[datensicherheit.de, 15.02.2022] Die „Corona-Pandemie“ offenbar hat zu einer Kündigungswelle geführt, welche von den USA nun auch nach Europa „schwappt“. Beyond Identity warnt in einer diesbezüglichen aktuellen Stellungnahme vor unzureichenden „Offboarding“-Prozessen – solche führten bei den ehemaligen Arbeitgebern zu „erheblichen Sicherheitsrisiken“. Eine eigene Studie habe u.a. ergeben, dass in den USA ein professionelles „Exit Management“ wesentlich häufiger durchgeführt werde als bei Unternehmen in Europa.

Abbildung: Beyond Identity

Beyond Identity zeigt Missbrauch von Zugriffsrechten in Folge unzureichender Offboarding-Prozesse…

Überwiegende Mehrheit der Mitarbeiter hat weiterhin Zugang zu Konten ihres früheren Arbeitgebers

Eine aktuelle Studie von Beyond Identity unter mehr als 1.000 Arbeitgebern und Arbeitnehmern zeigt demnach, „dass die überwiegende Mehrheit der Mitarbeiter (83%) weiterhin Zugang zu Konten ihres früheren Arbeitgebers hat“.

Dies stelle eine erhebliche Bedrohung für die Cyber-Sicherheit der Unternehmen dar, zumal mehr als die Hälfte dieser Mitarbeiter (56%) zugebe, „dass sie diesen bestehenden digitalen Zugang mit der Absicht genutzt hat, ihrem ehemaligen Arbeitgeber zu schaden“.

Weiterer Zugang ehemaliger Mitarbeitern mit böswilliger Absicht bedeutet für Arbeitgeber absoluten Sicherheits-GAU

Der weitere Zugang von ehemaligen Mitarbeitern zu sensiblen Informationen, gepaart mit einer häufig böswilligen Absicht, bedeute für Arbeitgeber einen „absoluten Sicherheits-GAU“. Beyond Identity erläutert: „Betrachtet man in der Umfrage speziell die Antworten von Managern und Geschäftsführern, so geben 74 Prozent an, dass ihr Unternehmen durch die Verletzung der Cyber-Sicherheit durch einen ehemaligen Mitarbeiter geschädigt wurde.“

Zu den häufigsten Hacks und Verstößen gehörten das Einloggen in die Sozialen Medien des Unternehmens (36%), das Durchsuchen von Unternehmens-E-Mails (32%) und das Mitnehmen von Unternehmensdateien (31%). Mehr als einer von vier ehemaligen Mitarbeitern sei sogar so weit gegangen, sich in das „Backend“ der Unternehmens-Website einzuloggen.

Studie offenbart weltweites Risiko für Arbeitgeber

Befragt worden seien ehemalige Mitarbeiter zu ihrer letzten Arbeitsstelle. „Obwohl Standort, Branche, Beschäftigungsgrad und Geschlecht unterschiedlich waren, ähnelten sich die Antworten auf erschreckende Weise und offenbaren ein weltweites Risiko für Arbeitgeber.“

Doch die Unternehmen seien diesem Risiko nicht schutzlos ausgeliefert. Der Umfrage zufolge könne ein professioneller, detaillierter „Offboarding“-Prozess zwei wichtige Dinge bewirken: „Er verhindert den unbefugten Zugriff ehemaliger Mitarbeiter, indem er ihre Passwörter und andere unsichere Authentifizierungsmethoden beseitigt. Gleichzeitig verringert er deren Motivation, einem ehemaligen Arbeitgeber zu schaden.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.10.2020
Telearbeit: Mit dem Mitarbeiter sicher in Verbindung bleiben

BEYOND IDENTITY Blog, 10.02.2022
Former Employees Admit to Using Continued Account Access to Harm Previous Employers

[datensicherheit.de, 31.08.2021] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, fordert nach eigenen Angeben eine rechtliche Klarstellung zur Abfrage des Impf- und Teststatus von Beschäftigten: „Ich rate zu einer bundeseinheitlichen Regelung, die einen Flickenteppich verhindert. Der Verordnungsgeber ist jetzt in der Pflicht zu handeln.“

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: BfDI rät zu bundeseinheitlicher Regelung, die Flickenteppich verhindert…

BfDI steht mit beteiligten Bundesministerien in Kontakt

Der BfDI stehe hierzu bereits mit den beteiligten Bundesministerien in Kontakt. Mit wenigen Ausnahmen, wie beispielsweise im Gesundheitsbereich, könnten Arbeitgeber und Dienstherren momentan weder den Impf- oder Teststatus ihrer Beschäftigten erfragen oder irgendeine Art von Testungspflicht anordnen. Um die geforderte Rechtsklarheit zu schaffen, werde der BfDI die beteiligten Bundesministerien weiterhin intensiv beraten.

BfDI fordert datenschutzfreundliche Regelungen

Der BfDI betont demnach, dass hierzu datenschutzfreundliche Regelungen im Sinne der Informationellen Selbstbestimmung der Beschäftigten getroffen werden sollten. Professor Kelber erläutert: „Je nachdem, ob man sich für ,2G‘ oder ,3G‘ entscheidet, müsste die Arbeitgeberin oder der Arbeitgeber auch gar nicht wissen, welchen konkreten Status ihre Beschäftigten haben. Eine Unterscheidung der Nachweise wäre dann nicht notwendig.“

[datensicherheit.de, 28.11.2011] Fast drei Viertel der Mitarbeiter in IT-Abteilungen hätten bereits einmal die IT-Systeme ihres Arbeitgebers für private oder gar illegale Zwecke missbraucht, so die Erkenntnisse aus einer Studie von BalaBit IT Security. Die Palette reiche vom Download von Content über das Aushebeln von Firewall-Regeln bis hin zum Lesen vertraulicher Dokumente wie Gehaltslisten. Solche Praktiken ließen sich unterbinden, wenn ein Unternehmen eine Lösung einsetzte, die die Aktivitäten von privilegierten Usern wie Systemverwaltern protokolliert.
Die Mehrzahl der IT-Systemverwalter könne der Versuchung nicht widerstehen, die IT-Infrastruktur ihres Arbeitgebers auch für Aktivitäten zu nutzen, die gemäß ihres Arbeitsvertrags eigentlich untersagt sind. Dies belegten die Ergebnisse einer Studie, für die 200 IT-Mitarbeiter zwischen Juli und Oktober 2011 befragt worden seien. So räumten 74 Prozent der IT-Fachleute ein, dass sie bereits mindestens einmal IT-Systeme des Unternehmens auf unerlaubte Weise genutzt hätten. Dabei habe es sich nicht um Lappalien gehandelt – wären diese Aktivitäten publik geworden, „hätte sie das ihren Job gekostet“, so die Befragten.
Dennoch würden es 92 Prozent der Befragten begrüßen oder zumindest tolerieren, wenn ihre eigenen Tätigkeiten mithilfe eines Monitoring-Tools dokumentiert würden. Der Grund sei, dass sich die Hälfte der Systemverwalter manche Account-Daten wie Passwörter und Log-in-Namen mit Kollegen teile, etwa bei der Administration von Servern. An die 41 Prozent der Administratoren gäben an, es wäre in mindestens einem Fall hilfreich gewesen, wenn ein Tool mitprotokolliert hätte, welcher Mitarbeiter für welche Aktionen genau verantwortlich war. Nur acht Prozent der IT-Fachleute sprächen sich strikt gegen den Einsatz von Lösungen aus, die die Aktivitäten von privilegierten IT-Usern wie Administratoren festhalten.

Die „Top-6-Liste“ verbotener Aktivitäten von IT-Mitarbeitern:

Platz 1: Download von illegalem Content am Arbeitsplatz (54 Prozent).
Platz 2: Änderung von Sicherheitseinstellungen von Firewalls und anderen IT-Systemen (48 Prozent): Ein Ziel solcher Maßnahmen ist, sich Zugriff auf IT-Ressourcen im Unternehmen zu verschaffen, etwa per Remote-Access.
Platz 3: „Absaugen“ von firmeninternen Informationen (29 Prozent).
Platz 4: Lesen von vertraulichen Dokumenten (25 Prozent) – dazu gehören Gehaltslisten und Personalunterlagen, aber auch vertrauliche Geschäftsunterlagen.
Platz 5: Heimliches Lesen der E-Mails von Kollegen (16 Prozent).
Platz 6: Löschen oder Manipulieren von Log-Dateien (15 Prozent) – dies dient häufig dazu, die Spuren von verbotenen Aktivitäten zu verwischen.

Diese Resultate zeigten, wie wichtig es sei, eine Monitoring-Lösung zu implementieren, welche die Aktivitäten von IT-Nutzern mit privilegierten Zugriffsrechten wie IT-Managern und Systemverwaltern transparent macht, erläutert Zoltán Györkö, „Business Development Manager“ bei BalaBit IT Security. Das gelte nicht nur für Großunternehmen, sondern auch für mittelständische Firmen. Laut Györkö machen zudem Trends, wie die verstärkte Nutzung von – teilweise privaten – Mobiltelefonen und Tablet-Rechnern in Unternehmensnetzen und „Cloud Computing“ neue Ansätze im Bereich IT-Sicherheit erforderlich. Es müsse nachprüfbar sein und dokumentiert werden, welcher Nutzer wann auf welche vertraulichen Informationen und unternehmenskritische IT-Systeme zugreife und welche Änderungen er dort vornehme. Ein Tool, das die Tätigkeiten von IT-Nutzern dokumentiere, liefere nicht nur Daten, die für Audits wichtig seien, ergänzt Györkö, sondern es schütze auch privilegierte Nutzer, indem es deren Aktivitäten nachvollziehbar mache.
Hinzu komme, dass Compliance-Regeln und gesetzliche Vorgaben in vielen Branchen das Monitoring der Aktivitäten von IT-Usern mit privilegiertem Status unumgänglich machten. Basel III, SOX-EuroSox, PCI DSS und andere Standards verlangten, dass Unternehmen IT-Kontrollmechanismen wie ITIL, COBIT oder ISO 27011/27002 implementieren und regelmäßig entsprechende Audits durchführen.

Weitere Informationen zum Thema:

BalaBit
Top 6 list of most popular prohibited activities in the workplace among IT staff

[datensicherheit.de, 22.10.2011] Geht es nach den Plänen der Bundesregierung, soll noch 2011 das neue Beschäftigtendatenschutzgesetz verabschiedet werden. Wissenschaftler, Anwälte und Parteienvertreter diskutierten nun auf dem „AfA Datenschutzforum 2011“ in Dresden den aktuellen Gesetzentwurf gemeinsam mit Betriebsräten aus ganz Deutschland:
Dr. Patrick Breyer, Jurist, Datenschutz-Experte und Mitglied bei der Piratenpartei, kritisierte das Papier besonders deutlich – es müsse ein Grundvertrauen zwischen Arbeitnehmer und -geber da sein. Dieses Vertrauen sieht er angesichts der geplanten Regelung des Datenschutzes gefährdet. Es könne nicht sein, dass Beschäftigte unter Generalverdacht stünden, erklärte auch die Bundestagsabgeordnete Beate Müller-Gemmeke, Sprecherin für Arbeitnehmerrechte der Grünen. Per Betriebsvereinbarung ein Gesetz unterlaufen – das gehe so nicht, machte Müller-Gemmeke deutlich. Doch genau diese Möglichkeit sehe der derzeitige Entwurf mit seinen Änderungen des Bundesdatenschutzgesetzes (BDSG) vor. Demnach könnten auf diesem Weg in Zukunft auch weniger strenge Regelungen für den Datenschutz im Betrieb beschlossen werden.
Nicht die Daten der Beschäftigten würden durch den vorliegenden Gesetzesentwurf geschützt, sondern die Interessen der Arbeitgeber an der Überwachung ihrer Arbeitnehmer, so Marc-Oliver Schulze, Fachanwalt für Arbeitsrecht und Veranstalter des „AfA Datenschutzforums“. Und das nunmehr im Bundesinnenministerium erstellte Änderungspapier werde womöglich alles noch schlimmer machen. Die geplanten Änderungen des BDSG ermöglichten Arbeitgebern eine einfachere Kontrolle ihrer Angestellten.

Foto: Sputnik - Presse- und Öffentlichkeitsarbeit, Münster

Marc-Oliver Schulze, Fachanwalt für Arbeitsrecht und Veranstalter des „Datenschutzforums“, kritisiert das geplante Gesetz.

Prof. Dr. Wolfgang Däubler von der Universität Bremen erläuterte, dass beispielsweise ungenügend geregelt sei, in welchen Bereichen und wann eine Videoüberwachung am Arbeitsplatz erlaubt sein soll. Auch der Zugriff auf private Daten des Arbeitnehmers sei nach seiner Einwilligung möglich – aber die Behauptung, dass diese Zustimmung freiwillig sei, gehe an der Realität im Arbeitsleben vorbei, betonte Prof. Däubler. Er sieht dem BDSG mit Sorgen entgegen – ein neues Gesetz müsse Fragen
klären, nicht neue Unklarheiten schaffen.
Dr. Stefan Brink, Referatsleiter beim Landesbeauftragten für den Datenschutz in Rheinland-Pfalz, sagte auf dem „Datenschutzforum“, dass es zunächst gut sei, überhaupt ein Gesetz zu haben. Dies dürfe aber nicht von den vielen negativen Punkten in dem Entwurf ablenken. Er empfahl allen, die Probleme mit dem Datenschutz in ihrem Konzern haben, sich direkt an die Aufsichtsbehörden zu wenden – diese seien heute viel besser ausgestattet als noch vor fünf Jahren und könnten somit allen Beschwerden nachgehen.

Weitere Informationen zum Thema:

AfA
DATENSCHUTZ FORUM 2011

[datensicherheit.de, 01.08.2011] Jeder zweite berufliche Internetnutzer verwendet das Web während der Arbeit für private Zwecke – so das Fazit einer aktuellen Umfrage im Auftrag des BITKOM:
Im Auftrag befragte das Meinungsforschungsinstitut Aris deutschlandweit 538 berufstätige Personen ab 14 Jahren – die Umfrage sei repräsentativ. Demnach machten weibliche Mitarbeiter von dieser Möglichkeit etwas häufiger Gebrauch als männliche (55 gegenüber 48 Prozent). Jede dritte Frau nutze den Webzugang ihres Arbeitgebers mindestens einmal täglich, bei den Männern sei es lediglich jeder vierte. Am häufigsten würden dabei private E-Mails gecheckt. Knapp die Hälfte derer, die das Internet am Arbeitsplatz privat nutzen, widme sich dem E-Mailing. Jeder Vierte suche Informationen für private Zwecke; jeweils ein Fünftel kaufe online ein oder führe Buchungen durch; jeder Achte besuche Online-Communitys, acht Prozent spielten Online-Spiele.
Ob die private Internet-Nutzung am Arbeitsplatz erlaubt ist, regelt in Deutschland kein spezielles Gesetz. Die meisten der BITKOM-Tipps zum Thema leiten sich aus allgemeinen Gesetzen und der Rechtsprechung ab.
So entscheidet über die private Nutzung des Internets allein der Arbeitgeber – er ist nicht verpflichtet, das private Surfen zuzulassen. Entscheidet er sich dafür, kann er es generell erlauben oder auf bestimmte Zeiten oder Seiten begrenzen.
Ohne konkrete Vereinbarung spricht Vieles dafür, dass die private Internetnutzung vom Arbeitgeber geduldet wird, wodurch eine betriebliche Übung begründet werden könnte – dies kann für Arbeitnehmer von Vorteil sein, falls es zum Streit kommt.
Arbeitnehmer sollten trotzdem in der Personalabteilung nach geltenden Regelungen fragen. Arbeitgebern rät der BITKOM, eine klare Regelung zum privaten Surfen zu treffen – durch eine Vereinbarung im Arbeitsvertrag, eine Richtlinie oder eine Vereinbarung mit dem Betriebsrat.
Ist die private Internet-Nutzung erlaubt, darf die Firma das Surfverhalten nur in Ausnahmefällen ohne Zustimmung des Mitarbeiters kontrollieren. Selbst bei einem Verbot der privaten Nutzung sind keine unbegrenzten Kontrollen gestattet. Der Arbeitgeber darf dann stichprobenartig prüfen, ob das Surfen dienstlich bedingt ist. Er muss den Grundsatz der Verhältnismäßigkeit beachten und darf Internet- und E-Mail-Verbindungsdaten nicht verwenden, um Mitarbeiter systematisch zu kontrollieren. Eine Vorratsdatenspeicherung von persönlichen Nutzungsdaten ist innerhalb von Firmen nicht erlaubt.
Die intensive private Nutzung des Internets während der Arbeitszeit ohne Erlaubnis kann eine Verletzung der arbeitsvertraglichen Pflichten darstellen. Doch vor einer Kündigung muss der Arbeitgeber einen Mitarbeiter in der Regel zunächst einmal abmahnen.

[datensicherheit.de, 25.04.2009] Peter Schaar, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, erklärte in einer Pressemittleitung hierzu: Das Gendiagnostikgesetz ist ein wichtiger Beitrag zu einem umfassenden Schutz höchstpersönlicher und sehr sensibler Informationen. Hervorzuheben ist insbesondere das grundsätzliche Verbot für Arbeitgeber und Versicherungen, genetische Informationen von Bewerberinnen und Bewerbern zu verlangen. Das Gesetz trifft Regelungen für wichtige Anwendungsfelder der Humangenetik, in denen die informationelle Selbstbestimmung ohne klare gesetzliche Schutznormen zunehmend in Gefahr gerät.
Genetische Daten seien aus datenschutzrechtlicher Sicht höchst sensibel, da sie mit fortschreitender Analysetechnik immer umfassender Prognoseinformationen böten. Immer wichtiger sei die lückenlose Regelung des selbstbestimmten Umganges mit den eigenen genetischen Informationen. Angesichts der sprunghaft wachsenden Erkenntnismöglichkeiten der Humangenetik sei in dieser Frage ein besonderer Schutzstandard erforderlich, um die Persönlichkeitsrechte der Bürgerinnen und Bürger effektiv und umfassend zu schützen.
Aus seiner Sicht gäbe es aber durchaus noch Regelungsbedarf beim Umgang der Forschung mit genetischen Informationen, um das normative Schutzprofil zu vervollständigen. Diese Lücke solle in der nächsten Legislaturperiode geschlossen werden.