Microsoft User-/Risk-Management: noch Sicherheit oder schon Überwachung?
Niemand wird gerne überwacht, auch nicht am Arbeitsplatz, auch nicht unter dem Deckmantel der Sicherheit. Genau diesem Vorwurf muss sich nun Microsoft stellen.
Zwei in Aussicht gestellte Microsoft-Updates verunsichern Unternehmensnutzer: Administratoren sollen Anwender künftig besser im Blick behalten können. Dies soll der Sicherheit dienen – doch der Vorwurf der Angestelltenüberwachung steht unmittelbar im Raum. Zuerst sollen Verantwortliche im Web, später auch allgemein das Verhalten ihrer Mitarbeiter observieren können.
Daten bleiben hier
Konkret geht es zum einen um das Risiko-Management bei Web-Browsern. Verantwortliche sollen künftig ermitteln können, wenn Nutzer sensitive Informationen in Form von Dateien auf einen Speicherort außerhalb des Unternehmensnetzes kopieren. Hierunter fallen unter anderem Cloud-Speicherdienste, aber auch herkömmliche Netzwerk- und USB-Speicher sowie das Versenden an einen Drucker.
Voraussetzung für das Erkennen ist, dass der Anwender Microsofts Edge-Browser oder Google Chrome nutzt. Ersterer bietet ab Werk einige dieser Monitoring-Funktionen, während letzterer stets eine Erweiterung voraussetzt. Darüber hinaus müssen die Client-Systeme im Microsoft 365 Compliance Portal hinzugefügt und verwaltet sein.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Dezember-iX: Tools für die Datenvisualisierung.
Firmen sollen auf diese Weise ein beabsichtigtes oder versehentliches Abfließen von sensitiven Informationen unterbinden. Auch eine nicht zu kontrollierende Schatten-IT ließe sich so besser verhindern. Jedoch befürchten Beobachter, dass dies Firmen ebenso zum Aufspüren von potenziellen Whistleblowern heranziehen könnten.
Alles über die Angestellten
Deutlich mehr Kopfschmerzen bereitet jedoch das Microsoft 365 Insider Risk Management: Es soll allgemein risikoreiche Aktivitäten der Nutzer aufspüren und Verantwortlichen Werkzeuge an die Hand geben, diesen entgegenzutreten.
Hierzu erfasst die Machine-Learning-Software Informationen zum Anwenderverhalten, seinem Charakter sowie seiner Leistung. Diese lassen sich in Metriken zusammenfassen und anschließend anderen Personen – zum Beispiel Vorgesetzten – zur Verfügung stellen. Microsoft sieht hierfür unterschiedliche Rollen vor, darunter Administratoren, Analysten, Ermittler und Auditor.
In der Ankündigung des neuen Features finden sich Beispiele, wie Verantwortliche die Software einsetzen sollen: So sollen sie auch hier das Abfließen von Daten verhindern, den Missbrauch von sensitiven Informationen unterbinden oder unterbinden, dass verärgerte Angestellte gegen Firmenrichtlinien verstoßen. Hierfür steht ebenfalls ein HR-Connector zur Verfügung, der passende Details aus Personalakten bereitstellt.
Sicherheit und Unsicherheit
Auch wenn die von Microsoft angepriesenen Beispiele der Sicherheit dienen: Eine solche Software kann prinzipiell ebenso zur generellen Überwachung der Angestellten herangezogen werden. Einer solchen stehen aber in Deutschland strenge arbeits- und datenschutzrechtliche Vorgaben entgegen. Dennoch grassieren zunehmend Ängste vor Spitzeleien unter Arbeitnehmern – denn Microsoft ist in diesem Bereiche beileibe kein Trendsetter.
Beide Updates hat der Konzern bislang ausschließlich in Aussicht gestellt – das Risiko-Management für den Web-Browser soll als Preview im Februar 2022 erscheinen, das Nutzer-Monitoring soll in einer Preview im April 2022 folgen. Stand beider Ankündigungen ist, dass sie weltweit zur Verfügung stehen werden. iX bat Microsoft um eine Stellungnahme zur Diskussion um die beiden Features, eine Antwort steht zum Erscheinen des Artikels jedoch noch aus.
(fo)