Durch die starke Fokussierung auf die DSGVO und den Schutz personenbezogener Daten ist ein bisschen aus dem Blick geraten, dass Unternehmen auch an den Schutz ihrer betrieblichen Informationen und ihres Know-hows denken müssen. An diesen Daten hängt ihr Geschäftserfolg, und die Schäden, die durch Spionage, Sabotage und Datendiebstahl entstehen, sind beträchtlich: Auf 43 Milliarden Euro beziffert eine aktuelle Untersuchung des Branchenverbandes Bitkom den Gesamtschaden, der der deutschen Industrie in den vergangenen beiden Jahren dadurch entstanden ist.
Darin sind Schäden durch Hackerangriffe genauso enthalten wie durch analoge und digitale Sabotageakte, den Diebstahl von Mobiltelefonen und Notebooks oder Know-how-Abfluss, beispielsweise mittels Social Engineering. Betroffen von derartigen Angriffen war mit zwei Dritteln die Mehrheit der befragten Unternehmen, überdurchschnittlich häufig der Mittelstand. Beim Diebstahl von Daten standen Kommunikationsdaten, also E-Mails, an erster Stelle, gefolgt von Kunden- und Finanzdaten. Etwa zehn Prozent der Unternehmen kam geistiges Eigentum in Form von Patenten und F&E-Resultaten abhanden.
Wie in bisherigen Blogposts bereits angemerkt, wird die Rolle externer Angreifer, beispielsweise die von Hackern beim Datendiebstahl, gern etwas überbetont. Die Bitkom-Untersuchung zeigt, dass an den Vorfällen nach den Angaben der Unternehmen zu knapp zwei Dritteln eigene oder ehemalige Mitarbeiter sowie, zur Hälfte etwa, Geschäftspartner wie Kunden oder Dienstleister beteiligt waren. Auch wenn bei der Befragung Mehrfach-Antworten bei der Frage nach den Tätern möglich waren und sich die Frage nach der Täterschaft auf das oben genannte breite Spektrum an Vorkommnissen bezieht: Mitarbeiter dürfen als (Mit-)Täter bei Datendiebstahl nicht außer Acht gelassen werden. Das soll nicht heißen, dass hinter jedem unerwünschten Datentransfer Absicht steckt, denn es gibt jede Menge anderer Möglichkeiten, wie Daten ausgeschleust werden können:
- Eine Unaufmerksamkeit bei der Autovervollständigung der Empfängerangabe im E-Mail-Programm führt dazu, dass sensible Informationen beim Wettbewerber landen statt beim Partner.
- Ein frustrierter Mitarbeiter leitet E-Mails mit sensiblen Informationen wie Kalkulationsunterlagen, Kundendaten oder F&E-Ergebnissen an seine Freemail-Adresse weiter.
- Ein Praktikant verkennt die Bedeutung von Informationen und leitet geistiges Eigentum per Browser-Upload an einen Wettbewerber weiter.
- Fremde USB-Sticks, die auf Veranstaltungen ausgegeben oder gezielt auf dem Unternehmensgelände platziert wurden, werden aus Neugier ungeprüft an den Arbeitsplatzrechner gesteckt.
- Ein Mitarbeiter erhält über ein Fake-Profil ein interessantes Jobangebot und stellt dem potenziellen Arbeitgeber auf dessen Wunsch hin Arbeitsproben aus seinem aktuellen Aufgabenbereich zur Verfügung.
- Ein Mitarbeiter kopiert regelmäßig Arbeitsunterlagen, um am Rechner zuhause weiterzuarbeiten. Der USB-Stick kann auf dem Weg verloren gehen, der Rechner zuhause gehackt werden.
Lösungen für Data Loss Prevention helfen nicht, wenn frustrierte Mitarbeiter oder fremde Personen, die ungesehen aufs Betriebsgelände gelangt sind, Sabotageakte begehen. Aber sie schützen vor Versuchen, mit einem USB-Stick Schadcode einzuschleusen. Sie verhindern nicht, dass mobile Geräte gestohlen werden oder Mitarbeiter Geräte verlieren, aber mittels Verschlüsselungstools blockieren sie den Zugriff Unbefugter auf die Daten auf den gestohlenen Devices. Vor allem verhindern sie, dass Mitarbeiter versehentlich, aus Hilfsbereitschaft, mangels besseren Wissens oder in voller Absicht sensible Daten über browserbasierte Anwendungen außer Haus befördern. Unterm Strich reduzieren sie das Risiko, dass das Unternehmen geistiges Eigentum verliert, ganz erheblich.
Auch bei Data Loss Prevention gibt es keinen hundertprozentigen Schutz. Aber die Benutzung von DLP-Lösungen hängt die Latte hoch. Unerwünschter Datenabfluss aus Versehen wird blockiert; wer Daten stehlen will, muss sich ganz schön anstrengen. Da sämtliche Versuche, sensible Daten auszudrucken, zu versenden oder zu kopieren, protokolliert werden können, stehen die Chancen gut, dass solche Vorhaben bereits im Vorfeld auffallen.
