Die Risikoformen sind fast unbegrenzt. So werden Geschäftspartner beim Versand vertraulicher Dokumente per E-Mail auf „CC“ gesetzt. Angestellte spionieren und sabotieren im Auftrag von Konkurrenzunternehmen. Server mit geschäftskritischen Informationen stehen ungeschützt im Unternehmensnetz verfügbar. Gekündigte Mitarbeiter kopieren Informationen - von Adressverzeichnissen über Sourcecode bis hin zu strategischen Unterlagen - für den nächsten Job. Mitarbeiter kopieren Kundendaten und verkaufen diese an Spam-Versender.

Die Szenarien entspringen nicht der Fantasie. Der Diebstahl des Sourcecodes von Ciscos Betriebssystem "IOS" vor einem Jahr soll mit Hilfe eines Mitarbeiters gelungen sein. Apple klagt auf die Nennung des Informanten, der US-amerikanische Blogger mit Screenshots von noch nicht angekündigten Tools versorgt haben soll. BMW musste2004 feststellen, dass Konzeptbilder geplanter Modelle den Weg vom Server in die Presse gefunden hatten. Ein AOL-Angestellter gab zu, rund 92 Millionen E-Mail-Adressen von Kunden an Spammer verkauft zu haben. Die Abgrenzung zwischen Innen-und Außentätern ist indes heikel. Gilt ein per VPN angeschlossener Telearbeiter als internes oder externes Risiko? Auch die engere Verflechtung von Lieferanten mit ihren Kunden mache es schwierig, eine klare Grenze zu ziehen, urteilt Gartner-Analyst Carsten Casper. Die Schwachstelle ist dann nicht unbedingt die abgeschottete Konzernzentrale, sondern der Vorposten. Mit einer Firewall und einem Virenscanner sei das Thema Sicherheit eben nicht umfassend abgehandelt. Kommen Verträge mit Dienstleistern und Outsourcern hinzu, steige die Bedrohung an. Dabei sei es irrelevant, ob das externe Personal in Osteuropa, Indien oder Schweinfurt sitzt.