Gegen Hackerattacken sichern sich viele Firmen ab. Gegen Datenmissbrauch durch die eigenen Mitarbeiter allerdings nur die wenigsten. Ein gefährlicher Fehler, wie manches Unternehmen bereits feststellen musste.
So viel Ehrlichkeit ist selten. Man habe finanzielle Probleme, räumte die Firma Häffel in einer E-Mail an ihre wichtigsten Geschäftspartner und Kreditgeber ein. Möglicherweise könne es zu Verzögerungen beim Bezahlen von Außenständen und Kreditraten kommen. Absender: der Geschäftsführer des Gebäudereinigungs- und Bewachungsunternehmens.
Wichtige Daten auch gegen Datenmissbrauch im eigenen Haus schützen
Die Information verbreitete sich schnell, bald tuschelte die ganze Stadt über die Schwierigkeiten der Firma Häffel, die in Wirklichkeit anders heißt. Das war der Anfang vom Ende: Kunden stellten die Zusammenarbeit ein, Geschäftspartner sprangen ab, schließlich musste das Unternehmen Insolvenz anmelden.
Was die Verbreiter des Gerüchts nicht wussten: Das Unternehmen war in Wirklichkeit kerngesund, die Behauptungen über angebliche Zahlungsschwierigkeiten waren frei erfunden. Die E-Mails aus der Geschäftsführung waren gefälscht.
Rache gegen den ehemaligen Arbeitgeber
Den wahren Absender ermittelte Mark Semmler, Chef der Firma Antago, die Firmen bei Suche nach Lecks in ihren IT-Systemen hilft. Semmler, ein ehemaliger Hacker, fand heraus, dass die Mails aus Rache verschickt worden waren - vom ehemaligen Prokuristen der Firma. Der war kurz zuvor fristlos entlassen worden, weil er Geld in die eigene Tasche gesteckt hatte. Offensichtlich hatte anschließend niemand daran gedacht, seinen Zugang zum firmeninteren E-Mail-System zu sperren.
Semmler wundert das nicht. Er weiß: Die meisten Angriffe auf die IT von Unternehmen kommen aus den eigenen Reihen. Einer Studie der Wirtschaftsprüfungsgesellschaft KPMG zufolge werden mehr als 60 Prozent aller IT-Delikte in deutschen Unternehmen von den eigenen Mitarbeitern begangen.
Der Feind im eigenen Haus - Computerstraftaten in Unternehmen
Nicht immer handeln die Täter vorsätzlich wie im Fall des rachsüchtigen Prokuristen. Auch pure Sorglosigkeit kann große Schäden verursachen. Wenn Firmen ihn als Sicherheitsberater engagieren, lässt Semmler beim Gang durch die Flure gern mal einen USB-Stick fallen, auffallend markiert mit der Beschriftung "FKK-Urlaub 2011". Seine Erfolgsquote liege sehr hoch, sagt Semmler: "Irgendjemand steckt den Stick immer in einen der Firmencomputer - und installiert damit ein Schadprogramm, mit dem ich Zugriff auf den Rechner bekomme."
Ebenso leicht können sensible Firmendaten durch unaufmerksam versandte E-Mails in die falschen Hände gelangen. "Jedem passiert es einmal, dass er versehentlich eine Nachricht an den falschen Empfänger schickt", sagt Katrin Böhme, Referentin für IT-Sicherheit im Mittelstand bei der Initiative "Deutschland sicher im Netz" (DisN). "Darum sollte es Standard in Unternehmen sein, vertrauliche Daten in Anhängen zu speichern und diese durch eine Verschlüsselungssoftware zu schützen." Zu den gängigsten Herstellern zählen etwa Sophos, McAfee oder Symantec.
Quelle: Financial Times (von Almut Kaspar und Claus Hornung)