Gefahr aus dem Maschinenraum. Anders als andere Bankangestellte verfügt ein IT-Mitarbeiter über das Recht, Software zu installieren und zu testen. Und anders als viele Mitarbeiter hat er oft umfassende Zugriffsrechte, damit er an allen Anwendungen Wartungsarbeiten durchführen kann. Auch die Zaubertechnik der Verschlüsselung hilft im Fall eines Datendiebs aus der IT-Abteilung oft nicht, denn die Techniker verfügen nicht selten über die Schlüssel, mit denen sie auch die codierten Daten lesbar machen können.
Mit Schlüssel. Verschlüsselungstechnik kann auch zur Gefahr für die Bank werden, denn mit codierten E-Mails können Mitarbeiter beispielsweise Daten versenden, deren Nutzung ihnen verboten ist. IT-Kenner können Security-Software und Programme zur verborgenen Übermittlung (Steganografie) einsetzen, um unbemerkt Daten maskiert oder verschleiert aus dem Computersystem der Bank hinauszuschleusen. Und auch wenn das System stark geschützt ist – Datendiebe mit krimineller Energie finden immer einen Weg: seien es nun Abfragen über den Rechner eines achtlosen Kollegen, eine in einem PowerPoint-Dokument versteckte Kundendatenbank oder ganz simpel Fotos mit der Handykamera.
Risiko Mobiltelefon. Allein das Sicherheitsproblem mit den Handys zeigt, wie krampfhaft man nach Lösungen sucht. Einige Banken erlauben nur dienstliche Blackberrys, bei denen die Kamerafunktion gesperrt ist. Andere versiegelten die Kamera an der Handyhülle und lösten damit ein amüsiertes Spiel der Mitarbeiter aus, die rasch entdeckten, dass die Kamera nach dem Öffnen der Hülle, so wie man es etwa zum Batteriewechsel tut, gleichwohl funktionierte. Bliebe also nur noch ein Totalverbot mit der brüskierenden Taschenkontrolle aller Mitarbeitenden beim Betreten und Verlassen der Bank. Andere Institute verpflichten ihre Mitarbeiter zu einem frühzeitig angekündigten mehrwöchigen Jahresurlaub, den die IT-Kontrolleure zur akribischen Analyse der elektronischen Aktivitäten der Ferienabwesenden nutzen.
Angstkultur. Die Vertrauenskultur im Unternehmen weicht einer Angstkultur, was wiederum ungewollte Effekte hat: Wenn Mitarbeiter wie der mutmassliche Datendieb bei der Bank Sarasin einen Missstand entdecken, melden sie sich nicht mehr intern bei den Compliance-Verantwortlichen – aus lauter Angst, ihren Job wegen nicht autorisierter Beobachtungen zu verlieren.