App zur Mitarbeiterüberwachung leakt Millionen sensible Daten

Die Überwachungssoftware WorkComposer wird in zahlreichen Betrieben zur Kontrolle von Mitarbeiteraktivitäten eingesetzt. Dabei handelt es sich um eine sogenannte Time-Tracking-Software. Sie fertigt regelmäßig Screenshots von Bildschirminhalten an, protokolliert Tastatureingaben sowie die Nutzung von Programmen und Browseraktivitäten. 

➤ Mehr lesen: Kann mein Chef bei Microsoft Teams oder Slack mitlesen?

Jetzt sind laut einem Bericht bei Cybernews über 21 Millionen solcher Screenshots ins Netz geleakt worden. Die Sicherheitslücke betrifft mehr als 200.000 Nutzer. Die öffentlich gewordenen Screenshots enthalten auch hochsensible Informationen wie E-Mail-Inhalte, interne Chatverläufe, Geschäftsgeheimnisse, Zugangsdaten, API-Schlüssel, Passwörter und sogar private Termine oder medizinische Daten. 

Die Lücke war frappierend einfach auszunutzen: Hintergrund ist ein ungesicherter Cloud-Speicher, der ohne Zugangsbeschränkungen konfiguriert war. Dadurch konnten Unbefugte auf die Daten zugreifen – sogar in Echtzeit. Ob und in welchem Umfang Dritte die Daten bereits kopiert oder missbraucht haben, ist bislang unklar. Nach Bekanntwerden wurde der Zugang gesichert, eine Stellungnahme des Softwareherstellers steht noch aus.

Datenschützer warnen bereits seit längerem

Datenschützer warnen seit Jahren vor den Risiken von Überwachungssoftware. Kritiker bemängeln, dass solche Tools nicht nur die Privatsphäre der Beschäftigten massiv beeinträchtigen, sondern auch Angriffsflächen für Cyberkriminelle bieten, wenn die Daten nicht ausreichend geschützt werden. Bereits 2023 kam es zu einem ähnlichen Vorfall bei der Software WebWork, bei dem 13 Millionen Screenshots ungeschützt im Netz landeten.

➤ Mehr lesen: Was an Überwachung am Arbeitsplatz erlaubt ist und was nicht

In Österreich und Deutschland sind automatisierte Kontrollmaßnahmen nur unter strengen Auflagen zulässig. Sie bedürfen in der Regel der Zustimmung des Betriebsrats oder der betroffenen Angestellten, dürfen die Menschenwürde nicht verletzen und müssen verhältnismäßig sein, wie die Arbeiterkammer schreibt. Bildschirm-Screenshots im Homeoffice seien demnach definitiv unzulässig.