Gele­genheit macht Diebe

Was treibt ehe­malige Mit­ar­beiter und Mit­ar­bei­te­rinnen dazu, hoch­sen­sible Daten ihres frü­heren Arbeit­gebers mit­zu­nehmen und miss­bräuchlich zu ver­wenden?

Wie in vielen Bereichen des Lebens gilt auch hier: Gele­genheit macht Diebe. Der Mensch ist ein Gewohn­heitstier und jede Ver­än­derung, auch im beruf­lichen Bereich, führt zu einer gewissen Ver­un­si­cherung. Bei einem Stellen- oder Job­wechsel herrscht dann oft die irrige Vor­stellung, dass der Mit­ar­beiter Anspruch auf das ihm zugäng­liche Daten­ma­terial hat. Oft glauben diese auch, dass sie die Daten gut an der neuen Arbeits­stelle ver­wenden können. Und sei es nur das Wissen über geplante Ent­wick­lungen und deren künftige Ver­mark­tungs­ak­ti­vi­täten. Auch Kun­den­kon­takte bergen einen nicht zu unter­schät­zenden Wert.

Ver­stärkt wird dieser Irr­glaube noch, wenn Mit­ar­beiter maß­geblich am Ent­ste­hungs­prozess von Doku­menten oder Daten beteiligt waren. Die Mit­ar­beiter betrachten die Daten dann oftmals als ihr geis­tiges Eigentum.

Motive für den Datenklau sind unter anderem Geld und Rache. So kommt es mit­unter vor, dass sich ehe­malige Mit­ar­beiter mit den mit­ge­nom­menen Daten selbst­ständig machen. Es kann also durchaus sein, dass dann hinter mancher Preis­ab­sprache, die das Kar­tellamt ver­mutet, in Wirk­lichkeit Datenklau von ehe­ma­ligen Mit­ar­beitern steht.

In einem Gespräch mit der Nach­rich­ten­agentur dpa äußert sich BITKOM und DATEV Chef Prof. Dieter Kempf dazu wie folgt: „Wir können nur ver­suchen, durch best­mög­liche Auswahl dieser Mit­ar­beiter, durch ständige Schu­lungen, durch Sich-bewusst-Machen, welch sen­siblen Auf­ga­ben­be­reich man hat, darauf hin­zu­weisen (…) die Lösung liegt nicht darin, noch mehr zu kon­trol­lieren, ganz im Gegenteil: Wir müssen bewusst­machen, wie ver­ant­wor­tungsvoll bestimmte Auf­gaben in diesem Kontext sind“.

Schutz vor Datenklau

Eine wohl­über­legte und gut vor­be­reitete Auswahl von Mit­ar­beitern ist zwar selbst­ver­ständlich, aber kein Garant für die spätere miss­bräuch­liche Ver­wendung von hoch­sen­siblen Daten bei vor­zei­tigem Aus­scheiden (z.B. Kün­digung, Stel­len­wechsel etc.) aus dem Unter­nehmen.

Hier ein paar Maß­nahmen, die den Datenklau auf jeden Fall erschweren:

• Zugriffs­rechte jährlich neu ver­geben, d.h. regel­mäßige Änderung der Zugangsdaten/Passwörter (siehe auch Beitrag im Blog)
• Fest­plat­ten­ver­schlüs­selung
• Richt­linien für den Umgang mit ver­trau­lichen Daten fest­legen (s.a. Zitat Hr. Kempf) (siehe Beitrag im Blog)
• Klare/transparente Rege­lungen bei erkenn­baren Zugriffs­ver­let­zungen
• Fest­legen von Klauseln im Arbeits­vertrag bei Wechsel zu Kon­kur­renten
• Keine Ver­sendung von Pass­wörtern per E‑Mail
• Zeitnahe Sperrung des Accounts, wenn Mit­ar­beiter die Firma ver­lassen (siehe Beitrag im Blog)
• Einsatz eines IT-Security-Beraters (Erstellen eines Sicher­heits­kon­zepts und Prüfung auf dessen Ein­haltung) (siehe Beitrag im Blog)

Prof. Dieter Kempf geht davon aus, dass wir allen prä­ven­tiven Maß­nahmen zum Trotz eines nicht werden ändern können: „Wir können nie sicher sein, dass die betrof­fenen Mit­ar­beiter jeder Ver­su­chung wider­stehen oder ihnen kein fataler Fehler unter­läuft“.

Auch hier gilt, wie generell in der IT-Security: Eine 100-pro­­­zentige Sicherheit wird es nie geben. Dort wo Men­schen arbeiten, pas­sieren Fehler oder es kann zu Miss­brauch kommen.

Gefordert ist hier eine erhöhte Sen­si­bi­lität und Aus­ein­an­der­setzung nicht nur mit der Infor­ma­ti­ons­si­cherheit in Unter­nehmen. Es genügt nicht, sich nur auf die Sicherung der digi­talen Daten zu kon­zen­trieren, sondern man muss sich im Rahmen von genau defi­nierten Infor­ma­ti­ons­ma­nage­ment­richt­linien auch mit dem „Unsi­cher­heits­faktor Mensch“ intensiv aus­ein­an­der­setzen. Darüber hinaus ist es wichtig diese Richt­linien durch­zu­setzen und bei einer Abwei­chung früh­zeitig gegen­zu­steuern.

Bild:  © Rainer Sturm / pixelio.de