Die Hälfte aller Mitarbeiter, die in den letzten zwölf Monaten ihren Arbeitsplatz gewechselt oder ihre Stelle verloren haben, hat vertrauliche Unternehmensdaten behalten, so das Ergebnis einer weltweiten Studie von Symantec.
Im Auftrag des Softwareherstellers hat The Ponemon Institute im Oktober 2012 über 3.300 Personen in den USA, Großbritannien, Frankreich, Brasilien, China und Korea zum Umgang mit Daten ihres Arbeitgebers befragt.
Demnach haben 40 Prozent Mitarbeiter vor, die einmal "eingesammelte" Daten auch bei ihrem neuen Arbeitgeber zu nutzen. Das führt laut Symantec deutlich vor Augen, dass der tägliche Umgang mit Betriebsinformationen und die vorherrschende Meinung zu geistigem Eigentum den Richtlinien in Unternehmen widersprechen.
Viele Angestellte gehen davon aus, dass es in Ordnung ist, geistiges Eigentum weiter zu verwenden, wenn sie das Unternehmen wechseln. Außerdem glauben sie, ihre Arbeitgeber würden sich dafür nicht interessieren. Nur 47 Prozent gaben an, ihre Firmen würden aktiv, wenn ein Mitarbeiter sensible Unternehmensdaten missbräuchlich verwendet. 68 Prozent gaben an, ihre Betriebe unternähmen auch nichts dagegen, dass vertrauliche wettbewerbsrelevante Informationen von Dritten durch eigene Angestellte genutzt werden. Das Fazit der Symantec-Studie: Firmen verstehen es nicht, eine Kultur des verantwortlichen Umgangs mit geistigem Eigentum unter ihren Mitarbeitern zu etablieren.
Vielen Mitarbeiter kopieren Unternehmensdaten auch außerhalb des Firmennetzwerks und löschen sie nicht mehr. 62 Prozent der von Symantec Befragten fanden es in Ordnung, Arbeitsdokumente auf privaten Computern, Smartphones, Tablets oder online auf Filesharing-Anwendungen abzulegen. Die Mehrheit löscht diese Daten nie, da sie keine Gefahr darin sieht, sie zu behalten.
Die meisten Angestellten halten es nicht für falsch, Wettbewerberdaten von einem früheren Arbeitgeber weiter zu nutzen. 56 Prozent denken sogar, es ist legal, die geheimen Informationen eines Mitbewerbers zu nutzen. Durch diese Fehleinschätzung sind ihre aktuellen Arbeitgeber in Gefahr, unwissentlich Empfänger gestohlenen geistigen Eigentums zu werden.
Zahlreiche Mitarbeiter schreiben geistiges Eigentum nicht der Firma zu, sondern der Person, die es geschaffen hat. Für 44 Prozent hat beispielsweise ein Software-Entwickler, der Quellcode schreibt, Anteil am Eigentum seiner Arbeit oder Erfindung. Für 42 Prozent ist es auch kein Verbrechen, diesen Quellcode ohne Erlaubnis in Projekten für andere Unternehmen einzusetzen.
Firmen schaffen es nicht, ein Sicherheitsbewusstsein zu etablieren. Nur 38 Prozent der befragten Angestellten sagen, dass für ihre Vorgesetzten Datenschutz von Bedeutung für das Geschäft sei. Auch geht gut die Hälfte der Befragten davon aus, es sei in Ordnung Unternehmensdaten mitzunehmen, weil ihre Arbeitgeber Regeln nicht strikt durchsetzen.
Weiterbildung von Mitarbeiterm
Aufgrund dieser erschreckenden Ergebnisse der eigenen Studie, rät Symantec Unternehmen, es ihren Mitarbeitern klar zu machen, dass es falsch ist, vertrauliche Informationen zu entwenden. Das Bewusstsein dafür zu schaffen, sollte Kernbestandteil von Sicherheitstrainings der IT-Security-Dientleister sein,
Vertraulichkeitsvereinbarungen (Non-Disclosure Agreements, NDA) durchsetzen
Bei fast der Hälfte aller Datendiebstähle durch Insider hatte das Unternehmen einen Vereinbarung für geistiges Eigentum mit dem Mitarbeiter. Doch die bloße Existenz von Regeln ist sinnlos, wenn Mitarbeiter sie nicht verstehen und sie nicht umgesetzt werden. Formulierungen von Vereinbarungen mit Mitarbeitern müssen konkreter sein. Zudem sollte in Abschlussgesprächen bei Arbeitsplatzwechseln auf die weiter bestehende Verantwortung für den Schutz und die Rückgabe vertraulicher Informationen hingewiesen werden. Angestellte müssen verstehen, dass Regelverstöße geahndet werden und dass Datendiebstahl für sie und ihren neuen Arbeitgeber negative Folgen haben kann.
Kontrolltechnologie
Zu den Datenschutzregeln gehört auch eine Lösung, mittels derer kontrolliert werden kann, wer unerlaubt auf geistiges Eigentum zugreift und es nutzt. Sie sollte Mitarbeiter automatisch informieren, wenn eine Regelverletzung auftritt und so das Sicherheitsbewusstsein schärfen und Informationsdiebstahl verhindern.
Foto: Symantec
"Unternehmen dürfen ihre Abwehrmechanismen nicht ausschließlich auf externe Angreifer und arglistige Insider auslegen, die gestohlene Daten gegen Geld verkaufen. Der Mitarbeiter, der Informationen ohne nachzudenken mitnimmt, weil er nicht weiß, dass es falsch ist, kann genauso gefährlich sein", erklärt Thomas Hemker, Sicherheitsexperte bei Symantec. "Training allein in diesem Bereich wird das Problem aber nicht lösen. Firmen benötigen DLP-Lösungen (Data Loss Prevention), damit sie die Nutzung und Weitergabe ihrer Daten überwachen und ihre Mitarbeiter auf gefährliches Verhalten hinweisen könne. Geistiges Eigentum muss geschützt werden, bevor es das Unternehmen verlässt", postuliert der Symantec-Manager. (rw)