MITARBEITER-AUSSPÄHUNG IN SOZIALEN NETZWERKEN

13.07.2016

ProSecurity macht die Probe aufs Exempel bei einer deutschen Fluglinie. Der im US-Bundesstaat Massachusetts ansässige Rüstungs- und Elektronikkonzern Raytheon hat, wie der in London erscheinende „Guardian“ berichtete, eine Software entwickelt, die zur Durchleuchtung von Internet-Nutzern dienen soll, indem Daten der Nutzer von Facebook, Twitter und Foursquare zusammengeführt und ausgewertet werden.

Foursquare ist ein standortbezogenes soziales Netzwerk, das hauptsächlich durch Software für Mobiltelefone und Smartphones funktioniert. Der Dienst nutzt dabei die GPS-Fähigkeit der Geräte, um den aktuellen Standort der Benutzer festzustellen. Sinn und Zweck dieses Programms soll es sein, dem Nutzer beispielsweise die nächstgelegene Apotheke oder ein naheliegendes Restaurant zu vermitteln. Diese Datenflut und -sammelwut schafft weitreichende Erkenntnisse über das Verhalten von Menschen – das weckt Begehrlichkeiten!

Durch „Riot“ – Rapid Information Overlay Technology, so heißt die Suchmaschine von Raytheon – soll über die Social-Media-Daten ermittelt werden, ob jemand ein Risiko für die nationale Sicherheit darstellt. Der Guardianzeigt in einem Firmenvideo von Raytheon, wie der Konzern an einem Mitarbeiter die Fähigkeiten von „Riot“ demonstriert. Aus dessen Foursquare-Check-ins wird eine Grafik der zehn Orte erstellt, an denen er sich am häufigsten eincheckt – und schnell lässt sich erkennen, dass er meist montags um sechs Uhr im Fitnessstudio ist. Wer ihn oder seinen Laptop also mal erwischen wolle, könne dann ja dort vorbeischauen, so der „principal investigator“ von Raytheon, Brian Urch.

Beachtliche Mitarbeiterlisten bei Xing

Was hier unter dem Signum der nationalen Sicherheit präsentiert wird, kann auch im Wirtschaftsleben eine bedeutende Rolle erlangen. ProSecurity hat sich – lediglich exemplarisch – auf Suche nach Schwachstellen ergeben, die sich in Sozialen Netzwerke auch ohne hoch komplizierte Technik aufspüren lassen.

Unser Ziel: Wie leicht (oder schwer) ist es, ins Gefüge eines großen deutschen Airliners einzudringen, der per Definition zu den „Kritischen Infrastrukturen“ gerechnet werden muss. Wir loggen uns bei „Xing“ (Slogan: „Für Privates gibt’s Facebook, für Berufliches gibt’s Xing!“) ein und interessieren uns für die Luftfahrtgesellschaft. Wir erfahren, dass über 5.400 Mitarbeiter des in Sicherheitsfragen eigentlich weit oben angesiedelten Unternehmens als Mitglieder von „Xing“ registriert sind. Das macht neugierig. Was lässt sich alles über die Airline herausfinden, wo gäbe es die Möglichkeit, näher an Beschäftigte des Unternehmens heranzukommen. Über 3.000 der bei Xing registrierten Mitarbeiter der Luftfahrtgesellschaft sind bereits mehr als fünf Jahre im Unternehmen, da sind gewiss genügend Leute darunter, die es anzubaggern lohnen könnte. Der Name des Unternehmens ins Suchfeld eingegeben, blättern sich die Xing-Seiten auf.

Handy-Nummer, E-Mail-Adresse – alles kein Problem

Als einfaches Xing-Mitglied können wir jedoch nur die ersten 15 Eintragungen ansehen. Wir lassen es dabei bewenden und greifen uns einen „Senior First Officer B747“ heraus, er heißt Fabien de Lopez (Name von der Redaktion geändert). Er bietet: „Luftfahrt, digitale Kassenbon Lösung, www.e-Bon.de, eMail Marketing“. Und sucht: „Kontakte und Austausch, Luftfahrt, eMail Marketing, Kommentare und Feedback zu e-Bon (www.e-bon.de), Kassensysteme, POS Marketing, IT-Developer“. Er ist – das lässt sich aus den von ihm ins Netz gestellten Daten seiner Karriere entnehmen – mindestens seit 1999 bei der Fluggesellschaft angestellt.

Um mehr über ihn zu erfahren, wechseln wir zu Facebook. Zumindest erfahren wir dort (ohne registriert zu sein), dass er als Fußballfan für den 1. FC St. Pauli schwärmt. Das zu wissen, kann sicher mal nützlich sein. Über das Portal de-fb.net erfahren wir, dass sein Log-in bei Facebook „fabien.lopez28“ lautet. Bei weiteren Recherchen in Internet stoßen wir auf eine Hamburger Firma, bei der Herr de Lopez einer der beiden Gesellschafter ist. Über www.klicktel.de lässt sich dann noch mal schnell herausfinden, dass er in Reinbek wohnt, die Straße nebst Hausnummer ist ebenso eingetragen wie die Mobiltelefonnummer. Zwar verfügt er über eine Website, über die man nur mittels Registrierung Zugang erhält. Aber das stört uns nicht. Über das Portal www.whoisentry.com erhalten wir dann doch noch Details, unter anderem seine E-Mail-Adresse.

Firmenreputation zur Eigenwerbung

Da haben wir uns also einen Beschäftigten eines großen Luftfahrtunternehmens in zehn Minuten schon ein wenig genauer durchleuchtet. Und Ansatzpunkte gefunden, die es nicht schwermachen dürften, im Bedarfsfall einen Kontakt aufzubauen. Hier muss betont werden, dass mit Fabien de Lopez ein völlig willkürliches Beispiel herausgegriffen wurde.

Worin lag nun der Knackpunkt? Der ist in der (sicher verständlichen) Eitelkeit des Mitarbeiters zu suchen, mit der Reputation seines Unternehmens punkten zu können. Und wie die Gesamtstatistik zeigt, wollen über 5.400 Beschäftigte, etwa fünf Prozent der Mitarbeiter des Unternehmens, dasselbe. Wie auf einem Präsentierteller liegen also die möglichen Kontaktpartner vor uns.

Auch „Kleinigkeiten“ zählen

Der Einwand, dass eine solche Einzelperson – oft nur mit sehr partikularem Einblicken ausgestattet – doch herzlich wenig über einen Konzern verraten könne, geht an der Realität vorbei. Wirkliche Ausspähung eines Betriebes oder einer Institution funktioniert in den seltensten Fällen mit einem „großen Schlag“.

Rudolf Neumüller, Experte für Wirtschaftsspionage bei der Handelskammer Hamburg, verwies Anfang des Jahres in einem Interview darauf, welche scheinbaren Details für ein Unternehmen schädlich sein können. Neumüller: „Werden Gehaltsinterna verraten, ist die Firma anfälliger für die Abwerbung von Mitarbeitern. Gelangen geheime Bilanzkennzahlen in falsche Hände, kann das Unternehmen zum Übernahmeziel werden. Insgesamt gilt: Spionage kann die Marktposition schwächen und zum Verlust von Marktanteilen führen.“ Oft ist es also „nur“ ein Aspekt aus dem Alltag einer so genannten Zielperson, der für den Spion von Interesse ist.

Social Media als Plattform für betriebliche Konflikte

Und Neumüller bestätigt auch, wie sehr die von ProSecurity beispielhaft erprobte Ausspähung eines Mitarbeiters auf eine Achillesferse des Sicherheitssystems verweist. Die Gefährdung kann auch von einem inländischen Mitbewerber ausgehen: „Hier besteht eher das Risiko eines Geheimnisverrats, etwa wenn Fachpersonal den Arbeitgeber wechselt und Know-how weitergibt. Viele Mittelständler haben die Wettbewerbsklauseln in ihren Arbeitsverträgen zu nachlässig formuliert. Das wichtigste Motiv für Geheimnisverrat ist Gier, und an zweiter Stelle stehen Frustration und das Geltungsbedürfnis Einzelner. Beides wird verstärkt, wenn der Mitarbeiter von außen gezielt angesprochen wird, etwa nach einer Recherche in den sozialen Netzwerken im Internet.“

Besonders heikel wird der Internet-Exhibitionismus, wenn dort ein Mitarbeiter ganz offen seine Animositäten gegen Firma oder Chef austrägt. Das gibt zwar dem Unternehmen die Möglichkeit, sofortige arbeitsrechtliche Schritte einzuleiten, zeigt aber möglichen Spähern sofort eine Schwachstelle auf, über die gegebenenfalls an Firmeninterna zu gelangen ist.

Unternehmensnamen für private Zwecke sperren?

Die Entlassung eines Auszubildenden für Mediengestaltung, der bei Facebook über seinen Chef geschimpft hatte, ist vom Landesarbeitsgericht Hamm für rechtens erklärt worden. Das ist einem Blog der Medienrechtskanzlei Wilde Beuger Solmecke zu entnehmen. Das Urteil (Aktenzeichen 3 Sa 644/12) vom 10. Oktober 2012 wurde im Januar veröffentlicht. Der 26-jährige Auszubildende war fristlos gekündigt worden, weil er in seinem privaten Facebook-Profil unter „Arbeitgeber“ geschrieben hatte: „menschenschinder & ausbeuter“, „Leibeigener-Bochum“ und „dämliche scheisse fuer mindestlohn – 20% erledigen“.

Die Zahl der Fälle, bei denen die sozialen Medien zur Bühne betrieblicher Aversionen und Gereiztheiten werden, nehmen zu, wie der Kölner Medien- und Internetrechtler Christian Solmecke zu berichten weiß. Deshalb setzt sich in zunehmendem Maße in Unternehmen die Erkenntnis durch, Social Media kritischer als bisher unter die Lupe zu nehmen.

Das IT-Marktforschungsinstitut Gartner erwartet, dass weltweit 60 Prozent der Unternehmen bis 2015 offizielle Programme zur Überwachung von externen Social-Media-Aktivitäten implementieren werden. Die bisherigen Erfahrungen aber lassen es angeraten sein, die Benutzung des Firmennamens für persönliche Einträge in den diversen Internet-Portalen vertraglich zu untersagen.

Zurück