Eine oft verkannte Gefahr für gespeicherte Daten Storage-Datenschutz: Wenn eigene (Ex-)Mitarbeiter zu Tätern werden
Anbieter zum Thema
Wo Daten auf internen Servern oder in der Cloud lagern, ist Schutz eine unumgängliche Notwendigkeit. Zu häufig fokussieren sich dabei jedoch die Bestrebungen nach außen, wo in Wahrheit der Feind oft firmenintern sitzt – und durch die dortige Notwendigkeit zu reduzierten Schutzmaßnahmen oft sehr große Schäden anrichten kann.

Es war der US-General Douglas MacArthur, der eindringlich riet, sich nicht (nur) mit dem Feind von außen zu befassen, sondern auch mit dem von innen. Es gibt viele solcher Zitate. Meist verhallen sie jedoch ungehört oder zumindest ohne Wirkung. Anders lassen sich Fälle wie dieser nicht erklären:
Jason Needham war Anfang der 2010er Angestellter im US-Architektur- und -Ingenieursbüro Allen & Hoshall (A&H). 2013 beschloss er, das Haus zu verlassen und ein eigenes Büro namens HNA zu eröffnen – bis hierhin ein völlig normaler, alltäglicher Vorgang.
Leider ebenso normal und alltäglich, jedoch deutlich weniger bewusst, ist der Vorgang, der dann geschah: Needham entwendete vor seinem Weggang von den Servern seines baldigen Ex-Arbeitgebers zahlreiche Projekte, dazu auch Log-in-Daten. Ein wertvoller Grundstein, um sein Geschäft zu starten. Zudem kehrte Needham über die folgenden zwei Jahre immer wieder auf die Server zurück, entwendete weitere Unterlagen und hatte Einblick in Kalkulationen und E-Mails. Eine Schadenssumme von über einer halben Million US-Dollar.
Aufgedeckt wurde der Fall erst, als ein Drittunternehmen Angebote sowohl von A&H wie HNA erhielt – die sich verdächtig ähnelten. Das Unternehmen informierte, A&H verständige die Behörden, das FBI übernahm, und Jason Needham stand bald vor Gericht. Nur ein umfassendes Geständnis sorgte dafür, dass er lediglich 18 Monate einsaß und Wiedergutmachung von fast 175.000 US-Dollar leisten musste.
Dies ist definitiv nicht der bekannteste Fall eines Innentäters und auch nicht der größte – bei weitem nicht. Tatsache ist, dass viele Firmen sich oft nicht bewusst sind, in welcher Gefahr sie sich befinden. Denn Innentäter können überall auftreten, und ihre Motive sind zahlreich. Doch es gibt auch Möglichkeiten zum Schutz.
The Enemy Within I: Die Arten von Innentätern
Geht es um Außentäter, ist die Sachlage meistens eindeutig: Es geht um Geld und Macht, meist schwingt das Pendel in die eine oder andere Richtung stärker aus. Wer jedoch versucht ist, auch bei Innentätern derartige Maßstäbe anzusetzen, irrt typischerweise. Hier ist die Sachlage verworrener, sind die Tätercharakteristika differenzierter.
Zudem gibt es keine homogene Tätergruppe. Zwar ist eine Majorität aller Innentäter männlich, zwischen 30 und 55 Jahre alt und seit mehreren Jahren im Unternehmen angestellt. Darüber hinaus gibt es jedoch keine Gemeinsamkeiten, die sich kriminologisch verwerten ließen. Lediglich das: Mehr als die Hälfte aller Betrugsfälle in hiesigen Unternehmen, bei denen Datenlecks beteiligt waren, gehen auf das Konto des eigenen Personals.
Anders formuliert, bedeutet das: Vom Hausmeister über den IT-Mitarbeiter bis hinauf zu Managern in höheren Führungsebenen kann praktisch jeder ein Innentäter sein. Dies zeigt auch eine sehr umfassende Studiensammlung des BKA.
Doch was genau ist Innentäterschaft? Beziehungsweise: Welche Antriebe und Beweggründe verbergen sich dahinter? Prinzipiell unterscheidet die Fachwelt hier fünf verschiedene Grundlagen:
- 1. Absicht,
- 2. Vorsatz,
- 3. billigendes Inkaufnehmen,
- 4. grobe Fahrlässigkeit,
- 5. einfache Fahrlässigkeit.
Ausgehend von diesen Vorgehensweisen, ergeben sich mehrere Charakteristika von Innentätern:
Der Umbruchtäter
Dieser Täter zeichnet sich dadurch aus, dass sich bei ihm typischerweise tiefergehende kriminologische Anlagen finden lassen. Er lebt oft in extremem Maß in der Gegenwart, denkt kaum an das Morgen. Dadurch befindet sich sein Leben in einem ständigen Umbruch, ist von Unstetigkeit geprägt; häufig pflegt er zudem einen Lebensstil, der deutlich oberhalb seiner Gehaltsklasse angesiedelt ist, und ist deshalb anfällig dafür, sich mehr Geld zu verschaffen.
Der Unauffällige
Dieser Personenkreis hat eigentlich keinerlei Anlagen, aktiv zum Täter zu werden. Auch sucht er nicht gezielt nach Möglichkeiten. Allerdings wird er dennoch zum Innentäter, weil sich ihm eine Gelegenheit bietet, die er ergreift.
Der Abhängigkeitstäter
Er wird in aller Regel nicht aus pathologischen Gründen zum Täter. Vielmehr unterliegt er einem Abhängigkeitsverhältnis gegenüber einem eigentlichen Haupttäter. Praktisch immer folgt er diesem, um angedrohte persönliche Nachteile zu vermeiden – deutlich seltener, weil er mit Vorteilen geködert wird. Häufig finden sich hierbei auch Charaktere mit einer verzerrten Loyalität, die gegenüber dem Haupttäter deutlich stärker ausgeprägt ist als gegenüber dem Unternehmen – oder Recht und Gesetz.
Der Krisentäter
Dieser Kreis stellt den größten Anteil an allen Innentätern. Diese Personen haben eine bis dato makellose, zumindest aber unauffällige Vita. Dann jedoch tritt ein Ereignis ein, das ihr bisheriges Leben aus der Bahn wirft. Damit einher geht meist, mit den bisherigen Finanzen nicht mehr auszukommen. In der Folge wird die Gelegenheit zur Tat ergriffen oder auch aktiv gesucht, in der Hoffnung, einen Bruch der persönlichen Verhältnisse vermeiden zu können.
Der Ignorante
Diese Person ist kein Täter im eigentlichen Sinn. Zumindest nicht, als dass sie aktiv Gelegenheiten sucht oder wahrnimmt, um sich auf Kosten ihres Arbeitgebers zu bereichern. Typischerweise handelt es sich hierbei um Menschen, bei denen die Tat aus schlichter Vernachlässigung, respektive Ignoranz, heraus entsteht. Beispielsweise eine Person, die es mit der Passwortsicherheit nicht mehr so genau nimmt.
Ferner müssen hier auch noch diejenigen Personen benannt werden, die aus hehren Motiven handeln. Sie stehlen Daten nicht aus egoistischen Beweggründen heraus, sondern um Dritte über echte oder angenommene unlautere Praktiken zu informieren – also Whistleblower.
Doch schon aus einer kriminalistischen Sicht müssen diese Menschen anders bewertet werden, auch was die Strafbarkeit anbelangt. Zwar ändert es nichts daran, dass ihr Tun einem Unternehmen Schaden zufügen kann, oft sogar ganz enormen Schaden. Wohl aber fehlt ein grundsätzlich niederes Tatmotiv. Allerdings sei dabei angemerkt, dass auch bei dieser Personengruppe differenziert werden muss, wie das folgende Kapitel noch näher erläutern wird.
Auszuklammern sind ferner auch solche Innentäter, die in ein Unternehmen eingeschleust wurden. Zwar handelt es sich hierbei auch strenggenommen um Innentäterschaft, jedoch verschwimmen die Grenzen zum Außentäter. Das zentrale Merkmal eines echten Innentäters ist, dass er bis zur Tat ein normaler Mitarbeiter dieser Firma war.
The Enemy Within II: Was die Täter motiviert
Was motiviert jemanden, sein Standing in einem Unternehmen und seine Kenntnisse der dortigen Interna auszunutzen, um sich persönlich zu bereichern oder der Firma Schaden zuzufügen?
Auch hier ist die Antwort nicht so simpel, wie mancher vielleicht glauben mag. Natürlich spielt Geld eine Rolle. Allerdings keine singuläre. Auch ist der Wunsch nach Reichtum nicht immer der wichtigste Faktor. Abermals lassen sich zahlreiche Motivatoren unterscheiden:
Rache
Der Wunsch, tatsächliches oder empfundenes Unrecht eigenmächtig zu sühnen, kann eine der stärksten menschlichen Emotionen und darüber Triebmotor sein, der eine Person Konventionen und Gesetze übertreten lässt.
In diesem Sinne findet sich Rache als häufiges Motiv hinter einer Innentäterschaft:
- Es ist ein Mitarbeiter, der sich übergangen oder geringgeschätzt fühlt – oft über mehrere Jahre.
- Es ist ein Kollege, der Mobbing oder ähnliche Situationen erlebt hat.
- Es ist, natürlich, auch eine Person, die sich zu Unrecht entlassen wähnt.
Dabei sei unterstrichen, dass diese Zurückweisungen nicht unbedingt realer unrechter Natur sein müssen. Je nach charakterlichen Anlagen genügt es bereits, wenn der spätere Innentäter lediglich so empfindet.
Das große Problem an diesen Personen ist, dass sie in Sachen Gefährdungspotenzial eine „besondere Qualität“ darstellen. Ihnen geht es nicht um begrenzte Geldsummen oder persönliche Bereicherung, sondern zuvorderst darum, Schaden zu verursachen, mitunter maximalen Schaden. Der einzige mildernde Umstand ist, dass sich der Groll nicht zwingend gegen die Firma an sich richten muss, sondern oft auch nur gegen Einzelpersonen.
Spaß
„We did it for the lulz“ – wir taten es für den Spaß – ist nicht zuletzt für jene heterogene Gruppe namens Anonymous schon seit vielen Jahren ein völlig ausreichender Grund, um diverse digitale „Aktionen“ durchzuführen. In diesem Sinne kann Spaß auch ein Motiv sein, welches einen Innentäter antreibt:
- Es ist der Azubi, der sich unter Einsatz von Photoshop auf der Firmen-Website auslässt.
- Es ist die Büroassistenz, die ihrer Ansicht nach lustige Firmeninterna auf Facebook verbreitet.
- Es ist der Manager, der peinlich-humoriges Bildmaterial eines Vorgesetzten ins Netz stellt – mitunter auch mit nicht ganz uneigennützigen Hintergrundgedanken über einen Aufstieg.
Was diese Personengruppe aus Sicht der Innentäterbekämpfung vorteilhaft macht, ist, dass sie in aller Regel nur geringe Schäden anrichten und die Aufdeckung häufig leichtmachen.
Ruhm
Der Mensch ist ein Wesen, das bereit ist, für wenig mehr als etwas Metall auf der Brust Risiken einzugehen, die mit höchster Wahrscheinlichkeit in schweren Verletzungen oder gar dem Tod resultieren; allein die Militärgeschichte ist voll von Nachweisen dafür.
Angesichts dessen dürfte es nicht verwundern, dass der Wunsch nach Ruhm und Aufmerksamkeit auch ein starker Antrieb ist, dem eigenen Arbeitgeber Daten zu entwenden.
- Es ist der Wannabe-Whistleblower, der zwar offiziell vermeintliches Unrecht aufdecken will, in Wahrheit jedoch eher im Sinn hat, möglichst oft seinen Namen in der Presse zu vernehmen.
- Es ist der Mitarbeiter, der einer anderen (externen) Person beweisen möchte, welche Fähigkeiten er eigentlich hat – hier spielen mitunter auch amouröse Gefühle eine bedeutende Rolle.
- Es ist der Kollege, der Daten stiehlt, um sich mit ihrer Hilfe in einem anderen Unternehmen einzukaufen – häufig verbunden mit dem Wunsch, dadurch in eine Rang- und Gehaltsklasse aufzusteigen, die seiner Meinung nach besser passt.
In dieser Motivgruppe finden sich auch faktisch alle Whistleblower. Eine Unterscheidung zwischen „gut“ und „schlecht“ ist dabei aus kriminologischer Sicht jedoch äußerst schwierig, da sich der Wunsch nach Ruhm in der Realität oft nicht nachweisen lässt und mitunter dem Täter selbst nicht ganz bewusst ist.
Geld
Natürlich, Geld ist definitiv ebenfalls ein Motivator. Auch ist es zudem einer der häufigsten Gründe, warum ein Innentäter handelt.
- Es ist eine Person, die aus irgendeinem Grund mit ihren Finanzen nicht mehr auskommt. Etwa durch Krankheit oder Süchte.
- Es ist ein Kollege, der der Ansicht ist, für seine Leistung deutlich zu niedrig bezahlt zu werden.
- Es ist ein Mitarbeiter, der aus oberflächlichen Gründen nicht genügend Geld hat, um seinen Lebensstil zu finanzieren.
Strenggenommen müssen neben diesen Hauptmotiven auch Menschen genannt werden, die zwar nicht aktiv zu einer Innentäterschaft angetrieben werden, aber dennoch aus anderen Gründen dazu werden. Etwa Personen, deren Standing oder Unwissenheit ausgenutzt wird – hierbei sei auch auf die große Gefahr von Deep Fakes verwiesen.
Auch fallen Personen hierunter, die beispielsweise „innerlich gekündigt“ haben und denen es deshalb weitgehend gleich ist, was ihrem Arbeitgeber oder den Kollegen widerfährt. Solche Personenkreise spielen auch eine Rolle als Mittäter, weil ein Haupttäter entweder auf ihre Indifferenz oder ihr aktives Ignorieren setzt.
The Enemy Within III: Wie Schutz gegen Innentäter aussehen kann
Um die eigenen Daten auf Servern und in der Cloud gegen externe Angriffe zu schützen, müssen vornehmlich digitale Methoden aufgewendet werden. Bei Innentätern hingegen muss abermals eine differenziertere Vorgehensweise ins Auge gefasst werden. Die Grundlage von allem muss zwar sein, dass das bewährte fünfstufige System der Datensicherheit gepflegt wird, darüber hinaus kommt es gegen Innentäter jedoch auch auf Methoden an, die gar nichts mit Computertechnik zu tun haben.
Zudem muss alles unter der Prämisse betrachtet werden, dass reibungslose Arbeitsabläufe einfach erfordern, dass Personen Zugang zu kritischen Daten haben.
Keine Verdachtskultur betreiben
Die Realität der Innentäter kann definitiv ernüchternd wirken. In einer Firma mit hundert Angestellten und einem Chef können theoretisch und praktisch hundert Personen zum Täter werden; dazu auch alle, die jemals dort gearbeitet haben. Daraus jedoch eine Kultur des kategorischen Misstrauens abzuleiten, wäre grundfalsch.
Zunächst würde dies die Arbeitsabläufe hemmen. Überdies könnte eine Verdachtskultur auch erst dazu führen, dass Stimmungen aufkommen, welche ihrerseits eine Innentäterschaft wahrscheinlicher machen. Nein, der Grundzustand muss volles Vertrauen in Verbindung mit der Unschuldsvermutung bis zum Beweis des Gegenteils sein und bleiben.
Ein harmonisches Betriebsklima mit guten Gehältern pflegen
Menschliche Psychologie ist vergleichsweise simpel: Je besser man über etwas oder jemanden denkt, je besser man sich durch etwas oder jemanden behandelt fühlt, desto unwahrscheinlicher wird es, gegen etwas oder jemanden Aversionen zu entwickeln.
Der Schutz gegen innerbetriebliche Datendiebstähle ist deshalb verblüffend deckungsgleich mit einem generell guten Betriebsklima:
- Arbeit muss anständig entlohnt werden. Ist das nicht auf direkt-monetärem Weg möglich, sollte es Boni oder geldwerte Anreize geben.
- Es muss eine Wertschätzungskultur geben. Gute Arbeit muss erkannt, anerkannt und honoriert werden. Selbst „Dienst nach Vorschrift“ darf nie ohne spürbare Wertschätzung bleiben.
- Das Menschliche muss Raum haben. Personen dürfen keinesfalls nur als Erbringer von Arbeitsleistungen angesehen werden.
- Es muss klare Hierarchien und Verantwortungen geben. Zudem eine Fehlerkultur, bei der Kritik und Abstellung des Fehlers den Endpunkt darstellen.
Hierbei kann zudem nicht genug betont werden, wie wichtig eine sorgsam ausgearbeitete Compliance ist. Alle Mitarbeiter müssen einen gemeinsamen Wertekodex haben.
Ein Vier-Augen-Prinzip etablieren
Wenn eine Person auf Serverdaten Zugriff hat, dann ist das in der ganz überwiegenden Zahl aller Fälle ein berechtigter, für ihre Arbeit notwendiger Vorgang. Doch schon hier zeigt sich der unschätzbare Wert einer Aufzeichnung von Vorgängen: Jeder Log-in und jeder Download müssen klar nachvollziehbar, unbeeinflussbar und für lange Zeit protokolliert werden – mitunter sogar in einem „digitalen Bunker“ in einer Cloud, auf den nur die oberste Führungsriege Zugriff hat.
Aber: Eine Protokollierung kann nur bei Reaktionen unterstützen. Gegen Innentäter ist es jedoch wichtiger, proaktiv zu handeln. Hierzu sollte ein umfassendes Vier-Augen-Prinzip etabliert werden. Also eine Zwei-Faktor-Authentifikation.
Als angenehmer Nebeneffekt schützt dies auch davor, dass Mitarbeiter unabsichtlich zu Innentätern werden, weil man sie ausnutzt (abermals sei hier auf Deep Fakes verwiesen).
Neubewerber sorgsam durchleuchten
Im Angesicht der Möglichkeiten der digitalen Ära ist die Sorgfalt, die viele Mitarbeiter bei der Neuanstellung walten lassen, oft reichlich altmodisch. Zumindest was das Ausfiltern potenzieller Risikokandidaten anbelangt.
Zugegeben, der gesetzliche Datenschutz macht es nicht eben einfach. Dies beginnt bei den vielen Fragen, die man Bewerbern nicht stellen darf, und endet bei der DSGVO noch lange nicht.
Aber: Mit der schriftlichen Einwilligung eines Bewerbers ist es durchaus möglich, ihn gründlicher zu durchleuchten oder von Dienstleistern durchleuchten zu lassen. Dies gilt besonders für das finanzielle Standing, Miteigentumsverhältnisse und auch strafrechtliche Hintergründe.
Zwar ist es nicht nötig, dies alles bei jedem Bewerber durchzuführen. Jedoch sollten Finalkandidaten, die alle Auswahlverfahren absolviert haben, überprüft werden – ganz besonders, wenn es um kritische Positionen geht. Überdies sollten Firmen auch von der Möglichkeit Gebrauch machen, arbeitsvertraglich sehr abschreckende Konventionalstrafen zu vereinbaren.
Vermeiden inhärent unsicherer Datenwege
Der ehemalige Arbeitgeber von Jason Needham wähnte sich in Sicherheit, weil er bei dessen Ausscheiden die Passwörter für den Server geändert hatte – eigentlich also ein richtiges Vorgehen. Dass Needham dennoch weiterhin Zugriff hatte, lag daran, dass er Einsicht in das E-Mail-Konto eines Ex-Kollegen hatte.
Hier ist es eine große Gefahr, dass viele Unternehmen nach wie vor äußerst kritische Daten über Medien leiten, die dafür nicht die ausreichende Sicherheit bieten. Dabei gibt es bessere Alternativen:
- mündlich in Person oder am Telefon,
- über eine Peer-to-Peer-Verbindung,
- über Links, die in vom Internet abgetrennten Inhouse-Netzwerken versendet werden,
- ohne Übertragung, beispielsweise indem Zugänge durch Berechtigte für andere Angestellte eingegeben werden, ohne dass diese Einblicke erhalten.
Nur auf solchen Wegen sollten Server-Passwörter oder Log-in-Daten übertragen werden. Ganz besonders die E-Mail ist kein adäquater Ersatz.
Auch muss unbedingt das Need-to-know-Prinzip auf allen Ebenen angewendet werden. Mitarbeiter sollten nur Zugriff auf diejenigen Daten haben, die sie für ihre tägliche Arbeit unbedingt benötigen. Sollte es Ausnahmen geben (etwa bei Krankheits- oder Urlaubsvertretungen), dann ist unbedingt sicherzustellen, dass diese Rechte nur zeitweilig erteilt werden.
Langwieriges Off-Boarding mit deutlichem Datenschutzfokus betreiben
In vielen Häusern ist der letzte Arbeitstag eines Mitarbeiters auch erst derjenige, an dem er datenschutztechnisch entlassen wird. Just das ist jedoch falsch. Denn sowohl freiwillig ausscheidende wie erst recht gekündigte Mitarbeiter können schon ab dem Tag der Kündigung schwere Schäden anrichten oder den Grundstein dazu legen.
Das heißt, der Moment, in dem ein Mitarbeiter offiziell kündigt beziehungsweise gekündigt wird, ist gleichsam auch der Moment, in dem sein Off-Boarding beginnen sollte:
- Entzug aller Rechte und Log-ins, nötigenfalls Ersatz durch Gast-Accounts.
- Verstärktes Monitoring aller Aktivitäten für die gesamte verbleibende Arbeitszeit.
- Ändern aller Passwörter, von denen der Mitarbeiter weiß oder auch bloß wissen könnte.
- Einzug aller Firmengeräte sowie nachweisbares Löschen aller relevanten Daten und Zugänge auf Privatgeräten (hierbei zeigt sich auch, warum Unternehmen gut daran tun, keine Bring-your-own-device-Politik einzuführen).
Das Ziel muss sein, den Mitarbeiter am Tag seines Ausscheidens von allen datenschutzrechtlich relevanten Kenntnissen getrennt zu haben, als sei er ein Externer. Zwar verbleiben noch die Interna in seinem Kopf, jedoch hat er wenigstens keine realistische Möglichkeit mehr, auf digitale Weise zum Innentäter zu werden – und darauf kommt es letztlich an.
(ID:47539508)