TIPPS FÜR UNTERNEHMEN

Warum Mitarbeiter-Offboarding Teil der IT-Sicherheitsstrategie im Unternehmen sein muss

Lesedauer 7 Min.

Wenn Mitarbeiter das Unternehmen verlassen, sind vordefinierte Prozesse für das sogenannte Offboarding in der Personalabteilung und IT normalerweise Standard, zum Beispiel, was die Rückgabe von Zugangskarten oder Hardware betrifft. Doch was oftmals zu kurz kommt, ist die IT-Security. Die Folgen können Sicherheitslecks und unerwünschter Datenabfluss sein.

Die Gründe für einen Jobwechsel sind in der Regel vielfältig. Mal ist es der Wunsch nach einem Tapetenwechsel, Unzufriedenheit im Job oder der Aufstieg auf der Karriereleiter. Doch nicht nur Angestellte setzen ihre Entschlüsse in die Tat um, auch Unternehmen organisieren und strukturieren ihre Belegschaft neu. Oder sie nutzen die Chance, ihre Teams effizienter aufzustellen und zukunftsweisend zu gestalten.


Von welcher Seite man es auch betrachtet: Nicht jede Trennung erfolgt in beiderseitigem Einvernehmen. Neu ist diese Erkenntnis nicht, die Auswirkungen dafür umso brisanter. Während früher Bleistifte gestohlen oder Akten von unzufriedenen Abgängern böswillig falsch geführt wurden, werden heute Security-Vorschriften nur noch leichtfertig befolgt, heimlich vertrauliche, digitale Informationen kopiert, Geschäftskontakte mitgenommen und im schlimmsten Fall auch Dateien im Netzwerk manipuliert oder gelöscht. Besonders häufig geschieht dies diversen Umfragen zufolge in den Branchen Technologie, Finanzdienstleistungen, Unternehmensberatung und Management. So entpuppt sich das vermeintliche Kavaliersdelikt der analogen Welt zur Straftat in der digitalen.


Dies zeigt mehr und mehr, dass beim Offboarding von Mitarbeitern höchste Sorgfalt geboten ist – und hier spielt die IT-Sicherheitsabteilung eine zentrale Rolle. Es reicht heute bei weitem nicht mehr aus, die Chipkarten und Arbeitsgeräte (zum Beispiel Notebooks und Smartphones) von Mitarbeitern einzusammeln sowie das E-Mail-Postfach zu deaktivieren. Vielmehr müssen u.a. auch alle Zugänge zu Messengern, Tools, Clouddiensten oder Netzwerkzugängen geändert bzw. geschlossen werden. Genau diese Maßnahmen sind in den Offboarding-Checklisten vieler Unternehmen jedoch noch gar nicht vorhanden oder nur ansatzweise angepasst bzw. erarbeitet worden.


Zwischenfälle und dadurch verursachte Schäden: Hoch

Ob Mitarbeiter Daten stehlen, um einen neuen Arbeitgeber zu beeindrucken oder sie schlichtweg aus Groll mitnehmen oder löschen - die potenziellen Auswirkungen auf das Unternehmen sind gravierend. Daraus entstandene Datenlecks können unter anderem diese Folgen haben:

•             Kosten für die Untersuchung, Aufarbeitung und Behebung

•             Anwaltskosten durch (Datenschutz-)Klagen

•             Behördliche Geldbußen

•             Marken- und Rufschädigung

•             Verlust von Wettbewerbsvorteilen

Wie genau sich die Schäden durch Offboarding darstellen, ordnete das Ponemon Institut in einer eigenen Studie ein. Es beziffert im „Insider Threats Report 2020“ die Kosten auf fast 11,5 Millionen US-Dollar. Das entspricht einem Anstieg um 31 Prozent zwischen 2018 und 2020. Die knapp 1.000 weltweit befragten Unternehmen gaben zudem an, dass insgesamt 4.716 Zwischenfälle registriert wurden. Auch hier fällt die Steigerung im gleichen Zeitraum um 47 Prozent erschreckend hoch aus. Fast jeder vierte Vorfall beruht auf kriminellen Motiven, bei 14 Prozent lag der Diebstahl von Anmeldedaten vor. Dass jeder sechste Zwischenfall „nur“ auf Fahrlässigkeit zurückzuführen ist, macht die Sachlage nicht besser. Jedes Vorkommnis kostet letztlich Zeit und Geld, um die Schäden zu beseitigen.

Der kurze Weg vom Abgänger zum Innentäter

Besonders heikel kann das Thema Offboarding werden, wenn der ausscheidende Mitarbeiter seinen Entschluss, das Unternehmen zu verlassen, schon zu einem viel früheren Zeitpunkt gefasst hat. In diesem Fall stellt er unter Umständen über einen längeren Zeitraum eine potenzielle Gefahr dar. Experten vergleichen diese Personen mit sogenannten Innentätern, welche durch fahrlässiges Verhalten oder auch kriminelle Absichten als Sicherheitsrisiko einzustufen sind.

Auch die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat sich mit dem Problem der Innentäter befasst und es in die Liste der Top 15-Bedrohungen aufgenommen. Aus dem aktuellen Threat Landscape Report 2021 geht beispielsweise hervor, dass sogenannte „Insider Jobs“ unmittelbar für Datenverluste jeglicher Art verantwortlich sind. Gerade diese Gruppe der Mitarbeiter scheint zudem besonders anfällig für Social Engineering Angriffe zu sein, welche neben gefälschten E-Mails und manipulierten Links zu den wichtigsten Angriffsvektoren zählen. Ob der Abgänger/Innentäter letztlich einfach nur fahrlässig gehandelt hat oder bewusst Hackern die Tore öffnete, spielt dabei keine Rolle: Die Gefahr durch Innentäter muss gestoppt werden.

Kann man (ausscheidenden) Mitarbeitern überhaupt noch vertrauen?

Im Regelfall verlaufen Trennungen so, wie sie von beiden Parteien gewünscht sind. Dennoch nimmt das Fehlverhalten der Mitarbeiter zu. Nicht immer geschieht dies aus einer direkten Absicht heraus, sondern resultiert etwa auch aus der Überforderung des Mitarbeiters, z.B. durch die stetig steigende Anzahl an Geräten, Tools sowie unzähligen Messenger- und Clouddiensten.

Der Umzug ins Home-Office verschärfte diese Thematik weiter. Schließlich kann heutzutage auf Cloud-basierte Anwendungen und Datenspeicher sowie andere vernetzte Unternehmensressourcen in vielen Unternehmen praktisch von überall aus und von jedem Endgerät zugegriffen werden. So nützlich und unerlässlich diese Möglichkeiten für die Produktivität geworden sind, so erleichtern sie es gleichzeitig Mitarbeitern, Vorschriften zu umgehen oder Richtlinien zu verletzen, wenn hierfür keine effizienten Kontrollen vorhanden sind.

Den schwarzen Peter einfach nur dem Ex-Kollegen zuzuschieben, wäre allerdings zu kurz gegriffen. In vielen Unternehmen fehlen bspw. entsprechende Richtlinien, die das Mitnehmen von Unternehmensdaten im Falle des Ausscheidens verbieten.

Tipps für sicheres Offboarding

  • Richtlinien müssen klar und verständlich kommuniziert werden

Möglicherweise denken Ihre Mitarbeiter, dass Daten, die sie bei der Arbeit erzeugen, ihnen gehören. Klar und formell verfasste Richtlinien helfen ihren Mitarbeitern, die Grenzen ihrer Beteiligung am geistigen Eigentum besser zu verstehen. Neben entsprechenden Richtlinien gehören dazu auch eindeutig formulierte Sanktionen bei Nichtbeachtung. Es ist zu empfehlen, diese Vorgaben mit konkreten Beispielen zu untermauern, etwa mithilfe von Kundenlisten oder technischen Entwürfen. Diese Dateien werden zwar von Ihren Mitarbeitern entworfen, gehören aber eindeutig dem Unternehmen.

  • Setzen Sie auf kontinuierliches Monitoring:

Unternehmen tun gut daran, unter Beachtung lokaler Datenschutzgesetze Kontrolltechnologien einzusetzen, die verdächtige Aktivitäten kontinuierlich aufzeichnen und melden.

  • Definieren Sie konkrete Richtlinien und Prozesse:

Was in den meisten Unternehmen beim Onboarding neuer Mitarbeiter bereits als Standard gilt, wird beim Ausscheiden von Mitarbeitern oftmals vernachlässigt. Mit im Voraus definierten Workflows und Prozessen schaffen Sie optimale Voraussetzungen für ein nahtloses und effektives Offboarding.

 

Unternehmen können es sich heutzutage nicht mehr leisten, dass ihnen wertvolles geistiges Eigentum durch ausscheidende Mitarbeiter gestohlen wird. Ob nun bewusst oder unbewusst herbeigeführt, Datenlecks führen zu Imageverlusten und finanziellen Schäden. Daher ist sorgfältiges Offboarding ein kleiner, aber sehr wichtiger Teil der IT-Sicherheit im Unternehmen.

Kurz-Checkliste: Basis-Prozesse für sicheres Offboarding

  • Zugriffrechte widerrufen und Passwörter für alle Apps und Dienste zurücksetzen
  • Gebäudezugang widerrufen
  • Alle physischen Geräte des Unternehmens zurückfordern
  • E-Mail-Weiterleitungen und Dateifreigaben verhindern
  • Lizenzen anderen Benutzern zuweisen
  • Abschlussgespräch durchführen, um auf verdächtiges Verhalten zu prüfen
  • Abschließende Überprüfung der Überwachungs-/Protokollierungstools bezüglich Hinweise auf ungewöhnliche Aktivitäten
  • Einschaltung von Personalabteilung oder Rechtsanwalt, wenn verdächtige Aktivitäten festgestellt werden