(PM) Hamburg, 16.09.2013 - Dem Mobilfunkanbieter Vodafone sind persönliche Daten von zwei Millionen deutschen Kunden, Ex-Kunden und Interessenten gestohlen worden. Als Tatverdächtiger gilt nach dpa-Angaben ein Mitarbeiter, der als Systemadministrator für einen externen IT-Dienstleister arbeitete und Zugriff auf die IT-Infrastruktur von Vodafone hatte [1]. Der hier vorliegende Fall zeigt, dass neben den Gefahren durch externe Bedrohungen wie Cyberkriminelle auch ein erhebliches Risiko durch ehemalige Mitarbeiter oder die Angestellten externer Dienstleister für sensible Unternehmensinformationen wie beispielsweise Kundendaten besteht.

Die Motive für einen Datenklau durch ehemalige Mitarbeiter können unterschiedlich sein. Neben dem hier vorliegenden Fall, bei dem offenbar kriminelle Absichten verfolgt wurden – zum Beispiel um Kundendaten für Phishing-Attacken zu benutzen -, liegen Iron Mountain, Dienstleister für Informationsmanagement und Datenschutz, Studienergebnisse vor, wonach ein nicht zu unterschätzender Teil von Mitarbeitern sich an ehemaligen Arbeitgebern durch Datendiebstahl rächen würde. Immerhin würden dies 6 Prozent aller deutschen Angestellten tun [1].Im Speziellen würden sich laut Iron Mountain 26 Prozent der deutschen IT-Mitarbeiter bei aus ihrer Sicht unberechtigten Schuldvorwürfen revanchieren - sowie 18 Prozent bei einem Verlust ihres Arbeitsplatzes. Wenn deutsche Mitarbeiter bei einem Jobwechsel oder einer Entlassung aus Rache Daten stehlen, liegen die datenschutzkritischen Kundendaten mit 46 Prozent auf dem zweiten Rang. Nur Unternehmenspräsentationen sind begehrter (57 Prozent).

„Unternehmen geben weltweit Millionen von Euro für ihre IT-Sicherheit aus. Zur selben Zeit kann ein verärgerter Mitarbeiter, der kurz vor der Entlassung steht, das Unternehmenstor passieren und Datensätze über Kunden oder Geschäftspartner auf einem USB-Stick oder einem ausgedruckten Blatt Papier mitnehmen und diese im schlimmsten Fall sogar zu bösartigen Zwecken einsetzen“, kommentiert Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland die Bedrohungslage. „Die Gewährleistung von Datenschutz und Datensicherheit fängt bei den eigenen Mitarbeitern an. Unternehmen sollten hier durch Sicherheitsvorschriften und entsprechende Schulungen sowie durch Zugriffsbeschränkungen auf Daten versuchen, die größten Informationsrisiken zu minimieren.“

[1] www.spiegel.de/netzwelt/netzpolitik/vodafone-datendieb-soll-externer-dienstleister-sein-a-921859.html

[2] Opinion Matters für Iron Mountain. Die Umfrage wurde zwischen 15. April 2013 und 1. Mai 2013 durchgeführt. Stichprobe: 5.021 berufstätige Erwachsene in Deutschland, Großbritannien, Frankreich, Spanien und den Niederlanden. Davon 1.002 aus Deutschland.