Einzelrisiken

Insgesamt verschwimmen die Grenzen zwischen Illegalität und Legalität zum Teil stark, weshalb eine große Grauzone besteht¹⁶¹. Das Ergreifen bestimmter Akti-vitäten ist folglich auch von den ethischen Normen des jeweiligen Unternehmens bzw. der einzel-nen Akteure abhängig. Im Hin-blick auf die verschiedenen Ty-pen von wissensbezogenen Res-sourcen (siehe Abschnitt 2.2.3) kann sowohl in Objekten inkor-poriertes Wissen, wie z.B. Pro-dukte oder Konzepte, als auch personengebundenes Wissen wie Erfahrungen der Mitarbeiter be-troffen sein. Organisatorisch ver-ankertes Wissen, wie z.B. Wissen über Prozessabläufe, diffundiert vergleichsweise schwerer, da viel-fach mehrere Wissensträger erforderlich sind, um das Wissen vollständig zu rekonstruieren.

kann eine unerwünschte Diffusion von Wissen auch darauf zurückgehen, dass Mitarbeiter beim Verlassen des Arbeitsplatzes auf eine Passwortsicherung des Arbeitsplatzrechners verzichten und somit eine fehlende Benutzertrennung vorliegt, da andere Mitarbeiter oder Dritte unautorisiert auf sensitive Inhalte zugreifen können (Bitkom 2003, 26; Kruth 2004, 200). Weiterhin kann ein sorg-loser Umgang mit sensitiven Inhalten selbst oder den entsprechenden Endgeräten (z.B. Notebooks auf Geschäftsreisen) die Diffusion von Wissen ermöglichen (BSI 2006, 532). Zudem kann vtrauensseliges Verhalten gegenüber Dritten, eine Aushorchung bzw. das Social Engineering er-leichtern (Hirschmann, Romeike 2004, 13; Humpert 2004, 17; Meissinger 2006, 89). Neben ei-nem Fehlverhalten im Umgang mit Kommunikationstechnologien, Passwörtern oder Hardware, das Dritten sensitive Inhalte zugänglich bzw. zugreifbar macht, können Wissensrisiken auch auf die aktive Weitergabe sensitiver Inhalte zurückgehen. So können beispielsweise E-Mails oder Fa-xe an unautorisierte Empfänger versandt werden, sensitive Inhalte in elektronischen Ablagestruk-turen in Ordnern mit einer niedrigeren Berechtigungsstufe abgelegt oder physische Dokumente of-fen zugänglich gemacht werden. Zudem kann aufgrund einer fehlerhaften Einschätzung des Wer-tes bzw. der Vertraulichkeit von Inhalten eine Verteilung an nicht autorisierte Personen erfolgen (McGonagle, Vella 1994, 49; Freeman 2004, 6). Schließlich kann fahrlässiges Fehlverhalten auch auf mangelnde Kompetenzen zurückgeführt werden¹⁶³.

vorsätzliches Fehlverhalten (DP2): Neben einer durch Fahrlässigkeit verursachten Diffusion kann diese auch auf Vorsatz zurückgehen. Dabei können Mitarbeiter organisatorische Richtlinien oder ethische Normen missachten, um dem Unternehmen aus Eigeninteresse oder zu Gunsten ei-nes Dritten zu schaden. Mitarbeiter können beispielsweise Zugriffsrechte missbrauchen, Sicher-heitsvorkehrungen umgehen, gezielt Passwörter an Dritte weitergeben bzw. diese anbieten¹⁶⁴ oder vorsätzlich sensitive Inhalte weitergeben (Kruth 2004, 129f; BSI 2006, 689, 735). Aktives Han-deln der Mitarbeiter und somit mangelnde Loyalität dem Unternehmen gegenüber hat bestimmte Ursprünge bzw. Motivationsfaktoren. Monetäre Anreize stellen ein klassisches Motiv dar, das in einer Vielzahl der Fälle ausschlaggebend ist. Zudem können die Verärgerung über den Arbeitge-ber, Unzufriedenheit (z.B. ungerechte Behandlung) oder ideologische Diskrepanzen eine weitere Motivation darstellen, die zum Eigenangebot führt bzw. für Fremdmotivation empfänglich macht (Lux, Peske 2002, 87; Freeman 2004, 1). Im Hinblick auf einen anstehenden Unternehmenswech-sel kann auch die Veränderung des Vertrauensstatus zum Arbeitgeber ausschlaggebend sein (Freeman 2004, 6).

163 Für Informationskompetenz siehe (Kern et al. 1998, 14; Abell, Oxbow 2002, 128ff).

164 Derartigen eigenmotivierten Angeboten stehen Unternehmen allerdings vielfach skeptisch gegenüber, da es sich um eine Irreführung handeln könnte und zudem potentielle Reputationsverluste bei Öffentlichwerden der Inanspruchnah-me eine Folge wären (Maier 1992, 39).

Prozesse: Eine unerwünschte Diffusion der Kategorie Prozesse kann mit Schwächen von Prozessen, organisatorischen Richtlinien oder Maßnahmen, die seitens des Unternehmens ergriffen wurden, in Zusammenhang stehen.

Zutrittsverletzung (DO1): Ein Risiko in Bezug auf eine unerwünschte Diffusion kann sich dar-aus ergeben, dass Personen unautorisiert Zutritt erhalten und so Kenntnis von sensitiven Inhalten nehmen können. Dies kann darauf zurückzuführen sein, dass Zutrittskontrollen fehlen, unzurei-chend definiert oder umgesetzt werden, da so unautorisierte Personen (z.B. Mitarbeiter, externe Partner, Besucher) Zugang zu sensitiven Inhalten erhalten können (Liebeskind 1997, 633f; Meis-singer 2006, 103). So kann beispielsweise eine geringe Einschränkung eines Besuchers oder Part-ners zur Folge haben, dass Dokumente von Schreibtischen oder Inhalte nicht passwortgeschützter Rechner zur Kenntnis genommen werden und so Wissen diffundiert.

Zugriffsverletzung (DO2): Ein Wissensrisiko in Bezug auf die Diffusion ist darin zu sehen, dass interne und externe Personen unautorisiert Zugriff auf Inhalte erhalten und so Kenntnis nehmen können. Risiken in Bezug auf das Management von Zugriffsrechten können verschiedene Ur-sprünge haben und die Vergabe, Dynamisierung sowie die Einhaltung der Zugriffsrechte durch entsprechende Kontrollen betreffen. Die Vergabe der Rechte basiert dabei auf der Zugriffskon-trollstrategie und eines daraus abgeleiteten Berechtigungskonzeptes, während dessen technische Umsetzung durch ein Zugriffskontrollsystem erfolgt (Stiemerling et al. 2000, 319). Dabei können die Zugriffsrechte zu umfassend definiert sein. In diesem Fall, ist der Zugriff streng genommen autorisiert, allerdings nimmt bedingt durch die freigebige Vergabe die Wahrscheinlichkeit zu, dass aus der Sicht der Unternehmung unerwünschte Zugriffe erfolgen. Neben der einmaligen Definiti-on vDefiniti-on Zugriffsrechten ist auch deren laufende Anpassung erforderlich, da sich die Aufgaben vDefiniti-on Mitarbeitern im Unternehmen verändern oder diese aus dem Unternehmen ausscheiden. Analoges gilt für externe Partner, wenn beispielsweise Geschäftsbeziehungen beendet werden (Rogulla, Walther 2003a, 21; Herwig, Schlabitz 2004, 290). Derartige Veränderungen erfordern die umge-hende Anpassung bzw. Dynamisierung der Zugriffsrechte, da sich der Status der Autorisierung mit diesen Ereignissen verändert. Unterbleibt dies steigt der Erwartungswert des Risikos einer un-erwünschten Diffusion, da im Falle des Ausscheidens aus dem Unternehmen oder der Beendigung einer Geschäftsbeziehung mit einem Partner die Grundlage zur Autorisierung fehlt und von nun an Zugriffe dieser Nutzer unautorisiert erfolgen. Neben einer potentiellen Risikobehaftung des Zugriffskontrollkonzeptes, kann auch das -system mit Risiken einhergehen, wenn es technische Schwachstellen enthält, die ein Umgehen des Systems leicht möglich machen. Insbesondere bei einer unternehmensexternen Zugreifbarkeit wird das Risikopotential erhöht. So kann beispielswei-se eine fehlende Einschränkung der möglichen Anzahl von Anmeldeversuchen (z.B. über Brute-Force Attacken) die Entschlüsselung vereinfachen. Weiterhin kann die Übertragung der

Benutzer-informationen im Klartext oder bei zu geringer Verschlüsselung ebenso eine Aushebelung der Zugriffskontrolle und somit eine unerwünschte Diffusion wahrscheinlicher machen (Manthei, Schmidt 2005, 78; BSI 2006, 544, 626). Zusätzlich erhöht sich das Risikopotential in Bezug auf das Management der Zugriffsrechte, wenn externe Partner einbezogen werden (Keitsch 2000, 32).

unkontrollierter Einsatz temporär beschäftigter Mitarbeiter (DO3): Das Risiko einer Diffusi-on vDiffusi-on Wissen geht zudem vom Einsatz kurzfristig beschäftigter Mitarbeiter (z.B. Zeitarbeitneh-mer) aus, da diese Mitarbeiter innerhalb kurzer Zeit die Arbeitgeber wechseln. Auf diese Weise kann unternehmensspezifisches Wissen im Allgemeinen und Wissen über Verfahrensweisen oder Prozesse im Speziellen diffundieren. Ebenso erhalten Praktikanten, Werkstudenten und Diplo-manden Einblicke in das Unternehmen bzw. eignen sich Wissen an, das im Zuge der Fluktuation zu anderen Unternehmen diffundieren kann (Matusik, Hill 1998, 680ff; Verfassungsschutz 2004a, 9f). Dieses Risiko wird allerdings dadurch begrenzt, dass die Internalisierung von Wissen über Abläufe zum Teil einen hohen zeitlichen Aufwand und eine entsprechende Einbindung voraus-setzt und dies im Falle kurzfristig beschäftigter Mitarbeiter vielfach nicht der Fall ist.

unkontrollierte interorganisatorische Zusammenarbeit (DO4): Ein Wissensrisiko in Bezug auf die unerwünschte Diffusion geht auch von einer unkontrollierten Zusammenarbeit mit anderen Unternehmen und dabei insbesondere Kooperationspartnern aus. Gerade im Hinblick auf einen ef-fizienten Wissenstransfer wird die Zusammenarbeit durch den Einbezug vieler Mitarbeiter inten-siviert¹⁶⁵. Jedoch steigt bedingt durch die Intensität der Zusammenarbeit die Wahrscheinlichkeit, dass Partner Kenntnis von Wissen erhalten, das ihnen aus Gründen der Vertraulichkeit nicht zu-gänglich sein sollte, da die Kontrollierbarkeit bei zunehmender Zahl an Interaktionspunkten ab-nimmt (Hamel et al. 1989, 136; Lei 1993, 40; Oxley, Sampson 2004, 727)¹⁶⁶. Das Risiko der feh-lenden Kontrollierbarkeit wird zusätzlich dadurch verstärkt, wenn nicht geregelt ist, welches Wis-sen Gegenstand der Kooperation ist, wie der Austausch erfolgt und inwiefern das WisWis-sen außer-halb der Kooperationsbeziehung (z.B. in anderen Produkten oder Märkten) genutzt werden kann (Lei 1993, 36; Kronen 1994, 69; Fleischer 1997, 237f; Hirschmann 1998, 31; de Laat 1999, 209;

Desouza, Vanapalli 2005, 80f). Auch im Bereich des Outsourcing sind Regelungen für die Zu-sammenarbeit und die Einhaltung von Sicherheitsanforderungen erforderlich.

unkontrollierte Veröffentlichung (DO5): Risiken in Bezug auf eine unerwünschte Diffusion von Wissen können auch durch ein unzureichendes Vorgehen bei Veröffentlichung hervorgerufen werden. Dies betrifft beispielsweise externe Publikationen (z.B. Fachzeitschriften,

Tageszeitun-165 Dazu werden z.B. gemeinsame Projektteams gebildet, gemeinsame Produktionsstandorte genutzt oder Mitarbeiter über die beteiligten Partnerunternehmen rotiert. Siehe hierzu auch Infrastruktur in Abschnitt 5.4.1.

166 Bei einer intensiven unternehmensübergreifenden Zusammenarbeit wie z.B. in Kooperationen kann beispielsweise aufgrund des verbesserten Zugangs das Wissen aus Prototypen destilliert werden (Kogut, Zander 1992, 393; Apple-yard, Kalsow 1999, 288; Nieto, Pérez-Cano 2004, 120ff; Erickson, Rothberg 2005, 11).

gen, News auf Websites), interne Publikationen (z.B. Mitarbeiterzeitung) oder externe Berichter-stattung zu immateriellen Vermögenswerten (siehe Abschnitt 2.3.4). Eine zu freigebige Veröffent-lichung sensitiver Inhalte sowie die fehlende Beachtung der Summe aller VeröffentVeröffent-lichungen und ihres Zusammenhangs, kann zur Folge haben, dass Konkurrenten im Rahmen legaler Konkurren-tenanalyse und -beobachtung durch einzelne oder die Kombination mehrerer Veröffentlichungen zum Nachteil des Unternehmens in den Besitz sensitiver Inhalte gelangen bzw. diese erfolgreich rekonstruieren. So kann beispielsweise das Wissen über ein Produkt durch Informationen auf der Website, Interviews in Tageszeitungen, interne Mitarbeiterzeitungen, die weitergegeben wurden, oder Fachartikeln von Entwicklungsingenieuren durch Konkurrenten kombiniert und somit rekon-struiert werden (McGonagle, Vella 1994, 294ff).

Systeme:Die unerwünschte Diffusion sensitiver Inhalte kann auch auf Schwächen bzw. Versagen der IT des Unternehmens zurückgeführt werden und ist Gegenstand der nachfolgenden Betrachtungen.

mangelnde Sicherung der IT-Systeme (DS1): Eine Vielzahl an Mängeln bzw. Schwachstellen im Bereich der IT-Sicherheit können eine Ursache für das Risiko einer unerwünschten Diffusion von Wissen darstellen. Aufgrund des Umfangs der verschiedenen Schwachstellen im Bereich der IT-Sicherheit wird an dieser Stelle auf einschlägige Werke, wie z.B. (BSI 2006; Eckert 2006), verwiesen und nur exemplarisch auf einige Schwachstellen eingegangen. So kann sich das Risiko einer unerwünschten Diffusion daraus ergeben, dass Firewalls¹⁶⁷ nicht eingesetzt werden oder bei deren Einsatz die Konfiguration der Regeln zu wenig restriktiv ist (BSI 2006, 190ff)¹⁶⁸. Weiterhin kann der fehldende Einsatz von Virenscanneren zur Folge haben, dass Systeme durch Schädlings-programme infiziert werden und sich dies wiederum auf die Exklusivität der Wissenselemente auswirkt. Ebenso kann das fehlende Identifizieren und Schließen von Schwachstellen in Betriebs-und den Anwendungssystemen zur Folge haben, dass Schadsoftware die IT-Systeme befällt (BSI 2006, 4, 1629).

Neben dem unternehmensinternen Einsatz und den daraus erwachsenden Sicherheitsanforderun-gen erfolgt vielfach im Rahmen von Partnerschaften eine unternehmensübergreifende gemeinsame Nutzung von IT-Systemen oder spezifischen Anwendungen. Neben der interorganisatorischen Nutzung zwischen Partnern erfolgt eine externe Öffnung der IT-Systeme auch für Mitarbeiter im Außendienst oder im Rahmen der Telearbeit, damit Mitarbeiter auf die für die Tätigkeiten erfor-derlichen Inhalte zugreifen können. Auch dies verbreitert die potentiellen Angriffsmöglichkeiten und erhöht somit das Risikopotential. Risiken sind in diesem Zusammenhang darin zu sehen, dass bei einem unternehmensübergreifenden Austausch von Daten öffentliche Netze genutzt werden

167 Für weitere Details zu Firewalls und deren Konfiguration siehe (Strobel 2003, 95ff).

168 Als weiteres Beispiel für ein Risiko kann die Verwendung aktiver Inhalte in Websites oder E-Mails sowie Web-to-Host Konzepte zur Interaktion mit externen Partnern angeführt werden, da deren automatisch ausgeführter Code Schadfunktionen enthalten kann (Hawthorn 2002, 46; Kruth 2004, 135; BSI 2006, 523).

und sich dadurch Angriffsmöglichkeiten in Bezug auf eine unerwünschte Diffusion ergeben (BSI 2006, 431f)¹⁶⁹. Zudem ergibt sich aus der gemeinsamen Nutzung der Systeme das Risiko, dass unautorisierte Durchgriffe durch den Partner erfolgen (Keitsch 2000, 32; Krcmar, Junginger 2003, 253).

technisches Versagen / Fehlfunktionen (DS2): Wissensrisiken im Bereich der Diffusion können auch dadurch hervorgerufen werden, dass IT-Systeme, einzelne Komponenten dieser oder sonsti-ge technische Systeme versasonsti-gen. Zudem können auch Softwarefehler eine unerwünschte Diffusion zur Folge haben (BSI 2006, 592, 611f). So kann beispielsweise das Versagen von Sicherheitssys-temen einen ungehinderten Zugriff auf sensitive Inhalte ermöglichen oder das Ausfallen von Zu-gangskontrollen unautorisierten Personen Zugang zur Folge haben. Im Bereich der Kommunikati-on bzw. des Datenverkehrs können ebenfalls FehlfunktiKommunikati-onen dazu führen, dass sensitive Inhalte an unautorisierte Dritte diffundieren.

externe Faktoren: Neben internen Ursachen der Kategorien Personen, Prozesse und Systeme kann die unerwünschte Diffusion auch auf externe Faktoren, die außerhalb des Verantwortungsbereiches des Unternehmens liegen, zurückgeführt werden, denen die nachfolgend erörterten Risiken zugeord-net werden können.

Aushorchung (DE1): Das Risiko einer unerwünschten Diffusion von Wissen kann dadurch her-vorgerufen werden, dass Dritte versuchen z.B. unter Vorspiegelung falscher Identitäten Mitarbei-ter auszuhorchen. So können sich Dritte beispielsweise als Kunden oder MitarbeiMitarbei-ter einer For-schungseinrichtung, die Befragungen durchführt, ausgeben und die entsprechenden internen Mit-arbeiter z.B. telefonisch kontaktieren, um so an Wissen zu gelangen (Maier 1992, 42; McGonagle, Vella 1994, 53f; Liman 1999, 240). Im Hinblick auf das Ausspionieren von Zugriffsdaten kommt der Aushorchung, die in diesem Fall auch als Social Engineering oder Social Hacking bezeichnet wird, ebenfalls eine entscheidende Bedeutung zu. So können sich Dritte am Telefon beispielswei-se als Mitarbeiter der IT-Abteilung oder eines IT-Dienstleisters ausgeben, um an die Zugangsda-ten zu gelangen (Hirschmann, Romeike 2004, 13; Humpert 2004, 17).

Einschleusung (DE2): Eine unerwünschte Diffusion von Wissen kann darauf zurückgeführt wer-den, dass Dritte unter Vorspiegelung falscher Tatsachen bzw. falscher Identitäten externe Perso-nen als Mitarbeiter in das Unternehmen einschleusen, die in ihrem Namen handeln. Diese Mitar-beiter können sich Zutritt und Zugriff zu sensitiven physisch oder elektronisch dokumentierten In-halten verschaffen, interne Mitarbeiter aushorchen oder z.B. im Rahmen von Meetings oder der internen Unternehmenskommunikation in Erfahrung gebrachtes Wissen an die Auftraggeber trans-ferieren. Neben der Einschleusung von Mitarbeitern können auch von Dritten angeworbene

Test-169 Das Risiko besteht primär in der Verwendung unsicherer Protokolle. Die Protokolle FTP (File Transfer Protocol), http (Hypertext Transfer Protocol), Telnet oder POP3 (Post Office Protocol) übertragen in Klartext.

kunden z.B. bei Produktpräsentationen eingeschleust werden (Erickson, Rothberg 2005, 13).

Durch eine Einschleusung kann es über einen längeren Zeitraum zu einer Diffusion von Wissen kommen (Maier 1992, 37f; Liman 1999, 240).

Anwerbung (DE3): Ebenso wie die Einschleusung von Mitarbeitern ist auch die Anwerbung von Mitarbeitern extern getrieben. Der Unterschied besteht jedoch darin, dass in diesem Fall interne Mitarbeiter des Unternehmens durch Dritte überzeugt werden, in deren Namen zu handeln und sensitive Inhalte weiterzugeben. Somit handeln die Mitarbeiter zwar bewusst, allerdings betrifft die primäre Ursachenzuordnung Dritte, von denen die Anwerbung ausgeht. Neben einer Überzeu-gung mittels verschiedener monetärer und nicht-monetärer Anreize kann eine Anwerbung auf eine Erpressung des entsprechenden Mitarbeiters zurückgehen. Ebenso wie bei Einschleusung kann im Falle der Anwerbung die Diffusion von Wissen über einen längeren Zeitraum erfolgen. In beiden Fällen ist die Entdeckungswahrscheinlichkeit relativ gering und somit ein hohes Risikopotential gegeben (Maier 1992, 38ff; Liman 1999, 240).

opportunistisches Verhalten der Partner (DE4): Mit Kooperationen geht allgemein das Risiko des opportunistischen Verhaltens des Partners einher (Das 2005, 707). Williamson bezeichnet op-portunistisches Verhalten als das Verfolgen eigener Interessen unter Einsatz von Arglist (Williamson 1975, 6). Arglist kann sich beispielsweise auf Lügen, Betrug, Diebstahl, Verzerrung oder Verschleierung beziehen (Williamson 1985, 47). Opportunistisches Verhalten setzt ein Mo-tiv, den Zugang zu privilegierten Informationen und die Möglichkeit unentdeckt handeln zu kön-nen, voraus (Davies 2000, 45ff). Es kann angenommen werden, dass opportunistisches Verhalten jeder Kooperation inhärent ist, allerdings dieses Potential unterschiedlich genutzt wird, da bei-spielsweise negative Konsequenzen in Bezug auf die Reputation in der Branche befürchtet wer-den. Dieses Verhalten in Kombination mit einem durch die Kooperation bedingten privilegierten Zugang kann verschiedene andere Risiken, wie z.B. die Anwerbung, Abwerbung oder Diebstahl sensitiver Inhalte, bedingen.

Neben Partnern kann eine unerwünschte Diffusion auch vom Einsatz externer Dienstleister, wie z.B. Berater, Zertifizierer oder Wirtschaftsprüfer, ausgehen, wenn diese Wissen, das ihnen im Rahmen ihrer Tätigkeiten zugänglich gemacht wurde, in anderen Unternehmen anwenden. Eine derartige Weitergabe kann dabei gegen die ethischen und vertraglichen Grundsätze des Berufs-standes verstoßen und geht mit einem Vertrauensbruch dem Auftraggeber gegenüber einher (McGonagle, Vella 1994, 53f; Knaese 2004, 71; Verfassungsschutz 2004b, 16; Meissinger 2006, 104). Zudem erhält auch Reinigungspersonal vielfach außerhalb der Bürozeiten Zugang zu Büro-räumen. Diese Dienstleister können das entgegengebrachte Vertrauen brechen, wenn sie bei-spielsweise aus Eigeninitiative handeln oder sich aufgrund einer Anwerbung durch Dritte Zutritt und Zugriff zu sensitiven Inhalten verschaffen und diese weitergeben (BSI 2006, 489).

unzureichende Vertraulichkeitswahrung durch Partner (DE5): In Kooperationen oder Ge-schäftsbeziehungen kann das Risiko auftreten, dass sensitive Inhalte potentiell über mehrere Stati-onen an unautorisierte Dritte, denen diese Inhalte zum Vorteil gereichen, diffundiert. Eine derarti-ge Diffusion kann beispielsweise darauf zurückderarti-geführt werden, dass Lieferanten auch gleichzeitig für Konkurrenten tätig sind oder Konkurrenten über die gleichen Kunden verfügen, mit denen Wissen z.B. im Rahmen von Produktentwicklungen oder -verbesserungen ausgetauscht wird. Die-se Risiken stehen in Zusammenhang mit einer unzureichenden Vertraulichkeitswahrung der Part-ner bzw. Dienstleister, die allerdings nicht auf opportunistisches Verhalten (sieheDE4) zurückge-hen, sondern vielmehr auf Fahrlässigkeit. Diese Risiken sind schwer erfassbar, da vielfach kom-plexe und mehrstufige Beziehungsgeflechte an Drittbeziehungen bestehen, über die Wissen an nicht autorisierte Dritte im Allgemeinen und Konkurrenten im Speziellen diffundieren kann (Fontanari 1996, 195; Bönte, Wiethaus 2005, 2; Erickson, Rothberg 2005, 11).

Reverse Engineering (DE6): Das Risiko einer unerwünschten Diffusion kann sich auch daraus ergeben, dass Produkte des Unternehmens durch Dritte gezielt untersucht bzw. in ihre einzelnen Komponenten zerlegt werden und das zugrunde liegende Wissen erfolgreich rekonstruiert wird.

Es wird dabei aus einem bestehenden Produkt ein Plan zu dessen Herstellung oder Erkenntnisse zur Funktionsweise bzw. zu den Zusammenhängen der Einzelkomponenten destilliert. Dabei wer-den nahezu iwer-dentische Abbildungen des ursprünglichen Produktes erstellt, die selbst von Experten vielfach nur schwer von den Originalen zu unterscheiden sind. Besonders evident ist das Risiko-potential derartiger Maßnahmen, wenn man die Häufung der Fälle von Produktpiraterie betrach-tet¹⁷⁰. Der Erwartungswert einer erfolgreichen Reverse Engineering Maßnahme durch Dritte wird beispielsweise davon beeinflusst, wie komplex und unternehmensspezifisch das zugrunde liegen-de Wissen ist und ist somit von liegen-den in Abschnitt 2.2.4 dargestellten Eigenschaften von Wissen abhängig (Kogut, Zander 1992, 393; Appleyard, Kalsow 1999, 288; Nieto, Pérez-Cano 2004, 120ff; Erickson, Rothberg 2005, 11). Diese Problematik ist dann besonders ausgeprägt, wenn Pro-dukte in Länder exportiert werden, in denen gewerbliche Schutzrechte wie Patente oder Copy-rights nicht durchsetzbar sind (Maskus 2003, 192).

Diebstahl (DE7): Der Diebstahl von physisch oder elektronisch dokumentiertem Wissen, der in Abhängigkeit der redundanten Vorhaltung, Wiederherstellbarkeit und Rekonstruierbarkeit des Wissens zu einem mehr oder minder hohen Wissensverlust (siehe VE3) führen kann (siehe 5.3.2), stellt zugleich primär eine Quelle für die unerwünschte Diffusion von sensitiven Inhalten dar. So können z.B. durch den Diebstahl von physischen Dokumenten oder Hardware sensitive Inhalte an

170 Weltweit beträgt der volkswirtschaftliche Schaden durch Produktpiraterie nach Schätzungen der EU oder der internati-onalen Handelskammer 300 bis 660 Mrd. €. Somit wären etwa 5-9% Prozent des Welthandels Fälschungen. Für deut-sche Unternehmen dürfte der Schaden jährlich etwa bei 20 bis 30 Mrd. € liegen. (Wildemann 2007, 37). Siehe hierzu auchhttp://www.iccccs.org/cib 1.8.2006 /.

nicht autorisierte Dritte diffundieren und somit durch die Einschränkung der Exklusivität deren Wert abnehmen (Liman 1999, 238f; Desouza, Awazu 2004, 6; Freeman 2004, 6).

Abhören (DE8): Eine unerwünschte Diffusion kann ferner dadurch verursacht werden, dass Tele-kommunikationsnetze oder der elektronische Datenverkehr unter Einsatz verschiedenster Techno-logien, wie z.B. Drahtfunk, Richtmikrofone, Telefonwanzen oder manipulierte Handys, abgehört werden. Die Übertragung kann über Kabelverbindungen, wie z.B. Glasfaser-, Kupferkabel oder Funkverbindungen erfolgen, wobei nahezu keine vollkommen abhörsichere Übertragung möglich ist, was zur Folge hat, dass das Risiko des Abhörens der Kommunikation bzw. des Datenverkehrs nicht vermieden werden kann. Der erforderliche Aufwand zum Abhören bestimmter Leitungen unterscheidet sich allerdings. In Bezug auf die Telekommunikation kann das Abhören durch di-rektes Anzapfen des Telefonkabels oder der vermittelnden Telekommunikationsanlage erfolgen.

Erfolgt die Telefonie des Unternehmens über Internetprotokolle (VoIP), ist das Abhören von Tele-fongesprächen sehr risikobehaftet, da alle Sprachinformationen innerhalb eines IP-Medienstroms übertragen werden. Analog dazu können auch Räume in Unternehmen, Mobiltelefone etc. durch Dritte abgehört werden, um so an sensitive Inhalte zu gelangen (Lux, Peske 2002, 83ff; Bitkom 2003, 30f; Verfassungsschutz 2004b, 16; BSI 2006, 677, 682, 689, 714; Meissinger 2006, 68ff;

Niedermeier, Huth 2006, 3ff).

Angriff auf IT-Systeme (DE9): Darüber hinaus kann das Risiko einer unerwünschten Diffusion von Wissen auch dadurch hervorgerufen werden, dass externe Angriffe auf die IT-Systeme des Unternehmens erfolgen. Dabei können von Dritten Lücken in Sicherheitssystemen identifiziert und genutzt werden. So können beispielsweise Port Scanner eingesetzt werden, um nicht durch die Firewall geschützte Ports zu identifizieren und so in IT-Systeme einzudringen mit der Konse-quenz des Zugriffs auf sensitive Inhalte (Kruth 2004, 165). Im Speziellen kann Schadsoftware (z.B. Viren, Würmer, Spyware und Trojanische Pferde) eingeschleust werden, wobei in diesem Kontext Trojanische Pferde oder Spyware von Relevanz sind, da diese zum Ausspionieren von Passwörtern eingesetzt werden und so einen unautorisierten Zugriff ermöglichen können (BSI 2006, 691f, 693ff, 808f). Brute-Force Attacken können zur Folge haben, dass mittels einer algo-rithmischen Generierung von Passwortkombinationen die tatsächlichen Passwörter entschlüsselt werden und so ein unautorisierter Zugriff erfolgen kann (Verfassungsschutz 2004b, 16; Maier et al. 2005, 129f; Manthei, Schmidt 2005, 77ff; Eckert 2006, 341f). Ferner können Angriffe darauf fokussiert sein, Übertragungswege umzuleiten (z.B. durch die Manipulation von Routingtabellen), um so an sensitive Inhalte zu gelangen (BSI 2006, 724, 726). Die Angriffe gehen dabei oftmals von Hackern aus, die Schadsoftware in Umlauf bringen. Deren Aktivitäten sind vielfach nicht wirtschaftlich motiviert. Es kann aber auch der Fall sein, dass Angriffe von direkten Konkurrenten durchgeführt bzw. veranlasst werden, um im Rahmen der Betriebsspionage beispielsweise

sensiti-ve Inhalte oder Passwörter zu beschaffen. Ferner können auch Hacker sensitisensiti-ve Inhalte, in deren Besitz sie im Zuge der Angriffe gelangt sind, Unternehmen anbieten. Ungeachtet dessen wie die Angriffe motiviert wurden, geht eine Diffusion von sensitiven Inhalten potentiell mit der Entwer-tung der sensitiven Inhalte einher, wobei das Schadensausmaß des Risikos dann zunimmt, wenn diffundierte Inhalte in den Besitz direkter Konkurrenten gelangen.

Sicherheitsverstoß durch Partnern (DE10): Neben dem unternehmensinternen Betrieb der IT-Systeme und Anwendungen kann dieser auch an Dritte im Rahmen von Outsourcingabkommen vergeben sein und somit außerhalb des direkten Einflussbereiches und der Verantwortung des Un-ternehmens liegen. Ein Risiko besteht in diesem Kontext darin, dass definierte Sicherheitsanforde-rungen von Dritten aufgrund mangelnder Sorgfaltspflichten nicht erfüllt werden. Das Risikopoten-tial ist dabei vielfach zu Beginn des Outsourcingabkommens höher (BSI 2006, 434ff, 439). Be-züglich Outsourcing verzichtet nach einer Studie von Ernst & Young (2004, 3) ein Großteil der untersuchten Unternehmen auf die regelmäßige Überprüfung des Outsourcingpartners im Hinblick auf die Einhaltung der Anforderungen in Bezug auf die IT-Sicherheit.

Anwendung von Wissen durch ehemalige Mitarbeiter (DE11): Bedingt durch die Interfluktua-tion von Mitarbeitern kann Wissen diffundieren, da ehemalige Mitarbeiter unternehmensspezifi-sches Wissen (z.B. über Prozesse oder Verfahrensweisen) in anderen Unternehmen anwenden können. Dadurch wird die Exklusivität dieses Wissens negativ beeinträchtigt (Matusik, Hill 1998, 687). Neben der Anwendung von unternehmensspezifischem Wissen kann es auch der Fall sein, dass Mitarbeiter dokumentiertes Wissen zu einem neuen Arbeitgeber transferieren¹⁷¹.

171 Dabei ist zu beachten, dass in diesem Fall neben den im Unternehmen erworbenen Kompetenzen auch dokumentiertes Wissen wie Konzepte, Verfahrensanweisungen oder Prozessbeschreibungen in das neue Unternehmen transferiert wer-den können und auf diese Weise eine unerwünschte Diffusion von Wissen erfolgen kann. Als Beispiel kann in diesem Kontext die López-Affäre herangezogen werden. 1993 wechselte der spanische Top-Manager López von General Mo-tors mit sieben weiteren Führungskräften zu Volkswagen. Dabei wurden im Zuge der Abwanderung nachweislich sen-sitive Dokumente wie z.B. Pläne zur Entwicklung eines neuen Fahrzeugmodells zu Volkswagen in großem Umfang transferiert. Dies zog einen langwierigen Prozess mit der Anklage des Verrats von Betriebsgeheimnissen ebenso wie hohe Schadensersatzforderungen nach sich (Liebeskind 1997, 635). Dabei ist allerdings immer fraglich, inwiefern mo-netärer Schadensersatz die Diffusion von sensitivem Wissen und den damit verbundenen Verlust an Exklusivität adä-quat kompensieren kann. Selbst wenn derartigen Aktivitäten hohe Strafen gegenüberstehen, so können die Anreize für diese Aktivitäten sehr hoch sein bzw. von den jeweils begünstigten Dritten entsprechend hoch vergütet werden. Gene-ral Motors machte Schadensersatzansprüche in Höhe von 100 Mio. $ geltend.