1. Fachzeitschrift fr Unternehmenssicherheit 77500 ISSN 1866-2420 Einzelverkaufspreis: 12,- Juli/August 4/2013 www.prosecurity.de Titelthema: Mitarbeiter- Screening Spitzengesprch: Dr. Roland Wei, R+V Im Fokus: Verkehr und Logistik

2. 2 Security insight Das schwchste Glied in der Verteidigungskette ist und bleibt der Mensch. Das wissen nicht nur Militrs und Geheimdienste, sondern auch innovative Unternehmen, die ihre Kronjuwelen schtzen mssen. Es ist somit verstnd- lich, dass die Verantwortlichen im Unternehmen ihre Mitarbeiter kennen wol- len schlielich binden sie sich an sie und diese erhalten ja auch Zugang zu wichtigen und erfolgsrelevanten Interna: Drum prfe, wer sich ewig bindet! Auch wenn die Bindung nicht ewig whrt in unserer globalisierten Welt mit ihren dezentralen und mobilen Medien ist die Prfung wichtiger denn je. Fr alle Unternehmen. Mitarbeiter-Screening, Mitarbeiter- berwachung, Background-Check umstrittene Schlagwrter. Wie viele Daten und Informationen darf und sollte ein Unternehmen ber seine Mitarbeiter erheben und speichern? Was ist mit per- snlichen Informationen, die Mitarbeiter in sozialen Netzwerken wie Facebook, Xing oder LinkedIn freiwillig verffentli- chen? Fr Unternehmen entstehen viele Fragen zu diesem Thema, aber auch viele Mglichkeiten, sich zu informieren oder in Fallen zu tappen. Ist es richtig, von vornherein misstrauisch zu sein sowie gegenwrtigen wie knftigen Ange- stellten Fehlverhalten zu unterstellen? Nein, das wre kein guter Start fr eine langfristige und vertrauensvolle Zusam- menarbeit. Und der Generalverdacht ist in Deutschland ohnehin verboten aus guten Grnden! Negativbeispiel Der Umgang mit personenbezogenen Daten ist durch das Bundesdatenschutz- gesetz (BDSG) geregelt. Nach 4 Abs. 1 ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur Drum prfe, wer sich ewig bindet Das Screening von Mitarbeitern ist immer ein Spagat doch mit Rechtssicherheit, Sensibilisierung und einer soliden Vertrauensbasis lsst er sich bewltigen Von Udo Hohlfeld Sonderverffentlichung 3. 4/2013 3 Titelthema: Mitarbeiter-Screening dann zulssig, wenn das BDSG oder andere Rechtsvorschriften dies erlauben oder anordnen oder betroffene Personen darin eingewilligt haben. Ein bekanntes Negativbeispiel ist die Rasterfahndung der Deutschen Bahn AG unter ihren Angestellten: Von 2002 bis 2005 hat der Konzern ohne konkreten Anlass heimlich Daten vieler Mitarbei- ter sowie ihrer Angehrigen mit Daten von Lieferanten abgeglichen. Angeblich zum Zweck der Korruptionsbekmp- fung. Es wurde weiterhin eine professi- onelle Detektei beauftragt, Kontodaten von Angestellten zu identifizieren. Die Bahn hat diese Daten ber Jahre hin- weg gespeichert. Mitunter wurden sogar Kontoinformationen ber Familienange- hrige erhoben und in den Auswertun- gen mitverwendet. 2009 dann akzeptierte die Deutsche Bahn ein Rekordbugeld von rund 1,12 Millionen Euro, womit all ihre aufgedeckten Datenschutzverst- e geahndet wurden. Was hat es dem Unternehmen letztlich gebracht auer Imageschaden und dem Vertrauensver- lust der Mitarbeiter? Persnlich kenne ich den Background- Check aus der akademischen Welt. Fr die Zulassung zu meinem Studium an der American Military University muss- te ich in einen Background-Check ein- willigen. Polizeiliches Fhrungszeugnis, zwei Referenzen (zwecks Charakterpr- fung meiner Person) das waren die Bestandteile; wahrscheinlich wurde ich noch mit einer Liste von Terrorismusver- dchtigen oder gesuchten Kriminellen abgeglichen. Da ich kurz vor Beendigung meines Studiums (Master of Strategic Intelligence) stand, ist damals wohl alles glatt gelaufen. In Zeiten von Tempora und Prism scheint mir dieses Vorge- hen eher als unntige Brokratie und ein Relikt der alten Zeit. Stichwort Terrorismus: Es ist in der internationalen Unternehmenswelt bereits gngige Praxis, Mitarbeiterna- men mit Namenslisten abzugleichen, die terrorismusverdchtige Personen und Organisationen erfassen. Auch hier gibt es Regeln, und es gilt wieder 4 Abs. 1 BDSG. Zumal es klar sein sollte, dass ein Abgleich mit diesen Listen sicherlich nicht dem Arbeitsverhltnis dienlich ist. Bei der Abwgung von Unternehmens- gegen Mitarbeiterinteressen stehen immer die schutzwrdigen Interessen des betroffenen Mitarbeiters im Vorder- grund. Solche Listen und ihr Ursprung basieren nicht immer auf gesetzeskon- formen Kriterien, vor allem, wenn sie im Ausland erstellt wurden. Von Musen und anderen Schwachstellen Horst K., ein fiktiver Angestellter der fik- tiven Firma Hochsicherheitstechnologie GmbH, ist ein zuverlssiger und wertvol- ler Mitarbeiter. Er arbeitet in der Entwick- lungsabteilung, schon seit zehn Jahren. K. hat einen USB-Stick voll mit Informa- tionen ber die neue Produktentwick- lung an einen asiatischen Konkurrenten verkauft. Warum? Er hat ein krankes Kind, und die Arztkosten verschlingen Unsummen. K. wollte nur, dass sein Kind endlich wieder gesund wird. MICE ist ein Akronym und steht fr die englischsprachigen Begriffe Money (Geld), Ideology (politische berzeugung), Compromise (Kompromittierung) und Ego vier Beweggrnde, warum Mitarbeiter ihren Arbeitgeber schdigen. Manche bentigen viel Geld fr ihren Lebensstil oder, wie Horst K., fr finanzielle Ext- remsituationen. Andere wiederum sind berzeugungstter, die einer bestimmten Ideologie nahestehen und diese bestmg- lich untersttzen mchten. Es gibt auch Mitarbeiter, die bewusst in dokumentierte, kompromittierende Situationen gebracht und damit erpresst werden (siehe Titel- thema Sex & Security in SI 2/13). Ande- re Mitarbeiter leiden unter einem verletz- ten Ego sie wurden bei der Befrderung bergangen, vor Kollegen blogestellt oder ungerecht behandelt. Rache ist ihre Medizin, um das verletzte Ego wieder auf- zubauen. Wer erinnert sich nicht an den Ferrari-Mitarbeiter Nigel Stepney, der nach einer Reorganisation des Formel- 1-Teams zum Alteisen aussortiert wurde und sich mit dem Verrat von Konstrukti- onsdaten ans McLaren-Mercedes-Team dafr bedankte? Doch mal direkt gefragt: Welcher der vier MICE-Typen kann berhaupt frhzeitig per Background-Check identifiziert wer- den? Was ist eigentlich Sinn und Zweck von Mitarbeiter-Screening oder generell der berwachung von Mitarbeitern am Arbeitsplatz? Vordergrndig wird wohl jeder besttigen, dass es um Sicherheit fr das Unternehmen geht. Bei genau- erer Betrachtung jedoch ergibt sich ein anderes Bild: Misstrauen und Unsicher- heit auf Seiten des Unternehmens, das seine Wettbewerbsfhigkeit gefhrdet sieht. In der Tat gibt es vermehrt Berichte ber Mitarbeiter, die ihren Arbeitgeber geschdigt haben und noch mehr Vorfl- le, die sicher nie ffentlich werden. Der Terminus Vorflle umfasst dabei alles, was einem Unternehmen schadet: vom einfachen Diebstahl ber Unter- schlagung bis hin zu Geheimnisverrat und Spionage. Der 2013 Data Breach Investigations Report (www.verizonen- terprise.com/DBIR/2013) zeigt, dass 14 Prozent der untersuchten Vorflle von Mitarbeitern begangen wurden vor allem aus finanziellen Beweggrnden. SI-Autor Udo Hohlfeld ist Competitive Intelligence und Counterintelligence Specialist und Geschftsfhrer der Info + Daten GmbH & Co. KG (www.infoplusdaten.net). Das Unternehmen hat sich darauf spezialisiert, fr seine Kunden strategische Erkenntnisse ber Wettbewerber, Produkte und Mrkte zu beschaffen und gleichzeitig sich selbst zu schtzen. 4. 4 Titelthema: Mitarbeiter-Screening Security insight Geschftspartner waren fr lediglich ein Prozent der Vorflle verantwort- lich. Die restlichen Vorflle gehen aufs Konto externer Akteure oder einem Mix interner und externer Akteure. Zur Rettung des Rufs der Mitarbeiter muss darauf hingewiesen werden, dass die Taten nicht immer vorstzlich begangen wurden. Falsch konfigurierte Systeme, Nachlssigkeit bei der Arbeit oder laxe Unternehmensregeln fr den Umgang mit sensiblen Daten verursachen ebenso Schaden und sind in dem 14-Prozent- Wert enthalten. Drei Beziehungsphasen Knackpunkte sind die unterschiedlichen Interessenslagen. Auf der einen Seite muss sich ein Unternehmen schtzen. Auf der anderen Seite steht der Ange- stellte, der seine Privatsphre und Inte- gritt schtzen mchte. Die Beziehung zwischen Unternehmen und ihren Mit- arbeitern kann in drei Phasen unterteilt werden. Phase 1 umfasst Bewerbung und Anstellung, Phase 2 entspricht dem eigentlichen Beschftigungsverhltnis, und Phase 3 schlielich beginnt mit der Beendigung des Beschftigungsverhlt- nisses. Phase 1 Unternehmen sollten grundstzlich die Angaben von Bewerbern berprfen. In sexuelle Vorlieben, Krankheitsdiagno- sen oder ethnische Herkunft speichern oder gar verwenden. Arbeitsausfallzei- ten drfen aus der Gehaltsabrechnung berechnet werden, aber nur im Einzel- fall und nicht, um mehrere Mitarbeiter miteinander zu vergleichen. Berufliche E-Mails drfen zur berprfung der Arbeit verwendet werden. Dafr drfen Programme eingesetzt werden, die den Inhalt auf Schlagworte wie Porno, Sex usw. berprfen, um Missbrauch zu erkennen. Telefonate drfen grund- stzlich nicht mitgehrt oder aufge- zeichnet werden. Wichtig ist hier, was zwischen Unterneh- men und Mitarbeiter im Arbeitsvertrag vereinbart wird, gerade in Bezug auf die Internetnutzung, private E-Mails und Telefonate. hnlich strikt ist der Umgang mit der Videoberwachung. Lidl und Schlecker kennen sich da bestens aus. Die Nutzung von Kameras in Sozialru- men, Umkleiderumen oder Toiletten ist verboten. Die offene Videoberwachung wiederum ist erlaubt wenn die Mit- arbeiter darber vorab informiert wur- den. Die offene Videoberwachung von Verkaufs- und Ausstellungsflchen ist ebenso erlaubt und muss von Mitarbei- tern akzeptiert werden. Erst bei einem konkreten Anlass etwa signifikante Pflichtverletzungen oder sogar Strafta- ten ist der automatische Abgleich von Mitarbeiterdaten in anonymisierter Form erlaubt. Dessen Resultate drfen bei Ver- dacht dann auch einzelnen Mitarbeitern zugeordnet werden. Phase 3 Wenn das Beschftigungsverhltnis beendet wird, mssen viele Mitarbeiter- daten vernichtet werden, es sei denn, sie werden fr Unternehmensprfungen bentigt und ihre Speicherung ist gesetz- lich vorgeschrieben. Oft ist es auch so, dass Mitarbeiter Daten mitnehmen, sei es um sich bei ihrem neuen Arbeitgeber Vorteile zu verschaffen, sei es um sich einfach fr etwas zu rchen. Unterneh- men haben es in diesen Fllen in der Lebenslufen wird oft geschnt oder glatt gelogen. Diese berprfung ist aber nur mglich, wenn der Bewerber dazu sein schriftliches Einverstndnis gibt. Hier fin- det direkt die Trennung der Spreu vom Weizen statt. Es ist klar, dass nicht nur der seine Bewerbung zurckzieht, dem die berprfung schaden wrde, son- dern auch der, dem diese Praxis seines potenziellen Arbeitgebers nicht zusagt. Auch darf ein (potenzieller) Arbeitgeber im Internet ber einen Bewerber oder Mitarbeiter recherchieren. Einschrn- kung ist, dass diese Recherche relevant sein muss fr die Entscheidung ber Ein- stellung oder Versetzung auf eine ande- re (sicherheitsrelevante) Stelle. Selbst- verstndlich darf berprft werden, ob Angaben aus dem Lebenslauf stimmen. Eindeutig verboten ist, in sozialen Netz- werken unter falschen Angaben Kontakt zum Bewerber oder Mitarbeiter herzu- stellen, um an weitere persnliche Daten zu gelangen. Phase 2 In dieser Phase werden mitarbeiter- bezogene Daten gespeichert: fr die Gehaltsabrechnung, den Austausch mit der Krankenkasse oder dem Finanzamt oder die interne Karriereplanung. Ein Arbeitgeber darf aber auf keinen Fall Daten ber die politische Einstellung, die Zugehrigkeit zu Organisationen, Schwachstelle Signifikanz Mitarbeiter persnliche, finanzielle Situation hoch verletztes Ego hoch Erpressung mittel Social Engineering hoch fehlende Sensibilisierung fr Unternehmenssicherheit hoch Unternehmen fehlende Sicherheitsrichtlinien mittel falsch konfigurierte Systeme hoch fehlende/mangelhafte Mitarbeiterschulung hoch unzureichende technische Schutzmanahmen hoch Mgliche Schwachstellen eines Unternehmens 5. 4/2013 5 Titelthema: Mitarbeiter-Screening Hand, dem Fehlverhalten durch technische Restriktionen und vorbeugendes Handeln frhzeitig einen Riegel vorzuschieben. Empfehlungen Es braucht definitiv Rechtssicherheit fr Unternehmen und Mit- arbeiter fr den Umgang mit den Beschftigtendaten sowie der fallbezogenen berwachung. Mitarbeitern muss klar gemacht werden, dass sie Pflichten gegenber ihrem Arbeitgeber haben. Diese Gesetze und Regeln greifen natrlich nur, wenn das Kind schon in den Brunnen gefallen ist. Unabhngig davon braucht es eine Vertrauensbasis zwischen Unternehmen und Beschf- tigten, gegenseitige Frsorge und Respekt sowie mavolle berwachung nicht aus Angst und Misstrauen, sondern zum Schutz aller Beteiligten. Im Sinne eines guten Betriebsklimas ist sicherlich nicht jede berwachungsmanahme und jedes Screening sinnvoll. Fr die Vorbeugung von Schaden ist es wichtig, die Mitarbeiter zu sensibilisieren und aktiv einzubinden. Unternehmen und Mitarbeiter ziehen letztlich an einem Strang fr den gemeinsamen Erfolg. Zu den Grundlagen dafr gehren neben einer fairen, ver- trauensvollen Unternehmenskultur auch die Aufklrung der Mitarbeiter ber Kontrollen und punktuelle berwachungsma- nahmen, die Schulung der Mitarbeiter im Umgang mit sensiblen Daten, Umsetzung sicherer Prozesse und technischer Manah- men fr Informations- und Datensicherheit und last but not least funktionierende, sichere Systeme. Wichtig ist auch, dass es fr Mitarbeiter, die in Problemen stecken welcher Art auch immer, siehe MICE , betriebliche Ansprechstellen gibt, die helfen dr- fen und knnen. Mitarbeiter sollten offen sein fr das Sicherheitsbedrfnis ihres Arbeitgebers und im Zweifel nachfragen, damit keine Unsicher- heit oder Missverstndnisse entstehen. Wenn sie mit Problemen kmpfen, sollten sie vertrauensvoll Hilfsangebote des Unterneh- mens nutzen. Schulungsangebote des Arbeitgebers sind Pflicht- programm, ebenso das Melden von Verdachtsmomenten. Das hrt sich idealistischer an, als es ist. Die Umsetzung bringt Hrden mit sich, und schwarze Schafe wird es immer geben. Doch sie sind die groe Minderheit und drfen nicht der Grund dafr sein, dass Unternehmen ihre Belegschaft unter General- verdacht stellen und mit Methoden von berwachungsstaaten ausspionieren. Motivierte Mitarbeiter sind die Erfolgsgaranten eines Unternehmens, und die sollten gepflegt und gefrdert werden Vertrauen ist hier besser als pauschale Kontrolle. Wenn Mitarbeiter private Sorgen haben, sollten Arbeitgeber helfen, so es in ihrer Macht steht. Letztlich ist dies eine Investi- tion in die Unternehmenssicherheit. Bei aller Vorsicht gegenber Mitarbeitern sollte man nicht ver- gessen: Es sind vor allem Externe, die Unternehmen schdigen.