CMS Hasche Sigle mit Studie über das unterschätzte Risiko Datenmissbrauch

Für die Studie hat CMS Hasche Sigle und der Datenrettungsspezialist Kroll Ontrack 118 Personalmanager/innen aus deutschen Unternehmen befragen lassen. Ergebnis: Neun von zehn Unternehmen regeln zwar den Umgang mit Internet und E-Mail am Arbeitsplatz, aber mehr als 75 Prozent kontrollieren nicht regelmäßig, ob diese Regeln auch eingehalten werden.

Compliance-Programme, die zur Überwachung von gesetzlichen Vorschriften und betrieblichen Richtlinien dienen, gibt es nur in etwa der Hälfte der Unternehmen, die andere Hälfte hat bisher noch keine Compliance-Programme etabliert.

Zunehmende Risiken

„Laut Studie sind sich Unternehmen der zunehmenden Risiken von Datendiebstahl und Computermissbrauch noch nicht ausreichend bewusst“, so Antje-Kathrin Uhl, Partnerin bei CMS Hasche Sigle. „Um sich zu schützen, sollten sie die rechtlichen und die technischen Möglichkeiten kennen und bereits im Vorfeld geeignete Maßnahmen einleiten.“

„Die Gefahr, Opfer von Computerkriminalität zu werden, ist für Unternehmen durchaus real“, so Reinhold Kern, Director Computer Forensics bei Kroll Ontrack. „Die Kriminalstatistik 2009 weist fast 75.000 Fälle aus, mit steigender Tendenz. Oft entwenden, sabotieren oder manipulieren Täter aus den eigenen Reihen die Daten. Unsere Studie zeigt, dass Unternehmen sich gegen Fehlverhalten ihrer Mitarbeiter noch stärker absichern müssen.“

Laut Studie haben zwar 87 Prozent der Unternehmen Regelungen zum Umgang mit Internet und E-Mail aufgestellt, 88 Prozent blockieren bestimmte Websites, beispielsweise Erotikseiten. Bemerkenswerterweise kontrolliert die große Mehrheit der Unternehmen (77 Prozent) aber nicht, ob die aufgestellten Regeln auch wirklich eingehalten werden.

Stumpfes Instrument

Ohne Kontrollen bleiben Richtlinien allerdings ein stumpfes Instrument. Viele Unternehmen dulden private Internetnutzung. Wenn Mitarbeiter aber übermäßig viel privat surfen oder vertrauliche Informationen nach außen tragen, geben nur regelmäßig kontrollierte (Betriebs-)Vereinbarungen eine Handhabe, um dagegen vorzugehen. 

Erheblichen Nachholbedarf zeigt die Studie auch im Bereich Compliance auf: Etwa die Hälfte der befragten Unternehmen (48 Prozent) hat kein Compliance-Programm für Vertrieb und Wettbewerb oder HR. Dem entsprechend gibt es auch nur in 46 Prozent der Unternehmen einen Compliance-Beauftragten, der ein solches Programm überwacht.

Damit setzen sich die Unternehmen erheblichen Risiken aus: Denn Compliance-Programme sollen gewährleisten, dass sich ein Unternehmen gesetzeskonform verhält, also zum Beispiel Vorschriften zu Arbeitsschutz und Datenschutz einhält. Bei einem Verstoß drohen dem Unternehmen hohe Geldstrafen, teilweise haften auch die Verantwortlichen persönlich. Mit einem Compliance-Programm können sich Unternehmen hiergegen absichern.

Schlecht vorbereitet

Für den Fall, dass Mitarbeiter sich tatsächlich illegal verhalten, sind die Unternehmen ebenfalls schlecht vorbereitet: Eine „Whistleblowing-Hotline“, also eine Instanz, über die Mitarbeiter Fehlverhalten  melden können (auch anonym), gibt es nur in 37 Prozent der Unternehmen. Einen Notfallplan oder eine Eskalationsrichtlinie bei Verdacht auf illegale Handlungen hat weniger als die Hälfte der Unternehmen eingerichtet, nämlich nur 44 Prozent.

Zusammenfassend stellt die Studie in den Unternehmen erhebliche Lücken beim Schutz vor Datenmissbrauch fest. Unternehmen unterschätzen die Risiken aus der privaten Internetnutzung, der Möglichkeit zum Datendiebstahl oder dem einfachen Zugriff der Mitarbeiter auf  Unternehmensnetzwerke.

Um das Unternehmen effektiv gegen diese Risiken zu schützen, sollte das Management eine Reihe von Maßnahmen ergreifen. An erster Stelle stehen dabei Richtlinien und Betriebsvereinbarungen für Internetnutzung und den Umgang mit sensiblen Daten – und deren regelmäßige Kontrolle. Zudem sollten sich Unternehmen in Deutschland auch mit Compliance stärker auseinandersetzen.

Ein Compliance-Programm muss dabei jeweils auf die sensiblen Bereiche des Unternehmens zugeschnitten sein. Die genaue Kenntnis der technischen und juristischen Voraussetzungen hilft Unternehmen bei der Umsetzung effektiver Maßnahmen.

cms/pan