- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Fachartikel » Hintergrund

Spione wider Willen


Industriespionage nicht immer in böswilliger Absicht: Viele Informationen werden auch zufällig und unabsichtlich abgegriffen
Das Risiko einer ungewollten "Präsentation" vertraulicher Daten auf Papier durch die eigenen Mitarbeiter wird oftmals nicht gesehen


Autor Hans-Günter Börgmann
Autor Hans-Günter Börgmann Bild: Iron Mountain Deutschland

Von Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland

(29.08.12) - "Industriespionage" ist ein hässliches Wort. Viele denken dabei an hochtechnische Apparate, Agenten in Trenchcoats oder organisiertes Verbrechen. Aber wer bringt dieses Wort mit dem ganz normalen Büroalltag in Verbindung? Wirtschafts- oder Industriespionage ist das unethisch oder kriminell motivierte Sammeln von Informationen über eine Organisation. Dagegen wehren sich heute viele Unternehmen vehement. Dabei kostet die Abwehr viel Geld. Fast 82 Milliarden Euro wurden dafür 2011 von Regierungen, Wirtschaft und privaten Anwendern investiert. Und in fünf Jahren soll sich diese Zahl bereits verdoppelt haben.

Dabei geschieht Industriespionage nicht immer in böswilliger Absicht. Viele Informationen werden auch zufällig und unabsichtlich abgegriffen. Doch weil Informationsmanagement im Unternehmen fast immer eine Aufgabe der IT-Abteilung ist, sind in der Spionageabwehr Geld und Aufmerksamkeit auf die IT-Systeme konzentriert. Viele Unternehmen ignorieren die Macht des Papiers und vor allem den Faktor Mensch. Das Risiko einer ungewollten "Präsentation" vertraulicher Daten auf Papier durch die eigenen Mitarbeiter wird oftmals nicht gesehen.

Eine kürzlich veröffentlichte Studie von Iron Mountain [1], einem weltweiten Anbieter für Informationsmanagement, zeigt: Viele Mitarbeiter machen sich ihre eigenen Regeln, wie mit vertraulichen oder sensiblen Daten ihrer Arbeitgeber umzugehen ist. Eigene Regeln werden immer dann aufgestellt, wenn das Unternehmen selbst keine hat oder sie nur unzureichend kommuniziert.

Traditionell beschäftigen sich Untersuchungen über Wirtschaftsspionage damit, wie und warum Mitarbeiter Informationen aus dem Unternehmen tragen. Die Experten von Securelist haben eine Liste verschiedener Insider-Profile aufgestellt, die Unternehmen helfen soll, Risiko-Mitarbeiter zu erkennen: Da gibt es unter anderem an erster Stelle den "sorglosen Typ" (Careless Insider), also den Mitarbeiter ohne Führungsverantwortung, der unabsichtlich zur Sicherheitslücke wird. Daneben definiert Securelist den "naiven Mitarbeiter”, der sich zum Beispiel durch einen fingierten Anruf eines "Marktforschungsinstituts" oder andere Social-Engineering-Tricks vertrauliche Daten entlocken lässt. Zu den Mitarbeitergruppen mit krimineller Absicht gehören der generell mit seinem Arbeitgeber unzufriedene "Saboteur" und der "unloyale Mitarbeiter" (Disloyal Insider), der ohnehin in Kürze das Unternehmen verlässt. Daneben identifiziert Securelist noch "Moonlighter" und "Maulwürfe", beides Mitarbeitergruppen, die zielgerichtet im Auftrag der Konkurrenz oder anderen Klienten arbeiten.

Aber wie soll mit Mitarbeitern umgegangen werden, die sensible Informationen nicht entwenden, sondern in das Unternehmen mitbringen? Gemäß der aktuellen Iron Mountain-Umfrage würde gut die Hälfte (53 Prozent) der Befragten diese Chance nutzen und mit dem aktuellen Arbeitgeber derartige Daten ihres ehemaligen Arbeitgebers teilen. Mehr noch: Viele Mitarbeiter sehen darin kein unehrenhaftes Verhalten. Die Deutschen zeigen hier mehr Skrupel: Nur 21 Prozent wären bereit, sensible Unternehmensdaten zu einem neuen Arbeitgeber mitzunehmen.

Wie sieht es mit der Loyalität von Mitarbeitern aus, falls diese Informationen über Wettbewerber erfahren, die auch für den eigenen Arbeitgeber nützlich sein könnten? Die Studie nahm Mitarbeiter aus vier europäischen Ländern unter die Lupe: Deutschland, Frankreich, UK und Spanien. Dabei zeigten sich deutliche Unterschiede im Verhalten. So waren etwa 69 Prozent der Franzosen bereit, die Chance auf den Abgriff vertraulicher Daten eines Wettbewerbes auch zu nutzen. In Spanien waren es 57 Prozent, in Großbritannien 50 Prozent und in Deutschland sogar nur 33 Prozent. Die deutschen Mitarbeiter sind auch am wenigsten dazu bereit, diese Daten an ihren Arbeitgeber weiterzugeben: Nur 32 Prozent würden dies tun, verglichen mit 51 Prozent in Großbritannien, 61 Prozent in Frankreich und 63 Prozent in Spanien.

Dabei zeigte die Studie, dass es einen direkten Zusammenhang zwischen der Loyalität der Mitarbeiter und dem Vorhandensein klarer Verhaltensregeln im Unternehmen gibt. Mehr als zwei Drittel der deutschen Mitarbeiter sagen, dass in ihrem Unternehmen vertrauliche Informationen auch als solche gekennzeichnet sind. Das Schlusslicht bildet hier der direkte Nachbar Frankreich mit nur 49 Prozent. Vier von fünf der befragten Deutschen sind sich der Verhaltensregeln in ihrem Unternehmen auch bewusst. In Frankreich und Spanien kennt jedoch fast jeder Zweite diese Regeln nicht.

Ein weiteres wichtiges Ergebnis: Maßnahmen, die den Abfluss sensibler oder vertraulicher Informationen aus dem Unternehmen verhindern, beeinflussen auch das Verhalten der Mitarbeiter, wenn es um die Informationen des Wettbewerbers geht.

Die Grenze zwischen ethischem und unethischem Verhalten bleibt jedoch unscharf. Neugier ist eine angeborene Eigenschaft des Menschen, die im besten Fall dessen Kreativität und Motivation fördert. Die Faszination, die Unternehmensgeheimnisse eines Wettbewerbers ausüben, manifestiert sich auch in der Loyalität gegenüber dem eigenen Unternehmen oder dem Interesse an der Branche. So ist es schwierig, bewusst wegzuschauen, wenn der Sitznachbar im Zug gerade die neuesten Zahlen des Wettbewerbers studiert. Oder wegzuhören beim Gespräch, das die Mitarbeiter des Konkurrenten führen, während sie auf ihren Kaffee warten. Für die meisten ist allerdings beim Einbruch in die Räume eines Mitbewerbers zur Erlangung vertraulicher Informationen sicher eine Grenze überschritten.

Zwischen diesen Extremen gibt es eine große Grauzone. Wie weit der Einzelne gehen will, sagt sein persönlicher Moralkodex. Unternehmensrichtlinien können den Mitarbeitern helfen, diese persönliche Grenze zu finden.

So gesehen sind die effektivsten Regeln für den Umgang mit Informationen nicht jene, die deren physische Ablage oder Weitergabe betreffen. Es sind auch nicht diejenigen, welche den Mitarbeitern sagen, wie Informationen am besten geschützt werden können. Vielmehr sind es jene Regeln, die die Mitarbeiter ermutigen, stolz auf das eigene Unternehmen zu sein und sich persönlich für den korrekten Umgang mit vertraulichen Daten verantwortlich zu fühlen.

[1] Iron Mountain and Opinion Matters, June 2012 – Befragt wurden 2.000 Büroangestellte in Deutschland, Spanien, UK und Frankreich. Die Umfrage ist nicht repräsentativ.
(Iron Mountain: ra)

Iron Mountain: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Identitäten für elektronische Finanztransaktionen

    Bei einer Online-Transaktion "Ich stimme zu" zu klicken, reicht nicht aus um nachzuweisen, dass tatsächlich die richtige Person zugestimmt hat. Wenn es um sensible Transaktionen wie die von Finanzdienstleistern geht, dann reichen auch eine aufgezeichnete gesprochene Zustimmung oder eine handschriftliche Online-Unterschrift für eine eineindeutige Verifizierung nicht aus. Hier kommt digitale Identität ins Spiel. 'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von Führerschein oder Ausweis kennt. Das elektronische Transaktionsverfahren besteht aus drei Stufen: Initiale Identifikation, Authentifizierung und Autorisierung. Wie das im Einzelnen funktioniert und welche Transaktionen Banken und Finanzdienstleister mithilfe von Identitäten durchführen können, das ist Thema des aktuellen Blogbeitrags von GlobalSign.

  • Identity- und Access-Management-Systeme

    Der regulatorische Druck auf Unternehmen und Organisationen, geeignete Kontrollmechanismen zu etablieren, steigt stetig. Moderne IAM-Lösungen (Identity & Access Management) können wichtige Kernfunktionen übernehmen, um Vermögenswerte und Prozesse der Firmen besser zu schützen. IAM trägt bereits präventiv zur Risikominimierung bei, indem es Identitäten regelmäßig überprüft und nur autorisierten Nutzern Zugriff auf bestimmte Daten gewährt. Zentrale Compliance-Anforderungen erfüllen moderne IAM-Lösungen auch mit der Bereitstellung umfangreicher Analysen und Reports, die jederzeit tiefgreifende Einblicke in die Zugriffsstrukturen eines Unternehmens gewähren. Moderne IAM-Systeme beziehen hierfür ihre Daten aus zahlreichen Quellen und erstellen jederzeit detaillierte Analysen und Berichte. Dies beschleunigt die Reaktionszeit, um Autorisierungsfehler korrigieren zu können, verbessert die Systemsteuerung und vermindert die Risiken.

  • Stauatlas: IT in der Bankenregulierung

    Eine Vielzahl von Regularien von BCBS 239 bis MiFID II stellt die Compliance- und IT-Abteilungen der Kreditinstitute vor große Herausforderungen. Vor allem in Kombination mit ambitionierten Zeitplänen und einer großen Verunsicherung über die konkrete Ausgestaltung und potenzielle neue Gesetze. Dabei kämpfen die Compliance-Beauftragten oft mit reiner Pflichterfüllung statt Kür in den Abteilungen, drei Viertel der Bankmanager mangelt es an Akzeptanz für die Bedeutung der Regularien. In der Studie "Stauatlas: IT in der Bankenregulierung" hat das Software- und Beratungshaus PPI AG den Status Quo bei der Umsetzung in IT-Abteilungen untersucht.

  • Aufklärungspflichten in der Anlageberatung

    Der Bundesgerichtshof (BGH) hat die Aufklärungspflichten der Banken bei der provisionsgetriebenen Anlageberatung zu Gunsten der Anleger geklärt. Einerseits! Doch das janusköpfige Urteil mit dem XI ZR 147/12 hat eine Kehrseite. Denn der BGH hat die Banken nur für die Zukunft zur umfassenden Aufklärung über Provisionen verpflichtet. Für vergangene Beratungssünden erhielten die Banker dagegen - zumindest teilweise - einen höchstrichterlichen Sündenerlass. Mit diesem janusköpfigen Urteil versucht der BGH einen gordischen Knoten zu lösen, den er zuvor selbst geknüpft hat.