Suchen

Mitarbeiter – die unterschätzte Gefahr von innen Regeln zum Umgang mit Unternehmensdaten werden kaum kontrolliert

| Redakteur: Nico Litzel

Unternehmen in Deutschland gehen zu nachlässig mit den Themen Compliance, IT-Sicherheit und Datenmissbrauch durch die eigenen Mitarbeiter um. Zu diesem Ergebnis kommt eine gemeinsame Studie des Datenrettungsspezialisten Kroll Ontrack und der Anwaltssozietät CMS Hasche Sigle.

Firmen zum Thema

Die meisten Unternehmen gehen zu nachlässig mit den Themen Compliance, IT-Sicherheit und Datenmissbrauch durch die eigenen Mitarbeiter um, so das Ergebnis einer Studie von Kroll Onrack und CMS Hasche Sigle.
Die meisten Unternehmen gehen zu nachlässig mit den Themen Compliance, IT-Sicherheit und Datenmissbrauch durch die eigenen Mitarbeiter um, so das Ergebnis einer Studie von Kroll Onrack und CMS Hasche Sigle.
( Archiv: Vogel Business Media )

Kroll Ontrack und CMS Hasche Sigle haben für die Studie 118 Personalmanager deutscher Unternehmen befragt. Ergebnis: In rund 87 Prozent der teilnehmenden Unternehmen wird zwar der Umgang mit dem Internet und mit E-Mails geregelt, allerdings wird in über 75 Prozent der Unternehmen nicht regelmäßig kontrolliert, ob diese Regeln auch tatsächlich eingehalten werden.

Compliance-Programme, die zur Überwachung von gesetzlichen Vorschriften und betrieblichen Richtlinien dienen, werden zudem laut Studie nur in etwa der Hälfte der Unternehmen eingesetzt. 52 Prozent der Unternehmen haben hingegen noch keine Compliance-Programme etabliert.

Vertrauen ist gut …

Laut der Befragung gibt es in 87 Prozent der Unternehmen Regelungen zum Umgang mit Internet und E-Mail und 88 Prozent blockieren bestimmte Websites, etwa Erotikseiten. Allerdings werden die bestehenden Regeln von den meisten Unternehmen (77 Prozent) nicht kontrolliert.

Ohne ausreichende Kontrollen blieben die Richtlinien allerdings ein stumpfes Schwert, so die Autoren. Viele Unternehmen dulden eine private Internetnutzung. Wenn Mitarbeiter allerdings viel privat surfen oder vertrauliche Informationen nach außen tragen, geben nur regelmäßig kontrollierte (Betriebs-)Vereinbarungen eine Handhabe, um dagegen vorzugehen.

Compliance-Programme sind selten

Einen erheblichen Nachholbedarf zeigt die Studie auch im Bereich Compliance auf: In etwa der Hälfte der befragten Unternehmen (48 Prozent) gebe es kein Compliance-Programm für die Bereiche Vertrieb, Wettbewerb und Human Resources. Dementsprechend verfügen auch nur 46 Prozent der befragten Unternehmen über einen Compliance-Beauftragten, der ein solches Programm überwacht.

Damit setzten sich die Unternehmen allerdings erheblichen Risiken aus, geben Kroll Ontrack und CMS Hasche Sigle zu bedenken, denn Compliance-Programme sollen gewährleisten, dass sich ein Unternehmen gesetzeskonform verhält, beispielsweise Vorschriften zum Arbeits- oder zum Datenschutz einhält. Bei einem Verstoß können hohe Geldstrafen drohen, teilweise haften die Verantwortlichen persönlich.

Auf den Ernstfall schlecht vorbereitet

Auf den Fall, dass sich Mitarbeiter tatsächlich illegal verhalten, sind die befragten Unternehmen ebenfalls schlecht vorbereitet: Über eine „Whisteblowing-Hotline“, also eine Instanz, über die Mitarbeiter Fehlverhalten (anonym) melden können, verfügen nur 37 Prozent der Studienteilnehmer und einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen haben weniger als die Hälfte der Unternehmen eingerichtet (44 Prozent).

Handlungsempfehlungen

Unternehmen sollten sich gegen diese Risiken absichern, raten die Autoren. An erster Stelle stünden dabei Richtlinien und Betriebsvereinbarungen für die Internetnutzung und den Umgang mit sensiblen Daten – und deren regelmäßige Kontrolle. Zudem sollten sich Unternehmen stärker mit dem Thema Compliance auseinandersetzen. Ein Compliance-Programm sollte dabei jeweils auf die sensiblen Bereiche eines Unternehmens zugeschnitten sein. Dabei helfe eine genaue Kenntnis der technischen und juristischen Voraussetzungen bei der Umsetzung effektiver Maßnahmen.

„Die Gefahr, Opfer von Computerkriminalität zu werden, ist für Unternehmen durchaus real“, so Reinhold Kern, Director Computer Forensics bei Kroll Ontrack. „Die Kriminalstatistik 2009 weist fast 75.000 Fälle aus, mit steigender Tendenz. Oft entwenden, sabotieren oder manipulieren Täter aus den eigenen Reihen die Daten. Unsere Studie zeigt, dass Unternehmen sich gegen Fehlverhalten ihrer Mitarbeiter noch stärker absichern müssen.“

Dr. Antje-Kathrin Uhl, Partnerin bei CMS Hasche Sigle, ergänzt: „Laut der Studie sind sich Unternehmen der zunehmenden Risiken von Datendiebstahl und Computermissbrauch noch nicht ausreichend bewusst. Um sich zu schützen, sollten sie die rechtlichen und die technischen Möglichkeiten kennen und bereits im Vorfeld geeignete Maßnahmen einleiten.“

(ID:2050498)