17.08.2023 | Datenschutz & IT | ID: 1142211

Data Breach durch Mitarbeiter:innen – Die unsichtbare Bedrohung von innen

Bei Begriffen „Cyberattacke“ und „Data Breach“ denken viele an technische Schutzmaßnahmen und böse Hacker. Weniger Beachtung wird aber den eigenen Mitarbeitenden geschenkt, die auch potenzielle Cybersicherheits- oder Datenschutzrisiken darstellen.

Cybersecurity, Cyberattacken, Data Breach und IT-Sicherheit – Begriffe und Konzepte, die spätestens seit der DSGVO und der NIS-Richtlinie (in Österreich durch NIS-Gesetz und NIS-Verordnung umgesetzt) allen Unternehmen bekannt sind. Doch meinen nach wie vor viele Unternehmen, ein paar technischen Schutzmaßnahmen zu Abwehr von Gefahren von außen, allenfalls unterstützt durch generische Schulungen, stellten bereits angemessene Cybersicherheitsmaßnahmen dar. Dabei werden regelmäßig organisatorische Aspekte, vor allem in Bezug auf die eigenen Mitarbeiter:innen, übersehen.

Doch welche potenziellen IT-Sicherheitsrisiken stellen Mitarbeitende eigentlich dar? Und wie kann man diese zumindest eindämmen? Hier eine Auswahl.

1. Unbefugte Datenaufbewahrung oder -übertragung:

Auf Daten von verschiedenen Orten aus und über verschiedene Geräte zuzugreifen ist spätestens seit der Verbreitung von Homeoffice für viele Mitarbeiter:innen Normalität. Das unkontrollierte Kopieren von Daten (zB in private Cloud-Speicher) stellt aber nicht nur ein Cybersicherheitsrisiko dar, sondern in vielen Fällen auch einen Verstoß gegen DSGVO oder DSG, für welchen das Unternehmen haftet.

Dagegen helfen zB klare Richtlinien zur Datenaufbewahrung und -übertragung, abgesichert durch technische Maßnahmen und die Sensibilisierung der Mitarbeitenden, damit sich diese ihrer Verantwortung im Umgang mit Daten bewusst sind.

2. Datendiebstahl von innen:

Daten sind das Lebenselixier moderner Unternehmen und Mitarbeitende mit böswilligen Absichten können ihre Zugriffsrechte oder ihr Wissen um alternative Zugangsmöglichkeiten nutzen, um vertrauliche Informationen, geistiges Eigentum oder Kundendaten zu stehlen.

Den Zugriff auf das notwendige Maß zu beschränken ist eine erste Gegenmaßnahme. Das von der DSGVO geforderte Verarbeitungsverzeichnis kann dabei helfen zu erkennen, auf welche Informationen bestimmte Arbeitskräfte wirklich zugreifen müssen. Eine starke Datenverschlüsselung, Zugangskontrollen und Mechanismen zur Erkennung eines internen „Data Breach“ sind weitere mögliche Maßnahmen.

3. Unbefugter Zugriff durch ehemalige Mitarbeitende:

Das Versäumnis, die Zugangsdaten ehemaliger Mitarbeiter und Mitarbeiterinnen kurzfristig zu deaktivieren, birgt sowohl erhebliche IT-Sicherheitsrisiken als auch erhebliche Risiken für die Einhaltung von DSGVO oder NIS.

Daher müssen Unternehmen nicht nur über angemessene Protokolle zur Zugriffskontrolle und Rechteverwaltung verfügen, die sicherstellen, dass die Zugriffsrechte bei Ausscheiden eines Mitarbeitenden umgehend entzogen werden. Es muss auch sichergestellt sein, dass im Bedarfsfall der Ausspruch der Kündigung oder Entlassung zeitgleich mit der Deaktivierung der Zugangsdaten erfolgt.

4. Ausnutzung von Insiderwissen für Phishing-Angriffe:

Ehemalige Beschäftigte verfügen über Insiderwissen über die IT-Infrastruktur, die Kommunikationsmuster und internen Prozesse einer Organisation. Dieses Wissen kann ausgenutzt werden, um gezielte Phishing-Angriffe zu starten, durch welche insbesondere vertrauliche oder personenbezogene Daten kompromittiert werden können.

Durch regelmäßige Schulungen und Sensibilisierungsmaßnahmen zur Cybersicherheit können Unternehmen das Risiko eines Data Breach durch Phishing-Versuche verringern.

Fazit

Die IT-Sicherheitsrisiken, die von Mitarbeitenden ausgehen, können erhebliche Auswirkungen für Unternehmen haben, nicht nur in Bezug auf Datenschutzverletzungen und finanzielle Verluste, sondern auch hinsichtlich der Einhaltung der DSGVO und der NIS-Richtlinie. Um das Vertrauen von Kund:innen, Partner:innen und Stakeholder:innen aufrechtzuerhalten, ist der Schutz der Daten innerhalb des Unternehmens ebenso wichtig wie die Abwehr externer Bedrohungen. Durch die Implementierung robuster Datenschutzmaßnahmen, Zugangskontrollen und Schulungen der Beschäftigten können Unternehmen diese Bedrohungen zumindest eindämmen, die gesetzlichen Datenschutz- und IT-Sicherheitsvorschriften einhalten und zugleich die allgemeine Widerstandsfähigkeit und den Erfolg des Unternehmens fördern.

Autor

Mag. Árpád Geréd ist Rechtsanwalt und Gründungpartner der Wiener Wirtschaftskanzlei Maybach Görg Lenneis Geréd Rechtsanwälte GmbH. Er ist Experte für Cloud Computing, Cyber Security und Datenschutz. In seinen Arbeitsbereich fallen etwa die Beratung bei Software- und Technologieprojekten, die Koordinierung internationaler IT-Vorhaben, insb. Datenmigrationen, und Aktivitäten bei nationalen und internationalen Technologieorganisationen.
www.mglp.eu