wieso der Informationsmissbrauch durch Mitarbeiter ein kritisches Thema für Unternehmen ist;
welche Unternehmen mit kriminellen Mitarbeitern bereits schlechte Erfahrungen gemacht haben;
mit welchen technischen Verfahren man Innentätern das Handwerk legen kann.
"Der Innentäter ist noch immer als größtes Risiko zu beachten", schrieb das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres in seinen zehn Thesen zum Schutz unternehmenskritischer Infrastrukturen. Die Aussage ist beileibe nicht neu, aber immer noch aktuell. Während die Absicherung der IT nach außen wegen der Hacker-, Wurm- und Virengefahr in den vergangenen Jahren regelrecht boomte, fristet die innere Sicherheit ein Nischendasein. Das soll sich bald ändern: In den USA entsteht ein Venture-Kapital-gestützter Softwaremarkt, der Lösungen für dieses spezifische Problem verspricht.
Kollegen vertrauen einander
Auf rund 70 Prozent beläuft sich der Anteil der Straftaten, die von innen gegen die IT eines Unternehmens oder mit Hilfe der IT begangen werden. Der Wert entstammt einer mehrere Jahre zurückliegenden Umfrage der US-amerikanischen Bundespolizei FBI, hat sich jedoch inzwischen als Richtgröße in der IT-Szene etabliert. Selbst wenn der Anteil sehr hoch gegriffen scheint - würde nur jeder dritte Angreifer im Unternehmen sitzen, stände die Verteilung der Sicherheitsbudgets auch schon in einem krassen Widerspruch zur tatsächlichen Bedrohung. Der Denkfehler: Außen drohen böse Hacker; im Unternehmen hingegen arbeiten Kollegen, die man schon seit Jahren kennt und denen man vertraut.
Inzwischen beginnen jedoch einige Anwender, die interne Bedrohung ernst zu nehmen. Ein Grund sind die regulatorischen Vorgaben in den USA. Verantwortlich ist einerseits der Sarbanes-Oxley Act, der die Einrichtung und Überwachung interner Kontrollmechanismen fordert. Zudem müssen Unternehmen Verstöße unmittelbar melden. Im medizinischen Bereich hat etwa das "HIPAA" abgekürzte Gesetz den Datenschutz für Patienteninformationen verschärft. Der Bundesstaat Kalifornien verpflichtet zudem alle Unternehmen (Senate Bill 1386), bei Verlust von persönlichen Informationen die Betroffenen davon zu unterrichten. In gleicher Weise sind speziell Finanzdienstleister vom "Gramm-Leach-Bliley Act" betroffen. Das alles sorgt für Bewegung in den Sicherheitsbudgets, denn die angedrohten Strafen sind hoch.
