Abhören durch Mitarbeiter

Ein Fall aus Süddeutschland, der durch uns aufgedeckt wurde, zeigt, dass Abhöraktionen nicht immer durch Fremde zustande kommen müssen: In einer mittelständischen Firma fiel auf, dass ein Verkaufsleiter ungewöhnlich gut informiert war über Vorgänge in der Firma, über Gerüchte und auch über Gerede, wo er gar nicht zugegen war. Nachdem Mitarbeiter dies gegenüber dem Geschäftsführer geäußert hatten und sich unwohl fühlten, weil sie glaubten, einer der Kollegen würde heimlich Informationen durchstecken, nahm der Geschäftsführer dies zum Anlass, uns zu kontaktieren. Grund war auch, dass der Vertriebsleiter offensichtlich auch schon von Kündigungsplänen wusste, die der Geschäftsführer nur einem anderen Mitarbeiter anvertraut hatte, der Stein und Bein schwor, dies nicht weitergetragen zu haben.

Telefonische Vorabklärung in Sachen Abhörschutz

In einem Telefongespräch vereinbarten wir, dass wir direkt am kommenden Samstag in die Firma kommen und das Großraumbüro, in welchem der Vertriebsleiter saß und das Chefbüro einer Untersuchung unterzogen. Samstags ist das Büro üblicherweise geschlossen. Der Geschäftsführer sprach mit niemandem über unser Arrangement und kam alleine am Samstag in die Firma, um uns aufzuschließen. Selbst seine Frau wurde von ihm nicht informiert.

Doppelte Abhörvorrichtung gefunden

Bereits nach 2 Stunden fanden wir gleich zwei Abhörvorrichtungen im Großraumbüro, die unser Sachverständiger für Abhörschutz und Cyber-Security entdeckte:

a) Einen USB-Stick hinten an einem PC, der auf einer Micro-SD-Card Geräusche und Videoaufnahmen protokollierte und nur aufzeichnete, wenn auch Geräusche oder Bewegungen am USB-Stick ankamen.

b) An einem PC, der im 24h-Dauerbetrieb in der Firma lief, war eine Software installiert worden, die gleichfalls über das im Monitor integrierte Mikrofon Sprachaufzeichnungen in einer Cloud vornahm, sobald Geräusche (und damit auch Gespräche) vorhanden waren. Die Software war so programmiert, dass sonst übliche Warnmeldungen („Software Xy greift auf Ihr Mikrofon zu“) übersprungen wurden. Das Tool gab es im Darknet zum kostenlosen Download.

Der Geschäftsführer entschloss sich, den Vorgang bei der Polizei zur Anzeige zu bringen und reichte unseren ausführlichen Bericht gleich mit ein. Der Vertriebsleiter und der Geschäftsführer schlossen einen Aufhebungsvertrag und die Tätigkeit des Vertriebsleiters in dem Unternehmen war beendet.

Der Vorgang wurde im Unternehmen offen kommuniziert und der Geschäftsführer kündigte an, jeden, der so etwas noch einmal versuchte, sofort fristlos zu entlassen.

Niemandem ist es aufgefallen

Es war hier wie so oft: Niemandem ist technisch etwas aufgefallen: Niemand krabbelt regelmäßig unter seinen Tisch und schaut, ob da ein neuer Stecker hinten am PC steckt. Aufgefallen ist nur der Wissensvorsprung des Mitarbeiters, der abgehört hat.
Was die strafrechtliche Konsequenz für den Mann war, ist uns nicht bekannt.
Weitere Abhöreinrichtungen im Unternehmen konnten nicht festgestellt werden.

Teure Scheidung durch Abhören

Ein vermögender Privatkunde von über 60 Jahren schaltete uns ein, weil in einem Scheidungsverfahren von seiner deutlich jüngeren Frau plötzlich ein Schreiben ihres Anwalts auftauchte, dass er auch den Zugewinn aus Geldanlagen bei einer Bank in Luxemburg angeben müsse und er möge doch bitte angeben, was im Ehezeitraum dort an Zinsen und Wertzuwachs angefallen sei.

Unseren Kunden irritierte dies, da er von einem Konto in Luxemburg seiner Frau gar nichts erzählt hatte. Er schaltete unseren Experten für Abhörschutz und Cyber-Security ein, um herauszufinden, woher die Frau dies wohl wissen könnte.

Untersuchung des Privathauses an einem Abend

An einem Abend in der Woche, wo die Frau nachweislich in einer anderen Stadt war, kamen wir in das Anwesen des Privatiers, der u.a. durch Erbschaft, aber auch durch Börsenspekulationen reich geworden war. Der Ehemann, der im Scheidungsverfahren steckte, berichtete uns von dem jungen neuen Geliebten der Noch-Frau, der wohl in einem Elektronik-Versand arbeitete. Alle Alarmglocken gingen an und wir brauchten auch noch keine 30 Minuten, um die erste Abhörvorrichtung zu finden.

Rauchmelder ausgetauscht

Der neue Freund der Noch-Frau hatte offensichtlich den Rauchmelder über dem Esszimmertisch ausgetauscht – gegen ein Modell, was aussieht wie ein Rauchmelder, aber tatsächlich eine versteckte Kamera und ein Mikrofon beinhaltete. Das Modell zeichnete Ton und Bild auf und speicherte dies auf einem Chip ab. Eine zweite Abhörvorrichtung befand sich in einer Steckdose neben dem Fernseher: Dort steckte etwas, was aussah, wie ein Netzteil, aber tatsächlich eine versteckte Kamera mit Bild- und Tonaufzeichnung war. Das Gerät wurde fortlaufend mit Netzstrom versorgt und konnte so lange Sequenzen speichern.

Wie wir den Täter überführten

Da wir festgestellt hatten, dass die im Rauchmelder-Gehäuse verbaute Kamera keinen Netzstrom bezog, sondern nur über eine 9-Volt-Batterie betrieben wurde, wussten wir, dass der Zeitpunkt kommen muss, an dem der Täter die Batterie wechseln muss oder aber den Chip auslesen wird: Da das Esszimmer ein Fenster zur Straße aufwies, legten wir uns in einem Transporter auf der anderen Straßenseite verdeckt auf die Lauer und veranlassten, dass der Privatier seine Noch-Frau Glauben machen konnte, dass er 2 Tage außer Haus sei. Tatsächlich erschien der neue Freund mit der Noch-Frau und stand bereits nach 15 Minuten auf dem Esszimmer-Tisch, um die Batterie und den Chip zu tauschen. Wir dokumentierten dies per Videoaufzeichnung und gingen mit einem zur Verfügung gestellten Schlüssel in das Objekt, wo wir den Mann noch auf dem Esszimmer-Tisch stehend in flagranti antrafen. Leugnen war da ziemlich schwierig. 20 Minuten später erschient auch der Ehemann.

Das Paar hat sich darauf geeinigt, eine Scheidungsfolgenvereinbarung zu treffen, die eine Aufteilung von ausländischem Kontoguthaben nicht vorsah. Im Gegenzug verzichtete unser Auftraggeber auf eine Strafanzeige.

Die Kosten unseres Einsatzes betrugen weniger als 1/100 dessen, was ihn eine andere Scheidungslösung gekostet hätte.

Es stellte sich heraus, dass Ex-Frau und neuer Freund nur ein Gespräch aufgezeichnet hatten, bei dem der Auftraggeber über ein Konto in Luxemburg sprach.

Ex-Mitarbeiter liest Emails mit

Eine Firma des produzierenden Gewerbes hat uns kontaktiert, da ein Wettbewerber systematisch die besten Kunden abklapperte und offenbar auch genau wusste, mit welchen Konditionen man den Kunden abwerben konnte. Der Firmeninhaber des inhabergeführten Unternehmens hat uns beauftragt, weil er den Verdacht hatte, dass in den Räumen Abhöreinrichtungen vorhanden sein könnten, sodass die Wettbewerber-Firma Gespräche oder Telefonate mithören könnte.

Keine Abhörtechnik vorhanden

Nach einem ersten Video-Telefonat über MS Teams rückten zwei unserer Experten für Abhörschutz und Cyber-Security in der Firma an und untersuchten zunächst die Räumlichkeiten und die Telefone. Wir konnten weder eingeschaltete noch ausgeschaltete Technik nachweisen, wobei wir so gründlich untersucht haben, dass wir diesbezüglich auch feststellen können, dass entsprechende Technik auch nachweislich nicht verbaut war.

Zugriff auf den Firmen-Server

Unser Experte für Cyber-Security konnte dann aber feststellen, dass von außerhalb auf den Firmenserver zugegriffen wurde. Ein ehemaliger Mitarbeiter, von dem man sich im Streit vor über einem Jahr getrennt hatte, hatte zunächst fast drei Monate mit seinem eigenen Zugang von außerhalb Zugriff auf den Firmenserver und konnte auf allen Laufwerken lesen, was dort hinterlegt war. Bis 3 Monate nach Abgang der IT-Verantwortliche den Zugang gesperrt hat. Was der IT-Verantwortliche allerdings nicht erkannt hatte: Der ehemalige Mitarbeiter loggte sich auch weiterhin mit den Zugangsdaten des Geschäftsführers ein, der als Passwort nur den Vornamen seiner Ehefrau gewählt hatte. Die letzte Einwahl lag noch keine 48h zurück. Aufgrund der IP-Adresse konnte dies eindeutig dem ehemaligen Mitarbeiter zugeordnet werden. Dieser konnte so auch alle E-Mails des Geschäftsführers (ein- und ausgehend) mitlesen.

Was man in der Firma nicht wusste: Der ehemalige Mitarbeiter arbeitete nunmehr bei einem Konkurrenzunternehmen und konnte dort wunderbar das Wissen aus alten Firma benutzen und leicht Konditionen unterbieten.

Sicherheitslevel erhöht

Wir haben sofort zu einer Reihe von Sicherheitsmaßnahmen in der Firma geraten, die auch umgesetzt worden sind:

  • Passwörter müssen zwanghaft auf Kombination von Buchstaben, Zahlen und Sonderzeichen bestehen und Groß- und Kleinschreibung beinhalten
  • Passwörter müssen zwanghaft alle 3 Monate gewechselt werden und dürfen dem alten nicht ähneln
  • Bei Einwahl in das Firmen-Netz wurde die Zwei-Faktor-Authentifizierung eingeführt:
    Versucht sich jemand mit einem Mitarbeiter-Zugang einzuloggen, wird zunächst ein Sicherheits-Code an das Mobiltelefon des Mitarbeiters gesandt, der nur für diese Sitzung gültig ist und innerhalb von 3 Minuten eingegeben werden muss. So ist gewährleistet, dass man durch bloße Kombination von User-Namen und Passwort sich nicht mehr einloggen kann
  • Bei Ausscheiden von Mitarbeitern wurde eine Routine eingeführt, dass Zugänge sofort gesperrt werden und die Sperre vom IT-Verantwortlichen auch schriftlich abgezeichnet werden muss
  • Wir haben den IT-Leiter in Sachen Cyber-Security geschult

Die Firma hat unseres Wissens den ehemaligen Mitarbeiter verklagt und die Kunden mindestens zum Teil wieder zurückgewinnen können.

Von Ex-Mitarbeitern, die im Streit gegangen sind und Strukturen kennen, geht eine nicht zu unterschätzende Gefahr aus, wie dieser Fall aus der Praxis eindrücklich zeigt.