Jeder Fall ist ein Ernstfall
Von Sabine Philipp
Ein Unternehmen, das Opfer von Datendiebstahl, Geheimnisverrat oder Betriebsspionage wird, ist zunächst wie vor den Kopf geschlagen. Schließlich haben selbst altgediente Firmenlenker damit (hoffentlich) meist noch keine Erfahrung. Was also tun?
Die erste Faustregel lautet: Verabschieden Sie sich von der Vorstellung, den Fall „intern“ zu lösen. Dafür fehlt in 99,9 % aller Fälle das Know-how, und das Risiko, dass Sie sich selbst auf rechtlich allzu dünnes Eis begeben und am Ende das Unternehmen erst recht gefährden, ist viel zu hoch.
Lücken schließen
Das Erste, was Sie selbst tun sollten, ist, die Schwachstelle ausfindig zu machen, um zu verhindern, dass noch mehr Informationen abfließen: Schlüssel einkassieren, Zugangsberechtigungen sperren etc. Zugleich verständigen Sie Ihren Anwalt.
Je mehr die Tat auf elektronischem Gebiet zu tun hat, desto eher brauchen Sie vermutlich bereits zu diesem Zeitpunkt professionelle Hilfe. Den in der IT geht es zu, wie bei jedem Fernsehkrimi: Wer dem Täter den rauchenden Revolver entwindet, verdirbt die Fingerabdrücke.
Beweise sichern
Staatsanwaltschaft und Polizei können nur aktiv werden, wenn sie etwas in der Hand haben. Sichern Sie deshalb möglichst früh Beweise. Hier kann unter Umständen die Computerforensik helfen. Sie rekonstruiert z.B. den E-Mail-Verkehr und überprüft, wer wann welche Daten auf welchem Rechner aufgerufen bzw. kopiert hat. Die Ergebnisse der Untersuchung zählen vor Gericht aber nur, wenn sie einwandfrei sind. Dazu gibt es z.B. mathematische Verfahren, die eingehalten werden müssen, um nachträgliche Manipulationen zu vermeiden.
Um Beweise sichern zu können, müssen Sie logischerweise die Daten Ihrer Mitarbeiter durchsuchen. Genau hier liegt der Hund begraben: Wenn Sie in der Arbeit die private Nutzung des Internets erlauben, werden Sie automatisch zum Anbieter von Telekommunikationsdienstleistungen – und unterstehen dem Fernmeldegeheimnis. Falls Sie nun die E-Mail-Ordner der untreuen Mitarbeiter untersuchen, können die Sie wegen Verletzung des Telefongeheimnisses verklagen. Und das hat Folgen. Im schlimmsten Fall kann Ihnen nach § 206 Strafgesetzbuch (StGB) eine Freiheitsstrafe von bis zu fünf Jahren blühen.
Um diese Konsequenzen zu vermeiden, reicht es übrigens nicht aus, die private Nutzung lediglich zu verbieten. Sie müssen allfällige Verfehlungen auch ahnden. Ansonsten entsteht eine „betriebliche Übung“. Sprich: Wenn ein Fehlverhalten regelmäßig geduldet wird, könnte der Arbeitnehmer vermuten, dass die Leistung dauerhaft erbracht wird und Teil des Arbeitsvertrages wird. Im Nachhinein können Sie sich nicht mehr dagegen wehren.
Die Einführung ins Thema steckt das Feld der Gefahren ab und sagt, warum gerade KMU im Kreuzfeuer stehen. Teil 1 geht zum Lauschangriff über und hört mit, was passiert, wenn ausländische Agenten im Staatsauftrag mitmischen. Teil 2 setzt im Gegenzug bei Know-how- und Geheimnisträgern innerhalb der Firma an und will wissen, ob Angestellte dicht halten. Teil 3 prüft die IT-Verteidigung und gibt praktische Tipps, wie Schnüffler keine Chance haben. Teil 4 geht schließlich die Notfallpläne durch – damit der Schaden gering bleibt und die Täter nicht ungestraft davonkommen. Ein separater Sonderbeitrag warnt außerdem vor den gängigsten Schlichen, Tricks und Masken von Konkurrenz und Geheimdiensten.
Eine andere Art der Beweissicherung besteht darin, dem Täter eine Falle zu stellen. Falls z.B. die Kundendatenbank Ihr wichtigstes Kapital ist, könnten Sie eine künstliche Adresse erfinden, die bei Ihnen aufläuft. Dann wissen Sie sofort Bescheid, wenn die Datensätze Füße kriegen – und aus welcher Ecke sie angelaufen kommen.
Eine weitere sinnvolle Möglichkeit sind elektronische Fallen, so genannte Honeypots („Honigtöpfe“). Mitarbeiter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) haben hierüber einen interessanten Vortrag an der Uni Bonn gehalten, den Sie dort als PDF abrufen können.
Erstatten Sie Anzeige!
Es ist zwar nur ein kleiner Schritt, aber viele Unternehmer scheuen ihn wie der Teufel das Weihwasser: den Gang zur Polizei. Grundsätzlich ist sie bei Attacken aus dem Wettbewerbsumfeld oder einer Verbrecherbande zuständig. Sollte sich herausstellen, dass fremde Nachrichtendienste hinter dem Vergehen stehen, wird der Fall an die jeweilige Landesbehörde für Verfassungsschutz weitergegeben.
Bitte bedenken Sie: Die Beamten können nur handeln, wenn Sie die Initiative ergreifen. Davor scheuen sich leider viele Unternehmen – und helfen damit dem Täter. Das geschieht häufig aus Angst vor einem Imageverlust. Während der laufenden Ermittlungen muss jedoch niemand fürchten, dass Informationen nach draußen dringen. (Das passiert erst, wenn es zu einem Prozess kommt, der bis auf wenige Ausnahmen in aller Regel öffentlich ist.)
Fazit: Ohne zu zögern
Rechnen Sie bei Datendiebstahl immer mit dem Schlimmsten. Sie können realistisch davon ausgehen, dass so etwas nicht „aus Versehen“ passiert. Sichern Sie daher unverzüglich so viele Beweise wie möglich.
Wenn Sie konkrete Fragen haben oder sich schon im Vorfeld beraten lassen möchten, können spezielle Beratungsunternehmen für Sicherheitsdienstleistungen weiterhelfen. Außerdem steht Ihnen auch die betreffende Landesbehörde für Verfassungsschutz zur Seite, und zwar unabhängig von der Größe Ihres Unternehmens. In aller Regel werden Sie mit einem Mitarbeiter aus dem zuständigen Arbeitsbereich verbunden, mit dem Sie im persönlichen Gespräch die Details besprechen können. Die Art der Beratung hängt immer von dem jeweiligen Einzelfall ab und behandelt auch die IT.