Firmen nutzen IT-Sicherheit als Vorwand, um Mitarbeiter zu überwachen

Die größte Schwachstelle in der Cybersecurity ist der Mensch. Er kann Opfer von Phishing-Attacken werden oder unbeabsichtigt Informationen weitergeben, die nicht für die Außenwelt bestimmt sind. Deshalb setzen Betriebe heutzutage sogenannte IT-Security-Tools ein, mit denen ein derartiges Verhalten festgestellt werden kann. Eine Software der Firma Forcepoint überwacht etwa Daten von über 900 Millionen Geräten. Der IT-Sicherheitskonzern sieht den Menschen als „Risikofaktor Nummer eins“ - allerdings nicht nur im Bezug auf Cyberbedrohungen, sondern auch auf die Bedrohung für das eigene Unternehmen.

Was alles getrackt wird

Die Software der Firma Forcepoint überwacht demnach nicht nur, ob jemand auf Phishing-Links geklickt hat, sondern viel mehr. Neben Login-Vorgängen wird auch überwacht, welche Programme auf dem Arbeitsrechner genutzt werden, welche Dateien geändert oder kopiert werden, auf welche Websites Arbeitnehmer*innen zugreifen, was sie über die Suchmaschinen während ihrer Arbeitszeit suchen, mit wem sie via E-Mail, Chat oder Telefon kommunizieren oder welche Räume sie zu welchem Zeitpunkt betreten. Forcepoint erstellt mit diesen Informationen Bewertungen darüber, wie riskant Mitarbeiter*innen für einen Betrieb sind.

Besucht jemand etwa während seiner Arbeitszeit Jobportale, wird das als Indiz gewertet, dass die Mitarbeiter*in unzufrieden ist und bald kündigen möchte. Im Risikoprofil steigt sie weiter nach oben. Eine andere Mitarbeiter*in sucht möglicherweise nach Drogen und ruft permanent die Seite ihrer Bank auf, um ihren Kontostand zu checken. Durch die Auswertung dieser Daten wird eingeschätzt, ob jemand in Schwierigkeiten steckt. Untersucht wird auch, ob in einer Abteilung eine „negative Stimmung“ herrscht.

"Das sind Systeme der Totalüberwachung"

Der Wiener Forscher Wolfie Christl hat sich die Forcepoint-Software und weitere Programme, die unter dem Deckmantel der Cybersecurity Arbeitnehmer*innen überwachen, für seine Studie „Digitale Überwachung und Kontrolle am Arbeitsplatz“ näher angesehen. „Das sind Systeme der Totalüberwachung, die so tief eingreifen, dass man sich die Frage stellen muss, ob es dafür irgendeine Rechtfertigung geben kann. Wenn man solche Systeme für die gesamte Belegschaft einführen würde, wäre das weit überschießend“, sagt Christl im Gespräch mit der futurezone.

Forcepoint sowie eine weitere, ähnliche Software, die diese Fähigkeiten besitzt, kommen auch in österreichischen Betrieben zum Einsatz. Arbeitsrechtsexperte Thomas Riesenecker-Caba von der Forschungs- und Beratungsstelle FORBA hält diese Entwicklung für gefährlich: „Es braucht hier klare Spielregeln und Protokolle für welche Zwecke die Software herangezogen wird und für welche nicht.“ Prinzipiell sei Kontrolle am Arbeitsplatz erlaubt, aber es müsse dazu eine Betriebsvereinbarung geben und sie dürfe nicht „überschießend“ sein.  

Profiling von Arbeitnehmer*innen

Doch genau das ist Forcepoint. Die Systeme für die Abwehr von Cyberangriffen sind laut Christl zunehmend mit  Zugriffsberechtigungen und anderen Firmendaten verknüpft sowie mit der Fernwartung von Geräten. „Diese Funktionen werden alle genutzt, um Fehlverhalten zu verhindern, ob fahrlässig, absichtlich oder unabsichtlich“, sagt Christl.

Dadurch entsteht ein umfassendes Profiling von Arbeitnehmer*innen und eine Einteilung in „Risikobedrohungen“ fürs Unternehmen. Bei der Software geht es dabei längst nicht nur um Cybersecurity, sondern um die Erstellung von Mitarbeiter*innen-Profilen, unter anderem mit Hilfe von Scores. Die Profile können miteinander verglichen werden und es wird etwa berechnet, ob sich eine Person „außergewöhnlich“ im Vergleich zu anderen Mitarbeiter*innen einer Abteilung verhält.

Insider-Funktionen mit noch mehr Spielraum

Doch es kommt noch schlimmer: Wird eine Person als erhöhtes Risiko eingestuft, kann diese mit der „Insider“-Funktion von Forcepoint noch weitaus präziser überwacht werden: Damit können Aktivitäten wie Tastatureingaben, Kopiervorgänge über die Zwischenablage oder die Anfertigung von Screenshots gespeichert werden. Auch ein Videoblick „über die Schultern“ der Mitarbeiter*innen ist laut Angaben des Unternehmens möglich.

Diese Funktionen zur „Insider“-Bedrohungsanalyse werden laut Angaben des Unternehmens auf rund einer Million Geräte genutzt. Sie dienen dazu, lästige Mitarbeiter*innen auszuspionieren, die man loswerden möchte. Das können etwa unzufriedene Arbeitnehmer*innen sein, oder jene, die man in Verdacht hat, dass sie interne Informationen weitergeben.

Auf die aktivierten Funktionen kommt es an

Laut Forcepoint kann die Software durchaus „datenschutzfreundlich“ und in Europa DSGVO-konform verwendet werden, in dem etwa spezielle Funktionen deaktiviert werden. „Es ist oft die Frage, was der Betrieb einsetzt. Vieles davon ist arbeitsrechtlich aber nicht möglich oder nicht legal, aber Betriebsrät*innen wissen gar nicht genau, was für Funktionen aktiviert sind. Das kann sich außerdem dauernd ändern, weil es laufende Updates gibt. Durch die große Komplexität ist es schwierig, hier einen Überblick zu bewahren“, sagt Christl.

Forcepoint und auch viele andere Anbieter*innen von derartigen „IT-Sicherheitslösungen“ zur Überwachung von Mitarbeiter*innen haben zudem enge Verbindungen zu Militär und Geheimdiensten. Forcepoint war etwa Teil des US-Rüstungsgiganten Rytheon. Auch ein ähnlicher Anbieter, Securonix, hat Verbindungen zum US-Geheimdienstsektor. Dort sitzen ein ehemaliger NSA-Direktor sowie ein ehemaliger stellvertretender NSA-Direktor im Vorstand.

Software im Einsatz mit Betriebsvereinbarung

Beide Software-Lösungen werden in Europa, speziell in Deutschland oder Österreich, in Betrieben eingesetzt. Eines der Unternehmen, das die Software einsetzt, ist die UniCredit Group, berichtet die Zeit Online. Dort gibt es eine entsprechende Betriebsvereinbarung, die mit dem Betriebsrat ausverhandelt wurde. Doch nicht alle Mitarbeiter*innen sind damit glücklich. Die "Armada an Überwachungssoftware" macht dort so manchen Mitarbeiter*innen Angst.