Das Risiko heißt Mitarbeiter

Studie: Unternehmen am Missbrauch von Daten häufig selbst schuld - Sorgfaltspflicht ein Fremdwort
Für Unternehmen kann der Verlust von Daten sehr ernsthafte Folgen haben - Der Mitarbeiter als Sicherheitsrisiko

(09.02.07) - Europäischen Firmen drohen Gefahren für die Sicherheit ihrer Geschäftsdaten zunehmend von innen: Immer häufiger sind Mitarbeiter die Ursache dafür, dass auch besonders wertvolle und vertrauliche Unternehmensinformationen ungeschützt dem Zugriff durch Unbefugte ausgesetzt sind. Zu diesem Ergebnis kommt eine vorgelegte Studie von ICM Research, die im Auftrag von McAfee durchgeführt wurde. Demnach bleiben Investitionen in Lösungen zum Schutz von Geschäftsdaten vor externen Bedrohungen und Hacker-Attacken häufig deshalb unwirksam, weil eine vollständige interne Kommunikation der unternehmensspezifischen Sicherheitsvorgaben nicht gelingt und weil sich Mitarbeiter allzu sorglos verhalten.

Die von ICM Research erstellte und auf einer europaweiten Befragung von 600 Angestellten beruhende Studie unterstreicht insbesondere die erheblichen Geschäftsrisiken durch Datenverlust. So zeigen die Ergebnisse unter anderem, dass Mitarbeiter immer mehr vertrauliche Informationen über die Grenzen ihres Unternehmens hinweg übertragen und dabei Verfahren anwenden, die sich der Kontrolle der zuständigen IT-Abteilung entziehen. Der Umfrage zufolge verfügen mit 37 Prozent mehr als ein Drittel der befragten europäischen Firmen über keine fest definierten Regeln für den Umgang mit vertraulichen Dokumenten. In Deutschland sind es mit 32 Prozent nur geringfügig weniger. Und selbst dort, wo es solche Richtlinien gibt, sind sie fast einem Viertel der Mitarbeiter (24 Prozent im Durchschnitt, 19 Prozent in Deutschland) unbekannt.

Weitere wichtige Ergebnisse im Überblick:
>> Pro Woche und Mitarbeiter verlassen neun vertrauliche Dokumente auf tragbaren Geräten die Büroräume deutscher Unternehmen.
>> Am häufigsten sind es interne Unterlagen zum laufenden Geschäftsverkehr sowie Kundendaten beziehungsweise -akten, die auf elektronischem Wege oder auf einem Speichermedium aus Unternehmen herausgelangen. Dahinter folgen Informationen aus der Finanzbuchhaltung.
>> Mitarbeiter verwenden zunehmend tragbare Geräte, unter anderem Speicher-Sticks und Mobiltelefone, um vertrauliche Daten mitzunehmen.
>> Web-basierende E-Mail-Dienste und sogar Anwendungen für das Instant Messaging (IM) dienen Angestellten dazu, vertrauliche Informationen an Adressaten außerhalb der Firmengrenzen zu übertragen.
52 Prozent der europäischen Beschäftigten würden Geschäftsdaten mitnehmen, wenn sie aus ihrem derzeitigen Unternehmen ausscheiden. In Deutschland würde jeder Zweite so handeln, in Frankreich sogar rund acht von zehn Mitarbeitern.

Das Ausmaß von Datenverlusten durch Mitarbeiter
Im vergangenen Jahr hatten Boeing, Ernst & Young und Nationwide nach dem Diebstahl unverschlüsselter Laptops aus den Wohnungen und Autos von Beschäftigten jeweils einen erheblichen Imageschaden hinzunehmen: Sozialversicherungsnummern, Namen und Anschriften von Tausenden ihrer Mitarbeiter und Kunden konnten ungeschützt durch Unbefugte eingesehen und missbraucht werden. Auch der israelische Innenminister machte unfreiwillig Bekanntschaft mit den Auswirkungen undichter Stellen im Informationsverkehr, als wichtige Bevölkerungsverzeichnisse aus seiner Behörde nach draußen gelangten und im Internet veröffentlich wurden. Eine Studie belegt, dass die Missachtung von Datenschutzrichtlinien neben unvermeidlichen Einbußen hinsichtlich des Kundenvertrauens zunehmend auch finanzielle Folgen hat (PGP Corporation, Vontu, Inc. und Ponemon Institut: "2006 Annual Study: Cost of a Data Breach").

Trotzdem unterbleiben offenbar die notwendigen Maßnahmen, um sich vor Datenverlusten durch Beschäftigte zu wappnen. Denn immerhin verlässt ein durchschnittlicher europäischer Büroangestellter sein Unternehmen heute pro Woche mit elf vertraulichen Dokumenten. Am sorglosesten agieren niederländische Beschäftigte, die pro Woche sogar 19 solcher wichtigen Unterlagen mitnehmen – in Deutschland sind es immerhin noch neun. Das größte Bewusstsein für den Datenschutz zeigen britische Angestellte, die im Durchschnitt sechs vertrauliche Dokumente pro Woche über die jeweiligen Firmengrenzen hinweg austauschen.

Bedeutsame Unterlagen wie Geschäftspläne, Finanzdaten, Mitarbeiterakten, Kundendaten und Verträge werden somit durch das Verhalten der Mitarbeiter für Unbefugte zugänglich und sind folglich stark gefährdet. Unternehmer und Geschäftsführungen sollten sich der Tatsache bewusst sein, dass mit 31 Prozent fast ein Drittel der Befragten angeben, in ihrem Berufsalltag regelmäßig Finanzdaten ihres Arbeitgebers an Adressaten außerhalb der Firmengrenzen zu schicken. Und immerhin noch 20 Prozent bekennen, auch Vertragswerke weiterzuleiten. Deutsche Mitarbeiter halten sich im Europavergleich eher zurück: 13 Prozent geben Finanzdaten weiter, bei Verträgen sind es noch mal zwei Prozentpunkte weniger.

Datenschutzverletzungen durch Mitarbeiter sind an der Tagesordnung, da etwa ein Fünftel der Befragten (19 Prozent) ihre Informationen mit externen Personen austauschen. Zwar halten 92 Prozent einen sicheren Umgang mit vertraulichen Dokumenten für entscheidend im Sinne dauerhafter Kundenbeziehungen, dennoch geben 39 Prozent ihre Kundendaten und -unterlagen an Dritte außerhalb ihres Unternehmens weiter. Die deutschen Werte decken sich dabei recht genau mit dem Europamittelwert.

Das Netz der Indiskretion
Der Rückgriff auf die E-Mail-Anwendung des eigenen Unternehmens ist weiterhin der gängigste Weg, um Informationen nach draußen zu übertragen: 86 Prozent der Befragten räumen ein, auf diese Weise regelmäßig Dokumente weiterzuleiten, in Deutschland sind es mit 80 Prozent etwas weniger. In Italien praktiziert dies sogar jeder Angestellte. Viele Beschäftigte nutzen jedoch auch andere Verfahren, die sich der Kontrolle durch die zuständige IT-Abteilung weitgehend oder komplett entziehen. So bekennen mit 26 Prozent rund ein Viertel aller Befragten (22 Prozent in Deutschland), die Kundendaten an Dritte schicken, dazu Web-Mail-Dienste wie Yahoo oder Hotmail zu verwenden. Sogar 83 Prozent sind es, die Kundenunterlagen ausdrucken, um sie mit aus dem Büro zu nehmen. Variieren die Werte im europäischen Vergleich bei der Nutzung des Firmen-Accounts um bis zu 27 Prozent, so liegt das Feld bei privaten E-Mailkonten und besonders dem Papierausdruck eng bei einander.

Fast jeder vierte Beschäftigte (23 Prozent), der eine externe Weitergabe von Dokumenten einräumt, hat bereits eine Instant-Messaging-Software zur Übertragung von Business-Plänen genutzt. Und jeder Fünfte (20 Prozent) hat auf diesem Wege schon Daten und Tabellenkalkulationen aus der Finanzabteilung weitergeleitet. Spitzenreiter sind hier die französischen Mitarbeiter – mehr als die Hälfte hat auf diesem Weg bereits Geschäftspläne entwendet, immerhin ein Drittel auch Finanzunterlagen. In Deutschland spielt Instant Messaging mit 7 beziehungsweise 8 Prozent bisher nur eine untergeordnete Rolle.

Tragbare Speichergeräte auf dem Vormarsch
Zur gängigen Praxis von Beschäftigten gehört es mittlerweile auch, vertrauliche Dokumente auf tragbaren Speichergeräten aus ihrem Unternehmen mit zu nehmen. Mit 45 Prozent hat fast die Hälfte der befragten Büroangestellten auf diese Weise schon einmal Finanzunterlagen nach draußen gebracht. Und mehr als ein Drittel ging mit Business-Plänen (38 Prozent) und Kundendaten (34 Prozent) so um. Deutschland hält sich in den ersten beiden Fällen knapp unterhalb des Durchschnitts. Was jedoch die Weitergabe von Kundendaten betrifft, sind die Niederlande führend.

Der größten Beliebtheit für diesen Zweck erfreuen sich USB-Sticks. Diese dienen mehr als einem Viertel der Beschäftigten (26 Prozent) regelmäßig dazu, Geschäftsdaten mitzunehmen. Anstatt mit solchen Speichermedien besonders achtsam umzugehen, müssen 15 Prozent der Büroarbeitskräfte einräumen, sie bereits an andere verliehen zu haben. Sind die Deutschen bei den Speichersticks mit rund 30 Prozent noch die Spitzenreiter, entsprechen sie bei deren Verleih exakt dem Mittel.

Der gute alte Drucker
Die eklatanteste Sicherheitslücke und potenziell größte Bedrohung im Hinblick auf den Datenschutz stellt für Unternehmen jedoch weiterhin der herkömmliche Papierausdruck da. Nur wenige IT-Abteilungen sind in der Lage, laufend zu überwachen und effektiv einzuschränken, was Mitarbeiter ausdrucken und wohin diese Informationen gelangen. Die jetzt vorgelegte Studie zeigt, dass Beschäftigte sehr häufig auch Finanzinformationen (83 Prozent), Kundenunterlagen (83 Prozent) und Verträge (87 Prozent) ausdrucken – besondere länderspezifische Schwankungen gibt es hier nicht. Weitere Nachlässigkeiten auf Mitarbeiterseite steigern das Risiko, dass solche Unterlagen in die falschen Hände gelangen: Mehr als die Hälfte der Büroangestellten (54 Prozent) versäumt es, vertrauliche Dokumente in den Schredder zu geben. Besonders nachlässig sind dabei die Italiener mit 72 Prozent, beinahe vorbildlich hingegen die Engländer mit 32 Prozent. Die deutschen Befragten entsprechen dem Durchschnitt. Und jeder Zehnte räumt ein, solche Informationen regelmäßig in der Papierausgabe des Druckers zu vergessen.

Der Diebstahl von Daten
Von europäischen Unternehmen sind zudem wirksame Maßnahmen gefragt, um scheidende Mitarbeiter daran zu hindern, Geschäftsdaten zu stehlen. Denn immerhin 52 Prozent der Befragten (50 Prozent der Deutschen) geben zu, auf jeden Fall noch Informationen und Dokumente mitnehmen zu wollen, wenn sie ihren Arbeitergeber verlassen sollten. Bei französischen und italienischen Beschäftigten ist das Risiko besonders groß, dass sie Unterlagen über die Firmenmauern nach draußen schmuggeln. Britische Mitarbeiter hingegen sind nach eigenen Angaben am vertrauenswürdigsten: 70 Prozent schließen es aus, irgendwelche Daten einzustecken.

Datenverluste und die Einhaltung gesetzlicher Pflichten
Für Unternehmen kann der Verlust von Daten sehr ernsthafte Folgen haben: Geschäftsbeziehungen können ebenso Schaden nehmen wie der allgemeine Ruf einer Firma. Auch von Seiten des Gesetzgebers drohen Konsequenzen: Vorgaben wie Basel II erfordern etwa, dass Banken vor der Kreditgewährung die Risiken eines Unternehmens analysieren. So sind Kreditsuchende verpflichtet, die Sicherheit ihrer Netzwerke und Geschäftsprozesse sowie etwaige Gegenmaßnahmen zu dokumentieren. Der Verlust unternehmenskritischer Daten durch die eigenen Mitarbeiter kann somit gravierende finanzielle Folgen haben. Hinzu kommt, dass sich angesichts der Häufigkeit von Datenverlusten unzählige Möglichkeiten für Hacker und Spammer ergeben, in Unternehmen einzudringen.

"Zweifellos versuchen die meisten Unternehmen, ihren gesetzlichen Pflichten im Hinblick auf einen sicheren Umgang mit vertraulichen Informationen genüge zu tun. Doch sie erkennen nicht, dass auch die eigenen Mitarbeiter eine Achillesferse in Datenschutzfragen darstellen können. Durch ungeschützte Geschäftsunterlagen können sie in Konflikt mit dem Gesetz geraten oder geistiges Eigentum einbüßen. Wo mit vertraulichen Unterlagen echte Unternehmenswerte nach draußen gelangen, stehen ganze Firmen auf dem Spiel", betont Greg Day als Analyst zu Sicherheitsthemen bei McAfee und ergänzt: "Die Ergebnisse dieser Studie belegen eindeutig, dass Datenverluste durch Mitarbeiter ein wachsendes Problem darstellen. Unternehmen müssen diese Herausforderung gleichzeitig mit dem Schutz vor externen Gefahren angehen. Effektive Lösungen bestehen unserer Ansicht nach darin, sowohl das Personal entsprechend zu schulen als auch parallel in ein vollständiges System für das Sicherheits-Management zu investieren." (McAfee: ra)