Pro Jahr verursacht der Diebstahl vertraulicher und sensibler Daten und Informationen bei US-Firmen einen Schaden in Höhe von rund 250 Milliarden US-Dollar. Die Datendiebe kommen dabei in den meisten Fällen aus dem eigenen Haus - hohen Sicherheitsmaßnahmen und umfassenden Vertraulichkeitsvereinbarungen zum Trotz.
Rein technisch lässt sich dieses Problem nicht lösen. Klinische und forensische Psychologen analysieren deshalb, warum Mitarbeiter in Betrieben vertrauliche Daten entwenden. Der IT-Sicherheitsanbieter Symantec hat die Ergebnisse diverser Untersuchungen jetzt in seinem Marktbericht "Behavioral Risk Indicators of Malicious Insider Theft of Intellectual Property: Misreading the Writing on the Wall" zusammengefasst.
Psyche von Datendieben
Die häufigsten Gründe für den internen Datenklau liegen in Unstimmigkeiten darüber, wem geistiges Eigentum gehört und im Streit über Kompensationszahlungen. Ebenso wichtige Faktoren sind eine Versetzung oder die Rolle eines Mitarbeiters nach einem Firmenzusammenschluss. Zu diesen so genannten persönlichen Stressoren zählen auch die Nichtberücksichtigung bei der Beförderung, ein grundsätzlicher Konflikt mit einem Vorgesetzten, finanzielle Schwierigkeiten oder Ärger in der Familie.
Vielfach liegen die Ursachen auch in den Angestellten selbst, werden aber von Führungskräften nicht erkannt. Dazu zählen medizinische und psychische Probleme, frühere Gesetzesverstöße oder ein "abnormales" Sozialverhalten. Treffen mehrere dieser Faktoren zu, dann verstärken sie sich gegenseitig und erhöhen das Risiko eines Datendiebstahls enorm. Die Autoren des Marktberichts fassen die Kernergebnisse ihrer Untersuchung in folgenden sechs Punkten zusammen:
1. Die internen Datendiebe sind im Schnitt 37 Jahre alt und vorwiegend in technischen Berufen tätig - als Wissenschaftler, Ingenieur, Manager, Vertriebsmitarbeiter und Programmierer. Die Mehrzahl hat zwar im Rahmen von Governance-Richtlinien Vereinbarungen zum Schutz vertraulicher Informationen unterschrieben, beachtet diese jedoch nicht.
2. 65 Prozent der Insiderdiebe hatten zum Zeitpunkt des Datenklaus bereits einen Job bei einem Wettbewerber angenommen oder ihre eigene Firma gegründet. Ein Viertel wurde von außen stehenden Personen angeworben, und ein Fünftel hat mit anderen internen Mitarbeitern zusammengearbeitet.
3. Drei Viertel der Datendiebe haben Informationen entwendet, zu denen sie regulär Zugang hatten. Das zeigt, wie kompliziert es für Betriebe ist, ihr geistiges Eigentum durch technische Kontrollen als auch durch Vereinbarungen zu schützen.
4. Mehr als die Hälfte der Firmen beklagt den Diebstahl wettbewerbsrelevanter Betriebs- und Geschäftsgeheimnisse, knapp ein Drittel von geschäftlichen Daten wie Rechnungen oder Preislisten. Bei einem Fünftel der Fälle wurde Quellcode entwendet und bei 14 Prozent eigenentwickelte Software. Weniger gefragt sind bei Datendieben scheinbar Kundeninformationen (zwölf Prozent) und Businesspläne (sechs Prozent).
5. Beim Datenklau nutzen 54 Prozent der internen Diebe vorhandene Technologien wie E-Mail, den Remote-Zugriff auf das Netzwerk oder den File Transfer. Entdeckt wird der Diebstahl meist von Mitarbeitern aus nicht-technischen Bereichen.
6. Berufliche Rückschläge oder unerwartete Ereignisse können dazu führen, dass Mitarbeiter die Demarkationslinie zwischen Intention und Ausführung überschreiten und tatsächlich Daten entwenden.
Das Symantec-Whitepaper gibt Unternehmen darüber hinaus Tipps, die helfen sollen, das Risiko internen Datendiebstahls zu verringern.
Bewerber-Screening schützt vor Datenklau
So kann ein abteilungsübergreifendes und cross-funktionales Team im Hinblick auf den Datendiebstahl Kriterien für eine Sicherheits-Policy erarbeiten und Mitarbeiter durch Schulungen laufend informieren und sensibilisieren. Dazu gehört auch, dass die Ergebnisse gesichert und überwacht werden.
Ebenso können die Gründe in der Firmenorganisation selbst liegen. Wenn es viele internationale Niederlassungen, Lieferanten oder Subunternehmer gibt, kann es aufgrund kultureller, sprachlicher und politischer Unterschiede Probleme mit der Datensicherheit geben.
Am sichersten fährt ein Unternehmen, das potenzielle Mitarbeiter bereits in der Bewerbungsphase auf entsprechende Aspekte hin durchleuchtet. Das minimiert das Risiko, einen "Problem-Mitarbeiter" anzuheuern.