Wirtschaftssionage & Betriebsspionage
Rechtliche Würdigung & Prävention
Ob externe Hacker-Angriffe oder interne Weitergabe durch Mitarbeiter – Datendiebstahl nimmt weltweit und in Deutschland weiterhin zu. 81% der deutschen Unternehmen verstärkten letztes Jahr den Kampf gegen Wirtschaftsspionage. Aber wo lauern eigentlich die großen Gefahren und wie schützt man sich wirksam gegen Angriffe von innen und außen?
Interne Täter am häufigsten
Zwar warnt sogar der Verfassungsschutz mittlerweile vor gezielten Spionageangriffen auf deutsche Unternehmen aus Russland und China. Laut der aktuellen e-Crime Studie der Wirtschaftsprüfungsgesellschaft KPMG werden allerdings rund 51 % wirtschaftskrimineller Handlungen von Mitarbeitern begangen. Dabei ist Datendiebstahl mit 94 % die am häufigsten durch interne Täter verursachte Deliktsart. 39 % der Datendiebstähle werden dagegen von Personen aus dem unternehmerischen Umfeld begangen, also von Kunden, Konkurrenten oder Dienstleistern.
Vor allem bei Trennungen von leitenden Angestellten oder Gesellschafterstreitigkeiten ist eine steigende Tendenz zu erkennen, was die Ausspähung von E-Mails, Daten und Geschäftsgeheimnissen anbelangt. Oft erfolgen Manipulationen in den betrieblichen Kommunikationssystemen oder unzulässige Datentransfers.
Einladung zum Datendiebstahl
Dabei ist das Unrechtsbewusstsein der Betroffenen erstaunlich gering. Einerseits senken die häufig einfachen technischen Gegebenheiten schnell die Hemmschwelle. Viele Unternehmen beschäftigen sich immer noch nicht hinreichend mit dem Schutz ihrer Daten vor unzulässigem Zugriff und Manipulation. Dabei schafft die zunehmende Digitalisierung ständig neue Angriffspunkte. Ungewollter Informationsverlust kann hohe finanzielle Verluste ebenso wie einen Reputationsverlust mit sich ziehen. Umgekehrt kann ein gutes Sicherheitssystem als Wettbewerbsvorteil genutzt werden.
Andererseits scheint im Wirtschaftsleben nicht angekommen zu sein, dass der unberechtigte Zugriff auf fremde Daten strafbar ist und zivilrechtliche Schadenersatzforderungen mit sich bringt. Wenn Unternehmen ihre Technik nicht vollkommen dem Zufall überlassen haben, ist es IT-Forensikern mittlerweile möglich, digitalen Spuren mit großer Genauigkeit nachzugehen und den Täter zu identifizieren. Das ermöglicht eine rechtliche Verfolgung mit eindeutiger Beweislage.
Gründe für Datendiebstahl
Ob aus Rache wegen einer vermeintlich ungerechten Behandlung oder um sich finanzielle Vorteile zu verschaffen durch Informationsverkauf oder durch Erreichen einer besseren Stelle bei einem neuen Arbeitgeber – die Gründe für Mitarbeiter, Daten des Arbeitgebers weiterzureichen können vielfältig sein.
Tatsächlich geschieht dies auch häufig aus schlichter Unwissenheit der Mitarbeiter, etwa wenn Viren durch Verwendung von Social Media oder privaten E-Mail Konten ins Betriebssystem geschleust werden und Externe dadurch Zugriff ermöglicht wird. Laut einer aktuellen Studie der Nationalen Initiative für informations- und internet-Sicherheit (NIFIS) steht die Nutzung sozialer Netzwerke für 53% der Unternehmen im Fokus ihrer Schutzmaßnahmen.
Rechtliche Prävention
Rechtlich vorbeugen können Unternehmen einerseits, indem sie eine Vertragsstrafe für die unberechtigte Weitergabe von Daten schon im Arbeitsvertrag bzw. im Gesellschaftervertrag vereinbaren. Reaktiv eröffnet das deutsche Arbeitsrecht die Möglichkeit, bei ernsthaften Verstößen die sofortige Kündigung auszusprechen.
Solange der Arbeitgeber seinen Mitarbeitern die private Nutzung des firmeneigenen E-Mail-Kontos erlaubt, verstieße eine Einsicht im Rahmen von internen Ermittlungen oder Weitergabe an Dritte gegen das Fernmeldegeheimnis. Hier sollten IT-Richtlinien Lese- und zugriffsrechte für genau definierte Fälle bestimmen.
Notwendig sind weiterhin Handlungsanweisungen für ihre Mitarbeiter zum Umgang mit Daten und Internetrichtlinien, vor allem für die Nutzung sozialer Netzwerke (Social Media Guidelines). Wichtiger Bestandteil sind die sog. EXIT-Regeln, die regeln, was mit Kontaktdaten und Nachrichten des Mitarbeiters geschieht, wenn er das Unternehmen einmal verlässt.
Weitere Informationen: Datenschutz & Arbeitsrecht
Technische Schutzmaßnahmen
Sämtliche Daten, Benutzer und IT-Komponenten sollten erfasst und bewertet werden, etwa nach Vertraulichkeit, Verfügbarkeit und Integrität. Besonders gefährdet sind Kundendaten, Bank- oder Finanzdaten des Unternehmens, Patente und Produktinformationen ebenso wie Betriebsgeheimnisse. Technische Schutzmaßnahmen sollten sich auf diesen Kernbereich von Informationen konzentrieren, um möglichst effektiv zu sein und um Kosten und Nutzen der Prävention in angemessenem Verhältnis zu halten.
Ein umfassendes Informationsschutzsystem inklusive Frühwarnsystem sollte fest als Firmenstrategie verankert werden. Sicherheitsstandards müssen regelmäßig analysiert und laufend erneuert werden. Regelmäßige Kontrolle ist ebenso wichtig wie eine konsequente Verfolgung und Sanktionierung von Verstößen. Ein hierauf basierendes Konzept sollte durch einen IT-Dienstleister erstellt und umgesetzt werden. Mitarbeiter müssen regelmäßig informiert und geschult werden.
Nutzer von Cloud Computing sollten einen Anbieter wählen, der deutschen Datenschutzgesetzen unterliegt und über möglichst hohe Sicherheitsstandards verfügt.
Compliance
Compliance steht für „Regelüberwachung“. Es geht dabei um die Überwachung der Einhaltung rechtlicher Voraussetzungen, vor allem im Kartellrecht und Wettbewerbsrecht, aber auch im Bereich der Produkthaftung oder im Datenschutz. Regelmäßige Compliance sollte ein fester und wesentlicher Bestandteil eines jeden Unternehmens sein, um hohe Schadenersatzforderungen ebenso wie Datendiebstahl zu verhindern.
2009 hatten 725 der deutschen Unternehmen zwar Ethik-Richtlinien, aber nur 44% verfügten über ein Compliance-Programm, um diese Richtlinien zu überwachen. Vor allem im internationalen Vergleich sind es aber die Compliance-Programme, die sich zur Abwehr von Datenspionage am effektivsten erweisen.
Unternehmenskauf
Vor allem beim Unternehmenskauf muss auf Betriebs- und Geschäftsgeheimnisse größte Sorgfalt verwendet werden. In der besonders heiklen Verhandlungsphase vor Fixierung einer verbindlichen Vereinbarung sollten Informationen nur mit größter Vorsicht preisgegeben werden.
Ein Non Disclosure Agreement (NDA) zwischen den Verhandlungspartnern legt fest, welche Mitarbeiter in welchem inhaltlichen und zeitlichen Umfang zur Geheimhaltung verpflichtet sind. Für Zuwiderhandlungen werden Vertragsstrafen festgelegt, die sich an dem finanziellen Interesse an der Geheimhaltung der Informationen bemisst.
Auch Beschäftigtendaten, etwa wer zu welchen Konditionen beschäftigt ist, dürfen nur unter Berücksichtigung des Bundesdatenschutzgesetzes (BDSG) weitergegeben werden. Daher dürfen im Rahmen der Due Diligence zunächst nur anonymisierte Musterverträge geprüft werden, sofern die Mitarbeiter in eine Weitergabe nicht explizit einwilligen.
Dies gilt beim Asset Deal auch für Kundendaten. Im Rahmen der Übertragung einzelner Rechtsträger müssen Kunden explizit in die Weitergabe persönlicher Informationen einwilligen. Eine rechtzeitige Information unter Setzung einer Widerspruchsfrist ist empfehlenswert. Anders nur beim Share Deal. Hier tritt der Käufer automatisch in sämtliche Rechte des Verkäufers ein, ohne dass Kunden ausdrücklich zustimmen müssen.