Unterschiedliche Motivationen der Innentäter und deren Auswirkungen
«Unsere Systeme sind sicher!», «Bei uns passiert so etwas nicht!», «Unsere Mitarbeiter sind zuverlässig!» – Solche und ähnliche Fehleinschätzungen können zu einem folgenreichen Trugschluss werden, letztlich zu einem die Existenz bedrohenden Schaden für ein Unternehmen oder eine Forschungseinrichtung führen. Denn ein Innentäter kann dem Unternehmen erheblichen Schaden zufügen. Er hat – oder hatte – Zugang zu Informationen und Daten, er kennt die innerbetrieblichen Abläufe und vieles mehr. Je nach Fall ist die Ursache eines ungewollten Informations- und Datenabflusses unterschiedlich. Dieser kann auf Unwissenheit des Mitarbeiters im Umgang mit Firmeninformationen zurückzuführen sein. Beim vorsätzlich handelnden Mitarbeiter hingegen können z. B. Frustration im privaten oder professionellen Umfeld, finanzielle Probleme, Rache oder extremistische Motive eine Rolle spielen. Doch auch manipulative Einflüsse Dritter wie z. B. digitales oder klassisches Social Engineering 1 können dazu führen, dass sich ein Mitarbeiter zu einer strafbaren Tat hinreissen lässt.
Durch Datendiebstahl, Spionage oder Sabotage entstanden 2015 und 2016 rund 110 Milliarden Euro Schaden – für fast zwei Drittel dieser Schäden waren Innentäter verantwortlich. Das jedenfalls gaben geschädigte Unternehmen an – die Erkenntnisse sind in der Studie «Wirtschaftsschutz in der digitalen Welt» zu finden, die Achim Berg, Präsident des deutschen Digitalverbands «bitkom», und Dr. Hans-Georg Maassen, Präsident des deutschen Bundesamts für Verfassungsschutz (BfV), im Juli 2017 präsentiert haben.2
Eine weitere Studie aus dem Jahr 2017 liefert einige Ideen, warum es zu einem ungewollten Abfluss von Know-how aus Unternehmen kommen kann.3 Fast drei von vier Mitarbeitern gaben an, unter bestimmten Umständen auch sensible bzw. vertrauliche Unternehmensinformationen weiterzugeben. Die Preisgabe vertraulicher Informationen erfolgt überwiegend nicht in Schädigungsabsicht, sondern stützt sich auf ein falsch gedeutetes Unternehmensinteresse. So würden 23 % der Mitarbeiter eine sensible Unternehmensinformation herausgeben, «… wenn das Risiko für das Unternehmen gering und der Nutzen hoch ist». 13 % würden sensible Informationen auch dann herausgeben, «wenn diese dem Nachfragenden helfen, seine Aufgabe effektiver zu erfüllen».
Wirksame Präventionsstrategien
Mindestens ebenso alarmierend ist, was die Studie über den Umgang mit sensiblen Unternehmensdaten zutage gefördert hat. 45 % der befragten, mit sensiblen Daten betrauten Mitarbeiter räumen ein, diese im Arbeitsalltag auf unsichere Weise handzuhaben. Fast die Hälfte gab an, über öffentliches WLAN auf vertrauliche Daten zuzugreifen oder für vertrauliche arbeitsbezogene Kommunikation ihr privates E-Mail-Konto zu nutzen. Nur in den seltensten Fällen (3 %) handeln die Mitarbeiter aus böser Absicht, die anderen sind sich der Gefährlichkeit schlicht nicht bewusst (18 %) oder geben an, zu den genannten (unsicheren) Arbeitsweisen zu greifen, um ihre Aufgabe erledigen zu können (24 %).
Auf das Motiv des Innentäters kommt es jedoch nicht unbedingt an. Das zeigen die erwähnten Studien. Viel wichtiger im Sinne einer wirksamen Prävention ist es daher, zum einen das Bewusstsein über diese Bedrohung von innen zu vergrössern und zum anderen, die Gelegenheiten für einen ungewollten Wissens- und Technologieverlust zu minimieren. Denn wie diese Beispiele zeigen, geht ein grosses Sicherheitsrisiko vom Menschen aus. Daher muss jede Präventionsstrategie eines Unternehmens zum Schutz seiner Daten und Informationen den Schwerpunkt in erster Linie auf die Menschen setzen: Ein Unternehmen muss seine Mitarbeiter im Umgang mit schützenswerten Informationen und Daten regelmässig sensibilisieren und fachlich schulen. Dies kann das Risiko eines durch fahrlässiges Handeln verursachten Datenverlusts deutlich minimieren. Beim vorsätzlich handelnden Innentäter hingegen gilt es, auf Anzeichen zu achten, die auf eine unerlaubte Weitergabe von Firmendaten hinweisen könnten. Dazu zählen z. B. ungewöhnliche Gebäudezutrittszeiten, exzessives Drucken von Dokumenten oder Speichern von besonders grossen Datenmengen auf Datenträgern. Aber auch ein unerklärliches und plötzliches hohes Vermögen oder verdächtige Kontakte zu Konkurrenzunternehmen oder Vertretungen ausländischer Staaten können auf eine mögliche Spionagetätigkeit durch einen Mitarbeiter oder Kollegen deuten.
Ferner muss das Unternehmen Key-Assets identifizieren, also alles das, worauf eine marktbeherrschende Stellung oder die besonders innovativen Produkte beruhen. Darüber hinaus sollten Unternehmen alle geeigneten Massnahmen ergreifen, um diese Key-Assets zu schützen. Auch die Meldung von Vorfällen an die Sicherheitsbehörden ist essenziell. Hierdurch erhalten die Sicherheitsbehörden Gelegenheit, ein treffendes Lagebild zu erstellen und anderen Wirtschaftsteilnehmern unter Wahrung der Anonymität beratend und schützend zur Seite zu stehen.
Geeignete Massnahmen und Informationsstellen
Was geeignete Massnahmen zum Schutz von Unternehmen sein können, ist u. a. dem «Handbuch Wirtschaftsgrundschutz», herausgegeben vom BfV und dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) sowie dem «Allianz für die Sicherheit in der Wirtschaft – Bundesverband» (ASW), zu entnehmen. Dieses und weitergehende Informationen zum Thema «Innentäter» sowie allgemein zum Wirtschaftsschutz sind auf der Homepage der Initiative Wirtschaftsschutz (www.wirtschaftsschutz. info) abrufbar.
Unternehmen in Deutschland können sich bei Fragen zum Wirtschaftsschutz und bei konkreten Verdachtsfällen gerne jederzeit an den BfV-Wirtschaftsschutz wenden (wirtschaftsschutz@bfv.bund.de, 0221-792-3322).
Auf der Webseite des Nachrichtendienstes des Bundes (NDB) der Schweiz (www.ndb.admin.ch/wirtschaftsspionage) finden Sie u. a. das «Merkblatt Wirtschaftsspionage», das aufzeigt, wie Sie Spionagetätigkeiten erkennen und Ihr Unternehmen schützen können.
1Social Engineering ist die Bezeichnung für soziale, zwischenmenschliche Manipulation. Mit meist gefälschter Identität wird versucht, an Informationen zu gelangen oder das Opfer zu bestimmten Hand-lungen zu bewegen. Dabei wird das persönliche Umfeld einer Zielperson – in der Realwelt wie im Cyberraum – ausgespäht. Positive menschliche Eigenschaften wie Vertrauen, Dankbarkeit, Hilfsbereitschaft oder Stolz auf die eigene Arbeit werden zur Beeinflussung ausgenutzt.
2Vgl. «Bitkom»-Studie «Wirtschaftsschutz in der digitalen Welt», https:///www.bitkom.org/Presse/ Anhaenge an-PIs/2017/07-Juli/Bitkom-Charts- Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf, aufgerufen am 22.05.2018.
3In der im Auftrag von Dell Data Security Anfang 2017durchgeführten Studie von Dimensional Research (www.dimensionalresearch.com) wurden 2600 Mit-arbeiter in acht Ländern (Deutschland, Australien, USA, Kanada, Japan, Indien, Grossbritannien und Frankreich) befragt, die in Unternehmen mit mindestens 250 Beschäftigten persönlichen Zugang zu vertraulichen, sensiblen oder anderweitig beschränkten Daten haben und mit diesen arbeiten. Die Studie «Dell End-User Security Survey 2017» ist im Web unter der Adresse http://dellsecurity.dell. com/dell-end-user-security-survey aufrufbar.