Von Hackern und Spionen

IT-SicherheitHandelsblatt, Spiegel und andere Medien berichten immer häufiger von Hackern, die in Computersysteme von Unternehmen eindringen: Kontaktdaten, Passwörter und Bankverbindungen von Kunden werden von Unbekannten gestohlen und meistbietend weiterverkauft. Geschäftsführer sind daher zunehmend für die Notwendigkeit von Datenschutz sensibilisiert. Wichtig und richtig ist es, die Daten vor Angreifern von außen zu schützen, indem z. B. in Firewalls und Verschlüsselung von Daten investiert wird.

Noch viel leichteren Zugriff auf die wertvollen Betriebsgeheimnisse haben jedoch die eigenen Mitarbeiter. Eindrückliche Beispiele für den Angriff von innen sind die sog. Steuersünder-CD’s: Mitarbeiter der Liechtensteiner bzw. Schweizer Banken LGT, Credit Suisse, Julius Bär und UBS kopierten Daten ihrer damaligen Arbeitgeber – ohne dass dazu Hacker-Fähigkeiten notwendig gewesen wären – und verkauften sie für beträchtliche Summen nach Deutschland.

Gegen diesen Geheimnisverrat hilft kein Antivirenprogramm. Betroffene Unternehmen wie auch beschuldigte Mitarbeiter nennen als häufigste Ursachen: Zum einen Zahlungsofferten der Konkurrenz, die insbesondere bei vergleichsweise niedrigem Lohn oder auch in privaten Zwangslagen attraktiv werden. Zum anderen Anerkennung für das Know-How durch die Konkurrenz, welche Wechselambitionen oder den Wunsch, sich selbständig zu machen, noch verstärken. Unabhängig von Dritten können auch fehlende Entlohnung oder Anerkennung bei einem frustrierten Mitarbeiter Schädigungsabsichten hervorrufen. (Werden Missstände aufgedeckt, heißen dieselben Personen auch Whistleblower – frei nach dem Motto „Des einen Terrorist ist des anderen Freiheitskämpfer“.) Hier ist von der Unternehmensleitung nicht technische Kompetenz, sondern gute Personalführung gefragt.

Aber auch in technischer Hinsicht muss ein Geschäftsführer kritisch hinterfragen, wie viel Zugang zu Betriebsgeheimnissen für den einzelnen Mitarbeiter eigentlich erforderlich ist. Wichtiger Ansatzpunkt ist der Email-Verkehr. Der Anhang von möglichst vielen Dokumenten mag dem Absender bequem erscheinen, eröffnet dem Empfänger aber häufig Zugang zu mehr Informationen, als notwendig. Ebenso mag es für den Absender leichter sein, einen großen Empfängerkreis zu wählen und sicherheitshalber noch eine Reihe weiterer Personen in CC oder BCC zu setzen. Die Streuung der Informationen gerät durch solches Verhalten jedoch außer Kontrolle. Auch muss nicht jeder Mitarbeiter Zugang zu allen auf dem Server des Unternehmens gespeicherten Daten haben, um seiner täglichen Arbeit nachgehen zu können.

Outsourcing von Mitarbeitern hat bei einigen Unternehmen neben der gewünschten Kosteneinsparung schon zu einem bösen Erwachen geführt. Häufig werden die externen Mitarbeiter gleichberechtigt in den internen Email-Verkehr und in das Unternehmens-Netzwerk eingebunden. Sie können jedoch wegen der geringeren Bindung an das Unternehmen umso anfälliger für die Reize der Konkurrenz durch die erwähnten Zahlungsofferten oder schlicht Anerkennung sein. Auch hier ist die technische Beschränkung von Zugang der wirksamste Schutz.

Verschwiegenheitsvereinbarungen spielen selbstverständlich in (nachträglichen) Schadenersatzprozessen eine Rolle. Die Umsatzeinbuße und der Imageschaden sind dann jedoch schon eingetreten. Um den Reputationsverlust nicht noch zu vergrößern, haben geschädigte Unternehmen häufig auch kein Interesse an einer öffentlichen Hauptverhandlung ggf. mit begleitender Presseberichterstattung. Als Geschädigte befinden sich die Unternehmen hier in einer unkomfortablen Position.

Neben den Maßnahmen zur IT-Sicherheit, welche die Betriebsgeheimnisse vor Hackerangriffen von außen schützen, hält ein abgestufter Zugang zu den Unternehmensdaten auch den Spion unter den Mitarbeitern ab. Denn: Vertrauen ist gut, Zugangsbeschränkung ist besser!