IT-Sicherheit fängt bei der Bewerbung an – die Personalabteilung als „Firewall“

Computerkriminalität durch Mitarbeiter ist weit verbreitet. IT-Sicherheit beginnt deshalb beim Recruiting. „Background checks“ oder „Pre-Employment Screenings“ sind dafür gute Ansätze. Aber auch E-Mail-Bewerbungen können gefährlich sein. Cyberkriminelle nutzen sie zum Platzieren von Schadsoftware.

Jedes Unternehmen will sich vor Risiken schützen oder sie doch wenigstens begrenzen. Vor solchen, die in der Natur der geschäftlichen Tätigkeit selbst liegen, vor allem aber vor solchen, die durch böswillig agierende Dritte verursacht werden: Sabotage, Wirtschaftsspionage, Überfälle, Diebstähle.

Der Innentäter – kriminelle Energie im eigenen Unternehmen

Hinsichtlich bestehender Risiken wird dabei der Blick eher nach Außen denn nach Innen gerichtet. Das wirkt sich direkt auf die Auswahl der Sicherheitsmaßnahmen aus: Hacker und Einbrecher sollen möglichst frühzeitig erkannt und abgewehrt werden. Frei nach dem Motto „Die Guten sind drinnen, die Bösen sind draußen“ wird den eigenen Mitarbeitern hingegen oft uneingeschränkt vertraut. Misstrauen und Kontrolle gefährden schließlich ein gutes Betriebsklima.

Maximales Vertrauen mag dem Zeitgeist entsprechen und sicherlich den Wünschen der Mitarbeiter und Mitarbeiterinnen. Trotzdem ist diese Haltung nicht nur naiv, sondern aus der Perspektive des Risikomanagements heraus betrachtet schlicht fahrlässig.

Aus der kriminalistischen Praxis wissen wir, dass Innentäter eine große Rolle spielen. Der Gesamtverband der deutschen Versicherungswirtschaft (GdV) geht davon aus, dass etwa 40 Prozent der Betrugs-, Diebstahls- und Unterschlagungsdelikte von Mitarbeitern der betroffenen Unternehmen selbst begangen werden. Dazu kommt eine hohe Dunkelziffer.

Die GdV-Statistik verzeichnet dabei sowohl Computerkriminalität durch Mitarbeiter als auch alle anderen Formen krimineller Handlungen wie Korruption und Vorteilsnahme, Untreue, Unterschlagung, Diebstahl, Betrug, Wirtschafts- und Betriebsspionage, Verrat von Betriebsgeheimnissen, Erpressung und Insider-Geschäfte. Laut Aussage des GdV verfügen die Täter meist über betriebswirtschaftliches Fachwissen sowie über gute Kenntnisse der internen organisatorischen Abläufe und Gewohnheiten des geschädigten Unternehmens.