Insider-Bedrohungen / „Insider threat“
Michael Faske
Wie sicher sind Sie, dass Ihre Mitarbeitenden keine Unternehmensdaten entwenden, wenn sie das Unternehmen verlassen?
Trotz aller Anstrengungen und aller Sicherheitsmassnahmen, die zur Verhütung von Datendiebstahl umgesetzt wurden, fallen weiterhin immer mehr Unternehmen einem Phänomen zum Opfer, welches man als «Insider-Bedrohung» bezeichnet. Hierbei handelt es sich unter anderem um Datendiebstahl durch «vertrauenswürdige Mitarbeitende», mit dessen Folgen sich die Unternehmen auseinandersetzen müssen.
Neueste Studien zeigen, dass der Diebstahl vertraulicher Unternehmensdaten durch Mitarbeitende weit verbreitet ist: Mehr als 80 Prozent der Mitarbeitenden haben beim Ausscheiden aus einem Unternehmen sensible Daten entwendet. Diese Zahl ist schwindelerregend, ist es doch das geistige Eigentum das Ihr Unternehmen von seinen Wettbewerbern abhebt, und somit möglicherweise das wertvollste Gut Ihres Unternehmens darstellt. Erstaunlich ist, dass nicht mehr zur Verhinderung des Diebstahls von geistigem Eigentum unternommen wird. Trotz aller Massnahmen zur Vorbeugung von Datendiebstahl verlieren viele Unternehmen noch immer Daten, wenn Mitarbeitende aus dem Unternehmen ausscheiden.
Absichtliche Sicherheitsverletzungen durch Mitarbeitende sind äusserst schwer zu verhindern, aber folgende Massnahmen können hilfreich sein:
- Klassifizierung der Daten, um festzustellen, welche Daten am meisten geschützt werden müssen, wo diese gespeichert werden, welche Vorkehrungen bisher getroffen wurden, um dem Problem des Datendiebstahls zu begegnen, und welche weiteren Massnahmen ergriffen werden könnten.
- Feststellung und Beurteilung des Bedarfs einer gezielten «Data Loss Prevention»-Lösung, die eine Überwachung, Identifizierung und Sperrung sensibler/vertraulicher Daten in Echtzeit ermöglicht, während diese in Geschäftsprozessen verarbeitet (data in use), übertragen (data in motion) oder gespeichert werden (data in rest).
- Anwendung von Internet-Nutzungsbeschränkungen für die im Unternehmensnetzwerk eingeloggten Benutzer für bestimmte Dienste (wie E-Mail oder Cloud-Speicheranbieter), die nicht für Arbeitszwecke benötigt werden, und Bereitstellung von Richtlinien über die Nutzung privater Geräte am Arbeitsplatz.
- Aufnahme einer Belehrung in das Kündigungsgespräch, in der die Mitarbeitenden auf Bestimmungen zum Diebstahl von geistigem Eigentum und Daten hingewiesen werden, und die Mitteilung, dass das Unternehmen im Verdachtsfall rechtliche Schritte einleiten wird – anschliessend wird der scheidende Mitarbeiter aufgefordert, eine entsprechende Anerkenntniserklärung zu unterschreiben.
Hier lesen Sie weitere aktuelle Posts von Herrn Faske zum Thema Schwarzarbeit.
# # #