[English]Es ist der absolute Datenschutz-GAU und Alptraum für Unternehmen. Die Fehlkonfiguration einer Software legt Millionen Screenshots mit äußerst vertraulichen Daten offen. Ist mit der Mitarbeiter-Überwachungssoftware WorkComposer durch eine Fehlkonfiguration passiert.
Anzeige
Was ist WorkComposer?
Beim Produkt WorkComposer handelt es sich um eine Software zur Zeiterfassung und anschließende Personalanalyse. Der Anbieter wirbt mit einer Software zur Analyse der Mitarbeiterproduktivität, die eine KI-gestützte Zeiterfassung und Produktivitätsanalyse bietet.
Bei so etwas bekommen vor allem US-Arbeitgeber "glänzende Augen" – in Deutschland dürfte der Einsatz am Betriebsrat scheitern. Der US-Anbieter wirbt mit mehr als 200.000 Benutzern und verspricht "Bullet-Proof-Security". Die Software ist vergleichbar mit anderen Produkten wie HubStaff, Teramind, ActivTrak, etc.
Wenn Bullet-Proof-Security schief geht
Ein Blog-Leser hat in diesem Kommentar auf einen Datenschutz- und Sicherheits-GAU im Zusammenhang mit diesem Anbieter hingewiesen. Auf reddit.com hat jemand zum letzten Wochenende die Details im Beitrag WorkComposer Breached – 21 million screenshots leaked, containing sensitive corporate data/logins/API keys – due to unsecured S3 bucket zusammen getragen.
Anzeige
Ein US-Unternehmen mit Sitz in Delaware stellt mit WorkComposer ein Tool zur Überwachung der Mitarbeiterproduktivität bereit, welches sich auf jedem PC installieren lässt. Das Tool überwacht, welche Anwendungen die Mitarbeiter wie lange nutzen, welche Websites sie besuchen, wie aktiv sie tippen usw.
Außerdem werden von der Software alle 20 Sekunden Screenshots zur Überprüfung durch das Management erstellt. Eine Funktion, die mich an Microsofts Recall für Windows erinnert. Diese Screenshots werden natürlich in der Cloud gespeichert.
Nun hat der Anbieter von WorkComputer einen Fehler begangen, indem ein Amazon S3-Bucket, auf dem die Screenshots und Daten gespeichert werden, offen im Internet erreichbar und ungeschützt war. Auf dem AWS S3-Bucket lagen laut Bericht 21 Millionen unredigierte Screenshots offen und ungeschützt für jeden im Internet einsehbar bereit.
Der Poster schreibt, dass der Umfang des Datenlecks schwer abzuschätzen sei. Aber das Unternehmen gibt mehr als 200.000 Nutzer als Kundenbasis an. Die 21 Millionen Screenshots dürften von über 200.000 einzelnen Benutzern/Mitarbeitern aus möglicherweise mehreren Tausend Unternehmen stammen.
Der Poster meint, dass alle Firmen, die den WorkComposer eingesetzt haben, jetzt erhebliche "Kopfschmerzen bekämen". Dann durch die alle 20 Sekunden angefertigten Screenshots muss alles Vertrauliche, was der Nutzer in den letzten 180 Tagen am Rechner erledigt hat, als kompromittiert gelten. Die Geschäftsführung solle Listen aller Aufgaben, die Mitarbeiter in diesem Zeitraum erledigt haben.
Da es unwahrscheinlich sei, dass WorkComposer über eine ausreichende Protokollierung verfügt, um festzustellen, ob jemand anderes auf den S3-Bucket zugegriffen hat, sollten die Nutzer vom Schlimmsten ausgehen. Alle Daten (auch Kundendaten) konnten potentiell von unbefugten Dritten eingesehen werden. Die gesamte Arbeit, die an den überwachten Systemen erledigt wurde, sowie dort vorhandene Firmengeheimnisse sollten potentiell als kompromittiert betrachtet werden. Die Aufarbeitung des Vorfalls erfordere eine massenhafte Rücksetzung von Passwörtern in den einzelnen Systemen, auf die im Überwachungszeitraum zugegriffen wurde.
Die Sicherheitsforscher von CyberNews haben den Sachverhalt im Blog-Beitrag Employee monitoring app leaks 21 million screenshots in real time offen gelegt. Sie gehen davon aus, dass die im S3 Bucket öffentlich gewordenen Daten äußerst sensibel sind. Die Millionen von Screenshots von den Mitarbeiter-Geräten könnten nicht nur Vollbildaufnahmen von E-Mails, internen Chats und vertraulichen Geschäftsdokumenten enthüllen. Auch Anmeldeseiten, Anmeldedaten, API-Schlüssel und andere sensible Informationen dürften in den Aufzeichnungen der Software enthalten sein. Diese Informationen könnten für weltweite Angriffe auf Unternehmen genutzt werden.
Cybernews hat sich mit dem Unternehmen in Verbindung gesetzt, und der Zugang wurde inzwischen abgesichert. Eine offizielle Stellungnahme des Unternehmens steht noch aus. Das offene AWS S3-Bucket wurde am 20. Februar 2025 entdeckt und am Folgetag an den Anbieter gemeldet. CERT wurde am 19. März 2025 kontaktiert und der Datenvorfall am 1. April 2025 abgeschlossen.
Ähnlicher Fall mit WebWork im Januar 2025
Das Ganze ist übrigens kein "Erstfall" – ich habe hier im Blog nicht darüber berichtet: Aber im Januar 2025 hat mich CyberNews informiert, dass man eine ungeschützte WebWork Tracker-Anwendung offen im Internet vorgefunden habe. Auch hier war es ein Amazon Web Service (AWS) S3-Bucket, welches ungesichert per Internet erreichbar war.
Die Anwendung WebWork legte über 13 Millionen Protokolle und Screenshots offen, die in einigen Fällen sensible oder private Informationen enthalten könnten, die nicht öffentlich zugänglich sein sollten. Zu den Kunden, die den Dienst des Unternehmens nutzen, gehören der in San Francisco ansässige Remote-Hiring-Riese Deel sowie Unternehmen in Österreich, den Niederlanden, Indien und den USA. Laut der WebWork Tracker-Website hat die Plattform über 140.000 Nutzer und bedient über 15.000 Unternehmen weltweit.
Ähnliche Artikel:
Zugangs- und Schließsysteme mit Internetanbindung als Risiko – Teil 1
Systeme zur Zeiterfassung mit Internetanbindung als Risiko – Teil 2
Anzeige
wie geil ist das den ;-P mal gucken wo es den dumb gibt ;-P
Dumbe schreiben vielleicht dumb, es heißt aber in diesem Kontext dump
Komm schon, "dumb" ist als Adjektiv als auch als Verb und Zusatz für ein Nomen sehr gut geeignet für die Beschreibung was bei uns im Westen gerade abgeht. Mit der IT an der Speerspitze.
Das findest du geil, bis du eigene Daten darin findest weil du mal irgendwann "XY" mit "BB" zu tun hattest, die aber seit "Z" zu "TP" gehören die mittlerweile von "KJ" geschluckt wurden und deshalb ein MA gerade alte Datensätze sortiert hat als "Knips" gemacht hat.
Den gibt's, wenn du in den Spiegel schaust :-P
ist das der Moment, wo sich die Rechtsanwälte in den USA um den Fall reißen werden, weil sie reich werden?
kann das endlich Mal richtig teuer durchgestritten werden, Bitte!?
Tja, wieder einmal ein gutes Beispiel, das diese Daten NICHT in die Cloud gehören.
Das die Daten öffentlich zugänglich waren ist ja nur die Spitze des Eisberges.
Der Cloudanbieter und auch der Softwareanbieter hat ja auch ohne das die Daten öffentlich zugänglich sind, Zugriff auf die Daten, da die ja offensichtlich sogar unverschlüsselt gespeichert werden.
Und damit haben die auch Zugriff auf Geschäftsgeheimnisse der Kunden, etc.
Und die 3 Buchstaben-Dienste haben auch einen sehr sehr einfachen Zugang zu den Daten.
Aus Unternehmenssicht muß man also abwägen, was einem wichtiger ist:
Die Sicherheit der eigenen Daten oder die Mitarbeiterüberwachung.
"in Deutschland dürfte der Einsatz am Betriebsrat scheitern." Ich würde sogar glauben, dass das hierzulande direkt am Arbeitsrecht scheitert und nicht erst an einem (nicht zwingend vorhandenem) Betriebsrat. Ich meine mich zu erinnern, dass das anlasslose Überwachen von Mitarbeitern nicht zulässig ist und Leistungsüberwachung gilt nicht als ausreichender Anlass für diese Art von Überwachung. Lasse mich da aber gerne von jemandem mit mehr Ahnung korrigieren.
Na ja, mal schauen wie lange es dauert, bis Microsoft das selbe mit ihrer ach so tollen neuen Funktion "Recall" passiert. Die macht ja im Grunde das Gleiche, nur mit noch ein bisschen "KI" drüber geträufelt.
Nicht ganz, Recall scheint nur lokal zu funktionieren, da hat scheinbar niemand anders als der Benutzer selbst Zugriff drauf. Dieses WorkComposer scheint dagegen so eine Art Recall auf Steroiden zu sein., das zählt/protokolliert ja auch Tastenanschläge, Mausklicks, Programmstarts usw.
Über Recall brauchen wir uns momentan wohl keine Sorgen zu machen, soweit gelesen wird MS das in der EU erstmal nicht aktivieren.
Es gibt unterschiedlichste Arbeitsbereiche, in denen eine Mitarbeiterüberwachung ausschließlich unter Berücksichtigung der rechtlichen Rahmenbedingungen (Bundesdatenschutzgesetz (BDSG), Betriebsverfassungsgesetz (BetrVG), Arbeitsrecht/-vertrag, Dienstvereinbarung etc.) eingesetzt werden kann/darf.
Hier gibt es glücklicherweise glasklare Regeln.
Aus eigener Erfahrung weiß ich allerdings, dass dies ein "heißes Eisen" in unzähligen Unternehmen ist und es dennoch unzählige aufgedeckte Fälle gibt.
Und man könnte vermuten, dass es eine hohe Dunkelziffer gibt.
Bevor ich euch mit zahllosen §§ quäle, hier ein sehr gut aufbereiteter Artikel, der das Thema gut verständlich durchleuchtet:
https[://]www.arbeitsrechte.de/mitarbeiterueberwachung/
Wer sich noch nie mit dieser Thematik befasst hat, erhält hier viele Informationen.
"Ein US-Unternehmen mit Sitz in Delaware" also eine CIA-Ausgründung.
Mit Microsoft Recall wird sowas natürlich nie passieren, niemals, garantiert nicht, ausgeschlossen, oder so.
Was hast du bei "Screenshots weden lokal gespeichert" bei Recall nicht verstanden?
Die derzeitige Strategie von Microsoft treibt alles in die Cloud, vielleicht kennen Sie OneDrive schon? Früher oder später wird lokal gar nichts mehr gespeichert sein.
Man darf hierbei nicht vergessen, dass Microsoft sich so sehr um die Datenschutzinteressen der User kümmert, dass die von ihm gemachten Datenschutzeinstellungen regelmäßig ausgeschaltet werden und Sachen wie DeviceCensus und CompatibilityTelemetry* nur mit sehr unorthodoxen Methoden überhaupt endgültig abgestellt werden können.
Diese zwei Prozesse plagten meinen alten mit Festplatte ausgestatteten PC bei jedem Start. Es stellt sich die Frage, warum diese überhaupt jeden Tag etliche Megabyte auf der Platte bewegen mussten und nicht mit normalen Methoden abschaltbar sind. Jedenfalls habe ich diese seitdem an all meinen PCs endgültig abgestellt.
Einem Konzern, der sowas tut, tui ich jedenfalls nicht all zu weit trauen.
Disable-ScheduledTask ist obskur?
DeviceCensus
\Microsoft\Windows\Device Information\*
Microsoft Compatibility Telemetry
\Microsoft\Windows\Application Experience\*
Scheduled Tasks abzuschalten ist nicht die endgültige Lösung. MS ist in der Lage, diese Tasks wieder in den Ausgangszustand zu versetzen. Es spielt also keine Rolle, ob sie deaktiviert, gelöscht oder z.Bsp. die Trigger entfernt werden, nach einem Update können die ganz schnell wieder mit Default-Einstellungen vorhanden sein.
Macht MS zum Beispiel schon so mit den Update und Telemetrie Tasks für Office 365.
Nein, aber auch das wurde ebenso wie die Einstellung nach einiger Zeit (Tage bis Wochen, wenn ich mich richtig erinnere) schlichtweg wieder aufgehoben. Das fand ich dann nicht so pralle. War auch ein Grund meines Meckerns.
Und man muss MS wieder hinterherfrickeln…. herrlich…
Und was ändert das?
Der Admin kann sich auf die lokal von Recall gespeicherten Daten immer Zugriff verschaffen und diese dann der GL zur Verfügung stellen.
Vorsicht! – So lange der Arbeitnehmer / die Arbeitnehmerin das nicht mitbekommt. Kann auch der Betriebsrat nicht einschreiten.
Es gab in der Vergangenheit schon öfters Berichte, über unzulässige Mitarbeiterüberwachungen. Nicht nur in der IT. Darüber gab es Presse und Rundfunkberichte.
Mal ehrlich, wer schaut öfter in den Task Manager und überprüft die laufenden Prozesse? Ich habe mir vor längerer Zeit ein PowerShellskript erstellt, mit welchem ich in unregelmäßiger Zeit mir die laufenden Prozesse anzeigt. So kann ich sehen, ob dder Arbeitgeber die nicht erlaubte Mitarbeiterüberwachung via Spionageprozesse durchführt.
In meinem Bekanntenkreis haben zwei Personen auf Ihren Rechnern etwas gefunden. Womit sie dann direkt zum Rechtsanwalt bzww. Arbeitsgericht gegangen sind.
Ja angeblich soll Recall nur lokal zu funktionieren, aber wenn ich so handeln würde, wie Microsoft bereits vorgeht, wandert das eh irgendwann in die Cloud, ich meine, wer will schon zig Tausend Screenshots auf seiner C Partition lagern, theoretisch sollen die ja auch nach 3 Monaten wieder gelöscht werden, ich hege da meine Zweifel.
Zu Überwachung am Arbeitsplatz, zwar war es auch schon Damals nicht erlaubt, aber theoretisch war es bis vor ein paar Jahren auch noch mittels der MS Office Suite Admin Konsole möglich, Mitarbeiter und deren Arbeitspensum in MS Office ziemlich genau auszuwerten. Und dann denke doch nur mal an Aldi und Consorten, dort wurden sogar noch die Pausenräume überwacht.
Zum Thema zurück, das ist natürlich der absolute Super-GAU, wenn solche Daten frei für jedermann übers Internet zugänglich sind. Wer weis denn schon, wer sich dort mit Informationen bereits bedient hat.
Ja, Recall ist lokal und offline (angeblich).
Vielleicht legt bei MS auch mal einer den falschen Schalter um und OneDrive ist offen für alle …