Zeiterfassumg mit GeCOTime leicht gemacht

Kann ein Mitarbeiter die Zeiterfassung manipulieren?

Auch eine moderne Zeiterfassung ist nicht gänzlich vor Manipulation geschützt. Durch Einsatz geeigneter Systeme lässt sich allerdings die Gefahr eine Zeiterfassung zu manipulieren auf ein minimales Restrisiko reduzieren.

Wie bereits vor kurzem in einem Blogbeitrag ausgeführt wurde ist die Zeiterfassung meist für alle Mitarbeiter Pflicht, wenn entsprechende Vereinbarungen existieren (https://www.gecosoft.at/blog/fuer-wen-ist-zeiterfassung-pflicht/). Es könnten Mitarbeiter aber darüber nachdenken ob und wie man die Zeiterfassung manipulieren kann.

Bereits im Zeitalter der Stempel- oder Stechuhren war das „Stempeln“ für einen Kollegen eine naheliegende Form um Aufzeichnungen der Arbeitszeiten zu manipulieren. Seit fast 40 Jahren werden Zeiterfassungs-Systeme unter Verwendung elektronischer Erfassungsgeräte (Terminals) eingesetzt. Eine Methode, die auch heute noch zu den gebräuchlichsten zählt. Anstelle der persönlichen Stempelkarte wird heute ein elektronisches Medium (Ausweis/Chip) verwendet und natürlich ist es dadurch auch technisch möglich, dass der Ausweis/Chip nicht vom tatsächlichen Besitzer sondern von einer anderen Person am Terminal gebucht wird. Gegen diesen Missbrauch gibt es aber einige Vorkehrungen:

  • Verwendung Biometrischer Identifikationsmethoden, also z.B. Fingerprint. Leider gibt es gegen die Nutzung von Fingerprint-Terminals noch immer eine Reihe von Argumenten. Einerseits weisen die Finger einer sehr kleinen Personengruppe (<<1%) Merkmale auf, die sich nicht oder nur sehr unpräzise digitalisieren lassen. Andererseits gibt es arbeitsrechtliche Grundlagen, die es der Belegschaftsvertretung ermöglichen es zu verhindern, dass biometrische Daten für betriebliche Zwecke gespeichert und genutzt werden.
  • Wenn der Einsatz biometrischer Systeme nicht gewünscht wird oder durch Belegschaftsvertretung verhindert wird, kann die Kombination einer Zeiterfassung mit einer Zutrittskontrolle das Stempeln für einen anderen unmöglich machen. Die Zutrittskontrolle muss dann aber so konzipiert sein, dass das Öffnen eines Zugangs auch mit dem tatsächlichen Zutritt plausibilisiert wird und dadurch geprüft werden kann, ob Personen die einen Zeit-Stempel absetzen auch tatsächlich anwesend sind.

Obwohl die Praxis zeigt, dass diese Form der Manipulation einer Zeiterfassung sehr selten vorkommt wird dieses Thema bei Entscheidungen für ein Zeiterfassungs-System fast immer zumindest diskutiert.

Gute Zeiterfassungs-Systeme müssen natürlich in der Lage sein Datenmanipulation im System auszuschließen. Das sollte einerseits durch entsprechende Funktionsberechtigungen der Programmverwaltung passieren und andererseits durch manipulationssichere Log-Dateien. Dennoch sind auch heute noch viele Systeme im Einsatz die entsprechende Mankos aufweisen und es kann zu einer Herausforderung für IT-Spezialisten werden, das Zeiterfassungs-System zu überlisten.

Etwas sensibler wird das Thema der Manipulation einer Zeiterfassung dann, wenn keine Terminals mit Ausweisen, Chips oder biometrischer Identifikation eingesetzt werden, sondern die Erfassung der Arbeitszeiten über sogenannte WEB-Terminals oder APPs am Smartphone erfolgt. Hier sollten sich System-Entscheider mit der angebotenen Lösung zumindest soweit auseinandersetzen, dass geprüft wird, ob die Technologie nicht zum Missbrauch verleitet:

  • Bei WEB-Terminals oder APP Zeiterfassung muss sichergestellt werden, dass die erfasste Zeit nicht vom Erfassungsgerät sondern vom Zeiterfassungs-Server geliefert wird (sonst könnte durch einfaches Verstellen der PC- oder Smartphone Uhrzeit eine falsche Zeit erfasst werden).
  • Um zu verhindern, dass die WEB-Terminal Zeiterfassung von einem beliebigen Endgerät erfolgt (also z.B. vom Heim-PC eines Mitarbeiters) sollte das System entsprechende Einschränkungen und Kontrollen ermöglichen (z.B. IP-Adressen Zuordnung im Mitarbeiter-Stammsatz).
  • Der Einsatz einer Smartphone- oder Tablett-APP für die Zeiterfassung wird wahrscheinlich dann gewählt, wenn die betroffenen Mitarbeiter vorwiegend oder häufig im Außendienst tätig sind. Hier kann die Miterfassung von GPS-Daten eine vernünftige Plausibilisierung sein.

Wenn wir heute immer wieder über erfolgreiche Hacker-Angriffe auf Rechensysteme hochsensibler Stellen hören muss man natürlich auch diese Technik als mögliche Quelle einer Zeiterfassungs-Manipulation in Betracht ziehen. Es stellt sich allerdings dabei die Frage, ob Personen, die in der Lage sind ein halbwegs gut abgesichertes Rechnersystem eines Unternehmens zu hacken dies nur wegen der Manipulation der erfassten Arbeitszeiten tun würden?

Anmerkung: Dieser Beitrag ist und soll keine Anleitung oder Motivation für Mitarbeiter zum Missbrauch der Zeiterfassung sein. Es ist ohne Zweifel, dass eine Manipulation der Zeiterfassung ein arbeitsrechtliches Vergehen ist. Wir zeigen hier nur auf worauf bei der Implementierung einer modernen Zeiterfassung zu achten ist um eine allfällige Manipulation durch einen Nutzer möglichst unmöglich zu machen.