Mitarbeitende, die – ob nun freiwillig oder unfreiwillig – ein Unternehmen verlassen, verursachen oftmals großen Datenverlust, der verheerende Schäden anrichten kann. Die Datenweitergabe eines Unternehmens kann je nach Art der Daten zu immensem Reputationsschaden führen. Datenverlust ist häufig auf menschliches Versagen zurückzuführen. Es ist nicht unüblich, dass Mitarbeitende sensitive Daten mitnehmen, sei dies auf einem USB-Stick oder dass sie über Mail vertrauliche Informationen exportieren. Die Grafik unten spricht eine eindeutige Sprache.

Laptops, Festplatten, Smartphones und anderweite Serversysteme sind oftmals nicht mit angemessenen Zugriffssperren eingerichtet, die eine Sabotage oder vorsätzliche Zerstörung von Daten unterbinden könnten. Davon abgesehen, dass es Mitarbeitende gibt, die willentlich Geschäftsgeheimnisse und vertrauliche Firmendaten mitgehen lassen, liegt wohl auch ein bedeutender Grund für Datenlecks darin, dass die Mitarbeitenden im Umgang mit Daten nicht richtig geschult werden. Eine weltweite Studie von Kaspersky Lab in Zusammenarbeit mit B2B International hat Unternehmen nach der ihrer Meinung nach häufigsten Ursache von Datenlecks befragt. Das Ergebnis ist demnach, dass wenn bei Unternehmen Daten nach außen dringen, dies oft auf falsches Verhalten der Mitarbeiter zurückzuführen ist. Eine weitere Ursache von Datenlecks in Unternehmungen sind durch Diebstähle von mobilen Geräten begründet. Auch die Studie aus dem Jahr 2016 von Osterman Research bestätigt das Ergebnis von Kaspersky Lab: […] because a large and growing proportion of employees work at least some oft he time from home, if only after normal work hours, they often maintain a rich source of corporate data on their personal desktop and laptop computers, USB sticks, personally managed file sync and share tools like Dropbox, and other locations […]“.

Die Studie enthält viele praktische Beispiele mit den Konsequenzen (zB Verlust von geistigem Eigentum oder Reputation) [1] und empfiehlt sowohl organisatorische wie technische Maßnahmen, um den Datenverlust durch einen austretenden Mitarbeitenden zu minimieren. Der Austritts-Prozess wird durch eine Checkliste klar geregelt. Namentlich zu erwähnen sind die Rückforderung sämtlicher vom Unternehmen geliehenen Computer und mobilen Geräten, aber auch externe Festplatten, USB-Sticks, Backup CD u.ä. Darüber hinaus soll ein Inventar über sämtliche Arbeitsdokumente (Handakten) und Projekte verlangt werden, an denen der Mitarbeitende gearbeitet hat. Beim Austritts-Gespräch sollen Zukunftspläne des Mitarbeitenden thematisiert werden, um ggf. potenzielle Risiken erkennen und bestimmen zu können.

Technische Maßnahmen zum Minimieren von Datenverlusten können durch die Bereitstellung von ECM-Systemen gewährleistet werden. So beschreibt die oben genannte Studie die folgende Empfehlung: „It is essential that organizations maintain complete, ongoing visibility of sensitive corporate data across all of their endpoints, cloud applications and any other repositories where data might be stored. An important best practice to accomplish this ist he deployment of a content archiving system that will enable the capture, indexing and immutability of content based on corporate policy […]. In dieser Policy muss zwingend die Zugriffsregelung, Verschlüsselung und die Backup-Policy geregelt sein. Auch die Authentifizierung von sensitiven Daten muss Bestand dieser Policy sein; der Zugriff auf weniger vertrauenswürdige Daten wird nur durch Benutzername und Passwort geschützt, wohingegen vertrauliche oder geheime Informationen durch die Vergabe einer zwei-Faktoren-Authentifizierung sinnvoll ist.

Fazit: den Unternehmen, speziell den HR Bereichen ist zu raten, dass sie sowohl den organisatorischen Maßnahmen (klar geregelte Austritts-Prozedur betr. Geschäftsinformation) wie auch den technischen Maßnahmen zur Verhinderung von Datenverlusten durch austretende Mitarbeitende besonderes Augenmerk schenken.

Ariane Wyss

[1] Osterman Research White Paper: Best Practices for Protecting Your Data When Employees Leave Your Company (https://www.intralinks.com/resources/publications/osterman-report )