Bei Begriffen wie “Nutzerverhaltensanalyse” und “Monitoring” schwingen oftmals Bedenken mit, die eingesetzten Lösungen könnten die Rechte der Mitarbeiter verletzen. Auch werden diese Begriffe oftmals mit Überwachung gleichgesetzt. Angesichts der aktuellen Bedrohungslage kommt dem Ansatz der intelligenten Analyse des Nutzerverhaltens (UBA) jedoch größte Bedeutung zu, verspricht er doch, auch bislang unbekannte Angriffe erfolgreich zu adressieren. Die Unternehmen befinden sich also in einem scheinbaren Spannungsfeld zwischen IT-Sicherheit und Mitarbeiterrechten. Aber sind Monitoring-Lösungen per se Überwachungstools?
Wozu überhaupt UBA?
Das letzte Jahr war zweifelsohne geprägt von Ransomware-Attacken wie WannaCry, Petya/NotPetya und BadRabbit. Auch machten enorme Datenschutzverstöße wie bei Uber oder dem amerikanischen Finanzdienstleister Equifax ebenso wie Datendiebstähle (Disney, Netflix) Schlagzeilen. Zwar unterscheiden sich alle diese Fälle in Umfang, Ausmaß und Angriffsvektoren, dennoch haben sie auch etwas gemeinsam: Zugriffsrechte wurden benutzt, um die Dateien entweder zu verschlüsseln (Ransomware) oder sie zu entwenden.
Beides Aktivitäten, die nicht den üblichen Prozessen entsprechen und somit durch intelligente Nutzeranalyse hätten verhindert oder zumindest massiv begrenzt werden können. UBA-Systeme schlagen nämlich dann an, wenn sie abnormales Verhalten eines Nutzers erkennen, etwa das Öffnen und Kopieren zahlreicher Dokumente innerhalb kürzester Zeit, oder auch ungewöhnliche Zeiten, zu denen auf Dateien zugegriffen wird. Diese Warnungen können dann automatisiert entsprechende Gegen- bzw. Abwehrmaßnahmen einleiten. Auf diese Weise sind sie anders als etwa AV-Lösungen auch in der Lage, gegen unbekannte Malware oder Angriffsvektoren erfolgreich vorzugehen. Im Vordergrund steht also nicht der Schadcode, sondern was er bewirkt.
Was versteht man unter “technischer Überwachung”?
Nach dem Betriebsverfassungsgesetz und der Rechtsprechung des Bundesarbeitsgerichts (BAG) fallen hierunter Zugangskontrollen über Fingerprint-Scanner-Systeme oder Biometrie, Mikrophone, Systeme zur Arbeitszeiterfassung, RFID-Systeme, Personalabrechnungssysteme, Telefonverbindungsnachweise (intern oder beim Provider) und Keylogger, aber auch die sogenannte Journal-Funktion in Microsofts Outlook und die Grundstruktur von Server-Betriebssystemen.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Dabei ist nicht einmal entscheidend, ob diese Systeme tatsächlich zur Überwachung genutzt werden, sondern lediglich, dass sie hierzu geeignet sind. Bei der Einführung und Anwendung dieser technischen Einrichtungen steht dem Betriebsrat ein Mitbestimmungsrecht zu.
Die Überwachung vollzieht sich laut BAG dabei in drei Phasen: In der ersten Phase werden Daten erhoben, die sich auf Leistung und/oder das Verhalten von Arbeitnehmern beziehen.
In der zweiten Phase werden diese Daten gespeichert, geordnet und zueinander (oder mit anderen Daten und Informationen) in Beziehung gesetzt. In der dritten Phase werden diese Ergebnisse schließlich ausgewertet.
Daten und Mitarbeiterrechte schützen
Wie eingangs erwähnt, spielen restriktive Zugriffsrechte eine entscheidende Rolle in der Datensicherheit und sollten nach dem “need-to-know”-Prinzip organisiert werden. Jeder Mitarbeiter erhält demnach nur Zugriff auf die Daten, die er tatsächlich benötigt. Dies entspricht nicht nur einer der Grundforderungen der DSGVO, sondern schützt darüber hinaus auch die Privatsphäre der Mitarbeiter besser.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Mit einer entsprechenden Software wird der Zugriff auf alle Daten und von allen Benutzern analysiert und überprüft. Aber bedeutet dies nicht Überwachung? Nein, da Software lediglich den reinen Zugriff protokolliert, aber keine dazugehörigen Inhalte. Es ist also nicht nachvollziehbar, wer eine bestimmte Datei wie geändert hat oder in welchem Kontext diese Datei steht. Auch werden nicht alle Aktivitäten erfasst, etwa das Schreiben von E-Mails etc. Grundsätzlich handelt es sich also nur um einen Bruchteil der Daten, die in Teilbereichen des jeweiligen Arbeitsumfelds erfasst werden – und das weder inhaltlich noch personenbezogen.
Folglich eignen sich diese Daten nicht als Indikatoren, um die Arbeitsleistung eines Mitarbeiters zu messen. Die Software protokolliert eben nicht, ob im betreffenden Fall vielleicht nur wenige Zeichen geändert wurden oder ganze Seiten. Es geht also nicht darum, die Mitarbeiter zu überwachen, ihre Arbeitsleistung zu kontrollieren bzw. zu bewerten und damit möglicherweise ihre Privatsphäre zu verletzen, sondern festzustellen, wenn etwas Außergewöhnliches passiert bzw. von einem Account getan wird, um entsprechende Abwehrmaßnahmen zu initiieren. Auf diese Weise werden Sicherheit der vertraulichen Daten und Mitarbeiterrechte in Einklang gebracht.