Zürich- Der Datenklau durch eigene Mitarbeiter sollte nicht unterschätzt werden. Die Mehrheit der Unternehmen regelt zwar den Umgang mit Internet und E-Mail am Arbeitsplatz. Doch gehen sie häufig zu nachlässig mit den Themen Compliance, IT-Sicherheit und Datenmissbrauch durch die eigenen Mitarbeiter um. Wie eine Studie des Softwareuntertnehmens Kroll Ontrack und der Anwaltskanzlei CMS Hasche Sigle zeigt, kontrollieren mehr als 75 Prozent der Unternehmen nicht regelmässig, ob diese Regeln auch eingehalten werden.
Zu wenig Überwachung
Compliance-Programme, die zur Überwachung von gesetzlichen Vorschriften und betrieblichen Richtlinien dienen, gibt es demnach in etwa der Hälfte der Unternehmen, 52 Prozent der befragten Unternehmen haben bisher noch keine Compliance-Programme etabliert. Obwohl die Studie für den deutschen Markt erstellt wurde, könne man, wie Erfahrungen von Kroll Ontrack zeigen, davon ausgehen, dass in der Schweiz vergleichbare Verhältnisse herrschen.
«Die Gefahr, Opfer von Computerkriminalität zu werden, ist für Unternehmen durchaus real», so Reinhold Kern, Director Computer Forensics bei Kroll Ontrack. « Oft entwenden, sabotieren oder manipulieren Täter aus den eigenen Reihen die Daten. Unsere Studie zeigt, dass Unternehmen sich gegen Fehlverhalten ihrer Mitarbeiter noch stärker absichern müssen.»
Regelmässige Kontrolle nötig
Laut der Befragung haben zwar 87 Prozent der Unternehmen Regelungen zum Umgang mit Internet und E-Mail aufgestellt, 88 Prozent blockieren bestimmte Websites, beispielsweise Erotikseiten. Bemerkenswerterweise kontrolliert die grosse Mehrheit der Unternehmen (77 Prozent) aber nicht, ob die aufgestellten Regeln auch wirklich eingehalten werden.
Ohne Kontrollen bleiben Richtlinien allerdings ein stumpfes Instrument. Viele Unternehmen dulden private Internetnutzung. Wenn Mitarbeiter aber übermässig viel privat surfen oder vertrauliche Informationen nach aussen tragen, geben nur regelmässig kontrollierte (Betriebs-)Vereinbarungen eine Handhabe, um dagegen vorzugehen.
Erhebliche Risiken
Erheblichen Nachholbedarf zeigt die Studie auch im Bereich Compliance auf: Etwa die Hälfte der befragten Unternehmen (48 Prozent) hat kein Compliance-Programm für Vertrieb und Wettbewerb oder HR. Dem entsprechend gibt es auch nur in 46 Prozent der Unternehmen einen Compliance-Beauftragten, der ein solches Programm überwacht.
Damit setzen sich die Unternehmen erheblichen Risiken aus: Denn Compliance-Programme sollen gewährleisten, dass sich ein Unternehmen gesetzeskonform verhält, also zum Beispiel Vorschriften zu Arbeitsschutz und Datenschutz einhält. Bei einem Verstoss drohen dem Unternehmen hohe Geldstrafen, teilweise haften auch die Verantwortlichen persönlich. Mit einem Compliance-Programm können sich Unternehmen hiergegen absichern.
Ohne Notfallplan
Für den Fall, dass Mitarbeiter sich tatsächlich illegal verhalten, sind die befragten Unternehmen ebenfalls schlecht vorbereitet: Eine «Whistleblowing-Hotline», also eine Instanz, über die Mitarbeiter Fehlverhalten melden können (auch anonym), gibt es nur in 37 Prozent der Unternehmen. Einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen hat weniger als die Hälfte der Unternehmen eingerichtet, nämlich nur 44 Prozent.
Mehr Massnahmen gegen Datenmissbrauch
Zusammenfassend stellt die Studie erhebliche Lücken beim Schutz vor Datenmissbrauch fest. Unternehmen unterschätzen die Risiken aus der privaten Internetnutzung, der Möglichkeit zum Datendiebstahl oder dem einfachen Zugriff der Mitarbeiter auf Unternehmensnetzwerke.
Um das Unternehmen effektiv gegen diese Risiken zu schützen, sollten Unternehmen eine Reihe von Massnahmen ergreifen. An erster Stelle stehen lau Studie dabei Richtlinien und Betriebsvereinbarungen für Internetnutzung und den Umgang mit sensiblen Daten - und deren regelmässige Kontrolle. Zudem sollten sich Unternehmen auch mit Compliance stärker auseinandersetzen. Ein Compliance-Programm müsse dabei jeweils auf die sensiblen Bereiche des Unternehmens zugeschnitten sein. Die genaue Kenntnis der technischen und juristischen Voraussetzungen helfe Unternehmen bei der Umsetzung effektiver Massnahmen.
