Firmenpleiten, Kurzarbeit - Tausende bangen um ihren Job, suchen nach Alternativen. Auf besonders perfide Art nutzte jetzt eine Personalberatung die Lage aus und stellte mehr als 2500 fingierte Arbeitsplatzangebote bei der Internetjobbörse der Arbeitsagentur ein. Ihr Ziel: die persönlichen Daten von Bewerbern zu bekommen. Der Schwindel flog schnell auf, die Arbeitsagentur sperrte die Firma und nannte die Angelegenheit "ein Dilemma".
Bereits 2008 gab so viele Skandale, dass Sicherheitsexperten schon das "Jahr des Datenmissbrauchs" ausriefen. Im August beispielsweise tauchte bei Verbraucherschützern in Schleswig-Holstein eine CD auf, die Adressen und Kontodaten von 17.000 Kunden der Süddeutschen Klassenlotterie (SLK) enthielt. Aber auch auf Diskretion bedachte Unternehmen bleiben nicht verschont: Im September waren plötzlich die Daten von Nutzern der Beate-Uhse-Website öffentlich zugänglich. Und wie der "Stern" kürzlich berichtete, landeten mehrere Zehntausend Datensätze von T-Online bei Datenhändlern - Vertragsangaben und Bankverbindungen der Kunden inklusive.
Trotz solcher Pannen agieren offenbar viele Unternehmen, Ämter und Organisationen immer noch blauäugig, wenn es um Sicherheitsfragen geht. Die Unternehmensberatung Mummert Consulting ermittelte in ihrer Studie "IT-Security 2008", dass jedes zweite Unternehmen in Deutschland selbst gängige IT-Vorgaben missachtet, wie sie das Bundesamt für Sicherheit in der Informationstechnik (www.BSI.de) empfiehlt. Eine Datenpanne kann jedoch auf lange Sicht am Ruf der Firma kratzen. "Gerade in wirtschaftlich schwierigen Zeiten sollte alles getan werden, um solche Imageschäden zu vermeiden", sagt Wolfgang Nickel, Experte für IT-Sicherheit bei Steria Mummert Consulting.
Dienstleister als Risiko
Speziell die Zusammenarbeit mit externen Geschäftspartnern oder Dienstleistern birgt Risiken für die Datensicherheit: So kam etwa im März 2009 heraus, dass Kabel Deutschland Hundertausende von Kundendaten an verschiedene Call-Center übergeben hatte. Besonders übel: Die Daten wurden in unverschlüsselten Excel-Dateien verschickt und von einigen Call-Centern wiederum an Subunternehmen weitergeleitet. "Unternehmen dürfen IT- und Datensicherheit nicht nur als rein technisches Thema sehen. Sie müssen auch die Gefahren berücksichtigen, die von einem zu lockeren Umgang mit den Daten durch die eigenen Mitarbeiter oder externe Dienstleister ausgehen", warnt Manfred Fink. Er ist öffentlich bestellter und vereidigter Sachverständiger für Abhörsicherheit und Geschäftsführer bei Fink Secure Communication.
Der Schaden für den Ruf des Unternehmens ist schwer zu kalkulieren, kann aber durchaus existenziell werden. Konkreter sind dagegen die Schadensersatzforderungen: "Ein sorgloser Umgang mit personenbezogenen Kunden- oder Mitarbeiterdaten kann hohe Bußgelder mit sich bringen. Die können auch mal in die Millionen gehen", warnt Jyn Schultze-Melling. Als Rechtsanwalt der Münchner Kanzlei Nörr Stiefenhofer Lutz ist er auf Datenschutz und Informationssicherheit spezialisiert. "Die Zeiten, in denen Datenschutzverstöße als Kavaliersdelikte abgetan werden konnten, sind nun endgültig vorbei", sagt der Jurist.
