Leistungs- und Verhaltenskontrolle

Verhaltenskontrolle durch Sicherheitssoftware

20. April 2022
Dollarphotoclub_16393011_160503
Quelle: © Light Impression / Foto Dollar Club

Hackerangriffe auf Unternehmen und Behörden nehmen zu. Kein Wunder also, dass immer mehr Sicherheitssoftware zum Einsatz kommt. Welche Risiken entstehen dadurch für die Beschäftigten?

Die Bedrohung der Unternehmensnetze durch Hacker und Schadsoftware ist allgegenwärtig. Da heute nahezu alle Arbeitsabläufe IT-gestützt sind, führt jede Störung im Netzverkehr zu massiven Beeinträchtigungen der Unternehmensprozesse. Gelegentliche Presseberichte spiegeln die Gefahr nicht angemessen wider, denn kein Unternehmen, das Opfer von Eindringversuchen wurde, hat Interesse an Publizität. Aus guten Gründen also rüsten die Unternehmen ihre Sicherheitssoftware auf.

Warum so viele Sicherheitsprodukte?

Jedes neue Sicherheitsprodukt wird von Hackern auf Lücken und Einfallstore analysiert, die von den Anbietern so schnell wie möglich geschlossen werden. Diese Dynamik gleicht einem nie endenden Hase- und Igel-Spiel mit stets ungewissem Ausgang. Das erklärt den zunehmenden und teilweise auch parallelen Einsatz von Sicherheits-Produkten wie Zscaler, Cisco AMP, Cisco Umbrella, Inky, Firepower, Elastic Stack, Splunk, Cyberark, Vectra, Sentinel und Co. Gemeinsam ist praktisch allen diesen Sicherheitssystemen, dass sie permanent im Betrieb sind und als Hintergrundprozesse laufen, also für die »normalen« IT-Nutzer:innen in der Regel nicht erkennbar sind – und dass sie die Aktivitäten sämtlicher Nutzer:innen überwachen.

Was können die Systeme?

Funktionalitäten der verschiedenen Sicherheitssysteme sind neben den klassischen Spamfiltern beispielsweise:

  • Das Entdecken und Unterdrücken bösartiger Software
  • Das Prüfen eingehender E-Mails auf bösartige Software, Anhänge, Weblinks oder Phishing-Angriffe
  • Die Analyse des Netzwerkverkehrs auf Signaturen von Viren und Hack-Angriffen
  • Die automatisierte Analyse von Logdateien zur Identifikation von Malware und Hack-Angriffen
  • Das Anlegen von individuellen Nutzerprofilen (Welche Programme werden aufgerufen, welche Internetseiten besucht, an wen werden E-Mails geschickt, von wem werden E-Mails empfangen, mit welchen Anhängen?)
  • Das Prüfen von Dateimetadaten auf Konformität mit Richtlinien zum Verschieben und Versenden von Dateien
  • Das Prüfen der Netzaktivitäten und der Nutzeraktivitäten auf Konformität mit Unternehmensrichtlinien und gesetzlichen Vorschriften
  • Das Blockieren von Internetseiten mit und ohne Speicherung und die Auswertung der Zugriffsversuche
  • Die Verwaltung und Protokollierung von privilegierten administrativen Accounts

Die Nutzung der oben genannten Funktionalitäten ist mitunter zum Schutz der Unternehmensnetze unabdingbar, aber: Durch den Einsatz rund um die Uhr und die Überwachung sämtlicher Nutzer:innen entsteht ein gigantisches Potenzial zur systematischen Leistungs- und Verhaltenskontrolle. Zudem sind die Aktivität und Funktionalität der Sicherheitssoftware für die Nutzer:innen nicht erkennbar: Welche Funktionalitäten bei jedem Mausklick im Hintergrund ausgeführt werden, weiß nur die IT-Abteilung.

Welche Rechtsgrundlage kommt in Betracht?

Es lässt sich argumentieren, dass die Daten zum Zweck des Schutzes der Unternehmensnetze verarbeitet werden und es damit ein berechtigtes Interesse des Verantwortlichen gibt (vgl. Art. 6 Abs. 1 f Datenschutz-Grundverordnung [DSGVO]). Ob das aber die Interessen der Betroffenen in allen Fällen überwiegt, ist fraglich – ob die Norm im Beschäftigtendatenschutz überhaupt Anwendung finden soll, ist ebenfalls umstritten. Jedenfalls wäre an dieser Stelle eine detaillierte Interessenabwägung notwendig. Sofern keine kollektivrechtliche Zulässigkeit auf der Grundlage einer Betriebsvereinbarung geschaffen wird, gibt es keine andere Rechtsgrundlage für den Einsatz der Software. Es wäre sogar zu prüfen, ob für derartige Systeme nicht auch eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich wäre. Man darf sich von diesen Datenschutz-Folgenabschätzungen nicht allzuviel versprechen. Aufgrund der verbreiteten Methoden dafür ist die Tendenz hoch, dass sowohl die Eintrittswahrscheinlichkeit als auch die Schadenshöhe möglicher Risiken eher als niedrig eingestuft werden und damit unterstellt wird, es gäbe keinen besonderen Handlungsbedarf. (...)

Mehr lesen?

Den vollständigen Betirag von Holger Bargmann lesen Sie in »Computer und Arbeit« 4/2022. Weitere Highlights:

  • Künstliche Intelligenz: Was steht im Entwurf der EU-Verordnung?
  • DSGVO: Was steht im DGB-Entwurf zum Beschäftigtendatenschutzgesetz?
  • PRAXIS: Was tun bei einer Datenpanne im Gremium?

© bund-verlag.de (ct)

AiB-Banner Viertel Quadratisch - Anzeige -

Das könnte Sie auch interessieren

Lieferkette Produktion Transport Logistik supply chain
Lieferkettengesetz - Aktuelles

Europäisches Lieferkettengesetz kommt

Brille Tastatur Computer Bildschirmarbeit
Gesundheitsschutz - Aus den Fachzeitschriften

7 Fragen zur Bildschirmbrille