Mitarbeiter unterlaufen Anweisung zur Vernichtung von verfänglichen E-Mails

Wenn E-Mails mit geschäftskritischen Informationen an die Öffentlichkeit gelangen, kann das unangenehme Folgen haben. Um das verhindern gehen immer mehr Firmen dazu über, ihre Mithalter anzuhalten, solche Nachrichten nach "Gebrauch" zu löschen. Doch diese Strategie ist alles andere als erfolgreich, wie der ehemalige Sicherheitsbeauftragte einer US-Firma berichtet, die an der Wall Street tätig ist.

Gegenüber der Netzwerk-Zeitschrift NetworkWorld sagte er, dass solche Versuche schon deshalb zum Scheitern verurteilt seien, weil viele Mitarbeiter Kopien von wichtigen Nachrichten lokal auf ihrem Rechner oder gar auf portablen Speichermedien wie USB-Sticks ablegen. Manche gingen sogar soweit, auf eigene Kosten Backup-Dienste zu beauftragen, für sie Online-Sicherungskopien von E-Mails zu erstellen oder Daten online zu sichern.

Technisch versiertere Mitarbeiter lassen ihre Client-Software, etwa Outlook oder Notes, in regelmäßigen Abständen Sicherungskopien des kompletten E-Mail- und Kontakte-Ordners erstellen. Zwar erreichen solche Files schnell eine Größe von mehreren Hundert Megabyte, sodass sie sich nicht ohne weiteres via E-Mail aus der Firma schleusen lassen. Doch auch in diesem Fall helfen beispielsweise Speicher-Sticks weiter, die die mittlerweile Kapazitäten von bis 1 GByte haben, aber auch portable Festplatten, die sich an einen USB-Port anschließen lassen.

In einigen Fällen hätten Mitarbeiter in Außenstellen sogar ohne Wissen der Firmenleitung und der zentralen IT-Abteilung ihr "eigenes" lokales Netz aufgesetzt und auf den Servern dort wichtige Firmeninformationen gespeichert.

Selbst die "Dummies" unter den Usern seien eine potenzielle Sicherheitslücke: Sie neigen nach Angaben des Fachmanns dazu, E-Mails auszudrucken. Teilweise legen Mitarbeiter dann solche Ausdrucke im Büro ab oder vergessen sie auf ihrem Schreibtisch, sodass selbst die Putzfrau sie lesen kann, oder sie nehmen sie mit nach Hause.

Die Schlussfolgerung, die der Berater zieht, ist ziemlich "puristisch": E-Mail-Systeme in Firmen sollten so ausgelegt sein, dass sie weitgehend jeden Missbrauch ("Missbrauch" wohl im Sinne einer Firmenpolitik) unmöglich machen.

Wie sich das bewerkstelligen lässt, ohne dass dies in eine totale Kontrolle von Mitarbeitern ausartet, ist mir allerdings nicht klar. Überall dort, wo Kommunikation stattfindet, sei es mündlich, in Form von Briefen oder Memos, telefonisch oder eben elektronisch, gibt es nun einmal potenzielle Sicherheitslücken. Es ist nachvollziehbar, dass Unternehmen und Behörden nicht mit inkriminierenden elektronischen Nachrichten konfrontiert werden möchten, sei es durch Medien, Konkurrenten oder gar Gerichte.

Aber Mitarbeiter an die "ganz kurze Leine" zu nehmen, dürfte andererseits nicht gerade die Arbeitsmoral und Identifikation mit einem Unternehmen fördern. Hinzu kommt, dass es durchaus Sinn macht, wichtige E-Mails zu archivieren. Das sollte dann auf eine Weise erfolgen, die den Zugriff von Unbefugten unmöglich macht, etwas mittels Verschlüsselung.

Allerdings ist bei dem Statement des Sicherheitsberaters zu berücksichtigen, dass er das unkontrollierte Speichern, Sichern und Hinausschleusen von E-Mails aus amerikanischer Warte sieht. Der Schutz der Privatsphäre von Firmenmitarbeitern ist in den USA deutlich schlechter entwickelt als in Europa. So dürfen Firmenchefs die E-Mails und Telefonate von Mitabeitern ohne weiteres abhören beziehungsweise lesen. In Deutschland ist dies laut dem Datenschutzgesetz nur dann zulässig, wenn der Arbeitgeber dies zuvor angekündigt hat und wenn sich diese Maßnahme auf die E-Mail-Adresse beschränkt, die der Arbeitnehmer beruflich nutzt.

Unklar ist jedoch, inwieweit sich Firmen an diese Regelung halten. Immer wieder werden Fälle publik, in denen Unternehmen E-Mails, das Surf-Verhalten oder schlichtweg alle Aktivitäten ihrer Mitarbeiter am PC überwachen (siehe dazu unter anderem einen Beitrag auf Silicon.de). Programme wie Winston Monitoring zeichnen beispielsweise alle Aktionen auf einem Rechner auf, inklusive der Tasten, die ein User betätigt oder der Programme, die er startet.

Das Problem dabei: Programme, die solche Überwachungsfunktionen bieten, sind nicht von Haus aus "böse": Systemverwalter nutzen beispielsweise solche Funktionen, um Rechner fernzuwarten und Usern zu helfen, Bedienungsfehler abzustellen.