Foto: OSD Schäfer

Sensibilisierung von Mitarbeitern

Die Firewall im Kopf

Der Mensch ist das stärkste und zugleich schwächste Glied in der Sicherheitskette. Das wird besonders beim Informations- und Know-how-Schutz deutlich. Die beste Sicherheitstechnik ist nutzlos, solange der Mitarbeiter nicht achtsam und bewusst mit dem „Rohstoff Geist“ umgeht.

Fällt der Begriff Industriespionage, sind schnell Hackerangriffe, Spähprogramme oder gar Abhöraktionen staatlicher Geheimdienste im Gespräch. Die alltägliche Gefahr für Unternehmen schlummert jedoch an einem anderen Ort: in den eigenen vier Wänden. Das Bundesamt für Verfassungsschutz geht davon aus, dass 70 Prozent aller Taten auf das Konto von Innentätern gehen – also den eigenen Mitarbeitern.

In vielen Fällen ist das nicht der Mitarbeiter, der in krimineller Absicht Daten entwendet. Vielmehr ist es unbedachtes und argloses Verhalten, das zum Abfluss von Informationen und Know-how führt.

Kostenfrage?

Neben mangelndem Problembewusstsein sind es vor allem die Kosten, die viele Unternehmen von einem umfassenden Schutzkonzept für Informationen und Know-how abhalten. Sicherheit bedeutet immer Aufwand. Aber es geht dabei auch um Angemessenheit, also darum, eine Lösung zu finden, die so sicher wie nötig und so praktikabel wie möglich ist.

Ausgangspunkt ist deshalb zunächst eine Schutzbedarfsanalyse, mit der ermittelt wird, was schutzbedürftig ist, und vor wem es sich zu schützen gilt. Informationen müssen klassifiziert und angemessene Maßnahmen im Umgang definiert werden. Am Ende entsteht ein verständliches Regelwerk.

Man braucht diese klaren Regeln, und der Mitarbeiter muss die Chance bekommen, sie auch anzuwenden. Denn immer wieder ist zu beobachten, dass Unternehmen ein solches Regelwerk entweder überhaupt nicht haben, es nicht konsistent ist oder es schlichtweg nicht an die Mitarbeiter kommuniziert wird. Es sind aber genau Information, Motivation und Sensibilisierung der Mitarbeiter, die über Wohl und Weh des Informations- und Know-how-Schutzes entscheiden.

Bei der Entwicklung und Umsetzung solcher Regelwerke ist ein besonderes Augenmerk auf Praktikabilität zu legen. In erster Linie will der Mitarbeiter seine Arbeit machen. Wenn man ihm unnötig Steine in den Weg legt, wird er andere Möglichkeiten suchen – und finden.

Deshalb ist es auch keine Lösung, reine Verbote auszusprechen. Vielmehr gilt es, entsprechende Alternativen aufzuzeigen, wobei den Vorgesetzten eine Schlüsselrolle zukommt. Denn Führungskräfte haben einen starken Vorbildcharakter. Hält sich der Chef nicht an die Regeln, wird es der Mitarbeiter auch nicht tun.

Falle Social Engineering

Verständnis und Akzeptanz sind die Grundvoraussetzungen für Informations- und Know-how-Schutz, denn viele Gefahrenquellen liegen fernab technischer Schutzschilde. Immer noch verbinden viele das Thema vorrangig mit der IT. Sicherlich ist ein solides IT-Sicherheitskonzept unerlässlich, aber was helfen verschlüsselte E-Mails, wenn sich ein Mitarbeiter abends im Sportverein zu seinem aktuellen Entwicklungsprojekt ausfragen lässt?

Datendiebe bedienen sich oft des Social Engineerings, bei dem nach guter, alter Detektivmanier aus vielen Informationen das Puzzle zusammengesetzt wird. In Business-Netzwerken legen häufig schon wenige Klicks ganze Abteilungsstrukturen und Zuständigkeiten eines Unternehmens offen. Den vollständigen Namen und ein Foto des Mitarbeiters gibt es gratis dazu. Nach einem Abstecher in ein soziales Netzwerk wie Facebook weiß der Spion auch, wo er den Kandidaten nach Feierabend antrifft, um ihn in ein scheinbar unverfängliches Gespräch über seine Arbeit zu verwickeln.

Dennoch ergibt es weder Sinn, noch verspricht es Erfolg, das Privatleben der Mitarbeiter reglementieren zu wollen. Die Kommunikation in sozialen Netzwerken gehört zur Lebenswirklichkeit. Das wird keine Anweisung des Arbeitgebers ändern können. Daher ist es so wichtig, die Mitarbeiter zu sensibilisieren und ihnen vor allem zu erklären, warum ein bestimmtes Verhalten von ihnen erwartet wird – denn nur wer versteht, was er tun soll, und von der Notwendigkeit überzeugt ist, wird sicher handeln können.

Rolf Holstein, Leiter Geschäftsbereich Projektgeschäft bei OSD Schäfer

Foto: HVS-Consulting AG

Sensibilisierung von Mitarbeitern

Wichtiger denn je

Industriespionage und Informationsfluss nehmen stetig zu. Wirkungsvolle Unternehmenssicherheit und Know-how-Schutz benötigen immer das Zusammenspiel dreier Komponenten: technische Maßnahmen, organisatorische Maßnahmen und Sensibilisierung der Mitarbeiter.

Foto: Fotolia.de/VRD

Maßnahmen gegen Informationsdiebstahl

Kleine Firmen, große Risiken

Experten sind sich einig: Der Kampf um Rohstoffe prägt die Gegenwart und er wird, wesentlich massiver noch, die Zukunft bestimmen. Dennoch wird ausgerechnet einer der wichtigsten aller Rohstoffe in vielen Fällen offen und ungeschützt präsentiert, greifbar für Jedermann. Wir sprechen vom Rohstoff der Information.

Foto: Knipseline/ Pixelio.de

Industriespionage

Risikofaktor Mensch

Sie sind professionell organisiert, setzen Hackermethoden ein und nutzen die Neugier der Menschen gnadenlos aus: moderne Industriespione. Neben Konzernen haben sie mittlerweile auch den deutschen Mittelstand im Visier. Die Angreifer interessieren sich für Daten aus Forschung & Entwicklung, Kundendatenbanken oder Prozessbeschreibungen.

Foto: Pixelio.de/ Gerd Altmann

Spionage 2.0

Soziale Netzwerke als Informationsfalle

Immer häufiger bemerken Firmen das Ausspähen sensibler Daten über Facebook & Co. Wie "Industriespione 2.0" vorgehen und wie man sich gegen sie schützen kann, verrät die Unternehmensberatung Becker von Buch.