, deren scharfe Trennung aufgrund der stetigen Neu- und Weiterentwicklung von Technologien nicht möglich ist. Die für die Wirtschaftsspionage relevanteste ist Communication Intelligence (COMINT) – das Abhören von Kommunikationsübertragungen. Dazu gehört die Überwachung des Sprach- und Fernschreibverkehrs, Videoübertragungen sowie Faxnachrichten. Das zu überwachende Übertragungsmittel kann sowohl leitungsgebunden, wie ein Kabel, als auch Funkübertragungen sein. Die zukünftigen Entwicklungen werden besonders bei SIGINT noch viele Gefahren und Chancen ermöglichen.

Weitere Disziplinen

• Imagery Intelligence (IMINT) – Informationsgewinnung durch bildgebende Systeme, wie Satelliten und Luftbilder
• Financial Intelligence (FININT) – Informationsgewinnung über finanzielle Angelegenheiten
• Measurement and Signatures Intelligence (MASINT) – Informationsgewinnung durch verschiedenartige Sensoren zur wissenschaftlichen Analyse von Aktivitäten, wie Prototypen-, Waffen- und Nukleartests

Vor allem ressourcenstarke Institutionen verfolgen einen multidimensionalen Ansatz der Informationsgewinnung. Sie bedienen sich aus zahlreichen Disziplinen, um ein gesichertes Lagebild zu bekommen.

Keep in Mind

• Staatliche und privatwirtschaftliche Institutionen können vielfältige Disziplinen zur Informationsbeschaffung nutzen, um vertrauliche Unternehmensdaten zu gewinnen
• Die Disziplinen unterliegen dem stetigen digitalen Wandel
• OSINT: Open Source Intelligence – Informationsgewinnung aus öffentlich frei zugänglichen Quellen
• HUMINT: Human Intelligence – Informationsgewinnung durch Nutzung von menschlichen Quellen
• SIGINT: Signals Intelligence – Informationsgewinnung durch elektronische Maßnahmen
• Die Kombination möglichst vieler Disziplinen erhöht den Umfang und die Validität der Informationen

Quellen:
Tsolkas, A. & Wimmer, F. (2013). Wirtschaftsspionage und Intelligence Gathering. ISBN 978-3-8348-1539-2.
Fleischer, D. (2016). Wirtschaftsspionage. ISBN 978-3-658-11988-1.

Anmerkung Seitens der Privatimus GmbH: Dies ist ein Blogbeitrag von Christian Kluge.


favicon-196×196