Wirtschaftsspionage nimmt immer raffiniertere Formen an

Von Jürgen S. Holm

Ein Mann in Hamburg ergaunerte sich 500 000 Mark, die halbe Million also, von der jeder Lotto-Spieler träumt, indem er die Pfennig-Bruchteile, die bei Zins- und Zinseszinsberechnungen auf Sparkonten vorkommen, aber im Normalfall niemals auf dem Beleg ausgedruckt werden, auf ein eigenes Konto überweisen ließ. Die Sache war fast risikolos (wer schert sich heute schon um das Drittel oder Viertel eines Pfennigs), und nur durch Zufall wurde sie aufgedeckt.

Der Mann hätte jedoch eine solche Straftat niemals begehen können, wenn es nicht seit rund zwanzig Jahren eine technische Einrichtung gäbe, die sich inzwischen zum unentbehrlichen Gerät in Industriekonzernen und Behörden, in Archiven und Handwerksbetrieben, auch an Bibliotheken und Hochschulen entwickelt hat: den Computer.

Der Computer nur kann solche Beträge in kürzester Zeit erfassen; nur mit Hilfe der elektronischen Datenverarbeitung (EDV) kann man auf solche Weise zum Betrüger werden. Der Computer arbeitet zuverlässiger als ein Buchhalter mit Ärmelschonern, Aber er ist, was ein Buchhalter, in der Regel niemals ist und war, vom Kundigen sehr leicht zu mißbrauchen. Ein cleverer Programmierer – meist steht er mit seiner Maschine auf Duzfuß und läßt so leicht keinen anderen an das Gerät heran – kann seiner Firma mehr schaden als ein mittlerer Feuerausbruch.

Verrat im Rechenzentrum

Rainer A. H. v. zur Mühlen schildert in seiner Luchterhand-Broschüre „Computer-Kriminalität – Gefahren und Abwehrmaßnahmen“ (224 S., 25,– DM) einige Fälle, die den Laien verblüffen, nicht, weil so viel Raffinesse zum illegalen Spiel mit der Elektronik nötig ist, sondern weil die Dinger doch wohl recht einfach zu drehen waren.

Das Stichwort Wirtschaftsspionage kommt dabei in immer stärkerem Ausmaß in den Vordergrund. Es gab sie schon immer, seit Betriebe im Wettbewerb standen und wissen wollten, was und wie die Konkurrenz plant. Aber für den Wirtschaftsspion alter Schule war es ungeheuer schwierig, aus den einzelnen Abteilungen eines Unternehmens die wichtigen Daten zusammenzutragen, die in den seltensten Fällen zentral gelagert wurden.

Heute scheint so etwas, dank Computer, wesentlich einfacher. Mühlen berichtet zum Beispiel von einem deutschen Elektrokonzern, der seine Rechenanlagen nicht nur auf betriebswirtschaftlichem Gebiet, sondern auch im technischen und wissenschaftlichen Bereich nutzt. Das Unternehmen ist unter anderem mit der Entwicklung von Farbfernsehgeräten und Übertragungseinrichtungen befaßt. Vor einiger Zeit nun stellte die Geschäftsleitung fest, daß eine Konkurrenzfirma in den USA erstaunlich gut über das Forschungsprogramm des deutschen Konzerns Bescheid wußte. Einleuchtend, daß dadurch der Entwicklungsvorsprung des deutschen Werkes entscheidend schrumpfte.

Natürlich wurden die den Amerikanern bekannt gewordenen Daten sorgfältig analysiert. Es ergab sich, daß die undichte Stelle nur im Rechenzentrum liegen konnte. Drei bestimmte Magnetbänder mußten kopiert worden sein. Das Kopieren von Magnetbändern ist offenbar die häufigste Art der Spionage via Computer. Denn die Bänder lassen sich in der Hosentasche aus dem Werksgelände tragen, und der Pförtner hebt höchstens achtungsvoll den Finger an die Mütze, wenn der angesehene Programmierer zum Parkplatz schreitet.

Ähnlich einfach geschieht es beim Kopieren von Lochstreifen. Auch sie sind relativ leicht aus dem Werk herauszuschmuggeln, weil sie ebenfalls, wenn nicht in der Hosen-, so doch in der Aktentasche zu transportieren sind. Etwas mehr krimineller Mut und Zeit gehört zum Kopieren von Platten, die manche Firmen ihren Computern abverlangen.

Im Fall des deutschen Elektrokonzerns konnte der Täter nicht ermittelt werden. Aber eines wurde deutlich: Die Sicherheitsvorkehrungen waren völlig unzureichend. Es gab im EDV-Bereich, der mittlerweile zum Nervenzentrum des Konzerns geworden war, keine Kontrollen. Aktentaschen durften, ohne daß ein Befugter hineinschaute, hereingebracht und auch wieder mit hinausgenommen werden. Kennworte und Codes zur Klassifizierung besonders schutzbedürftiger Daten standen in irgendwelchen Akten. Aber kein Mensch kümmerte sich darum.

Die Höhe des Schadens, der dem deutschen Konzern durch „Verrat im Rechenzentrum“ entstand, ist deshalb nicht bekannt, weil das Übernehmen auf die Prüfung dieser Frage verzichtete. Aber die Umsatzeinbußen durch die Verringerung des Entwicklungsvorsprungs dürften erheblich sein.

Delikate Frage: Woher wußte der deutsche Konzern, daß die US-Konkurrenz seine Daten kannte? Eindeutige Antwort: Durch „competitiv intelligence“, also Industriespionage. Manche Manager gehen so weit, daß sie im Interesse ihrer Aktionäre, ihrer Kunden und in wessen Interesse’ auch immer diese Form von Informationsbeschaffung über Produktionspläne und Werbekampagnen für ein normales Geschäftsgebaren halten. Sie zahlen dem kleinen Angestellten bei der anderen Firma zusätzlich einen Betrag von rund fünfhundert Mark im Monat, wenn er regelmäßig mit Informationen überkommt, oder eine halbe Million, wenn er das Band bringt, das die Konkurrenz nun wirklich transparent macht.

Lebendiger Computer

Eine spezielle Form des Industriekrieges hat sich in einigen Branchen herausgebildet: Eine Firma wirbt von der Konkurrenz einen EDV-Fachmann ab und erwartet, daß er fachliche Qualifikation, aber auch sein Internwissen mitbringt. Man versucht also, ein Gehirn zu kaufen. Es kann aber sein – und das ist der Gegenschlag –, daß man einen Spion erwirbt, der ein halbes Jahr lang alles speichert, was er sehen, hören und registrieren kann und mit diesem Wissen dann, als lebendiger Computer und gegen entsprechendes Salär zur ursprünglichen Firma zurückgeht und den dortigen Computer mit den Konkurrenzdaten füttert. Gegen solche Raffinessen sind die Rivalen auf dem Markt freilich nicht gefeit.

Allerdings sind solche Fälle höchst selten und finden nur auf höchster Intelligenzebene statt. Im Normalfall gibt es Bedienungsfehler, die zum Computer-Alltag gehören. Da müssen dann bestimmte Programme oder Programmteile wiederholt werden, und das kostet dann pro Stunde mindestens 2000 Mark oder mehr. Wiederholungsläufe infolge ungenügend, ausgebildeten Personals oder menschlichen Versagens können den durch Computer gebotenen Vorsprung unter Umständen blockieren.

In der Bundesrepublik sind es derzeit rund 9000 Unternehmen, die sich einer EDV-Anlage bedienen. Und Geschäftsleitung wie Kunden glauben normalerweise an die Zuverlässigkeit dieser Einrichtung. Aber, wer mit dem Computer umgehen kann und nicht hinreichend beaufsichtigt wird, wie zum Beispiel einige Mitarbeiter, eines Treuhandbüros in New York, das mit der Verwaltung von Wertpapieren beauftragt war, kann Mißbrauch treiben. Sie erreichten einen Nebenverdienst von 80 000 Dollar in ganz kurzer Zeit, indem sie Aktien ihrer Kunden verkauften und denen Abrechnungen mit dem Neu-Kontostand zuschickten (von dem die unterschlagene Summe abgezogen war) – mit einem Anschreiben, in dem gesagt wurde, der Computer habe sich „geirrt“, und demnächst werde der Fehler berichtigt; die Firma bittet um Verständnis.

Kann man sich schützen?

Niemand wurde mißtrauisch, alle glaubten an das „Versehen“ des Computers. Sie wurden auch nicht mißtrauisch, als sich der Vorgang mehrfach wiederholte. Erst sehr spät wurde einer der Klienten argwöhnisch und forderte eine Gesamtabrechnung. Nur so kam die Unterschlagung ans Licht.

Die Dunkelziffer bei Computer-Verbrechen liegt überaus hoch. Einmal deshalb, weil die Täter kaum zu erwischen sind. Zum anderen aber auch deshalb, weil sich manche Unternehmer weich machen lassen mit der Überlegung im Hintergrund, es sei nicht gut für das Geschäft, wenn „so etwas“ an die Öffentlichkeit gelangt. Es gibt Fälle, in denen Chefs von einer Anzeige absehen, wenn der ertappte Betrüger bereit ist, den materiellen Schaden abzuarbeiten, also auf einen Teil seiner Bezüge zu verzichten. Natürlich muß der Computer-Mann dann heilige Eide schwören, daß se etwas nie wieder vorkommt. Ob das richtig ist bei der Bekämpfung von Wirtschaftsdelikten, sei dahingestellt.

Wie aber nun kann man sich wirklich gegen Computer-Verbrechen schützen? Eine einfache, wenn auch betriebsintern nicht hundertprozentig sichere Methode ist die Verschlüsselung der Daten. Man bedient sicheines sogenannten „Scramblers“, der die Daten zerhackt. Bei der Empfangsstation werden; sie durch ein Gegengerät wieder in lesbare Informationen umgeformt. Die Methode ist prächtig, hat aber nur den Nachteil, daß jeder, der ein solches Gerät in entsprechender Reichweite besitzt, die Information auch empfangen kann. Außerdem: Datenverschlüsselung verlangsamt die Bearbeitungszeit, und ganz billig ist das Verfahren auch nicht.

Die Behörden und Unternehmen können derzeit eigentlich nur zwei Dinge zur Sicherheit unternehmen: Den Zugang zum Computer überwachen und das Datenmaterial unter Verschluß halten. Aber damit wird man sicherlich der Computer-Kriminalität nicht Herr. Denn es handelt sich dabei um Intelligenz-Verbrecher. Dumme Menschen können nämlich keinen Computer bedienen. Und ihn mißbrauchen schon gar nicht.