Sabotage, Wirtschaftsspionage, Überfälle, Diebstähle: Jedes Unternehmen will sich vor Risiken schützen oder sie doch wenigstens begrenzen. Hinsichtlich bestehender Risiken wird dabei der Blick eher nach Außen denn nach Innen gerichtet. Misstrauen und Kontrolle gefährden schließlich ein gutes Betriebsklima. Diese Haltung ist nicht nur naiv, sondern – aus der Perspektive des Risikomanagements heraus betrachtet – schlicht fahrlässig. Aus der kriminalistischen Praxis wissen wir, dass Innentäter eine große Rolle spielen. Der Gesamtverband der deutschen Versicherungswirtschaft (GdV) geht davon aus, dass etwa 40 Prozent der Betrugs-, Diebstahls- und Unterschlagungsdelikte von Mitarbeitern der betroffenen Unternehmen begangen werden. Dazu kommt eine hohe Dunkelziffer.

Die GdV-Statistik verzeichnet dabei sowohl Computerkriminalität durch Mitarbeiter als auch alle anderen Formen krimineller Handlungen wie Korruption und Vorteilsnahme, Untreue, Unterschlagung, Diebstahl, Betrug, Wirtschafts- und Betriebsspionage, Verrat von Betriebsgeheimnissen, Erpressung und Insider-Geschäfte. Laut Aussage des GdV verfügen die Täter meist über betriebswirtschaftliches Fachwissen sowie über gute Kenntnisse der internen organisatorischen Abläufe und Gewohnheiten des geschädigten Unternehmens.

Zum Innentäter werden Mitarbeiter dabei sowohl zu Beginn eines Angestelltenverhältnisses aber auch nach vielen Jahren der Betriebszugehörigkeit. Die Euler Hermes Kreditversicherungs-AG hat in ihrer Studie Wirtschaftskriminalität – das diskrete Risiko zwar festgestellt, dass die Wahrscheinlichkeit von Veruntreuungen mit steigender Betriebszugehörigkeit abnimmt. Allerdings sind die Schäden, die durch langjährige Mitarbeiter verursacht werden, deutlich höher als solche von Mitarbeitern, die dem Betrieb noch nicht so lange angehören.

„Bei großen Unternehmungen und großen Gefahren muss der Leichtsinn verbannt sein“, erkannte schon Johann Wolfgang von Goethe. Fahrlässigkeit und Leichtsinn sind allerdings oft genug der Grund, warum Cyberangriffe so erfolgreich sind. Ransomware-Angriffe und Phishing-Kampagnen beispielsweise hätten es deutlich schwerer, würde man ihnen in der alltäglichen unternehmerischen Praxis die nötige Aufmerksamkeit schenken.

Google lädt Bewerber zehn Mal und mehr zu Gesprächen ein, bevor ein Vertrag unterzeichnet wird

Ein Beispiel sind Bewerbungen, die Firmen noch immer per E-Mail erreichen. Für Angreifer sind sie ein Türöffner direkt ins Unternehmensinnere. Deshalb sollte man sich einige grundlegende Fragen für den betrieblichen Alltag lieber rechtzeitig stellen: Kennen Sie die Menschen, die Sie einstellen tatsächlich gut genug, um ihnen zumindest grundsätzlich zu vertrauen? Geben Sie allen Mitarbeitern eine schriftliche Orientierungshilfe an die Hand, aus welcher klar ersichtlich ist, welches Verhalten erwünscht ist und welches nicht? Stellen Sie über geeignete Maßnahmen wie Schulungen, Sensibilisierungsvorträge oder Security-Awareness-Kampagnen sicher, dass diese Orientierungshilfen wirklich in den Alltag übertragen werden?    

Ransomware wird vorzugsweise an Personalabteilungen gesendet. Warum? Weil die Chancen, dass jemand den Anhang einer solchen E-Mail öffnet, ziemlich hoch sind. Obwohl E-Mails oft ziemlich allgemein gehalten werden, werden sie vielfach geöffnet. Eine freundliche Anrede und fehlerfrei gebrauchte deutsche Sprache sind offensichtlich vertrauenerweckend genug. Dazu noch ein authentisch wirkendes Foto – alles scheint auf eine legitime E-Mail hinzudeuten. Stattdessen verbirgt sich im Anhang ein Zip-Archiv mit der berüchtigten Cerber-Ransomware. Also ein Verschlüsselungs- und Erpressungstrojaner.

Betrügern geht es darum, mit wenig Aufwand maximale Ergebnisse zu erzielen – in den meisten Fällen Geld aus Erpressungen. Da ist es nur konsequent, die Bewerbungen allgemein zu halten, einfach um den E-Mail-Verteiler so groß wie möglich zu machen. Aber es gibt auch noch eine andere Methode.

Inzwischen ermöglichen digitale Währungen wie Bitcoin völlig neue Geschäftsmodelle. Betrüger heuern etwa freie Unterstützer an, die in Bitcoin, und somit weitgehend unerkannt, honoriert werden. So machen sich externe Angreifer deren Kenntnisse in Bezug auf interessante Unternehmensziele ebenso zunutze wie die Möglichkeit, sich weitere Informationen zu beschaffen.

Man darf sich das ganz praktisch so vorstellen: Ein 16-jähriger Schüler im Bayerischen Wald liest einige Stellenanzeigen und liefert passgenaue Bewerbungen an ein Online-Formular im Darknet ab. Von dort aus werden die Bewerbungen automatisiert an die jeweiligen E-Mail-Adressen versendet.

Ergo: E-Mail ist niemals ein sicherer Weg für ein Unternehmen, Bewerbungen einzusammeln. E-Mail-Adressen gehören weder in eine Stellenausschreibung noch auf die Website. Stattdessen sollten Personalabteilungen eigene Bewerberportale verwenden. Es gibt sie heute für kleines Geld und sie lassen sich mit wenigen Klicks in eigene Websites einbinden.

Wussten Sie, dass Google einen Bewerber bis zu zehn Mal und mehr zu Gesprächen einlädt, bevor ein Vertrag unterzeichnet wird? Das liegt zum einen an einem der Google-Prinzipien, gemäß denen ein Bewerber immer nur einen Gesprächspartner vor sich haben sollte. Zum Anderen daran, dass eine gewisse Anzahl von Interviewern nötig ist, um eine nach Google-Maßstäben valide Wertung zu treffen.

Und diese basiert bei Google natürlich auf Daten. Selbstredend erwartet man vom Bewerber, diverse Fragebögen auszufüllen. Dasselbe erwartet das Unternehmen von den Interviewern. Nach jedem Gespräch bewertet er oder sie den Kandidaten über ein Online-Formular. Keiner der Interviewer kennt die Bewertungen seiner Kollegen. Aus den gesammelten Daten errechnet ein Algorithmus eine Einstellungsempfehlung. Oder eben keine. Google vertraut dem Urteil des Algorithmus so sehr, dass keine einzelne Person, nicht einmal der Vorstand selbst, ihn überstimmen kann.

Die Vorgehensweise von Google ist vielleicht kein Idealbild. Aber es reicht schon, anhand dieses Beispiels die eigenen Bewerbungs- und Einstellungsprozeduren zu überdenken. Es müssen ja nicht gleich zehn und mehr Bewerbertreffen sein, aber vielleicht fünf. In vielen Unternehmen werden Einstellungsentscheidungen im Wesentlichen auf Basis vorliegender Unterlagen und aus dem Bauch heraus getroffen. Es ist aber nicht die schlechteste Option, weitere Daten zu Hilfe zu nehmen, die man über einen Fragebogen, erheben kann.

Gute Kandidaten können sich mittlerweile den Arbeitgeber aussuchen. Nicht zuletzt eine Folge des Fachkräftemangels. Unternehmen zahlen nicht selten hohe Beträge an Personalvermittler, um vakante Stellen bestmöglich zu besetzen. In Zeiten einer nahezu Vollbeschäftigung sind fähige Kandidaten rar geworden. Bei vielen Unternehmen hat sich die Praxis etabliert, den Bewerber nach allen Regeln der Kunst zu umwerben. Fragen der Sicherheit wirken in diesem Szenario schon fast störend.

Nur, welche Art von Botschaft sendet eine konsequent gelebte Sicherheitsüberprüfung bei genauerem Hinsehen wirklich aus? Offensichtlich gibt es in diesem Unternehmen Werte, die für alle gelten. Wenn sich selbst ein hochrangiger Manager grundsätzlichen Werten, wie denen der Sicherheit für Mitarbeiter und der Existenzfähigkeit des Unternehmens, unterordnet – ist das eher ein positives Signal als das Gegenteil. „Vetterleswirtschaft“ funktioniert hier nicht. Dieses Unternehmen steht bei aller Empathie im täglichen Miteinander zu seinen Werten – auch in punkto Sicherheit. Ein Bewerber, der in diesem Unternehmen tätig sein will, sollte das genauso sehen. (Manuel Bohé)