DATENSCHUTZ Virtuelle Spürhunde
Der schwedische Bestsellerautor Stieg Larsson hat die Heldin seiner Krimi-Trilogie mit einer bemerkenswerten Fähigkeit ausgestattet: Lisbeth Salander ist sozial zwar schwer gestört, aber eine geniale Hackerin. So gelangt sie an Kontendaten, geheime Ermittlungsberichte und E-Mails ihrer Zielpersonen. Fiktionale Übertreibungen, mag man meinen. Doch das wahre Leben hat die Thriller und ihre weibliche Hauptfigur bereits eingeholt.
Mit Hilfe raffinierter Schnüffel-Software können Konzerne jederzeit die Rechner ihrer Belegschaft ausforschen. Das US-Unternehmen Honeywell zum Beispiel, mit weltweit rund 130 000 Mitarbeitern und mehr als 36 Milliarden Dollar Umsatz einer der größten Technologiekonzerne der Welt. Honeywell entwickelt Triebwerke, Turbolader, chemische Produkte - aber offenbar auch eine große Neugier, was die Aktivitäten der eigenen Belegschaft betrifft.
Internen Unterlagen zufolge wurde auf nahezu allen Computern der Firma, darunter auch denen der rund 6000 deutschen Mitarbeiter, die Software EnCase installiert. Das Programm wird auch von deutschen Sicherheitsbehörden genutzt, etwa um gelöschte Dateien auf einer Festplatte wieder sichtbar zu machen.
Dass Honeywell sich eines solchen Programms bedient, zeigt, dass Firmen auf der Suche nach schwarzen Schafen bisweilen ihre ganze Belegschaft unter Generalverdacht stellen. Man hat bei Lenin gelernt: Vertrauen ist gut, Kontrolle ist besser.
EnCase kann laut Angaben seiner Herstellerfirma, Guidance Software im kalifornischen Pasadena, nicht nur in kürzester Zeit die komplette Festplatte des angezapften Rechners kopieren und als Beweismittel sichern. Das Programm analysiert E-Mails, erstellt Protokolle, auf welchen Internet-Seiten gesurft wurde, auch wenn die Daten gelöscht wurden. Selbst überschriebene Festplatten können so großteils wiederhergestellt werden. EnCase ist so gut, dass auch das amerikanische FBI und Fahnder von Scotland Yard es einsetzen.
Erfahren haben die deutschen Honeywell-Mitarbeiter von der Schnüffel-Software auf ihren Rechnern eher durch Zufall. Ein externer EDV-Dienstleister machte den Betriebsrat auf die virtuellen Spürhunde in den Rechnern aufmerksam.
Seither versuchen die Arbeitnehmervertreter, die Anwendung von EnCase zumindest in Deutschland zu verhindern und das Programm wieder von den Rechnern nehmen zu lassen, weil es aus ihrer Sicht »in unzulässiger Weise in die Persönlichkeitsrechte der Arbeitnehmer eingreift«, wie es in einem internen Papier heißt.
»Die Software eröffnet der Firmenleitung in den USA Möglichkeiten, von denen Bundesinnenminister Wolfgang Schäuble nur träumen kann«, klagt ein Betriebsrat mit Blick auf die Berliner Initiativen zur Online-Durchsuchung.
Der Ausgeschnüffelte merke nicht einmal, dass »von außen auf seinen PC oder Laptop zugegriffen wird«. Die Operation geschieht vom Sicherheitscenter des Konzerns in den USA aus. Von dort können die schlafenden Spione auf den Festplatten in Gang gesetzt werden, um verdeckt Beweise zu sammeln - für was auch immer.
Juristen halten Programme wie EnCase hierzulande aus Datenschutz- und Persönlichkeitsrechtsgründen für äußerst problematisch. Schon gar nicht dürfe das Programm ohne Zustimmung des Betriebsrats benutzt werden. Zudem seien die so gewonnenen Erkenntnisse vor deutschen Gerichten nicht verwertbar.
Bislang gibt es keinen Beleg, dass EnCase hierzulande schon im Einsatz war. Bei Honeywell in Schottland hat es unterdessen schon geschnüffelt. Die ertappten Mitarbeiter hatten sich indes nur unerlaubt Musikdateien aus dem Internet geladen.
Doch trotz aller Kritik hält die deutsche Dependance des Konzerns bislang an EnCase fest. Das Programm sei dazu da, das Netzwerk vor möglichen Viren- und Trojanerangriffen zu schützen, argumentierte die Geschäftsführung. Doch die Software an sich ist gar nicht in der Lage, allein eine solche Attacke wirksam zu vereiteln.
Das Management in Offenbach ließ sich lediglich abtrotzen, dass die Software so lange nicht eingesetzt werde, wie die Mitarbeiter ihre Honeywell-E-Mail auch privat nutzen dürfen. Doch auch diese Betriebsvereinbarung wurde inzwischen gekündigt.
Auf Anfrage des SPIEGEL erklärte der Konzern, man habe EnCase in Deutschland bislang nicht aktiviert. Der Konzern werde die Software nur nutzen, um die Sicherheit seiner Informationen und die Mitarbeiter vor Bedrohungen aus dem Netz zu schützen. Auch wolle man mit dem Betriebsrat weiter verhandeln, wie künftig sowohl deren Persönlichkeitsrechte als auch die Sicherheitsinteressen der Firma gewährleistet werden könnten.
Vorher aber wird Honeywell wohl ein Fall für die Justiz. Ende März soll das Arbeitsgericht Offenbach klären, ob die Firma durch die EnCase-Installation Mitbestimmungsrechte in Deutschland verletzt hat.
Guidance Software ist sich der Problematik des eigenen Produkts offenbar bewusst. In Europa, heißt es in einem Firmenpapier, habe der Schutz von Privatsphäre und Briefgeheimnis einen hohen Stellenwert. Überwachungsaktionen müssten daher in einem angemessenen Verhältnis stehen. US-Firmen, die den EnCase-Einsatz planten, sollten sich dieser Problematik bewusst sein. JÖRG SCHMITT
