foto cc0

Wir hören immer wieder, dass die größte Gefahr für den Missbrauch von Unternehmensdaten von den Mitarbeitern selbst ausgehen. In der englischsprachigen Literatur spricht man in diesem Zusammenhang immer wieder vom »disgruntled employee«, also dem unzufriedenen Mitarbeiter, der ganze Aktenschränke voll von Firmengeheimnissen auf seinem digitalen Datenträger nach Hause trägt.

Wie verträgt sich dieses Misstrauen mit dem Zeitalter von Mobility und dem Versprechen »any time, any place, any task, any device«, also der Fähigkeit, mit dem Gerät der Wahl ortsunabhängig und auftragsbezogen arbeiten zu können? Ist nicht im Gegenteil, die Anzahl der »disgruntled employees« durch die flexiblen Möglichkeiten eher abnehmend und damit das Risiko insgesamt geringer?

Natürlich müssen Firmen im digitalen Zeitalter nicht nur ihre, sondern auch die Daten ihrer Geschäftspartner und Kunden schützen. Doch die technischen Möglichkeiten, über Mobility einen identifizierten »disgruntled employee« oder einen ausscheidenden Mitarbeiter daran zu hindern, Firmeninformationen zu entwenden, sind heute auch größer denn je. Wer einen Prozess für Arbeitnehmer, die das Unternehmen verlassen und deren Zugriff auf mobile Endgeräte oder Informationen implementiert hat, kann diese Bedrohung auf Knopfdruck beenden.

Schwieriger wird es an anderer Stelle. Neben dem »disgruntled employee« gibt es den »careless employee« – also den Arbeitnehmer, der sich nicht ernsthaft mit den Policies in seinem Unternehmen auseinandersetzt. Das kann, wie in der folgenden Situation beschrieben, sehr ernste Konsequenzen haben.

Interne Schwachstellen vermeiden

Angriffe von außen sind nur dann erfolgreich, wenn es Schachstellen beim Angegriffenen gibt. Viren und Würmer müssen eine solche Schwachstelle in der Software oder Hardware finden, um einen Schaden anrichten zu können. Sicherheitslücken müssen identifiziert und gepatched werden. Geschwindigkeit ist dabei kritisch, um Schäden abzuwenden. Hier gibt es zwei limitierende Faktoren:

1. Der Hersteller selbst muss die Lücke erkennen und dementsprechend reagieren. Das läuft nicht immer reibungslos, wie das Beispiel von Android Stagefright gezeigt hat. Eine Sicherheitslücke wurde drei Monate nach Bekanntwerden gepatched. Weitere drei Monate später trat eine zweite Schwachstelle zu Tage.
2. Die Arbeitnehmer müssen ihre beruflichen Endgeräte auf dem neusten Stand halten. Das heißt eigentlich nur, dass sie sich um die aktuelle Firmware kümmern müssen. Alles weitere kann zentral über Mobile Device Management auf die Geräte gebracht werden. Doch sie müssen aktiviert und im System eingebettet sein. Hier zeigt sich oft in der Realität, dass die letzten 10 Prozent der »careless employees« mit viel Zeit und Aufwand mitgenommen werden müssen. Laut dem CSO eines namenhaften DAX-Konzerns ist das die allergrößte Sicherheitslücke im Unternehmen, die durch Mobility entsteht.

Ausscheidende Mitarbeiter daran zu hindern, Informationen mitzunehmen, ist Aufgabe von Human Resources und IT. Unbekümmerte Mitarbeiter mitzunehmen, zu motivieren und zu animieren, eine schnelle Umsetzung eines Upgrades zu ermöglichen, ist Aufgabe des Managements. Diese Herausforderung kann der beste CIO der Welt nicht alleine lösen.

Dr. Henning Dransfeld, Experton Group