Spionierende Mitarbeiter – Wenn der Feind in den eigenen Reihen sitzt

Von dem schrecklichen Verdacht hörte Gerd Meyer-Philippi (59) das erste Mal im Juli 2015 auf einer Konferenz in München. Eine Außendienstlerin erzählte dem Geschäftsführer des hessischen Mittelständlers Compware Medical eine wilde Geschichte. Ein freier Vertriebsmitarbeiter behauptete, er habe Maulwürfe in der Firma. Er wolle bald sein eigenes Ding machen. Meyer-Philippi glaubte das nicht. Er lachte.

Das ist ihm vergangen. Ein Apotheker, der eine Methadon-Abfüllanlage der Firma nutzte, fragte an, ob Compware Medical ein Datenleck habe. Ihm sei ein internes Protokoll eines Vier-Augen-Gesprächs vorgelegt worden. „Zunächst habe ich an Hacker gedacht“, sagt Meyer-Philippi. Aber schon bald gerieten mehrere seiner Mitarbeiter ins Visier.

Für die Firma begann eine Abwehrschlacht, die bis heute andauert. Es geht um die Reputation und die Existenz. „Die Jungs hätten uns das Genick brechen können“, sagt Meyer-Philippi. Die Anwaltskosten belaufen sich auf 250 000 Euro.

Der Fall von Compware Medical ist ein Beispiel dafür, wie häufig Unternehmen ihre Gefährdung falsch einschätzen. „Die Vorfälle anderer zeigen, dass unerlaubtes Verhalten vom Mitarbeiter bei der Betrachtung von Cybersecurity berücksichtigt werden muss“, sagt Thomas Schäfer, Chief Information Security Officer der Freudenberg-Gruppe, auf der Handelsblatt-Jahrestagung Cybersecurity am Dienstag in Berlin.

Rund 120 Teilnehmer diskutieren zwei Tage die wichtigsten Entwicklungen in der IT-Sicherheit. Eine Erkenntnis: Bei jeder Risikobewertung müsse immer auch der böswillige Insider beachtet werden.

Der sogenannte „malicious insider“ ist auch ein Thema im Buch „Der Mensch als Risikofaktor bei Wirtschaftskriminalität“ der schweizerischen Wirtschaftsprüferin Sonja Stirnimann. Sie mahnt: „Es gibt weder kriminelle Computer noch kriminelle Codes.“

Wenn es darum gehe, wirtschaftskriminelle Ereignisse, Non-Compliance oder Cyberangriffe zu initiieren, abzuwehren und aufzuarbeiten, sei der Mensch das schwächste Glied in der Kette. Stirnimann: „Eine Existenzbedrohung kommt für normale Firmen selten von außen, sondern von Innentätern, die sehr lange dabei sind.“

Die familiäre Atmosphäre war trügerisch

So war es auch im Fall Compware Medical. Die Firma ist einer der sprichwörtlichen Mittelständler, die gern als Rückgrat der deutschen Wirtschaft bezeichnet werden. Rund 40 Mitarbeiter erwirtschaften bis zu drei Millionen Euro Umsatz im Jahr. Sie konstruieren und warten Methadon-Dosiergeräte für Suchtambulanzen oder Justizvollzugsanstalten.

Die Geräte sehen aus wie Kaffeeautomaten, stecken aber voller Hightech. Sie messen selbst die Verdunstung des flüssigen Methadons, denn der Umgang mit dem synthetischen Opioid erfordert maximale Präzision – so will es das Gesetz.

An der Wand in der Firmenzentrale in Gernsheim hängt eine Deutschlandkarte mit Steckfähnchen. Mehr als 280 Abfüllanlagen hat Compware Medical im Einsatz. Auch in Nepal, in Malaysia und auf Mauritius gibt es die Geräte der Hessen.

Das Team ist stolz darauf, dass täglich 20 000 Patienten mit seinen Automaten geholfen wird. Der Umgang untereinander ist locker. Die Chefs duzen sich mit allen. Freitags essen sie gemeinsam. Der Beagle einer Kollegin stromert über die Flure. Für seine Leute könne er die Hand ins Feuer legen, dachte Meyer-Philippi immer. Ein Trugschluss.

Das erste Notfalltreffen im Herbst 2015 blieb geheim. Nur die Geschäftsführung und der IT-Administrator diskutierten: Was tun mit dem bösen Verdacht? Der Administrator sagte: „Es werden auffällig große Datenmengen bewegt.“ Betroffen sei auch die Datei mit dem „Risikomanagement“.

Das Dokument sei die DNA des Unternehmens, sagt Meyer-Philippi. „Darin sind alle Risiken und ihre‧ Bewertung aufgelistet, das gesamte Wissen der Firma, Konstruktions- und Softwarepläne, alle Stärken und Schwächen unserer Systeme.“ Die Runde beschloss, einen externen Forensiker einzuschalten und sonst Stillschweigen zu bewahren. Sie wollten die Täter in Aktion beobachten.

Der Forensiker schloss einen Hackerangriff schnell aus. „Das hat mich getroffen wie ein Hammerschlag“, sagt Meyer-Philippi. Jetzt musste er Kollegen verdächtigen, und darauf war er nicht vorbereitet. Vier Personen gerieten ins Blickfeld: der Vertriebsmann, seine Frau, die auch im Unternehmen arbeitete, der Produktmanager Michael Dohmke (*), der bald ausscheiden wollte, und ein ehemaliger Auszubildender.

Die Ergebnisse des Forensikers seien eindeutig gewesen, sagt Meyer-Philippi. „Wir haben Chats rekonstruieren können, in denen sie sich austauschten.“ Der Chef ging zum Gegenangriff über, stellte die Zusammenarbeit mit dem Vertriebler ein. Im Dezember knallte es: Compware Medical kündigte die drei Verträge der Mitarbeiter fristlos und stellte eine Strafanzeige.

Mit der Trennung vom verdächtigten Personal waren für Meyer-Philippi die Sorgen nicht vorbei. Zwar begann die Staatsanwaltschaft zu ermitteln, aber vor dem Arbeitsgericht musste er einem Vergleich zustimmen, weil er aus taktischen Gründen nicht alle Fakten auf den Tisch legen wollte. Immerhin von der Arbeit der Behörden ist Meyer-Philippi beeindruckt. „Es dauert zwar alles ein wenig, aber die Polizei hat einen guten Job gemacht.“

Plötzlich wirbt ein neuer Konkurrent mit Niedrigstpreisen

Noch während ihrer Tätigkeit bei Compware Medical verbündeten sich Michael Dohmke und der Ex-Azubi mit dem Ex-Vertriebsmann in einer neuen Firma. Deren Zweck: Entwicklung und Vertrieb medizintechnischer Geräte für Opiatabhängige.

Meyer-Philippi hörte bald von Kunden, dass die neue Firma mit Niedrigstpreisen warb. „Sie haben vermutlich unsere Kunden durchtelefoniert, die Daten lagen dem Ex-Vertriebler natürlich vor“, sagt der Geschäftsführer. Die Kundenkartei sei ein Vermögen wert, Methadonärzte finden sich nicht im Internet, die Kontakte wurden in mühseliger Kleinarbeit über Jahre gesammelt.

Immerhin: Der mutmaßlich illegal arbeitende Konkurrent aus den eigenen Reihen wurde langsamer. Vielleicht lag es an den Hausdurchsuchungen der Staatsanwaltschaft, die bald folgten. Vielleicht gingen die Pläne des Ex-Vertriebsmanns nicht auf. Das neue Dosiersystem der Ex-Kollegen ließ jedenfalls auf sich warten und kam erst Anfang 2017 auf den Markt.

Zu diesem Zeitpunkt galt der Ex-Vertriebsmann bei Meyer-Philippi und seinen Anwälten als Kopf der Verschwörer. Auf seinem Rechner hatten Polizisten die Kronjuwelen von Compware Medical gefunden, das Risikomanagement. Der Mann kann sich heute nicht mehr rechtfertigen, er ist verstorben.

Die Ermittlungen belasten dafür Ex-Produktmanager Dohmke schwer. Er ist nach dem Tod des Vertriebsmannes zum Geschäftsführer der Konkurrenzfirma aufgestiegen. Die Kripo aus dem Polizeipräsidium Südhessen hat sich festgelegt. Nur Dohmke könne das Risikomanagement kopiert und mitgenommen haben.

Der Beschuldigte bestreitet die Vorwürfe. Dohmke sieht sich als Opfer einer Intrige. Seine Version: Der Platzhirsch am Markt wolle einen lästigen, aber legal operierenden Konkurrenten loswerden. In einer Stellungnahme Ende August gab sich sein Anwalt kämpferisch: Er verglich den Vorwurf der Verletzung des Betriebsgeheimnisses mit einem schlecht gebauten Kartenhaus. Dohmke beharrt darauf, der neue Dosier-Apparat sei eine Eigenentwicklung. Laut Staatsanwaltschaft dauern die Ermittlungen an.

Das hemmt die Geschäftsentwicklung. Die Firma der Ex-Mitarbeiter von Compware Medical residiert heute an der Wohnanschrift von Dohmke, der Umsatz lag 2017 bei weniger als 150 000 Euro. Für Meyer-Philippi hat die Phase der Aufarbeitung begonnen. „Was hätte ich merken müssen, und soll ich nun allen Mitarbeitern misstrauen?“, fragt sich der Chef.

Einen Fehler hat er bei sich selbst entdeckt. Er liegt Jahrzehnte zurück, wirkt aber noch immer nach: Es fehlt ein Patent. „Wir waren jung, und wir hatten einen tollen Auftrag“, sagt Meyer-Philippi. „An Patentanmeldungen dachten wir nicht.“

Das „Fraud“-Dreieck der Wirtschaftskriminalität

Drei wesentliche Faktoren bestimmten darüber, ob Menschen wirtschaftskriminell werden, sagt Expertin Stirnimann. Die Fachliteratur nennt es „Fraud-Triangle“. Dazu gehören eine Gelegenheit, eine besondere Drucksituation, die oft auch im Privatleben des Täters zu suchen ist, und eine Rechtfertigung. „Es gibt immer Frühwarnindikatoren“, sagt Stirnimann, leider erkenne man diese oft erst hinterher, weil die grundlegende Sensibilisierung dafür fehle.

Auch Meyer-Philippi sieht Ereignisse der Vergangenheit heute mit anderen Augen. Hätte es ihm auffallen müssen, als Dohmke sein geliebtes Motorrad verkaufte, möglicherweise wegen Geldsorgen? Und dass es dem Mann zusetzte, als die Firma sein Aufgabengebiet neu zuschnitt, weil er überfordert wirkte?

Welche technischen Standards die Sicherheit erhöhen, ist das Thema auf der Handelsblatt Cybersecurity-Tagung. Thomas Schäfer von der Freudenberg-Gruppe sagt, Firmen könnten viel tun, um es internen und externen Tätern schwer zu machen: „Der überlegte Umgang mit externen Schnittstellen an den Computern und der Einsatz von Verschlüsselung gehören dazu, ebenso ein vernünftiges Zugriffsmanagement und ein Logging und Monitoring der Zugriffe auf besonders sensitive Datenbestände.“

Compware Medical habe die EDV-Struktur verändert, sagt Meyer-Philippi, Zugriffsrechte begrenzt und ein neues Sicherheitskonzept aufgesetzt. „Heute müssen Kollegen oft wegen Kleinigkeiten mit dem Administrator Rücksprache halten.“

Trotzdem könne die Firma den Zugriff auf das Risikomanagement nicht auf null begrenzen. Philippi hat sich fest vorgenommen, nicht jeden Mitarbeiter unter Generalverdacht zu stellen. Seinen Blick für die Kollegen, ihren Alltag und ihre Sorgen will er trotzdem schärfen
(*) Name geändert