IT-Sicherheit und Datenschutz

Datendiebstahl durch Mitarbeitende – so schützen Sie Ihr Unternehmen

Datendiebstahl verhindern

Vielfältige Gründe für Datendiebstahl

Um arbeiten zu können, brauchen Ihre Angestellten Zugriff auf die Firmendaten. Was, wenn sie Ihnen übel wollen? Schützen Sie Kundendaten, Produktionswissen, Projektpläne und weitere zentrale Informationen vor Missbrauch durch aktuelle oder auch ehemalige Mitarbeitende.

Sei es Rache, sei es der Plan, Daten gewinnbringend zu verkaufen, oder der Wunsch, mit dem Firmenwissen eine eigene Existenz aufzubauen – die Gründe für Datendiebstahl sind vielfältig. Besonders kritisch kann es bei gekündigten Angestellten werden, wenn sie sich am ehemaligen Arbeitgeber rächen wollen.

Gut zu wissenEs muss nicht immer Datendiebstahl sein. Ein Datenleck, weil Angestellte fahrlässig mit der IT-Infrastruktur umgegangen sind, kann genauso gravierende Folgen haben. Dagegen können Sie sich effizient schützen: mit sorgfältiger Schulung Ihrer Angestellten.

Zentral – die Firmenkultur

Die beste Vorbeugung gegen Datendiebstahl ist eine gute Firmenkultur. Eine Mitarbeiterin, die gern für Ihre Firma arbeitet, stolz ist auf die Produkte und Dienstleistungen, hat kaum Grund zum Datendiebstahl. Ein Mitarbeiter, der Möglichkeiten sieht, sich in Ihrer Firma weiterzuentwickeln, setzt sich ein und ist daran interessiert, dass das Unternehmen gedeiht.

Tipp Mehr zum positiven Arbeitsklima lesen Sie unter «Arbeitsklima fördern – das können Sie tun». Wie Sie Ihre Angestellten fördern und fordern, erfahren Sie unter «Personalentwicklung – nutzen Sie das Mitarbeiterpotenzial».

Ohne dem gegenseitigen Bespitzeln Vorschub zu leisten: Oft wissen die Kolleginnen und Kollegen am besten Bescheid darüber, was jemand an seinem Arbeitsplatz so alles macht. Machen Sie klar, dass Ungereimtheiten gemeldet werden sollten. Welche Informationen Sie dabei benötigen, sehen Sie unter «IT-Vorfälle melden».

So verhindern Sie Datendiebstahl durch Angestellte

Ihre Mitarbeitenden hantieren ständig mit sensiblen Informationen über Ihre Firma. So schützen Sie sich gegen Missbrauch und Diebstahl.

Die Basis: ein sauberes Onboarding

Im Rahmen des Onboardings erläutern Sie jedem neuen Mitarbeiter, jeder Mitarbeiterin möglichst am ersten Arbeitstag, was in Sachen Cybersecurity in Ihrem Betrieb gilt.

Definieren Sie gleich zu Beginn alle Zugriffsrechte Ihrer Angestellten und halten Sie sie in einer Checkliste fest. Erfassen Sie nicht nur die Datenzugriffsrechte, das heisst die Berechtigungen für Systeme und Netzwerke, sondern auch die physischen Zutrittsberechtigungen: Wer hat einen Schlüssel für Ihre Firmenräumlichkeiten?

Je nach Grösse und Komplexität Ihrer IT-Umgebung, lohnt es sich, ein automatisiertes Reporting respektive eine automatisierte Überwachung der Zutrittsberechtigungen einzurichten, sodass auf Knopfdruck festgestellt werden kann, welche Angestellten Zugriff auf ein bestimmtes System haben. Klären Sie die Möglichkeiten dafür mit Ihrer IT-Abteilung oder Ihrem Dienstleister.

TippDie Dokumentation der Zugriffsrechte sollte nicht einfach in der Ablage verschwinden. Überprüfen Sie in regelmässigen Abständen, ob die Berechtigungen noch erforderlich sind, und tragen Sie neue Zugriffsrechte ein. Und beim Austritt eines Mitarbeiters hilft Ihnen die Liste, dass keine Berechtigungen vergessen gehen.

Blockieren Sie Steckplätze für USB und SD-Karten

Erschweren Sie das Mitnehmen – und auch das Hochladen – von Daten, indem Sie auf allen Geräten, die auf Ihr Firmennetzwerk zugreifen können, die USB- und SD-Kartensteckplätze blockieren. Das erschwert es Mitarbeitenden, Kopien von Daten auf externen Speichermedien mitzunehmen. Wie Sie dies tun, erfahren Sie unter folgenden Adressen:

Setzen Sie auf eine DLP-Lösung

DLP-Lösungen (Data Loss Prevention) spüren Datenlecks auf technischer Ebene auf und helfen bei der Vorbeugung, indem sie Ihr Unternehmen bei folgenden Aktivitäten unterstützen:

  • Identifikation von sensiblen Informationen im Unternehmen
  • Verhindern von irrtümlicher Veröffentlichung und ungewolltem Teilen sensitiver Informationen
  • Monitoring und Schutz von Daten
  • Schulung der Benutzer im richtigen Umgang mit sensitiven Daten

DLP-Lösungen gibt es sowohl für die lokale IT-Infrastruktur (on-premise), etwa von Anbietern klassischer Virenschutzsoftware wie Symantec oder McAfee, als auch für Cloud-Lösungen wie Microsoft Online. Allerdings ist auch eine DLP-Lösung kein Allheilmittel, sie kann aber, wenn richtig eingesetzt, wesentlich zum Schutz Ihrer Daten beitragen.

Beobachten Sie Auffälligkeiten

Definieren Sie, was Sie unter auffälligem und unauffälligem Verhalten verstehen und beobachten Sie es. Auffällig kann beispielsweise sein, wenn aus einer fachfremden Abteilung sehr viele Aufrufe einer bestimmten Seite erfolgen, besonders zu ungewöhnlichen Uhrzeiten, etwa nachts. Auch Downloadversuche durch gekündigte Mitarbeitende können eine Auffälligkeit darstellen.

Achtung Die Überwachung einzelner Angestellter ist nur aus triftigen Gründen zulässig – also erst, wenn ein konkreter Diebstahlverdacht vorliegt. Wollen Sie generelle Überwachungsmassnahmen ergreifen, müssen Sie dies vorgängig ankündigen.

Besonders heikel: private Geräte und Homeoffice

Über private Geräte ist ein Datendiebstahl eher möglich. Wenn möglich sollten also Ihre Mitarbeitenden keine privaten Geräte zur Arbeit benutzen. Falls es nicht anders geht: Jedes private Gerät, das für die Firma im Einsatz ist, muss mit einer Sicherheitssoftware ausgestattet und mit einem komplexen Passwort geschützt sein. Und auch bei privaten Geräten sind regelmässige Betriebssystem- und Sicherheitsupdates wichtig.

Mitarbeitende, die im Homeoffice arbeiten, sollen dafür wenn möglich keine Firmenunterlagen mitnehmen. Sämtliche internen Daten, die das Haus verlassen, stellen ein Sicherheitsrisiko dar, da sie der Gefahr für Verlust oder Diebstahl ausgesetzt sind.

Blockieren Sie E-Mail-Netzwerke

Auf besonders sensiblen Geräten oder in Abteilungen mit wertvollen Informationen – das sind etwa die Daten in der Personalabteilung genauso wie Grundlagen für Patente und eigene Prozesse in der Produktentwicklung – sollte Ihre IT-Abteilung E-Mail-Dienste wie Gmail, Hotmail oder Yahoo blockieren, damit keine Daten über diese Mailserver verschickt werden. Die Mitarbeitenden sollen die offiziellen Firmenaccounts benutzen.

Mitarbeitende in gekündigtem Verhältnis können ein Risiko darstellen

Ob noch in der Kündigungsfrist oder bereits ausgetreten – Angestellte, die wütend sind über die Kündigung, können versucht sein, sich durch Datendiebstahl zu rächen. So schützen Sie sich davor:

  • Überprüfen Sie schon während der Kündigungsfrist die IT-Berechtigungen des Mitarbeiters anhand der Liste, die Sie beim Onboarding erstellt haben. Definieren Sie – allenfalls gemeinsam mit dem Mitarbeiter –, welche Zugriffsrechte er noch benötigt und welche entfernt werden können. Achten Sie aber darauf, dass der Mitarbeiter seine Arbeit weiterhin problemlos erledigen kann.
  • Auch nachdem eine Mitarbeiterin Ihren Betrieb verlassen hat, kann sie noch versuchen, ins Firmennetzwerk einzudringen. Heikel sind vor allem private Geräte, die beim Austritt ja nicht abgegeben werden. Löschen Sie also alle Berechtigungen und Accounts der ausgetretenen Mitarbeiterin umgehend.
Gut zu wissen Oft geht beim Austritt von Mitarbeitenden vergessen, dass sie sich noch in VPN-Netzwerke einloggen können. Auch die VPN-Zugriffe müssen spätestens am letzten Arbeitstag eines Mitarbeitenden entfernt werden.

Führen Sie ein sauberes Offboarding durch

Am Ende einer Anstellung sollten Sie ein Offboarding durchführen. Die unten stehende Checkliste enthält alle wichtigen Punkte, die aus Sicht der Datensicherheit dazugehören: etwa die Rückgabe von Geräten oder die Löschung privater Daten vom Firmenserver.

Tipp Beim Onboarding haben Sie eine Liste mit allen Zugriffsrechten des Mitarbeiters erstellt. Jetzt beim Austritt arbeiten Sie diese Zeile für Zeile ab. So stellen Sie sicher, dass sämtliche Berechtigungen sauber bereinigt wurden.