Kaum vorstellbar, aber leider Realität: Das Risiko eines Unternehmens, Opfer eines eigenen Mitarbeiters zu werden, wird oftmals unterschätzt. Allein der Gedanke hieran veranlasst, den Blick von sich selbst auf andere zu richten. Denn die allermeisten Menschen wollen sich nicht vorstellen, dass ein eigener Mitarbeiter oder Kollege – auch ein ehemaliger! – Geschäftsgeheimnisse an einen Konkurrenten oder einen fremden Nachrichtendienst weitergibt. Sei es aus Unwissenheit oder aus Vorsatz, oder sei es, weil er oder sie dazu verleitet oder gezwungen wird. Auch den Schaden, den dies anrichten könnte, stellt sich niemand gerne vor.
Unterschiedliche Motivationen der Innentäter und deren Auswirkungen
„Unsere Systeme sind sicher!“, „Bei uns passiert so etwas nicht!“, „Unsere Mitarbeiter sind zuverlässig!“ – Solche und ähnliche Fehleinschätzungen können zu einem folgenreichen Trugschluss werden, letztlich zu einem die Existenz bedrohenden Schaden für ein Unternehmen oder eine Forschungseinrichtung führen. Denn ein Innentäter kann dem Unternehmen erheblichen Schaden zufügen. Er hat – oder hatte – Zugang zu Informationen und Daten, er kennt die innerbetrieblichen Abläufe und vieles mehr. Je nach Fall ist die Ursache eines ungewollten Informations- und Datenabflusses unterschiedlich. Dieser kann auf Unwissenheit des Mitarbeiters im Umgang mit Firmeninformationen zurückzuführen sein. Beim vorsätzlich handelnden Mitarbeiter hingegen können z. B. Frustration im privaten oder professionellen Umfeld, finanzielle Probleme, Rache oder extremistische Motive eine Rolle spielen. Doch auch manipulative Einflüsse Dritter wie z. B. digitales oder klassisches Social Engineering1 können dazu führen, dass sich ein Mitarbeiter zu einer strafbaren Tat hinreißen lässt.
Durch Datendiebstahl, Spionage oder Sabotage entstanden 2015 und 2016 rund 110 Milliarden Euro Schaden – für fast zwei Drittel dieser Schäden waren Innentäter verantwortlich. Das jedenfalls gaben geschädigte Unternehmen an – die Erkenntnisse sind in der Studie »Wirtschaftsschutz in der digitalen Welt« zu finden, die Achim Berg, Präsident des deutschen Digitalverbands »bitkom«, und Dr. Hans-Georg Maassen, Präsident des deutschen Bundesamts für Verfassungsschutz (BfV), im Juli 2017 präsentiert haben.2
Eine weitere Studie aus dem Jahr 2017 liefert einige Ideen, warum es zu einem ungewollten Abfluss von Know-how aus Unternehmen kommen kann.3
Fast drei von vier Mitarbeitern gaben an, unter bestimmten Umständen auch sensible bzw. vertrauliche Unternehmensinformationen weiterzugeben. Die Preisgabe vertraulicher Informationen erfolgt überwiegend nicht in Schädigungsabsicht, sondern stützt sich auf ein falsch gedeutetes Unternehmensinteresse. So würden 23 Prozent der Mitarbeiter eine sensible Unternehmensinformation herausgeben, „… wenn das Risiko für das Unternehmen gering und der Nutzen hoch ist“. 13 Prozent würden sensible Informationen auch dann herausgeben, „wenn diese dem Nachfragenden helfen, seine Aufgabe effektiver zu erfüllen“.
Wirksame Präventionsstrategien
Mindestens ebenso alarmierend ist, was die Studie über den Umgang mit sensiblen Unternehmensdaten zutage gefördert hat. 45 Prozent der Befragten, mit sensiblen Daten betrauten Mitarbeiter räumen ein, diese im Arbeitsalltag auf unsichere Weise handzuhaben. Fast die Hälfte gab an, über öffentliches WLAN auf vertrauliche Daten zuzugreifen oder für vertrauliche arbeitsbezogene Kommunikation ihr privates E-Mail-Konto zu nutzen. Nur in den seltensten Fällen (3 Prozent) handeln die Mitarbeiter aus böser Absicht, die anderen sind sich der Gefährlichkeit schlicht nicht bewusst (18 Prozent) oder geben an, zu den genannten (unsicheren) Arbeitsweisen zu greifen, um ihre Aufgabe erledigen zu können (24 Prozent).
Auf das Motiv des Innentäters kommt es jedoch nicht unbedingt an. Das zeigen die erwähnten Studien. Viel wichtiger im Sinne einer wirksamen Prävention ist es daher, zum einen das Bewusstsein über diese Bedrohung von innen zu vergrößern und zum anderen, die Gelegenheiten für einen ungewollten Wissens- und Technologieverlust zu minimieren. Denn wie diese Beispiele zeigen, geht ein großes Sicherheitsrisiko vom Menschen aus. Daher muss jede Präventionsstrategie eines Unternehmens zum Schutz seiner Daten und Informationen den Schwerpunkt in erster Linie auf die Menschen setzen: Ein Unternehmen muss seine Mitarbeiter im Umgang mit schützenswerten Informationen und Daten regelmäßig sensibilisieren und fachlich schulen. Dies kann das Risiko eines durch fahrlässiges Handeln verursachten Datenverlusts deutlich minimieren. Beim vorsätzlich handelnden Innentäter hingegen gilt es, auf Anzeichen zu achten, die auf eine unerlaubte Weitergabe von Firmendaten hinweisen könnten. Dazu zählen z. B. ungewöhnliche Gebäudezutrittszeiten, exzessives Drucken von Dokumenten oder Speichern von besonders großen Datenmengen auf Datenträgern. Aber auch ein unerklärliches und plötzliches hohes Vermögen oder verdächtige Kontakte zu Konkurrenzunternehmen oder Vertretungen ausländischer Staaten können auf eine mögliche Spionagetätigkeit durch einen Mitarbeiter oder Kollegen deuten.
Ferner muss das Unternehmen Key-Assets identifizieren, also alles das, worauf eine marktbeherrschende Stellung oder die besonders innovativen Produkte beruhen. Darüber hinaus sollten Unternehmen alle geeigneten Maßnahmen ergreifen, um diese Key-Assets zu schützen. Auch die Meldung von Vorfällen an die Sicherheitsbehörden ist essenziell. Hierdurch erhalten die Sicherheitsbehörden Gelegenheit, ein treffendes Lagebild zu erstellen und anderen Wirtschaftsteilnehmern unter Wahrung der Anonymität beratend und schützend zur Seite zu stehen.
Geeignete Maßnahmen und Informationsstellen
Was geeignete Maßnahmen zum Schutz von Unternehmen sein können, ist u. a. dem „Handbuch Wirtschaftsgrundschutz“, herausgegeben vom BfV und dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) sowie dem „Allianz für die Sicherheit in der Wirtschaft – Bundesverband“ (ASW), zu entnehmen. Dieses und weitergehende Informationen zum Thema »Innentäter« sowie allgemein zum Wirtschaftsschutz sind auf der Homepage der Initiative Wirtschaftsschutz (www.wirtschaftsschutz.info) abrufbar.
Unternehmen in Deutschland können sich bei Fragen zum Wirtschaftsschutz und bei konkreten Verdachtsfällen gerne jederzeit an den BfV-Wirtschaftsschutz wenden (wirtschaftsschutz@bfv.bund.de, 0221-792-3322).
Auf der Webseite des Nachrichtendienstes des Bundes (NDB) der Schweiz (www.ndb.admin.ch/wirtschaftsspionage) finden Sie u. a. das »Merkblatt Wirtschaftsspionage«, das aufzeigt, wie Sie Spionagetätigkeiten erkennen und Ihr Unternehmen schützen können. Für Unternehmen in der Schweiz steht der NDB bei Fragen zu diesen Themen gerne zur Verfügung (prophylax@ndb.admin.ch, www.ndb.admin.ch/wirtschaftsspionage).
1 Social Engineering ist die Bezeichnung für soziale, zwischenmenschliche Manipulation. Mit meist gefälschter Identität wird versucht, an Informationen zu gelangen oder das Opfer zu bestimmten Handlungen zu bewegen. Dabei wird das persönliche Umfeld einer Zielperson – in der Realwelt wie im Cyberraum – ausgespäht. Positive menschliche Eigenschaften wie Vertrauen, Dankbarkeit, Hilfsbereitschaft oder Stolz auf die eigene Arbeit werden zur Beeinflussung ausgenutzt.
2 Vgl. «Bitkom»-Studie «Wirtschaftsschutz in der digitalen Welt», https:///www.bitkom.org/Presse/Anhaenge an-PIs/2017/07-Juli/Bitkom-Charts- Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf, aufgerufen am 22.05.2018.
3 In der im Auftrag von Dell Data Security Anfang 2017durchgeführten Studie von Dimensional Research (www.dimensionalresearch.com) wurden 2600 Mit-arbeiter in acht Ländern (Deutschland, Australien, USA, Kanada, Japan, Indien, Großbritannien und Frankreich) befragt, die in Unternehmen mit mindestens 250 Beschäftigten persönlichen Zugang zu vertraulichen, sensiblen oder anderweitig beschränkten Daten haben und mit diesen arbeiten. Die Studie »Dell End-User Security Survey 2017« ist im Web unter der Adresse http://dellsecurity.dell. com/dell-end-user-security-survey aufrufbar. |
