Durch den verstärkten Einsatz der elektronischen Kommunikation muss naturgemäß der Datensicherheit in allen Betrieben ein verstärktes Augenmerk gewidmet werden. Stand diesbezüglich bis vor einigen Jahren der gesamte Bereich der physischen Sicherheit im Vordergrund (Firewalls, Zugangscodes und -berechtigungen, Business-Continuity, Alarmpläne), unterteilt man spätestens seit den großen Datendiebstählen bei Banken, Versicherungen, staatlichen und halbstaatlichen Organisationen zwischen physischer und psychologischer Sicherheit.

Zauberwort: Selbstwertgefühl

Betrifft das Erste eher die Technik, bezieht sich die psychologische Sicherheit mehr auf den Menschen. Mit anderen Worten: Gibt es Möglichkeiten, mit den heutigen Erkenntnissen festzustellen, ob derjenige, dem Sie den Schlüssel zum Tresor geben, dieses Vertrauen nicht einmal missbrauchen könnte und dadurch die eigene Firma zu schädigen wüsste? Die Antwort ist ja.

Der kriminalpsychologische Ansatz verfolgt das Ziel, aus vergangenen Fällen Schlussfolgerungen für Präventivmaßnahmen ableiten zu können. Alle Untersuchungen, retrograden Aufarbeitungen von diesbezüglich relevanten strafrechtlichen Delikten und insbesondere vertrauliche und extensive Interviews mit jenen, welche Daten mutiert, zerstört, gestohlen und/oder missbräuchlich verwendet haben, zeigen, dass ein derartiges Verhalten bereits im planenden Vorfeld der Tat entdeckt, bearbeitet und auch in den meisten Fällen verhindert werden kann. Das Zauberwort dafür lautet: Selbstwertgefühl – oder anders ausgedrückt: Zufriedene, breit aufgestellte und in sich diversifizierte Mitarbeiter werden nur mit sehr geringer Wahrscheinlichkeit den eigenen Betrieb schädigen oder zerstören wollen.

Es ist ein Prozess

Aber auch die Entwicklung von einer kurzfristigen Enttäuschung bis zur planenden Vorbereitung oder eigentlichen Tat ist in der Regel keine Frage von Tagen oder Wochen, sondern eher von Monaten oder auch Jahren. Die betreffende Person verändert ihr eigenes Verhalten während dieser Zeit mehrmals, indem sie zu Beginn ein extrem wechselhaftes Verhalten zwischen kurzfristigen positiven Momenten und extrem negativen Erlebnisses und Verhaltensweisen zeigt – zunächst der gesamten Firma, dann einzelnen Personen und schließlich sich selbst gegenüber, indem die betreffenden Personen beginnen, ihre eigenen hygienischen Verhältnisse massiv zu vernachlässigen.

Sowohl in gutachterlichen Aufarbeitungen von Fällen als auch während interner und vertraulicher Beratungstätigkeit für Institutionen, welche die Vermutung hegten, dass ein Datenmissbrauch unmittelbar bevorsteht, hat sich gezeigt, dass dem entsprechenden Führungsverhalten der Vorgesetzten dabei eine große präventive Rolle zukommt. Ausschließliches Führen über die elektronische Form der Kommunikation, wenig persönliche Bindung zu den Untergebenen, mangelhafte Wertschätzung und ein krasses Missverhältnis zwischen Fach- und Dienstaufsicht sind die häufigsten Ursachen, warum Firmen ein entsprechendes Gefahrenpotenzial zu spät oder manchmal auch gar nicht erkennen, um zeitnah entsprechend gegenzusteuern.

Jeder hat etwas gewusst

Studien haben gezeigt, dass, wenn ein derartiger Fall destruktiven Verhaltens festgestellt worden war, unmittelbare Mitarbeiter, direkte Vorgesetzte, Linienvorgesetzte, Personalverantwortliche und/oder Spezialabteilungen wie Legal, Compliance, Internal Audit über Teile des Verhaltens Bescheid wussten. Selten bis nie gab es aber eine Stelle, die über alle Informationen verfügte, um dadurch rechtzeitig reagieren zu können.

Selbst in jenen Fällen, in denen versucht wurde, den Schaden zu minimieren, den Täter davon abzuhalten, die Tat umzusetzen, und rechtzeitig die Gesamtumstände zu analysieren, waren die meisten involvierten Personen nachweisbar nicht bereit, alle kausalen Informationen zur Verfügung zu stellen, weil aus psychologisch nachvollziehbaren Gründen die Frage bei jedem einzelnen Beteiligten im Raume stand: Welchen Beitrag habe ich dazu geleistet, dass wir heute dort sind, wo wir sind?

Daher gilt es aus sicherheitspolitischer Sicht dem interdisziplinären Ansatz innerhalb einer Institution den Vorzug zu geben, das Thema Sicherheit auch sehr hoch innerhalb der Hierarchie zu verankern und zu erklären, dass Sicherheit nicht alleinige Aufgabe eines Chief-Security-Officers ist, sondern aller Mitarbeiter und dass schon mit einer einzigen ehrlich gemeinten Frage der Vorgesetzten an ihre Leute wie "Wie geht es dir?", "Brauchst du irgendetwas?" die gesamte Firma um ein gutes Stück sicherer gemacht werden kann. (Thomas Müller, 5.4.2017)