Wissen Sie, welchen USB-Sticks Ihre Angestellten gerade in ihre Firmen-PC´s hinein stecken? Kennen Sie deren Herkunft? Oder wollten Sie am Posten Büromaterial oder PC-Zubehör sparen und vertrauen darauf, dass „schon alles gut gehen wird“ und dass Ihre Leute „von irgendwem schon irgendwelche USB-Sticks mit einem Werbeaufdruck geschenkt bekommen und die benutzen“? Schön naiv, meint Anwalt Jan-Tibor Lelley.
Er berichtet von einem Experiment, das die Gesellschaft für Datenschutz und Datensicherung kürzlich durchführte: Sie ließ den Besucher eines Unternehmens 20 USB-Sticks auf dem Firmengelände und in dessen Parkhaus verlieren. Diese Sticks waren präpariert, sie wurden vorher mit Programmen wie USB Hacksaw (dies installiert sich heimlich vom Stick auf den Rechner, kopiert Daten und versendet diese verschlüsselt per Mail) oder USB-Switchblade (es kopiert über den eingesteckten USB-Stick Password und IP-Informationen des Rechners) geladen. Und dann dauerte es nur drei Tage, bis 15 dieser Sticks auf Firmenrechnern im Einsatz waren. Die erfreuten Finder hatten sie einfach mit ins Büro genommen – so wie sie es auch mit Werbegeschenk-USB-Sticks gemacht hätten – und an ihrem Arbeitsplatzrechner benutzt. Mit dem Ergebnis, dass die Firmendaten ihren Weg in die weite Welt nahmen.
Jan-Tibor Lelley, Arbeitsrechtler bei Buse Heberer Fromm in Essen – die Sozietät zählt zu den Top 50 Wirtschaftskanzleien in Deutschland – rät deshalb Unternehmen, ihre Mitarbeiter auf eine USB-Stick-Policy zu verpflichten. „Nur so können Firmen Missbrauch ihrer Daten vorbeugen“, so der Jurist. Doch Verhaltensregeln zur Verhinderung von Datenmissbrauch und Datendiebstahl haben die wenigsten Unternehmen, weiß Lelley.
Darin sollte stehen
1. dass die private Nutzung von USB-Sticks verboten ist
und
2. Daten auf USB-Sticks verschlüsselt werden müssen
und
3. dienstliche USB-Sticks nicht an fremde Rechner
angeschlossen werden dürfen,
und
4. zum Anschluss an fremde Rechner ein separater Stick zu nutzen ist.
Schließlich sollte in der Policy genau stehen
5. welcher Verstoß welche arbeitsrechtlichen Konsequenzen für den Mitarbeiter hat.
Wie ernst das Thema zu nehmen ist, zeigt, dass es auch strafrechtlich relevant ist. Anwalt Lelley erläutert: Auf das Benutzen von USB-Sticks stehen bis zu drei Jahre Gefängnis – zumindest dann, wenn man sie zum Ausspähen von Daten (Paragraph 202a Strafgesetzbuch StGB – Einzelnorm http://www.gesetze-im-internet.de/stgb/__202a.html ), Abfangen von Daten (Paragraph 202b Strafgesetzbuch StGB – Einzelnorm http://www.gesetze-im-internet.de/stgb/__202b.html ) oder zum Vorbereiten des Ausspähens oder Abfangens verwendet (Paragraph 202c Strafgesetzbuch StGB – Einzelnorm http://www.gesetze-im-internet.de/stgb/__202c.html ).
So gesehen ist es für Unternehmen letzten Endes die preiswertere Lösung, selbst ausreichend USB-Sticks zu verteilen – als wertvolle Firmendaten wie Kundenlisten, Preislisten oder Subunternehmer-Verträge der Konkurrenz oder anderen Industriespionen frei Haus zu liefern.
Management-Blog
Was tut sich hinter den Kulissen der Unternehmen?
Schön, kommt der Lehrling oder Azubi oder die Fremdfirma in das Unternehmen und kennt die Gesetze zum USB nicht, wegen mangelnder Ausbildung oder vorsätzlich nicht erfolgter Ausbildung.
Nun tut dieser Mensch etwas was den Anderen USB Gesetz Wissenden nicht in den Kram passt und schon schieben Sie ihm oder Ihr großzügig einen USB Stick zu, womöglich noch mit einer Arbeitsanweisung, und schon sitzt der Fremmitarbeiter in der Klemme.
Ob dabei ein Bug passiert, interessiert unsere Stammbelegschaften nicht. Schließlich ist der Fremdmitarbeiter für sein Verhalten verantwortlich, nicht wahr? Selbst wenn Schaden bis hin zu Unternehmensverrat dadurch entsteht, die Spielchentreiber werden geschützt.
Dies sind bereits seit Jahren allgemein geübte Praktiken in der Industrie um Leiharbeiter zu unterdrücken und nach Belieben austauschen zu können. Selbst mit dem Risiko, dass Inforamtion in die falschen Hände gerät. Interessiert niemand, weil sie bekommen alle ihr Gehalt. Bis auf den, der Hintergangen wird.
Wie wird dieses Risiko abgefangen?
Mariana Mayer
Es gibt doch nichts was es nicht gibt, daran erinnert man sich bei dieser Story und an, „keiner hat was zu verschenken.“ Letztes ganz sicher hat das die SKL… Es ist einige Jahre her, als die noch gelbe Post Kundendienst hoch hielt, kam unser Briefträger am Breifkasten vorbei ins Büro und überreichte Werbung von SKL und sagte trocken: „Diese Firma betrügt“. Er bekam sein verdientes Trinkgeld mit dem Bescheid, unser Chef hat so wie so etwas gegen Lotteriezahlen… aber vielen Dank!
USB-Sticks – sehr nützlich als Datensicherung gegen einen eventuellen PC-Absturz – gehören nach einer Speicherung in den Tressor. Das Herkunft vorab gesichert und problemlos sind, bedarf keiner Frage.
Erstaunlich ist aber doch immer wieder was man sich alles einfallen läßt, ‚um an anderer Leute Geld zu kommen‘. Eine ganze Branche muß davon leben und tut es auch gut. Diese Weisheit ist nun übertragbar geworden. ‚Was läßt man sich alles einfallen, um an anderer Leute Daten zu kommen‘.
Kreativitäten im „Fachbereich“ Datenmissbrauch stehen wahrscheinlich erst am Anfang zur Zeit, was bedeuten soll: Fortsetzung folgt demnächt in…
Man muss wohl Rechtsanwalt sein, um zu glauben, eine Arbeitsanweisung würde Mißbrauch wirkungsvoll verhindern.
Wer sein Unternehmen schützen will, der braucht mehr als eine Policy. Es gibt am Markt genügend Lösungen, um die Verwendung nicht zugelassener USB-Sticks an Firmenrechnern zu verhindern. Auch andere Geräte sollten dabei berücksichtigt werden (Handys, Digitalkameras, MP3-Player u.v.m.) – vieles, was einen USB-Anschluss hat, kann Daten speichern.
Auch die Sicherung der Daten auf dem Stick bedarf etwas mehr als „[…] Daten auf USB-Sticks verschlüsselt werden müssen“. Viele Verschlüsselungssysteme sind technisch wenig wirksam oder werden durch den Nutzer unwirksam gemacht. I.d.R. ist es sinnvoll, ein bestimmtes Verschlüsselungssystem auszuwählen und den Einsatz verpflichtend zu machen. Zusammen mit einer Mindestanforderung an die Kennwortqualität läßt sich so ein relativ hohes Maß an Sicherheit erzielen.
Es ist auch ein Fakt, dass es diese Wirtschaftskriminalität nicht gibt, da sich die Ebene Unternehmenschefs und politik anscheinend einig sind, was ausgelagert wird.
Die wahre Kriminalität liegt woanders. Nur damit lässt sich kein Geld verdienen oder wo sind die Abmahnanwälte die sich für Arbeitslose, Obdachlose, Zwangsarbeiterinnen, Frührentnerinnen und Diskriminierte einsetzen? Kennen Sie einen?
Mariana Mayer
Mariana übertreibt…
Lieber Rechthaber,
Es ist Fakt, dass Ingenieure oder andere dazu angehalten werden, wichtige Unterlagen zur Konkurrenz zu schicken. in verschiedenen konzernen. Bitte informieren sie sich.
Dies wurde mir mündlich erzählt.
Selber sollte ich Unterlagen zur Konkurrenz schicken, da über die Consultans die Kollegen alle in unterschiedlichen konkurrienden Konzernen sitzen.
Meinem männlichen Vorgänger passierte dasselbe, er schickte Dokumente die nicht abgesegnet waren zu Siemens. Das kochte bis Smaxwil hoch, (wurde mir mündlich übermittelt).
Die Spielchentreiber sitzen weiter in hochbezahlten Positionen. Ich bin seit 4 Jahren aufgrund der betriebenen Praktiken arbeitslos oder soll doch „gefälligst“ im Niedriglohnsektor arbeiten gehen. Komisch, lustig nicht wahr?
So wie mir erging es vielen Frauen in allen Branchen. Sie werden hintergangen und betrogen und vom Arbeitsmarkt gedrängt.
Was ist aus Sicherheitstechnischen Gründen dazu zu vermerken:
Einmal: Die diversitäre Entwicklung wird nicht eingehalten.
zweimal: Wer so mit seinen Mitarbeitern umgeht, die er persönlich kennt, dem ist es vermutlich auch egal wenn ein Zug an die Wand fährt.
Davon betroffen ist im Schadensfall jeder Bahnfahrer.
Im Flugbereich, dito!
Die steinreichen Personalvorstände haben mit solch einer mangelhaften Starbesetzung in der Bahnsicherheit natürlich auch wieder mal nichts am Hut. Wann tritt an dieser Stelle endlich eine Haftung ein für Arbeitsdirektoren, Personalverantwortliche, Vorstände etc.?
Der Unterschied zu meinem männlichen Kollegen war noch: Er verdiente das doppelte wie ich, konnte ohne Probleme seinen „Bonus behalten“ und war durchgehend fix in Arbeit. Er wurde von der „sogenannten“ unabhängigen Prüfleitstelle in die Schweiz vermittelt und arbeitet dort bei Thales in der Schweiz.
Mariana Mayer, aufgrund von zahlreichen Mobbingattacken im Bereich Bahn Safety Alcatel jetzt Thales seit 4 Jahren arbeitslos unter anderem weil ich gesagt habe: es darf kein MD4 genommen werde im Jahre 2003!
Menschen die in Deutschland auf Missstände aufmerksam machen werden verfolgt und bedroht.
Nein, nicht nur unsere „Reichen“ sondern die Unsichtbaren verschwinden, ganz unauffällig. Das ist ein gewollter Prozess. Daher bin ich da, genau hier und lebe weiterhin mit der Bedrohung, damit diese Menschen endlich wahrgenommen werden in Deutschland.
Dass das Thema immer noch top-aktuell ist, kann man am 29.03.2009 im Handelsblatt (auch online) nachlesen: Mittelständler fürchten Spionage. Nach wie vor gibt es hier viel nachzuholen, um Schaden zu vermeiden oder wenigstens zu minimieren.