Die größten Sicherheitsrisiken für Unternehmen sind nicht Spione der Konkurrenz, schnüffelnde Journalisten oder Angriffe von Hackern. Die gefährlichste Bedrohung sind ihre eigenen Mitarbeiter, wie der Fall Zumwinkel zeigt: Ein ehemaliger Angestellter der Liechtensteiner LGT Bank ließ Hunderte sensible Daten mitgehen, die er für 4,2 Millionen Euro an den Bundesnachrichtendienst verkaufte und so schließlich den ehemaligen Postchef zu Fall brachte. Jetzt zittern zahlreiche andere deutsche Steuerflüchtlinge und verfluchen die mangelnden Sicherheitsvorkehrungen der Bank ihres Vertrauens.
In fast 25 Prozent aller Spionagefälle in Deutschland, bei denen die Behörden überhaupt einen Schuldigen ermitteln konnten, war ein eigener Mitarbeiter des betroffenen Unternehmens der Täter. Dies ist das Ergebnis der Studie "Industriespionage" der Unternehmensberatung für Sicherheitsdienstleistungen Corporate Trust. Gemeinsam mit dem Handelsblatt und dem Büro für angewandte Kriminologie in Hamburg befragten die Berater 741 Unternehmen, die Auskunft über Taten und Täter gaben.
Indiskretionen treiben Firmen in die Pleite
Konkurrierende Unternehmen waren demnach nur in 13 Prozent der Fälle in die Vorkommnisse verwickelt. Noch seltener gab es Hinweise auf Kunden, Lieferanten oder gar ausländische Geheimdienste, die sich unerlaubten Zugang zu sensiblen Daten verschafften.
Die Schäden solcher kriminellen Aktionen schätzen Experten auf fast drei Milliarden Euro. "Doch die Dunkelziffer ist wesentlich höher", sagt Corporate-Trust-Chef Christian Schaaf. "Viele Unternehmen fürchten sich vor der schlechten Publicity. Deshalb werden zahlreiche Fälle in der Öffentlichkeit erst gar nicht bekannt." Nur ein Bruchteil der Firmen schaltet die Behörden ein. Wenn überhaupt, lassen sie die Spionage-Fälle von externen Sicherheitsspezialisten untersuchen.
Einerseits ist die Zurückhaltung der betroffenen Unternehmen bei dem Thema nachzuvollziehen: In zahlreichen Branchen leben Konzerne von ihrem Ruf, vertrauenswürdig zu sein und mit Kundendaten äußerst sensibel umzugehen. Dies gilt besonders für die Finanzbranche. Wird dort eine Indiskretion bekannt, führt das zu Umsatzeinbußen bis hin zur Pleite. Deshalb halten viele betroffene Firmen Informationen über Datenklau zurück.
Andererseits höhlt solch ein Verhalten das Vertrauen der Mitarbeiter ins eigene Unternehmen aus. "So wird vorgelebt, dass solch ein Verhalten keine Konsequenzen hat", sagt Christian Schaaf. "Eine Wiederholung wird wahrscheinlicher. Langfristig ist das also auch keine Lösung."
Auf der nächsten Seite: Was Mitarbeiter zur Sabotage treibt und wie sich Firmen davor schützen können.
Schaaf rät, von vorneherein viel mehr auf interne Betrugsfälle zu achten. "Firmen schützen sich oft hervorragend gegen Angriffe von außen. Interne Prozesse dagegen werden vernachlässigt." So gibt es in nahezu allen Firmen zwar wirksame Zugangskontrollen zum Firmenareal, besonders sensible Bereiche werden videoüberwacht. Knapp sechs Prozent der befragten Unternehmen haben sogar abhörsichere Räume.
Ebenso gehören Firewalls und hohe Standards bei der IT-Sicherheit mittlerweile zum Alltag. Doch auf der Mitarbeiterebene wird abgesehen von Geheimhaltungsverpflichtungen in Arbeitsverträgen nicht allzu viel getan. Sogar Background-Checks von Bewerbern für verantwortungsvolle Positionen werden nur bei 25 Prozent der Firmen durchgeführt. "Dabei sollte man schon bei der Personalauswahl viel sorgfältiger sein", erklärt Schaaf. "Filtert man hier anfällige Personen heraus, bleibt den Unternehmen später viel erspart."
Ganz genau wissen Unternehmen allerdings nie, wie sich ein Mitarbeiter entwickelt. Anreize zur Spionage können auch Faktoren sein, die zum Zeitpunkt der Einstellung noch überhaupt keine Rolle spielten: eine teure Scheidung oder der aufwändige Hausbau etwa. Genauso häufig kommt es jedoch vor, dass frustrierte Mitarbeiter ihre Firma sabotieren, Motiv: Rache.
Inzwischen bietet die American International Group als weltweit einziger Versicherungskonzern eine Versicherung gegen sogenannte Vertrauensschäden an. Versichert sind alle Arten unrechtmäßiger Bereicherung durch eigene Mitarbeiter wie Betrug, Diebstahl oder Missbrauch der IT. Die Kosten für einen PR-Manager sind im Vertrag inbegriffen - für die Krisenkommunikation.