Ein mittelständisches Pharmaunternehmen aus dem Rhein-Main-Gebiet verliert kurz vor einer entscheidenden Produktpräsentation seine Kerndaten an einen Wettbewerber. Die Staatsanwaltschaft ermittelt, der Schaden liegt nach internen Schätzungen bei rund vier Millionen Euro. Ursache: Ein winziger GSM-Sender, eingebaut in einen handelsüblichen Mehrfachstecker im Konferenzraum. Fälle wie dieser sind kein Stoff für Agenturthriller. Sie passieren regelmäßig und meistens bemerken Betroffene die Kompromittierung erst Monate später.
Warum Konferenzräume besonders gefährdet sind
In Vorstandssitzungen und Geschäftsverhandlungen fließen Informationen, die nirgendwo sonst im Unternehmen so gebündelt auftreten: Fusionspläne, Budgetrahmen, Personalentscheidungen, laufende Patentanmeldungen. Gleichzeitig sind Konferenzräume logistisch schwer zu kontrollieren. Reinigungspersonal, Techniker, externe Dienstleister und Gäste haben regelmäßig Zutritt. Die Fenster sind oft groß, die Wände dünn, und die Raumtechnik wird selten systematisch geprüft.
Hinzu kommt ein strukturelles Problem: Viele Unternehmen investieren erheblich in Netzwerksicherheit und Zugangskontrolle, vernachlässigen aber die physische Raumebene. Ein Angreifer braucht für das Einschleusen eines passiven Abhörgeräts oft weniger als 90 Sekunden. Das Gerät selbst kostet im Einkauf unter 50 Euro und ist in handelsüblichen Alltagsgegenständen unsichtbar versteckt.
Rechtlicher Rahmen und strafrechtliche Relevanz
Das unberechtigte Abhören nichtöffentlicher Gespräche ist in Deutschland nach § 201 StGB strafbewehrt und kann mit bis zu drei Jahren Freiheitsstrafe geahndet werden. Das schützt Betroffene im Nachhinein, ersetzt aber keine präventiven Maßnahmen. Wer abgehört wurde, muss zunächst nachweisen, dass überhaupt ein Gerät vorhanden war, und den Täter identifizieren. Beides gelingt ohne vorherige Dokumentation selten.
Für börsennotierte Unternehmen kommt ein weiterer Aspekt hinzu: Werden kursrelevante Informationen durch Abhörmaßnahmen abgezogen und für Insiderhandel genutzt, berührt das unmittelbar den Aufsichtsbereich der BaFin. Die Behörde kann in solchen Fällen Verfahren einleiten, auch wenn das betroffene Unternehmen selbst geschädigt ist und kein eigenes Fehlverhalten vorliegt.
Technische Maßnahmen im Überblick
Professionelle Lauschabwehr arbeitet auf mehreren Ebenen gleichzeitig. Eine singuläre Maßnahme, etwa das bloße Abschalten von Mobiltelefonen, reicht nicht aus. Moderne Abhörgeräte übertragen ihre Signale nicht zwingend in Echtzeit. Viele speichern Audiodaten intern und senden sie erst beim nächsten Kontakt mit einem externen Trigger. Ein abgeschaltetes Gerät im Raum ist dann irrelevant.
- TSCM-Sweep (Technical Surveillance Countermeasures): Systematische Raumuntersuchung mit nichtlinearen Ortungsgeräten, Spektrumanalysatoren und Infrarotkameras vor jeder sicherheitsrelevanten Sitzung.
- Schirmung: Temporäre oder permanente Hochfrequenzabschirmung des Raums, die verhindert, dass Signale nach außen dringen. Relevant vor allem für Räume mit Außenwandkontakt.
- Akustische Maskierung: Weißrauschen oder Speech-Privacy-Systeme stören die Sprachverständlichkeit für außerhalb des Raums platzierte Mikrofone erheblich.
- Mobilfunk-Überwachung: Protokollierung aktiver Geräte im Raum per IMSI-Detektion, um unbekannte Sender zu erkennen.
- Zugangskontrolle: Lückenlose Protokollierung aller Personen, die den Raum in den 24 Stunden vor der Sitzung betreten haben.
Regionale Nachfrage und professionelle Dienstleister
Die Nachfrage nach professioneller Lauschabwehr konzentriert sich in Deutschland stark auf Ballungsräume mit dichter Unternehmensinfrastruktur. Frankfurt am Main steht dabei exemplarisch für einen Standort, an dem Finanzunternehmen, Kanzleien, Pharmafirmen und internationale Konzernzentralen auf engem Raum zusammentreffen. Wer dort einen seriösen Anbieter sucht, findet mit einem spezialisierten Dienst für Abhörschutz Frankfurt am Main einen direkten Ansprechpartner für TSCM-Maßnahmen vor Ort. Ähnliche Strukturen gibt es in München, Hamburg und Düsseldorf, wobei die Angebotstiefe regional variiert.
Entscheidend bei der Auswahl eines Anbieters ist die nachweisbare Ausrüstung. Ein seriöser TSCM-Dienstleister arbeitet mit kalibrierten Geräten, die regelmäßig zertifiziert werden, und liefert nach jedem Sweep einen dokumentierten Bericht. Pauschale Aussagen wie „der Raum ist sauber“ ohne technische Dokumentation sind wertlos.
Organisatorische Maßnahmen ergänzen die Technik
Technik allein löst das Problem nicht. Unternehmen, die systematischen Abhörschutz betreiben, kombinieren technische Sweeps mit klaren organisatorischen Regeln. Dazu gehört, dass der Ort einer Sitzung möglichst spät kommuniziert wird, idealerweise erst am Tag selbst. Externe Teilnehmer geben Mobilgeräte vor dem Betreten des Raums ab. Notebooks bleiben zugeklappt, solange sie nicht aktiv benötigt werden. Und sogenannte „Clean-Room-Policies“ legen fest, welche Unterlagen den Raum auf welchem Weg wieder verlassen dürfen.
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, gibt in seinen Grundschutz-Kompendien konkrete Empfehlungen für die physische Absicherung sensibler Besprechungsräume heraus. Diese Leitlinien sind kostenlos zugänglich und bieten auch kleineren Unternehmen ohne eigene Sicherheitsabteilung einen strukturierten Einstieg.
Kosten und Nutzen nüchtern betrachtet
Ein professioneller TSCM-Sweep für einen mittelgroßen Konferenzraum kostet je nach Aufwand und Anbieter zwischen 800 und 3.000 Euro. Eine permanente Raumschirmung liegt je nach baulichen Gegebenheiten im fünfstelligen Bereich. Das klingt zunächst nach viel. Wer diesen Betrag gegen den durchschnittlichen Schaden eines Informationsabflusses rechnet, kommt schnell zu einem anderen Ergebnis. Laut einer Erhebung des Bundesverbands der Deutschen Industrie liegt der mittlere Schaden durch Wirtschaftsspionage und Datendiebstahl für ein betroffenes mittelständisches Unternehmen bei über zwei Millionen Euro pro Vorfall.
Lauschabwehr ist damit keine Ausgabe für Paranoia. Sie ist ein kalkuliertes Instrument des Risikomanagements, das an Stellen ansetzt, wo klassische IT-Sicherheit schlicht nicht greift. Ein Unternehmen, das Millionen in Firewalls investiert, aber den Konferenzraum ungeprüft lässt, schützt sein Dach, aber nicht seine Türen.
Dieser Beitrag wurde von Dr. Julia Berger und Thomas Krämer verfasst.



