22 Maerz 2011

Datenmissbrauch: Unternehmen unterschätzen Gefahr von innen

Studie von Kroll Ontrack und CMS Hasche Sigle: Bestehende Regeln zum korrekten Umgang mit Unternehmensdaten werden kaum kontrolliert

Böblingen, 22. März 2011. Unternehmen in Deutschland gehen zu nachlässig mit den Themen Compliance, IT-Sicherheit und  Datenmissbrauch durch die eigenen Mitarbeiter um. Das ergab eine Studie von Kroll Ontrack und CMS Hasche Sigle. Demnach regeln zwar rund 87 Prozent der Unternehmen den Umgang mit Internet und E-Mail am Arbeitsplatz. Aber mehr als 75 Prozent kontrollieren nicht regelmäßig, ob diese Regeln auch eingehalten werden. Compliance-Programme, die zur Überwachung von gesetzlichen Vorschriften und betrieblichen Richtlinien dienen, gibt es nur in etwa der Hälfte der Unternehmen, 52 Prozent der Unternehmen haben bisher noch keine Compliance-Programme etabliert. Kroll Ontrack, Marktführer in der Datenrettung und Computer-Forensik, und die Anwaltskanzlei CMS Hasche Sigle befragten für die Studie 118 Personalmanager/innen aus deutschen Unternehmen. In der Studie werden Fragen zu Datendiebstahl, Computermissbrauch und Fehlverhalten von Mitarbeitern aus technischer und juristischer Sicht beleuchtet.

„Die Gefahr, Opfer von Computerkriminalität zu werden, ist für Unternehmen durchaus real“, so Reinhold Kern, Director Computer Forensics bei Kroll Ontrack. „Die Kriminalstatistik 2009 weist fast 75.000 Fälle aus, mit steigender Tendenz. Oft entwenden, sabotieren oder manipulieren Täter aus den eigenen Reihen die Daten. Unsere Studie zeigt, dass Unternehmen sich gegen Fehlverhalten ihrer Mitarbeiter noch stärker absichern müssen.“

„Laut der Studie sind sich Unternehmen der zunehmenden Risiken von Datendiebstahl und Computermissbrauch noch nicht ausreichend bewusst“, so Dr. Antje-Kathrin Uhl, Partnerin bei CMS Hasche Sigle. „Um sich zu schützen, sollten sie die rechtlichen und die technischen Möglichkeiten kennen und bereits im Vorfeld geeignete Maßnahmen einleiten.“

Regeln sind wichtig, Kontrolle noch wichtiger
Laut der Befragung haben zwar 87 Prozent der Unternehmen Regelungen zum Umgang mit Internet und E-Mail aufgestellt, 88 Prozent blockieren bestimmte Websites, beispielsweise Erotikseiten. Bemerkenswerterweise kontrolliert die große Mehrheit der Unternehmen (77 Prozent) aber nicht, ob die aufgestellten Regeln auch wirklich eingehalten werden.

Ohne Kontrollen bleiben Richtlinien allerdings ein stumpfes Instrument. Viele Unternehmen dulden private Internetnutzung. Wenn Mitarbeiter aber übermäßig viel privat surfen oder vertrauliche Informationen nach außen tragen, geben nur regelmäßig kontrollierte (Betriebs-)Vereinbarungen eine Handhabe, um dagegen vorzugehen. 

Compliance-Programme zu wenig verbreitet
Erheblichen Nachholbedarf zeigt die Studie auch im Bereich Compliance auf: Etwa die Hälfte der befragten Unternehmen (48 Prozent) hat kein Compliance-Programm für Vertrieb und Wettbewerb oder HR. Dem entsprechend gibt es auch nur in 46 Prozent der Unternehmen einen Compliance-Beauftragten, der ein solches Programm überwacht.

Damit setzen sich die Unternehmen erheblichen Risiken aus: Denn Compliance-Programme sollen gewährleisten, dass sich ein Unternehmen gesetzeskonform verhält, also zum Beispiel Vorschriften zu Arbeitsschutz und Datenschutz einhält. Bei einem Verstoß drohen dem Unternehmen hohe Geldstrafen, teilweise haften auch die Verantwortlichen persönlich. Mit einem Compliance-Programm können sich Unternehmen hiergegen absichern.

Ein Plan für den Fall der Fälle
Für den Fall, dass Mitarbeiter sich tatsächlich illegal verhalten, sind die befragten Unternehmen ebenfalls schlecht vorbereitet: Eine „Whistleblowing-Hotline“, also eine Instanz, über die Mitarbeiter Fehlverhalten  melden können (auch anonym), gibt es nur in 37 Prozent der Unternehmen. Einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen hat weniger als die Hälfte der Unternehmen eingerichtet, nämlich nur 44 Prozent.

Mehr Maßnahmen gegen Datenmissbrauch
Zusammenfassend stellt die Studie in deutschen Unternehmen erhebliche Lücken beim Schutz vor Datenmissbrauch fest. Unternehmen unterschätzen die Risiken aus der privaten Internetnutzung, der Möglichkeit zum Datendiebstahl oder dem einfachen Zugriff der Mitarbeiter auf  Unternehmensnetzwerke.

Um das Unternehmen effektiv gegen diese Risiken zu schützen, sollten Unternehmen eine Reihe von Maßnahmen ergreifen. An erster Stelle stehen dabei Richtlinien und Betriebsvereinbarungen für Internetnutzung und den Umgang mit sensiblen Daten – und deren regelmäßige Kontrolle. Zudem sollten sich Unternehmen in Deutschland auch mit Compliance stärker auseinandersetzen. Ein Compliance-Programm muss dabei jeweils auf die sensiblen Bereiche des Unternehmens zugeschnitten sein. Die genaue Kenntnis der technischen und juristischen Voraussetzungen hilft Unternehmen bei der Umsetzung effektiver Maßnahmen.

CMS Hasche Sigle
CMS Hasche Sigle ist eine der führenden wirtschaftsberatenden Anwaltssozietäten. Mehr als 600 Anwälte sind in neun wichtigen deutschen Wirtschaftszentren sowie in Brüssel, Moskau und Shanghai für ihre Mandanten tätig. CMS Hasche Sigle ist Mitglied von CMS, dem Verbund unabhängiger europäischer Rechts- und Steuerberatungssozietäten insbesondere für Unternehmen, Banken und Organisationen, die geschäftlich in Europa tätig sind oder es werden möchten. Wir verfügen über fundierte Kenntnisse der lokalen rechtlichen, steuerlichen und wirtschaftlichen Zusammenhänge. Mit 53 Büros in West- und Mitteleuropa sowie darüber hinaus bieten wir mandantenorientierte Dienstleistungen durch eine international konsistente, individuell zugeschnittene Strategieberatung in 28 Ländern. CMS mit Hauptsitz in Frankfurt am Main wurde 1999 gegründet und umfasst heute neun Sozietäten mit mehr als 2800 Anwältinnen und Anwälten.
CMS-Büros und verbundene Büros: Amsterdam, Berlin, Brüssel, London, Madrid, Paris, Rom, Wien, Zürich, Aberdeen, Algier, Antwerpen, Belgrad, Bratislava, Bristol, Budapest, Buenos Aires, Bukarest, Casablanca, Dresden, Düsseldorf, Edinburg, Frankfurt/Main, Hamburg, Kiew, Köln, Leipzig, Ljubljana, Luxemburg, Lyon, Marbella, Mailand, Montevideo, Moskau, München, Peking, Prag, Rio de Janeiro, Sarajevo, Sevilla, Shanghai, Sofia, Straßburg, Stuttgart, Utrecht, Warschau und Zagreb.