Die Sicherheitszertifizierung für digitale Produkte und Lösungen weist die Vertrauenswürdigkeit nach. Was beinhaltet diese Zertifizierung und wie garantiert sie ein hohes Maß an Cybersicherheit?
Definition einer Sicherheitszertifizierung
Bei der Sicherheitszertifizierung für IT-Lösungen und -Softwares wird ein Produkt nach bestimmten Standards für die Cybersicherheit bewertet. Dieser Prozess ist heute ausschlaggebend. Er gewährleistet, dass Daten und Systeme trotz der zunehmenden Cyberbedrohungen geschützt sind. Die Sicherheitszertifizierung unterstützt Unternehmen auch dabei, sichere digitale Lösungen für ihre strategischen und sensiblen Anwendungen zu finden. Außerdem ermöglicht sie, die Sicherheitsniveaus der Lösungen zu harmonisieren und trägt zur Schaffung eines vertrauenswürdigen digitalen Systems bei.
Arten von Sicherheitszertifizierungen:
Produktzertifizierungen: Sie konzentrieren sich auf die Sicherheitsaspekte eines bestimmten Produkts. Durch diese Zertifizierungen wird beurteilt, ob das Produkt die erforderlichen Sicherheitsstandards erfüllt und potenziellen Cyberangriffen standhalten kann.
Systemzertifizierungen: Durch sie wird die Sicherheit eines ganzen Systems bewertet, einschließlich der Produkte, Abläufe und beteiligten Personen. Diese Art der Zertifizierung ist breiter angelegt und berücksichtigt die systemischen Aspekte der Cybersicherheit.
Es gibt verschiedene Sicherheitszertifizierungen auf internationaler und europäischer Ebene. Hier ein Überblick:
Internationale Cybersicherheitszertifizierungen
Common Criteria (CC)
Common Criteria ist der internationale Standard für die Zertifizierung von Cybersicherheit in der Informationstechnologie. Diese internationale Norm (ISO/IEC 15408) wird auch als „Common Criteria for Information Technology Security Evaluation” bezeichnet. Sie ermöglicht es, die Sicherheit von IT-Produkten durch zugelassene und unabhängige Prüfstellen nach anspruchsvollen technischen und organisatorischen Kriterien zu bewerten. Die Zertifikate werden international von den Unterzeichnern des Common Criteria Recognition Agreement (CCRA) anerkannt, zu denen in Frankreich auch die ANSSI gehört.
FIPS 140-3
Der Standard FIPS 140-3 wurde vom National Institute of Standards and Technology (NIST) in den USA ausgearbeitet. Er betrifft insbesondere die Prüfung der Sicherheit von Kryptomodulen. Diese Norm ist wichtig für Produkte, die in staatlichen und sensiblen Umgebungen eingesetzt werden. Durch sie werden unter anderem folgende Punkte analysiert:
Funktionen und Leistungen des Kryptomoduls
Interaktionen mit anderen Systemen
Verwaltung von Zugriffen und erlaubten Vorgängen
Sicherheit von Softwarekomponenten
sichere Wartung und Aktualisierungen
Maßnahmen gegen verschiedene Formen potenzieller Angriffe
Dieser Standard unterscheidet vier Stufen an Sicherheitsanforderungen (grundsätzlich bis sehr hoch), die für verschiedene IT-Anwendungen und -Umgebungen geeignet sind.
Das Zertifizierungsschema EUCC beruht auf dem internationalen Schema „Common Criteria“ für die Zertifizierung von IKT-Produkten sowie ihrer Hardware und Software (Firewalls, Systeme für Verschlüsselung und elektronische Signaturen, Router, Smartphones, Bankkarten usw.). Im Oktober 2023 veröffentlichte die Europäische Kommission einen ersten Entwurf eines Durchführungsrechtsakts für das EUCC und gab diesen zur Stellungnahme frei.
EUCS (System der Europäischen Union für die Cybersicherheitszertifizierung für Cloud-Dienste) in der Diskussion
Ähnlich wie das EUCC zielt die EUCS-Zertifizierung insbesondere darauf ab, die Sicherheit von Produkten und Dienstleistungen zu bewerten, die in der Cloud gehostet werden. Der Textvorschlag wird nun von der Europäischen Gruppe für die Cybersicherheitszertifizierung (ECCG) geprüft und soll die Sicherheit des Cloud-Computing in Europa erhöhen.
Im Rahmen der NIS2-Richtlinie und des Cyber Resilience Acts zielen diese europäischen Zertifizierungsprojekte darauf ab, das Sicherheitsniveau von IT-Lösungen zu harmonisieren.
In Frankreich: Sicherheitssiegel der ANSSI
Die von der ANSSI (französische Agentur für die Sicherheit von Informationssystemen) ausgestellte Sicherheitszertifizierung gilt in Frankreich und auch in Europa als Referenz. Sie bewertet die Widerstandsfähigkeit einer bestimmten Produktversion zu einem gegebenen Zeitpunkt. Dabei wird der Stand der Technik bei Cyberangriffen zugrunde gelegt. Um sie auszustellen, prüfen die zugelassenen Prüfstellen und Experten mehrere Sicherheitskriterien, wie:
Einhaltung der geltenden nationalen und internationalen Standards und Vorschriften für die Sicherheit von Informationssystemen (wie z. B. der Common Criteria)
Technische und organisatorische Sicherheitsmaßnahmen
Widerstandskraft gegen Angriffe, einschließlich Eindringversuchen, Hacking und Ausnutzung von Schwachstellen
Zugriffsverwaltung und Authentifizierung, um den Zugriff auf Daten und Ressourcen zu kontrollieren
Verschlüsselung und Datenschutz
Resilienz und Vorfallsmanagement
Wartungen und Sicherheitsupdates, um auf neue Bedrohungen und Schwachstellen zu reagieren
Darüber hinaus bietet die ANSSI auch eine Sicherheitsqualifikation für digitale Produkte und Dienstleistungen an, die für kritische und strategische Branchen (Betreiber wesentlicher Dienste) bestimmt sind. Diese erfüllt so spezifische regulatorische Anforderungen, wie beispielsweise das Militärprogrammierungsgesetz. Die Sicherheitsqualifikation der ANSSI bestätigt damit, dass die Lösungen den ermittelten sensiblen Bedürfnissen der Unternehmen entsprechen. Der Herausgeber muss also beweisen, dass er seine Verpflichtungen langfristig einhalten kann.
An welche Produkte richten sich die Sicherheitszertifizierungen?
In der Regel sind viele IT-Produkte und -Lösungen für eine Sicherheitszertifizierung geeignet, sobald diese Daten offenlegen und/oder sie von sensiblen Organisationen genutzt werden. Im Folgenden sind einige Produktarten aufgeführt, die von Sicherheitszertifizierungen betroffen sind:
Computerhardware: Server, Router, Firewalls, andere Netzwerkgeräte usw.
Verschlüsselungsprodukte: Verschlüsselungsmodule, Tools zur Schlüsselverwaltung usw.
Mobile Security-Lösungen: Sicherheitsanwendungen und -infrastrukturen für mobile Geräte usw.
Industrielle Steuerungssysteme (ICS) und Internet der Dinge (IoT): vernetzte Geräte in verschiedenen Industriezweigen usw.
Tixeo ist seit über 5 Jahren von der ANSSI zertifiziert und qualifiziert
Die sichere Videokonferenz-Software von Tixeo verfügt seit mehr als 5 Jahren über eine Zertifizierung und Qualifikation durch die ANSSI. Mit ihrer Ende-zu-Ende-Verschlüsselung und der On-Premise-Version bietet sie Unternehmen in kritischen Branchen absolute Vertraulichkeit für ihren Datenaustausch. Vor allem aber gewährleistet sie eine hohe betriebliche Resilienz. Durch ihre Zertifizierung und Qualifikation empfiehlt der französische Staat ihre Verwendung für sensible Anwendungsbereiche. Auch andere europäische Gütesiegel bestätigen die Sicherheit dieser Lösung.
Künstliche Intelligenz schreitet in allen Bereichen exponentiell voran und erreicht sogar die breite Öffentlichkeit. In Unternehmen nutzen die Mitarbeiter sie sogar während ihrer Online-Meetings. Was sind die Herausforderungen von KI für die Sicherheit von Videokonferenzen?
Künstliche Intelligenz hält Einzug in Ihre Online-Meetings
Virtuelle Assistenten kommunizieren an Ihrer Stelle
Einige Anbieter von Videokonferenztools bieten heute virtuelle Assistenten an, die auf generativer künstlicher Intelligenz basieren. Der in die Lösung integrierte virtuelle Assistent kann die Gespräche eines Online-Meetings transkribieren, übersetzen, untertiteln oder auch Zusammenfassungen erstellen.
Das Ziel? Eine Steigerung der Produktivität der Nutzer, indem ihnen bestimmte Aufgaben, wie beispielsweise das Protokollieren von Besprechungen, erleichtert werden. Der Mitarbeiter kann sich stärker auf den Inhalt der Gespräche konzentrieren, während ihm die KI die Aufgabe, die Gespräche zusammenzufassen, abnimmt.
Wie funktioniert das?
Für den virtuellen Assistenten einer Videokonferenz wird in der Regel das „große Sprachmodell“ (LLM) verwendet. Mit diesem Modell künstlicher Intelligenz, das einem breiten Publikum durch Chat GPT bekannt ist, können Texte kontextbezogen und fließend verstanden und generiert werden. So wird es verwendet, um Gespräche in Videokonferenzen wortgetreu zu transkribieren oder automatische Antworten zu erstellen. Sein Training basiert auf einer großen Vielfalt an Daten. Dies ermöglicht es dem Modell, menschliche Sprache sehr präzise zu verstehen und zu produzieren. Je mehr Daten dieses Modell verarbeitet, desto leistungsfähiger wird es und desto mehr neue Antworten kann es liefern.
Das Leistungsversprechen wirft Fragen auf
Im Rahmen eines Unternehmens können sich die während Videokonferenzen ausgetauschten Daten auf geistiges Eigentum beziehen oder personenbezogene Daten von Mitarbeitern enthalten. Wenn diese Daten über einen virtuellen Assistenten laufen, stellt sich die Frage nach dem Datenschutz.
Im August dieses Jahres stand der amerikanische Videokonferenzanbieter Zoom im Mittelpunkt einer Kontroverse. Der Grund dafür war ein Hinweis in seinen Nutzungsbedingungen, der als stillschweigende Erlaubnis verstanden wurde, die während der Online-Meetings ausgetauschten Inhalte zum Training seines KI-Tools zu verwenden. Dieser Fall wurde vom Anbieter selbst schnell abgeschlossen, da dieser behauptete, die Integrität der Daten zu wahren. Dennoch zeigten die Reaktionen, dass die Nutzer sehr aufmerksam sind, wenn es um den Schutz ihrer Privatsphäre geht. Die Kontroverse hat auch eine Debatte über die Sicherheit und Vertraulichkeit der Bearbeitung von Kommunikation mittels KI ausgelöst.
Sensible Daten können offengelegt werden
Möglichkeiten für Angriffe
Ein von Cyberhaven im Februar 2023 veröffentlichter Bericht weist darauf hin, dass sensible Daten 11 % dessen ausmachen, was Mitarbeiter in ChatGPT eingeben. Dennoch haben Arbeitnehmer nur wenige (wenn überhaupt) Garantien bezüglich des Schutzes der Daten, die sie der KI zur Verfügung stellen. Übrigens hatten Forscher bereits 2021 vor „Angriffen mittels Extraktion von Trainingsdaten“ gewarnt. Mit anderen Worten: Sie beobachteten die Möglichkeit, in Chat GPT-2 eingegebene Textelemente abzurufen, indem das System nach bestimmten Elementen befragt wird, die es zuvor gelernt hatte. Diese Techniken würden auch die Offenlegung personenbezogener Informationen ermöglichen. Bei Videokonferenzen mit generativer KI werden Daten wie Häufigkeit, Teilnehmer oder Thema eines Meetings geteilt. Durch eine Verkettung von kontextbezogenen Abfragen könnten Personen versuchen, diese Informationen aus dem KI-System abzurufen.
Einige Beschäftigte machen sich Sorgen um ihre personenbezogenen Daten
Der OECD-Beschäftigungsausblick gibt jedes Jahr eine Einschätzung der wichtigsten Entwicklungen auf den Arbeitsmärkten in den Mitgliedsländern der Europäischen Union. In ihrer Ausgabe 2023 legt die OECD einen Schwerpunkt auf die Auswirkungen künstlicher Intelligenz auf die Beschäftigten. Darin heißt es, dass 57 % der europäischen Arbeitnehmer im Finanzsektor und in der verarbeitenden Industrie sich Sorgen um den Schutz ihrer Privatsphäre im Zeitalter von KI machen.
Und das aus gutem Grund: „Die Menge an personenbezogenen Daten, die von KI-Systemen verarbeitet werden, ist oft größer als die Menge an Daten, die von Menschen oder anderen Technologien gesammelt werden“, heißt es ebenfalls in der Analyse. So können während sensibler Videokonferenzen, wie beispielsweise bei Vorstandsitzungen, bestimmte vertrauliche Daten gesammelt werden. Dies geschieht mit dem Ziel, z. B. Zusammenfassungen zu erstellen. Aber wie kann gewährleistet werden, dass sie gut geschützt sind und nicht wiederverwendet werden? Wenn generative künstliche Intelligenz aus den Daten lernt, die ihr angeboten werden, ist es dann möglich, dass sie diese Daten wiederverwenden kann, wenn sie anderen Nutzern Antworten anbietet?
Wege zu mehr Sicherheit bei der Kommunikation mit KI
Wie die OECD betont, gewährleistet in der EU die Datenschutz-Grundverordnung (DSGVO) den Schutz personenbezogener Daten und erlegt den Stellen, die diese Daten verarbeiten, Verpflichtungen auf. Mit KI gelten die Rechte für die Erhebung und Verarbeitung von Daten in besonderem Maße. Das System muss Transparenz und Zugang zu Informationen, Korrektur, Löschung und Einschränkung der Verarbeitung gewährleisten.
In einigen Ländern gibt es Gesetzesentwürfe, die auf eine Pflicht zur Unterrichtung der Personen, die mit künstlicher Intelligenz interagieren oder zu mehr Transparenz bezüglich der Art und Weise, wie die KI Daten produziert, abzielen.
Digitale und europäische Souveränität: eine weitere wichtige Problematik
Bei Videokonferenzlösungen mit integrierter generativer KI ist daher Wachsamkeit geboten. Erstens ist ein hohes Sicherheitsniveau dieser Lösungen unerlässlich, um die Vertraulichkeit der ausgetauschten Daten zu wahren. Videokonferenzen und ihre KI-Mechanismen müssen strengen Datenschutzbestimmungen wie der DSGVO gehorchen. Diese Problematik der Souveränität wurde übrigens auch im jüngsten französischen interministeriellen Ausschuss über generative KI diskutiert. Dieser beabsichtigt, „eine Branche für souveräne Entwicklung von KI-Modellen“ zu schaffen.
Ferner müssen die Anbieter von Videokonferenzlösungen Transparenz zeigen und den Nutzern klare Garantien für die Verwendung ihrer Daten geben. Wenn diese Lösungen nicht über eine echte Ende-zu-Ende-Verschlüsselung verfügen, ist die Kommunikation, die sie weiterleiten, nicht geschützt.
Angriffe gegen europäische Unternehmen im Zusammenhang mit Cyberspionage durch staatliche oder parastaatliche Stellen häufen sich. Sie richten sich vor allem gegen Organisationen, die für das Funktionieren oder die Wirtschaft eines Landes von entscheidender Bedeutung sind.
Folge geopolitischer Instabilitäten
Zunahme staatlicher und parastaatlicher Angriffe
Seit dem Krieg in der Ukraine nehmen die Konflikte im Cyberspace weiter zu und die Arten der Cyberangreifer wird immer vielfältiger. So greifen immer mehr staatliche Akteure private oder öffentliche Organisationen mithilfe traditioneller Methoden der Cyberkriminalität wie Ransomware an. Dadurch wird es immer komplizierter, die Urheber dieser böswilligen Aktivitäten genau zu identifizieren. Außerdem sind die verwendeten Techniken raffinierter und somit wirksamer, da sie mehr Mittel mobilisieren und somit mehr Schaden anrichten. Die Bekämpfung von Cyberspionage war sogar eine der Hauptaufgaben der ANSSI im Jahr 2022. IT-Systeme können monatelang ausspioniert werden, ohne dass die Organisationen dies bemerken.
2022 wurden 150 staatliche Cyberangriffe gezählt: 77 % davon waren Spionageangriffe. 2023 beläuft sich dieser Anteil bisher bereits auf 83 % aller staatlicher Cyberangriffe, und das Jahr ist noch nicht zu Ende.
Diese hauptsächlich aus China oder Russland stammenden staatlichen und parastaatlichen Spionageangriffe verfolgen je nach Fall unterschiedliche Ziele:
Abschöpfung vertraulicher Daten,
Computer- oder gar physische Sabotage einer kritischen Infrastruktur
oder auch die politische Destabilisierung.
Sensible Sektoren besonders im Visier
Regierungsorganisationen, Unternehmen, Behörden oder auch Forschungsinstitute gehören zu den bevorzugten Zielen von Cyberspionage. Von ihnen können Cyberangreifer sensible Daten im Zusammenhang mit der wirtschaftlichen, industriellen oder wissenschaftlichen Tätigkeit eines Landes sammeln. Dies kann mit einem Hacken der E-Mail-Konten von Mitarbeitern beginnen, um an vertrauliche Informationen zu gelangen.
Cyberspionage hat erhebliche wirtschaftliche Auswirkungen für Unternehmen. Erstens wird der Angriff in der Regel erst Monate nach dem Eindringen entdeckt und sofort in den Medien thematisiert. Dies schadet dem Image der Organisation und führt zu einem Vertrauensverlust bei Kunden und Partnern. Wirtschaftsspionage kann auch zum Verlust von Geschäften und zum Diebstahl von Daten im Zusammenhang mit dem geistigen Eigentum der Organisation führen. All dies trägt dazu bei, die Unternehmen finanziell zu destabilisieren.
Verletzung der Interessen des Staates
Das Ausspionieren von Unternehmen, die in kritischen Bereichen tätig sind, kann auch andere als finanzielle Interessen verfolgen. Wenn es sich beispielsweise um Infrastrukturen im Energie-, IKT- oder Gesundheitssektor handelt, trägt Cyberspionage zur Destabilisierung des Landes in wirtschaftlicher, sozialer oder sogar sicherheitspolitischer Hinsicht bei.
In Zeiten von Krieg und terroristischer Bedrohung nehmen staatliche Stellen strategische Sektoren ins Visier. 2023 wurde entdeckt, dass Mirage – ein Akteur der chinesischen Cyberspionage – im Dezember 2021 in die Netzwerke der deutschen Bundesbehörde für Kartografie und Geodäsie eingedrungen war. Auch wenn heute nicht bekannt ist, welche Art von Informationen kompromittiert wurden, zeigt dies doch, dass diese Angriffe ein System tiefgreifend schädigen und sich potenziell über längere Zeit darin festsetzen können.
Stärkung der europäischen Cybersicherheit wichtiger denn je
Mit der NIS-2- oder DORA-Richtlinie bereitet sich Europa ab sofort darauf vor, die Cybersicherheit der sensibelsten Organisationen, insbesondere gegen Cyberspionage, zu erhöhen.
Staatliche Cyberangriffe werden mithilfe der Cyberverteidigung des angegriffenen Landes abgewehrt. So mobilisieren sich die militärischen Akteure der Cyberverteidigung, um die Informationssysteme kritischer Organisationen zu verteidigen und verhindern dadurch, dass staatliche oder private Einrichtungen lahmgelegt werden. In diesem Sinne beteiligt sich der französischen Inlandsgeheimdienst DGSI an der Cyberverteidigung, indem er staatliche Cyber-Einflussnahmen möglichst früh aufdeckt und identifiziert.
Olympische Spiele 2024: ein günstiger Hintergrund für die Destabilisierung von Unternehmen
Im Vorfeld der Olympischen Spiele 2024 in Paris warnen die Behörden bereits vor einer „beispiellosen Gefahr von Cyberangriffen“, die sich auch gegen Unternehmen richten könnten, und das Ziel verfolgen, das Gastgeberland zu destabilisieren.
Organisationen in allen wichtigen und kritischen Bereichen müssen sich auf eine potenzielle Cyber-Krise vorbereiten. Es wird erwartet, dass technische Cyberschutzmaßnahmen ergriffen werden, um insbesondere die Kommunikation und vertrauliche Daten zu schützen. Es wird aber auch empfohlen, die unternehmensinterne Ausbildung in Good Practices der Cybersicherheit zu verstärken. Denn Mitarbeiter und Management sind im Falle von Cyberspionage in der Regel die ersten Einfallstore in die IT der Unternehmen.
Überwachung der Aktivität eines Mitarbeiters aus der Ferne: Mit „Bossware“ ist das möglich. Der Einsatz dieser Spionagetools ist weiter verbreitet, als man denkt – vor allem seit Home Office und KI. Wie können sie erkannt werden und welche Risiken bergen sie?
Was ist Bossware?
„Bossware“ ist der Begriff für Software, die zur Überwachung von Mitarbeitern eingesetzt wird. Sie wird auf dem Rechner installiert und sammelt möglichst viele Daten über die Aktivitäten des Mitarbeiters, um sich ein Bild seiner Produktivität zu machen. Diese Spyware kann alle Online-Aktivitäten, Tastatureingaben und Mausbewegungen aufzeichnen und in manchen Fällen sogar zufällige Screenshots und Audio- oder Videoaufnahmen machen.
Sie wird seit des allgemeinen Einsatzes von Homeoffice im Jahr 2020 intensiv genutzt und gibt dem Management die Möglichkeit, die Beschäftigten aus der Ferne im Auge zu behalten. Heute, mit der Entwicklung künstlicher Intelligenz, kann die Überwachung noch weiter gehen. So haben einige „Bossware“-Programme wie Veriato die Fähigkeit, die Daten der Angestellten zu analysieren, um ihnen einen „Risiko-Score“ für die Sicherheit des Unternehmens zuzuweisen. Andere können Warnungen senden, wenn sich der Mitarbeiter an seinem Arbeitsplatz nicht angemessen zu verhalten scheint.
Spyware nicht immer erkennbar
„Bossware“ kann sichtbar oder still eingesetzt werden. Bei der sichtbaren Überwachung ist sich der Mitarbeiter bewusst, dass seine Tätigkeit überwacht wird. In bestimmten Konfigurationen kann er sogar auf die Software einwirken, indem er sie beispielsweise auf Pause schaltet. Bei der stillen Überwachung dagegen ist sich der Mitarbeiter nicht bewusst, dass er „ausspioniert“ wird. Das bedeutet, dass die Software ohne seine Zustimmung und aus der Ferne auf seinem Rechner installiert werden konnte.
In den USA zugelassen: Und in Europa?
In den USA kann ein Arbeitgeber einen Arbeitnehmer leicht dazu zwingen, diese Art von Software auf seinem Rechner zu installieren. Mittlerweile tendieren die Gesetze jedoch dazu, ihre Verwendung einzuschränken und die Unternehmen zu Transparenz zu verpflichtenH4
DSGVO schützt auch die Beschäftigten
In Europa ist die Überwachung der Beschäftigten nicht eindeutig gesetzlich geregelt. Jedoch kann hier Bezug auf die Datenschutz-Grundverordnung (DSGVO) genommen werden. Denn diese legt die Bedingungen für die Erhebung, Nutzung und Übermittlung personenbezogener Daten fest und setzt einen Rahmen für die Datenverarbeitung, einschließlich der Überwachung von Mitarbeitern. Das bedeutet, dass die Einwilligung des Arbeitnehmers zur Verarbeitung seiner Daten unbedingt erforderlich ist. Wie jedoch der europäische Bericht „Employee monitoring and surveillance: The challenges of digitalization“ erklärt, „obliegt es jedem Mitgliedstaat [der EU], spezifische Datenschutzbestimmungen einzuführen.“ Die Arbeitgeber sind verpflichtet, die Daten ihrer Beschäftigten zu schützen, unabhängig davon, ob sie zum Zweck der Einstellung, der Sicherheit oder der Überwachung ihrer Aktivität gesammelt wurden.
Umstritten, aber trotzdem verwendet
In Frankreich ist „Bossware“ sehr umstritten, wird aber trotz allem häufig verwendet. Laut einer Studie von Vanson Bourne für VMwarehaben „63 % der französischen Unternehmen mit mehr als 500 Mitarbeitern Überwachungstools eingesetzt.“ Die französische Datenschutzbehörde CNIL warnt regelmäßig vor der Verwendung dieser Software. Sie erinnert daran, dass diese Überwachung „die Achtung der Rechte und Freiheiten der Arbeitnehmer nicht beeinträchtigen“ darf. Vor der Einführung eines Überwachungstools müssen die Beschäftigten daher informiert werden. Die Überwachung am Arbeitsplatz gehört übrigens zu den Hauptgründen für Beschwerden bei der Datenschutzbehörde.
Am häufigsten würden die Arbeitnehmer jedoch in Spanien überwacht. Dem oben genannten Bericht zufolge haben „40 % der spanischen Unternehmen Spionagetools installiert“, verglichen mit 15 % in Deutschland und 26 % im Vereinigten Königreich.
Die verschiedenen Möglichkeiten, „Bossware“ zu erkennen
Laut TechTarget lässt sich durch einige Überprüfungen erkennen, ob „Bossware“ verwendet wird.
Überprüfung des Taskmanagers
Wenn im Hintergrund eine unbekannte Software ausgeführt wird, deren Name eine Reihe von zufälligen Zahlen und Buchstaben enthält, kann es sich um „Bossware“ handeln. Aber viele Spyware-Programme sind im Task-Manager nicht erkennbar.
Herunterladen von Antispyware
Im Verdachtsfall kann ein Anti-Spyware-Tool hilfreich sein. Dieses scannt den Rechner und ist in der Lage, „Bossware“ als Malware zu identifizieren.
Überwachung des ausgehenden Datenverkehrs
Bestimmte Programme zur Überwachung des Internetverkehrs können einen ungewöhnlichen Datenverkehr erkennen und so einen Verdacht bestätigen.
Welche Risiken im Zusammenhang mit der Verwendung von Bossware?
Auswirkungen auf die Produktivität und das Wohlbefinden der Beschäftigten
Die Einrichtung von Tools zur Mitarbeiterüberwachung zeugt von einem eklatanten Mangel an Vertrauen der Geschäftsleitung gegenüber ihren Beschäftigten im Homeoffice. Gegenseitiges Vertrauen ist jedoch unerlässlich, um das Engagement der Beschäftigten zu fördern und sie an das Unternehmen zu binden. Durch Überwachung, wenn sie sichtbar ist, lastet ein konstanter Druck auf den Beschäftigten, der zu Erschöpfung und Burnout führen kann. Die Geschäftsleitung, die auf diese Weise die Produktivität kontrollieren und beeinflussen möchte, würde damit dem Wohlbefinden ihrer Teams schaden.
Datendiebstahl und Missachtung der Privatsphäre
In Frankreich haben die Mitarbeiter Rechte bezüglich der Verarbeitung ihrer Daten, insbesondere basierend auf der DSGVO. Sie müssen sich dessen bewusst sein und dürfen nicht zögern, sich an ihre Arbeitnehmervertreter zu wenden, wenn der Verdacht besteht, dass Spyware im Unternehmen eingesetzt wird. Denn der Einsatz von „Bossware“ führt zu einer massiven Verarbeitung von personenbezogenen Inhalten und Daten, die die Privatsphäre des Arbeitnehmers beeinträchtigen. Wenn diese Software nicht vollkommen sicher ist, kann sie zum Ziel von Cyberattacken werden. So können Daten, die nicht nur den Arbeitnehmer, sondern auch das Unternehmen betreffen, in die Hände böswilliger Personen gelangen.
Fazit: Anstelle der Verwendung von Bossware auf Vertrauen und Kommunikation setzen
Zusammenfassend lässt sich sagen, dass „Bossware“ seit der Coronakrise häufig zum Einsatz kommt und sich mit KI ein Trend zu einem noch umfangreicheren Einsatz abzeichnet. Sie kann jedoch schädliche Auswirkungen auf das Wohlbefinden der Beschäftigten haben und die Leistung der Teams beeinträchtigen.
Spionagetools dürfen im Homeoffice niemals systematisch eingesetzt werden, im Gegenteil: Homeoffice muss unbedingt in einem vertrauensvollen Klima angeboten werden, damit es seine Vorteile in Bezug auf Produktivität und Lebensqualität am Arbeitsplatz voll entfalten kann. Dafür sind ein geeignetes Management und die Einrichtung sicherer Kommunikationsmittel unerlässlich.
„Bossware“ birgt reale Sicherheitsrisiken, die Datenverlust und finanzielle Schäden zur Folge haben können.
Die Beschäftigten müssen sich ihrer Rechte in Bezug auf den Schutz ihrer Privatsphäre und ihrer personenbezogenen Daten bewusst sein und dürfen nicht zögern, sich an ihre Vertreter zu wenden, wenn sie Zweifel bezüglich der Verwendung von Bossware haben.
Sicherheit und Datenschutz sind für Videokonferenzen im Zeitalter von Chat-CPT wichtiger als je zuvor
Künstliche Intelligenz (KI) benötigt Unmengen Trainingsdaten. Doch nicht immer wird dieser enorme Wissenshunger aus lediglich einwandfreien Quellen gesättigt. Neben urheberrechtlichen Fragen gibt es auch Fälle wie Zoom, das vor kurzem überlegt hatte, möglicherweise Nutzerdaten für KI-Training einzusetzen. Besonders Unternehmen kann eine solche Verwendung natürlich nicht gefallen. Unternehmen müssen sichergehen, dass ihre Kommunikation nicht plötzlich im Wissensschatz von KI auftaucht und jedermann als Antwort ausgespuckt werden kann.
KI-Lösungen können eine Vielzahl an Tätigkeiten übernehmen und das Personal erheblich entlasten. Diese wertvolle Unterstützung hat einen Haken: niemand kann garantieren, dass die eingegebenen Daten nicht missbraucht werden. Werden Informationen in Form von Aufgaben in KI-Tools eingefügt, dann befinden sie sich schon auf fremden Servern – Unternehmen verlieren die Kontrolle über ihre Daten. Das wird zum Problem, handelt es sich bei den eingegebenen Texten um vertrauliche Informationen, zum Beispiel Betriebsgeheimnisse oder persönliche Daten.
Immer mehr Unternehmen sind sich dieser Gefahren bewusst und versuchen, sie zu minimieren. Manche entscheiden sich für einen radikalen Weg und verbieten ihren Mitarbeitern die Nutzung von KI-Lösungen aus dem Netz. Andere entwickeln eigene KI-Tools, um ihrem Personal die Vorzüge künstlicher Intelligenz nicht vorzuenthalten. Firmeneigene KI-Lösungen haben den entscheidenden Vorteil, dass die eingegebenen Informationen in den Händen der jeweiligen Firma bleiben, wodurch ihre Vertraulichkeit bewahrt ist.
Werden auch Videokonferenzen für KI-Training verwendet?
Risiken in Bezug auf Konfidentialität der Daten, die künstliche Intelligenz mit sich bringt, lauern auch an einer weiteren Stelle – in der Online-Kommunikation von Unternehmen. So hat der Videokonferenzanbieter Zoom Video-, Audio- und Chat-Inhalten zum Training ihrer eigenen KI-Lösungen verwendet. Zwar hat Zoom dafür die Zustimmung der Nutzer eingeholt – doch der Klick auf „Zustimmen“ ist bekanntlich schnell und ohne genaues Lesen gesetzt. Nach scharfer öffentlicher Kritik hat Zoom die Pläne revidiert. Trotzdem wirft der Fall die Frage auf, wie Videokonferenzanbieter mit den Daten ihren Nutzern umgehen.
Tixeo steht für Sicherheit und Datenschutz – Kommunikation gehört dem User, nicht der KI
Unternehmen sollten gezielt auf Videokonferenzanbieter setzen, die die Daten ihrer Nutzer garantiert zu keinen sonstigen Zwecken benutzen. Noch empfehlenswerter sind Anbieter, die keinen Zugang zu den ausgetauschten Daten haben. So eine Lösung ist Tixeo. Seine durchgängige Ende-zu-Ende-Verschlüsselung bewirkt, dass die ausgetauschten Informationen ausschließlich bei ihren Sendern und Empfängern entschlüsselt werden. Die Kommunikationsströme werden nicht entschlüsselt, wenn sie über den Server laufen, wodurch niemand, selbst Tixeo nicht, auf die Daten zugreifen und sie verwerten kann. Somit ist die Vertraulichkeit der Information gewährleistet.
Künstliche Intelligenz bietet enorme Chancen, bringt allerdings auch erhebliche Risiken mit sich, unter anderem für den Datenschutz. Der Umgang mit KI-Tools wird in Zukunft über die Wettbewerbsfähigkeit von Unternehmen mitentscheiden. Unternehmen, die möglichst großen Nutzen aus der künstlichen Intelligenz ziehen und zugleich die von ihr ausgehenden Gefahren abzuwenden, werden ihren Wettbewerbern deutlich voraus sein.
Tixeo verwendet Cookies, um Ihnen das bestmögliche Nutzererlebnis zu bieten. Tixeo verwendet keine Werbe-Cookies. Für weitere Informationen lesen Sie bitte unsere Datenschutzrichtlinie.
Gesprochene Sprache (Cookie unbedingt erforderlich)
Die Website verwendet ein Cookie, das es dem Benutzer ermöglicht, die Sprache der Website zu wählen und seine Wahl zu behalten. Dies ist ein rein funktionaler Cookie.
Diese Option muss immer aktiviert sein, damit wir Ihre Präferenzen für die Cookie-Einstellungen speichern können.
Statistik
Die Website verwendet den "Google Analytics"-Cookie ausschließlich zur Erstellung von Statistiken über die Anzahl der Besucher auf der Website. Die Ablehnung des Cookies hat keine Auswirkungen auf die Navigation auf der Website. Die Daten werden nicht an Dritte weitergegeben. Das Setzen dieses Cookies hilft uns, unsere Website zu verbessern.
Bitte aktivieren Sie zunächst die unbedingt notwendigen Cookies, damit wir Ihre Einstellungen speichern können!
