Düsseldorf - Keiner wäre je auf die Idee gekommen, Carmen E. (*) zu verdächtigen. Sie war allen Kollegen sympathisch, viele kannten sie seit ihrer Lehrzeit. Schon ihr Vater hatte für die Werbeagentur gearbeitet. Doch den Vertrauensvorschuss nutzte Carmen E. schamlos aus: Sie verriet Daten über Kunden und Kampagnen an die Konkurrenz - per SMS.

Ein Fall, wie er tagtäglich vorkommt. 13 Prozent aller Delikte von Wirtschaftskriminalität im vergangenen Jahr betrafen Know-how-Verluste durch Weitergabe von Information, heißt es in einer Studie der Result Group. Der Datenverlust und -verrat zählt damit, neben Diebstahl, Unterschlagung, Untreue und Betrug zu den häufigsten Risiken für Unternehmen.

"Wir sehen häufig eine Mischform von Industriespionage, Veruntreuung und Diebstahl von Daten", sagt Reinhold Kern, Manager für den Bereich Computerforensik bei Kroll Ontrack in Böblingen. "Auch komplette Datenbankinhalte werden gestohlen."

Diese Gefahr werde vor allem in kleinen und mittleren Unternehmen unterschätzt, sagt Steffen Salvenmoser, Experte bei der Prüfungsgesellschaft PricewaterhouseCoopers (PwC). Laut einer PwC-Studie wurde 2003 und 2004 fast jedes zweite deutsche Unternehmen (46 Prozent) Opfer einer Wirtschaftsstraftat. Viele kehren das unter den Teppich - aus Angst vor Imageschäden.

"Völlige Verkennung der Realität"

Experten der Prüfungsgesellschaft KPMG schätzen die Dunkelziffer auf 80 Prozent. Vor allem bei vom Eigentümer geführten Unternehmen mangele es häufig am Risikobewusstsein. Dass sich in der offiziellen Statistik mehr wirtschaftskriminelle Delinquenten bei den großen Firmen finden (62 Prozent) als bei Unternehmen mit weniger als 200 Mitarbeitern (37 Prozent), liege daran, dass bei den großen die Kontrollsysteme ausgefeilter sind.

Dabei wird das Risiko meist an der falschen Stelle gesehen: "Viele Unternehmen denken bei Datensicherheit nur an Viren- und Hacker-Angriffe; dabei machen sie nicht den größten Schaden aus", sagt Christian Götz, Geschäftsführer bei Corporate Integrity Solutions, einer Ausgliederung der Wirtschaftsprüfungsgesellschaft Deloitte & Touche. Er spezialisiert sich auf Prävention und Aufklärung von Wirtschaftskriminalität.

Gegen Angriffe von außen werden Firewalls und Anti-Viren-Software eingesetzt, gegen einen Angriff von innen helfen sie nicht viel. "Wir haben hier eine völlige Verkennung der Realität. Die Täter stammen oft aus den eigenen Reihen. Hier wird den Mitarbeitern viel Vertrauen entgegengebracht", sagt der PwC-Experte und Ex-Staatsanwalt Steffen Salvenmoser.

Moderne Technik macht es den Tätern einfach. Götz: "Heutzutage werden meist andere Methoden verwendet, E-Mail, USB-Stick oder Handy."

Nach einer europaweiten Studie des Marktforschers Dynamic Markets speichern 92 Prozent der Befragten unternehmenskritische Informationen auf Handys oder PDAs. "Manche gehen geradezu sorglos mit ihren Daten um. Eine Versicherung verkaufte beispielsweise ihre alten Rechner samt Festplatte - und damit allen darauf gespeicherten Daten", sagt Götz. Auch wenn Daten gelöscht werden, sind sie noch vorhanden. Selbst nach einer Formatierung können sie noch gelesen werden.

Bei der Entlarvung von Tätern kommt die sogenannte IT-Forensik zum Einsatz. Spezialisten in diesem Bereich haben mittlerweile eine ausgefeilte Technik für die Aufklärung und Beweisführung im Verdachtsfall: Per Software können gelöschte Dokumente auf Computern verdächtiger Mitarbeiter wiederhergestellt werden.

Test soll unehrliche Charaktere entlarven

Forensische Analysen werten Festplatten, Handys oder E-Mail-Verkehr aus. Die Programme durchforsten selbst große Datenmengen nach Schlagwort-Verbindungen und spüren Daten auf, die gelöscht oder überschrieben wurden.

Ziel der IT-Forensik ist es, rechtswirksame Beweise zu bekommen. Oft sind solche neuartigen Analysen aber erst möglich, wenn im Unternehmen festgelegt ist, dass zum Beispiel E-Mail und Internet nur geschäftlich genutzt werden dürfen. Für solche Spezialisten gibt es genug zu tun: "Der Stellenwert der IT-Forensik steigt stark", sagt Kern von Kroll Ontrack. "Das spüren wir auch an der wachsenden Nachfrage".

Wie aber kann man Datenverrat von vornherein ausschließen? "Das kann schon bei der Mitarbeiterauswahl anfangen", sagt Diplom-Psychologe Jens Hoffmann, Leiter des Instituts für Psychologie und Sicherheit in Darmstadt. Der von ihm zusammen mit der Arbeitsstelle für Forensische Psychologie der TU Darmstadt und der Universität Regensburg entwickelte Psychologische Integritätstest (PIT) soll helfen, potentiell weniger ehrliche Personen zu erkennen.

Auch im Arbeitsvertrag sollte genau geregelt sein, was erlaubt und was verboten ist. Denn alles was nicht verboten ist, gilt juristisch gesehen als geduldet. Auf technischer Seite kann mit Zugangskontrollen und mit Passwörtern geschützte Zugriffsrechte das Computersystem sicherer werden. "Auch der direkte Kontakt zu den Mitarbeiter sollte dabei nicht unterschätzt werden", sagt Götz. "Eine Big-Brother-Mentalität ist eher kontraproduktiv."