Datendiebstahl durch Mitarbeiter: Wie kann ich mich schützen?
Verschlüsselungstrojaner, Phishing Mails und der Hacker im schwarzen Kapuzenpulli: Das sind die typischen Feindbilder der IT-Security-Beauftragten. Was Vielen nicht klar ist: Ein Drittel aller Sicherheitsvorfälle geht laut Betroffenen auf ehemalige oder aktuelle Mitarbeiter zurück. Aber warum ist es für Mitarbeiter eigentlich so leicht, sensible Daten zu stehlen? Wir schauen uns an, in welchem Rahmen Datenklau durch Mitarbeiter strafbar ist, wie er sich nachweisen lässt, und was Unternehmen tun können, um sich vor Datendiebstahl durch Mitarbeiter zu schützen.
Datendiebstahl durch Mitarbeiter
Statistisch gesehen wird jedes fünfte Unternehmen Opfer von internem Datenklau. In vielen Fällen bedeutet das aber gar nicht den groß angelegten und lange geplanten Diebstahl von sensiblen Informationen oder Firmengeheimnissen, über den dann in den Medien zu lesen ist. Datendiebstahl durch Mitarbeiter geschieht viel öfter in einer Form, die extrem unauffällig und daher auch nur sehr schwer nachzuweisen ist.
In vielen Fällen werden Mitarbeiter sogar ohne Absicht zur Gefahr für die Datensicherheit ihres Unternehmens und entwickeln sich somit unfreiwillig zum Insider Threat.
Wenn ehemalige Mitarbeiter Daten mitnehmen
Datenklau im Inneren betrifft in den meisten Fällen Datenbanken mit Kundenkontakten, Schulungsmaterialien, Präsentationsunterlagen oder strategische Papiere. In den meisten Fällen werden diese kopiert und/oder heruntergeladen, wenn ein Angestellter das Unternehmen verlässt. Viele Arbeitnehmer glauben, dass Strategien oder Konzepte, die sie selbst entwickelt haben, ihnen auch nach dem Ausscheiden aus dem Unternehmen noch zustehen.
Aber das ist ein Irrtum, da diese Erzeugnisse nach dem Urheberrechtsgesetz grundsätzlich Eigentum des Unternehmens sind.
Besonders knifflig wird es, wenn ein Mitarbeiter die Firma verlässt, um zur Konkurrenz zu wechseln. So kann sich beispielsweise ein Sales Mitarbeiter beim neuen Arbeitgeber beliebt machen, indem er Kundenkontakte vom vorherigen Arbeitgeber mitbringt. Ein solcher Datendiebstahl kann dem Ursprungsunternehmen einen empfindlichen wirtschaftlichen Schaden zufügen.
Datendiebstahl im Arbeitsrecht
Datendiebstahl ist kein Kavaliersdelikt und wird im Strafrecht auch entsprechend geahndet. Falls Sie den Datendiebstahl nachweisen können, stehen Ihnen zivil- und strafrechtliche Möglichkeiten offen. Bei einem aufrechten Dienstverhältnis können Sie Ihren Mitarbeiter abmahnen oder in besonders schweren Fällen sogar ordentlich oder außerordentlich kündigen.
Im Rahmen einer einstweiligen Verfügung können Sie Unterlassungs- und Herausgabeansprüche geltend machen. Auch Schadensersatzforderungen sind möglich. Genaueres über Ihre rechtlichen Möglichkeiten bei internem Datendiebstahl erfahren Sie hier.
Ist Datendiebstahl durch Mitarbeiter strafbar?
Die Strafbarkeit von internem Datenklau ist durch den Paragraphen § 202a Strafgesetzbuch (StGB) geregelt. Dieser bezieht sich auf die unberechtigte Beschaffung von elektronisch oder magnetisch gespeicherten Daten.
Entscheidend ist, dass der Straftatbestand erst dann erfüllt ist, wenn die Daten gegen unbefugten Zugriff geschützt sind, und der Täter sich ihrer trotzdem bemächtigt. Daraus folgt, dass nach dem Strafgesetz nicht grundsätzlich jeder unbefugte Zugriff auf einen Rechner strafbar ist. Selbst, wenn die Daten nicht für die Augen des Mitarbeiters bestimmt waren: Sind sie nicht gegen unautorisierte Zugriffe geschützt, hat der Arbeitgeber keine rechtlichen Mittel.
Was ist Datendiebstahl durch Mitarbeiter? Beispiele
Ein Mitarbeiter verstößt gegen das deutsche Arbeitsrecht, wenn er z.B. Daten kopiert oder weiterleitet. Das können empfindliche Informationen wie Kundendaten, Produktinformationen oder Strategiepläne sein. Er verstößt jedoch auch gegen das Gesetz, wenn er weniger wertvolle Daten wie z.B. Präsentationsunterlagen, Checklisten oder Ähnliches entwendet.
Doch nicht immer geht es Angestellten darum, sich durch die Mitnahme von Informationen zu bereichern oder einen Vorteil zu verschaffen. Immer wieder kommt es auch zu Akten der Rache, bei denen verärgerte Mitarbeiter Dateien löschen, um dem Arbeitgeber zu schaden, wie etwa im Fall eines Leiharbeiters aus Baden-Württemberg.
Gegen Datendiebstahl schützen – geht das?
Wenn in einem Unternehmen Daten entwendet, weitergeleitet oder kopiert werden, bedeutet das immer eine Sicherheitslücke. Handelt es sich bei den Daten um Kundeninformationen oder andere sensible Informationen, kann das Delikt unter Umständen großen wirtschaftlichen Schaden anrichten. Geraten personenbezogene Daten dabei an die Öffentlichkeit, kann das auch Strafen im Rahmen der DSGVO nach sich ziehen.
Aber auch die Entwendung weniger brisanter Unterlagen (z.B. Präsentationen, Schulungsunterlagen oder Arbeitspläne) kann das Unternehmen schädigen und der Konkurrenz einen Wettbewerbsvorteil verschaffen. Der Datenschutz IM Unternehmen sollte daher auf zwei Ebenen ansetzen:
Der Zugang zu Daten aller Art muss nach dem Least Privilege Prinzip erfolgen: Nur Mitarbeiter, die Informationen zwingend für ihre Arbeit benötigen, erhalten Zugriff. Noch mehr Sicherheit bietet darüber hinaus Zero Trust Architektur für das Firmennetz.
Es muss zu jeder Zeit nachvollzogen werden können, welcher Mitarbeiter auf welche Daten zugreifen kann (und vor allem: zugegriffen hat).
Datenschutz durch Berechtigungsmanagement
In vielen Fällen wird der Datenmissbrauch bzw. Datendiebstahl nur dadurch ermöglicht, dass ein Mitarbeiter Zugriffsrechte hat, die er gar nicht haben sollte. Dieses Problem kennen viele Unternehmen.
Oft erhalten neue Mitarbeiter schon bei ihrer Einstellung mehr Rechte, als sie benötigen, wenn IT-Fachkräfte für die Erstellung neuer Konten ein existierendes Profil aus der gleichen Abteilung als Referenz-User verwenden und dadurch sämtliche Privilegien kopieren.
Auch im Laufe der Zeit sammeln sich immer mehr Rechte an, wenn Mitarbeiterinnen im Rahmen von Projekten oder Abteilungswechseln neue Zugänge erhalten, veraltete Konten jedoch nie entfernt oder eingeschränkt werden. Bei diesem schleichenden Prozess spricht man auch vom sogenannten Privilege Creep.
Diesem Problem können Sie Abhilfe schaffen, indem Sie eine Software für Identity und Access Managementeinsetzen. Diese sichert Informationen innerhalb Ihres Netzwerks und teilt die Zugriffsrechte automatisch nach einem Profilsystem zu (Role-Based Access Control). Sie sorgt aber gleichzeitig auch dafür, dass Berechtigungen automatisch zu einem definierten Zeitpunkt entzogen werden, wenn z.B. jemand das Unternehmen verlässt.
Datendiebstahl nachweisen durch automatisiertes Reporting
Lösungen für Berechtigungsmanagement automatisieren das Reporting für das Active Directory (Microsoft), unterschiedliche Fileserver (Windows, Linux, diverse SAN/NAS Systeme) und andere Produkte wie z.B. Exchange oder SharePoint. Auf diese Weise können sie mit wenigen Klicks jederzeit kontrollieren und nachvollziehen, welcher Mitarbeiter auf welche Daten in Ihrem Unternehmen zugreifen kann.
Die regelmäßige Rezertifizierung der Berechtigungen verhindert außerdem, dass veraltete Zugriffsrechte bestehen bleiben, da die jeweiligen Administratoren von der Software in fix definierten Abständen zur Überprüfung gezwungen werden.
Für große Unternehmen und/oder Enterprise-Organisationen kann es sinnvoll sein, direkt in eine komplexe Software für Identity and Access Management zu investieren. In unserem Blogbeitrag erfahren Sie, welche Funktionen bei der Auswahl einer IAM-Software entscheidend sind, und wie Sie sie korrekt implementieren.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.