Die Firewall im Kopf

Fällt der Begriff Industriespionage, sind schnell Hackerangriffe, Spähprogramme oder gar Abhöraktionen staatlicher Geheimdienste im Gespräch. Die alltägliche Gefahr für Unternehmen schlummert jedoch an einem anderen Ort: in den eigenen vier Wänden. Das Bundesamt für Verfassungsschutz geht davon aus, dass 70 Prozent aller Taten auf das Konto von Innentätern gehen – also den eigenen Mitarbeitern.

In vielen Fällen ist das nicht der Mitarbeiter, der in krimineller Absicht Daten entwendet. Vielmehr ist es unbedachtes und argloses Verhalten, das zum Abfluss von Informationen und Know-how führt.

Neben mangelndem Problembewusstsein sind es vor allem die Kosten, die viele Unternehmen von einem umfassenden Schutzkonzept für Informationen und Know-how abhalten. Sicherheit bedeutet immer Aufwand. Aber es geht dabei auch um Angemessenheit, also darum, eine Lösung zu finden, die so sicher wie nötig und so praktikabel wie möglich ist.

Ausgangspunkt ist deshalb zunächst eine Schutzbedarfsanalyse, mit der ermittelt wird, was schutzbedürftig ist, und vor wem es sich zu schützen gilt. Informationen müssen klassifiziert und angemessene Maßnahmen im Umgang definiert werden. Am Ende entsteht ein verständliches Regelwerk.

Man braucht diese klaren Regeln, und der Mitarbeiter muss die Chance bekommen, sie auch anzuwenden. Denn immer wieder ist zu beobachten, dass Unternehmen ein solches Regelwerk entweder überhaupt nicht haben, es nicht konsistent ist oder es schlichtweg nicht an die Mitarbeiter kommuniziert wird. Es sind aber genau Information, Motivation und Sensibilisierung der Mitarbeiter, die über Wohl und Weh des Informations- und Know-how-Schutzes entscheiden.

Bei der Entwicklung und Umsetzung solcher Regelwerke ist ein besonderes Augenmerk auf Praktikabilität zu legen. In erster Linie will der Mitarbeiter seine Arbeit machen. Wenn man ihm unnötig Steine in den Weg legt, wird er andere Möglichkeiten suchen – und finden.

Deshalb ist es auch keine Lösung, reine Verbote auszusprechen. Vielmehr gilt es, entsprechende Alternativen aufzuzeigen, wobei den Vorgesetzten eine Schlüsselrolle zukommt. Denn Führungskräfte haben einen starken Vorbildcharakter. Hält sich der Chef nicht an die Regeln, wird es der Mitarbeiter auch nicht tun.

Verständnis und Akzeptanz sind die Grundvoraussetzungen für Informations- und Know-how-Schutz, denn viele Gefahrenquellen liegen fernab technischer Schutzschilde. Immer noch verbinden viele das Thema vorrangig mit der IT. Sicherlich ist ein solides IT-Sicherheitskonzept unerlässlich, aber was helfen verschlüsselte E-Mails, wenn sich ein Mitarbeiter abends im Sportverein zu seinem aktuellen Entwicklungsprojekt ausfragen lässt?

Datendiebe bedienen sich oft des Social Engineerings, bei dem nach guter, alter Detektivmanier aus vielen Informationen das Puzzle zusammengesetzt wird. In Business-Netzwerken legen häufig schon wenige Klicks ganze Abteilungsstrukturen und Zuständigkeiten eines Unternehmens offen. Den vollständigen Namen und ein Foto des Mitarbeiters gibt es gratis dazu. Nach einem Abstecher in ein soziales Netzwerk wie Facebook weiß der Spion auch, wo er den Kandidaten nach Feierabend antrifft, um ihn in ein scheinbar unverfängliches Gespräch über seine Arbeit zu verwickeln.

Dennoch ergibt es weder Sinn, noch verspricht es Erfolg, das Privatleben der Mitarbeiter reglementieren zu wollen. Die Kommunikation in sozialen Netzwerken gehört zur Lebenswirklichkeit. Das wird keine Anweisung des Arbeitgebers ändern können. Daher ist es so wichtig, die Mitarbeiter zu sensibilisieren und ihnen vor allem zu erklären, warum ein bestimmtes Verhalten von ihnen erwartet wird – denn nur wer versteht, was er tun soll, und von der Notwendigkeit überzeugt ist, wird sicher handeln können.

Rolf Holstein, Leiter Geschäftsbereich Projektgeschäft bei OSD Schäfer