Büromaterial mitgehen zu lassen, gilt als Kavaliersdelikt. Doch längst sind Ordner, Stifte und Batterien nicht mehr das Einzige, was Angestellte heimlich mitlaufen lassen. Studien zeigen, dass eine wachsende Zahl von Angestellten in Versuchung gerät, heikle Firmendaten mitgehen zu lassen. Eine Analyse der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG hat ergeben, dass 2009 weltweit rund 2300 «Datenereignisse» registriert wurden. Insgesamt waren über 700 Mio Personen vom Datenverlust betroffen.
«Die Grauziffer dürfte jedoch einiges höher sein», sagt Anne van Heerden, Head of Risk & Compliance von KPMG Schweiz, gegenüber der «Handelszeitung». Die effektive Zahl der Datendiebstähle sei jedoch schwierig zu beziffern, da viele Unternehmen solche Vorfälle aus Reputationsgründen nicht öffentlich kommunizieren.
«Es ist davon auszugehen, dass die Datendiebstähle weiter zunehmen werden», sagt van Heerden. Denn die vergangenen Vorfälle, wie beispielsweise bei schweizerischen und liechtensteinischen Banken, haben gezeigt, dass die Käufer - etwa der Fiskus - bereit sind, teils hohe Summen für sensible Personen- und Finanzdaten zu bezahlen.
Beliebte Kundendaten
Der Auslöser für einen Datendiebstahl ist vielfältig. Oft stehen Motive für kriminelle Handlungen in Zusammenhang mit Drucksituationen, wie beispielsweise Verbitterung bei Nichtbeförderung, Konfliktsituationen oder finanzielle Probleme.
Zunehmend gilt aber auch Rache als Tatmotiv. Gekündigte Mitarbeiter wollen sich am ehemaligen Arbeitgeber rächen oder sich in eine bessere Ausgangslage an der neuen Arbeitsstelle bringen. «Das typische Verhaltensmuster geht dahin, dass Mitarbeiter in gekündigter Stellung Daten mitnehmen wollen, welche ihr wirtschaftliches Fortkommen beim neuen Arbeitgeber unterstützen», sagt Sibylle Umiker, Mediensprecherin der Zürcher Kantonalbank (ZKB). Dabei handle es sich insbesondere um Kundendaten sowie Know-how der einzelnen Bank. Auch die ZKB blieb von solchen Vorfällen nicht verschont. «Den betreffenden Mitarbeitern geht es in der Regel darum, Kunden abzuwerben oder der ZKB gehörendes Know-how beim nächsten Arbeitgeber einzusetzen», sagt Umiker. Durch geeignete Vorkehrungen versuche die Bank, solche Datenverluste zu verhindern. «Eine absolute Sicherheit gibt es jedoch nicht», sagt Umiker. So könne der Risikofaktor «Mensch» nicht vollständig eliminiert werden. «Wir schätzen jedoch die Gefahr für die ZKB als vergleichsweise gering ein.»
Schutz vor Datendiebstahl
Zu den gängigsten Methoden bei einem Datendiebstahl dienen Speichermedien wie USB-Sticks, CDs oder DVDs. Vielfach werden aber auch Daten per E-Mail verschickt. Dies ergab eine Studie in Zusammenarbeit des Softwareherstellers Symantec und dem Institut Ponemon. Rund 53% der 1000 befragten Personen in den USA gaben 2008 an, Informationen auf CDs und DVDs abzuspeichern. 42% würden sich die Daten auf einen Memory-Stick laden, und die restlichen 38% verschickten heikle Unternehmensdaten gar per E-Mail an eine private Adresse. Zur Vermeidung oder zumindest zu Eindämmung von Datenverlusten dient die Verteilung von Zugriffsrechten und das Verunmöglichen des Kopierens auf Datenträger. «Die Klassifizierung der Daten sowie die Einschränkung der Benutzerzugriffsrechte sind zentral», sagt Frank Thonüs, Country Manager von Symantec Schweiz. Zudem müssten die Daten und ihre Verwendung überwacht werden. «Dabei wird beispielsweise überwacht, wer auf die Kundendatenbank zugreift und versucht, diese auf einen USB-Stick zu kopieren», sagt Thonüs.
Eine weitere Möglichkeit ist auch die Umsetzung einer klaren Benutzerpolitik, die Erstellung von sicheren Löschsystemen sowie das Bewusstsein in Bezug auf Datenschutz bei den Mitarbeitern beispielsweise durch Schulungen zu erhöhen.
Keine totale Sicherheit
Aber auch bei allen Vorsichtsmassnahmen gibt es keine 100%ige Sicherheit. «Selbst wenn die Mitarbeiter jeden Morgen und Abend von Kopf bis Fuss untersucht werden würden, gäbe es immer eine Lücke», sagt Gianfranco Mautone, Leiter Forensic Services bei PricewaterhouseCoopers (PWC).
Umso wichtiger seien präventive Massnahmen, wobei vor allem die Sensibilisierung der Mitarbeiter betreffend die Risiken wichtig ist.
NACHGEFRAGT
«Datendiebstahl wird zunehmen»
Franco Mautone ist Partner und Leiter Forensic Services bei PricewaterhouseCoopers (PWC).
Sorgen die Datendiebstähle beispielsweise bei der englischen Bank HSBC und der liechtensteinischen Bank LGT für mehr Unsicherheit bei den Unternehmern?
Gianfranco Mautone: Wir erhalten klar mehr Anfragen von Firmen. Die Schlagzeilen um solche Datendiebstähle sensibilisiert die Menschen. Dabei sorgt aber vor allem der Fall LGT für wesentlich mehr Angst bei den Unternehmern.
Woran liegt das?
Mautone: Der Fall LGT hat gezeigt, dass solche Kundenlisten sehr viel Geld wert sein können. Und es gibt immer einen Weg, sich Kundennamen oder -konten zu merken.
Also kann sich ein Unternehmen bei allen Vorsichtsmassnahmen nicht zu 100% schützen?
Mautone: Nein, einen 100%igen Schutz gibt es nicht. Auch wenn alle Kommunikationswege gekappt würden, gibt es immer eine Lücke. Umso wichtiger ist es, dass Firmen ihre Mitarbeiter auf das Risiko eines Datenverlustes hinweisen und entsprechende organisatorische Massnahmen implementiert werden.
Werden Datendiebstähle zunehmen?
Mautone: Davon gehe ich aus. Daher darf das Thema nicht unter den Teppich gekehrt werden. Auch der Bund sollte sich mehr damit befassen. In England beispielsweise werden Firmen gebüsst, die nicht nachweisen können, dass alles unternommen wurde, um einen Datenverlust zu verhindern.