Neuer Mitarbeiter, der seinem Chef mit schlechten Absichten die Hand schüttelt. Datendiebstahl durch Mitarbeiter.

Verschlüsselungstrojaner, Phishing Mails und der Hacker im schwarzen Kapuzenpulli: Das sind die typischen Feindbilder der IT-Security-Beauftragten. Was Vielen nicht klar ist: Laut dem deutschen Bundesamt für Verfassungsschutz geben 63 % aller von Datenklau betroffenen Unternehmen an, dass die sensiblen Informationen nicht etwa durch externe Angriffe, sondern von ehemaligen oder bestehenden Mitarbeitern entwendet wurden.

Aber warum ist es für Mitarbeiter eigentlich so leicht, sensible Daten zu stehlen? Wir schauen uns an, in welchem Rahmen Datenklau durch Mitarbeiter strafbar ist, wie er sich nachweisen lässt, und was Unternehmen tun können, um sich vor Datendiebstahl durch Mitarbeiter zu schützen.

Inhalte (verbergen)

Datendiebstahl durch Mitarbeiter

Statistisch gesehen wird jedes fünfte Unternehmen Opfer von internem Datenklau. In vielen Fällen bedeutet das aber gar nicht den groß angelegten und lange geplanten Diebstahl von sensiblen Informationen oder Firmengeheimnissen, über den dann in den Medien zu lesen ist. Datendiebstahl durch Mitarbeiter geschieht viel öfter in einer Form, die extrem unauffällig und daher auch nur sehr schwer nachzuweisen ist. Und in vielen Fällen ist den Mitarbeitern noch nicht einmal bewusst, dass sie etwas Unrechtes tun.

Wenn ehemalige Mitarbeiter Daten mitnehmen

Datenklau im Inneren betrifft in den meisten Fällen Datenbanken mit Kundenkontakten, Schulungsmaterialien, Präsentationsunterlagen oder strategische Papiere. In den meisten Fällen werden diese kopiert und/oder heruntergeladen, wenn ein Angestellter das Unternehmen verlässt. Viele Arbeitnehmer glauben, dass Strategien oder Konzepte, die sie selbst entwickelt haben, ihnen auch nach dem Ausscheiden aus dem Unternehmen noch zustehen.

Aber das ist ein Irrtum, da diese Erzeugnisse nach dem Urheberrechtsgesetz grundsätzlich Eigentum des Unternehmens sind.


Besonders knifflig wird es, wenn ein Mitarbeiter die Firma verlässt, um zur Konkurrenz zu wechseln. So kann sich beispielsweise ein Sales Mitarbeiter beim neuen Arbeitgeber beliebt machen, indem er Kundenkontakte vom vorherigen Arbeitgeber mitbringt. Ein solcher Datendiebstahl kann dem Ursprungsunternehmen einen empfindlichen wirtschaftlichen Schaden zufügen.

Datendiebstahl im Arbeitsrecht

Datendiebstahl ist kein Kavaliersdelikt und wird im Strafrecht auch entsprechend geahndet. Falls Sie den Datendiebstahl nachweisen können, stehen Ihnen zivil- und strafrechtliche Möglichkeiten offen. Bei einem aufrechten Dienstverhältnis können Sie Ihren Mitarbeiter abmahnen oder in besonders schweren Fällen sogar ordentlich oder außerordentlich kündigen.

Im Rahmen einer einstweiligen Verfügung können Sie Unterlassungs- und Herausgabeansprüche geltend machen. Auch Schadensersatzforderungen sind möglich. Genaueres über Ihre rechtlichen Möglichkeiten bei internem Datendiebstahl erfahren Sie hier.

Ist Datendiebstahl durch Mitarbeiter strafbar?

Die Strafbarkeit von internem Datenklau ist durch den Paragraphen § 202a Strafgesetzbuch (StGB) geregelt. Dieser bezieht sich auf die unberechtigte Beschaffung von elektronisch oder magnetisch gespeicherten Daten.

Entscheidend ist, dass der Straftatbestand erst dann erfüllt ist, wenn die Daten gegen unbefugten Zugriff geschützt sind, und der Täter sich ihrer trotzdem bemächtigt. Daraus folgt, dass nach dem Strafgesetz nicht grundsätzlich jeder unbefugte Zugriff auf einen Rechner strafbar ist. Selbst, wenn die Daten nicht für die Augen des Mitarbeiters bestimmt waren: Sind sie nicht gegen unautorisierte Zugriffe geschützt, hat der Arbeitgeber keine rechtlichen Mittel.

Viele Firmen scheuen sich, Datendiebstahl durch Mitarbeiter als reale Gefahr zu sehen.

Was ist Datendiebstahl durch Mitarbeiter? Beispiele

Ein Mitarbeiter verstößt gegen das deutsche Arbeitsrecht, wenn er z.B. Daten kopiert oder weiterleitet. Das können empfindliche Informationen wie Kundendaten, Produktinformationen oder Strategiepläne sein. Er verstößt jedoch auch gegen das Gesetz, wenn er weniger wertvolle Daten wie z.B. Präsentationsunterlagen, Checklisten oder Ähnliches entwendet.

Gegen Datendiebstahl schützen – geht das?

Wenn in einem Unternehmen Daten entwendet, weitergeleitet oder kopiert werden, bedeutet das immer eine Sicherheitslücke. Handelt es sich bei den Daten um Kundeninformationen oder andere sensible Informationen, kann das Delikt unter Umständen großen wirtschaftlichen Schaden anrichten.

Aber auch die Entwendung weniger brisanter Unterlagen (z.B. Präsentationen, Schulungsunterlagen oder Arbeitspläne) kann das Unternehmen schädigen und der Konkurrenz einen Wettbewerbsvorteil verschaffen. Der Datenschutz IM Unternehmen sollte daher auf zwei Ebenen ansetzen:

  1. Der Zugang zu Daten aller Art darf nur jenen Mitarbeitern möglich sein, die diese Daten tatsächlich für ihre Arbeit benötigen.
  2. Es muss zu jeder Zeit nachvollzogen werden können, welcher Mitarbeiter auf welche Daten zugreifen kann (und vor allem: zugegriffen hat).

Datenschutz durch Berechtigungsmanagement

In vielen Fällen wird der Datenmissbrauch bzw. Datendiebstahl nur dadurch ermöglicht, dass ein Mitarbeiter Zugriffsrechte hat, die er gar nicht haben sollte. Das ist ein Problem, das viele Unternehmen haben, und das häufig durch den sogenannten Referenz-User entsteht: Für neue Mitarbeiter wird einfach ein bestehendes User-Profil (z.B. eines Mitarbeiters aus der gleichen Abteilung) kopiert. Inklusive der überflüssigen Rechte, die dieser Mitarbeiter schon hat.

In den kommenden Jahren kommen weitere Berechtigungen hinzu (z.B. durch Abteilungswechsel, Projektarbeit usw.) und irgendwann hat der Mitarbeiter doppelt so viele Zugriffsrechte wie er eigentlich benötigt. Und auf je mehr Daten er zugreifen kann, desto größer ist natürlich auch das Risiko des Datenmissbrauchs- bzw. des Datendiebstahls.

Diesem Problem können Sie Abhilfe schaffen, indem Sie eine Software für Berechtigungsmanagement einsetzen. Diese sichert Informationen innerhalb Ihres Netzwerks und teilt die Zugriffsrechte automatisch nach einem Profilsystem zu. Sie sorgt aber gleichzeitig auch dafür, dass Berechtigungen automatisch zu einem definierten Zeitpunkt entzogen werden, wenn z.B. jemand das Unternehmen verlässt.

Datendiebstahl nachweisen durch automatisiertes Reporting

Lösungen für Berechtigungsmanagement automatisieren das Reporting für das Active Directory (Microsoft), unterschiedliche Fileserver (Windows, Linux, diverse SAN/NAS Systeme) und andere Produkte wie z.B. Exchange oder SharePoint. Auf diese Weise können sie mit wenigen Klicks jederzeit kontrollieren und nachvollziehen, welcher Mitarbeiter auf welche Daten in Ihrem Unternehmen zugreifen kann.

Die regelmäßige Rezertifizierung der Berechtigungen verhindert außerdem, dass veraltete Zugriffsrechte bestehen bleiben, da die jeweiligen Administratoren von der Software in fix definierten Abständen zur Überprüfung gezwungen werden.

Für große Unternehmen und/oder Enterprise-Organisationen kann es sinnvoll sein, direkt in eine komplexe Software für Identity and Access Management zu investieren. In unserem Blogbeitrag erfahren Sie, welche Funktionen bei der Auswahl einer IAM-Software entscheidend sind, und wie Sie sie korrekt implementieren.

Berechtigungsmanagement gratis testen

tenfold Download

Mit der tenfold-Testversion lernen Sie den vollen Funktionsumfang unserer Software kennen und erfahren, wie Sie Ihre Berechtigungen in Zukunft einfach und effizient managen können. Selbstverständlich ist dieser Test für Sie kostenlos und unverbindlich!

tenfold testen

Quellen:

https://www.st-sozien.de/aktuelles/news-detail/datendiebstahl-im-arbeitsrecht/

https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/datenklau-wenn-ehemalige-mitarbeiter-unbefugt-daten-mitnehmen/

https://www.computerwoche.de/a/mitarbeiter-die-zu-innentaetern-wurden,3544625