Unternehmen stehen heute vor einem schwierigen Balanceakt: Eine offene Kommunikationskultur kann den Schutz des geistigen Eigentums gefährden – denn oft kommt der Täter aus den eigenen Reihen.

Wer – Wie – Wo?

Moderne Informationstechnologien erlauben es, Geschäftsprozesse heute mit sehr viel höherer Effizienz abzuwickeln, allerdings nutzen auch Straftäter ihre Vorteile. Cyberspionage gehört zu unserer Realität. Staaten wie auch Wettbewerber suchen auf allen ihnen zur Verfügung stehenden Wegen nach dem Informationsvorteil und auch die Organisierte Kriminalität (OK) hat Cybercrime als einträgliches Geschäftsfeld für sich entdeckt, wie auch das BSI in seinem Lagebericht 2015 betont.

Forschung fördert Risiko

Unternehmen mit intensiver Forschungs- und Entwicklungsarbeit schätzen die Risiken, von einem Diebstahl vertraulicher Kunden- und Unternehmensdaten sowie Industrie- und Wirtschaftsspionage betroffen zu werden, verständlicherweise deutlich höher ein als andere Unternehmen. Sie sehen etwa doppelt so häufig mittlere bis hohe Risiken für gezielte Mitarbeiterbeeinflussung auf Messen (58 % vs. 30 %), Angriffe auf die Cloud (40 % vs. 21 %), Abhören von Telefonen, Abfangen von E-Mails (44 % vs. 24 %) und Abhören von Besprechungen und Geschäftsräumen (16 % vs. 8 %).

Die höchsten Risiken erblicken beide Unternehmensgruppen in Angriffen auf mobile IT-Systeme wie Mobiltelefone (71 % vs. 47 %) und im Abwerben von Mitarbeitern (68 % vs. 49 %). Demgegenüber wird das Risiko von Angriffen auf stationäre IT-Geräte deutlich geringer eingeschätzt (42 % vs. 33 %).

42%

der Unternehmen berichten, dass Unterlagen entwendet oder kopiert wurden

Die Risikobewertungen der Unternehmen zeigen, dass neben den Risiken infolge von Angriffen auf digitale Informations- und Kommunikationstechnologien auch herkömmliche Risiken nicht unterschätzt werden sollten, wie gezielte Beeinflussung von Mitarbeitern auf Messen oder Tagungen und gezielte Abwerbung. Auch sehen Unternehmen Risiken im Publizieren von Forschungsergebnissen und anderen sensiblen Geschäftsinformationen in öffentlich zugänglichen Quellen wie Verbands- und Fachzeitschriften oder auch in Social Media. Wir meinen, Unternehmen werden ihre Mitarbeiter nachhaltig dafür sensibilisieren müssen, dass generell jede Kommunikation das Risiko eines Daten- und Wissensverlusts erhöht. Informationen sind immer schneller und leichter verfügbar. Offenheit und Transparenz finden sich als Werte in vielen Unternehmensleitbildern. Es wird daher eine der wesentlichen Aufgaben für Unternehmen sein, die richtige Balance zwischen einer offenen Kommunikationskultur und dem berechtigten Interesse am Schutz des geistigen Eigentums zu finden und diese den Mitarbeitern zu vermitteln.

Im Rahmen unserer Studie haben wir des Weiteren untersucht, wie sich die vermuteten zu den tatsächlichen Risiken verhalten. Anhand von 115 berichteten gravierenden Fällen eines Diebstahls vertraulicher Kunden- und Unternehmensdaten bzw. von Industrie- und Wirtschaftsspionage können wir die eingeschätzten mit den tatsächlichen Risiken vergleichen.

Es zeigt sich, dass sowohl forschungsintensive Unternehmen als auch Unternehmen mit keiner oder geringer Forschung und Entwicklung die tatsächlichen Risiken teilweise nicht zutreffend einschätzen. Die berichteten Fälle eines Daten- und Wissensverlusts erfolgten entgegen der Risikoeinschätzung vornehmlich durch Entwenden und Kopieren von Firmenunterlagen (42 %). Generell offenbart der Vergleich, dass herkömmliche Begehungsformen weiterhin ein nennenswertes Risiko darstellen. Etwa jeder zehnte Fall von Daten- und Wissensverlust beruht auf einem Wechsel von Mitarbeitern zu anderen Unternehmen oder auf einer gezielten vertraulichen Mitarbeiterbeeinflussung auf Messen etc.

Neben diesen eher klassisch zu nennenden Risiken sind Unternehmen verschiedenen Formen der Cyberspionage ausgesetzt. Allerdings erfolgten die Angriffe entgegen der Einschätzung der befragten Unternehmen tatsächlich seltener als angenommen. 20 % der berichteten Fälle richteten sich auf stationäre und noch seltener auf mobile IT-Systeme (10 %). Und nur 2 % der Unternehmen berichteten über Angriffe auf die Cloud.

Diese Ergebnisse rechtfertigen keine Vernachlässigung des Schutzes vor Angriffen auf die Kommunikations- und Informationstechnologien. Vielmehr sehen sich Unternehmen heute einer doppelten Herausforderung gegenübergestellt: Sie dürfen keinesfalls die konventionellen Risiken in den Bereichen Personal und Geschäftsablauf vernachlässigen und müssen sich aufgrund der sich verändernden Geschäftswelt zugleich den wachsenden Risiken der Cyberspionage stellen.

Grundsätzlich wird Wirtschaftskriminalität eher von internen Tätern begangen (51 %), teilweise zusammen mit externen (12 %). Dies gilt grundsätzlich auch für Fälle von Industrie- und Wirtschaftsspionage oder Diebstahl vertraulicher Kunden- und Unternehmensdaten (Daten- und Wissensverlust), aber der Anteil externer Täter ist hier deutlich höher (40 %). Bei diesen Deliktsgruppen liegt eine ausgeglichene Verteilung zwischen internen und externen Tätern vor. Für Unternehmen bedeutet dies, dass die Risiken eines Daten- und Wissensverlusts nicht primär von außen kommen, sondern von innen und außen gleichermaßen.

Innerhalb der Gruppe der externen Täter drohen Unternehmen seltener von Kunden (7 %) Angriffe auf ihr Know-how und ihre sensiblen Daten. Die größten Risiken gehen von den externen Tätern ohne Geschäftsbeziehung zum Unternehmen (63 %) aus.

Bemerkenswert ist des Weiteren, dass ein relativ hoher Anteil der Delikte von den betroffenen Unternehmen auf Aktivitäten der OK zurückgeführt wird. Diese Bedrohung besteht nach den Erfahrungen der Unternehmen mit Blick auf Daten- und Wissensverlust wie auch für alle anderen Wirtschaftsdelikte gleichermaßen (30 % bzw. 27 %). Diese Ergebnisse decken sich mit unserer Analyse des OK-Bedrohungspotenzials. Das BKA warnt in seinem Bundeslagebild ebenfalls vor der Bedrohung der Wirtschaft durch OK:

„Bezüglich der Kriminalität im Wirtschaftsleben wurden im Berichtsjahr 73 OK-Verfahren geführt (2013: 76). Somit nahm der Bereich unter den Hauptaktivitätsfeldern der Organisierten Kriminalität weiterhin den dritten Rang ein. […] Gemessen an der Gesamtschadenssumme aller OK-Verfahren war der durch Wirtschaftskriminalität verursachte Schaden sehr hoch.“

Wie sehr die Kriminalprävention von der Bereitschaft zur informellen Sozialkontrolle abhängt, zeigt unsere Studie sowohl für Fälle von Daten- und Wissensverlust als auch für andere Wirtschaftsdelikte. Bei mehr als jedem dritten Fall erfolgte die Erstaufdeckung durch einen internen Hinweis (35 % bzw. 39 %). Externe Hinweise sind die zweithäufigste Quelle von Informationen, die zur Aufdeckung führen.

Die informelle Sozialkontrolle besitzt in Unternehmen wie auch allgemein in der Gesellschaft eine zentrale kriminalpräventive Funktion. In Studien zum Unternehmens­alltag zeigte sich außerdem, dass die stärkste Abschreckungswirkung von der Erwartung informeller Sanktionen durch die Arbeitsgruppenmitglieder ausgeht. Demnach hängt die Gesetzes- und Richtlinientreue zu einem großen Teil von der Missbilligung der Mitarbeiter und ihrer informellen Sozialkontrolle ab. Durch eine integritätsförderliche Unternehmenskultur kann die Bereitschaft der Mitarbeiter erhöht werden, Kollegen auf mögliches Fehlverhalten und Compliance-Verstöße anzusprechen und dem Unternehmen gegebenenfalls einen Hinweis zu geben. Eine Speak-up-Kultur ist für den Erfolg des Compliance-Managements essenziell.

Eine weitere wichtige Quelle für Informationen sind Hinweisgebersysteme, die zwar noch von relativ geringer Bedeutung sind, aber im Vergleich etwa zur internen Revision kaum seltener zur Aufdeckung beitragen und vor allem für gravierende Compliance-Verstöße von Bedeutung sind. Ihre Relevanz lässt sich daher nur bedingt an ihrer selteneren Inanspruchnahme ablesen. Zur Erhöhung ihres Beitrags zur Aufklärung bedürfen diese Systeme einer positiven Hinweisgeberkultur, in der potenzielle Hinweisgeber keine beruflichen und sozialen Nachteile befürchten müssen.

Alle internen Kontrollmaßnahmen zusammen gesehen tragen ebenfalls maßgeblich zur Aufdeckung von Daten- und Wissensverlust bei. Etwa jeder fünfte dieser Fälle wurde durch die interne Revision, die Unternehmenssicherheit (auch für IT-Systeme) sowie durch elektronische Datenanalysen und Berichtssysteme aufgedeckt (insgesamt 18 %). In anderen Fällen von Wirtschaftskriminalität erfolgte die Aufdeckung in etwa jedem zehnten Fall durch die genannten internen Kontrollmaßnahmen.

Investigative Medien und Strafverfolgungsbehörden sind demgegenüber von nachrangiger Bedeutung, wobei wir darauf hinweisen, dass gerade spektakuläre Fälle durch diese Instanzen aufgedeckt werden – aus unserer Sicht ein starkes Argument für die Einführung eines Hinweisgebersystems im Unternehmen.

Bildnachweis: PwC (2)

Newsletter abonnieren

Mit dem Newsletter verpassen Sie keine Ausgabe der next: Das Magazin für Vorausdenker

Anmelden
Experten kontaktieren

Sie haben Fragen oder möchten mit einem unserer Experten zu diesem Thema sprechen? Melden Sie sich gerne bei uns.

Kontaktieren
Diesen Beitrag teilen

Hier können Sie den Beitrag über soziale Medien teilen.

Teilen