Permanente Sicherheitsprüfung von Angestellten über Online-Daten

Die für Sicherheitsprüfungen von öffentlichen Angestellten zuständige US-Behörde OPM sucht nach einem Programm zur Dauerüberwachung, Versicherungen und private Arbeitgeber könnten auch interessiert sein

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Weltweit bekannt wurde das Office of Personnel Management (OPM), das für die Personalverwaltung des öffentlichen Dienstes zuständig ist, nachdem letztes Jahr durch Cyberangriffe Millionen von Personaldaten ausgespäht wurden, darunter auch von Angestellten mit Sicherheitsüberprüfung. Der Angriff wird von der US-Regierung China zugeschrieben. Die Abteilung Federal Investigative Services des OMP will nun neue Wege zur Überprüfung der Menschen gehen, die einen Antrag auf Sicherheitsüberprüfung stellen. Die Regierung hat 2014 das die Ministerien übergreifende Ziel als prioritär ausgegeben, Insider- Risiken zu minimieren und die Sicherheitsprüfungen für Angestellte, die Zugang zu vertraulichen Dokumenten, Gebäuden oder Systemen haben, zu reformieren.

OPM-Logo

Offenbar wird geplant, wie aus einer Ausschreibung vom 8. April hervorgeht, im Rahmen einer Überprüfung auch alle verfügbaren Online-Informationen über einen Bewerbers oder bereits Angestellten einzubeziehen, die automatisch verfolgt und kontinuierlich aktualisiert werden. Die Behörde sucht, zusammen mit der obersten Geheimdienstbehörde DNI , für ein Pilotprogramm Anbieter von Programmen oder Webcrawlern, die im Netz automatisch, verlässlich und standardisiert öffentlich zugängliche Postings und Informationen von Bewerbern (publicly available electronic information - PAEI) suchen, also überall, auf Facebook, Twitter oder anderen Sozialen Netzwerken, auf Websites oder in Foren oder Blogs, aber auch auf den Webseiten von Online-Unternehmen wie Amazon oder eBay. Großer Wert wird auf einen "robusten Algorithmus zur Identitätsverknüpfung" gelegt, der zweifelsfrei Informationen bestimmten Menschen zuordnen kann. Das könnte schwierig sein, wenn die Namen unterschiedlich geschrieben werden oder einander ähnlich sind, aber zu den Echtnamen auch eine Menge von Pseudonymen oder Nicknames dazu kommen.

Wichtig ist der Behörde vor allem, dass dies kostengünstig stattfinden soll, also dass kein Mensch zum Sammeln der Informationen benötigt wird, auch nicht von solchen, die nicht in Suchmaschinen gelistet werden ("with no human intervention"). Getestet werden sollen die Programme erst einmal an 400 Bewerbern. Letztes Jahr hatte OPM nach Informationen des National Journal bereits die Firma mit dem schönen Namen Social Intelligence, die auch an Projekten für das Pentagon beteiligt war, engagieren wollen. Sie verspricht eigentlich das, was das OPM nun erneut von anderen Bewerbern zu erhalten verlangt, nämlich Berichte im rechtlich zulässigen Rahmen zu erstellen, ob "öffentliche Online-Daten einer Person Informationen enthalten, die für die Sicherheitsprüfung" wichtig sein können. Angeboten werden auch eine kontinuierliche Überprüfung und Warnungen in Echtzeit. Offenbar kam man dann aber nicht zusammen. In der Ankündigung aus dem letzten Jahr hieß es erst noch, Social Intelligence sei die einzige Firma, die solche Berichte anfertigen könne.

Hintergrund dafür könnte auch sein, dass das Pentagon und Geheimdienste schon länger darauf hinarbeiten, Sicherheitsüberprüfungen nicht nur einmal und dann vielleicht alle 5 oder 10 Jahre zu machen (in Deutschland werden alle 10 Jahre Wiederholungsüberprüfungen ausgeführt), sondern sie permanent durchzuführen, um schnell Verdächtiges bemerken zu können - und so etwa Veränderungen von Angestellten (Insider-Bedrohungen) bemerken zu können, die wie Snowden oder Manning zu Whistleblowern werden und massenhaft Daten veröffentlichen. Eigentlich war die kontinuierliche Überprüfung bereits bis Dezember 2014 vorgesehen, aber es gab, wie so oft bei öffentlichen Projekten, Verzögerungen, jetzt sollen bis März 2017 wenigsten 5 Prozent der Menschen in der höchsten Geheimhaltungsstufe überwacht werden, bis Dezember sollen 225.000 Menschen werden, deren Sicherheitsstufe automatisch und permanent kontrolliert wird. Ein ähnliches Projekt soll im Außenministerium entwickelt werden.

Die zuvor erwähnte Firma Social Intelligence bietet die Auswertung aller öffentlich zugänglichen Daten und Informationen von Personen nicht nur Behörden an, sondern auch Versicherungen und Arbeitgebern. Die Firma sagt, sie habe Algorithmen entwickelt, um verlässlich einstufen zu können, Usernamen auf verschiedenen Seiten oder für verschiedene Dienste auf eine Person verweisen. Die Online-Suche im "Deep Web" ließe sich auch verwenden, um gestohlene Wertgegenstände zu finden oder falsche Krankmeldungen aufzudecken.