Firmenpatente und Kreditkartendaten: Angestellte als potenzielle Datenhehler

Mitarbeiterloyalität offenbar zumeist nur eine Frage des Preises

[datensicherheit.de, 07.08.2018] Laut einer internationalen Befragung von Clearswift RUAG Cyber Security würde – wenn der Preis stimmt – ein Drittel aller Mitarbeiter vertrauliche Unternehmemsinformationen des Arbeitgebers verkaufen: 25 Prozent wären demnach für umgerechnet etwa 6.900 Euro hierzu bereit, andere würden sich bereits für kaum mehr als 130 Euro verleiten lassen. Für die Studie seien mehr als 500 Entscheidungsträger und 4.000 Angestellte aus dem Bereich IT befragt worden, um das Gefahrenpotenzial durch Insider zu ermitteln.

Firmenpatente, Finanz- und Kreditkartendaten als Hehlerware

Nach eigenen Angaben von Clearswift RUAG Cyber Security wurde die unabhängige Umfrage von Loudhouse zu Sicherheitspraktiken in Unternehmen durchgeführt:
Die Studie unter 4.000 Angestellten in Deutschland, Großbritannien, den USA und Australien habe ergeben, dass 25 Prozent der Befragten bereit wären, solche Daten zu verkaufen und dadurch sowohl ihre Stelle als auch eine Verurteilung riskieren würden. Der Preis liege umgerechnet bei etwa 6.900 Euro – so viel wie ein Familienurlaub in der Karibik oder nicht einmal drei durchschnittliche Monatsgehälter.
Wenn der Preis stimmt, würden sogar 35 Prozent aller Mitarbeiter Informationen zu Firmenpatenten, Finanzdaten und Kreditkartendaten von Kunden verkaufen: Drei Prozent der Angestellten würden sogar schon für rund 130 Euro private Daten veräußern, für etwa 1.300 Euro ließen sich bereits 18 Prozent überreden; für eine Summe von rund 66.800 Euro wären 35 Prozent der Befragten bestechlich.

Bestechung einfacher als Hacking

Diese Tatsache sei für Wettbewerber und Kriminelle besonders wertvoll, da Mitarbeiter zu bestechen oft einfacher sei, als die immer komplexeren Sicherheitssysteme zu überwinden. Einige Firmen und selbst Behörden hätten es längst auf Patente und anderes Geistiges Eigentum abgesehen, durch welches ihnen ein Vorteil entstünde, während Mitbewerber vor allem von Informationen wie dem Auslaufen von Verträgen profitierten.
Kriminelle wiederum könnten private Informationen missbrauchen, um Geld zu stehlen oder ranghohe Angestellte zu erpressen. Auch ergäben sich aus den Erkenntnisse der Studie neue Möglichkeiten für Cyber-Kriminelle, an Benutzernamen und Passwörter gelangen, wenn Mitarbeiter bereit sind, auch diese gegen Bezahlung zu veräußern. Das Entwenden von Nutzerinformationen habe für Kriminelle große Bedeutung, da der Zugang auf das Unternehmensnetzwerk besonders einfach gelinge. Der Verkauf von Geistigem Eigentum basiere auf dem Wissen, welche Daten wertvoll sind – mithilfe von Benutzernamen und Passwörtern hätten unbefugte direkten Zugriff auf sämtliche Unternehmensdaten.

Foto: Clearswift RUAG Cyber Security

Heath Davies: 61 Prozent der Befragten haben Zugriff auf privaten Kundendaten, 51 Prozent auf Finanzdaten und 49 Prozent auf sensible Produktdaten

Schäden in Millionenhöhe drohen

Heath Davies, „Chief Executive Officer“ von Clearswift RUAG Cyber Security, weiß Folgendes zu berichten: „Während Sicherheit insgesamt ernster genommen wird – 65 Prozent aller Mitarbeiter gaben an, zu keinem Preis käuflich zu sein – gibt es dennoch eine bedeutende Gruppe von Personen, die bereit sind, Profit aus Dingen zu schlagen, die ihnen nicht gehören. Und solche Informationen können einen Wert von mehreren Millionen Euro haben.“
Die Gefahr, dass wertvolle Informationen illegal veräußert werden, steige auch dadurch, dass viele Mitarbeiter ohne Weiteres darauf zugreifen könnten: 61 Prozent der Befragten hätten angegeben, Zugriff auf privaten Kundendaten zu haben, 51 Prozent auf Finanzdaten wie Firmenkonten oder Informationen zu Aktionären und 49 Prozent auf sensible Produktdaten wie geplante Produkteinführungen und Patente.
Die Einstellung zum Thema Datensicherheit sei gemischt: Gerade einmal 29 Prozent hätten angegeben, dass sie sich persönlich für die Daten des Unternehmens verantwortlich fühlten – 22 Prozent hingegen glaubten, überhaupt nicht dafür verantwortlich zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 06.08.2018
Sicherheitsbewusstsein: Spielerische Motivation der Mitarbeiter empfohlen

datensicherheit.de, 08.02.2017
Qualifizierte Mitarbeiter erforderlich: Umgang mit elektrotechnischen Betriebsmitteln im Unternehmen

datensicherheit.de, 31.08.2016
Mangelndes IT-Sicherheitsverhalten von Mitarbeitern bleibt wesentliches Risiko

datensicherheit.de, 05.12.2011
Know-how-Abfluss: Die wachsende Bedrohung für Unternehmen