Big Brother am Arbeitsplatz

Nach Schätzungen der Privacy Foundation aus dem Jahre 2001 werden 27 Prozent aller Computerarbeitsplätze auf der ganzen Welt überwacht. Allein aus den Angaben der Hersteller errechnete Andrew Schulman, dass auf 27 Millionen PCs Spionage-Software läuft und entsprechend viele Unternehmen lückenlose Protokolle von dem Tun ihrer Mitarbeiter aufzeichnen können. Schulman, der als Programmierer mit Büchern und Artikeln zu undokumentierten Windows-Funktionen bekannt geworden ist, spricht inzwischen vom ‘undokumentierten Big Brother’. Dieses bitterböse Wort muss man wörtlich nehmen: Undokumentiert sind für Mitarbeiter die Funktionen der Überwachungsprogramme, die Dateioperationen und Programmstarts aufzeichnen, regelmäßig Screenshots von der Arbeit anfertigen, die E-Mail und die Nachrichten von Instant Messengern mitschneiden. Die umfänglichsten Vertreter der Überwachungssoftware aktivieren sogar eine angeschlossene Webcam und fotografieren in regelmäßigen Abständen den Benutzer - unbemerkt, versteht sich.

Undokumentiert wie Trojaner verhalten sich die Überwachungsprogramme, verstecken sich in verschiedenen Verzeichnissen, benennen sich fortlaufend um und löschen (unter Windows) beim Herunterfahren des Rechners alle Hinweise auf ihre Aktivitäten in der Registry. Undokumentiert schicken sie scheinbar harmlose E-Mails an die Überwacher, wenn Schlüsselwörter getippt werden, in einem Dokument oder in einer E-Mail auftauchen. Undokumentiert im schlimmen Sinne zeichnen einige Programme als Keylogger alle Tastatureingaben auf: Wer schreibt, dass der Chef ein Volltrottel ist und anschließend seinen Wutausbruch ohne Abspeichern löscht, kann dennoch belangt werden. Zumindest in den USA. Dort wurde nach einem Bericht des Wall Street Journal einer Flughafenangestellten gekündigt, die einen Lebenslauf für eine Bewerbung schrieb, aber nicht verschickte oder speicherte. Die in die Tastatur ‘gedachten’ Formulierungen reichten aus, die Kündigung zu rechtfertigen.

In den USA gestattet es die Rechtsprechung den Unternehmen, Überwachungssoftware aller Art zu installieren, solange die Installation nicht diskriminiert: Wer nur einen Teil seiner Mitarbeiter überwacht, etwa die nichtweißen, die weiblichen oder nur die mit einer Verwarnung in der Personalakte, der macht sich strafbar. Werden dagegen alle Mitarbeiter bis zum Top-Management überwacht, ist alles in Ordnung - jedenfalls solange die Firma nicht ‘Voice over IP’, Telefonie über das Datennetz, betreibt. Das routinemäßige Anzapfen von Telefonanlagen ist auch in den USA verboten. Außer im US-Bundesstaat Connecticut brauchen amerikanische Unternehmen ihre Mitarbeiter nicht einmal auf die Tatsache hinzuweisen, dass Überwachungssoftware installiert ist. Viele tun es trotzdem und halten sich damit an eine Empfehlung des US-Justizministeriums, das vor zwei Jahren eine Art ‘Betriebsvereinbarung’ vorstellte.

Was verboten ist und was nicht

Diese Empfehlung taucht übersetzt auch bei deutschen Anbietern auf, etwa bei der Firma Orth Datentechnik, die den aus Neuseeland importierten Hardware-Keylogger ‘Keyghost’ vertreibt. Auch das Saarbrücker Unternehmen Protectcom, das mit Spector, eBlaster, Orvell und Webspy gleich eine ganze Palette von Überwachungsprogrammen im Angebot hat, suggeriert auf seinen Webseiten und in den Nutzungshinweisen bei der Installation, dass ein paar amerikanische Klauseln ausreichen, den Einsatz von Überwachungssoftware abzusichern. Das ist falsch: In Deutschland ist der Einsatz von Überwachungssoftware nicht ohne weiteres erlaubt, selbst dann nicht, wenn in der Firma im Rahmen einer Betriebsvereinbarung die private Nutzung des Internet untersagt ist. Der Einsatz von Überwachungssoftware verletzt das Persönlichkeitsrecht der Beschäftigten. Software dieser Art kann nur punktuell eingesetzt werden und nur dann, wenn der begründete Verdacht auf eine Straftat besteht. Bei uns sind auf dem Bildschirm auftauchende Hinweise wie ‘Hallo, dieser PC wird überwacht!’, erschummelte Erklärungen in Lizenzbedingungen oder Formulierungen wie ‘Mit dem Start dieses PC sind Sie einverstanden, dass alle Tastaturanschläge aufgezeichnet werden’ rechtlich ohne Bedeutung. Das gilt auch für Betriebsvereinbarungen, die das Einverständnis zur Überwachung absichern wollen (siehe Interview auf S. 135 in c't 15/2002).

Wenn überhaupt, so sind nur Vereinbarungen (mit dem Betriebsrat) möglich, welche die Nutzung des Computers oder des Internet regeln, nicht aber die Überwachung des Mitarbeiters. Hierunter können Regeln zum technischen Datenschutz und zur Datensicherung - Virenschutz und Backup - fallen, nicht jedoch die Genehmigung des großen Lauschangriffes auf die Tastatur. Eine Vereinbarung kann bis zum Verbot reichen, ungeprüfte Datenträger und Dateien zu verwenden, sowie die Prüfung aller Dateien zu gestatten. Doch Virenchecker, Firewalls und LAN-Testsoftware sind schwerlich der Überwachungssoftware zuzurechnen, welche die Tastatur abfragt, die Mail kopiert und den Bildschirm fotografiert. Ausländische Firmen wie Exxon Mobil, Delta Airlines oder Lockheed Martin, die Überwachungssoftware einsetzen, teilten auf Anfrage von c't mit, dass die nationalen Rechtslagen in ihren Niederlassungen beachtet werden. Damit dürfte die von ihnen eingesetzte Software namens Investigator eigentlich nicht auf in Deutschland stationierten Rechnern vorkommen. Dafür sind Programme wie der Elbtecscan der Firma ElbTec völlig legal. Es prüft, ob auf einem Rechner die Überwachungssoftware Spector installiert ist. In den USA darf Elbtecscan hingegen nicht ohne Erlaubnis in einer Firma eingesetzt werden. Deshalb gibt es auch eine Online-Version des Testers.

Das Misstrauen gegenüber richtigen Überwachungsprogrammen findet Richard Eaton vollkommen unverständlich. Eaton ist der Programmierer des Investigator, den er in seinem Familienbetrieb WinWhatWhere eigenhändig auf CD brennt, wenn eine Bestellung eingegangen ist. ‘Sie müssen auch in Deutschland begreifen, dass meine Software den Mitarbeiter schützt und nicht verrät. Ist der Investigator im Einsatz, kann jeder im Betrieb schwarz auf weiß beweisen, dass er oder sie eine weiße Weste hat. Getuschel und falsche Verdächtigungen sind eliminiert’, schreibt Eaton in einer E-Mail an c't. Als Mitglied der amerikanischen Bürgerrechtsorganisation ACLU engagiert er sich für das Recht der freien Rede. Doch musste er in einem unlängst von CNN.com verbreiteten AP-Artikel zugeben: ‘Wenn ich mir so meine Logs anschaue, die an einem Tag auflaufen, dann müsste ich mich eigentlich selbst feuern.’

In Deutschland ansässige Firmen dürfen natürlich ihr Netzwerk überwachen, auf dass Eindringlinge abgewehrt und Leistungseinbrüche behoben werden können. Auch ist eine Dateisicherung, etwa ein zentrales Backup selbst persönlicher Dateien, kein Problem. Wenn aber in einer Betriebsvereinbarung der Mitschnitt an der Tastatur als ‘Schutz vor dem Verlust über Tastatur eingegebener Daten’ dem Backup zugerechnet wird, ist die Sache juristisch anfechtbar.

Auf der inhaltlichen Ebene ist die Überwachung eines Mitarbeiters nur punktuell möglich, wenn der Verdacht auf eine Straftat besteht, wenn etwa Firmengeheimnisse an die Konkurrenz gemailt werden. Die einfache Nutzung des Internet fällt nicht darunter. Für alles, was zwischen dem Lauschen an der Tastatur und dem Verrat an die Konkurrenz liegt, gibt es keine Regeln. Große Firmen behelfen sich damit, dass sie in einer Betriebsvereinbarung festlegen, ob und wie ihre Mitarbeiter das Internet im Betrieb privat nutzen können, welche Dateien sie im Firmennetz speichern dürfen. Damit sichern sich die Unternehmen ab, nicht im Sinne des TKG als Teledienstleister zu gelten. So gibt es Firmen wie Ericsson oder Fiat, bei denen die private Nutzung des Internet erlaubt ist, wohingegen andere wie die Deutsche Telekom die Nutzung nur tolerieren. Ähnlich wie beim Telefonieren ist dann aber die exzessive private Nutzung untersagt. Viele Konzerne, unter ihnen BASF, Bertelsmann, DaimlerChrysler, Lufthansa oder Siemens verbieten jegliche private Nutzung ihrer Netze [1].

‘Qualitätskontrolle’

Doch grau ist alle Theorie. ‘Hey, du hast 20 Minuten nichts geschrieben. Telefoniert hast du auch nicht, was ist denn los, Süße?’ Die Meldung, die einer Redakteurin einer großen niedersächsischen Tageszeitung auf den Bildschirm ploppte, sollte spaßig wirken, doch verstörte sie die Empfängerin nachhaltig. Sie recherchierte vor Ort und fand heraus, dass eine bisher unbekannte und eigentlich unbekannt bleiben wollende ‘Qualitätskontrolle’ am Werke war, bei der allerdings ein glühender Bewunderer saß, der sich stolz outete. Auf den Macs der Journalisten lief die Software Timbuktu Pro von Netopia, zu ‘statistischen Zwecken’, wie eilends versichert wurde. Allein diese Begründung darf als dreiste Lüge gewertet werden - für statistische Zwecke hätte die vorhandene Arbeitszeitkontrolle, verbunden mit den einfachen Log-in-Daten in das Redaktionsnetzwerk völlig ausgereicht. Ebenso ist die später vorgebrachte ‘Qualitätskontrolle’ dubios: Auch in einer Lokalredaktion sollten Journalisten einmal ungestört Nachdenken dürfen, ehe sie in die Tasten greifen.

Dubios bleibt auch der Weg, der hier beschritten wurde: Timbuktu Pro gehört zur Gattung der Remote-Control-Programme, ist also eine Software für die Kontrolle entfernter Rechner, wie sie von Netzwerk-Administratoren eingesetzt wird. Solche Remote-Control-Programme werden nicht erst seit den Tagen von BackOrifice und SubSeven mit Überwachungssoftware verwechselt. Ähnliches gilt für Timbuktu. Im letzten Jahr erlangte das Programm einige Berühmtheit, als es einem erfahrenen Programmierer gelang, seinen gestohlenen Laptop so zu steuern, dass er den Dieb verraten konnte. Eine richtige Überwachungssoftware ist Timbuktu Pro aber trotz alledem nicht, eher ein Spion wider Willen. Die gesamte Installation zeigt eher, wie ‘zufällig’ ein Überwachungsszenario entstehen kann.

Richtige Überwachungssoftware, die einen Rechner und seine Nutzer nach allen Regeln der Kunst ausspioniert, sieht anders aus und kommt ohne exotische Namen aus.

Spionage: Tarnsoftware schädigt Anwender	S. 128
Software gegen Trojaner	S. 138
So wird man Spyware los	S. 144

Weitere Artikel zum Thema "Schützen Sie sich!" finden Sie in c't 15/2002:
(ha)