Regeln sind gut, Kontrollen sind besser - vor allem, wenn es um Datenmissbrauch in Unternehmen geht. Bisher würden deutsche Firmen damit allerdings zu nachlässig umgehen. Mit dieser Aussage zur IT-Sicherheit richtet sich eine jetzt veröffentlichte Studie des Security-Dienstleisters Kroll Ontrack und der Kanzlei CMS Hasche Sigle vor allem an Personalmanager.
Zwar regeln fast alle der 118 deutschen Unternehmen (87 Prozent), deren Personalmanager für die Untersuchung befragt wurden, den Umgang mit Internet und Email. Sie sperren beispielsweise Erotik-Seiten. Aber nur 24 von diesen 104 Firmen kontrollieren auch die Einhaltung dieser Regelungen.
Der Feind in der eigenen Firma
Dabei machten Computer-Verbrechen laut Kriminalstatitik des Bundes im Jahr 2009 knapp 75 Prozent von fast 100.000 Fällen von Wirtschaftskriminalität aus. Nur in 11.491 Fällen wurden Daten ausgespäht oder abgefangen - also von außen.
"Oft entwenden, sabotieren oder manipulieren Täter aus den eigenen Reihen die Daten", sagt Reinhold Kern, Direktor für Computer Forensik bei Kroll Ontrack. "Unsere Studie zeigt, dass Unternehmen sich gegen Fehlverhalten ihrer Mitarbeiter noch stärker absichern müssen." Nicht zufällig stehen hinter der Studie mit Kroll Ontrack ein Datenrettungsunternehmen, das auch Computer Forensik anbietet, und mit CMS Hasche Sigle mit eine Anwaltssozietät.
Ein schlagkräftiges Compliance-Management-Programm einzuführen, empfehlen die Autoren. Damit lägen Firmen rechtlich auf der sicheren Seite und könne im Verdachtsfall schnell reagieren. Einen Notfallplan für Verdachtsfälle haben laut Befragung nur 44 Prozent der Unternehmen, bei drei Prozent ist er in Planung.
Wer am Firmenrechner privat surft, stiehlt seinem Arbeitgeber Arbeitszeit, argumentieren die Autoren der Studie und raten Unternehmen zu mehr Kontrolle der hausinternen Internet-Regeln. Zudem bestehe immer die Gefahr, dass ein Mitarbeiter sich Trojaner und Viren mit einer privaten Mail einfängt - oder er plaudert bei Facebook Internat aus.
"Die Grenze zur Straftat ist spätestens dann überschritten, wenn Mitarbeiter vertrauliche Firmeninterna wie Kundeninformationen oder Verkaufszahlen nach Außen tragen", schreiben die Autoren. Sie berichten von einem Vorstandsmitglied, der angeblich versehentlich die Pläne für die Übernahme eines Konkurrenten an eben diesen verschickte. "Daten sind das wichtigste Kapital eines modernen Unternehmens und gleichzeitig ein verletzliches Gut."
88 Prozent blocken Internet-Seiten - auch Erotik-Portale
Außerdem berichten die Studienautoren von Mitarbeitern, die kurz vor ihrem Ausscheiden noch Kundendaten auf den USB-Stick ziehen oder geheime Entwicklungs-Dokumente. "Mit Abstand die meisten Fälle von schadbringenden Handlungen geschehen in Verbindung mit Datendiebstahl, Datenveruntreuung, Spionage oder Sabotage."
Zudem müssten sich Unternehmen um den Ruf ihres Unternehmens machen, wenn Kollegen sich Fotos und Videos von Erotik-Portalen herunterladen oder gar kinderpornografisches Material nutzen. Allerdings, das ergab die Umfrage, blocken 88 Prozent der befragten Unternehmen bestimmte Internetseiten, wie etwa Erotik-Seiten.
Geschäftsführer und Vorstände sind verpflichtet, die Einhaltung der Gesetze in ihrem Unternehmen zu kontrollieren, betonen die Autoren. Im schlimmsten Fall müssen sie selbst haften. Gleichzeitig müssten sie aber enorm aufpassen, die Rechte ihrer Mitarbeiter nicht zu verletzten, wenn sie Fehlverhalten im Unternehmen verfolgen. "Ein Geschäftsführer haftet beispielsweise bei einem Verstoß gegen das Bundesdatenschutzgesetz sogar persönlich."
Mit einem Paket aus Regeln und Kontrollen, also einem Compliance-Management-Programm, könnten Unternehmen sich rechtlich absichern. "Ohne Kontrollen bleiben Richtlinien … ein stumpfes Instrument. Die Befragung zeigt hier einen erheblichen Verbesserungsbedarf." Denn wenn die private Nutzung von E-Mail und Internet nicht geregelt sei, könnte dies als stille Duldung ausgelegt werden.
Auf der sicheren Seite des Rechts
Nur wer die Einhaltung von verbindlichen Regeln kontrolliert, habe auch eine Rechtsgrundlage für Abmahnungen und Kündigungen. Das Betriebsverfassungsgesetz (§ 87) verlangt allerdings die Absegnung des Betriebsrats bei der "Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen."
Für eine fristlose Kündigung hat der Arbeitgeber laut § 626 BGB zwei Wochen Zeit, nachdem er vom Fehlverhalten eines Mitarbeiters erfahren hat. Zudem liegt bei ihm die Beweislast. In dieser Zeit muss er sich also stichhaltige Beweise beschaffen.
Geht der Arbeitgeber zur Polizei, sind diese ebenso dringen vonnöten - sonst macht man sich leicht einer falschen Verdächtigung (§ 164 StGB) oder übler Nachrede (§ 186 StGB) schuldig. Auch eine Verdachtskündigung müssen Arbeitgeber vor Gericht mit nachweisbaren Tatsachen begründen können.
Keinesfalls dürfe man Daten manipulieren, wenn man den Rechner des Kollegen in Augenschein nimmt. "Am PC oder Laptop wird nahezu jede Aktion automatisch im Hintergrund protokolliert." Die Gefahr bestehe aber auch, wenn die eigene IT-Abteilung "kurz einen Blick" auf den verdächtigen Computer wirft.
Der neue Prototyp und die Adressen von Kunden und Mitarbeiten - mit besonders sensiblen Daten hantieren die Geschäftsbereiche Wettbewerb und Vertrieb sowie HR. Besonders hier empfielt die Studie ein Compliance-Programm - und bemängelt, dass nur 45 Prozent der befragten Unternehmen ein System für diese Bereiche nutzen, und vier Prozent nur für Vertrieb oder Wettbewerb.
Ein Compliance-Officer könne das Programm in der Hand halten und überwachen - und sei somit verantwortlich für die Einhaltung der Regeln. "Laut der Aussage eines Richters am BGH (Bundesgerichtshof) wird der Compliance-Officer wie der verlängerte Arm des Vorstandsvorsitzenden gesehen." Nur in 46 Prozent der Unternehmen gibt es Personen mit diesen Vollmachten.
Tragende Rolle: Die IT-Verantwortlichen
Im Notfall muss das Compliance-Programm reibungslos funktionieren. "Als Elemente gehören dazu Organisation, Schulung, Kontrolle, Sanktionen und Risikobewältigung." Die Mitarbeiter müssten regelmäßig geschult und Beweise in Verdachtsfällen nach standardisierten Vorgaben dokumentiert werden. Klar geregelt sein müsse außerdem, wer welche Vollmachten besitzt und welche Stellen einzuschalten sind. Eine Anzeige bei der Polizei könne immer bedeuten, dass der Fall an die Öffentlichkeit dringt.
Die IT-Abteilung sei besonders gefragt, um Datenmissbrauch aufzudecken - durch ein regelmäßiges Backup der Daten. Sie müssen für Untersuchungen schnell griffbereit sein, auch wenn das Finanzamt vor der Tür steht. Zudem müssten sie dafür sorgen, dass nur berechtigte Personen Zugang zu Unternehmens-Interna und personenbezogenen Daten erhalte.
"Die Praxis zeigt außerdem, dass Zugangsdaten und -berechtigungen für ausgeschiedene Mitarbeiter von Seiten der IT oft zu spät gesperrt werden." Bleiben Passwörter zu lange erhalten, stünden "Ex-Mitarbeitern möglicherweise Tür und Tor offen".
Aber auch für aktive Mitarbeiter seien die Verlockungen groß, Daten nach außen zu geben. "Die neuesten Fotos von sogenannten Erlkönigen bei neuen Fahrzeugentwicklungen sind sowohl bei Journalisten als auch bei Wettbewerbern sehr begehrt und werden teilweise zu hohen Preisen verkauft."
Was eine Whistleblower-Hotline bringt
Ein wichtiges Instrument, damit Unternehmen über ein solches Fehlverhalten überhaupt gewahr werden, sei eine "Whistleblower-Hotline". Mitarbeiter können verdächtige Kollegen anonym melden, um Schaden von der Firma abzuwenden. Viele würden sich nicht direkt an die Vorgesetzten oder Vertrauenspersonen wenden, um nicht als Verräter dazustehen.
Nur 37 Prozent der Unternehmen setzen laut Studie ein solches Kontroll-Instrument ein, bei einem Prozent sei es in Planung. Ethik-Hotlines oder ein externer Ombudsmann fallen ebenso darunter.
Feste juristische oder forensische Regeln für ein Compliance-Programm könnten sie trotz aller Empfehlungen nicht festlegen, schreiben die Autoren der Studie. Das hänge "von den spezifischen Umständen im Einzelnen Unternehmen ab." Will eine Pizza-Kette die Küche mit Kameras überwachen, damit die Mitarbeiter die misslungen Menüs nicht selber verzehren - und so plötzlich weniger Ausschuss entsteht? Oder will ein Roboter-Hersteller sein Forschungsknowhow möglichst geheim halten?
Indem sie solche Fragen offen lassen, bringen sich die Unternehmen hinter der Studie auch wieder selbst ins Gespräch - wenn es um Hilfe mit dem Gesetz geht oder um Fahndung nach veruntreuten Daten.