Zum Inhalt springen
Minderung des Verlusts von Geschäftsgeheimnissen – der einfache Weg

Während der Große Rücktritt in vollem Gange ist, verlassen die Mitarbeiter das Unternehmen in Scharen. Was bedeutet der Große Rücktritt für Arbeitgeber? Arbeitgeber tun sich nun schwer, sich gegen die Folgen des Weggangs von Arbeitnehmern abzusichern. Wenn Mitarbeiter gehen, nehmen sie oft viel mehr mit als ihre Erfahrung. Ein wichtiger Mitarbeiter oder eine Gruppe von Mitarbeitern kann absichtlich oder unabsichtlich wertvolle Geschäftsgeheimnisse übernehmen und übertragen, die ein Wettbewerber zu seinem Vorteil nutzen könnte. Glücklicherweise können Arbeitgeber mit zwei einfachen Schritten den Verlust von Geschäftsgeheimnissen verhindern, bevor er zu einem Problem wird.

Seit fast 15 Jahren habe ich unzählige Untersuchungen durchgeführt, die oft den Verlust, Diebstahl und/oder die Unterschlagung von Geschäftsgeheimnissen beinhalteten. Ich habe Hunderte von Geräten forensisch untersucht und gegebenenfalls Dutzende von persönlichen Interviews geführt. Meine Erfahrungen zeigen, dass es klare Muster gibt, wie oft Daten ein Unternehmen verlassen.

Meine Untersuchungen zeigen, dass sich die Exfiltrationspunkte und die Methoden, mit denen die Mitarbeiter Unternehmensdaten entnehmen, im Laufe der Zeit nicht wesentlich verändert haben. Häufig umfassen diese Methoden das Kopieren von Daten auf USB-Laufwerke, persönliche E-Mail-Konten und persönliche Cloud-Speicherplattformen. Dies wirft eine Frage auf: Warum kommt es immer und immer wieder zu Datenverlusten auf die gleiche Weise? Die Mitarbeiter antworten oft mit zwei Aussagen: „Ich wusste nicht, wie es auf mich wirken würde!“ und "Niemand (oder nichts) hat mich aufgehalten!" Glücklicherweise helfen die folgenden zwei Ansätze – einer verhaltensorientiert und einer technisch – Arbeitgebern dabei, Datenverluste zu reduzieren. 

Schritt 1: Der Verhaltensansatz

„Ich wusste nicht, dass es mich betreffen würde!“

In der Regel werden die Mitarbeiter im Umgang mit Unternehmensdaten im Rahmen von Compliance-Schulungen im Unternehmen geschult. Einige der Schulungen finden monatlich statt, andere weniger häufig. Während des Onboardings können Arbeitgeber den Mitarbeitern Handbücher zum Lesen und Bestätigungen zum Unterschreiben geben. Meiner Erfahrung nach hat fast jeder Mitarbeiter zugegeben, Wörter gelesen oder Videos angesehen zu haben, die wie folgt zusammengefasst werden können:

  1. Unternehmensdaten sind Eigentum des Unternehmens.
  2. Mitarbeiter dürfen Unternehmensdaten nicht für den eigenen Gebrauch verwenden.

Dieses Training ist jedoch oft banal oder repetitiv. Einige Mitarbeiter machen sogar Witze darüber, dass andere Personen (z. B. ihre Kinder oder ein geduldiges Haustier) für sie trainieren. Während dieses Training einige Compliance-Checkboxen ankreuzt, behandelt das Training selten, wenn überhaupt, die Folgen dessen, was passiert, wenn Mitarbeiter Unternehmensdaten entnehmen. Nach unzähligen Stunden der Schulung, Ausbildung, Tests, Tests, Bestätigungen und Bescheinigungen kennen oder verstehen die Mitarbeiter die Konsequenzen ihres Handelns immer noch nicht.

Änderungen im Training

Die Mitarbeiterschulung sollte Diskussionen über die persönlichen und finanziellen Konsequenzen beinhalten, die auftreten können, wenn Mitarbeiter in eine Untersuchung des Geschäftsgeheimnisses verwickelt werden, einschließlich:

  • Ermittlungen kosten viel Geld. 
    Häufig werden die Mitarbeiter aufgefordert, einen Teil, wenn nicht den Großteil der Untersuchungskosten zu übernehmen. Zwischen forensischen Gebühren und Anwaltskosten ist es nicht unangemessen anzunehmen, dass eine „einfache“ Angelegenheit fast $50.000 kosten kann.
  • Untersuchungen sind invasiv. 
    Einmal aufgenommene Daten können kopiert oder auf andere Geräte oder in einen Cloud-Speicher übertragen werden. Forensische Prüfer können gebeten werden, die PCs, elektronischen Speichergeräte, Smartphones, E-Mail-Konten und Cloud-basierten Speicherplattformen ehemaliger Mitarbeiter zu durchsuchen, um festzustellen, dass die Daten nicht weiter gespeichert, verwendet oder übertragen wurden. Das gesamte Leben einer Person kann unpassenderweise unterbrochen werden, um ihre Behauptung zu beweisen, dass „ich nichts mit diesen Daten gemacht habe“. Bei mehr als einer Gelegenheit habe ich das Äquivalent gehört von: „Ich möchte nur, dass das verschwindet. Wenn ich gewusst hätte, wie schwierig dieser Prozess für mich und meine Familie sein würde, hätte ich diese Daten nie genommen.“
  • Die Ermittlungen können sich sogar auf einen neuen Arbeitgeber erstrecken und einen Reputationsschaden für die Mitarbeiter verursachen.
    Schlimmer noch, diese Untersuchungen können zur Kündigung der Mitarbeiter von ihren neuen Arbeitsplätzen führen. Mitarbeiter verstehen die Konzepte von einstweiligen Verfügungen und einstweiligen Verfügungen (TROs) nicht. Diese Worte sind beängstigend und können einen abschreckenden Effekt auf das Verhalten haben, wenn sie im Voraus bekannt sind.

Schritt 2: Der technische Ansatz

„Niemand (oder nichts) hat mich aufgehalten!“

Meiner Erfahrung nach treten die meisten Verluste von Geschäftsgeheimnissen auf eine oder mehrere der folgenden Arten auf:

  • Mitarbeiter kopieren Daten auf ein USB-Gerät, z. B. eine Festplatte oder einen USB-Stick.
  • Mitarbeiter senden Daten per E-Mail über ihre Unternehmens-E-Mail an ein persönliches E-Mail-Konto.
  • Mitarbeiter hängen Daten an persönliche E-Mails an, auf die sie über einen Webbrowser (Gmail, Yahoo, Hotmail usw.) zugreifen.
  • Mitarbeiter laden Daten direkt in einen persönlichen Cloud-basierten Speicherdienst (Google Drive, Dropbox, Box, OneDrive usw.) hoch.
  • Mitarbeiter synchronisieren Daten zwischen Unternehmenscomputern und privaten Geräten mit derselben persönlichen Apple-ID auf allen Geräten.

Glücklicherweise können die oben genannten Methoden, abgesehen vom zweiten Punkt, ohne große Investitionen in Software oder IT-Personal eliminiert werden. Tatsächlich kann viel getan werden, indem vorhandene Ressourcen für maximalen Nutzen genutzt werden.

Technische Änderungen

  • Deaktivieren Sie standardmäßig alle USB-Schreibfunktionen. 
    Moderne Betriebssysteme machen es einfach, den Schreibzugriff mit wenigen Mausklicks zu deaktivieren, ohne dass Software von Drittanbietern gekauft werden muss. Jede Ausnahme für die USB-Schreibfunktion muss überprüft und für einen begrenzten Zeitraum gewährt und dann aufgehoben werden. Benutzern kann weiterhin Lesezugriff auf USBs gewährt werden, wenn dies das gewünschte Geschäftsmodell ist.
  • Entfernen Sie den Zugriff auf persönliche E-Mail-Dienste und nicht unternehmenseigene Cloud-Speicherplattformen. 
    Sofern es keinen triftigen geschäftlichen Grund für die Verwendung persönlicher Konten gibt, sollten Benutzer mit Zugriff auf Unternehmensdaten standardmäßig keinen Zugriff auf ihre persönlichen E-Mail- und Cloud-basierten Speicherplattformen von denselben Geräten haben. Die meisten modernen Firewalls, auch die zu Hause, ermöglichen Blacklists mit nicht autorisierten Websites/Domänen/bestimmten E-Mail-Adressen und Whitelists mit zulässigen Websites.
  • Erzwingen Sie die Verwendung eines vom Unternehmen verwalteten Kontos für jedes Unternehmensgerät.
    Jedes Unternehmensgerät z. B. schreibt vor, dass ein vom Unternehmen erstelltes und verwaltetes Konto – kein persönliches Konto – für Dienste wie Apple ID verwendet wird, was die Synchronisierung von Daten ermöglicht.

Risiken mindern – der iDS-Weg

Zusammenfassend können Arbeitgeber das Risiko des Verlusts von Unternehmensdaten erheblich reduzieren, indem sie:

  • Änderung des Mitarbeiterverhaltens durch Aufklärung, die sich auf die Folgen von Datenverlust (hohe Kosten, Reputationsverlust, Invasivität) sowie Prävention konzentriert.
  • Eliminierung gängiger Wege des Datenverlusts (Schreiben auf USB, Zugriff auf persönliche E-Mail-Dienste und Cloud-Speicherplattformen).

Obwohl diese Schritte nicht erschöpfend sind und nicht alle Mitarbeiter davon abhalten, Unternehmensdaten zu erfassen, werden diese beiden Methoden in Kombination mit grundlegenden und kostengünstigen Sicherheitsrichtlinien die Datenmenge, die Unternehmen verlässt, erheblich reduzieren.

Bei iDS helfen wir Unternehmen bei der Entwicklung strategischer Pläne zur Sicherung, Speicherung und zum Schutz von Daten vor internen und externen Bedrohungen. Unser engagiertes Team beratender Experten ist darauf vorbereitet, den Wert Ihrer Daten zu maximieren und gleichzeitig das Risiko und die Kosten zu senken. iDS kann eine maßgeschneiderte, umfassende Strategie für die Verwaltung der Informationssysteme Ihres Unternehmens im Laufe der Zeit bereitstellen und Ihnen dabei helfen, alles zu entwickeln, von Datenzuordnungen und Aufbewahrungsrichtlinien bis hin zu spezifischen Plänen, die darauf abzielen, Ihren gesamten Datenfußabdruck zu reduzieren.

In den letzten 15 Jahren haben mir meine Kunden gesagt, dass ich in diesen Ermittlungen ziemlich gut geworden bin. Tatsächlich rufen mich viele meiner Kunden wegen dieser Expertise an, weil ich effizient und kostenbewusst bin. Dennoch sehne ich mich nach einem Tag, an dem ich aufhöre, die Frage zu stellen: „Warum sehe ich nach all den Jahren dasselbe?“ In der Tat, um es mit den Worten meines Kollegen zu sagen: „Ich würde mich gerne aus einem Job herausarbeiten.“ Ich habe gehört, dass es einige ausgezeichnete Fernsehsendungen gibt, die man sich ansehen sollte.

Um mehr darüber zu erfahren, wie die Beratungsexperten von iDS maßgeschneiderte Lösungen anbieten können, um den Verlust von Mitarbeiterdaten zu verhindern, kontaktiere uns heute.


iDS bietet Unternehmen und Anwaltskanzleien auf der ganzen Welt beratende Datenlösungen, die ihnen einen entscheidenden Vorteil verschaffen – sowohl innerhalb als auch außerhalb des Gerichtssaals. Unsere Fachexperten und Datenstrategen sind darauf spezialisiert, Lösungen für komplexe Datenprobleme zu finden und sicherzustellen, dass Daten als Vermögenswert und nicht als Belastung genutzt werden können.

de_DEDE