Industriespionage im deutschen Mittelstand. Wie schützt man Know-How wirkungsvoll?

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

Gesetzesverzeichnis

Glossar

Abstract

1 Einführung
1.1 Aufbau der Arbeit
1.2 Problemstellung und Vorgehensweise
1.3 Thematische Abgrenzung
1.4 Zielsetzung
1.5 Persönliches Erkenntnisinteresse

2 Industriespionage
2.1 Begriffsdefinition und Abgrenzung Industriespionage zu Wirtschaftsspionage
2.2 Abgrenzung Daten, Informationen und Wissen
2.3 Akteure im Umfeld illegaler Spionagetätigkeiten
2.4 Ursachen von Industriespionage
2.5 Rechtliche Einordnung
2.6 Auswirkungen
2.7 Sicherheitslücken

3 Status quo von Industriespionage im deutschen Mittelstand
3.1 Wirtschaftlicher und ökonomischer Schaden
3.2 Beispiele von Industriespionagefällen
3.3 Herausforderungen
3.4 Trends
3.5 Auswertung der qualitativen Interviews
3.5.1 Methodik Interviewleitfaden
3.5.2 Vorgehensweise bei der qualitativen Inhaltsanalyse
3.5.3 Qualitative Inhaltsanalyse
3.5.4 Interpretation der Ergebnisse

4 Abwehrmaßnahmen
4.1 Prävention
4.2 Technical Intelligence
4.3 Human Source Intelligence
4.4 Cyberattacken
4.5 Handlungsempfehlung

5 Fazit
5.1 Fazitund Ausblick
5.2 Kritische Würdigung

6 Literaturverzeichnis

7 Linkverzeichnis

8 Anhang

Anhang 1 und 2: Auswertungstabellen qualitative Inhaltsanalyse

Anhang 3: Interviewleitfaden

Abbildung 1: Schadenshöhe bei Industriespionagefällen in der BRD in Euro

Abbildung 2: Häufigkeit des Verrates von Geschäfts- und Betriebsgeheimnissen

Abbildung 3: Anstieg der Gefährdung durch kriminelle Risiken für das eigene Unternehmen bis 2016im Vergleich zu heute in %

Abbildung 4: Gegenwärtige kriminelle Risiken für das eigene Unternehmen und dessen Mitarbeiter in %

Abbildung 5: F&E-Aufwendungen als Anteil am BIP 2000 bis 2011, Deutschland im Vergleich zu ausgewählten Ländern

Abbildung 6: Schutzniveau des Know-hows in MU

Abbildung 7: Regelkreis der Prävention

Abbildung 8: Aktuelle durchgeführte Präventionsmaßnahmen zum Schutz des Unternehmens vor kriminellen Risiken in %

Abbildung 9: Wichtige Maßnahmen zum Untemehmenserfolg

Abbildung 10: Stellenwertvon IT-SicherheitimUntemehmen

Abbildung 11: Häufigkeitvon IT-Angriffen

Abbildung 12: Austausch über Fragen der IT-Sicherheit

Abbildung 13: Schaden der deutschen Wirtschaft durch IT-Angriffe

Abbildung in dieser Leseprobe nicht enthalten

Gesetzesverzeichnis

1. GVG § 74c Abs. 1 Satz 1 bis 6b

2. UWG §§ 17

3. UWG § 18 Abs. 1, Satz 2, 3 und 4

4. UWG § 19 Abs. 1, 2

5. 2. WiKG vom 15.05.1985

6. HGB § 74

7. HGB §90

8. HGB §333

9. StGB § 5 Nr. 7

10. StGB § 263

11. StGB §266

12. StGB § 246

13. StGB §§ 202 ff., insbes. 203 und 353b

14. UrhG § 106 ff.

15. GmbHG § 85

16. AktG § 404

17. BetrVG § 120

18. PatG §§ 50 ff.

19. GebrMG § 9

20. BDSG

21. GG Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG

22. TKG

Glossar

Advanced Persistent Threat

komplexer, zielgerichteter und effektiver Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten

Android

Betriebssystem auf Smartphones

Botnetz

Gruppe von automatisierten Computerprogrammen, die auf vernetzten Rechnern laufen, deren Netzwerkanbindung sowie lokale Ressourcen und Daten ihnen zur Verfügung stehen.

Business-Partner-Screening

Einholung von Informationen zu Geschäftspartnern wie Kunden, Dienstleistem und Lieferanten

CATI

Unterstützung eines telefonischen Interviews durch einen Computer

Communication Intelligence

Femmeldeaufklärung zum Abhören von Funksignalen

Computer Intelligence

Gebiet der künstlichen Intelligenz

Cyber

populärer Wortbestandteil der Computergeneration

Cyberversicherung

freiwillige Zusatzversicherung für Unternehmen, die Schäden im Zusammenhang mit Hacker-Angriffen oder sonstigen Taten von Cyberkriminalität absichert.

Dark Web

Börsen, an denen Hacker und Auftraggeber Zusammenkommen und mit den erbeuteten Informationen handeln.

Data Intelligence

versucht Daten auf semantisch bedeutungsvolle Weise zu erklären, um den Weg von Daten bis Informationen zu Wissen zu schaffen.

vin

DIN EN ISO 9000

Diese Norm definiert Grundlagen und Begriffe zu prozessorientierten Qualitätsmanagementsystemen.

Disassembler

Computerprogramm, das die binär kodierte Maschinensprache eines ausführbaren Programmes in eine für den Mensch lesbarere Sprache umwandelt.

Forensik

Wissenschaftliches Arbeitsgebiet, auf dem systematisch kriminelle Handlungen identifiziert, analysiert und rekonstruiert werden.

GPS

globales Navigationssatellitensystem zur Positionsbestimmung

Hidden Champion

MU, die Weltmarktführer in Nischenmärkten sind und dank ihres Know-hows hochqualitative Produkte, Komponenten und Dienstleistungen in die ganze Welt exportieren können.

IMINT

Reproduktion von Ziel Objekten mittels elektronischer oder optischer Mittel auf elektronischen Medien

Intellectual Property

Geistiges Eigentum eines Menschen ist alljenes Wissen und Kulturgut, das durch geistige Anstrengungen wie Lernen, Forschen, Nachdenken usw. zu eigen gemacht wurde.

Intelligence Traders

Informationshändler, Detekteien sowie Sicherheitsberatungs- oder Risikomanagement­Gesellschaften

Intrusion Detection System, Host-basiertes

Angriffserkennungssystem, das gegen ein Computersystem oder Rechnemetz gerichtet ist. Kann eine Firewall ergänzen und somit die Sicherheit eines Netzwerkes erhöhen.

MASINT

Erfassung und Auswertung unbeabsichtigter Emissionen von Aufklärungsobjekten

mehrstufiger Perimeterschutz

Schutz, der Spam und Malware blockiert bzw. entfernt

neuralgischer Punkt

Schwachstelle, verwundbare / unvollkommene Stelle

Nischenexperten (niche experts)

Spezialisten für bestimmte Fachgebiete wie z. B. Hacker

Pre-Employment-Screening

Hintergrund- und Integritätsprüfung neuer Mitarbeiter nach sicherheitsrelevanten Kriterien

Return on Security Investment

Ertragsrechnung auf das in die IT-Sicherheit investierte Kapital

Reverse-Engineering Tools

Werkzeuge um aus einem bestehenden, fertigen System durch Untersuchung der Strukturen die Konstruktionselemente zu extrahieren

Security Policy

Sicherheitsrichtlinie, die den erstrebten Sicherheitsanspruch einer Institution beschreibt. Diese bezieht sich i. d. R. auf Informationssicherheit.

Signal Intelligence

Informationsgewinnung aus Femmelde- und elektronischer Aufklärung

Skalarsystem

objektorientiertes und funktionales System

Social Engineering

Zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Informationen oder technische Infrastrukturen zu gelangen.

USB-Port

serielles Bussystem zur Verbindung eines externen Gerätes mit einem Computer

Virtual Private Network

Schnittstelle zu einem personalisierten Datennetzwerk

Abstract

Ist der deutsche Mittelstand einer Bedrohung durch Industriespionage ausgesetzt? Zur Beantwortung dieser Frage beleuchtet die vorliegende Masterarbeit die gestiegene Bedeutung ökonomisch ausgerichteter Spionage in einem sich rasant verändernden Marktumfeld. Der Autor gibt einen Überblick über die handelnden Akteure, die von ihnen zur Informationsabschöpfung eingesetzten Methoden und darüber, welche Gefahren aus der höchst unterschiedlichen Rezeption und Verarbeitung des Phänomens erwachsen.

Ein Schwerpunkt der Analyse liegt dabei auf den zu treffenden Abwehrmaßnahmen. Die Arbeit zeigt, dass der deutsche Wirtschaftsraum nicht zuletzt wegen einer unter seinen defensiven Akteuren vorherrschenden Schweige- und Stillhaltekultur Teil eines besonderen Gefahrenareals in Bezug auf Vorgänge von Industriespionage ist. Es besteht daher ein dringender Bedarf an ganzheitlichen Informationsschutzkonzepten für die gesamte Wirtschaft, speziell für den deutschen Mittelstand, auf deren erste Ansätze abschließend verwiesen wird.

Innovative Unternehmen werden in zunehmendem Maße durch Industriespionage he

Are the German medium-sized companies exposed to a threat by industrial espionage? In order to answer this question this master thesis illuminates the increased meaning of economic straightened espionage in a quickly changing market environment. The author describes the actors who are performing in this environment, the used methods for gathering information and additionally, the dangers which occur from very different reception and processing the phenomenon. The main focus of the analysis lies thereby on the measures of defence. The master thesis shows, that the German economy is part of a special danger zone account of their defensive actors predominant culture of silence and keeping still part of a special danger zone related to operations of industrial espionage especially due to their defensive actors who have a prevailing culture of silence and keeping still.

Thus, there is an urgent need for a holistic information security concept for the entire German economy, especially for the German medium-sized enterprises whose first approaches are discussed lastly.

Due to globalisation and increased international competition, innovative companies are increasingly threatened by industrial espionage. Regarding this, the human factor is the most significant risk of an unintentional knowledge outflow. Based on these facts, the present master thesis investigates which preventive and repressive measures of counter­intelligence are available in order to improve the company’s security. After a theoretical introduction of the topic of industrial espionage, the interviews’ results are presented as central aspects and are integrated into the existing literature. In doing so, the outcomes reveal that there is no simple solution. The security which has to be ensured by the company management has to be individually fitted to the needs of the company, to the threatening situation and economic environment.

1 Einführung

1.1 Aufbau der Arbeit

Die Arbeit unterteilt sich in fünf Kapitel, die zur Auflösung des oben genannten Themas beitragen sollen. Zu Beginn erfolgt in Kapitel 1 eine Einführung in die Thematik. Des Weiteren steckt der Autor die sich mit Spionage befassenden Fragestellungen ab und legt das Ziel der Masterthesis exakt fest.

In Kapitel 2 sollen die Aspekte der Industriespionage aufgezeigt werden. Nachdem unter 2.1 der Begriff Industriespionage definiert und von der Wirtschaftsspionage abgegrenzt wird, greift 2.2 die Unterschiede der Begriffe Daten, Informationen und Wissen auf. Ferner sollen hier essenzielle Terminologien und Kausalitäten, die später noch von großer Relevanz dargelegt werden. Die Ursachen von Industriespionage werden in 2.4 beleuchtet und eine rechtliche Einordnung erfolgt in 2.5. Die Auswirkungen werden im anschließenden Abschnitt behandelt. 2.7 rundet mit der Thematik der Sicherheitslücken das Kapitel ab.

Kapitel 3 bildet im Anschluss daran, zusammen mit Kapitel 4 und dem abschließenden Diskurs in Kapitel 5 den Kern dieser Arbeit. Unter 3.1 soll zunächst der Schaden für die Wirtschaft und die Ökonomie näher erläutert werden. Im weiteren Verlauf werden in 3.2 Beispiele von Industriespionagefällen beschrieben und in 3.3 diesbezügliche Herausforderungen skizziert. Trends werden in der vorletzten Passage abgeleitet. Die abschließende befasst sich mit den Auswertungen der qualitativen Interviews.

Die Abwehrmaßnahmen bilden den Mittelpunkt des vierten Kapitels. Zuallererst wird die Prävention ausgeführt. Die beiden folgenden Abschnitte zeigen die Möglichkeiten von Technical und Human Source Intelligence (s. Glossar) auf. Ein sehr aufstrebendes Gebiet sind Cyberattacken (s. Glossar), auf die in 4.4 eingegangen wird. Eine Handlungsempfehlung erwartet den Leser im Anschluss.

Bevor unter 5.2 die Arbeit, insbes. die Forschungsmethodik einer kritischen Würdigung seitens des Autors unterzogen wird, erfolgt unter 5.1 der obligatorische Ausblick unter Berücksichtigung weiterer Ansätze, die sich in Theorie und Praxis teilweise als zielführend bewährt haben.

1.2 Problemstellung und Vorgehensweise

Die vorliegende Arbeit trägt den Titel „Industriespionage im deutschen Mittelstand - wie schützt man Know-how wirkungsvoll?“ und wurde im Rahmen des Masterstudiengangs Innovation Management der Hochschule Ludwigshafen am Rhein als Masterthesis erstellt.^[1] Die Herausforderung ist es u. a., zu veranschaulichen, wie das Thema Industriespionage im deutschen Mittelstand im Allgemeinen von den befragten Unternehmen aufgefasst und vermieden wird. Des Weiteren soll untersucht werden, ob es einen expliziten Zusammenhang zwischen Investitionen in Abwehrmaßnahmen gegen und konkreten Erfolgen hinsichtlich Spionage gibt.

Im Hinblick auf die Thematik lässt sich einschlägige Forschungsliteratur finden. Es handelt sich somit um ein ergründetes Forschungsfeld, das nichtsdestotrotz durch die inhaltlichen Aussagen und die in der Arbeit angewandte Methodik zusätzlich bereichert und ergänzt ist. Die Interviews bieten dem Leser die Chance die Vielzahl von Handlungsmöglichkeiten für deutsche MU zu erfahren.

Der Fokus der vorliegenden Masterarbeit richtet sich somit auf einen qualitativen Forschungscharakter, der sich der Erhebung nicht standardisierter Daten in Form von Interviews bedient. Daraus folgt, dass eine Primärerhebung zugrunde liegt, deren Grundlage ein selbst erstellter, größtenteils standardisierter Interviewleitfaden ist. Da die Rückmeldung der angefragten Interviewpartner mittelmäßig ausfiel, erfolgte bez. der Auswahl der Unternehmen keine weitere Beschränkung in Präsenzinterviews. Die Auswertung der Interviews erfolgte mit einer qualitativen Inhaltsanalyse nach Philipp Mayring.^[2]

Aus der soeben dargestellten Problemstellung und Vorgehensweise ergeben sich somit folgende Forschungsfragen, auf denen diese Masterarbeit im weiteren Verlauf eingeht:

- Wie ist der Status quo der Betriebsspionagefälle bei den deutschen Mittelständlern?
- Investieren deutsche mittelständische Unternehmen in die Abwehr von Betriebsspionagefällen?
- Wie schätzen die deutschen mittelständischen Unternehmen ihren bisherigen Schutz gegen Industriespionage ein?
- Welcher Zusammenhang besteht zwischen Industriespionage und Know- how-Schutz in MU?

Eine detaillierte Erörterung der Methodik und Vorgehensweise erfolgt in den Unterkapiteln 3.5.1 und 3.5.2.

1.3 Thematische Abgrenzung

Die vorliegende Ausarbeitung behandelt ausschließlich die Thematik der Industriespionage im, deutschen Mittelstand wie in Kapitel 2.1 abgegrenzt. Wird im Verlauf der Arbeit auf MU eingegangen, legt der Autor die Definition von mittelständischen Firmen nach dem Institut für Mittelstandsforschung Bonn zugrunde. Nach dieser wird ein Betrieb mit zehn bis 499 Beschäftigten und zwischen einer und 50 Mio. Euro Jahresumsatz als mittleres Unternehmen eingeordnet.^[3]

Gerade Unternehmen stehen immer mehr vor der Herausforderung, Forschungs- und Entwicklungserfolge vor Konkurrenzausspähungen zu schützen. Das Ausmaß und die Konsequenzen der Industriespionage werden vor allem im deutschen Mittelstand sehr stark unterschätzt. Dabei offeriert in der BRD der Mittelstand die meisten Arbeitsplätze. Tendenziell ist der Gesamtschaden in Deutschland im Zeitraum von 2006 bis 2013 um ungefähr das 4,2 fache ^[4] gestiegen. Hierbei sind es nicht nur unzureichend geschützte IT- Systeme, sondern auch Mitarbeiter die den Tätern oftmals die Tür öffnen, so dass diese mit geringem Aufwand gewaltige Schäden anrichten können.

Die zunehmende Intemationalisierung auf dem Wirtschaftsmarkt führt dazu, dass die Unternehmen in einer mehrheitlich komplexer werdenden Umwelt fungieren und dadurch einem verstärkten Wettbewerbsdruck unterliegen.

Im Tagesgeschäft können oftmals keine finanziellen und personellen Ressourcen für Sicherheitsmaßnahmen aufgebracht werden. Historisch betrachtet, beschäftigte die Krupp-Familie bereits 1811 ein bezahltes Informantennetz, um an die Geheimnisse der englischen Stahlproduktion zu gelangen.^[5]

1.4 Zielsetzung

Im Rahmen der vorliegenden Masterarbeit soll mit gezielten wissenschaftlichen Methoden untersucht werden wie Wissensabfluss und Industriespionage in MU geschieht. Darüber hinaus möchte der Verfasser erörtern, welche Abwehrmaßnahmen Know-how-Transfers verhindern oder zumindest vermindern können. Speziell auf die Herausforderungen von mittleren Unternehmen in puncto Cybersicherheit geht der Verfasser näher ein. Unternehmer haben die Möglichkeit durch eine detaillierte Auseinandersetzung mit der Fragestellung eine Förderung zur Existenzsicherung und Erhaltung von Arbeitsplätzen in Angriff zu nehmen. Dem Leser offeriert sich die Chance die Gefahren von Industriespionage und Konzepte der Vermeidung kennenzulemen. In unserer heutigen Zeit hat sich die Digitalisierung fest verwurzelt. Für das Handeln im Alltag können ebenfalls Schutzmaßnahmen gegen Datenabfluss abgeleitet und ergriffen werden. Im Hinblick auf das Geschehen um die NSA-Affäre zeigen sich global entbrannte Probleme, die nach Ansicht des Verfassers nur durch tiefgründig durchdachte und dynamische Lösungen abgefangen werden können. Als Ergebnis sollen klare Handlungsempfehlungen für die Untemehmenspraxis und die Entscheider des deutschen Mittelstandes gegeben werden, um Industriespionage Vorbeugen und auf Dauer eindämmen zu können.

1.5 Persönliches Erkenntnisinteresse

Betriebsspionage hat den Autor immer schon fasziniert, weil zum einen die Spionagemethoden eine fast unvorstellbare Fülle an Raffinessen bieten. Zum anderen spielt er mit dem Gedanken, ein Unternehmen zu gründen. Dabei ist ihm insbes. die technische Sichtweise wichtig, denn er arbeitet aktuell als IT-Berater in einer großen Mittelstandsbank.

2 Industriespionage

2.1 Begriffsdefinition und Abgrenzung Industriespionage zu Wirtschaftsspionage

In Deutschland existiert keine einheitliche und anerkannte Definition von Wirtschaftskriminalität und so orientiert sich das BKA an den in § 74c Abs. 1 Satz 1 bis 6b GVG^[6] aufgeführten Straftaten.^[7] Dementsprechend fallen die Wirtschafts- sowie die Industriespionage unter wirtschaftskriminelle Handlungen, wobei der Auftraggebende den entscheidenden Ausschlag gibt. Im Allgemeinen bedienen sich beide dem illegalen Erwerb von Wissen durch die Täter oder Dritte mit dem Ziel, einen Wettbewerbsvorteil, durch einen vorzeitigen Erhalt der Informationen, zu generieren. Bei der Wirtschaftsspionage setzen die Handelnden die vom Staat bereitgestellten Mittel und Methoden - wie z. B. ihre Nachrichtendienste - ein, auch wenn sie nicht in allen Fällen die Profitierenden der Spionageergebnisse sein müssen.^[8]

Im Kontrast dazu erfolgt die Ausspähung bei der Industriespionage, auch als Betriebsspionage bekannt, durch eine privatwirtschaftliche Einrichtung oder durch eine natürliche Person, die beide schlussendlich auch die Hauptinteressenten für die beschafften Informationen sind.^[9]

2.2 Abgrenzung Daten, Informationen und Wissen

Obwohl keine „geschlossene Theorie des Wissens“^[10] existiert, besteht grundsätzlich Einigkeit darüber, dass die Begriffe Daten, Information und Wissen voneinander abgegrenzt werden müssen, um diesen gerecht werden zu können.^[11] Um Daten charakterisieren zu können, benötigt es im ersten Schritt aber einer Betrachtung des Wortes „Zeichen“, denn diese werden als Grundlage, Vertreter und kleinste Einheit eines Sachverhaltes wahrgenommen, auch wenn sie die Bedeutung nicht eigenständig erklären können.^[12] Aus einer Kombination und geordneten Reihenfolge von Zeichen entstehen Daten, die durch Sprache, Zahlen, Symbole oder Bilder verschlüsselt und in akustischer, visueller, geschriebener oder sonstiger Form abrufbar sind und keine eigenständige Bedeutung aufweisen. ^[13] Folglich sind Daten nur in einem bestimmten Zusammenhang interpretierbar und stellen dann für den Empfänger eine Information dar.^[14] Informationen sind somit Daten, die das einzelne Individuum subjektiv wahmehmen und tatsächlich verwerten kann^[15] und denen „durch Interpretation eine Bedeutung zugesprochen“ wird.^[16] Wissen dagegen entsteht erst, wenn Informationen in personenbezogene Erfahrungs- bzw. Handlungskontexte integriert werden. Die zielbewusste Vernetzung bzw. Verknüpfung der Informationen mit dem vorhandenen Wissen, führt durch Bedeutungs- und Sinnzuschreibung zu neuem Wissen. Das bereits bestehende Wissen bildet somit die Grundlage zur Verarbeitung der aufgenommenen Informationen und kann somit als Resultat eines Lernprozesses angesehen werden, in dem Daten als Information erfasst und in Wissen umgewandelt werden.^[17] Darüber hinaus ist das kritische Know-how zu erörtern, das eine Teilmenge des Wissens darstellt, die einen Konkurrenz- bzw. Marktvorteil verzeichnet. Das kritische Know-how sichert somit die strategische Marktpositionierung.^[18]

2.3 Akteure im Umfeld illegaler Spionagetätigkeiten

Um dem Wettbewerbsdruck standhalten und diesen abbauen zu können, greifen viele Unternehmen zu illegalen Mitteln und versuchen, ihren Informationsbedarf durch das Engagement von Spionen zu befriedigen. Bereits bei der vorangegangenen Begriffsdefinition von Wirtschafts- und Industriespionage in Kap. 2.1 konnte ein unterschiedlicher Kreis an Akteuren im Bereich des juristisch anfechtbaren Verlustes von Know-how festgestellt werden. Darüber hinaus kann jedoch noch eine zusätzliche Unterteilung in externe und interne Tätergruppen vorgenommen werden.

Als interne Akteure stehen die Mitwirkenden im Vordergrund, die dem ausspionierten Betrieb angehören. Dementsprechend handelt es sich vorwiegend um Angestellte und Bedienstete sowie um ehemalige Mitarbeiter des Unternehmens. Von Bedeutung ist, dass ein erheblicher Teil der Schäden und Probleme aus dem Fehlverhalten von Mitarbeitern und Kooperationspartnern entsteht. ^[19] Häufig hat die Belegschaft Zugang zu vertraulichem Geschäfts- und Betriebsgeheimnissen und bereits diese Gegebenheit führt zu einem erhöhten Risiko, dass Know-how auf illegalem Wege abfließen kann. Darüber hinaus stellt die Tatsache, dass es sich bei den scheinbar eigenen Mitarbeitern auch um eingeschleuste Personen von Wettbewerbern oder staatlichen, nachrichtendienstlichen Organen handeln kann, eine signifikante Gefahr dar, denn über 70 % der Täter kommen aus den Reihen des geschädigten Unternehmens.^[20] Angeworbene Innentäter sind u. a. Reinigungskräfte oder Wartungspersonal, die die Spionage ausführen.

Darüber hinaus nutzen ehemalige Mitarbeiter von Nachrichtendiensten oder Ermittlungsbehörden ihre Kontakte und Ressourcen als Inhouse Agenten.

Zu den externen Akteuren zählen alle Beteiligten, die dem entsprechenden Unternehmen nicht angehören.

Eine wichtige Gruppe stellen hierbei die sog. Intelligence Traders (s. Glossar) dar. Diese bieten entsprechende Dienstleistungen an, sind aber auch als Informationsermittler tätig und das auch mit illegalen Hilfsquellen.

Darüber hinaus gehören Nischenexperten (s. Glossar) zu den denkbaren Darstellern im Spionagegeflecht. Dieser Personenkreis schließt vor allem Experten für den Bau von Alarmanlagen, die Sicherheit von IT-Systemen, Hacker oder Fachleute für den Betrieb von Abhöranlagen ein. Diese sind von den Information Technology Specialists zu sondieren. Sie beschaffen als Hacker Informationen aus den IT-Systemen, sind jedoch als Berater oder allgemeiner IT-Dienstleister getarnt.^[21]

Als exteme Akteure gelten auch die Cyberkriminellen, die Firmenwissen abgreifen und es dann u. a. an Konkurrenzunternehmen im Dark Web (s. Glossar) verkaufen. ^[22]

Nach §§ 17 ff. UWG ^[23] wird eine Unterscheidung von zwei Verletzergruppen unternommen. Zum einen die gezielt einbezogenen Mitwisser, denen der Know-how­Inhaber Know-how-geschützte Informationen bewusst offen legt, z. B. Mitarbeiter, Geschäftspartner oder Kunden und zum anderen Außenstehende, denen diese nicht preisgegeben worden sind wie u. a. Wettbewerber.^[24]

2.4 Ursachen von Industriespionage

Jedes Unternehmen und jede Privatperson hat die Möglichkeit, sich auf legalem Wege Informationen über Konkurrenzunternehmen, z. B. mithilfe von öffentlich zugänglichen Mitteilungen wie Publikationen oder Geschäftsberichte, zu beschaffen. Führt diese Art jedoch nicht zu dem gewünschten Wissensvorsprung, können die entsprechenden Personenkreise auf eine zumeist kurzfristig angelegte Spionage zurückgreifen. ^[25]

Die Gründe, warum die diversen Akteure Industriespionage betreiben, können dabei sehr vielseitig sein. Generell streben Unternehmen aus hoch entwickelten Nationen eine Positionierung an der Weltspitze und Firmen aus wirtschaftlich weniger entwickelten Staaten die Schließung der technischen Lücke zu den Industrieländern an. Konkurrenzspionage ist ebenfalls ein Mittel der Risikoperzeption, denn Entscheidungen unter Sicherheit können mit illegal erworbenem Wissen unterstützt werden.^[26] Des Weiteren werden zum einen Wettbewerbsvorteile z. B. durch eine zeitliche Überlegenheit von den Unternehmen angestrebt, um die Konkurrenz aus dem Markt zu drängen und somit das eigene Dasein zu sichern. Wettbewerber lassen sich mithilfe von Industriespionage im heftigsten Fall bis zur Insolvenz treiben und können im Anschluss günstig akquiriert bzw. fusioniert werden.

Die frei gewordenen Marktanteile verteilen sich dann auf das erfolgreich spionierende Unternehmen, dass das Betriebsergebnis in der Konsequenz einfacher und schneller verbessern kann. Entwickelt diese Firma ihre neuen Produkte vor dem Eintritt der Mitbewerber, können Nichtwisser den kommenden Gütern Respekt zollen, dadurch den Ruf steigern und das Unternehmen in ein besseres Licht rücken (Effekte der Trendführerschaft). Zum anderen hat die Motivation zur Durchführung von Spionageaktivitäten auch eine finanzielle Dimension, sodass die Täter selbstverantwortlich oder auf Anweisung Dritter aktiv werden, um u. a. die eigene Wirtschaftsbasis zu stärken, Entwicklungskosten einzusparen oder den Ausbau der Vormachtstellung voranzubringen. Die bedeutendsten Beweggründe der sogenannten „Maulwürfe“ stellen private bzw. persönliche, aber auch betriebs- und berufsbedingte Problemsituationen dar, wie z. B. mangelnde Loyalität, demotivierendes und nicht zufriedenstellendes Betriebsklima, finanzielle persönliche Schwierigkeiten oder das Bedürfnis nach Anerkennung beim Arbeitgeber.

2.5 Rechtliche Einordnung

Der Begriff der Industriespionage ist nicht in Gesetzestexten zu finden und kommt im deutschen Strafrecht weder als Tatbestand vor, noch existiert eine durch ein Gesetz dargelegte Begriffsbestimmung. Stattdessen wird diese gewisse Art von Vergehen unter dem Oberbegriff des Geheimverrats zusammengefasst und dort u. a. in den Verrat von Geschäfts- und Betriebsgeheimnissen unterschieden. Das 2. WiKG^[27] regelt diese Art der Vergehen. ^[28]

Im §§ 17 ff. UWG ist die Bekämpfung von Straftaten, die durch privatwirtschaftliche Einrichtungen und Einzelpersonen begangen wurden, verankert und so heißt es gemäß § 17 Abs. 1 UWG: „Wer als eine bei einem Unternehmen beschäftige Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich gemacht worden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“ Hierbei ist jedoch zu beachten, dass dieser Paragraf die Strafwürdigkeit von Personen ausschließt, die ihr erworbenes Wissen nach Ablauf ihres Arbeitsverhältnisses in ihrem neuen Unternehmen einsetzen, sodass zeitgemäße Arbeitsverträge mit Geheimhaltungsklauseln und Wettbewerbsvereinbarung nach § 74 HGB ^[29] , die über die Vertragsdauer hinaus gültig sind, vervollständigt werden. Diese beinhaltet das Verbot dem früheren Arbeitgeber für max. zwei Jahre Konkurrenz zu machen oder seine Betriebsgeheimnisse zu verwerten. Das Gesetz gegen unlauteren Wettbewerb ist lex specialis und gehört zum Nebenstrafrecht. ^[30]

In § 17 Abs. 2 Satz 1 UWG wird die Ausspähung eines Betriebes durch unbefugtes Verschaffen und Sichern einer Sache unter Strafe gestellt, wobei sie durch technische Mittel, die Herstellung einer verkörperten Wiedergabe des Geheimnisses und die Wegnahme einer Sache, in die das Geheimnis verkörpert ist, mit einbegriffen wird. Dieser Gesetzesabschnitt bezieht Handlungen wie Diebstahl, Abschreiben oder Fotografieren mit ein, ist aber in einer Hinsicht lückenhaft, denn das reine Aneignen von Wissen ist kein Strafbestand und demnach nach § 17 UWG straffrei. Dies gilt unter der Bedingung, dass das Erlangen durch Gedächtnisleistung und keine Verwendung oder Kundgebung nach § 17 Abs. 2 Satz 2 UWG erfolgt. Des Weiteren wird in Absatz 2 das unbefugte Verwerten oder Mitteilen von Geschäfts- und Betriebsgeheimnissen näher beleuchtet und mit dem gleichen Strafmaß wie in § 17 Abs. 1 UWG bewertet.

Im § 17 Abs. 3 UWG wird deutlich, dass bei Delikten nach Absatz 1 und 2 auch lediglich der Versuch strafbar ist. Liegt i. S. d. § 17 Abs. 4 UWG ein außerordentlich schwerer Fall vor, wie z. B. ein gewerbemäßiger Handel der Täter, das bewusste Wissen, dass das Geheimnis im Ausland verwendet oder durch die Täter selbst dort verbreitet werden soll, vor, so verschärft sich das Strafmaß bis zu einer Freiheitsstrafe von fünf Jahren oder eine entsprechende Geldstrafe. Der §17 Abs. 5 UWG erfüllt für die deutsche Strafausübung eine sehr wichtige Rolle aus, denn Gesetzeswidrigkeiten gemäß Absatz 1 und 2 dürfen demnach nur auf Antrag oder Anzeige, weil es sich hierbei um ein Anzeigedelikt handelt, verfolgt werden. Der Abs. 6 des § 17 UWG macht auf § 5 Nr. 7 StGB^[31] aufmerksam, der wiederum konstatiert, dass alle vorangegangenen Vergehen gleichfalls unter das deutsche Strafrecht fallen, sobald das Tochterunternehmen eines deutschen Konzerns Opfer der Spionage ist. Ferner ist auch §18 UWG „Verwertung von Unterlagen“ von großer Bedeutung, denn dieser sichert das Unternehmen und seine vertraulichen Daten im Umgang mit Dritten ab.

Nach Absatz 1 wird das unberechtigte Verwenden oder Verbreiten von Mustern oder Anweisungen technischer Art wie bspw. Zeichnungen, Modelle oder Rezepte, die im geschäftlichen Verkehr zugetragen wurden, mit einer Geld- oder Freiheitsstrafe von bis zu zwei Jahren geahndet. Die Absätze 2, 3 und 4 des § 18 UWG gelten analog zu den Ausführungen aus § 17 UWG. Durch den Verstoß gegen diesen Paragrafen kann ebenfalls § 106 ff. UrhG ^[32] berührt werden.^[33] Im anschließenden § 19 UWG wird in Absatz 1 die Veranlassung zu einem Delikt nach § 17 und § 18 thematisiert und auch mit einer Freiheitsstrafe von bis zu zwei Jahren oder einer Geldstrafe belangt. Aus Absatz 2 geht hervor, dass nicht nur die Anstiftung strafbar ist, sondern auch die Abgabe oder die Annahme eines solchen Angebotes. Straffrei bleibthingegen derjenige, der nach § 19 Abs. 3 UWG nachweislich von einer derartigen Tat zurückgetreten ist. Ferner gelten im § 19 Abs. 4 und 5 UWG dieselben Richtlinien wie in § 17 Abs. 4 und 5 UWG. Der illegale Wissensverlust kann darüber hinaus unter die Tatbestände „Betrug“, „Veruntreuung“, „Unterschlagung“ und „Diebstahl“ des Strafgesetzbuches eingeordnet werden, denn bei den Geschäfts- und Betriebsgeheimnissen handelt es sich im weitesten Sinne um das Vermögen eines Unternehmens. Im § 263 StGB wird „Betrug“ u. a. als „(...) Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen (...)“ dargelegt und im § 266 StGB der Tatbestand der Veruntreuung näher definiert. Demzufolge gilt als Veruntreuender, „wer die ihm (...) eingeräumte Befugnis, über fremdes Vermögen zu verfügen oder einen anderen zu verpflichten, missbraucht oder die ihm (...) obliegende Pflicht, fremde Vermögensinteressen wahrzunehmen, verletzt und dadurch dessen Vermögensinteressen, die er zu betreuen hat, Nachteil zufügt. (...)“.

Einen weiteren juristischen Grundstein bildet die Unterschlagung nach § 246 StGB, da bekanntermaßen als Unterschlagender gilt, „wer eine fremde bewegliche Sache zueignet (...)“. Alle drei Sachverhalte werden mit einer Freiheitsstrafe von bis zu fünf Jahren oder einer entsprechenden Geldstrafe geahndet.

Global betrachtet gibt es ebenfalls keine einheitlich geltende Norm zum Schutz vor illegalem Wissensabfluss. Lediglich aufgrund der von der WTO entwickelten „Agreement on Trade-Related Aspects of Intellectual Property Rights“ existieren Mindestvoraussetzungen, die für die nationalen Jurisdiktionen zur Sicherung des geistigen Eigentums gelten und ausdrücklich diese von Geschäfts- und Betriebsgeheimnissen darlegen. Diese Vorschrift hat allerdings eher einen auffordemden Charakter und stellt damit keine hinreichende Rechtsgrundlage dar. Demzufolge wird dem widerrechtlichen Erwerb von Know-how jeweils länderabhängig und je nach Rechtssystem unterschiedlich entgegengewirkt. Das Ausspähen von Daten sowie das Privat- und Dienstgeheimnis ist darüber hinaus in §§ 202 ff., insbes. 203 und 353b StGB geregelt.^[34] § 85 GmbHG^[35] (Verletzung der Geheimhaltungspflicht), § 404 AktG^[36], § 120 BetrVG^[37] (Verletzung von Geheimnissen) und § 90 sowie 333 HGB (Verletzung der Geheimhaltungspflicht) decken die zivilrechtliche Bekämpfung von Know-how-Verletzungen ab.^[38]

Des Weiteren gehen die §§ 50 ff. PatG^[39] auf eine Geheimhaltungsanordnung ein und § 9 GebrMG^[40] widmet sich den Gehe^[41], informelles Selbstbestimmungsrecht bzw. Schutz des allg.

Persönlichkeitsrechts (Art. 2 GG^[42] Abs. 1 i. V. m. Art. 1 Abs. 1 GG) und das TKG^[43] finden in Fällen von Industriespionage oftmals Anwendung.^[44]

Nicht zuletzt hängt es vom Augenmaß des nationalen (oder internationalen) Gesetzgebers ab, wann eine Handlung vor dem Gesetz als Industriespionage zu gelten hat. In der europäischen Datenschutzverordnung werden weitere datenschutzrechtliche Regelungen getroffen. Der Leser muss sich darüber im Klaren sein, dass Informationsabfluss häufig durch ein fehlendes Rechtsbewusstsein bei den Mitarbeitern geschieht. Im Hinblick auf politische Entscheidungen wie das Ankäufen von Steuerdaten aus der Schweiz wird die Hemmschwelle für hiesige Delikte heruntergesetzt.

2.6 Auswirkungen

Unternehmen sind sich den Risiken des Know-how-Verlustes nur wenig bewusst. Mehr als jede zweite Firma hatte in den vergangenen zwei Jahren einen vermuteten (27,4 %) oder konkreten Spionagefall (26,9 %, i. Vgl. 2007: 18,9 %) festgestellt, insbes. Maschinenbauer.^[45] Dies ist ein Anstieg um 5,5 % i. Vgl. zur Studie 2012 (7 %-Punkte i. Vgl. zu 2007).^[46] 24 % der Unternehmen konstatieren schwerwiegende Beeinträchtigungen von Geschäftsbeziehungen.

Zahlreiche Betriebe berichten des Weiteren über hohe Aufwendungen für die Bearbeitung der Vorfälle (33 %) sowie die Rechtsverfolgung (27 %).^[47] Gerade für MU ist der Daten- bzw. Wissensabfluss riskant, denn der Erfolg beruht oftmals nur auf wenigen patentierten, aber dennoch margenstarken Produkten.

[...]

---

^[1] Verwendet der Autor in der Folge die männliche Form, so bezieht sich diese der Einfachheit halber gleichzeitig auch auf die weibliche und umgekehrt.

^[2] Mayring, Qualitative Inhaltsanalyse. Grundlagen und Techniken, 2010, S. 48 ff.

^[3] http://www.ifm-bonn.org/mittelstandsdefinition/definition-kmu-des-ifm-bonn/.

^[4] Corporate Trust, Studie: Industriespionage 2014 Cybergeddon der deutschen Wirtschaft durch NSA & Co.?, 2014, S. 73.

^[5] Blancke, Private Intelligence, 2011, S. 73.

^[6] Gerichtsverfassungsgesetz vom 9. Mai 1975, BGBl. 2014 I, S. 410, 411, zuletzt geändert am 23. April 2014 durch Art. 2 G.

^[7] Bundeskriminalamt, Wirtschaftskriminalität, Bundeslagebild 2013, 2013, S. 5.

^[8] Lux/Peske, Competitive Intelligence und Wirtschaftsspionage Analyse, Praxis, Strategie, 2002, S. 30.

^[9] Liebl/Woll/Feuerlein et al., Betriebs-Spionage. Begehungsformen - Schutzmaßnahmen - Rechtsfragen, 1987, S. 23.

^[10] Weissenberger-Eibl, Wissensmanagement als Instrument der strategischen Unternehmensführung in Untemehmensnetzwerken, 2000, S. 14.

^[11] Köhne, Die Bedeutung von intraorganisationalen Netzwerken für den Wissenstransfer in Unternehmen, 2004, S. 27 f; Hoffmann, Entwicklung eines Ordnungsrahmens zur Analyse von intraorganisationalem Wissenstransfer, 2009, S. 24; Hagen, Wissenstransfer aus Universitäten als Impulsfaktor regionaler Entwicklung - ein institutionenökonomischer Ansatz am Beispiel der Universität Bayreuth, 2006, S. 6; Weggeman, Wissensmanagement. Der richtige Umgang mit der wichtigsten Ressource des Unternehmens, 1999, S. 34 f.

^[12] Schödl, Wissen in planerischen Entwicklungsprozessen. Ein Ansatz zum strukturierten Umgang mit Wissen verdeutlicht am Beispiel der europäischen Strukturpolitik durch INTERREG, 2008, S. 82.

^[13] Schödl, (Fn. 12), S. 82; Hoffmann, (Fn. 11), S. 25.

^[14] Willke, Systemisches Wissensmanagement, 2001, S. 8f.

^[15] Weinrauch, Wissensmanagement im technischen Service, 2005, S. 21.

^[16] Hoffmann, (Fn. 11), S. 25.

^[17] Güldenberg, Wissensmanagement und Wissenscontrolling in lernenden Organisationen. Ein systemorientierter Ansatz, 1997, S. 10.

^[18] Abele/Kuske/Lang et. al., Schutz vor Produktpiraterie, 2011, S. 70.

^[19] Kahle/Merkel, Fall-und Schadensanalysen bezüglich Know-how-/Informationsverlusten in Baden Württemberg ab 1995, 2004, S. 71.

^[20] Sicherheitsforum Baden-Württemberg, SiFo-Studie 2009/10 - Know-how-Schutz in Baden­Württemberg, 2010, S. 15.

^[21] Dornseif, Phänomenologie der IT-Delinquenz, 2005, S. 49.

^[22] Hoppe/Karabasz, Angriff aufs Allerheiligste, 31.10.2014, S. 10.

^[23] Gesetz gegen den unlauteren Wettbewerb vom 3. März 2010, BGBl. 2013 I, S. 3714, 3716, zuletzt geändert am 1. Oktober 2013 durch Art. 6 G.

^[24] Schaaf, Industriespionage: Der große Angriff auf den Mittelstand, 2009, S. 26.

^[25] Liebl/Woll/Feuerlein et al., (Fn. 9),S. 188.

^[26] Dornseif, (Fn. 21), S. 65.

^[27] 2. Gesetz zur Bekämpfung von Wirtschaftskriminalität vom 15. Mai 1985, BGBl. 1986 I, S. 721.

^[28] Dornseif, (Fn. 21), S. 115.

^[29] Handelsgesetzbuch vom 1. Januar 1900, BGBl. 2014 I, S. 2409, zuletzt geändert am 22. Dezember 2014 durch Art. 1 G.

^[30] Dornseif, (Fn. 21), S. 117.

^[31] Strafgesetzbuch vom 13. November 1998, BGBl. 2014 I, S. 410, zuletzt geändert am 23. April 2014 durch Art. 1 G.

^[32] Urheberrrechtsgesetz vom 1. Januar 1966, BGBl. 2014 I, S. 1974, zuletzt geändert am 5. Dezember2014 durch Art. 1 G.

^[33] Dornseif, (Fn. 21), S. 121.

^[34] Dornseif, (Fn. 21), S. 118.

^[35] Gesetz betreffend die Gesellschaften mit beschränkter Haftung vom 19. Mai 1982, BGBl. 2013 I, S. 556, 559, zuletzt geändert am 21. März 2013 durch Art. 7 G.

^[36] Aktiengesetz vom 6. September 1965, BGBl. 2013 I, S. 2586, 2706, zuletzt geändert am 23. Juli 2013 durch Art. 26 G.

^[37] Betriebsverfassungsgesetz vom 15. Januar 1972, BGBl. 2013 I, S. 868, 914, zuletzt geändert am 20. April 2013 durch Art. 3 Abs. 4 G.

^[38] Westermann, Handbuch Know-how-Schutz, 2007, S. 50 f.

^[39] Patentgesetz vom 16. Dezember 1980, BGBl. 2013 I, S. 3830, zuletzt geändert am 19. Oktober 2013 durch Art. 1 G.

^[40] Gebrauchsmustergesetz vom 28. August 1986, BGBl. 2013 I, S. 3799, zuletzt geändert am 10. Oktober 2013 durch Art. 3 G.

^[41] Bundesdatenschutzgesetz vom 20. Dezember 1990, BGBl. 2009 I, S. 2814, zuletzt geändert am 14. August 2009 durch Art. 1 G.

^[42] Grundgesetz für die Bundesrepublik Deutschland vom 23. Mai 1949, BGBl. 2014 I, S. 1478, zuletzt geändert am 23. Dezember 2014 durch Art. 1 G.

^[43] Telekommunikationsgesetz vom 22. Juni 2004, BGBl. 2014 I, S. 1266, 1293, zuletzt geändert am 25. Juli 2014 durch Art. 22 G.

^[44] Dornseif,(Fn.21),S.117.

^[45] Bundesministerium des Innern, Verfassungsschutzbericht 2013, 2013, S. 306.

^[46] Corporate Trust, (Fn. 4), S. 8.

^[47] Sicherheitsforum Baden-Württemberg, (Fn. 20), S. 48.