Spione wider Willen
Industriespionage nicht immer in böswilliger Absicht: Viele Informationen werden auch zufällig und unabsichtlich abgegriffen
Das Risiko einer ungewollten "Präsentation" vertraulicher Daten auf Papier durch die eigenen Mitarbeiter wird oftmals nicht gesehen
Von Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland
(29.08.12) - "Industriespionage" ist ein hässliches Wort. Viele denken dabei an hochtechnische Apparate, Agenten in Trenchcoats oder organisiertes Verbrechen. Aber wer bringt dieses Wort mit dem ganz normalen Büroalltag in Verbindung? Wirtschafts- oder Industriespionage ist das unethisch oder kriminell motivierte Sammeln von Informationen über eine Organisation. Dagegen wehren sich heute viele Unternehmen vehement. Dabei kostet die Abwehr viel Geld. Fast 82 Milliarden Euro wurden dafür 2011 von Regierungen, Wirtschaft und privaten Anwendern investiert. Und in fünf Jahren soll sich diese Zahl bereits verdoppelt haben.
Dabei geschieht Industriespionage nicht immer in böswilliger Absicht. Viele Informationen werden auch zufällig und unabsichtlich abgegriffen. Doch weil Informationsmanagement im Unternehmen fast immer eine Aufgabe der IT-Abteilung ist, sind in der Spionageabwehr Geld und Aufmerksamkeit auf die IT-Systeme konzentriert. Viele Unternehmen ignorieren die Macht des Papiers und vor allem den Faktor Mensch. Das Risiko einer ungewollten "Präsentation" vertraulicher Daten auf Papier durch die eigenen Mitarbeiter wird oftmals nicht gesehen.
Eine kürzlich veröffentlichte Studie von Iron Mountain [1], einem weltweiten Anbieter für Informationsmanagement, zeigt: Viele Mitarbeiter machen sich ihre eigenen Regeln, wie mit vertraulichen oder sensiblen Daten ihrer Arbeitgeber umzugehen ist. Eigene Regeln werden immer dann aufgestellt, wenn das Unternehmen selbst keine hat oder sie nur unzureichend kommuniziert.
Traditionell beschäftigen sich Untersuchungen über Wirtschaftsspionage damit, wie und warum Mitarbeiter Informationen aus dem Unternehmen tragen. Die Experten von Securelist haben eine Liste verschiedener Insider-Profile aufgestellt, die Unternehmen helfen soll, Risiko-Mitarbeiter zu erkennen: Da gibt es unter anderem an erster Stelle den "sorglosen Typ" (Careless Insider), also den Mitarbeiter ohne Führungsverantwortung, der unabsichtlich zur Sicherheitslücke wird. Daneben definiert Securelist den "naiven Mitarbeiter”, der sich zum Beispiel durch einen fingierten Anruf eines "Marktforschungsinstituts" oder andere Social-Engineering-Tricks vertrauliche Daten entlocken lässt. Zu den Mitarbeitergruppen mit krimineller Absicht gehören der generell mit seinem Arbeitgeber unzufriedene "Saboteur" und der "unloyale Mitarbeiter" (Disloyal Insider), der ohnehin in Kürze das Unternehmen verlässt. Daneben identifiziert Securelist noch "Moonlighter" und "Maulwürfe", beides Mitarbeitergruppen, die zielgerichtet im Auftrag der Konkurrenz oder anderen Klienten arbeiten.
Aber wie soll mit Mitarbeitern umgegangen werden, die sensible Informationen nicht entwenden, sondern in das Unternehmen mitbringen? Gemäß der aktuellen Iron Mountain-Umfrage würde gut die Hälfte (53 Prozent) der Befragten diese Chance nutzen und mit dem aktuellen Arbeitgeber derartige Daten ihres ehemaligen Arbeitgebers teilen. Mehr noch: Viele Mitarbeiter sehen darin kein unehrenhaftes Verhalten. Die Deutschen zeigen hier mehr Skrupel: Nur 21 Prozent wären bereit, sensible Unternehmensdaten zu einem neuen Arbeitgeber mitzunehmen.
Wie sieht es mit der Loyalität von Mitarbeitern aus, falls diese Informationen über Wettbewerber erfahren, die auch für den eigenen Arbeitgeber nützlich sein könnten? Die Studie nahm Mitarbeiter aus vier europäischen Ländern unter die Lupe: Deutschland, Frankreich, UK und Spanien. Dabei zeigten sich deutliche Unterschiede im Verhalten. So waren etwa 69 Prozent der Franzosen bereit, die Chance auf den Abgriff vertraulicher Daten eines Wettbewerbes auch zu nutzen. In Spanien waren es 57 Prozent, in Großbritannien 50 Prozent und in Deutschland sogar nur 33 Prozent. Die deutschen Mitarbeiter sind auch am wenigsten dazu bereit, diese Daten an ihren Arbeitgeber weiterzugeben: Nur 32 Prozent würden dies tun, verglichen mit 51 Prozent in Großbritannien, 61 Prozent in Frankreich und 63 Prozent in Spanien.
Dabei zeigte die Studie, dass es einen direkten Zusammenhang zwischen der Loyalität der Mitarbeiter und dem Vorhandensein klarer Verhaltensregeln im Unternehmen gibt. Mehr als zwei Drittel der deutschen Mitarbeiter sagen, dass in ihrem Unternehmen vertrauliche Informationen auch als solche gekennzeichnet sind. Das Schlusslicht bildet hier der direkte Nachbar Frankreich mit nur 49 Prozent. Vier von fünf der befragten Deutschen sind sich der Verhaltensregeln in ihrem Unternehmen auch bewusst. In Frankreich und Spanien kennt jedoch fast jeder Zweite diese Regeln nicht.
Ein weiteres wichtiges Ergebnis: Maßnahmen, die den Abfluss sensibler oder vertraulicher Informationen aus dem Unternehmen verhindern, beeinflussen auch das Verhalten der Mitarbeiter, wenn es um die Informationen des Wettbewerbers geht.
Die Grenze zwischen ethischem und unethischem Verhalten bleibt jedoch unscharf. Neugier ist eine angeborene Eigenschaft des Menschen, die im besten Fall dessen Kreativität und Motivation fördert. Die Faszination, die Unternehmensgeheimnisse eines Wettbewerbers ausüben, manifestiert sich auch in der Loyalität gegenüber dem eigenen Unternehmen oder dem Interesse an der Branche. So ist es schwierig, bewusst wegzuschauen, wenn der Sitznachbar im Zug gerade die neuesten Zahlen des Wettbewerbers studiert. Oder wegzuhören beim Gespräch, das die Mitarbeiter des Konkurrenten führen, während sie auf ihren Kaffee warten. Für die meisten ist allerdings beim Einbruch in die Räume eines Mitbewerbers zur Erlangung vertraulicher Informationen sicher eine Grenze überschritten.
Zwischen diesen Extremen gibt es eine große Grauzone. Wie weit der Einzelne gehen will, sagt sein persönlicher Moralkodex. Unternehmensrichtlinien können den Mitarbeitern helfen, diese persönliche Grenze zu finden.
So gesehen sind die effektivsten Regeln für den Umgang mit Informationen nicht jene, die deren physische Ablage oder Weitergabe betreffen. Es sind auch nicht diejenigen, welche den Mitarbeitern sagen, wie Informationen am besten geschützt werden können. Vielmehr sind es jene Regeln, die die Mitarbeiter ermutigen, stolz auf das eigene Unternehmen zu sein und sich persönlich für den korrekten Umgang mit vertraulichen Daten verantwortlich zu fühlen.
[1] Iron Mountain and Opinion Matters, June 2012 – Befragt wurden 2.000 Büroangestellte in Deutschland, Spanien, UK und Frankreich. Die Umfrage ist nicht repräsentativ.
(Iron Mountain: ra)
Iron Mountain: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>
