Mitarbeiter-Offboarding: Ein Fall für die IT-Sicherheit

Wenn Mitarbeiter das Unternehmen verlassen, greifen vordefinierte Prozesse für das sogenannte Offboarding. Von der Personalabteilung bis zur IT weiss jeder Verantwortliche, was zu tun ist. Die IT-Sicherheit wird aber zu selten konsultiert.

Artikel erschienen in Swiss IT Magazine 2021/12

     

Die Covid-19-Pandemie wirbelt den Schweizer Arbeitsmarkt kräftig durcheinander. In einer Umfrage stellte das Karriereportal Xing Anfang des Jahres fest, dass 54 Prozent der befragten deutschsprachigen Schweizer offen für einen Wechsel seien oder diesen bereits konkret planen. So mancher Mitarbeitende hatte im Lockdown wohl genug Zeit, seine persönliche Arbeitssituation zu überdenken. Unzufriedenheit im Job, der Wunsch nach einem Tapetenwechsel oder der Aufstieg auf der Karriereleiter: Viele setzen ihren Entschluss nun in die Tat um. Aber auch Unternehmen reagieren und organisieren ihre Belegschaft neu. Neben betriebsbedingten Kündigungen nutzen viele die Chance, ihr Team effizienter aufzustellen und zukunftsweisend zu straffen.

Von welcher Warte man es auch betrachtet: Nicht jede Trennung erfolgt in beiderseitigem Einvernehmen. Neu ist diese Erkenntnis nicht, die Auswirkungen dafür umso brisanter. Während früher unzufriedene Abgänger Bleistifte stahlen oder böswillig Akten falsch führten, werden heute Security-Vorgaben nur noch leichtfertig befolgt, sensible digitale Informationen heimlich kopiert, Geschäftskontakte mitgenommen und im schlimmsten Falle Dateien im Netzwerk manipuliert oder gelöscht. Diversen Umfragen zufolge geschieht dies am häufigsten in den Branchen Tech, Finanzdienstleistungen, Unternehmensberatung und Management. Das Kavaliersdelikt der analogen Welt entpuppt sich zur Straftat in der digitalen.


Und selbst nach dem Abschied bleiben Ex-Kollegen eine Gefahrenquelle. So meldete die Ruag im Mai 2021 einen angeblichen Hackerangriff auf die eigenen IT-Systeme. Doch die Spurensuche verblüffte die Experten: In den Log-Dateien waren keine Hinweise auf eine Attacke zu finden. Schnell stand die Vermutung im Raum, dass ehemalige Mitarbeiter mit ihrem Insiderwissen dafür verantwortlich seien.

Dieses Beispiel zeigt deutlich, dass beim Offboarding höchste Sorgfalt angebracht ist – und hier spielt die IT-Sicherheitsabteilung eine grössere Rolle als bislang angenommen. Es reicht heute nicht mehr aus, die Mitarbeiter-Chipkarten und Arbeitsgeräte einzusammeln sowie das E-Mail-Postfach zu deaktivieren. Vielmehr müssen auch alle Zugänge zu Messengern, Tools, Cloud-Diensten oder Netzwerken geändert beziehungsweise geschlossen werden. Dies ist in den Offboarding-Checklisten vieler Unternehmen noch nicht oder nur ansatzweise überarbeitet worden.

Anzahl der Zwischenfälle und Schäden steigt gewaltig

Ob Mitarbeiter Daten mitnehmen, um einen neuen Arbeitgeber zu beeindrucken, oder sie aus Groll stehlen oder löschen – die potenziellen Folgen auf das Unternehmen sind gravierend und können folgende Auswirkungen haben:
- Kosten für die Untersuchung, Aufarbeitung und Behebung,
- Anwaltskosten durch (Datenschutz-)Klagen,
- behördliche Geldbussen,
- Marken- und Rufschädigung,
- Verlust von Wettbewerbsvorteilen.


In einem der jüngsten Fälle bekannte sich eine Mitarbeiterin einer US-amerikanischen Kreditgenossenschaft schuldig, 21 GB vertraulicher Daten vernichtet zu haben, nachdem ihr gekündigt worden war. Obwohl eine Kollegin verlangte, dass die IT den Netzwerkzugriff der Gekündigten während des Offboardings deaktivieren soll, geschah dies nicht rechtzeitig und die Person konnte mittels Benutzernamen und Passwort etwa 40 Minuten lang remote auf den Dateiserver zuzugreifen und Daten löschen. Es kostete die Kreditgenossenschaft 10’000 US-Dollar, um das unbefugte Eindringen und Löschen von Dokumenten zu beheben.

Der kurze Weg vom Abgänger zum Innentäter

Als besonders brisant entpuppt sich Offboarding dann, wenn der ausscheidende Mitarbeiter seinen Entschluss schon viel früher gefällt hat, beispielsweise durch eine innere Kündigung. Möglicherweise stellt er so über einen längeren Zeitraum ein enormes Gefährdungspotenzial dar. Experten vergleichen diese Personen mit den sogenannten Innentätern, die durch fahrlässiges Verhalten oder kriminelle Absichten als Sicherheitsrisiko einzustufen sind.


Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat das Problem der Innentäter erkannt und in die Liste der Top-15-Bedrohungen aufgenommen. Aus dem aktuellen Threat Landscape Report 2021 geht beispielsweise hervor, dass sogenannte Insider Jobs unmittelbar für Datenverluste jeglicher Art verantwortlich sind. Diese Gruppe der Mitarbeitenden scheint besonders empfänglich für Social-Engineering-Angriffe zu sein – und diese gelten neben E-Mails und gefälschten Links zu den wichtigsten Angriffsvektoren. Dabei spielt es letztlich keine Rolle mehr, ob Abgänger/Innentäter einfach nur fahrlässig handelten oder bewusst Hackern die Tore öffneten: Die Gefahr durch Innentäter muss gestoppt werden.

Kann man (ausscheidenden) Mitarbeitern noch trauen?

Die allermeisten Trennungen verlaufen nach wie vor so, wie es sich beide Seiten wünschen. Dennoch zeigen die Zahlen eindeutig, dass das Fehlverhalten der Mitarbeitenden zunimmt. Dies ist nicht immer absichtlich, sondern geschieht verstärkt auch durch die Überforderung des Einzelnen: immer mehr Geräte, immer mehr Tools, dazu unzählige Cloud-Dienste, externe Speicher oder Messenger-Dienste.

Letztlich hat auch der Umzug ins Home Office diese Thematik verschärft. So kann auf Cloud-basierte Anwendungen, Datenspeicher und andere vernetzte Unternehmensressourcen heute in vielen Unternehmen praktisch von jedem Gerät aus und von überall zugegriffen werden. Was einerseits für die Produktivität während der Pandemie unerlässlich geworden ist, kann es den Mitarbeitern andererseits auch erleichtern, Richtlinien zu verletzen oder zu umgehen – falls effiziente Kontrollen fehlen.


Den Ex-Kollegen den schwarzen Peter zuzuweisen, wäre aber zu kurz gegriffen. Eine Reihe von internationalen Untersuchungen weist darauf hin, dass viele Unternehmen nicht einmal eine Richtlinie besitzen, die das Mitnehmen von Arbeitsdaten beim Verlassen verbieten. Noch besorgniserregender ist, dass knapp die Hälfte der befragten Organisationen beim Offboarding weder Gebäudezugänge widerrufen noch Unternehmensgeräte zurückfordern.

So gelingt ein sicheres Offboarding

Viele dieser Sicherheitsvorfälle hätten besser bewältigt werden können, wenn die beteiligten Organisationen effektivere Verabschiedungsprozesse gehabt hätten. Diese sollten schon weit vor einer Kündigung ansetzen. Hier einige Tipps dazu:

- Richtlinien klar kommunizieren: Schätzungsweise 72 Prozent der Büroangestellten denken offenbar, dass die Daten, die sie bei der Arbeit erzeugen, ihnen gehören. Mit klar kommunizierten und formell verfassten Richtlinien verstehen Mitarbeiter eher die Grenzen ihrer Beteiligung am geistigen Eigentum. Unternehmen vermeiden viel Ärger, wenn sie dies an konkreten Beispielen festmachen, wie etwa Kundenlisten oder technische Entwürfe. Diese werden zwar vom Angestellten entworfen und gepflegt, gehören haben klar dem Unternehmen. Selbstverständlich zählen zu Richtlinien auch klar formulierte Sanktionen bei Nichtbeachtung.


- Kontinuierliches Monitoring: Wenn ein skrupelloser Mitarbeiter vor dem Ausscheiden Informationen stehlen will, wird er vermutlich vor der schriftlichen Kündigung damit beginnen. Unternehmen sind daher gut beraten, Kontrolltechnologien einzusetzen, die verdächtige Aktivitäten kontinuierlich aufzeichnen und melden. Dies sollte unter Beachtung der lokalen Datenschutzgesetze und aller ethischen Bedenken der Mitarbeiter geschehen.

- Konkrete Richtlinien und Prozesse definieren: Der beste Weg für ein nahtloses und effektives Offboarding beginnt mit im Voraus definierten klaren Prozessen und Workflows. Was beim Onboarding-Prozess in fast jedem Unternehmen existiert, wird beim Verlassen vielerorts noch vernachlässigt.

Beispiel einer Kurz-Checkliste für die IT-Sicherheit

Unternehmen können es sich heutzutage nicht mehr leisten, dass wertvolles geistiges Eigentum durch ausscheidende Mitarbeiter gestohlen wird. Datenlecks, ob unbewusst oder absichtlich herbeigeführt, enden in finanziellem Schaden und Reputationsverlusten. Sorgfältiges Offboarding ist in diesem Zusammenhang ein kleiner, aber sehr wichtiger Teil des Sicherheitspuzzles. Deswegen sollten IT-Verantwortliche unbedingt diese Basis-Prozesse einsetzen:
- Zugriffrechte widerrufen und Passwörter für alle Apps und Dienste zurücksetzen
- Gebäudezugang widerrufen
- alle physischen Geräte des Unternehmens zurückfordern
- E-Mail-Weiterleitungen und Dateifreigaben verhindern
- Lizenzen anderen Benutzern zuweisen
- Abschlussgespräch durchführen, um auf verdächtiges Verhalten zu prüfen
- abschliessende Überprüfung der Überwachungs-/Protokollierungstools bezüglich Hinweisen auf ungewöhnliche Aktivitäten
- Einschaltung von Personalabteilung oder Rechtsanwalt, wenn verdächtige Aktivitäten festgestellt werden

Der Autor

Michael Klatte arbeitet seit 2008 als PR-Manager und IT-Journalist für Eset Deutschland. Sein Tätigkeitsbereich umfasst die Unternehmens- und B2B-Kommunikation im DACH-Raum. Er beschäftigt sich seit über 20 Jahren intensiv mit dem Thema IT-Sicherheit und wie sich Anwender vor Internetgefahren schützen können. Bevor Michael Klatte sich Eset anschloss, arbeitete er als freiberuflicher IT-Journalist sowie als Pressesprecher für unterschiedliche Technologiefirmen und Hersteller von Security Software.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER