17. August 2015 - Risiko Ex-Arbeitnehmer

Verfahrensprüfung: Ausscheidende Mitarbeiter

Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kollegen, die das Unternehmen verlassen, kann hier gegensteuern. Prüfen Sie deshalb das entsprechende Verfahren Ihres Unternehmens.

Das Verfahren, das den Austritt von Beschäftigten regelt, sollt eimmer aktuell sein Geht ein Arbeitnehmer, besteht immer auch die Gefahr, dass vertrauliche Daten mit ihm gehen (Bild: vadimguzhva / iStock / Thinkstock)

Insider-Attacken von außen

Laut dem Cyber Security Intelligence Index von IBM führten „unbefugte Zugriffe“ („Unauthorized Access“) die Rangliste der Sicherheitsvorfälle im Jahr 2014 an. Sie überholten damit Angriffe durch Schadsoftware. Hinter dem Angriffsrisiko „unbefugte Zugriffe“ stecken nicht nur fehlerhafte Berechtigungssysteme und veraltete Rollenkonzepte:

  • Unzufriedene Ex-Angestellte, die noch über Passwörter verfügen oder gar Zugänge einrichten, bevor sie aus dem Unternehmen ausscheiden, sind für eine große Zahl dieser IT-Sicherheitsvorfälle verantwortlich. Laut IBM machen solche Ex-Insider fast ein Drittel (31,5 Prozent) aller Angriffe aus.
  • Anwenderfehler oder arglose, durch Dritte manipulierte Kollegen verantworten rund ein Viertel der Angriffe (23,5 Prozent).
  • Neben Beschäftigten können auch Dienstleister mit Systemzugriff, also Quasi-Insider, eine Gefahr sein.

Abschied von Mitarbeitern ist ein mehrfaches Risiko

Viele Unternehmen fürchten, dass gerade in so knapp besetzten Bereichen wie der IT Beschäftigte kündigen. Denn das verschärft die Personalknappheit und wichtiges Wissen geht verloren, die Produktivität auch anderer Bereiche gerät in Gefahr. Nicht zuletzt besteht das Risiko, dass ehemalige Arbeitnehmer zu Wettbewerbern gehen, ihr Know-how über das Unternehmen zu Geld machen oder sogar selbst zu Angreifern und Industriespionen werden, wie dies die IBM-Studie nahelegt.

Aus Sicht des Datenschutzes ist es deshalb wichtig, die Datenschutzkontrolle bei Verfahren rund um ausscheidende Mitarbeiter sehr genau zu nehmen und hier auch aktuelle Entwicklungen zu berücksichtigen. Die Verfahrensprüfung sollten Sie daher nicht nur regelmäßig durchführen, sondern auch fortlaufend auf einen aktuellen Stand bringen.

Berechtigungs- und Rollenkonzept anpassen

Neue Technologien wie Cloud Computing bringen eine ganze Reihe möglicher Risiken mit sich, wenn Arbeitnehmer ihren Abschied nehmen. Ziel muss es immer sein, dass aus dem Kollegenverlust nicht noch ein Datenverlust wird, aus dem eigenen Angestellten nicht plötzlich ein potenzieller Angreifer.

Ein erster wichtiger Schritt ist, den Weggang aus Projekten, Abteilungen oder sogar dem ganzen Unternehmen im Berechtigungs- und Rollenkonzept zu berücksichtigen:

  • Es darf auf keinen Fall möglich sein, dass ein ehemaliger Beschäftigter noch Passwörter für die IT-Systeme des früheren Arbeitgebers hat und sie dann zum Beispiel via Fernzugriff einsetzen kann.
  • Ebenso darf es nicht passieren, dass sich Ex-Kollegen eigene Hintertüren anlegen, also neue und zusätzliche Benutzerzugänge, die nach der Deaktivierung und Löschung des im Unternehmen bekannten Hauptbenutzerkontos noch aktiv und nutzbar bleiben.

Mobile Endgeräte, Clouds und Social Media nicht vergessen

Besonders leicht kann es passieren, dass neue Technologien im Verfahren „Ausscheidende Mitarbeiter“ unter den Tisch fallen. Das etablierte Verfahren bei Kündigung eines Beschäftigten bildet oft ein erprobter Laufzettel ab. Dieser Laufzettel ist dann aber womöglich seit Jahren unverändert, obwohl in den letzten Monaten und Jahren

  • mobile Endgeräte,
  • mobile Apps,
  • BYOD (Bring Your Own Device),
  • Cloud-Services und
  • soziale Netzwerke

zur betrieblichen Nutzung eingeführt wurden.

Kontrollieren Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter die Prüfpunkte auf dem Laufzettel insbesondere dahingehend, ob die folgenden kritischen Punkte bedacht wurden, die allesamt zu ungewolltem Datenverlust und zu möglichen unerlaubten Datenzugriffen führen können.

Mobile Endgeräte / mobile Apps / BYOD:

  • Manchmal überlassen Unternehmen ihren ehemaligen Arbeitnehmern das nicht mehr ganz aktuelle Smartphone. Darauf aber könnten sich noch betriebliche Daten befinden, die vor der Weitergabe des Endgeräts gesichert und auf dem Gerät sicher gelöscht werden müssen.
  • War es dem Kollegen erlaubt, ein privates Gerät zu nutzen, oder wurde das vielleicht geduldet, können sich darauf ebenfalls betriebliche Daten befinden, die gesichert und lokal gelöscht werden müssen.
  • Es kann zudem sein, dass sich betriebliche Apps mit Zugang zu betrieblichen Netzwerken oder Clouds auf den privaten Endgeräten befinden. Typisches Beispiel ist eine E-Mail-App für den betrieblichen Mail-Dienst. Diese Apps müssen entfernt werden, wenn der Beschäftigte das Unternehmen verlässt.

Cloud Computing:

  • Sorgen Sie dafür, dass die Zugänge für betriebliche Cloud-Services deaktiviert und nach der Sicherung die Cloud-Daten gelöscht werden, wie dies für lokale und Netzwerk-basierte Dienste der Fall ist.
  • Waren zum Beispiel bei mobilen Kollegen Cloud-Speicherdienste für den Austausch von Daten im Einsatz, müssen auch diese gesichert, geleert und deaktiviert werden.
  • Wurde ein privater Cloud-Dienst für den Datentransfer geduldet, müssen auch hier die betrieblichen Daten entfernt werden.

Soziale Netzwerke:

  • Genau wie bei Netzwerk- und Cloud-Diensten müssen auch die betrieblichen Zugänge der ehemaligen Beschäftigten deaktiviert und nach der Sicherung entfernt werden.
  • Falls der Mitarbeiter seine (privaten) Zugangsdaten zu sozialen Netzwerken auch für betriebliche Logins nutzen durfte (Social Sign-in), muss diese Berechtigung entfernt werden.

Nutzen Sie am besten die aktuelle Arbeitshilfe bei der Prüfung, ob das Verfahren in Ihrem Unternehmen bereits neue Technologien und Datenrisiken berücksichtigt:


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln