Ehemalige Mitarbeiter mit Zugang zu wichtigen Unternehmensdaten?

Sind Sie sich absolut sicher, dass ehemalige Kollegen keinen Zugriff mehr auf Unternehmensdaten oder -systeme haben?

Auf einer Skala von 1 bis 10, wie sicher sind Sie sich, dass Ihre ehemaligen Mitarbeiter keinen Zugang mehr zu wichtigen Unternehmensinformationen haben? Die Praxis zeigt, dass es sich hierbei um keine irrelevante Frage handelt. Kürzlich haben unsere Kollegen analysiert, wie gut kleine und mittlere Unternehmen (KMU) auf Cybervorfälle in einer unberechenbaren Welt vorbereitet sind. Die Studie ergab, dass fast die Hälfte der befragten KMU nicht zu 100 Prozent sicher wusste, ob Ex-Mitarbeiter nicht doch noch über Cloud-Dienste oder Firmenkonten auf ihre Geschäftsdaten zugreifen könnten.

Welchen Schaden kann ein ehemaliger Angestellter mit Zugang zu Unternehmensdaten anrichten?

Wenn ehemalige Mitarbeiter noch Zugang zu Unternehmensdiensten und Informationssystemen haben, können sie ihrem verflossenen Arbeitgeber erheblichen Schaden zufügen – wenn sie es darauf anlegen. Kleine und mittlere Unternehmen machen sich häufig Sorgen über bizarre Bedrohungen, z. B., dass Ex-Mitarbeiter Unternehmensdaten verwenden, um ein Konkurrenzunternehmen zu gründen oder Unternehmenskunden abzuwerben. In Bezug auf den geschäftlichen Schaden stehen diese Bedrohungen jedoch weit unten auf der Liste.

Wenn ein ehemaliger Mitarbeiter Zugang zu einer Kundendatenbank mit personenbezogenen Daten hat, kann er diese an die Öffentlichkeit weitergeben (z. B. als Vergeltungsmaßnahme für seine Entlassung) oder sie im Dark Web weiterverkaufen. So kann nicht nur der Ruf des Unternehmens geschädigt werden, sondern auch die Kunden werden einem Risiko ausgesetzt, das rechtliche Schritte mit sich bringen kann; beispielsweise in Form einer Klage auf Schadensersatz, die der Weitergabe persönlicher Daten zugrunde liegt. Darüber hinaus könnten Sie von der Regulierungsbehörde mit hohen Geldstrafen belegt werden. Letzteres hängt von den Gesetzen des Landes ab, in dem Sie arbeiten, aber es gibt einen weltweiten Trend zu strengeren Strafen für die Weitergabe von Informationen.

Potenzielle Probleme ohne böse Hintergedanken

Manche Probleme sind nicht das Ergebnis intriganter ehemaliger Mitarbeiter oder direkter Lecks. Ein damaliger Kollege erinnert sich vielleicht nicht einmal daran, dass er Zugang zu dieser oder jener Ressource hatte. Bei einer Routinekontrolle durch dieselben Regulierungsbehörden könnte sich jedoch herausstellen, dass unbefugte Personen tatsächlich Zugang zu vertraulichen Informationen hatten, was immer noch eine Geldstrafe nach sich ziehen würde.

Selbst wenn Sie sich absolut sicher sind, dass Sie und Ihre Mitarbeiter sich grundsätzlich einvernehmlich trennen, bedeutet das nicht, dass Sie an dieser Stelle aus dem Schneider sind. Denn wer garantiert Ihnen, dass ein ehemaliger Mitarbeiter kein schwaches Kennwort für den Zugang zu Ihren Arbeitssystemen verwendet hat, das Angreifer per Brute-Force erzwingen oder durch ein Leck anderen Ursprungs ans Tageslicht bringen könnten? Ein zu weit gefasster Zugriff auf Systeme wie Unternehmensumgebungen, Arbeits-E-Mails, virtuelle Maschinen usw. vergrößert die Angriffsfläche. Selbst Chats zwischen Kollegen über nicht arbeitsbezogene Themen können für Social Engineering-Angriffe genutzt werden.

So minimieren Sie Risiken

Die meisten Maßnahmen zur Bekämpfung von Datenlecks über die Konten ehemaliger Mitarbeiter sind organisatorischer Natur. Daher empfehlen wir:

  • Die Anzahl der Personen mit Zugriff auf wichtige Unternehmensdaten einzuschränken.
  • Strenge Zugriffsrichtlinien für Unternehmensressourcen zu schaffen – dazu zählen auch E-Mails, geteilte Ordner und Online-Dokumente.
  • Strikt festzuhalten, wem welcher Zugang gewährt wurde. Entziehen Sie Mitarbeitern Zugriffsrechte umgehend, sobald diese das Unternehmen verlassen.
  • Klare Anweisungen für die Erstellung und das Ändern von Passwörtern zu erstellen.
  • Regelmäßige Schulungen zur Stärkung des Bewusstseins für Cybersicherheit für Ihre Angestellten einzuführen.
Tipps