Wer kopiert denn unsere Kronjuwelen?

Der österreichische Weltmarktführer im Seilbahnbau mit Hauptsitz in Wolfurt wurde vor zwei Jahren zum Opfer einer ausgeprägten Produktpiraterie: Etwa 200 nachgebaute Doppelmayr-Lifte tauchten plötzlich in China auf. Rechtliche Maßnahmen gegen diesen "Produktklau" blieben erfolglos, obwohl die chinesischen Raubkopierer dingfest gemacht werden konnten. Teilweise trugen die Lifte sogar den Namenszug Doppelmayr.

Das Pikante an dem Fall war, dass die Schlepplifte und geklemmten Sessellifte sogar unter staatlicher Regie abgekupfert worden waren, die direkt dem Maschinenbauministerium unterstanden. Infolge dessen lief auch jeglicher Patentschutz ins Leere. Erst als Kunden oder Betreuer anriefen und auf den teilweise schlechten Wartungszustand der Lifte aufmerksam machten, war die Verwunderung groß, dass die Produkte gar nicht aus dem Hause Doppelmayr stammten.

Schutz vor Markenpiraterie wird immer wichtiger

Derartige Vorfälle sind in der Wirtschaft längst keine Randepisoden mehr. Laut Angaben des Aktionskreises Deutsche Wirtschaft gegen Produkt- und Markenpiraterie (APM e.V.) gehen durch Fälschungen allein in Deutschland rund 50.000 Jobs jährlich verloren, wodurch ein volkswirtschaftlicher Schaden von 25 Milliarden Euro pro Jahr entstehe. Im weltweiten Maßstab taxiert APM den gesamtwirtschaftlichen Schaden auf 300 bis 400 Milliarden Euro pro Jahr.

Gefälscht wird mittlerweile so gut wie alles: Kosmetik, Luxusgüter, Medikamente und selbst Autoersatzteile. Allein in der Informationstechnologie dürfte so gut wie jedes zehnte Softwareprodukt gefälscht sein, glaubt man den Berichten der Business Software Alliance (BSA). Punktuelle Lösungen an der einen oder anderen Stelle im Unternehmen bringen indes kaum weiter. Um Abhilfe zu schaffen, gilt es technische Maßnahmen mit organisatorischen Vorgaben zu kombinieren.

In technischer Hinsicht gibt es eine Vielzahl von Elementen, die von DNA-Prüfung über Hidden Image bis hin zu Hologramm ähnlichen Flüssigkristall-Systemen reichen. Der kürzlich veröffentlichte Forschungsbericht "Plagiatschutz - Handlungsspielräume der produzierenden Industrie gegen Produktpiraterie" zeigt eine ganze Reihe neuartiger Wege und Methoden auf - vom Prozess-Engineering bis hin zur Absicherung auf IT-Ebene.

Allerdings stecken die meisten Lösungsansätze noch in den Kinderschuhen. Das Spektrum beinhaltet etwa eine "Black Box", die mechanische und elektronische Bauteile untrennbar integriert. Oder ein Verfahren, bei denen sich Bauteile mit Hilfe der IT gegenseitig identifizieren. Auch direkt auf den Bauteilen integrierte RFID-Chips sind eine Möglichkeit. In Betracht kommen auch spezifische Authentifizierungssysteme für alle am Entwicklungs- und Produktionsprozess beteiligten Partner und Personen, inklusive Tracking- und Tracing-Verfahren.

Umstrittener Königsweg zum technischen Plagiatschutz

Bis aber der unmittelbar in der Produktentwicklung integrierte Plagiatschutz mit Hilfe von eingebetteter Softwarelösungen greifbar wird (Embedded Software), etwa mit fälschungssicheren Chips, Codes und -bauteilen, ist es noch ein weiter Weg. Aufgrund des fehlenden Königswegs sind deshalb derzeit pragmatische Ansätze gefragt, die unmittelbar in den ersten Wertschöpfungsstufen ansetzen.

Denn bereits auf Ersatzteilebene könnten Manipulationen zum kompletten Ausfall von Systemen führen. Insbesondere die Kommunikation über offene und ungeschützte Netzwerke ist anfällig für Angriffe von innen wie von außen. Verschlüsselung und kryptographische Protokolle sind ein Muss. Aber auch eindeutig geregelte Zugriffsrechte auf sensible Dokumente wie Produktbeschreibungen oder Zeichnungen gehören zum Pflichtprogramm.

Einen zusätzlichen strategischen Baustein bilden nicht nur hard- und softwareseitige Schutzmaßnahmen, sondern auch ein integriertes Schwachstellen-Management (Leakage Management). Dieses wiederum gilt es mit Blick auf die jeweilige Innovationsstrategie und das damit verbundene Lebenszyklus-Management an einen sinnvollen betriebswirtschaftlichen Rahmen anzupassen.

Defizite beim IT-Management der Kernprozesse

Dennoch ist auch bei organisatorischen Maßnahmen der Grat zwischen effektiver Absicherung und blindem Aktionismus äußerst schmal. Das Risiko zum Opfer gezielter Angriffe von innen zu werden, lässt sich mit Hilfe von Direktiven und Handlings ohnehin nur bedingt minimieren. Schließlich benötigt der Angreifer nur eine kleine Sicherheitslücke im IT-System. Der Verteidiger hingegen müsste alle erdenklichen Szenarien und Katastrophenfälle hundertprozentig absichern.

Für den IT-Sicherheitsexperten Stefan Strobel bleiben oftmals die einfachsten Dinge unbeachtet, wie gesicherte und verschlüsselte Notebooks zu benutzen, sagt der Geschäftsführer des IT-Dienstleisters Cirosec. Oder wenn Outsourcing-Partner vom Auftraggeber mit automatischen Zugriffsrechten auf sensible Informationsbestände ausgestattet seien. "Wenn das indische Call-Center ungewollt Zugriff auf wichtige Daten erhält, sollte man sich schon vorher fragen, ob der Partner ähnliche Wertvorstellungen wie das eigene Unternehmen hat", beklagt Strobel.

Auch vor der Chefetage machen die Versäumnisse nicht halt. Hat der Vorstand immer darüber Kenntnis, ob der Fileserver mit sensiblen Powerpoint- und Excel-Dateien als geheim klassifiziert ist oder nicht? Selbst probate Schutzmaßnahmen sind wirkungslos, wenn der Angreifer in sensiblen Bereichen wie Business-Hotels oder Flughäfen illegalen Zugriff auf die Daten erhält. "Die passenden IT-Werkzeuge sollten aber nicht auf die Rundum-Absicherung aller Systeme ausgerichtet sein, sondern auf die als schützenswert klassifizierten Dokumente und Prozesse", gibt Stefan Strobel zu bedenken.

Erhöhtes Risiko von Insider-Attacken

Social Engineering, das gezielte Ausnützen von inneren Sicherheitslücken, stellt weiterhin das größte Risiko dar. Insider-Attacken jedoch allein mit einer groß angelegten "Blockade der Kommunikationskanäle" zu begegnen, greift zu kurz. Der berüchtigte Ex-Hacker Kevin Mitnick und heutige IT-Berater sieht Social Engineering mit Hilfe von E-Mails oder per Telefon viel leichter zu realisieren, statt irgendeine löchrige Webapplikation anzugreifen oder eine Schwachstelle bei Windows auszunutzen.

Mitnick empfiehlt den Unternehmen, freundlichen Helpdesk-Mitarbeitern auch mal ein klares Nein bzw. eine Absage mit auf den Weg zu geben, wenn eine Anfrage ein auffälliges Verhaltensmuster aufweise oder diese nicht den internen Richtlinien entspreche. Als probate Gegenmaßnahme gegen Industrie- und Wirtschaftsspionage empfiehlt der Experte, an zentralen Stellen anzusetzen, etwa der Verschlüsselung von Daten. Dort sei mindestens ein Vier-Augen-Prinzip strikt zu beachten, statt profundes Geheimwissen nur auf eine Schulter zu verteilen.

Extrusion Prevention: Automatischer Schutzriegel von innen nach außen

Allerdings schützt diese Maßnahme nicht vor "Datenklau" durch autorisierte Personen. Hier kann das Unternehmen durch Protokollierung der Datenzugriffe höchstens im Nachhinein nachvollziehen, auf welche Daten die berechtigten Mitarbeiter zugegriffen haben. Eine denkbare Variante wären "Extrusion Prevention Systeme", die den ungehinderten Datenfluss von innen nach draußen unterbinden. In erster Linie lassen sich damit Attacken von Insidern verhindern.

Technisch gesehen gibt es zwei grundlegende Ansätze: Zum einen lässt sich der Datenfluss direkt an den Servern regeln und kontrollieren, zum anderen auf der Ebene des Anwenders. Im Idealfall sind entsprechende Programme auf jedem PC oder Endgeräte im Betrieb installiert. Ein Agent regelt den Zugriff auf sensible Daten - und erkennt jeden illegalen Zugriff darauf, egal ob per E-Mail oder mit Hilfe eines externen Speichergeräts - ohne die Mitarbeiter in ihren produktiven Abläufen allzu sehr zu behindern.

Die Marktanalysten von IDC haben für Lösungskonzepte zum Schutz sensibler Unternehmensdaten einen weiteren Begriff definiert, Information Leakage Detection and Prevention (ILD&P). Ähnlich wie bei der klassischen Einbruchsabwehr (Intrusion Detection and Prevention - IDS/IPS) lassen sich dabei desktop- und netzwerkbasierte Ansätze unterscheiden.

Zur ersten Kategorie zählt IDC neben Verdasys Hersteller wie Orchestria, Oakley Networks oder Onigma. Die zweite Kategorie besteht überwiegend aus Linux-basierten Appliances, die quasi parallel zur Firewall prüfen, ob im ausgehenden Datenverkehr geheime Informationen enthalten sind. Entsprechende Hersteller sind Vericept, Vontu, Portauthority, Tablus, Reconnex und Fidelis.

www.tcw.de - Forschungsbericht Plagiatschutz - Handlungsspielräume der produzierenden Industrie gegen Produktpiraterie, München, 2007, TCW Transfer-Centrum.