Unternehmen gehen immer häufiger dazu über, digitale Bewerbungsformulare auf ihre Homepages zu stellen, die Job-Suchende nur auszufüllen und abzuschicken brauchen. Mitunter gibt es gar die Möglichkeit, Zeugnisse und Passfotos im Anhang mit zu senden. So werden persönliche Daten bis hin zu Angaben zum derzeitigen Job und Gehaltsvorstellungen durch das globale Dorf geschickt ¯ im Prinzip für jedermann einsehbar, der sich auskennt. Zudem werden die Daten auf dem Server der Mitarbeiter suchenden Firma gespeichert und können dort leicht eingesehen und missbraucht werden. Vorfälle dieser Art sind schon häufiger bekannt geworden. Sicherheits-Experten raten denn auch, möglichst wenig Angaben zur eigenen Person ins Netz zu stellen, beziehungsweise per Mail zu verschicken. Denn für Versierte ist es ein Leichtes, alle persönlichen Spuren im Netz zu sammeln und daraus ein vollständiges Profil der jeweiligen Person zu basteln.

Gemailte Daten abzufangen ist eine Sache. Eine andere ist, Bewerber auf eine falsche Link-Fährte zu locken. Es ist keine Schwierigkeit, auf einer beliebigen Homepage ohne Wissen des Servers, in diesem Fall also des Jobanbieters, einen gelinkten Link zu setzen. Ein solcher elektronischer Verweis führt auf eine völlig andere Internet-Seite, beispielsweise auf die einer dubiosen Personalberatungsfirma auf Adressensuche. Die Irreführung lässt sich nicht unbedingt an der URL erkennen, die im unteren Feld des Bildschirms erscheint, wenn ein Link mit der Maus anvisiert wird. Denn mittlerweile versehen die Unternehmen selbst ihre zahllosen Web-Seiten mit oft ausgesprochen kryptischen Adressen, aus denen der Server nicht mehr erkennbar ist. Ein Anruf bei der ausschreibenden Firma kann eventuelle Zweifel bezüglich des Formulars aus dem Weg räumen. Von seriösen Anbietern kann überdies eine Auskunft zur "Privacy Policy", also zum Umgang mit den Daten Dritter, verlangt werden.

Besonders gefährlich ist es, seinen derzeitigen Arbeitsplatz zur Suche nach einem neuen Job zu nutzen. Zumindest die größeren Unternehmen kontrollieren ihre Mitarbeiter mit besonderen Überwachungsprogrammen. So gibt es beispielsweise eine Software mit dem bedeutungsvollen Namen "Little Brother" ¯ in Anlehnung an den Orwellschen Großen Bruder. Der Kleine Bruder beobachtet alles Tun und Lassen der Arbeitenden. Das Programm zeichnet nicht nur sämtliche Aktivitäten am Computer auf, sondern ermöglicht auch regelmäßige Screenshots vom Bildschirm. Die Bilder werden komprimiert gespeichert und der Wachhabende kann sie sich in einer Übersicht oder einzeln auf den Bildschirm holen. Auch das Firewall-System eignet sich bestens dazu, Arbeitsprofile zu erstellen. Eine Firewall wird in Betrieben eingesetzt, die ihr Intranet vor unberechtigten Zugriffen schützen wollen, beziehungsweise nicht allen Mitarbeitern den "Gang nach draußen" erlauben. Selbst wenn die Überwachungssoftware nicht zur gezielten Ausspionierung genutzt wird, so werden doch die im Internet angeklickten Seiten bis hin zu kompletten Dialogen im System des derzeitigen Arbeitgebers gespeichert und bleiben dort zeitlich unbegrenzt abrufbar.

Gegen die Ausspionierung durch den eigenen Brötchengeber gibt es einfache Abhilfe. Bewerbungen sollten nur über den privaten PC laufen. Und auch für die anderen Sicherheits-Probleme gibt es einfache Lösungen, denn die notwendige Technik steht im Prinzip jedermann zur Verfügung. Secure Sockets Layer (SSL) ist eine Sicherheitstechnik, die in jeder Standard-Software enthalten ist. SSL erlaubt eine sichere Identifizierung des Kommunikationspartners. So brauchen Bewerber nicht zu fürchten, dass ihre Bewerbung fehlgeleitet wird. Zudem erlaubt SSL die Verschlüsselung der zu verschickenden Daten durch den Browser. Der Haken an der Sache: Die Nutzung von SSL setzt voraus, dass das Stellen ausschreibende Unternehmen sich bei einer Zertifizierungsinstanz einen digitalen Ausweis, ein sogenanntes Zertifikat, ausstellen lässt. Die Scheu vor diesem Aufwand mag der Grund dafür sein, dass bislang kaum ein Online-Bewerbungsformular durch SSL geschützt ist. Ein persönliches Zertifikat des Bewerbers allein nutzt da gar nichts. Hinzu kommt, dass die Vereinigten Staaten ihre Sicherheitsbestimmungen bezüglich der zum Export bestimmten Browser erst im letzten Jahr gelockert haben. Lange Zeit erhielt nur ein enger Kreis von ausländischen Abnehmern, wie zum Beispiel Banken, die USA-Browser mit den für Amerika üblichen Schlüssel-Längen. Alle anderen erhielten Browser mit kürzeren Schlüsseln ¯ und die sind für SSL wirkungslos. Seit dem Jahr 2000 vertreiben die Vereinigten Staaten zwar auch Browser mit langen Schlüsseln, doch bislang haben die meisten PC-Besitzer hierzulande noch die alten Versionen auf ihrem Computer.
Mal abgesehen von allen technischen Unzulänglichkeiten, geht auch das Einrichten von Zertifizierungsstellen, bei denen die digitalen Ausweise abgeholt werden können, nur schleppend voran. Ein Grund dafür, so glaubt man beim Fraunhoferinstitut "Sichere Telekooperation" in Darmstadt, ist das neue Signaturgesetz vom 22. Mai 2001. Zwar habe es zum Ziel, solche Zertifikate zum Standard zu machen. Doch stelle es zu hohe und zu teure Anforderungen an die Technik. Ein weiterer Grund für das schleppende Tempo sei die geringe Nachfrage nach den Zertifikaten. Interesse bestehe zwar, aber nur wenige seien bereit, entsprechende Investitionen zu tätigen.

Pretty Good Privacy (PGP) ist eine weitere Möglichkeit, seine E-Mails vor unliebsamen Mitlesern zu schützen. Doch auch PGP hat sich noch nicht durchgesetzt. Die Software gibt es für Privatnutzer kostenlos im Internet, doch wegen des nicht ganz einfachen Schlüsselmanagements arbeiten sich nur die versierteren Computer-Nutzer in PGP ein. Und mal ehrlich ¯ wer glaubt schon ernsthaft daran, dass ihn jemand ausspionieren könnte?

Zusammenfassung:

1. E-Mails sind nicht sicher. Von ernst zu nehmenden Firmen, die sensible Daten abfragen, kann man verlangen, dass sie für sichere Übermittlung (z.B. SSL) sorgen.
2. Ebenso selbstverständlich sollte eine "Privacy Policy" über den Umgang mit den eingehenden E-Mails Auskunft geben.
3. PGP schützt wirksam (bislang ungeknackt), setzt aber bei seinen Anwendern Initiative voraus. Zudem müssen beide, Absender und Empfänger, PGP verwenden.
4. Bewerbungen sind Privatsache und haben auf dem Computer des derzeitigen Arbeitgebers nichts zu suchen. Man nimmt ja auch nicht das Briefpapier der Firma dazu.
5. In allen Zweifelsfällen: anrufen und nachfragen.