Sign up to save your podcasts
Or
Share Neue Dimensionen der Mitarbeiterüberwachung
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Neue Dimensionen der Mitarbeiterüberwachung
Mit Anna Cardillo, Holger Bleich und Joerg Heidrich
Wolfie Christl: Employees as Risks - A case study on intrusive surveillance and behavioral profiling for cybersecurity, insider risk detection and "compliance", Cracked Labs, August 2024
Eine bislang wenig beachtete Studie des österreichischen Forschers und Aktivisten Wolfie Christl aus August 2024 brachte es an den Tag: Microsoft bietet Unternehmen, die Microsoft 365 Enterprise nutzen, weitreichende Möglichkeiten, das Verhalten ihrer Mitarbeiter zu überwachen und zu analysieren. Es geht um zubuchbare Produkte zum "Sicherheitsinformations- und Ereignis-Management" (SIEM) und zu "User and Entity Behavior Analytics" (UEBA).
Mit den Zusatzprodukten "Sentinel" und "Purview" können sich Arbeitgeber von Microsoft aufzeigen lassen, welche Mitarbeiter ein Sicherheitsrisiko darstellen könnten, etwa aufgrund "anstößiger" Chats oder häufigen Abrufen bestimmter Webseiten. Dabei werden riesige Mengen sensibler Mitarbeiterdaten verarbeitet und verknüpft, beispielsweise aus Teams und Sharepoint. Christl zeigt auf, wie Microsoft dafür intensiv KI einsetzt und Unternehmen ermutigt, detaillierte Profile ihrer Mitarbeiter zu erstellen, um "Risikofaktoren" und "Anomalien" zu erkennen.
Im c't-Datenschutz-Podcast diskutieren Holger und Joerg die ethischen und rechtlichen Implikationen. Rechtsanwältin Anna Cardillo steht ihnen dabei mit ihrer Expertise zur Seite. Anna berät seit 2006 Unternehmen und Behörden im Datenschutz- und Informationssicherheitsrecht. Sie hat sich auf die Unterstützung bei der Implementierung und datenschtuzrechtlich sauberer Umsetzung digitaler Prozesse spezialisiert.
Anna äußert erhebliche Zweifel an der Rechtmäßigkeit der Überwachungspraktiken, die Microsoft und andere von Christl untersuchte Unternehmen anbieten. Es fehle oft schlicht an Wissen und damit der an der nötigen Transparenz, austarierten Risikoabwägungen sowie einer Rechtsgrundlage für derart weitreichende Datenauswertungen.
Das Fazit: Auch wenn Unternehmen ein berechtigtes Interesse an der IT-Sicherheit haben, sind viele der von Microsoft angepriesenen Überwachungsmaßnahmen unverhältnismäßig und könnten hierzulande unzulässig sein. Betroffene Mitarbeiter sollten sich nicht scheuen, die Praktiken kritisch zu hinterfragen und sich im Zweifelsfall beispielsweise an den Betriebsrat oder eine Hinweisgeberstelle zu wenden.
View all episodes
By c't Magazin
1
11 ratings
Mit Anna Cardillo, Holger Bleich und Joerg Heidrich
Wolfie Christl: Employees as Risks - A case study on intrusive surveillance and behavioral profiling for cybersecurity, insider risk detection and "compliance", Cracked Labs, August 2024
Eine bislang wenig beachtete Studie des österreichischen Forschers und Aktivisten Wolfie Christl aus August 2024 brachte es an den Tag: Microsoft bietet Unternehmen, die Microsoft 365 Enterprise nutzen, weitreichende Möglichkeiten, das Verhalten ihrer Mitarbeiter zu überwachen und zu analysieren. Es geht um zubuchbare Produkte zum "Sicherheitsinformations- und Ereignis-Management" (SIEM) und zu "User and Entity Behavior Analytics" (UEBA).
Mit den Zusatzprodukten "Sentinel" und "Purview" können sich Arbeitgeber von Microsoft aufzeigen lassen, welche Mitarbeiter ein Sicherheitsrisiko darstellen könnten, etwa aufgrund "anstößiger" Chats oder häufigen Abrufen bestimmter Webseiten. Dabei werden riesige Mengen sensibler Mitarbeiterdaten verarbeitet und verknüpft, beispielsweise aus Teams und Sharepoint. Christl zeigt auf, wie Microsoft dafür intensiv KI einsetzt und Unternehmen ermutigt, detaillierte Profile ihrer Mitarbeiter zu erstellen, um "Risikofaktoren" und "Anomalien" zu erkennen.
Im c't-Datenschutz-Podcast diskutieren Holger und Joerg die ethischen und rechtlichen Implikationen. Rechtsanwältin Anna Cardillo steht ihnen dabei mit ihrer Expertise zur Seite. Anna berät seit 2006 Unternehmen und Behörden im Datenschutz- und Informationssicherheitsrecht. Sie hat sich auf die Unterstützung bei der Implementierung und datenschtuzrechtlich sauberer Umsetzung digitaler Prozesse spezialisiert.
Anna äußert erhebliche Zweifel an der Rechtmäßigkeit der Überwachungspraktiken, die Microsoft und andere von Christl untersuchte Unternehmen anbieten. Es fehle oft schlicht an Wissen und damit der an der nötigen Transparenz, austarierten Risikoabwägungen sowie einer Rechtsgrundlage für derart weitreichende Datenauswertungen.
Das Fazit: Auch wenn Unternehmen ein berechtigtes Interesse an der IT-Sicherheit haben, sind viele der von Microsoft angepriesenen Überwachungsmaßnahmen unverhältnismäßig und könnten hierzulande unzulässig sein. Betroffene Mitarbeiter sollten sich nicht scheuen, die Praktiken kritisch zu hinterfragen und sich im Zweifelsfall beispielsweise an den Betriebsrat oder eine Hinweisgeberstelle zu wenden.
More shows like Auslegungssache – der c't-Datenschutz-Podcast
View all
Chaosradio
6 Listeners
Computer und Kommunikation
10 Listeners
Logbuch:Netzpolitik
9 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
7 Listeners
c't uplink (SD-Video)
6 Listeners
c't uplink (HD-Video)
2 Listeners
Apfelfunk
8 Listeners
heiseshow
4 Listeners
#heiseshow (SD-Video)
0 Listeners
#heiseshow (HD-Video)
1 Listeners
Dr. Datenschutz Podcast
0 Listeners
kurz informiert by heise online
2 Listeners
Der Datenschutz Talk
0 Listeners
Mac & i - der Apple-Podcast
0 Listeners
Mac & i (Video)
0 Listeners
Bit-Rauschen: Der Prozessor-Podcast von c’t
1 Listeners
Bits & Böses – der Tech-Crime-Podcast
0 Listeners
TNBT – Der Podcast zu Apple Vision Pro von Mac & i
1 Listeners
KI-Update – ein heise-Podcast
3 Listeners
KI verstehen
9 Listeners
Der KI-Podcast
6 Listeners
CLICK BOOM FLASH - Geschichten aus der Fotowelt
0 Listeners
Vorsicht, Kunde!
0 Listeners
Passwort - der Podcast von heise security
3 Listeners
Frauen und Technik – mit Eckert und Wolfangel
0 Listeners