Wirtschaftsspionage bezeichnet den Prozess, bei dem vertrauliche Informationen, Technologien oder Geschäftsgeheimnisse eines Unternehmens oder einer Organisation illegal erlangt werden. Dies kann durch Hacking, Bestechung von Mitarbeitern, Unterwanderung oder andere unethische Methoden geschehen.
Die Wirtschaftsspionage zielt darauf ab, einem Konkurrenten oder einem fremden Staat wirtschaftliche Vorteile zu verschaffen. Doch was bedeutet das in der Praxis für Unternehmen? (Hinweis: Der Beitrag wurde im September 2024 nochmals vollständig überarbeitet)
Rechtliches zur Wirtschaftsspionage
Wirtschaftsspionage, die das rechtswidrige und oft verdeckte Erlangen von Wettbewerbsvorteilen durch den Diebstahl von Betriebsgeheimnissen oder anderen vertraulichen Informationen beinhaltet, zieht vielschichtige rechtliche Herausforderungen nach sich. Die rechtliche Definition und Handhabung dieses Delikts variiert international stark und hängt von den jeweiligen nationalen Gesetzen und internationalen Abkommen ab.
In Ländern wie Deutschland wird Wirtschaftsspionage als strafbare Handlung betrachtet. Es werden vor allem Datenschutzverletzungen und Urheberrechtsverletzungen verfolgt, die unter das Geschäftsgeheimnisschutzgesetz fallen können. Zudem kann die Beteiligung an Wirtschaftsspionage im Auftrag ausländischer Staaten nach § 99 des deutschen Strafgesetzbuchs (StGB) verfolgt werden, was besonders relevant wird, wenn staatlich unterstützte Akteure beteiligt sind.
Die Einbindung staatlicher Stellen in Wirtschaftsspionageaktionen führt zu einer weiteren rechtlichen Komplikation. Länder wie China nutzen umfassende gesetzliche Rahmenwerke wie das chinesische Internetsicherheitsgesetz, um sowohl Datensammlung als auch staatliche Überwachungsmaßnahmen zu legitimieren, was internationale Spannungen hervorrufen kann, insbesondere wenn solche Maßnahmen grenzüberschreitend wirken. Auf internationaler Ebene ist der rechtliche Umgang mit Wirtschaftsspionage komplex, da viele Aktivitäten grenzüberschreitend sind und somit in die Jurisdiktionen mehrerer Länder fallen können. Die internationale Rechtsdurchsetzung erweist sich oft als schwierig, wenn nicht gar unmöglich, speziell, wenn die Täter in Ländern sitzen, die keine Auslieferungsabkommen haben oder die Spionage aktiv unterstützen.
Abschließend ist festzustellen, dass sowohl die Unternehmen, deren Daten gestohlen werden, als auch die Unternehmen, die Spionage betreiben, unter diesen rechtlichen Unsicherheiten leiden können. Für erstere besteht das Risiko erheblicher wirtschaftlicher Schäden und Reputationsverlust, während letztere strafrechtliche Verfolgung und erhebliche diplomatische Konsequenzen riskieren. Compliance-Programme und interne Sicherheitsmaßnahmen sind daher von entscheidender Bedeutung, um sowohl die Integrität als auch die Legalität der Unternehmensführung zu wahren.
Das BKA befasst sich in einem Kurzpapier mit dem Thema Wirtschaftsspionage und Konkurrenzausspähung, insbesondere im Hinblick auf deutsche Unternehmen. Nachfolgend einige wesentliche Punkte, die in dem Dokument hervorgehoben werden:
- Täter und Herkunft: Die Täter kommen häufig aus Ländern wie China, anderen asiatischen Staaten, den USA und Russland. Einige Studien haben jedoch gezeigt, dass die Täter auch aus Deutschland stammen können.
- Gründe für die Weitergabe von Know-how: Zu den Gründen, die die Weitergabe von unternehmensinternem Know-how begünstigen, zählen finanzielle Anreize, unzureichende Kontrollen, berufliche Enttäuschung, Erpressung oder Bestechung.
- Sicherheitsvorkehrungen der Unternehmen: Viele deutsche Unternehmen müssen ihre Schutzvorkehrungen gegen Ausforschung verbessern. Es empfiehlt sich ein ganzheitlicher Ansatz, der prozessualen, personellen und technischen Schutz vorsieht.
- Zusammenarbeit mit Sicherheitsbehörden: Die meisten Unternehmen ziehen private Sicherheitsunternehmen der Polizei vor. Die Meldebereitschaft der Unternehmen bei Ausforschung ist sehr gering, oft aus Angst vor Reputationsschäden oder aus Unkenntnis über die Zuständigkeiten der Behörden.
- Empfehlungen: Das BKA-Papier schließt mit einer Reihe von Empfehlungen an die Sicherheitsbehörden. Dazu gehören die Schaffung von Plattformen für einen vertrauensvollen Austausch, die Verbesserung der Handlungsfähigkeit und Reaktionsgeschwindigkeit der Strafverfolgungsbehörden sowie die Erhöhung des Bekanntheitsgrades der Arbeit der Sicherheitsbehörden durch direkten Kontakt mit der Wirtschaft.
Beweissicherung & Schutz vor Wirtschaftsspionage
Die Sammlung von Beweisen für Wirtschaftsspionage kann äußerst schwierig sein. Digitale Spuren können leicht verwischt werden, und die Beteiligung von Insidern kann schwer nachzuweisen sein. Betroffene Unternehmen können daher zwar versuchen, zivilrechtliche Klagen gegen die Täter einzureichen, aber dies erfordert oft umfangreiche Beweise und kann teuer und zeitaufwendig sein. Die Problematik digitaler Beweismittel wird hier bei uns näher beschrieben.
Zum Thema Hacking bei uns:
- Hackangriff bzw. Cyberangriff – Was tun?
- Datenleck: Herausforderungen für Unternehmen
- IT-Sicherheit im Arbeitsrecht
- Wie schütze ich mich vor einem Hackangriff?
- Was ist ein sicheres Passwort?
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Online-Betrug & Fake-Shops: Was tun?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Strafbarkeit der Suche nach Sicherheitslücken
- Unser Hacker-Guide: Russland, Iran, Nordkorea und China
- Unser Ransomware-Guide:
Die Bekämpfung von Wirtschaftsspionage umfasst den Einsatz geeigneter technologischer Werkzeuge und Mechanismen, um die Wahrscheinlichkeit eines Cyber-Angriffs zu verringern und die Möglichkeit zu erhöhen, Spuren eines Angriffs im System zu sammeln. Dazu gehört auch der Einsatz von Intrusion Detection Tools, die als erste Priorität und grundlegender Schritt in der Präventionsstrategie gegen Cyberdiebstahl von Geschäftsgeheimnissen für Unternehmen empfohlen werden.
Fortgeschrittene technologische Lösungen ermöglichen es der Unternehmensinfrastruktur, Angriffen besser standzuhalten. Zu den vorgeschlagenen Lösungen gehören der Einsatz von „Security by Design“ und „Privacy by Default“, regelmäßige Penetrationstests, Intrusion Detection Systeme und auf Anomalien basierende Erkennungssysteme, die Einrichtung von Sicherheitsbetriebszentren und Cybersicherheits-Wissens-/Prozess-/Schulungsprogramme. Es wird auch empfohlen, dass Unternehmen ihre Mitarbeiter kontinuierlich schulen, um das Risikobewusstsein zu erhöhen und das Wissen über das richtige Verhalten im Umgang mit Informationen und Daten, die für Cyberdiebstahl anfällig sind, zu verbessern. Diese technischen Aspekte haben einen weiteren Vorteil: Sie entsprechen weitgehend den Anforderungen, die im Zuge der Umsetzung der NIS2-Richtlinie in Deutschland zu erwarten sind!
Internationale Jurisdiktion
Wenn die Spionage von einem fremden Staat oder einer ausländischen Organisation ausgeht, können sich juristische Probleme in Bezug auf die Zuständigkeit ergeben. Internationale Abkommen und Gesetze können in diesen Fällen eine Rolle spielen, aber ihre Anwendung kann kompliziert sein. Insbesondere, wenn man versucht international agierende Täter aufzudecken, ergeben sich erhebliche Probleme. Dabei wird die Situation in der EU allerdings schrittweise verbessert.
Datenschutz und Compliance
Unternehmen, die Opfer von Wirtschaftsspionage werden, können auch mit Datenschutzproblemen konfrontiert werden, insbesondere wenn personenbezogene Daten von Kunden oder Mitarbeitern kompromittiert wurden. Dies kann zu Verstößen gegen Datenschutzgesetze führen und zusätzliche rechtliche Herausforderungen mit sich bringen. Gerade hier zeigt sich auch, dass neben den rechtlichen Problemen Unternehmen, die Opfer von Wirtschaftsspionage werden, erhebliche Reputationsschäden erleiden können. Dies kann wiederum zu rechtlichen Problemen wegen Verleumdung oder Rufschädigung führen, wenn versucht wird, den Schaden zu beheben oder zu kontrollieren.
Gerade deswegen muss man sich als Unternehmen bzw. als Geschäftsleitung klarmachen, dass auch bei einem Angriff durch Dritte die Wirtschaftsspionage eigene Konsequenzen haben kann. So kann die Geschäftsleitung, wenn die notwendigen Schutzmaßnahmen im Rahmen der Compliance nicht erfüllt werden, originär haften – und es steht sogar eine Strafbarkeit wegen Untreue im Raum. Vor dem Hintergrund ist man als Vorstand oder Geschäftsführer gut beraten, dafür Sorge zu tragen, dass zumindest die Mindeststandards im Rahmen der Compliance zum Schutz vor Wirtschaftsspionage gewahrt sind.
Sicherheitsmaßnahmen gegen Wirtschaftsspionage
Die grundsätzlich zu empfehlenden Sicherheitsmaßnahmen gegen Wirtschaftsspionage sind vielfältig und umfassen verschiedene Aspekte: An erster Stelle steht ein ganzheitlicher Ansatz. Unternehmen sollten einen ganzheitlichen Ansatz verfolgen, der prozessuale, personelle und technische Schutzmaßnahmen vorsieht. Das bedeutet, dass nicht nur die IT-Abteilung für die Abwehr von Ausforschung verantwortlich sein sollte.
Auch strukturelle und organisatorische Schutzvorkehrungen müssen berücksichtigt werden: Weniger als ein Drittel der Unternehmen verfügte über ein schriftlich fixiertes Informationsschutzkonzept. Die Autoren empfehlen den Unternehmen, solche Konzepte zu entwickeln, um Verantwortlichkeiten und Handlungsempfehlungen für den Fall eines Ausforschungsvorfalls festzulegen. Darüber hinaus sollten Unternehmen Geheimhaltungsverpflichtungen in Arbeitsverträge aufnehmen und Integritätstests für neue Mitarbeiter durchführen. Die Sensibilisierung der Mitarbeiter für die Gefahren von Wirtschaftsspionage und Maßnahmen zur Stärkung der Loyalität werden ebenfalls hervorgehoben.
Technische Maßnahmen: Empfohlen werden die Verschlüsselung des E-Mail-Verkehrs, ein kontinuierliches Monitoring der Logdaten, aber auch relativ einfache Maßnahmen wie das Verbot der Nutzung von USB-Sticks oder CD-Brennern am Arbeitsplatz. Auch die Zusammenarbeit mit Sicherheitsbehörden wird als wichtig erachtet und immer wieder wird vorgeschlagen, Plattformen für den vertrauensvollen Austausch mit Strafverfolgungs- und Verfassungsschutzbehörden zu schaffen.
Problemfeld: Innentäter
Innentäter sind Personen innerhalb eines Unternehmens oder einer Organisation, die Zugang zu sensiblen Informationen oder Prozessen haben und dieses Wissen oder diese Fähigkeiten missbrauchen können. Dabei kann es sich um fest angestellte Mitarbeiter oder externe Mitarbeiter wie Subunternehmer, Dienstleister, Lieferanten oder Berater handeln.
Was sind Innentäter?
Innentäter sind Personen, die aufgrund eines Beschäftigungsverhältnisses über besondere Kenntnisse und/oder Fähigkeiten verfügen, die ihnen einen direkten oder indirekten Zugang zu unternehmensbezogenen Informationen oder Prozessen ermöglichen. Sie können sowohl im engeren Sinne (z.B. aktuelle Mitarbeiter) als auch im weiteren Sinne (z.B. externe Mitarbeiter) verstanden werden. Die Motive können ideologisch oder egoistisch sein und die Täter können bewusst oder unbewusst handeln.
Grundlegende Sicherheitsprobleme
- Mangelndes Bewusstsein und mangelnde Schulung: Mitarbeiter können aus Unwissenheit oder Nachlässigkeit wichtige Sicherheitsregeln missachten.
- Fehlende interne Kontrollen: Eine günstige Gelegenheit aufgrund fehlender Kontrollen kann zu Innentäterschaft führen.
- Psychologische Faktoren: Auch persönliche oder persönlichkeitsbezogene Motive wie Geltungssucht, politische oder religiöse Überzeugungen oder psychische Ängste können eine Rolle spielen.
Umgang als Unternehmen
Unternehmen können eine Reihe von Maßnahmen ergreifen, um das Risiko von Innentätern zu minimieren:
- Risikoanalyse und Klassifizierung von Informationen: Auf Basis einer Risikoanalyse wesentliche Werte und Informationen identifizieren und klassifizieren.
- Prävention und Erkennung: Etablieren Sie umfassende Präventionsmaßnahmen, Sicherheitsprozesse und Detektionsfähigkeiten.
- Schulung und Sensibilisierung: Kontinuierliches Training der Mitarbeitenden für kritische Situationen und klare Formulierung der Unternehmensrichtlinien.
- Technische Kontrollen: Implementierung von Zugangs- und Zugriffskontrollen und regelmäßige Überprüfung der Systeme auf Schwachstellen.
- Führung und Unternehmenskultur: Fördern Sie eine Kultur der Wertschätzung, des Vertrauens und der ethischen Werte und etablieren Sie ein angemessenes Führungsverhalten.
- Reaktion auf Vorfälle: Stellen Sie sicher, dass wirksame und abschreckende Maßnahmen im Schadensfall ergriffen werden und führen Sie regelmäßige Evaluationen des Schutzkonzepts durch.
Zusammenfassend kann gesagt werden, dass Innentäter ein komplexes und vielschichtiges Problem sind, das einen ganzheitlichen Ansatz erfordert. Durch eine Kombination von technischen, organisatorischen und kulturellen Maßnahmen können Unternehmen das Risiko minimieren und ein sicheres Arbeitsumfeld schaffen.
In einer EU-Studie werden einige gängige Methoden von Cyberkriminellen beim Diebstahl von Geschäftsgeheimnissen genannt. Dazu gehören das Ausführen gemeinsamer Prozesse von einer untypischen Position aus, die Suche nach zufälligen Dateinamen, die Suche nach Websites, die ermöglichen, nach dem Neustart automatisch zu starten, die genaue Überwachung der zulässigen Pfade in das und aus dem Netzwerk, die Analyse von HTTP-Header-Informationen, die sowohl durch das Vorhandensein von Identifizierungsinformationen in den Header-Feldern als auch durch Inkonsistenzen in den Header-Informationen und im Header-Aufbau Kompromittierungen aufdecken können, sowie die Suche nach untypischen Domänen.
Es wird auch darauf hingewiesen, dass viele Unternehmen bisher nicht über standardisierte Verfahren zur konsistenten oder systematischen Identifizierung oder Priorisierung ihres Bestands an Geschäftsgeheimnissen verfügen, ganz zu schweigen von konsistenten Mitteln zur Bewertung der wirtschaftlichen Auswirkungen des Verlusts von Geschäftsgeheimnissen.
WIrtschaftsspionage im Strafrecht
Strafrechtlicher Schutz vor Wirtschaftsspionage
Die Bedrohung durch Wirtschaftsspionage hat in den letzten Jahrzehnten stark zugenommen und betrifft Unternehmen aller Größen und Branchen. Besonders betroffen sind dabei mittelständische Unternehmen, die oft nicht über die Ressourcen verfügen, sich ausreichend gegen solche Bedrohungen zu schützen. Wirtschaftsspionage umfasst die illegale Beschaffung von Betriebs- und Geschäftsgeheimnissen durch staatliche oder private Akteure, häufig mittels moderner Technologien wie Cyberangriffe.
Im Folgenden geht es um die strafrechtlichen Schutzmechanismen, die in Deutschland gegen Wirtschaftsspionage und Konkurrenzausspähung zur Verfügung stehen, sowie die Herausforderungen, die bei der rechtlichen Verfolgung solcher Taten bestehen.
1. Definitionen und Abgrenzungen
Wirtschaftsspionage wird als die durch fremde Nachrichtendienste gesteuerte oder unterstützte Ausspähung von Unternehmen definiert, die in der Regel politisch oder wirtschaftlich motiviert ist. Im Gegensatz dazu steht die Konkurrenzausspähung, die durch private Unternehmen betrieben wird, um sich einen Wettbewerbsvorteil zu verschaffen. Während Wirtschaftsspionage häufig auf die Akquise von Technologien und Know-how abzielt, konzentrieren sich Konkurrenzausspähungen oft auf marktbezogene Informationen wie Kundenlisten und strategische Pläne.
Die Unterschiede in den Motivationen und Akteuren führen zu unterschiedlichen rechtlichen Rahmenbedingungen. Wirtschaftsspionage fällt in den Bereich der Staatsschutzkriminalität und wird in Deutschland insbesondere durch § 99 StGB (geheimdienstliche Agententätigkeit) strafrechtlich verfolgt. Die Konkurrenzausspähung wird hingegen durch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) und verschiedene Bestimmungen des Strafgesetzbuches, wie § 202a StGB (Ausspähen von Daten), reguliert.
2. Strafrechtliche Regelungen und Schutzmechanismen
Der strafrechtliche Schutz vor Wirtschaftsspionage in Deutschland beruht auf mehreren Säulen:
- § 99 StGB (Geheimdienstliche Agententätigkeit): Dieser Paragraph stellt die Spionagetätigkeit zugunsten eines fremden Staates unter Strafe. Erfasst werden Handlungen, die gegen die Bundesrepublik Deutschland gerichtet sind und die Lieferung von Informationen umfassen, die ein fremder Nachrichtendienst anfordert. Der Tatbestand ist als Offizialdelikt ausgestaltet, was bedeutet, dass die Verfolgung im öffentlichen Interesse liegt und ohne Strafantrag erfolgen kann. Schwere Fälle sind als Verbrechen mit bis zu zehn Jahren Freiheitsstrafe bedroht.
- §§ 202a bis 202d StGB: Diese Vorschriften schützen Daten vor unbefugtem Zugriff. § 202a StGB erfasst das Ausspähen von Daten, während § 202b StGB das Abfangen von Daten während der Übermittlung kriminalisiert. § 202c StGB stellt die Vorbereitung solcher Taten unter Strafe, etwa durch den Handel mit Passwörtern oder Spionagesoftware. § 202d StGB (Datenhehlerei) sanktioniert den Handel mit gestohlenen Daten und stellt sicher, dass die Verwertung illegal beschaffter Informationen bestraft wird.
- Geschäftsgeheimnisschutzgesetz (GeschGehG): Mit der Umsetzung der EU-Richtlinie 2016/943 zum Schutz vertraulicher Geschäftsinformationen wurden die bisherigen Regelungen des Wettbewerbsrechts in ein eigenes Stammgesetz überführt. Der strafrechtliche Schutz richtet sich gegen die unerlaubte Erlangung, Nutzung und Offenlegung von Geschäftsgeheimnissen. Unternehmen sind jedoch verpflichtet, angemessene Schutzmaßnahmen zu ergreifen, um diesen gesetzlichen Schutz in Anspruch nehmen zu können.
3. Herausforderungen in der Praxis
Die effektive Verfolgung von Wirtschaftsspionage steht vor zahlreichen Herausforderungen. Einer der Hauptprobleme ist die hohe Dunkelziffer: Viele Vorfälle werden nicht angezeigt, weil Unternehmen befürchten, dass der Rufschaden größer sein könnte als der Nutzen der Strafverfolgung. Zudem können durch Ermittlungen sensible Informationen an die Öffentlichkeit gelangen, was gerade bei der Konkurrenzspionage eine große Hemmschwelle für die Geschädigten darstellt.
Ein weiteres Problem ist die Abgrenzung und Zuordnung der Zuständigkeiten. Während für Fälle der Wirtschaftsspionage auch Verfassungsschutzbehörden zuständig sein können, liegt die Verfolgung der Konkurrenzausspähung ausschließlich bei den Strafverfolgungsbehörden. Diese unterschiedliche Zuständigkeit kann zu ineffizienten Ermittlungen führen, insbesondere wenn die Tatmotivation unklar ist oder sich die Täter geschickt in Grauzonen zwischen privater und staatlich gesteuerter Ausspähung bewegen.
4. Cyberangriffe und die Rolle moderner Technologien
Ein Großteil der Wirtschaftsspionage und Konkurrenzausspähung wird heutzutage über Cyberangriffe durchgeführt. Die Angreifer nutzen dabei oft komplexe Methoden, um sich Zugang zu sensiblen Unternehmensdaten zu verschaffen. Besonders gefährdet sind mittelständische Unternehmen, die häufig nicht über die notwendigen IT-Sicherheitsstrukturen verfügen, um solchen Angriffen wirksam zu begegnen. Die Praktiken reichen von Phishing-E-Mails und Trojanern bis hin zu gezielten Hackerangriffen auf Unternehmensserver.
Die strafrechtlichen Regelungen wie § 202a StGB sind darauf ausgelegt, solchen Bedrohungen entgegenzuwirken. Dennoch zeigt die Praxis, dass technische Schutzmaßnahmen allein oft nicht ausreichen. Es wird daher empfohlen, präventive Sicherheitsstrategien zu entwickeln, die regelmäßige Sicherheitsaudits und eine kontinuierliche Anpassung der IT-Infrastruktur umfassen.
Gesamtpolitischer Kontext
Die Bedrohung durch Wirtschaftsspionage fügt sich in einen größeren geopolitischen Kontext ein, in dem Staaten verstärkt auf Cyberaktivitäten setzen, um ihre wirtschaftlichen und strategischen Interessen zu wahren. Länder wie China und Russland stehen häufig im Verdacht, staatlich geführte Spionageoperationen gegen deutsche Unternehmen durchzuführen, um eigene wirtschaftliche Vorteile zu erzielen. Dies macht deutlich, dass Wirtschaftsspionage nicht nur ein rechtliches, sondern auch ein sicherheitspolitisches Problem darstellt.
Die deutsche Gesetzgebung reagiert auf diese Bedrohung durch verschärfte Strafnormen und eine stärkere Einbindung der Nachrichtendienste in die Prävention und Bekämpfung von Spionageakten. Gleichzeitig bleiben aber die rechtlichen und praktischen Herausforderungen groß, da viele Unternehmen weiterhin zögern, Vorfälle anzuzeigen oder sich auf die Unterstützung durch staatliche Stellen zu verlassen.
Wirtschaftsspionage im Fazit
Wirtschaftsspionage ist ein komplexes und vielschichtiges Problem, das eine Reihe von rechtlichen Herausforderungen für die Betroffenen mit sich bringt. Die Bekämpfung und Verfolgung von Wirtschaftsspionage erfordert eine sorgfältige Navigation durch verschiedene Rechtsbereiche, sowohl auf nationaler als auch auf internationaler Ebene, und erfordert oft die Zusammenarbeit von Strafverfolgungsbehörden, Rechtsanwälten und IT-Sicherheitsexperten.
Der strafrechtliche Schutz vor Wirtschaftsspionage in Deutschland ist dabei umfassend, aber auch komplex. Die Vielzahl an Vorschriften und Zuständigkeiten spiegelt die unterschiedlichen Motivationen und Akteure wider, die in diesem Bereich aktiv sind. Während der gesetzliche Rahmen vorhanden ist, bleibt die praktische Umsetzung eine Herausforderung, die sowohl technische Prävention als auch eine effektivere Zusammenarbeit zwischen Unternehmen und Behörden erfordert. Wirtschaftsspionage stellt nicht nur eine Bedrohung für die betroffenen Unternehmen dar, sondern auch für die gesamte deutsche Volkswirtschaft, die sich in einer zunehmend vernetzten und digitalisierten Welt behaupten muss.
- Können Ermittler auf das TOR-Netzwerk zugreifen? - 20. September 2024
- Project Overclock und das Ende von „Ghost“ - 19. September 2024
- Überblick über Hackbacks in Deutschland - 18. September 2024