DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Gele­genheit macht Diebe

Datenklau

Was treibt ehe­malige Mit­ar­beiter und Mit­ar­bei­te­rinnen dazu, hoch­sen­sible Daten ihres frü­heren Arbeit­gebers mit­zu­nehmen und miss­bräuchlich zu verwenden?

 

 

Wie in vielen Bereichen des Lebens gilt auch hier: Gele­genheit macht Diebe. Der Mensch ist ein Gewohn­heitstier und jede Ver­än­derung, auch im beruf­lichen Bereich, führt zu einer gewissen Ver­un­si­cherung. Bei einem Stellen- oder Job­wechsel herrscht dann oft die irrige Vor­stellung, dass der Mit­ar­beiter Anspruch auf das ihm zugäng­liche Daten­ma­terial hat. Oft glauben diese auch, dass sie die Daten gut an der neuen Arbeits­stelle ver­wenden können. Und sei es nur das Wissen über geplante Ent­wick­lungen und deren künftige Ver­mark­tungs­ak­ti­vi­täten. Auch Kun­den­kon­takte bergen einen nicht zu unter­schät­zenden Wert.

Ver­stärkt wird dieser Irr­glaube noch, wenn Mit­ar­beiter maß­geblich am Ent­ste­hungs­prozess von Doku­menten oder Daten beteiligt waren. Die Mit­ar­beiter betrachten die Daten dann oftmals als ihr geis­tiges Eigentum.

Motive für den Datenklau sind unter anderem Geld und Rache. So kommt es mit­unter vor, dass sich ehe­malige Mit­ar­beiter mit den mit­ge­nom­menen Daten selbst­ständig machen. Es kann also durchaus sein, dass dann hinter mancher Preis­ab­sprache, die das Kar­tellamt ver­mutet, in Wirk­lichkeit Datenklau von ehe­ma­ligen Mit­ar­beitern steht.

In einem Gespräch mit der Nach­rich­ten­agentur dpa äußert sich BITKOM und DATEV Chef Prof. Dieter Kempf dazu wie folgt: „Wir können nur ver­suchen, durch best­mög­liche Auswahl dieser Mit­ar­beiter, durch ständige Schu­lungen, durch Sich-bewusst-Machen, welch sen­siblen Auf­ga­ben­be­reich man hat, darauf hin­zu­weisen (…) die Lösung liegt nicht darin, noch mehr zu kon­trol­lieren, ganz im Gegenteil: Wir müssen bewusst­machen, wie ver­ant­wor­tungsvoll bestimmte Auf­gaben in diesem Kontext sind“.

Schutz vor Datenklau

Eine wohl­über­legte und gut vor­be­reitete Auswahl von Mit­ar­beitern ist zwar selbst­ver­ständlich, aber kein Garant für die spätere miss­bräuch­liche Ver­wendung von hoch­sen­siblen Daten bei vor­zei­tigem Aus­scheiden (z.B. Kün­digung, Stel­len­wechsel etc.) aus dem Unternehmen.

Hier ein paar Maß­nahmen, die den Datenklau auf jeden Fall erschweren:

  • Zugriffs­rechte jährlich neu ver­geben, d.h. regel­mäßige Änderung der Zugangsdaten/Passwörter (siehe auch Beitrag im Blog)
  • Fest­plat­ten­ver­schlüs­selung
  • Richt­linien für den Umgang mit ver­trau­lichen Daten fest­legen (s.a. Zitat Hr. Kempf) (siehe Beitrag im Blog)
  • Klare/transparente Rege­lungen bei erkenn­baren Zugriffsverletzungen
  • Fest­legen von Klauseln im Arbeits­vertrag bei Wechsel zu Konkurrenten
  • Keine Ver­sendung von Pass­wörtern per E‑Mail
  • Zeitnahe Sperrung des Accounts, wenn Mit­ar­beiter die Firma ver­lassen (siehe Beitrag im Blog)
  • Einsatz eines IT-Security-Beraters (Erstellen eines Sicher­heits­kon­zepts und Prüfung auf dessen Ein­haltung) (siehe Beitrag im Blog)

Prof. Dieter Kempf geht davon aus, dass wir allen prä­ven­tiven Maß­nahmen zum Trotz eines nicht werden ändern können: „Wir können nie sicher sein, dass die betrof­fenen Mit­ar­beiter jeder Ver­su­chung wider­stehen oder ihnen kein fataler Fehler unterläuft“.

Auch hier gilt, wie generell in der IT-Security: Eine 100-pro­­­zentige Sicherheit wird es nie geben. Dort wo Men­schen arbeiten, pas­sieren Fehler oder es kann zu Miss­brauch kommen.

Gefordert ist hier eine erhöhte Sen­si­bi­lität und Aus­ein­an­der­setzung nicht nur mit der Infor­ma­ti­ons­si­cherheit in Unter­nehmen. Es genügt nicht, sich nur auf die Sicherung der digi­talen Daten zu kon­zen­trieren, sondern man muss sich im Rahmen von genau defi­nierten Infor­ma­ti­ons­ma­nage­ment­richt­linien auch mit dem „Unsi­cher­heits­faktor Mensch“ intensiv aus­ein­an­der­setzen. Darüber hinaus ist es wichtig diese Richt­linien durch­zu­setzen und bei einer Abwei­chung früh­zeitig gegenzusteuern.

Bild:  © Rainer Sturm / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Marketing
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.