Viele ehemalige Geheimdienstler, die nun als Sicherheitsverantwortliche in Unternehmen tätig sind oder als unabhängig Berater aktiv sind, aber auch viele andere Sicherheitschefs werden sich bei Edward Snowden bedanken wollen. Snowden hat ein Thema in die Öffentlichkeit getragen, welches in Fachkreisen schon immer bekannt war, über dass man aber nicht redete. Wer kritisiert schon gerne „Freunde“? Viel einfacher ist es, auf die „bösen“ Russen und Chinesen zu verweisen, wenn es gilt, Spionage anzusprechen und davor zu warnen.¹
Doch dieses Schwarz-Weiß-Denken hat das Ansehen vieler Sicherheitsverantwortliche nachhaltig beschädigt. Welcher Firmenlenker und welcher Mitarbeiter vertraut nun noch den Aussagen des Sicherheitsverantwortlichen?
Viele Artikel oder TV-Sendungen von und mit Sicherheitsexperten, die zur Zeit publiziert werden, zeige Lösungsansätze, die in das Reich der Utopie gehören. Eine komplette Verschlüsselung der Internetkommunikation oder gar der Verzicht der Nutzung amerikanischer Software, Dienste und Hardware sind unrealistisch und unwirtschaftlich. Diese Empfehlungen gab es schon vor Snowden, doch hieß es „damals“, wir müssen uns vor den Russen und den Chinesen schützen.

Nur das Know-how bestimmt den Wettbewerb
Wenn wir alle eines gelernt haben, dann das: Vertraue niemanden. Diese Aussage mag überspitzt sein und verallgemeinern, doch im Wirtschaftsleben heißt es nicht, wir sind Freunde. Es heißt, wir sind Wettbewerber.
Den Wettbewerb kann ein Unternehmen mit legalen Mitteln und mit illegalen Mitteln führen und gewinnen. Der Einsatz der Letzteren ist verboten und wird, wenn man erwischt und überführt wird, i.d.R. gemaßregelt – z.B. durch Aufsichtsbehörden oder durch Gesetzgeber. Zu den legalen Wettbewerbsmitteln können u.a. der Preis, die Qualität, die Zeit/Geschwindigkeit und das Know-how gezählt werden.²
Auf Ihre legalen Mittel haben Ihre Wettbewerber keinen direkten Einfluss. Wenn die Wettbewerber in der Lage sind, können sie aber billiger Verkaufen, eine höhere Qualität liefern und schneller sein. All dies setzt voraus, dass diese mehr Know-how haben als Sie es gegenwärtig haben. Denn die Wettbewerber wissen, wie sie billiger produzieren können. Sie wissen, wie sie eine höhere Qualität erreichen und sie wissen, wie sie schneller liefern können. Und wenn Ihr Unternehmen besser ist, wissen die Wettbewerber, wo sie dieses Wissen abgreifen müssen. Sie können es von Ihnen bekommen!
Das wirkliche Know-how identifizieren
Viele Unternehmen wissen gar nicht, warum sie besser sind als die Wettbewerber bzw. warum die Kunden ihre Produkten und Dienstleistungen kaufen. Einige Unternehmen geben daher Geld aus, dieses bei den Kunden zu erfragen. Doch was sehen die Kunden bzw. was können die Kunden sehen? Den Preis, die Qualität und die Zeit (z.B. Verfügbarkeit). Ich habe in noch keiner Analyse gesehen, dass sich die Kunden für das Know-how interessieren, welches notwendig ist, diesen Preis, diese Qualität oder diese Verfügbarkeit zu generieren.³
Ein Unternehmen muss daher genau analysieren, warum es z.B. günstiger, besser oder schneller ist. Ist es günstiger, weil es billiger Vorprodukte einkaufen kann? Ist es besser, weil es besser ausgebildetes Personal hat? Ist es schneller, weil es die Logistik optimiert hat?
Lösungsansatz:

1. Kunden- und Nichtkunden befragen, warum sie bei Ihnen kaufen bzw. nicht kaufen

• Beide Befragungen konzentrieren sich auf Ihr Produkt oder Ihre Dienstleistung. Sparen Sie sich die Zeit und das Geld, zu schauen, worin Ihr Wettbewerber besser ist.⁴ Verwenden Sie diese Zeit und das Geld dafür, Ihren Vorsprung auszubauen.

2. Analysieren Sie, wie und womit Sie das Ergebnis erreicht haben

• Hinterfragen Sie, warum Sie z.B. billiger anbieten können? Schauen Sie sich die einzelnen Prozesse und das involvierte Personal an.⁵

3. Das wirkliche Know-how identifizieren

• Überprüfen Sie, was z.B. mit dem Preis passiert, wenn Sie den Prozess ändern oder das involvierte Personal austauschen. Berücksichtigen Sie dabei auch Wechselwirkungen und Abhängigkeiten. Am Besten geht dies mit einer Skala und Gewichtung der einzelnen Abweichungen – nicht der Prozesse und Personen.

Was viele verwundern wird, keines der Ergebnisse sollte als geheim eingestuft werden oder muss besonders geschützt werden. Es gibt Unternehmen, die damit Marketing betreiben. Ganz im Sinne von: Kaufen Sie unsere Produkte, denn wir sind billiger, weil wir besser einkaufen können als die Wettbewerber und geben diesen Vorteil an unsere Kunden weiter.⁶
Wer benötigt das identifizierte Know-how?
Keiner wird bestreiten, dass das Internet den lokalen Einzelhandel verändert hat. Viele lokale Händler stehen plötzlich einem Wettbewerber gegenüber, der möglicherweise am anderen Ende der Welt sitzt. Jederzeit verfügbare Informationen und Preise, die sofort vergleichbar sind, verändern die Ausrichtung der lokalen Händler. Der Service gewinnt mehr und mehr an Bedeutung, aber auch die sofortige Verfügbarkeit der Produkte bzw. der Dienstleistung. Die Anbieter im Internet versuchen dem entgegenzuhalten, in dem sie auch einen Beratungsservice einführen und die Logistik optimieren. Wird dieses Szenario zu Ende gedacht, bleibt nur die Zeit – die Verfügbarkeit – von Bedeutung.⁷
Will ein Anbieter im Internet den Zeitvorteil ausgleichen, muss er eine Niederlassung in der räumlichen Nähe des Kunden betreiben – er wird zu einem lokalen Anbieter.
Der lokale Einzelhändler hat daher eben nicht den Anbieter im Internet als Wettbewerber. Er hat den Einzelhändler „um die Ecke“ als Wettbewerber. Und gegenüber diesem gilt es, Wettbewerbsvorteile zu haben bzw. zu halten.
Doch wie finden Unternehmen den wirklichen Wettbewerber?
Lösungsansatz:

1. Werten Sie die Befragung der Kunden und Nicht-Kunden noch einmal aus

• Konzentrieren sich auch jetzt wieder auf Ihr Produkt oder Ihre Dienstleistung.
• Analysieren Sie, was die Produkte und Dienstleistungen unterscheidet. Wenn Sie gefragt haben, was die Kunden stattdessen gekauft haben, kaufen Sie dieses Produkt oder diese Dienstleistung ebenfalls und geben sie diese Ihren eigenen Experten zur Analyse.⁸ Erstellen Sie eine Tabelle im Sinne von: Darin sind wir besser, darin der Wettbewerber.

2. Analysieren Sie, ob ein Wettbewerber besser als Sie sein kann, wenn er Ihr Know-how hat

• Diese Analyse entstammt der Spieltheorie oder der Szenariotechnik und folgt dem „Was wäre, wenn…“-Gedanken. Das ist keine leichte Analyse, denn Sie müssen viele Annahmen treffen. Daher bietet es sich an, mehrere Szenarien „durchzuspielen“ – üblich sind „best case“, „normal case“ und „worst case“.

3. Das wirkliche Know-how identifizieren

• Das wirkliche Know-how haben Sie ermittelt, wenn Sie auf das Szenario „worst case“ schauen

Jetzt wissen Sie, wer Ihr Know-how benötigt und können nun analysieren, wie er dieses bekommen kann. Um bei dem eingangs erwähnten Einzelhändler zu bleiben. Ein lokaler Wettbewerber kann mit dem Preis und der Qualität im Wettbewerb stehen. Hat der lokale Einzelhändler wenig oder keinen Spielraum in der Preisgestaltung, muss er sich in der Qualität absetzen. Er muss besser beraten. Er muss eine bessere Geschäftsausstattung haben. Kurz: Er muss ein besseres Einkaufserlebnis schaffen. Da die Wettbewerber dieses sehen können, muss er geheim halten, wie er dies erreicht hat. Das ist sein wirkliches Know-how, was er richtig schützen muss.
Das wirkliche Know-how richtig schützen
Edward Snowden hat dafür gesorgt, dass der Fokus in der Wahrnehmung der Bedrohungen und Gefahren im Bereich der Informations- und Kommunikationstechnologie (IKT) liegt.
Die Unternehmen sollten daher spätestens jetzt überprüfen, wo und wie sie das wirkliche Know-how aufbewahren. Einige werden feststellen, dass sie dies in den Köpfen der Mitarbeiter gespeichert haben anstatt auf Festplatten oder in der Cloud. Kann ein Wettbewerber oder ein Geheimdienst dieses Know-how entwenden? Ja, wenn er den Mitarbeiter abwirbt oder anderweitig sein Wissen abgreift.
Gegen das Abwerben von Mitarbeitern helfen Mitarbeiterbindungsprogramme, wie sie auch schon viele Unternehmen installiert haben.
Die Maßnahmen gegen ein unerlaubtes Abgreifen von wirklichem Know-how befassen sich alle mit dem Mitarbeiter. Daher muss dieser auch im Fokus bei der Maßnahmenauswahl stehen. Typische Fragen sind dabei:

• Wie kommuniziert er/sie?
• Wo speichert er/sie das Know-how?

Die Antworten auf diese Fragen bekommen Sie ganz einfach: Fragen Sie ihn!⁹
Warum eine teurer Verschlüsselungs- oder Zugriffssoftware beschaffen, wenn der betroffene Mitarbeiter IT nicht nutzt und stattdessen alles in einem Schreibblock notiert? Warum Regeln für soziale Netzwerke erlassen, wenn der Mitarbeiter in keinem Mitglied ist und auch nicht sein will?
Ich habe einmal einen Mitarbeiter erlebt, der nebenbei an einer Universität lehrte und eines Tages ein Produkt mitnehmen wollte. Er wusste, dass er dafür meine Freigabe benötigte und kam daher zu mir. Ich fragte ihn, wozu er dies benötige und er schwärmte von seiner Vorlesung, die er immer sehr plastisch und praktisch gestalte. Auf meine Nachfrage, was er denn dort lehre, antwortete er sinngemäß: was ich hier mache. Der Mitarbeiter arbeitet in einem sensiblen Forschungsprojekt und verwendete als sensibel eingestufte Informationen in einer öffentlichen Vorlesung. Er nahm die sensiblen Informationen im Kopf mit und erst mit dem Produktbeispiel fiel der unerlaubte Informationsabfluss auf.
Erfahrungsgemäß helfen in vielen Fällen einfache Maßnahmen wie ein Gespräch, eine Aufklärung über potentielle Gefahren und einfache Kommunikationsregeln.¹⁰ So auch in meinem geschilderten Fall.¹¹
Fazit
Bevor kostspielige Sicherheitslösungen installiert werden, um Angriffe abzuwehren, muss immer überprüft werden:

1. Was muss wirklich geschützt werden? und
2. Wer könnte von dem Know-how profitieren?

Bei der anschließenden Maßnahmenauswahl sind immer die betroffenen Mitarbeiter zu beteiligen, um nicht ineffektive oder nutzlose Maßnahmen zu installieren.
Ist die Hektik berechtigt, die in Folge der Veröffentlichungen von Edward Snowden eintritt? Nein. Geheimdienste verfügen i.d.R. über die notwendigen finanziellen, technischen und rechtlichen Rahmenbedingungen, ihren Tätigkeiten nachzugehen. Kein Unternehmen wird dies verhindern können.
Und wenn die Geheimdienste die Informationen an Ihre Wettbewerber geben? Dann hilft nur, was Herr Piech einst als Lösung gegen die kopierenden chinesischen Wettbewerber vorschlug: „schneller sein als die Konkurrenz“¹²

1 Die sogenannte Staatenliste (Anlage 19b des Geheimschutzhandbuch) dient vielen Sicherheitsverantwortlichen als Rechtfertigung für deren Schwarz-Weiß-Vorgehen anstatt einer seriösen Täteranalyse – selbst dann, wenn das betroffene Unternehmen diesen Regeln nicht unterliegt.

2 Je nach wirtschaftstheoretischem Verständnis auch andere Mittel oder Einteilungen.

3 Ökologische und soziale Nachhaltigkeit gewinnen immer stärker an Bedeutung, werden hier jedoch als Qualitätsmerkmal gesehen.

4 Diese Annahme folgt dem Leitgedanken des Artikels. Sie sind besser als der Wettbewerber und müssen Ihren Vorsprung verteidigen. Ist dem nicht der Fall, gilt es kein Know-how zu schützen, sondern zu erwerben.

5 Eine Antwort im Sinne von: Ich kann billiger Vorprodukte einkaufen, ist zu kurz gedacht. Analysieren Sie, warum sie billiger einkaufen können? Sind es z.B. das Verhandlungsgeschick ihres Mitarbeiters oder ihre Unternehmensgröße?

6 Selbst das Personal kann eingesetzt werden; ab einer gewissen Hierarchie lässt sich dieses gar nicht vermeiden.

7 Dieses Beispiel ist bewusst sehr abstrakt, da es aufzeigen soll, wie sich die Wettbewerbsvorteile verschieben können oder gar als „falsch“ herausstellen. Anpassungsprozesse und Lernprozesse der Wettbewerber führen oft zu einem Angleichen der Preise und der Qualität (Service etc.). Danach entscheidet oft nur noch die Verfügbarkeit (z.B. Liefergeschwindigkeit oder Liefergenauigkeit).

8 Im Konsumgüterbereich (inkl. Automobilbereich) ist dies Standard.

9 Ich bin jedes Mal erstaunt, wie wenig Sicherheitsverantwortliche die betroffenen Mitarbeiter fragen. Stattdessen werden oft die Standardlösungen installiert, dies sich in der Vergangenheit bewährt haben, aber hier möglicherweise kontraproduktiv sind und hier nur Geld verschwenden.

10 Häufig als Awareness oder Sensibilisierung bezeichnet und oft wirksamer als technische Sicherheitsmaßnahmen.

11 Überprüfungen ergaben, er hielt sich daran. Ihm war es vorher einfach nicht bewusst, dass er dies nicht dürfte, da die Kommunikationsregeln sich nur auf die IT und auf Produkte beschränkte.

 Leider konnte ich die Quelle nicht mehr identifizieren. Wer sie kennt, kann sie als Kommentar anfügen.