Internet-Surfen, Chatten oder private e-Mails am Arbeitsplatz sind riskant: Wenn man nicht aufpaßt, können Chef oder Kollegen alles mitlesen. Ein Report über Betriebs-Schnüffler – und wie man ihnen das Leben schwerer macht
Was hätte Sonderermittler Kenneth Starr bloß gemacht, wenn Monica Lewinsky sich zu Zeiten ihres Oval-Office-Techtelmechtels schon besser mit dem Internet ausgekannt hätte? Als der Clinton-Inquisitor kürzlich via World Wide Web sämtliche Details der Affäre des US-Präsidenten mit der Praktikantin an die globale Glocke hängte, belegte er seine Behauptungen mit 43 Zitaten aus elektronischen Briefen, die Lewinsky ganz unbefangen mit Freundinnen und Bekannten ausgetauscht hatte. Die pikanten und brisanten Informationen lagerten, für Computer-Laien zum großen Teil gar nicht mehr erkennbar, auf den Festplatten verschiedener PCs im Weißen Haus, im Pentagon und in Privatwohnungen.
Um solche unsichtbaren Texte zu rekonstruieren, bedarf es nicht einmal kriminalistischer Fähigkeiten. Jeder gute Webmaster verfügt über die dazu nötigen Werkzeuge. Wie ein hausinterner Geheimdienstmann kann der Internet-Spezialist sogar jedes Wort mitlesen, das auf elektronischem Weg das Büro verläßt – ganz egal, ob es sich um e-Mails handelt, um die Teilnahme an Newsgroups oder ums Chatten, also das Online-Debattieren an einem virtuellen Stammtisch. Wehe dem, der da böse Worte über seinen Vorgesetzten oder Kunden verliert und nicht ahnt, wer noch alles mitliest. „Eine e-Mail“, warnt Klaus Volkmar Seidel von der Sicherheitsberatungsfirma KDM in Frankfurt am Main, „ist so geheim wie eine Postkarte.“
Sicherheitsbewußte Chefs sehen das genauso. Sie setzen zwar auf Electronic Commerce, möchten aber am liebsten alles mitlesen, weil sie ihren eigenen Angestellten nicht trauen. In den USA filzen einer Umfrage zufolge bereits 35 Prozent der großen und mittleren Firmen die e-Mails und Computer-Dateien ihrer Mitarbeiter, hören Telefongespräche und Anrufbeantworter ab oder filmen die Menschen mit Videokameras bei der Arbeit. Die Society for Human Resource Management (SHRM), eine Vereinigung von Personalchefs, fand heraus, daß sich über 75 Prozent der Chefs für prinzipiell berechtigt halten, sämtliche Firmen-e-Mails zu lesen – auch wenn viele dieses Recht (noch) nicht in Anspruch nehmen.
„Es gibt einen wachsenden Trend zur Überwachung, weil jetzt die Werkzeuge verfügbar sind“, klagt David Banisar, stellvertretender Direktor der Organisation Privacy International in Washington. Die Kontrolle beschränkt sich nicht auf elektronische Post. Zunehmend interessieren sich die Unternehmen auch dafür, welche Homepages ihre Mitarbeiter im World Wide Web ansteuern. Laut Marktforschung der Giga Information Group, Cambridge/Massachusetts, werden 23 Prozent der Betriebe im Jahr 2000 den Zugang zu bestimmten Websites vom Arbeitsplatz der Zensur unterwerfen; 1996 war es nur ein Prozent. Bürgerrechtler Banisar kämpft jetzt dafür, daß die Amerikaner ihre Privatsphäre nicht an der Firmenpforte abgeben müssen: „Man muß den Arbeitgebern Grenzen setzen.“
Hierzulande wird dieser Konflikt noch nicht so offen ausgetragen. Die Deutsche Gesellschaft für Personalführung e.v. (DGfP) mag sich zu dem Thema nicht äußern; die Zentralen vom Deutschen Gewerkschaftsbund (DGB) und dem Bundesverband der Deutschen Industrie (BOI) lassen die Hunde lieber schlafen und verweisen auf die Betriebe. Hinter den Kulissen wächst jedoch die Unruhe. Anbieter von Sicherheitslösungen wissen zu berichten, daß es auch vielen deutschen Managern ganz blümerant wird bei dem Gedanken, welchen Schaden ihre Mitarbeiter anrichten können, wenn sie erst einmal einen eigenen Online-Zugang haben.
Daß es durchaus schon Zoff gegeben hat um die Nutzung der neuen technischen Möglichkeiten, ist beispielsweise BDI-Präsident Hans-Olaf Henkel gewiß nicht entgangen: Sein Nachfolger auf dem Chefsessel der deutschen IBM, Edmund Hug, blitzte vor dem Arbeitsgericht ab mit dem Versuch, einen Hamburger Betriebsrat loszuwerden, der über das haus interne e-Mail-System eine Attacke gegen den Arbeitgeber verbreitet hatte.
Die typischen Fälle, vor denen sich Manager fürchten, sehen freilich anders aus als gewerkschaftliche Agitation: Das beginnt bei nutzlos im Netz vertaner Arbeitszeit und reicht über das Einschleppen von Computerviren und das unbedachte Ausplaudern von Interna bis hin zur vorsätzlichen Industriespionage. Darum lassen die Bosse sogenannte Firewall-Systeme installieren, die den Internet-Zugang auf solche Websites beschränken, die für den Dienstgebrauch wichtig sind, und in ausgehender e-Mail nach verdächtigen Schlüsselwörtern suchen. Ein solcher Zensur-Roboter würde zum Beispiel jede Nachricht abfangen, die das Wort „vertraulich“ enthält oder die interne Bezeichnung eines geheimen Projekts der Forschungsabteilung. Ebenso können beliebte Spiel- und Sexsites gezielt gesperrt werden, ohne deswegen den Zugang zum restlichen WWW zu blockieren.
In den USA, wo es schon Schadenersatzprozesse gegeben hat wegen übler beziehungsweise geschäftsschädigender Nachrede im Netz, rangelt sich eine ganze Schar von Software-Firmen ums Geschäft mit dem Ausspähen der Büroarbeiter. Ungeniert nennt der Anbieter Kansmen aus dem kalifornischen Milpitas ein Schnüffelprogramm „Little Brother“ – als sei der Große Bruder aus George Orwells Roman „1984“ nicht ein Sinnbild für den roten Totalitarismus Josef Stalins gewesen. Das Brüderlein führt genau Buch, wer wann welche Sites ansteuert – und sperrt alles, was in seiner Datenbank in der Kategorie „unproduktiv“ aufgelistet ist. Dabei macht der Hersteller kein Geheimnis daraus. daß diese Wort eine vornehme Umschreibung für Porno & Co. sein soll. Marketingchef Phil Lumish hat nicht die Spur eines schlechten Gewissens: „Die Statistik zeigt, daß Angestellte produktiver sind, wenn sie wissen, daß sie beobachtet werden können.“
Die Firma Kansmen ist sich mit ihren Konkurrenten allerdings nicht einig darüber. wie ernst das Problem eigentlich ist, das die Software lösen soll. Phil Lumish registrierte zwar voriges Jahr einen Nachfrageschub, nachdem eine Umfrage ergeben hatte, Angestellte verbrächten 85 Prozent ihrer Internet-Zeit mit Dingen, die mit der Arbeit nichts zu tun hätten. Der Rivale Spyglass hingegen kam im Rahmen einer Untersuchung bei potentiellen Kunden auf gerade einmal 18 Prozent. Das Kontrollprogramm dieser Firma, ursprünglich für den Jugendschutz entwickelt, filtert in der Business-Version nicht nur jede Art von potentiellem Schweinkram aus, sondern killt auch Arbeitszeitvemichter von Aktiencharts über Astrologie-Ratgeber bis zu Anbietern von Reisen und Reizwäsche. Einen Ehrenplatz im Gruselkabinett der Bürospione weisen Arbeitnehmervertreter aber dem „Investigator“ zu: Das Produkt des Herstellers WinWhatWhere registriert jeden Tastenanschlag. Damit kann man sogar nachvollziehen, wenn sich jemand ständig vertippt.
Vor solcher Extrem-Software sind deutsche Arbeitnehmer noch weitgehend sicher – jedenfalls, wenn es einen Betriebsrat gibt, der sein Handwerk versteht. „Software, die zur Leistungs- und Verhaltenskontrolle eingesetzt werden kann“, erklärt der Arbeitsrechtler Peter Wedde von der Fachhochschule Frankfurt am Main, „unterliegt bei uns der Mitbestimmung.“ Gerade in größeren Unternehmen geht die Einführung neuer Mail- und Firewall-Programme meist mit dem Abschluß einer Betriebsvereinbarung einher, in der genau festgelegt ist, was erlaubt ist und was nicht. Wie so etwas aussehen kann, läßt sich inzwischen im Internet nachlesen: Der Unternehmensberater Karl Schmitz aus Hamburg zeigt unter der Adresse www.tse-hamburg.de/Betriebsvereinbarungen Beipiele für solche Übereinkünfte.
Je selbstverständlicher der Umgang mit Online-Medien und dem Internet für Deutschlands Büroarbeiter wird, desto gereizter wird das Klima in all jenen Betrieben. die sich um die Fixierung eines solchen Interessenausgleichs noch herumdrücken. Spannungen sind dort programmiert, wo Gleichberechtigte mangels strikter Vorgaben ihre Freiheiten unterschiedlich interpretieren – insbesondere dann, wenn einer darunter ist, der vom technischen Know-how her einem Webmaster ebenbürtig ist.
So schwoll den Kollegen jedesmal der Kamm, wenn sich Franz L., Online-Spezialist in der deutschen Niederlassung eines US-Medienmultis, an einem vor neugierigen Blicken abgeschirmten Arbeitsplatz hinter dem Monitor verschanzte. Sie wußten nicht, ob der Mann mit der Halbglatze schon wieder in einem Chat-Kanal auf Frauenpirsch war oder zur Abwechslung ernsthaft arbeitete. L.s Bürogenosse Ronald K. revanchierte sich des öfteren mit länglichen Privattelefonaten, die Franz L. wiederum so gut es ging zu ignorieren versuchte. Immerhin vermochten die beiden dieses Verhalten vor ihrem Chef weitgehend zu verbergen, denn sie erledigten trotzdem ihre Arbeit.
Der Abteilungsleiter hätte L. nicht einmal dann einen Chat nachweisen können, wenn er sich nach Feierabend dessen PC vorgeknöpft hätte. Denn auch dagegen hatte der Online-Spezialist vorgesorgt. Statt sich über das Datennetz der Firma ins Internet einzuloggen, nutzte er lieber per Modem oder ISDN-Karte den direkten Netzzugang über die Telefonanlage. So läßt sich anhand des Einzelverbindungsnachweises zwar belegen, daß jemand online war, aber nicht, was er gemacht hat.
Zweitens deaktiviert L. stets alle verräterischen Elemente im Browser – also speziell den Cache-Speicher, der den gesamten Web-Verkehr des Computers auf der Festplatte zwischenlagert. Routinemäßig zwischengespeichert werden aber auch e-Mails und Chats – sowohl in einer ganz speziellen Log-Datei innerhalb des Cache-Verzeichnisses als auch in Form einer Sicherheitskopie. Die Post-Programme sind nämlich nicht für Leute gemacht, die etwas zu verbergen haben oder dummes Zeug weltweit verbreiten, sondern für gewissenhafte Büromenschen, die ausschließlich ernsthafte Korrespondenz führen. Darum heftet der Computer des Absenders zur Sicherheit von jeder Nachricht ganz ordentlich einen digitalen Durchschlag ab.
Wenn der Empfänger nach dem Lesen mit der Maus auf „Löschen“ klickt, befördert er das Dokument lediglich in einen „Papierkorb“, aus dem er es jederzeit hervorholen kann. Selbst wenn dieser elektronische Eimer geleert wird, ist die Information immer noch nicht endgültig futsch. Fachleute können sie dann immer noch mit ein paar Computerbefehlen rekonstruieren – wie bei Monica Lewinsky geschehen. Auch hier haben Clevere eine Chance, sich hinterher nicht so einfach etwas nachweisen zu lassen: Sie verbieten dem Computer über die „Einstellungen“ ihres Browsers das Anlegen von Sicherheitskopien. Und sorgen am Ende jeder einzelnen Sitzung dafür, daß jedes einzelne Müllverzeichnis gelöscht wird. Um allerdings das Mitlesen auf dem weiten Weg, den manche Mai! nimmt, zu verhindern, hilft nur die elektronische Verschlüsselung, die aus der Postkarte einen versiegelten Umschlag macht, in dem ein mit unsichtbarer Tinte in Keilschrift verfaßter Brief steckt.
Ein Vollblut-Chatter vom Schlage eines Franz L. sorgt schließlich noch dafür, daß am Ende jeder Browser-Sitzung sämtliche History-Dateien gelöscht werden. Diese verraten, welche Websites und Chat-Foren in letzter Zeit angeklickt worden sind. Auch nimmt ein gerissener Workplace-Surfer auf keinen Fall „Cookies“ an, kleine Dateien, die unbemerkt in den Speicher des Gastes eingeschleust werden. Sie sorgen dafür, daß ein Surfer bei wiederholten Visiten einer Website wiedererkannt wird – der virtuelle Warenkorb beim Online-Versandhandel funktioniert nach diesem Prinzip. Einem geschickten Webmaster offenbaren diese Cookies aber auch, welche Websites der kontrollierte Kollege aufgerufen hat.
Mittlerweile diskutieren Internet-Vordenker darüber, ob derlei Schnüffelei eigentlich betriebswirtschaftlich sinnvoll ist. „Auch wenn man ab und an einen erwischt, der sich eine Pornosite angeschaut hat“, relativiert Adam Hartung, verantwortlich für Electronic Commerce bei der Unternehmensberatung C C Index in Chicago, „muß sich eine Firma fragen, ob sich für die Handvoll Leute die Anschaffung teurer Software lohnt.“ Dazu paßt ein Umfrageergebnis der SHRM, wonach die meisten US-Firmen das Internet für eine Bereicherung des modernen Büroarbeitsplatzes halten: 80 Prozent sagten, e-Mail habe die Produktivität gesteigert, die Hälfte meinte, das World Wide Web trage ebenfalls dazu bei. Daß hier Entertainment und Arbeit nahe beieinanderliegen, wird allen Beteiligten erst allmählich klar. Die Grenzen zwischem produktivem Chat und Spaß sind manchmal eben nur fließend.
Immerhin: Selbst das scheinbar unproduktive Chatten kann Geld bringen. Franz L. hat sich selbständig gemacht und eröffnet demnächst seine eigene Chat-Line – als Broterwerb.
Erschienen in Tomorrow 12/1998
Mitarbeit: Michael Wojatzek
Sie sind der oder die 2860. Leser/in dieses Beitrags.
Hallo und vielen Dank für Euren interessanten Blog über „Spionage am Arbeitsplatz!“.
Ich konnte leider noch nicht ersehen, ob es nun legitim ist seine Mitarbeiter digital auszuspähen oder nicht. Die Zehn Gebote sind amüsant und merkenswert. Aus meinem privaten Gebrauch kann ich auch nur unterstreichen dass die Daten aus dem Papierkorb auch nach dem Leeren immer noch auf der Festplatte vorhanden sind. Man hat mit dem Leeren des Papierkorbes lediglich die „Adresse“ der Dateien gelöscht.
LG
Stef
Vielen Dank für einen informativen Beitrag zur Spionage am Arbeitsplatz. Zum Glück ist unserer Firma noch nichts passiert aber schön zu wissen, welche Sachen vermieden werden sollen. Ich habe auch einiges über IT-Forensik gehört, was bei solchen Fällen super nützlich sein kann.