Wenn Mitarbeiter klauen

Von Angela Barandun. Aktualisiert am 23.03.2009

Drucken

Trotz organisierter Hacker-Kriminalität: Die grösste Gefahr für die Geheimnisse von Firmen lauert in deren Innern. Ein Problem, das sich in der Rezession verschlimmern könnte.

Daten klauen leicht gemacht: Der USB-Stick in der Fingerprothese.

Finanzinstitute sind stark betroffen

Von keinem Datendiebstahl hört man so oft wie von dem bei den Banken. Wann auch immer eine Bank der anderen einen Einzelnen oder ein ganzes Team von Kundenberatern abwirbt, dann ist oft auch Datendiebstahl mit im Spiel. Die ZKB etwa hält das Klauen von Kundendaten bei einem Wechsel zur Konkurrenz für das grösste Problem in diesem Bereich. «Im Private Banking, wo der Wert eines Kundenbetreuers nicht zuletzt auch von seinem Kundenportfolio abhängig ist, ist die Verlockung besonders hoch», sagt Sprecher Diego Wider.

Im Schnitt nimmt ein Kundenberater rund ein Drittel seiner verwalteten Vermögen mit zum neuen Arbeitgeber. Ob er sich damit strafbar macht, ist eine Frage der Details. Kann man einem Kundenberater nachweisen, dass er während der Arbeit beim alten Arbeitgeber versucht hat, seine Kunden abzuziehen, dann ist der Fall klar.

Banken gehören zu jenen Unternehmen, die ihre Informationen besonders gut schützen. Sie verbieten in der Regel den Zugang zu privaten E-Mail-Accounts, die Computer verfügen weder über Diskettenlaufwerke oder CD-Brenner, noch können USB-Sticks benutzt werden.

Es war einer der spektakulärsten Fälle von Datenklau in der jüngeren Geschichte: Roland Lampert, jahrzehntelang treuer Angestellter der Liechtensteinischen Landesbank (LLB) in Vaduz, druckte im Jahr 2000 brisante Informationen zu 2300 reichen deutschen Kunden aus. Die Papierstapel schafft er in seinem Aktenkoffer weg. Jeden Abend, wohl über längere Zeit.

Heute könnte Lampert auf die Kopierarbeit verzichten und die Daten auf einen USB-Speicherstick transferieren. Oder er könnte sie sich über ein privates E-Mail-Konto bequem nach Hause schicken. Geheime Daten des Arbeitgebers zu stehlen, ist einfacher denn je.

Roland Lampert ist kein Einzelfall. Internationale Studien zeigen, dass der Datendiebstahl durch Mitarbeitende öfter vorkommt, als man denkt. In den USA erklärten laut einer Studie 69 Prozent der Mitarbeitenden, schon einmal illegal Daten entwendet zu haben. Bei einer Umfrage in Deutschland gaben 38 Prozent der Firmen an, mindestens einen Fall von Datenklau erlebt zu haben. Eine weitere Studie geht davon aus, dass den Unternehmen weltweit im letzten Jahr ein Schaden von gut 1000 Milliarden Dollar entstanden ist durch Datenklau.

In der Schweiz weiss niemand so genau, wie oft die Mitarbeitenden ihre Arbeitgeber beklauen. Einen Anhaltspunkt gibt eine Studie der ETH Zürich vom August 2006. Damals wurden verschiedene Unternehmen zum Stand der Informationssicherheit befragt. Das Resultat: Nur in jedem zehnten Fall ist ein unehrlicher Mitarbeitender das Sicherheitsleck.

Unternehmen verwedeln

Ähnlich äussern sich die Unternehmen in einer (nicht repräsentativen) Umfrage des TA. Die Mehrheit der angefragten Firmen aus Industrie, Pharma, Finanzwesen und Detailhandel gab an, noch nie von einem internen Datendiebstahl betroffen gewesen zu sein. Allerdings schätzten dieselben Unternehmen die interne Bedrohung für ihre Geschäftsgeheimnisse für grösser ein als die externe.

Kein Widerspruch, sagt Peter Cosandey, der als selbstständiger Berater mögliche Betrugsfälle in Unternehmen untersucht. «Die meisten Firmen sind sich der Gefahr durch die Mitarbeitenden im Grundsatz zwar bewusst, können sich aber nicht vorstellen, dass so etwas in ihrem Unternehmen tatsächlich passiert.» Vielfach entdeckten die Unternehmen den Datendiebstahl gar nicht. Und wenn doch, ist ihr Interesse meist gering, den Fall publik zu machen. «In vielen Fällen versucht man, eine Strafuntersuchung zu vermeiden», sagt Cosandey. Diese Erfahrung hat auch Pascal Lamia gemacht, der die Melde- und Analysestelle Informationssicherung (Melani) des Bundes leitet. «Die Unternehmen haben kein Interesse daran, die öffentliche Aufmerksamkeit auf solche Fälle zu lenken.» Grund: «Sie wollen die Mitarbeitenden nicht zu solchen Taten animieren.»

Dass die Unternehmen die Gefahr eines internen Datendiebstahls unterschätzen, zeigt sich laut Cosandey auch daran, wie schlecht sie ihre Geheimnisse schützen. Nur wenige Firmen blockieren den Zugang zu persönlichen E-Mail-Accounts, sperren den Datentransfer via USB-Stick oder besitzen eine Art Alarmanlage für das Kopieren von Daten. «Ich werde auch immer wieder zu Firmen gerufen, die nicht einmal die Passwörter ihrer Mitarbeitenden vernünftig verwalten», sagt der Experte.

Wie Angestellte zu Tätern werden

Das einfachste Rezept, Missbräuche zu verhindern, sind loyale Mitarbeitende. «Wenn sich die Angestellten mit dem Unternehmen identifizieren, ist die Gefahr sicher geringer», sagt Melani-Chef Lamia. Das glauben im Übrigen auch die Firmen selbst: «Wenn man ein gutes Verhältnis auch zu austretenden Mitarbeitenden pflegt, ist das Risiko eines Datendiebstahls gering», heisst es bei Coop. Das hat auch Cosandey beobachtet: «Der zufriedene, loyale, ausgeglichene Mitarbeitende kommt kaum auf die Idee, seinen Arbeitgeber zu bestehlen.» Wer bei Beförderung oder Lohnrunde übergangen wurde, sich zu Hause oder am Arbeitsplatz mit Problemen quält, entspricht laut dem ehemaligen Zürcher Bezirksanwalt und Forensikspezialisten viel eher dem Täterprofil. «In dem Sinn kann die Rezession solche Missbräuche beeinflussen. Sie sorgt für Unsicherheit», sagt Cosandey. Das könne die Bereitschaft für ein Verbrechen erhöhen.

Darum spricht sich Cosandey auch für eine zweite Form der Prävention aus, die «Betriebshygiene»: «Das Unternehmen muss klar kommunizieren, dass bei einem Betrug hart durchgegriffen wird. Und zwar egal, ob der Lehrling 100 Franken stiehlt oder der Kadermann Geschäftsgeheimnisse für mehrere Millionen verkauft.» Das ist die Strategie des Industriekonzerns Sulzer. Er spricht offen davon, dass es schon mehrere Fälle von Datendiebstahl durch Mitarbeitende gegeben habe. «Sulzer geht dagegen entschieden vor und hat deswegen auch bereits Strafverfahren eingeleitet», sagt Sprecherin Verena Gölkel. Mehr will Sulzer nicht verraten – das könnte Nachahmungstäter animieren. (Tages-Anzeiger)

Wirtschaft