Die Phänomene Wirtschafts- und Industriespionage haben sich vor allem seit den 1990er und 2000er Jahren als problematisch für deutsche Unternehmen etabliert. Politisch wurde insofern darauf reagiert, dass das Bundesamt und die Landesämter für Verfassungsschutz mit der Beobachtung und Abwehr nachrichtendienstlicher Interventionen zum Zweck der illegalen Informations- und Wissensbeschaffung hinsichtlich unternehmensspezifischer Daten wie Entwicklungen, Patente, Finanzdaten oder Angebotspreise zum Vorteil nichtdeutscher Unternehmen, beauftragt wurden.
Im Fall der Konkurrenzausspähung, die umgangssprachlich als Industrie-spionage bezeichnet wird, sind Behörden oder Gerichte nur in bestimmten Fällen zuständig. Da vor allem mittelständische Unternehmen in Deutschland bevorzugt Opfer von illegalem Informations- und Wissensabfluss sind (Corporate Trust, 2014, S. 13-21), ist es geboten, auch bei illegalen Interven-tionen von Personen oder Organisationen, die keinen nachrichtendienstlichen Background haben, Detektions-, Interventions-, Abwehr- und Präventions-maßnahmen im Rahmen von Incident Response- und Monitoringmodellen zu entwickeln, die vor allem mittelständische Unternehmen dabei unterstützen sollen, auf Spionageaktivitäten effizient reagieren zu können.
Einschlägige Studien zeigen, dass nur wenige Unternehmen, nämlich 25,9% der befragten und betroffenen deutschen Unternehmen (Corporate Trust, 2014, S. 34-35) bereit sind Behörden einzuschalten.
Ziel dieser Arbeit soll sein, in erster Linie für mittelständische deutsche Unternehmen ein standardisiertes (allgemein anwendbares) Interventions-modell für einen systematischen incident response bei mutmaßlichen Spionageaktivitäten zu entwickeln.
In weiterer Folge sollen auf Basis aktueller Studien und mittels Befragung von Experten die Hintergründe erforscht werden, warum Verantwortliche von deutschen mittelständischen Unternehmen nur sehr zurückhaltend zuständige Behörden im Falle von Wissensabfluss durch mutmaßliche Spionage-aktivitäten einschalten und in weiterer Folge mit den zuständigen Behörden mit diesen zusammenarbeiten.
Zum Thema Wirtschafts- und Industriespionage existieren keine Standards oder Forschungsarbeiten, die als wissenschaftliche Theorien gelten können. Der theoretische Unterbau ergibt sich in erster Linie aus politischen Initiativen und gesetzlichen Regulatorien (Straf- und Nebengesetze), die die Zuständigkeiten für Prävention, Schutz oder repressive Verfolgung festlegen.
Vorgehensweisen bei Spionageaktivitäten lassen sich somit nur von anderen Standards oder Managementsystemen ableiten, wobei der Stand der Forschung zu den Themen Security Risk Management, Fraudmanagement und Mitarbeiterkriminalität am besten dokumentiert ist und in weiten Teilen auf den incident response bei mutmaßlicher Spionageaktivität angewendet werden kann.
Um die Forschungsziele zu erreichen, wurde als Methode ein empirisch-deduktiver Forschungsansatz gewählt. Die Forschungsfrage, die aus zwei Teilen besteht, wurde dabei nicht eingegrenzt. Um den Fokus auf die Forschungsziele zu richten, wurden zwei forschungsleitende Fragen formuliert, Hypothesen wurden keine erstellt. Im Zuge der Operationalisierung wurde als erster Schritt ein Messkonstrukt eingeführt, auf dessen Basis ein Inter-viewleitfaden erstellt wurde. Anhand dieses Leitfadens erfolgten Experten-interviews in Unternehmen, wobei die vorerst beabsichtigte Einengung auf deutsche mittelständische Unternehmen relativiert wurde, um generell die Implementierung eines standardisierten Incident Response-Modells zu überprüfen. Die Auswertung der Interviews wurde nach den Richtlinien der qualitativen Inhaltsanalyse durchgeführt.
Aufgrund der erhobenen Ergebnisse wäre die Entwicklung und die Implementierung eines standardisierten (allgemein anwendbaren) Incident Response- Modells von Vorteil, wenn dadurch keine gesetzliche Auflage geschaffen wird, die zwingend einzuhalten wäre. Vor allem für Klein- und Mittelbetriebe, die wenige Ressourcen für dieses Sachgebiet zur Verfügung haben, könnte ein solches Modell als Umsetzungsanleitung, vor allem im Hinblick auf organisationale Rahmenbedingungen dienen.
Das entwickelte Incident Response- Modell kann eine weitere Handlungs-möglichkeit bieten, um das Gesamtsystem der Spionageabwehr zu erweitern. Da ein solches Modell nur von einem Experten in der empirischen Ergebung dezidiert abgelehnt wurde, besteht eine hohe Wahrscheinlichkeit, dass Unternehmen auf derartige Modelle zugreifen würden, wenn sie zur Auswahl stünden.
Die Annahme, dass Unternehmen in erster Linie wegen negativer Konsequenzen im Falle von Anzeigen an Behörden, diese Anzeigen unterlassen, konnte ebenfalls verifiziert werden. In erster Linie befürchten Unternehmen ungewollte (negative) Öffentlichkeit und als mögliche Folge Reputationsverlust. Als weiterer Beweggrund Behörden nicht zu involvieren, konnte die Befürchtung von Steuerungsverlust identifiziert werden.