Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.14 — Ausspähen von Informationen (Spionage)

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.10A.5.14A.5.15A.5.16A.5.17A.5.18A.5.19A.5.20A.5.21A.5.23A.5.29A.5.37A.6.1A.6.2A.6.3A.6.6A.6.7A.7.2A.7.5A.7.6A.7.7A.7.8A.7.9A.7.10A.7.11A.7.14A.8.1A.8.2A.8.3A.8.4A.8.5A.8.7A.8.9A.8.10A.8.12A.8.15A.8.18A.8.19A.8.20A.8.21A.8.23A.8.26A.8.27A.8.28A.8.29A.8.30A.8.31 BSI IT-GrundschutzISO 27001ISO 27002

Ein mittelständischer Maschinenbauer stellt fest, dass sein neuestes Produkt wenige Wochen vor der eigenen Markteinführung in leicht abgewandelter Form bei einem ausländischen Wettbewerber auftaucht. Die Konstruktionsdaten sind nahezu identisch. Die Entwicklungskosten von zwei Jahren und mehreren Millionen Euro sind entwertet — der Vorsprung ist dahin.

Spionage zielt darauf ab, Informationen über Unternehmen, Personen oder Produkte zu sammeln, auszuwerten und für eigene Zwecke zu nutzen. Das BSI führt diese Gefährdung als G 0.14. Die Methoden reichen von hochkomplexen technischen Angriffen bis zu einfachem Shoulder Surfing an einem Geldautomaten.

Was steckt dahinter?

Spionage bezeichnet jeden systematischen Versuch, an vertrauliche Informationen zu gelangen. Die Motivation kann Wirtschaftsspionage sein (staatlich gelenkt), Konkurrenzausspähung (privatwirtschaftlich) oder persönliche Bereicherung. Die aufbereiteten Informationen verschaffen dem Angreifer Wettbewerbsvorteile, ermöglichen Erpressung oder dienen dem Nachbau geschützter Produkte.

Angriffsmethoden

  • Technische Angriffe — Trojaner, Keylogger, Netzwerk-Sniffing, Man-in-the-Middle-Angriffe. Die Schadsoftware wird häufig über Spear-Phishing-E-Mails eingeschleust, die auf bestimmte Personen im Unternehmen zugeschnitten sind.
  • Social Engineering — Angreifer geben sich als Lieferanten, IT-Support oder Bewerber aus, um Zugang zu Räumlichkeiten oder Informationen zu erhalten. Besonders wirkungsvoll in Kombination mit vorab gesammelter OSINT.
  • Optisches Ausspähen — Mitlesen am Bildschirm (Shoulder Surfing), Fotografieren von Dokumenten, Beobachtung von PIN-Eingaben. Einfach, aber effektiv — vor allem in öffentlichen Räumen.
  • Akustisches Ausspähen — Mithören von Gesprächen in Büros, Besprechungsräumen oder öffentlichen Verkehrsmitteln. Offene Bürokonzepte begünstigen diese Angriffsform.
  • OSINT-Aggregation — Einzeln unverdächtige öffentliche Informationen (Stellenanzeigen, Social-Media-Posts, Handelsregistereinträge) werden so kombiniert, dass sie vertrauliche Zusammenhänge offenlegen.

Schadensausmass

Der Schaden durch Spionage betrifft primär die Vertraulichkeit, kann aber erhebliche finanzielle und strategische Folgen haben: Verlust von Wettbewerbsvorteilen, Entwertung von Forschungsinvestitionen, Reputationsschäden und — bei personenbezogenen Daten — regulatorische Konsequenzen. Spionageangriffe bleiben häufig über Monate oder Jahre unentdeckt, weil die Angreifer darauf achten, ihre Spuren zu verwischen.

Praxisbeispiele

Spear-Phishing gegen die Forschungsabteilung. Ein Angreifer analysiert LinkedIn-Profile von Ingenieuren eines Technologiekonzerns und identifiziert ein laufendes Forschungsprojekt. Er verschickt eine täuschend echte E-Mail, die sich auf eine echte Fachkonferenz bezieht, mit einem präparierten PDF im Anhang. Der Keylogger, der sich so installiert, zeichnet wochenlang Zugangsdaten und vertrauliche Korrespondenz auf.

Gesprächsmitschnitt im Besprechungsraum. Ein externer Dienstleister, der regelmäßig Wartungsarbeiten im Gebäude durchführt, platziert ein miniaturisiertes Aufnahmegerät in einem Besprechungsraum der Geschäftsführung. Strategische Entscheidungen, Übernahmeplanungen und Finanzdaten werden über Wochen mitgeschnitten und an einen Wettbewerber weitergeleitet.

OSINT-Aggregation aus öffentlichen Quellen. Ein Wettbewerber wertet systematisch Stellenausschreibungen, Patentanmeldungen und Konferenzbeiträge eines Unternehmens aus. Aus der Kombination dieser Quellen rekonstruiert er die technologische Roadmap, die geplanten Markteintrittsstrategien und sogar interne Organisationsstrukturen — ohne je ein System zu kompromittieren.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 47 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.14 verknüpft der BSI-Grundschutzkatalog mit einer Vielzahl von Bausteinen, darunter:

  • DER.2.3 (Bereinigung weitreichender Sicherheitsvorfälle) — Anforderungen an die Aufarbeitung schwerwiegender Vorfälle, zu denen Spionage regelmäßig gehört.
  • ORP.1 (Organisation) — Organisatorische Grundlagen: Rollen, Verantwortlichkeiten und Informationsklassifizierung.
  • INF.7 (Büroarbeitsplatz) — Sicherheitsanforderungen an Büroräume, die das optische und akustische Ausspähen erschweren.
  • CON.7 (Informationssicherheit auf Reisen) — Schutzmaßnahmen für mobile Arbeit und Geschäftsreisen.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.10 Akzeptable Nutzung von Informationswerten A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.23 Informationssicherheit bei Cloud-Diensten A.5.29 Informationssicherheit bei Störungen A.5.37 Dokumentierte Betriebsverfahren A.6.1 Sicherheitsüberprüfung A.6.2 Beschäftigungsbedingungen A.6.3 Sensibilisierung und Schulung A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.7.2 Physischer Zutritt A.7.5 Schutz gegen Umweltbedrohungen A.7.6 Arbeiten in Sicherheitsbereichen A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.8 Platzierung und Schutz von Geräten A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.11 Unterstützende Versorgungseinrichtungen A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.7 Schutz gegen Schadsoftware A.8.9 Konfigurationsmanagement A.8.10 Löschung von Informationen A.8.12 Verhinderung von Datenleckagen A.8.15 Protokollierung A.8.18 Nutzung privilegierter Hilfsprogramme A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.23 Webfilterung A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.30 Ausgelagerte Entwicklung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Häufig gestellte Fragen

Was unterscheidet Wirtschaftsspionage von Konkurrenzausspähung?

Wirtschaftsspionage wird von Staaten oder staatlich gelenkten Akteuren betrieben und richtet sich gegen Unternehmen eines anderen Landes. Konkurrenzausspähung (Competitive Intelligence in illegaler Form) geht von privaten Akteuren aus — etwa Wettbewerbern, die sich durch illegale Mittel einen Vorteil verschaffen wollen. Beide zielen auf vertrauliche Informationen ab, unterscheiden sich aber in den Mitteln und der Reichweite.

Ist Open-Source-Intelligence (OSINT) auch Spionage?

OSINT bezeichnet das systematische Sammeln und Auswerten frei zugänglicher Informationen. Das allein ist legal und weit verbreitet. Problematisch wird es, wenn einzeln harmlose Informationen so kombiniert werden, dass sie vertrauliche Sachverhalte offenlegen — etwa Rückschlüsse auf Geschäftsstrategien, Mitarbeiterbewegungen oder Produktpläne.

Wie schütze ich mich vor Social Engineering im Spionagekontext?

Regelmäßige Awareness-Schulungen, klare Richtlinien für den Umgang mit vertraulichen Informationen (auch mündlich) und eine Kultur, in der Rückfragen bei ungewöhnlichen Anfragen normal sind. Technische Maßnahmen wie Zugriffskontrollen und Protokollierung ergänzen den menschlichen Faktor.