Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Diese Technik nutzt den Faktor „Mensch“, um an geschützte Daten zu gelangen. Dieser Schwachstelle sind sich die Unternehmen bewusst, entsprechend versuchen sie diese Sicherheitslücken zu schliessen. Eine Möglichkeit ist das Durchführen von Audits. Dabei werden die Mitarbeiter durch spezialisierte Dienstleister (nachfolgend auch Social Engineers) auf die Probe gestellt. Diese simulierten Angriffe werfen jedoch einige Arbeitsrechtliche Fragen auf.
Der Social Engineer nutzt in der Regel die modernen Kommunikationsmittel, um sein Opfer anzugreifen. Eine Möglichkeit besteht darin, bei der betroffenen Person im Büro anzurufen. Im Telefongespräch versucht der Engineer Hintergrundinformationen oder sogar Passwörter zu beschaffen. Er nutzt das Vertrauen der Mitarbeiter aus, indem er sich als Fachperson (System-Administrator) oder Führungsperson (CFO) ausgibt. Es gibt aber auch die Möglichkeit des direkten physischen Kontakts mit der betroffenen Person. Bei dieser Variante spricht der Angreifer das Opfer zum Beispiel im Supermarkt an. Auch hier geht es darum, das Vertrauen des Opfers zu gewinnen. Dies geschieht durch das Verwenden von Hintergrundinformationen, die entweder öffentlich zugänglich sind (Facebook, Homepage des Unternehmens, etc.) oder durch andere Angriffe gesammelt wurden. Nach dem erfolgreichen Kontakt sendet der Angreifer ein Bild an die betroffene Person. Durch den Download wird ein Keylogger installiert, mit welchem der Angreifer Zugriff auf die persönlichen Daten erhält.
Im Rahmen eines Audits werden die Mitarbeiter von geschulten Engineers im Auftrag des Arbeitgebers getestet. Es wird überprüft, ob sie Informationen am Telefon preisgeben oder auf dem Geschäftstelefon Bilder von unbekannten Dritten herunterladen. Da dies ein Eingriff in die Rechte des Arbeitnehmers darstellt, muss zuerst geprüft werden, ob diese Audits zulässig sind.
Auf der einen Seite steht der Arbeitnehmer, der bewusst unter Druck gesetzt wird und anderseits der Arbeitgeber, der seine Daten in Sicherheit wissen möchte. Der Arbeitgeber darf dem Arbeitnehmer nicht grundlos Nachteile zufügen. Er muss im Rahmen seiner so genannten Fürsorgepflicht auf die Rechte und Interessen der anderen Partei Rücksicht nehmen. Dies ist in § 241 Abs. 2 BGB festgehalten. Insbesondere dem Schutz der Persönlichkeitsrechte, als zentraler Bestandteil des Grundgesetzes (Art. 2 Abs. 1 und Art. 1 Abs. 1 GG), kommt eine wichtige Bedeutung zu, da durch den simulierten Angriff die Persönlichkeitsrechte verletzt werden könnten (z.B. durch permanente Überwachung, Bild und Tonaufnahmen). Folglich muss der Arbeitgeber auf das Persönlichkeitsrecht des Arbeitnehmers Rücksicht nehmen und einen Rechtfertigungsgrund für die Persönlichkeitsverletzung vorbringen können.
Der Eingriff in die Rechte des Arbeitnehmers können gerechtfertigt werden, durch ein überwiegendes Interesse des Arbeitgebers. Dies ist gegeben, wenn ein großes Schadenspotenzial durch Social Engineering gegeben ist. Nur durch eine realitätsnahe Simulation, können Schwachstellen effektiv erkannt werden. Die Unternehmenssicherheit vermag den Schutz der Persönlichkeit jedoch nur teilweise zu durchbrechen. Die Verhältnismäßigkeit der Audits muss intensiv geprüft werden. Das Unternehmen hat sich die Frage zu stellen, mit welchem Mittel das beste Ergebnis erzielt werden kann und der Arbeitnehmer am wenigsten belastet wird. Weiter kann festgehalten werden, dass der simulierte Angriff sich auf die Arbeitsbereiche sowie den Arbeitsplatz beschränken muss. Dies führt jedoch zwangsläufig zu einer weniger realitätsnahen Simulation.
Der Arbeitgeber hat grundsätzlich ein Interesse daran, möglichst viele Daten aus dem Audit herauszuziehen, um interne Prozesse zu verbessern, aber auch zu Weiterbildungszwecken innerhalb der Organisation. Vorteilhaft wären Ton-, Bild und Audioaufnahmen. Wie oben beschrieben, ist dies jedoch ein Eingriff in die Persönlichkeitsrechte des Arbeitnehmers. Eine nachträgliche Anonymisierung durch den Dienstleister rechtfertigt die Verletzung nicht, da bereits das Auswerten den Tatbestand der Persönlichkeitsverletzung erfüllt. Eine Möglichkeit wäre die automatische Anonymisierung während der Aufzeichnung. Der Dritte dürfte außerdem keinen Zugang zu den Originalaufnahmen (den nicht-verpixelten Bildern) haben. Gibt der Social Engineer Bilder weiter, welche den Arbeitnehmer erkennen lassen, so wird der Dienstleister gegen §§ 20 ff. KunstUrhG verstoßen. Nur die vorherige Einwilligung der betroffenen Person könnte die Weitergabe rechtfertigen. Bei einem simulierten Angriff wird diese aber kaum vorliegen. Sofern zusätzlich noch Audioaufnahmen angefertigt wurden, werden noch höhere Anforderungen an die Anonymisierung gestellt. Auch kann sich der Social Engineer nach dem Tatbestand von § 201 Abs. 1 Nr. 1 StGB strafbar machen. Hier wird das vertraulich gesprochene Wort als Teil des Persönlichkeitsrechts geschützt. In diesem Fall wäre unter Umständen auch das Unternehmen strafbar, sofern sie den Auftrag für die Aufnahmen gegeben hat (§ 26 StGB). Zur Vermeidung dieser Risiken, kann der Social Engineer ein Gedächtnisprotokoll anfertigen. Dies kann anonym dem Arbeitgeber weitergegeben werden.
Als erste Kontrollinstanz im Unternehmen, muss der Betriebsrat in die Audits miteinbezogen werden. Er hat zu prüfen, ob die gesetzlichen Bestimmungen zugunsten der Arbeitnehmer im Betrieb eingehalten werden (§ 80 Abs. 1 BetrVG). Damit diese Aufgabe wahrgenommen werden kann, muss er rechtzeitig vom Arbeitgeber über das Audit informiert werden (§ 80 Abs. 2 BetrVG). Da es sich um sensible Daten handelt, können diese Informationen auch mündlich oder in gekürzter Form dem Betriebsrat vorgelegt werden, sofern dies zur Erfüllung der gesetzlichen Bestimmung ausreicht. Weiter hat der Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Nutzung technischer Einrichtungen, welche vom Dienstleister eingesetzt werden. Dies ist in § 87 Abs. 1 Nr. 6 BetrVG ersichtlich. Es spielt keine Rolle, wie diese Geräte genutzt und die daraus gewonnen Daten verwendet werden. Entscheidend ist nur, ob der Dienstleister technische Überwachungsmöglichkeiten nutzt. Sofern nur Gedächtnisprotokolle eingesetzt werden, hat der Betriebsrat kein Mitspracherecht, da dies nicht von § 87 Abs. 1 Nr. 6 BetrVG erfasst wird.
Abschließend lässt sich sagen, das Social Engineering Audits zulässig sind. Das Unternehmen hat aber die Verhältnismäßigkeit und Mitbestimmungsrechte des Betriebsrats zu wahren. Ein simulierter Angriff auf die höheren Kader oder Arbeitnehmer mit Zugriff auf sensitive Daten ist in einer anderen Relation zu sehen, als ein Social Engineering Audit bei einem Verkäufer im Supermarkt. Außerdem muss dem Dienstleister klar sein, auf welchen Unternehmensbereich sich der simulierte Angriff beschränkt. Im Umgang mit Video- und Tonaufnahmen sind klare Absprachen zu treffen und das Mitspracherechts des Betriebsrates muss eingehalten werden. Eine nicht-anonymisierte Auswertung durch den Social Engineer ist grundsätzlich nicht erlaubt. Weiter sollte von Tonaufnahmen abgesehen werden, da die Anforderungen an die Verwendung sehr hoch sind und ein Strafbarkeitsrisiko besteht, falls diese nicht eingehalten werden.
Quellen:
- Jörn Kuhn/Dr. Alexander Willemsen, Arbeitsrechtliche Aspekte von Social Engineering Audits, DB, 2016, 111 ff.
- Leitfaden Social Engineering, DATEV und Deutschland sicher im Netz e.
- Melde- und Analysestelle, Bundesverwaltung der Schweizer Eidgenossenschaft