25 Prozent der Mitarbeiter würden für eine Reise in die Karibik Unternehmenspatente und Kreditkarteninformationen verkaufen

Ein globaler Cyber Security-Anbieter [1] hat 4.000 Angestellte in Deutschland, Großbritannien, USA und Australien befragt:

  • Ein Drittel der Mitarbeiter würde vertrauliche Unternehmensinformationen verkaufen, wenn der Preis stimmt.
  • 25 Prozent der Befragten wären bereit, Unternehmensdaten für 7.000 Euro zu verkaufen und damit in Kauf zu nehmen, ihren Arbeitsplatz oder juristische Verfolgung zu riskieren.
  • 3 Prozent wären sogar schon für 150 Euro bereit, Unternehmensinterna weiterzugeben.
  • 18 Prozent würden bei einem Betrag von 1.500 Euro schwach werden.
  • Steigt die angebotene Summe weiter bis auf 70.000 Euro, würden sich sogar 35 Prozent der Befragten auf einen solchen Deal einlassen.

Für Kriminelle, Mitbewerber und andere haben Internas anderer Unternehmen einen beträchtlichen Wert. Die Bestechung von Mitarbeitern kann demnach ein sehr einfacher Weg sein, immer komplexere Sicherheitssysteme zu umgehen und so in den Besitz von Unternehmensinformationen, Patenten oder Kundendaten zu gelangen. Mitbewerber erhalten dadurch entscheidende Vorteile, beispielsweise bei der Entwicklung neuer Produkte oder aber der Verhandlung komplexer Verträge. Kriminelle verfolgen eher die Zielsetzung des Diebstahls von Geldern oder aber des Weiterverkaufs der Informationen an Dritte.

Heath Davies, Chief Executive Officer bei Clearswift, sagt: »Generell nehmen Mitarbeiter das Thema Sicherheit sehr ernst. 65 Prozent gaben in unserer Befragung an, dass sie zu keinem Preis käuflich wären. Dennoch gibt es eine nicht zu unterschätzende Anzahl, die bereit wäre, vom Verkauf von Unternehmensinterna schon für kleine Summen finanziell zu profitieren, obwohl genau diese Informationen für Unternehmen Millionen Euro wert sein können und erhebliche Unternehmensrisiken bedeuten können, sollten sie in unberechtigte Hände gelangen.«

illu clearswift dlpAuswirkungen eines Datenverlusts

»Wie wertvoll Daten mittlerweile sind, zeigt das jüngste Beispiel der gehackten Seitensprung-Website Ashley Madison. Dem CEO des Unternehmens zufolge hat ein ehemaliger Mitarbeiter Kundendaten entwendet. Die Auswirkungen sind dramatisch: der geplante Börsengang in London, mit dem das Unternehmen 130 Millionen Britische Pfund einsammeln wollte, könnte gefährdet sein. Der gesamtheitliche Unternehmenswert würde sich damit drastisch verringern. Der Angriff hat außerdem bereits Auswirkungen auf die Schwesterseiten Cougar Life und Established Men. Deshalb ist es so wichtig, dass Unternehmen sich des Risikos und der Auswirkungen eines Datenverlusts bewusst sind sowie entsprechend intervenieren.«

Leichter Zugriff auf interne Daten

Das Risiko, dass sensible Informationen nach außen gelangen, ist deshalb so hoch, weil die meisten Mitarbeiter auf interne Daten Zugriff haben und damit gar nicht erst gegen Sicherheitsvorkehrungen verstoßen. Wie erschreckend einfach es ist, verdeutlichen die Ergebnisse: 61 Prozent der Befragten gaben an, dass sie auf private Kundendaten Zugriff haben. 51 Prozent haben Zugang zu Finanzdaten wie Unternehmenskonten oder aktienrelevante Inhalte, 49 Prozent auf sensible Produktinformationen wie geplante Produkteinführungen oder Patente.

Die Einstellung zum Thema Datensicherheit ist gespalten: 29 Prozent gaben an, dass Unternehmensdaten in ihrem Verantwortungsbereich liegen, 22 Prozent fühlten sich für deren Sicherheit keinesfalls verantwortlich.

Konsequenzen eines Sicherheitsverstoßes

Eine weitere Befragung von Clearswift bei 504 IT-Sicherheits-Spezialisten ergab, dass 62 Prozent davon ausgehen, dass sich viele Mitarbeiter nicht genügend Gedanken über die möglichen Konsequenzen eines Sicherheitsverstoßes machen und damit auch ihr Verhalten nicht ändern. Denn die Weitergabe von sensiblen Unternehmensdaten ist kein Kavalierdelikt.

Davies kommentiert: »Für die Unternehmenskultur ist es natürlich nicht förderlich, Angst vor einem Fehlverhalten von Mitarbeitern zu haben. Vor allem, weil das Gros absolut vertrauenswürdig ist. Die richtige Balance zu finden, ist der ausschlaggebende Punkt. Ein Unternehmen muss verstehen, wo es neuralgische Stellen geben kann und auf Technologien setzen, die sich an verschiedene Bedrohungen anpassen kann.

Unternehmen müssen im Blick haben, wo sensible Informationen gespeichert werden und entsprechende Vorkehrungen treffen, dass sie das Unternehmensnetzwerk nicht verlassen können. In vielen Unternehmen ist das bereits der Fall. Allerdings gibt es auch viele, gerade auch große Unternehmen, die ihre wertvollen Daten nicht ausreichend schützen.«

[1] Die Daten stammen aus einer Untersuchung des Forschungsunternehmens Loudhouse im Auftrag von Clearswift. Mehr als 500 IT-Entscheidungsträger und 4000 Mitarbeiter wurden befragt. Der vollständige Report ist auf Anfrage verfügbar.