35638

Sicherheit vor der Gefahr von innen

24.08.2009 | 10:01 Uhr |

Nach außen hin sind die meisten Unternehmen vor Betriebsspionage geschützt. Doch an Spione in den eigenen Reihen denken die wenigsten Firmenchefs. Dabei ist es relativ einfach, Maßnahmen dagegen zu ergreifen.

Fast ein Fünftel der deutschen Unternehmen hatten in der Vergangenheit wirtschaftliche Schäden durch Spionage zu beklagen. Zu diesem Ergebnis kommt eine Studie der Firma Corporate Trust aus München. Der entstandene Schaden für die deutsche Wirtschaft geht dabei in die Milliarden. Der Fokus liegt bei der Spionageabwehr in Unternehmen hauptsächlich auf Hackerangriffe von außen.

Doch was, wenn ein Maulwurf in der eigenen Firma sitzt? Der so genannte "Informationsabfluss" durch eigene Mitarbeiter, wie es im Fachjargon heißt, liegt bei über 20 Prozent der geschädigten Firmen. Meist werden technische Innovationen oder das Know-how von Produktionsabläufen weiter gegeben. Doch auch Kundendaten werden von Mitarbeitern gerne mitgenommen, wenn sie etwa den Job wechseln wollen.

Nicht alles unter Verschluss

Doch was kann man gegen Spionage im Inneren tun? Firewalls nutzen nur für die Sicherheit nach außen. Und das Wegschließen von sensiblen Daten nützt auch nur begrenzt. Schließlich sollen die Mitarbeiter ja effektiv arbeiten können. Christian Schaaf, Geschäftsführer von Corporate Trust , rät zur Sensibilisierung der Mitarbeiter. "Häufig wird nach einem Informationsabfluss durch interne Täter festgestellt, dass es vereinzelt kleine Hinweise gab. Diese kleinen Puzzlestücke wurden aber nirgends zusammen geführt, weil die Mitarbeiter zu dem Thema gar nicht sensibilisiert waren. Ihnen war nicht bewusst, dass speziell dieser Hinweis wichtig sein könnte", erklärt Schaaf.

IT-Vwerantwortliche sollten sich erst einmal den Status quo anschauen. "Anhand einer Risikomatrix für das Unternehmen sollte definiert werden, welche Bereiche überhaupt sensibel sind", sagt Schaaf. Meist seien das nur zehn bis 15 Prozent aller Informationen des Unternehmens, die so genannten Kronjuwelen. Gibt es bereits Sicherheitsstrategien, kann man unter Umständen darauf aufbauen. Ist noch keine Strategie im Unternehmen vorhanden, sollte man schnell reagieren. Es sollte eine Risiko- und Schwachstellenanalyse für diese sensiblen Bereiche geben, welche "Lecks" es gibt und wie hoch die Anfälligkeit ist. Christian Schaaf: "Das Endergebnis sollten klare Empfehlungen zur Beseitigung der Schwachstellen und damit eine Risikominimierung sein."

Welche Daten für welchen Mitarbeiter?

Je sensibler der Bereich, umso "vertrauenswürdiger" sollte der Mitarbeiter sein. "Unternehmen sollten gewisse Einstufungen vornehmen, wer an höchst vertrauliche Informationen kommen kann und darf", sagt Schaaf. Was ein wenig nach Geheimdienst klingt, kann im Alltag sehr nützlich sein und in manchen Fällen sogar ein Unternehmen vor dem Ruin bewahren. Der Sicherheitsexperte rät, die Abstufung der Informationen und Dokumente von "offen" über "vertraulich" bis zu "streng vertraulich" oder auch "geheim" einzustufen, je nachdem in welchem Bereich ein Unternehmen tätig ist.

Christian Schaaf rät auf jeden Fall, Bewerber zu überprüfen: "Ausschlaggebend für die Intensität der Überprüfung sollte die Vertraulichkeit der zu besetzenden Position sein. Die Maßnahmen können dabei von der Überprüfung der vorgelegten Zeugnisse auf Echtheit, über Anrufe bei früheren Arbeitgebern bis hin zu Schufa-Auskunft, polizeilichem Führungszeugnis oder einem Background-Check durch Sicherheitsspezialisten reichen." Das gelte auch für Mitarbeiter, die schon länger im Unternehmen tätig sind und auf eine sensible Position versetzt werden sollen.

Überprüft werden sollte aber auch externes Personal. So üben etwa Reinigungskräfte ihre Tätigkeit nach Büroschluss aus und sind damit "ohne Aufsicht". "Hier sollte man schon genau wissen, wer unter Umständen freien Zugriff auf herumliegende Dokumente hat oder sich Zutritt in sensible Bereiche verschaffen kann", sagt Schaaf.

0 Kommentare zu diesem Artikel
35638