Rund die Hälfte aller Angestellten stiehlt guten Gewissens Daten

Peter Marwan,
IT-ManagementIT-ProjekteSicherheitSicherheitsmanagement

Eine im Auftrag von Symantec vom Ponemon Institute im Oktober 2012 durchgeführte Umfrage zeigt, dass Mitarbeiter den Begriff “intellektuelles Eigentum” in Bezug auf Firmendaten recht großzügig auslegen. Im Rahmen der Erhebung wurden 3317 Personen aus sechs den USA, Großbritannien, Frankreich, Brasilien, China und Korea befragt.

Wem gehört der Code, den Entwickler für die Firma geschrieben haben?
Wem gehört der Code, den Entwickler für die Firma geschrieben haben? Im Zweifelsfall ihm – glaubt der Entwickler. (Bild: Shutterstock / Chris-Hellyar)

Den Ergebnissen zufolge gehen Angestellte davon aus, dass sie geistiges Eigentum weiterverwenden können, wenn sie das Unternehmen wechseln. Außerdem glauben sie, ihren Arbeitgebern sei das egal. Lediglich 47 Prozent der Befragten gaben an, dass ihre Firma etwas unternimmt, wenn Mitarbeiter Unternehmensdaten missbräuchlich verwenden. 68 Prozent erklärtenan, ihr Betrieb unternähme auch nichts dagegen, dass vertrauliche, wettbewerbsrelevante Informationen von Dritten durch eigene Angestellte genutzt werden.

“Firmen verstehen es nicht, eine Kultur des verantwortlichen Umgangs mit geistigem Eigentum unter ihren Mitarbeitern zu etablieren”, fasst Symantec die Ergebnisse der Studie aus seiner Sicht zusammen. Die Folgen seien im Alltag überall spürbar. So denken sich etwa 62 Prozent der Befragten nichts dabei, Arbeitsdokumente auf private Computern, Smartphones, Tablets oder auf Filesharing-Anwendungen online abzulegen. Die Mehrheit löscht diese Daten nie, da sie keine Gefahr darin sieht, sie zu behalten.

Die meisten befragten Angestellten halten es nicht für falsch, Wettbewerberdaten eines früheren Arbeitgebers zu nutzen und 56 Prozent denken sogar, es ist erlaubt, die geheimen Informationen eines Mitbewerbers zu nutzen. “Durch diese Fehleinschätzung sind ihre aktuellen Arbeitgeber in Gefahr, unwissentlich Empfänger gestohlenen geistigen Eigentums zu werden”, hebt Symancte mahnend den Zeigefinger.

Grund für die Fehleinschätzungen ist oft, dass Angestellte geistiges Eigentum nicht der Firma zuschreiben, sondern der Person, die es geschaffen hat. Für 44 Prozent hat beispielsweise ein Software-Entwickler, der Quellcode schreibt, an seiner Arbeit oder Erfindung eienn Anteil. Für 42 Prozent ist es auch kein Verbrechen, diesen Quellcode ohne Erlaubnis in Projekten für andere Unternehmen einzusetzen.

Fast zwei Drittel der Angestellten finden nichts dabei, Firmendaten auf ihr privates Notebook, Smartphone oder Tablet zu transferieren (Grafik: Symantec).
Fast zwei Drittel der Angestellten finden nichts dabei, Firmendaten auf ihr privates Notebook, Smartphone oder Tablet zu transferieren (Grafik: Symantec).

Nur 38 Prozent der befragten Angestellten sagen, dass für ihre Vorgesetzten Datenschutz von Bedeutung für das Geschäft sei. Die Hälfte der Befragten geht zudem davon aus, dass sie Unternehmensdaten mitnehmen könnten, weil ihre Arbeitgeber Regeln nicht strikt durchsetzen.

Angesichts dieser Zahlen empfiehlt Symantec Firmen die Aufklärung ihrer Mitarbeiter: Es gelte ein Bewusstsein dafür zu schaffen, dass eben kein Kavaliersdelikt ist, vertrauliche Informationen zu entwenden. Dieser Schritt sei Kernbestandteil jedes Sicherheitstrainings. Daneben gelte es, Geltunsgbereiche von Regelungen und Folgen von Verstößen gegen bestehende regelungen aufzuzeigen. Laut Symantec existiert bei fast der Hälfte aller Datendiebstähle durch Insider eine Vereinbarung, wie Mitarbeiter mit geistigem Eigentum umzugehen haben.

“Doch die bloße Existenz von Regeln ist sinnlos, wenn Mitarbeiter sie nicht verstehen und sie nicht umgesetzt werden”, beklagt Symantec. “Formulierungen von Vereinbarungen mit Mitarbeitern müssen konkreter sein. Zudem sollte in Abschlussgesprächen bei Arbeitsplatzwechseln auf die weiterbestehende Verantwortung für den Schutz und die Rückgabe vertraulicher Informationen hingewiesen werden. Angestellte müssen verstehen, dass Regelverstöße geahndet werden und dass Datendiebstahl für sie und ihren neuen Arbeitgeber negative Folgen haben kann.”

Mitarbeiter, die Daten auf private Geräte übertragen, dort baer nicht löschen tun dies selten mit böswilligem Vordatz - meistens finden sie das Löschen zu kompliziert und nicht der Mühe wert, da sich in der Firma sowieso keiner darum zu kümmern scheint (Grafik: Symantec).
Mitarbeiter, die Daten auf private Geräte übertragen, dort aber nicht löschen, tun dies selten mit böswilligem Vordatz – meistens finden sie das Löschen zu langwierig und zu kompliziert und halten es nicht der Mühe für wert, da sich in der Firma sowieso keiner darum zu kümmern scheint (Grafik: Symantec).

“Training allein in diesem Bereich wird das Problem aber nicht lösen. Firmen benötigen Data-Loss-Prevention-Lösungen, um die Verwendung ihre Daten zu überwachen und Mitarbeiter auf gefährliches Verhalten hinzuweisen”, erklärt Thomas Hemker, Sicherheitsexperte bei Symantec.

Das ist verständlich, schließlich will der Konzern seine Angebote dafür an den Mann bringen. Allerdings sollten Firmen eben zuerst einmal mit Training und Aufklärung anfangen: Denn wie die Erfahrung gezeigt hat, entwickeln sich viele Projekte für Data Loss Prevention zu Endlosaufgaben, blockieren vielfach die Produktivität und sorgen durch unglückliche Konstrukte für Missmut bei den Angestellten, die aus ihrer Sicht “nicht mehr richtig arbeiten” können. Außerdem seteh sie oft eine vernünftige Klassifizierung der vorhandenen Daten voraus – was für sich alleien genommen oft schon eine Lebensaufgabe ist.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen