SECURITY insight 6/10
SECURITY insight 6/10
SECURITY insight 6/10
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Titelthema: Forensische Ermittlungen<br />
Titelthema<br />
Der Wunsch<br />
jedes Einzelnen<br />
zählt<br />
Transparenz steht einem Unternehmen gut an – optisch<br />
sowieso, aber auch in den internen und externen<br />
Prozessen. Nur darf man es damit nicht übertreiben.<br />
nisation verbunden. Dies löst in vielen<br />
Fällen erhebliche Organisationsprobleme<br />
aus, da die internen Regelabläufe im<br />
Reporting sowie in der Datensammlung<br />
und Entscheidung über die Datenfreigabe<br />
schnell auf neue Zuständigkeiten<br />
bei der extern vergebenen forensischen<br />
Ermittlung umgestellt werden müssen.<br />
Umso schwieriger wird es, als die für die<br />
Koordination dieser Prozesse zuständigen<br />
Organisationseinheiten wie Corporate<br />
Security oder Corporate Compliance<br />
gerade aus dem Prozess herausgehalten<br />
werden sollen, wenn sie entweder offensichtlich<br />
dabei versagt haben, den Skandal<br />
zu vermeiden, oder selbst verdächtigt<br />
werden.<br />
Zu beachten ist weiterhin, dass auch<br />
Datenschutzrechte gemäß Bundesdatenschutzgesetz<br />
(BDSG), Telekommunikationsgesetz<br />
(TKG) und Berufsrechte von<br />
Mitarbeitern, aber auch beispielsweise<br />
Wettbewerbsrechte von Geschäftspartnern<br />
durch die voreilige Erhebung und<br />
Weitergabe von Daten massiv verletzt<br />
werden können. Die E-Mail-Korrespondenz<br />
von Mitarbeitern etwa kann dem<br />
Fernmeldegeheimnis gemäß Artikel <strong>10</strong><br />
Grundgesetz unterliegen. Die vorschnelle<br />
Datenerhebung durch das Unternehmen<br />
kann strafrechtliche Folgen gemäß § 203<br />
Strafgesetzbuch nach sich ziehen.<br />
Die Kontrolle über die gesammelten und<br />
ermittelten vertraulichen Interna wird<br />
Nicht alle Daten sind für mögliche Ermittlungen relevant. Gegen<br />
Durchsuchungsbeschlüsse Rechtsmittel einzulegen, ist daher nicht<br />
nur legitim, sondern in der Praxis oft dringend anzuraten.<br />
durch die Übergabe an die Staatsanwaltschaft<br />
aus der Hand gegeben. Einzelne<br />
Beschuldigte im Ermittlungsverfahren<br />
können durch ihre Rechtsanwälte mittels<br />
Einsicht in die staatsanwaltschaftliche<br />
Ermittlungsakte damit Zugang zur ganzen<br />
Palette der Unternehmensdaten erhalten.<br />
Die Praxis zeigt, dass von hier aus<br />
nicht sichergestellt ist, dass die Unternehmensdaten<br />
nicht an die Presse weitergegeben<br />
werden oder noch andere<br />
Wege nehmen. Der Schutz wettbewerbsrelevanter<br />
Daten oder anderer schützenswerter<br />
Informationen ist damit nicht<br />
gewährleistet, und es droht oft erheblicher,<br />
irreparabler Schaden, ohne dass<br />
Verantwortliche letztlich zur Rechenschaft<br />
gezogen werden können.<br />
Die Situation verschärft sich, wenn die<br />
„totale Aufklärung“ ausschließlich durch<br />
Beauftragung einer externen Ermittlungsfirma<br />
beziehungsweise einer spezialisierten<br />
Rechtsanwaltskanzlei erfolgt.<br />
Durch die Vergabe der Ermittlungen an<br />
externe Berater wollen Unternehmen<br />
demonstrieren, dass eine quasi objektive,<br />
weil nicht unternehmensinterne Institution<br />
die Ermittlungen führt. Gleichzeitig<br />
bedeutet diese Vorgehensweise auch<br />
ein Stück Bequemlichkeit für die Firma<br />
selbst – denn man gibt ja alles in eine<br />
Hand, nämlich die des externen Dienstleisters.<br />
Steht dem keine differenzierte<br />
Beratungsanalyse entgegen, kommt es<br />
im Schema einer Schwarzweiß-Denkweise<br />
zum vollständigen Outsourcing<br />
der forensischen Ermittlung, was freilich<br />
nicht ohne Auswirkungen auf die innerbetrieblichen<br />
Abläufe bleibt und nicht<br />
von der Notwendigkeit einer differenzierten<br />
Projektsteuerung entbindet.<br />
Phasenorientiertes<br />
Projektmanagement<br />
Akutes Krisenmanagement<br />
Kommt die Situation durch Presseveröffentlichungen<br />
oder unmittelbar durch<br />
Maßnahmen der Behörden in Gang, ist<br />
dennoch der Krisenstab das richtige Instrument<br />
zur Einleitung aller erforderlichen<br />
Krisenmanagement-Maßnahmen.<br />
Es bleibt meist noch Zeit, einen Krisenstab<br />
einzuberufen und zu besetzen, um<br />
sich auf Maßnahmen der Behörden vorzubereiten<br />
und Krisen-PR auf den Weg<br />
zu bringen. Bei unmittelbaren Durchsuchungen<br />
durch die Staatsanwaltschaften<br />
ist oft die sofortige Beauftragung<br />
anwaltlicher Unterstützung notwendig.<br />
Dennoch sollte parallel der Krisenstab<br />
einberufen werden und auch wichtigstes<br />
Leitungsinstrument bleiben sowie externen<br />
Sachverstand und interne Kompetenzen<br />
vereinen.<br />
Hinsichtlich der Entscheidung über die<br />
Strategie der vorauseilenden Herausgabe<br />
von Unternehmensinformationen<br />
sollten daher Corporate Security und<br />
SI-Autor Rechtsanwalt Reinhard<br />
Müller hat langjährige Erfahrung<br />
in der Steuerung nationaler und<br />
internationaler Compliance-Projekte.<br />
Zusammen mit der Adato-<br />
Unternehmensgruppe hat er seit<br />
2006 für zahlreiche Unternehmen<br />
forensisch ermittelt. Die Adato<br />
Consulting Group (www.adato.<br />
de) ist auf Corporate Intelligence,<br />
Crisis Management und Security<br />
Consulting zur Abwehr von Sicherheitsrisiken<br />
spezialisiert.<br />
Corporate Compliance im Krisenstab<br />
vertreten sein, um argumentativ zur Entscheidungsfindung<br />
beizutragen und bei<br />
der Umsetzung der von der Unternehmensführung<br />
getroffenen Entscheidung<br />
in die Praxis von Beginn an einbezogen<br />
zu sein. Bestehen im konkreten Fall Verdachtsmomente<br />
gegen Mitarbeiter im<br />
Unternehmen selbst, ist gut zu überlegen,<br />
ob und wie man die betroffenen<br />
Abteilungen aus den Krisenstabssitzungen<br />
ausklammert. Der Krisenstab sollte<br />
nicht vorschnell ganze Abteilungen unter<br />
Generalverdacht stellen und vom Krisenstab<br />
fernhalten. Hier wäre im Zweifel<br />
die genaue und sukzessive Einzelfallprüfung<br />
daraufhin anzuraten, welche<br />
Informationen vorsorglich nicht an möglicherweise<br />
betroffene Firmeneinheiten<br />
kommuniziert werden. Das Unternehmen<br />
hat auch eine Sorgfaltspflicht gegenüber<br />
den eigenen Mitarbeitern und die<br />
arbeitsrechtliche Pflicht, diese zunächst<br />
gegen Verdächtigungen von außen in<br />
Schutz zu nehmen.<br />
Entscheidend für die umfassende und<br />
möglichst lange Einbeziehung aller Unternehmensteile<br />
ist daher eine effektiv aus<br />
den Unternehmensressourcen gespeiste<br />
Projektsteuerung. Dies sichert auch eine<br />
möglichst breite Basis im Unternehmen<br />
zur Umsetzung der beschlossenen Strategie<br />
in die Praxis. Dabei sollte beachtet<br />
werden, dass die intensive Verteidigung<br />
der Interna gegenüber den Behörden<br />
rechtens ist und keinerlei Vorverurteilung<br />
auslöst oder gar als Schuldeingeständnis<br />
zu werten ist. Diese Strategie sichert<br />
zudem die Datenschutz- und Arbeitsrechte<br />
der Mitarbeiter und der Geschäftspartner<br />
und räumt jedenfalls die Chance auf<br />
zeitliche Entscheidungsspielräume zum<br />
weiteren Vorgehen ein.<br />
Gegen Durchsuchungsbeschlüsse<br />
Rechtsmittel einzulegen, ist nicht nur<br />
legitim, sondern in der Praxis oft dringend<br />
anzuraten, da auch richterliche<br />
Durchsuchungsbeschlüsse der Gefahr<br />
unterliegen, zu weit gefasst zu sein, beispielsweise<br />
hinsichtlich der Sozialdaten<br />
von Mitarbeitern, die für die eigentlichen<br />
Tatvorwürfe irrelevant sind. Dabei<br />
sind Gerichte und Staatsanwaltschaften<br />
für entsprechende Gegenargumente der<br />
Unternehmen oft aufgeschlossen, da<br />
sich erst an dieser Stelle ergibt, welche<br />
Daten für die Behörden überhaupt<br />
relevant sind. Die komplette Beschlagnahmung<br />
sämtlicher Server und Computer<br />
dürfte im Übrigen nur in absoluten<br />
Ausnahmefällen überhaupt notwendig<br />
sein. Eine solche Verteidigungsstrategie<br />
kann auch durchaus mit einer laufenden<br />
Kommunikation zwischen Unternehmen,<br />
Staatsanwälten und ermittelnden Polizeistellen<br />
einhergehen.<br />
Die Ermittlungsbehörden sind an Recht<br />
und Gesetz gebunden. Die rechtlichen<br />
Handlungsspielräume, durch voraus-<br />
primion – security solutions<br />
Durchgängige und individuelle<br />
Gesamtlösungen für<br />
• integrierte Sicherheitstechnik<br />
• Zutrittskontrolle<br />
• Zeiterfassung<br />
• Videotechnik<br />
www.primion.de<br />
12<br />
Security <strong>insight</strong> 6/20<strong>10</strong><br />
13
Change language