Die Cyberrache eines ehemaligen Mitarbeiters

17 Jan 2019

Sich als Unternehmen von Mitarbeitern trennen zu müssen, gehört zum Business. In manchen Fällen kann sich diese Entscheidung allerdings als ziemlich unangenehm entpuppen. Verärgerte Ex-Mitarbeiter können Geschäftsführer nicht nur Zeit und Nerven kosten, sondern zudem Reputations- und finanzielle Schäden verursachen, wenn sie versuchen, eine scheinbar offene Rechnung zu begleichen.

Wir zeigen Ihnen, wohin derartige Hassgefühle führen können und wie man sich am besten vor Cyberrache schützen kann.

Das 200.000-Dollar-Passwort

Ein schlagkräftiges Beispiel für Probleme, die nach der Beendigung eines Arbeitsverhältnisses auftreten können, stammt vom American College of Education. Die Geschäftsführung der Online-Hochschule kam nicht besonders gut mit Systemadministrator Triano Williams aus, der von zu Hause für das Unternehmen arbeitete.

Im Jahr 2016 reichte der Mitarbeiter eine Beschwerde wegen Rassendiskriminierung gegen das Unternehmen ein. Kurze Zeit später wurde ihm eine Versetzung nach Indianapolis angeboten, um dort vor Ort in einem der Büros der Organisation zu arbeiten. Williams lehnte ab; denn Telearbeit war eine seiner Schlüsselbedingungen. Das Ende vom Lied? Er wurde entlassen. Obwohl er eine nette Abfindung erhielt, gab sich der IT-Experte nicht mit der Entscheidung zufrieden. Er war davon überzeugt, dass die gesamte Versetzungsgeschichte aufgrund seiner Beschwerde entstanden war. Um sich an dem College zu rächen, änderte er das ursprüngliche Google-Account-Passwort der Hochschule und verwehrte somit seinen ehemaligen Kollegen den Zugriff auf E-Mails und Lernmaterialien für mehr als 2000 Studenten.

Williams behauptete, dass das Passwort automatisch auf seinem Arbeitslaptop gespeichert worden sei, den er kurz nach seiner Entlassung zurückgegeben hatte. Dem College zufolge hatte der ehemalige Administrator das Gerät jedoch vor der Rückgabe gründlichst gereinigt.

Die Institution bat Google daraufhin, den Zugriff auf das Konto wiederherzustellen, jedoch stellte sich heraus, dass das Profil mit Williams persönlichem Konto verknüpft war und nicht mit dem der Hochschule. Der Anwalt des ehemaligen Angestellten gab dann den kuriosen Hinweis, dass sich sein Mandant bei Zahlung einer Summe in Höhe von 200.000 US-Dollar und einem netten Empfehlungsschreiben möglicherweise an das Passwort erinnern könnte.

An den Pranger gestellt

In unserem nächsten Beispiel sind die Folgen der Entlassung deutlich schwerwiegender. Richard Neale, Mitbegründer und ehemaliger IT-Direktor des Unternehmens für Informationssicherheit, Esselar, verließ die Firma alles andere als gut gestimmt und verbrachte ganze sechs Monate damit, seinen Racheplan zu schmieden.

Um seine ehemaligen Kollegen in Verruf zu bringen, wartete er auf den Tag, an dem Esselar ein Meeting mit einem seiner wichtigsten Kunden, der Versicherungsgesellschaft Aviva, hatte. Am Vorabend der Präsentation hackte Neale die Mobiltelefone von etwa 900 Aviva-Mitarbeitern und löschte alle auf den Geräten vorhandenen Informationen.

Nach diesem Vorfall brach Aviva jegliche Geschäftsbeziehungen zu Esselar ab und forderte eine Entschädigung in Höhe von 70.000 Pfund. Der tatsächliche Reputationsverlust sowie der potenzielle Schaden wurden von Neale’s ehemaligen Partnern allerdings auf stolze 500.000 Pfund geschätzt. Nach Angaben des Unternehmens waren desse Handlungen derart schädigend, dass Esselar sogar ein Rebranding in Erwägung zog.

Eine kostspielige Datenlöschung

Auch Mitarbeiter, die lediglich die Vermutung haben, dass ihnen eine Kündigung drohen könnte, sind gefährlich. Mary Lupe Cooley, stellvertretende Direktorin eines Architekturbüros, stieß durch Zufall auf eine Zeitungsanzeige, in der ein neuer Bewerber für ihre Stelle gesucht wurde; in den Kontaktdaten war die Telefonnummer ihres Chefs aufgeführt.

In der Annahme, dass ihre Kündigung kurz bevor stand, löschte Cooley bis auf 7 Jahre zurückreichende Projektdaten und verursachte einen Schaden, der auf rund 2,5 Millionen US-Dollar geschätzt wurde. Bei der Anzeige ging es übrigens um einen freien Posten im Unternehmen der Ehefrau ihres Chefs.

Cyberrache vermeiden

Um zu verhindern, dass Ex-Angestellte Ihre IT-Infrastruktur schädigen, sollten Sie vom ersten Tag an ihre Rechte und Berechtigungen gut im Auge behalten. Im Anschluss finden Sie einige Regeln, die Unternehmen berücksichtigen sollten, um auf der sicheren Seite zu bleiben:

  • Führen Sie ein Protokoll der IT-Rechte Ihrer Mitarbeiter sowie der Konten und Ressourcen, auf die sie zugreifen können. Gewähren Sie zusätzliche Rechte nur dann, wenn Sie absolut sicher sind, dass der Mitarbeiter diese tatsächlich benötigt.
  • Überprüfen Sie regelmäßig die Liste der IT-Berechtigungen und vergessen Sie nicht, obsolete Berechtigungen zu widerrufen.
  • Registrieren Sie Unternehmensressourcen lediglich unter Unternehmensadressen. Unabhängig davon, welche Vorteile die Einrichtung eines persönlichen Kontos haben kann oder wie zuverlässig der Mitarbeiter erscheinen mag, denken Sie daran, dass Sie eine Geschäftsbeziehung führen, die früher oder später ihren eigenen Lauf nehmen kann. Domain-Namen, Social-Media-Konten und Dashboards zur Website-Kontrolle sind schlussendlich die Vermögenswerte eines Unternehmens, und es ist blauäugig, die Kontrolle an die Mitarbeiter zu übergeben.
  • Blockieren Sie alle Zugriffsrechte und Konten ehemaliger Mitarbeiter, idealerweise, sobald Sie sie über ihre Entlassung informieren.
  • Reden Sie nicht offen über mögliche Entlassungen und Umstrukturierungen von Mitarbeitern. Denken Sie bei der Veröffentlichung einer Stellenanzeige daran, dass diese nicht nur für mögliche Bewerber sichtbar ist.
  • Versuchen Sie, ein gutes Verhältnis zu allen Mitarbeitern und eine freundliche Atmosphäre am Arbeitsplatz zu pflegen. Cyberattacken gegen ehemalige Arbeitgeber werden nämlich oft nicht von Habgier, sondern von verletzten Gefühlen angetrieben.