Können Firmen sich vor Wirtschaftsspionage schützen, wenn sie ihren Mitarbeitern Facebook verbieten? Angreifer nutzen soziale Netzwerke - manche dringen gar mit gefälschten Identitäten in Freundeskreise vor. Der Verfassungsschutz hat nun ein Handbuch geschrieben, das dies verhindern soll.

Im Jahre 2009 erfuhr die ganze Welt, welche Badehose der britische Geheimagent John Sawers zum Schwimmen anzieht. Zumindest sahen es alle, die damals schon Mitglied von Facebook waren: Sawers' Ehefrau hatte Fotos von Familienausflügen in das soziale Netzwerk gestellt.

Die Frau des angehenden Chefs des britischen Geheimdienstes war in die Freundschaftsfalle getappt. Doch auf Facebook treffen sich nicht nur Freunde, sondern vor allem Fremde. Wie die Offenheit des Netzes auch Firmen schaden kann, hat der bayerische Verfassungsschutz nun Studenten der Hochschule Augsburg erforschen lassen (PDF-Datei). In einem Handbuch, das aus der Forschung entstand, warnen sie davor, dass Mitarbeiter, wenn sie sich bedenkenlos in Netzwerken mitteilen, der Industriespionage die Tür öffnen. Jährlich entstehen der deutschen Wirtschaft durch Spionage 20 Milliarden Euro Schaden, schätzt das Bundesinnenministerium. Angriffe gingen besonders häufig von Russland und China aus.

So haben die Studenten im Feldversuch zum Beispiel über das berufliche Netzwerk Xing einen IT-Beauftragten ausfindig gemacht. Mitglieder stellen dort häufig ihre kompletten Lebensläufe ein. Die Studenten durchsuchten das Netzwerk systematisch nach Mitarbeitern eines bestimmten Unternehmens - und konnten aus den Spezialkenntnissen, die der Mann in seinem Werdegang aufgelistet hatte, schließen, welche Software sein Unternehmen benutzt.

Informationen auf dem Silbertablett

Früher sei es mühsame und aufwendige Arbeit gewesen, an Mitarbeiter von Unternehmen heranzukommen, erklärt Markus Schäfert vom Landesamt für Verfassungsschutz. Heute würden Spähern die Informationen "auf dem Silbertablett serviert". Aus dem, was Menschen über sich in den Netzwerken preisgeben, könnten Schlüsse über ihr Verhalten und ihre Kontakte gezogen werden. Auch, wer welche Kollegen hat und wer in welcher Abteilung arbeitet. Angreifern fällt es dann leichter, persönliche E-Mails an ganze Gruppen von Angestellten einer Firma zu schreiben, die scheinbar logisch zusammengehören.

So scheint es auch beim Angriff auf den amerikanischen Rüstungskonzern Lockheed Martin im vergangenen Jahr gewesen zu sein. Die Datendiebe versendeten E-Mails an einige Mitarbeiter der Sicherheitsfirma RSA. Diese fertigt die Verschlüsselungstechnologie, die als virtuelles Schutzschild für Lockheed Martin dient. Die E-Mails, die die Datendiebe verschickten, erschienen den RSA-Mitarbeitern unverdächtig, sodass sie auch den Anhang öffneten. Durch diesen bekamen die Angreifer Zugriff auf die Computer.

Manche Angreifer setzen noch stärker auf persönlichen Kontakt. Sie dringen mit gefälschter Identität in den virtuellen Freundeskreis vor, gelangen so an weitere persönliche Informationen und können das Verhalten ihres Opfers beeinflussen. Zum Beispiel sein Interesse auf eine Internetseite lenken, die beim Anklicken weitere Daten des Opfers abruft oder eine Spähsoftware auf dessen Computer installiert. Zudem mache sich erpressbar, wer allzu Privates von sich im öffentlichen Netzwerk preisgibt, mahnt das Handbuch.