Jeder von uns kennt die dramatisch aufgeladenen Filmszenen, in denen gefeuerte Mitarbeiter von der Security zum Arbeitsplatz eskortiert werden, damit sie ihre persönlichen Dinge vom Schreibtisch in einem ramponierten Pappkarton sammeln, zuoberst das Foto der Liebsten im silbernen Rahmen. Auch wenn es in der Realität weniger dramatisch zugeht: Eine unmittelbare Freistellung bei einer Kündigung wird inzwischen in vielen Unternehmen als Möglichkeit gesehen, etwaigen Datendiebstahl zu unterbinden.
Denn je mehr Mitarbeiter den Job wechseln, desto größer ist die Gefahr, dass wertvolle Daten aus dem Unternehmen mitgenommen werden. Im Jahr 2017 waren in Deutschland mehr als 730.000 offene Stellen gemeldet, der höchste Wert in den vergangenen zehn Jahren. Die wirtschaftlichen Lage und der Fachkräftemangel steigern die Wechselfreudigkeit. Viele Arbeitnehmer haben gute Chancen, sich zu verbessern: mehr Gehalt, interessantere Aufgaben, Aufstiegsmöglichkeiten, bessere Work-Life-Balance. Dabei bleiben sie häufig in der Branche und finden ihren neuen Arbeitsplatz bei einem Wettbewerber. Sie nutzen so Kundenkontakte und ihre spezifischen Kenntnisse und Erfahrungen weiter. Karriere-Netzwerke wie Xing und Linkedin erleichtern den Jobwechsel. Ein nicht unbeträchtlicher Teil wird als Know-how-Träger sogar gezielt abgeworben.
Nicht alle Mitarbeiter beschränken sich bei einem Arbeitsplatzwechsel auf das Know-how in ihrem Kopf. Manche steigern ihren Wert, indem sie darüber hinaus wichtige Firmendaten mitgehen lassen. Besonders gefährdet für Datendiebstahl sind der Vertrieb sowie die Forschungs- und Entwicklungsabteilung. Kundendaten sind sehr beliebt, weil sie sich gut weiternutzen lassen und dem Mitarbeiter bei seiner neuen Arbeitsstelle unmittelbaren, leicht zu erreichenden Erfolg bescheren können. Aber auch Konstruktionszeichnungen, Produktinformationen, Rezepturen, Fertigungsverfahren, Patente, Angebotsunterlagen sowie Bank- und Finanzdaten sind eine gute „Mitgift“. Wie viele Mitarbeiter bei einem Arbeitsplatzwechsel schon einmal Daten mitgenommen haben oder bereit sind, Informationen mitzunehmen, schwankt je nach Fragestellung und in unterschiedlichen Umfragen und Studien. Die Spannweite reicht etwa von einem Viertel bis zur Hälfte der Mitarbeiter – das sind in jedem Fall Größenordnungen, die jedes Unternehmen zu einem besseren Schutz ihres digitalen Eigentums veranlassen müssen.
Freistellungen wirken jedoch nur bei Kündigungen durch den Arbeitgeber. Wer das Mitnehmen von Daten zu den Vorbereitungen auf einen Arbeitsplatzwechsel zählt, hat zu diesem Zeitpunkt schon vorgesorgt. Das Unrechtsbewusstsein ist gering; viele Mitarbeiter fühlen sich sogar berechtigt, Daten mitgehen zu lassen, denn sie haben schließlich an der Strategie- oder Produktentwicklung, in der Forschung oder im Vertrieb mitgearbeitet und glauben daraus einen Anspruch auf „ihre Ergebnisse“ ableiten zu können. Sie übersehen dabei, dass mit ihrem Gehalt das Zustandekommen der Resultate abgegolten ist und das Kopieren von sensiblen Unternehmensinformationen gegen das Urheberrecht und das Gesetz gegen den unlauteren Wettbewerb verstößt. Kurz gesagt: Es handelt sich um Datendiebstahl.
Solche Verstöße sind nicht abzustellen, solange die Unternehmen ihre Mitarbeiter lediglich mit Vertraulichkeitsvereinbarungen und Richtlinien zum Datenschutz binden. Außerdem geht es bei derartigen Vereinbarungen weniger um den Schutz vor Datendiebstahl als darum, sensible oder datenschutzrelevante Informationen nicht an Unbefugte weiterzugeben. Auch strenge Zugriffsbeschränkungen helfen nur partiell, denn es lassen sich immer Wege und Möglichkeiten finden, um an nützliche Informationen heranzukommen, etwa weil man Daten für Schaubilder und Diagramme benötigt. Der Diebstahl selbst erfolgt meist per E-Mail oder auf tragbaren Speichergeräten. Klassisch ist die Verwendung von USB-Sticks: viel Speicherplatz, dabei handlich, klein und unauffällig. Wer einen gewöhnlichen Webbrowser öffnen darf, hat es leicht, Daten aus dem Unternehmen nach draußen zu schicken. Mit einer Unzahl an Filesharing-Diensten, Cloud-Speichern, Webmailern und Messengern bietet das Internet dafür kaum noch zu überblickende Möglichkeiten.
Möglichem Datendiebstahl durch ausscheidende Mitarbeiter technisch vorzubeugen ist die Aufgabe einer Lösung für Data Loss Prevention. Der technische Schutz funktioniert unabhängig von der Bereitschaft der Mitarbeiter, Richtlinien und Vereinbarungen einzuhalten, und schützt vor versehentlichem wie vor absichtlichem Datentransfer. Er gilt jederzeit für alle Mitarbeiter gleichermaßen und für alle Informationen und Daten, die per Richtlinie vom Transfer auf mobile Geräte und über browserbasierte Anwendungen ausgeschlossen sind. Das stellt sicher, dass sensible Daten im Unternehmen bleiben, wenn die Mitarbeiter die Firma wechseln.
