Der Feind an meinem Schreibtisch

Man muss kein Egozentriker wie Donald Trump sein, um Feinde unter seinen engsten Mitarbeitern zu haben. Es waren wohl Insider, die die US-Bundespolizei FBI darüber informierten, dass der ehemalige US-Präsident verbotenerweise streng geheime Unterlagen in seinem Ruhesitz Mar-a-Lago lagert. Bei Trump geht es um die nationale Sicherheit. Beim Mittelständler bedroht die Weitergabe neuer Patentideen, externer Kundendaten oder von Kontozugängen das Unternehmen.

Je digitaler es arbeitet, desto verwundbarer ist es. Jeder Mitarbeiter mit Zugang zu Räumen, Daten oder Netzwerken hat die Macht, durch Korruption, Untreue, Insiderhandel oder Geheimnisverrat seiner Firma existenziell zu schaden. Er oder sie muss nicht einmal die IT seines Arbeitgebers verstehen. Es reicht, eine Lücke im System zu erkennen und im Darknet an Kriminelle zu verkaufen. Manch Krimineller versucht auch, Mitarbeiter gezielt anzuwerben oder zu erpressen. Und zunehmend werden ausscheidende oder ehemalige Mitarbeiter kriminell, wie der IT-Verband Bitkom berichtet. Abgesehen vom Schaden: Welche Verantwortung hat die Geschäftsführung? Und wer haftet?

146.000 Cyberstraftaten wurden 2021 in Deutschland registriert, ein Rekord. Der Verband der Versicherer berichtet, fünf bis zehn Prozent der versicherten Unternehmen würden Opfer von Innentätern. 2019 verursachten diese 63 Prozent der gemeldeten, versicherten Schäden. Experten des Bundeskriminalamts (BKA) warnen eindringlich: „Vorhandene Schutzmaßnahmen sind anscheinend oftmals nicht geeignet, um ein auffälliges Verhalten frühzeitig zu erkennen.“ Der Faktor Mensch sei zu präsent und flexibel, als dass er nicht technische Vorkehrungen umgehen könne. Die Polizei geht von einer hohen Dunkelziffer aus. Womöglich auch, weil ein Unternehmen öffentlichkeitswirksame Taten so lange wie möglich unter der Decke halten will.

Geldnot, Neid, Rache

Innentäter haben unterschiedliche Beweggründe – Rache für Mobbing oder ruinierte Karrierechancen, Neid und Missgunst, politische, kulturelle oder religiöse Überzeugungen, Geldnot oder erhoffter Ruhm als Whistleblower. Und es sind fast immer Männer.

Im Groben gibt es diese Täterprofile:       

• Den Unauffälligen zeichnet gar nichts aus, außer dass er genau weiß, wie man eine Gelegenheit ergreift, wenn sie sich ihm bietet.
  
  
• Der Abhängigkeitstäter richtet sich nach dem Haupttäter, um persönliche Nachteile zu vermeiden oder aus überbordender Loyalität ihm gegenüber. Dem Unternehmen fühlt er sich nicht verpflichtet.
  
  
• Den Krisentäter wirft oft ein kritisches Ereignis aus seinen gewohnten Bahnen, womöglich damit verbunden, dass er dringend Kapital braucht. Lieber schadet er seinem Arbeitgeber, als diese Krise auf anderem Weg zu lösen.
  
  
• Der Ignorante öffnet jeden Anhang einer E-Mail, stöpselt den auf dem Firmenparkplatz gefunden USB-Stick in seinen Laptop oder nutzt 123456 als Passwort. Ihn treibt kein krimineller Ehrgeiz an. Er ist nachlässig oder hat längst innerlich gekündigt.
  
  
• Whistleblower können Daten aus vermeintlich ehrenwerten Motiven kopieren, beispielsweise um Unrecht zu belegen. Strafrechtlich sind sie besonders geschützt.

Späher im Management

Der Innentäter kann auch in der Chefetage sitzen. Compliance-Experten der Wirtschaftsprüfungsgesellschaft EY befragten 2017 Manager nach der Wahl ihrer Mittel, um Karriere zu machen. Sie antworteten erstaunlich offen. 23 Prozent wären bereit, das Management mit falschen Informationen zu versorgen sowie unethisches Verhalten bei Kollegen, Kunden und Lieferanten zu ignorieren. Jeder Zehnte würde auch Behörden und Vorgesetzte täuschen. Die Studie warnt: Auch ein Top-Performer im Unternehmen kann ein funktionaler Psychopath sein. Jüngere Mitarbeiter zeigten sich offener für eine solche Innentäterschaft als ältere. Allen Compliance-Maßnahmen zum Trotz dürfte der Drang nach Geld, Geltung oder Rache bis heute nicht abgenommen haben.

Experten haben zwei Vorsorgevorschläge. Erstens: Nach solchen Typologien sollten verschiedene Tätertypen und daraus mögliche Risiken rechtzeitig identifiziert werden. Mitarbeiter und Führungskräfte sollten geschult und mit Abwehrmaßnahmen unterstützt werden.

Zweitens: Bloß keine Verdachtskultur im Unternehmen schaffen, denn die führt aus Verärgerung zu neuen Innentätern. Gerade ein vertrauensvolles Klima mit Wertschätzung, positiver Fehlerkultur und fairer Bezahlung ist ein guter Schutz gegen Angriffe von innen.

Während Kriminologen nach Verhaltensmustern suchen, unterscheiden Juristen die aus dem Verhalten resultierenden Verschuldensformen. Dann geht es um Absicht, Vorsatz, billigende Inkaufnahme, grobe Fahrlässigkeit und einfache Fahrlässigkeit – mit den entsprechenden Konsequenzen im Straf-, Zivil- und Arbeitsrecht.

„Die Geschäftsführung oder der Vorstand haben die gesetzliche Pflicht, das Unternehmen, also auch seine IT, zu schützen“, sagt Mareike Gehrmann, Fachanwältin für IT-Recht bei der Wirtschaftskanzlei TaylorWessing. „Um ein Organisationsversagen zu verhindern, muss die Managementebene die nötige Sicherheitsstruktur schaffen, beständig evaluieren, kontrollieren und hinreichende ­Ressourcen zur Verfügung stellen.“ Sobald Daten Dritter, wie von Lieferanten, Kunden oder Beschäftigten durch den Innenangriff betroffen sind, wird die Lage unangenehmer. „Dann kommt es bei Haftung und Schadenersatz auf den Einzelfall und eine gute Dokumentation aller Abwehrmaßnahmen an“, sagt Gehrmann. Die durch den Datenklau Geschädigten haben es mit einer Klage auf datenschutzrechtlichen Schadenersatz aber schwer. Zwar haftet das Unternehmen grundsätzlich, aber den Verantwortlichen muss das Verschulden nachgewiesen werden. Viele Einzelheiten hierzu sind aktuell noch unklar, weshalb viele Vorlagefragen dem Europäischen Gerichtshof zur Entscheidung vorliegen.

Anwältin Gehrmann warnt gerade Mittelständler eindringlich: „Angegriffene Unternehmen haben je nach Angriff sofortige Meldepflichten. Fristen sollten deshalb ab Kenntnis des Angriffs anhand relevanter Zeitpunkte sofort notiert werden. Oft laufen diese Fristen. Aber weil das Unternehmen vorher keinen Krisenplan entwickelt hat, werden sie verpasst. Parallel muss der Angriff schnellstmöglich beendet werden. Hier kann die Beiholung Externer, wie IT-Forensiker, sinnvoll sein, welche die IT-Abteilung unterstützen. Sonst verursacht der Innentäter womöglich weiteren Schaden

Deshalb appelliert auch Carsten Meywirth, Leiter der Abteilung Cybercrime beim Bundeskriminalamt: „Wenden Sie sich als Opfer von Cybercrime schnellstmöglich an die Polizei. Das BKA und die Länderpolizeien haben zentrale Ansprechstellen, die im Schadensfall schnell und kompetent weiterhelfen.“ Grundsätzlich gelte: „Je schneller eine Anzeige erfolgt, desto wahrscheinlicher können die flüchtigen digitalen Spuren zu den Tätern gesichert, die Straftäter verfolgt und kriminelle Infrastrukturen zerschlagen werden.“