Amerikanische Spitzenpolitiker koordinierten einen militärischen Angriff über den Messenger Signal. Könnte ein solches kommunikatives Missgeschick auch in der Schweizer Wirtschaft passieren?
Seit Anfang Woche ist die «Houthi PC small group» der wohl bekannteste Gruppen-Chat der Welt. Die Geschichte ist überall zu lesen: Unter anderem der amerikanische Vizepräsident J. D. Vance, der Sicherheitsbeauftragte Mike Waltz und der Aussenminister Marco Rubio haben in einem Gruppen-Chat auf der privaten Nachrichten-App Signal den Angriff auf die jemenitische Huthi-Miliz koordiniert. Der Chefredaktor des «Atlantic» las das Gespräch mit, weil er versehentlich in den Gruppen-Chat eingeladen worden war.
Informationen dieser Art müssen eigentlich über spezielle Kommunikationswege übermittelt werden, und natürlich sind sie nicht für einen Journalisten bestimmt. Vance, Waltz und Rubio haben diverse Regeln missachtet.
Nun fragt sich: Könnte so etwas auch in der helvetischen Arbeitswelt passieren? Wie übermitteln die Schweizer Unternehmen und Mitarbeiter ihre Daten?
Sicherheitsstufe variiert nach Branche
Urs Küderli ist Spezialist für Cybersicherheit beim Unternehmensberater PwC. Er sagt, es gebe zwei Gründe, weshalb häufig auf private Kommunikationswege wie Signal zurückgegriffen werde: «Einerseits, um mich mit Externen kurzschliessen zu können, wenn interne Kommunikationsmittel dies verbieten. Und andererseits, wenn man Themen besprechen will, die man nicht protokolliert haben will.»
Laut Küderli hängt die notwendige Sicherheitsstufe von der Branche ab. «Wer ein Berufsgeheimnis kennt, verfügt meist über sensitive Daten.» Dass diese geschützt werden, kontrollieren entsprechende Aufsichtsbehörden. Beispiel Bankensektor: Dort geben neben den firmeneigenen Vorgaben verschiedene Aufsichtsbehörden vor, welche Informationen über welches Medium übermittelt werden dürfen – oder eben nicht.
Dabei spielt auch der Standort des Unternehmens eine Rolle. Europäische oder amerikanische Firmen kommunizieren kaum über chinesische Programme. Bei den Schweizer Unternehmen verbreitet ist vor allem Microsoft Teams, das über einen relativ hohen Sicherheitsstandard verfügt, und das Schweizer Chat-Programm Threema.
Threema ist die App, die auch der Bund zum Chatten benutzt. Und der Bundesrat. Das ist spätestens bekannt, seitdem die parlamentarische Untersuchungskommission den Bericht über die notfallmässige Fusion der UBS und der Credit Suisse veröffentlicht hat. Darin ist nachzulesen, wie die Finanzministerin Karin Keller-Sutter am Vorabend des Deals in den bundesrätlichen Threema-Chat schrieb: «Wir haben einen Deal mit der UBS. Jetzt braucht es nur noch die CS.»
Auch ausserhalb regulierter Branchen wie des Bankensektors sind immer mehr Unternehmen auf IT-Gefahren sensibilisiert. Längst bieten Unternehmen Schulungen und Weiterbildungen zum Thema «Awareness» an, lehren also den bewussten Umgang mit Medien und Daten. Entsprechend hätten Vorfälle wie in den USA im Vergleich zu früher massiv abgenommen, sagt Küderli.
Trend geht zum Zweithandy
Nils Merz ist wissenschaftlicher Mitarbeiter am Institut für Unternehmensentwicklung an der Zürcher Hochschule für Angewandte Wissenschaften in Winterthur und Experte für Human Resources. Er empfiehlt auf dem Smartphone eine «strikte Trennung von Privatem und Geschäftlichem». «Sonst schicke ich meinem Bekannten Hans Müller plötzlich Daten, die eigentlich für meinen Kunden Hans Müller bestimmt waren.»
In Teilen des Bankensektors scheint die Botschaft von Merz bereits angekommen: In sicherheitstechnisch heiklen Abteilungen benutzen Angestellte vermehrt ein Zweithandy.
Solche Massnahmen sind laut Merz aber auch eine Geldfrage. Selbst IT-Infrastrukturen wie Microsoft Teams könnten sich viele kleinere Unternehmen oder Startups nicht immer leisten. Sie nutzen stattdessen einfache Messenger. «Beim Übermitteln von Daten sollte man sich deshalb immer fragen: Gibt das eine ‹Blick›-Schlagzeile, wenn diese Nachricht öffentlich wird?» Wenn ja, sei es ratsam, andere Kommunikationswege zu wählen.
Merz macht sich ausserdem für die gute alte E-Mail stark, die «halt noch immer am vernünftigsten» sei. Gerade, wenn man mit Externen kommuniziere, die nicht in die IT-Infrastruktur des Unternehmens eingebunden seien.
Es ist erlaubt, am Arbeitsplatz Privates zu erledigen
So viel dazu, wie man Geschäftliches von der privaten IT-Infrastruktur fernhält. Aber was geschieht, wenn Privates in der geschäftlichen IT-Infrastruktur verhandelt wird?
Roger Rudolph ist Professor für Arbeitsrecht an der Universität Zürich. Er sagt, es sei erlaubt, dann und wann Privates am Arbeitsplatz zu erledigen, sofern kein Internetverbot bestehe. Wer zum Beispiel Ferien bucht oder Konzerttickets kauft, die Zugverbindung nach Hause heraussucht oder zwei, drei private Mails schreibt, hat nichts zu befürchten.
Rechtlich heikler ist es laut Rudolph, wenn man sich im Microsoft-Teams-Chat herablassend oder beleidigend über Arbeitskolleginnen oder den Chef äussert. Allerdings hat das in den allermeisten Fällen keine Konsequenzen, da solche Chats kaum an die Öffentlichkeit dringen. «Und solange kein Verbot besteht, die IT-Infrastruktur des Unternehmens auch für privaten Austausch zu nutzen, darf man davon ausgehen, dass solche Chats auch nicht überwacht werden», sagt Rudolph. Chat-Verläufe könnten nur dann gelesen werden, wenn ein konkreter Verdacht bestünde.
UBS und CS wurden mit je 200 Millionen Franken gebüsst
Viele Arbeitgeber formulieren teilweise umfangreiche IT-Reglemente, um klar zu definieren, was Mitarbeiter dürfen und was nicht. Indem der Arbeitgeber festhält, er «behält sich die Kontrollrechte vor», darf er die Einhaltung gewisser Regeln auch kontrollieren. Will heissen: Er dürfte theoretisch stichprobenartig Chat-Verläufe nachlesen, wenn es Anhaltspunkte dafür gibt, dass ein Mitarbeiter Regeln missachtet.
Für Rudolph ist ein IT-Reglement aber vor allem als eine Art Guide sinnvoll: «Solche Reglemente helfen den Mitarbeitern in Sicherheitsfragen. Dass man zum Beispiel den privaten USB-Stick nicht in den Arbeitscomputer steckt oder Whatsapp nicht für geschäftliche Korrespondenzen benutzt.»
Gerade Letzteres kann teuer werden. Mitarbeiter der UBS und der Credit Suisse hatten sich zwischen 2018 und 2021 teilweise über Whatsapp und Signal mit Arbeitskollegen und Externen über geschäftliche Informationen ausgetauscht. Die beiden Banken wurden mit je 200 Millionen Franken gebüsst.
