50
Verdacht auf Transfer von Geschäftsdaten
Hallo zusammen,
folgender Sachverhalt:
Wir haben bei einem Mitarbeiter den aktuellen Verdacht, dass dieser an seinem Geschäfts Computer geschäftliche Daten (Kundendaten) in eine Excel Datei transferiert hat und dieses file dann online über seinen privaten Email Account an sich selbst geschickt hat.
Gibt es hier irgendeine Möglichkeit das herauszufinden? Ggf. Durch eine Spiegelung?
Vielen Dank für eure Hilfe
Grüße
folgender Sachverhalt:
Wir haben bei einem Mitarbeiter den aktuellen Verdacht, dass dieser an seinem Geschäfts Computer geschäftliche Daten (Kundendaten) in eine Excel Datei transferiert hat und dieses file dann online über seinen privaten Email Account an sich selbst geschickt hat.
Gibt es hier irgendeine Möglichkeit das herauszufinden? Ggf. Durch eine Spiegelung?
Vielen Dank für eure Hilfe
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 542918
Url: https://administrator.de/contentid/542918
Printed on: April 18, 2024 at 04:04 o'clock
50 Comments
Latest comment
Moin,
als erstes solltet ihr das mit eurer Rechtsabteilung/euren Anwalt abklären. ggfs kommt euch da die DSGVO in die Quere...
Die technischen Möglichkeiten hängen von eurer Netzwerk- und Firewall Infrastruktur ab. DA gibst du zu wenig infos
lg,
Slainte
als erstes solltet ihr das mit eurer Rechtsabteilung/euren Anwalt abklären. ggfs kommt euch da die DSGVO in die Quere...
Die technischen Möglichkeiten hängen von eurer Netzwerk- und Firewall Infrastruktur ab. DA gibst du zu wenig infos
lg,
Slainte
Hallo,
Rückwirkend ist da wenig möglich, wenn es bisher keine IT-Sicherheitsstrategie und Vorkehrung gibt. Das Rechtliche hat der Kollege bereits angesprochen. Aus dem Ansatz sollte eine solche wohl erarbeitet werden.
Wenn du willst, klopf gerne mal hier an, u.a wir stehen hierfür gerne zur Verfügung.
Viele Grüße,
Christian
certifiedit.net
Rückwirkend ist da wenig möglich, wenn es bisher keine IT-Sicherheitsstrategie und Vorkehrung gibt. Das Rechtliche hat der Kollege bereits angesprochen. Aus dem Ansatz sollte eine solche wohl erarbeitet werden.
Wenn du willst, klopf gerne mal hier an, u.a wir stehen hierfür gerne zur Verfügung.
Viele Grüße,
Christian
certifiedit.net
Hi
die Logs des Mailservers werden dir da weiterhelfen, du kannst zwar nicht den Inhalt der Mail sehen aber ob überhaupt eine Versandt wurde. Wenn Ihr einen Exchange im Einsatz habt, könnt Ihr im Bedarfsfall auch gelöschte Elemente der letzten 30T wiederherstellen (sofern an der Standardeinstellung nichts geändert wurde) - was dann auch "Gesendete Elemente" betrifft.
Wenn Ihr das zeitlich schnell genug geklärt bekommt, kommt Ihr auch an die entsprechenden Daten ran.
Apropos: Mail Archivierung ist Pflicht ... und das man seinen Usern die private Nutzung verbietet auch, dann darfst auch die Auswertungen fahren ohne das du DSGVO Probleme bekommst. (Ausschluss privater Nutzung setzt aber schon einiges mehr voraus wie eine schriftliche Anweisung).
Gruß
@clSchak
die Logs des Mailservers werden dir da weiterhelfen, du kannst zwar nicht den Inhalt der Mail sehen aber ob überhaupt eine Versandt wurde. Wenn Ihr einen Exchange im Einsatz habt, könnt Ihr im Bedarfsfall auch gelöschte Elemente der letzten 30T wiederherstellen (sofern an der Standardeinstellung nichts geändert wurde) - was dann auch "Gesendete Elemente" betrifft.
Wenn Ihr das zeitlich schnell genug geklärt bekommt, kommt Ihr auch an die entsprechenden Daten ran.
Apropos: Mail Archivierung ist Pflicht ... und das man seinen Usern die private Nutzung verbietet auch, dann darfst auch die Auswertungen fahren ohne das du DSGVO Probleme bekommst. (Ausschluss privater Nutzung setzt aber schon einiges mehr voraus wie eine schriftliche Anweisung).
Gruß
@clSchak
online über seinen privaten Email Account an sich selbst geschickt hat.
Lese da keine Firmeninfrastruktur.
Vielen Dank für euren Kommentar.
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen. Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!
Viele Grüße
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen. Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!
Viele Grüße
Hallo Johnson,
das ist selbst mit seiner Zustimmung (Zwangslage - stimmt er dem nicht zu macht er sich automatisch verdächtig?) sehr zweifelhaft.
Ebenfalls ist die Frage, ob Ihr alle privaten Emailadressen von Ihm kennt und ob er die genannte Email -falls, in dubio pro reo - nicht bereits gelöscht hat.
Viele Grüße,
Christian
das ist selbst mit seiner Zustimmung (Zwangslage - stimmt er dem nicht zu macht er sich automatisch verdächtig?) sehr zweifelhaft.
Ebenfalls ist die Frage, ob Ihr alle privaten Emailadressen von Ihm kennt und ob er die genannte Email -falls, in dubio pro reo - nicht bereits gelöscht hat.
Viele Grüße,
Christian
Zitat von @Johnsoncontrol:
Vielen Dank für euren Kommentar.
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen. Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!
Viele Grüße
Vielen Dank für euren Kommentar.
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen. Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!
Viele Grüße
Wenn keine Auditing auf dem Client aktiv ist würde ich das fast für unmöglich halten ohne Zugriff auf die entsprechenden Mailaccounts zu erhalten die dem Anwender privat gehören.
@certifiedit.net: stimmt, habe ich irgendwie überlesen, dann sind die von mir genannten Hinweise nicht korrekt.
Hallo zusammen,
Danke nochmals für eure Hilfe und Kommentare.
Letztendlich stellt sich im Vordergrund die Frage, ob man generell nachvollziehen könnte, ob der Mitarbeiter die Datei zum
Beispiel von seinem Desktop via Drag and Drop in eine neue Email seiner privaten Emailadresse im Browser kopiert hat.
Viele Grüße
Danke nochmals für eure Hilfe und Kommentare.
Letztendlich stellt sich im Vordergrund die Frage, ob man generell nachvollziehen könnte, ob der Mitarbeiter die Datei zum
Beispiel von seinem Desktop via Drag and Drop in eine neue Email seiner privaten Emailadresse im Browser kopiert hat.
Viele Grüße
Zitat von @Johnsoncontrol:
>(Kundendaten) in eine Excel Datei transferiert hat und dieses file dann online über seinen privaten Email Account an sich selbst geschickt hat.
>(Kundendaten) in eine Excel Datei transferiert hat und dieses file dann online über seinen privaten Email Account an sich selbst geschickt hat.
Moin,
was genau heisst das? Über das Webportal seines privaten Accounts oder eine zusätzliche privat Email Adresse im Firmen Outlook/T-Bird o.ä.?
Im ersten Fall hast Du sogut wie keine Chance das nachzuvollziehen im zweiten vielleicht.
Für die Zukunft: Umfassende DLP einführen, das fängt beim USB Stick an, geht über die Sperre von Freemailern und endet bei einer entsprechenden Mail Appliance, die so etwas (mit Glück) verhindert, etc.
Gruss
Letztendlich stellt sich im Vordergrund die Frage, ob man generell nachvollziehen könnte, ob der Mitarbeiter die Datei zum
so wie es sich anhört ist da Sicherheitstechnisch grüne Wiese, also tendiert es zu nein.
Beispiel von seinem Desktop via Drag and Drop in eine neue Email seiner privaten Emailadresse im Browser kopiert hat.
Nein.
Ja genau- die Datei vom Firmenrechner kopiert und über das Webportal seines privaten email providers verschickt..
Danke + Grüße
Danke + Grüße
Hallo,
Wenn ich damit konfrontiert werden würde, dann würde ich das als Anlass nehmen, die Beweise zu vernichten
Wenn Ihr einen begründeten Verdacht habt solltet Ihr euch als Erstes die Zustimmung des Betriebsrates holen. Ansonsten steht hier eine ganze Menge zu den rechtlichen Aspekten: https://www.ddniedersachsen.de/assets/messages/Anlage_9_Interne_Ermittlu ...
Unter Umständen ist nachvollziehbar, dass größere Datenmengen aus einem CRM-System o.Ä. gezogen wurden. Was da protokolliert wird, hängt von eurem System ab.
Am Browserverlauf kann man maximal erkennen, dass der Mitarbeiter seinen privaten E-Mail-Account aufgerufen hat. U.U. findet man das auch in den Protokollen eines eventuell vorhandenen Proxy-Servers.
Vielleicht findet man die Excel-Tablette oder Hinweise darauf auch noch irgendwo auf dem Rechner des Mitarbeiters (Papierkorb, Liste der "zuletzt geöffneten Dateien" usw.).
Achja: Ein Faktor ist natürlich auch, wie zerrüttet das Vertrauensverhältnis ist. Wenn von öffentlicher Seite (Staatsanwaltschaft) ermittelt wird, kann diese z.B. ein Auskunftsersuchen an den privaten E-Mail-Anbieter stellen.
Gruß,
Jörg
Zitat von @Johnsoncontrol:
Vielen Dank für euren Kommentar.
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.
Vielen Dank für euren Kommentar.
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.
Wenn ich damit konfrontiert werden würde, dann würde ich das als Anlass nehmen, die Beweise zu vernichten
Wenn Ihr einen begründeten Verdacht habt solltet Ihr euch als Erstes die Zustimmung des Betriebsrates holen. Ansonsten steht hier eine ganze Menge zu den rechtlichen Aspekten: https://www.ddniedersachsen.de/assets/messages/Anlage_9_Interne_Ermittlu ...
Unter Umständen ist nachvollziehbar, dass größere Datenmengen aus einem CRM-System o.Ä. gezogen wurden. Was da protokolliert wird, hängt von eurem System ab.
Am Browserverlauf kann man maximal erkennen, dass der Mitarbeiter seinen privaten E-Mail-Account aufgerufen hat. U.U. findet man das auch in den Protokollen eines eventuell vorhandenen Proxy-Servers.
Vielleicht findet man die Excel-Tablette oder Hinweise darauf auch noch irgendwo auf dem Rechner des Mitarbeiters (Papierkorb, Liste der "zuletzt geöffneten Dateien" usw.).
Achja: Ein Faktor ist natürlich auch, wie zerrüttet das Vertrauensverhältnis ist. Wenn von öffentlicher Seite (Staatsanwaltschaft) ermittelt wird, kann diese z.B. ein Auskunftsersuchen an den privaten E-Mail-Anbieter stellen.
Gruß,
Jörg
Zitat von @Johnsoncontrol:
Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!
Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!
Da müßte man eine forensische Analyse seines Systems machen, und schauen, was in den Browser-resten noch verfügbar ist.
Allerdings läßt sdich auf diese Weise nur nachweisen, daß er etwas verschickt hat und nicht, daß er nichts verschickt hat. Und zwar dann, wenn er nachlässig genug war und nicht alle Spuren schon verwischt hat.
Ich glabe Ihr soltle über ogranisatorische Maßnahmen und an "vertrauens"-Checks arbeiten.
lks
lks
Hallo,
Im deutschen Recht gab es mal sowas wie Beweislast und Unschuldsvermutung. ... Ihr müsst beweisen das er unrecht begangen hat. Nicht umgekehrt.
brammer
dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“ Zu beweisen.
Im deutschen Recht gab es mal sowas wie Beweislast und Unschuldsvermutung. ... Ihr müsst beweisen das er unrecht begangen hat. Nicht umgekehrt.
brammer
1
Servus,
und wenn der TO in seiner Firma alle möglichen technischen Wege für einen illegalen Dateitransfer blockiert, könnte sein AN ja immer noch versuchen, ggf. mit (mehreren) Fotos des privaten Smartphones eine offene Excel-Datei abzufotografieren und dann ohne, ohne dass der AG dies merkt, an seinen privaten Mailaccount zu senden.
Dann würde wohl nur helfen, das Mitbringen des privaten Smartphones ins Büro zu verbieten?!
Gruß
und wenn der TO in seiner Firma alle möglichen technischen Wege für einen illegalen Dateitransfer blockiert, könnte sein AN ja immer noch versuchen, ggf. mit (mehreren) Fotos des privaten Smartphones eine offene Excel-Datei abzufotografieren und dann ohne, ohne dass der AG dies merkt, an seinen privaten Mailaccount zu senden.
Dann würde wohl nur helfen, das Mitbringen des privaten Smartphones ins Büro zu verbieten?!
Gruß
Danke euch allen für die schnellen Infos.
Also Fakt, wie ich nun verstanden habe ist, dass wir nicht nachvollziehen können wie Dateien bewegt wurden bzw. In ein Browserfenster kopiert wurden oder gar per Mail
Verschickt wurden, richtig ? Auch nicht durch log files o.ä. ?
Danke + Gruß
Also Fakt, wie ich nun verstanden habe ist, dass wir nicht nachvollziehen können wie Dateien bewegt wurden bzw. In ein Browserfenster kopiert wurden oder gar per Mail
Verschickt wurden, richtig ? Auch nicht durch log files o.ä. ?
Danke + Gruß
bestenfalls könnte man bei vorhandensein einer entsprechenden Firewall mit SSL inspection und detaillierten logs sehen das er auf der Site des Mailanbieters war. Vielleicht sogar anhand der Aufrufe das er eine Mail verschickt hat. Aber WELCHE Datei er da verschickt hat nicht und auch nicht wohin.
Sowas kommt vor. Wenn ihr euch da zu sehr reinsteigert, verletzt ihr Ruckzuck seine Rechte und dann wird's schnell hässlich für euch.
Belasst es einfach dabei und schaut das ihr entsprechende Techniken implementiert, das sowas in Zukunft nicht mehr vorkommt.
DLP in der Firewall, mit allen Vor und Nachteilen, private Mailanbieter sperren, Kundendaten nicht in Exceldateien aufbewahren *sigh* und solche Dinge halt
Sowas kommt vor. Wenn ihr euch da zu sehr reinsteigert, verletzt ihr Ruckzuck seine Rechte und dann wird's schnell hässlich für euch.
Belasst es einfach dabei und schaut das ihr entsprechende Techniken implementiert, das sowas in Zukunft nicht mehr vorkommt.
DLP in der Firewall, mit allen Vor und Nachteilen, private Mailanbieter sperren, Kundendaten nicht in Exceldateien aufbewahren *sigh* und solche Dinge halt
Wir haben uns eben mal mit diversen „forensic“
Software beschäftigt. Das könnte doch helfen? Hat jemand Erfahrungen damit ? Letztendlich ist die Staatsanwaltschaft oder Polizei ja auch in der Lage dazu, diverse Dinge zu rekonstruieren?
Grüße
Software beschäftigt. Das könnte doch helfen? Hat jemand Erfahrungen damit ? Letztendlich ist die Staatsanwaltschaft oder Polizei ja auch in der Lage dazu, diverse Dinge zu rekonstruieren?
Grüße
Hallo,
"kommt drauf an". Früher war es mal so, dass bei gelöschten Dateien einfach nur der erste Name von der Datei durch ein Fragezeichen ersetzt wurde (die wurde dann nicht mehr im Index angezeigt).
Inzwischen dürfte sich da aber etwas getan haben Anzumerken ist auch, dass die Chance, gelöschte Dateien wieder herzustellen, mit zunehmender Nutzung des Speichermediums sinkt. Die freigewordenen Bereiche stehen ja zum Beschreiben zur Verfügung.
Gruß,
Jörg
"kommt drauf an". Früher war es mal so, dass bei gelöschten Dateien einfach nur der erste Name von der Datei durch ein Fragezeichen ersetzt wurde (die wurde dann nicht mehr im Index angezeigt).
Inzwischen dürfte sich da aber etwas getan haben
Anzumerken ist auch, dass die Chance, gelöschte Dateien wieder herzustellen, mit zunehmender Nutzung des Speichermediums sinkt. Die freigewordenen Bereiche stehen ja zum Beschreiben zur Verfügung.Gruß,
Jörg
ich hab mehr und mehr das Gefühl, dass hier nur ein Skriptkiddie schreibt. Wenn es wirklich um relevante Firmendaten ginge, wäre wohl schon der Rechtsanwalt gefragt und ein Profi eingeschalten.
Skriptkiddie?!?!
Sorry aber die Sache ist nunmal nicht ganz einfach.
Wie du dir sicher vorstellen kannst, geht es um generellen erstmal darum, ob es technisch überhaupt möglich ist an einen Beweis zu gelangen !!
Da hilft dir auch kein Rechtsanwalt weiter!
Sorry aber die Sache ist nunmal nicht ganz einfach.
Wie du dir sicher vorstellen kannst, geht es um generellen erstmal darum, ob es technisch überhaupt möglich ist an einen Beweis zu gelangen !!
Da hilft dir auch kein Rechtsanwalt weiter!
Das ist sie tatsächlich nicht. Aber versetz dich bitte mal in unsere Lage: Wir kennen weder den Aufbau eures Netzes, noch den Ursprungsverdacht bzw auch nur irgendwas, womit man etwas ableiten könnte. Im Prinzip ist schon mit den ersten Antworten alles gesagt worden:
a) du brauchst rechtliche Absicherung, bevor du irgendwas machst, sonst habt ihr bald ganz andere Probleme. Und doch, da hilft ein Rechtsanwalt.
b) ihr braucht, da wohl nicht vorhanden (sonst nicht die Frage hier - hoffentlich) externe Unterstützung.
Mit forensic Tools herumspielen dürfte gelinde gesagt aus der Situation nicht nur zu nichts führen, sondern ggf. sogar Beweise zerstören - auch, weil der Zeitfaktor hierbei immer gegen euch spielt. Dementsprechend ist es entweder nicht so wichtig (was komisch wäre) oder es ist eben eine Agitation nach dem Schema, wir brauchen da nur ein Skript rennen zu lassen. Was eben nur mit Glück zu einem Ergebnis und wenn, vielleicht nicht zum richtigen (die Kollegen erwähnten es bereits) führt.
Die rechtl. Rahmen sind dabei auch recht eng, ihr dürfte de facto gar nicht danach suchen.
Viele Grüße,
Christian
certifiedit.net
a) du brauchst rechtliche Absicherung, bevor du irgendwas machst, sonst habt ihr bald ganz andere Probleme. Und doch, da hilft ein Rechtsanwalt.
b) ihr braucht, da wohl nicht vorhanden (sonst nicht die Frage hier - hoffentlich) externe Unterstützung.
Mit forensic Tools herumspielen dürfte gelinde gesagt aus der Situation nicht nur zu nichts führen, sondern ggf. sogar Beweise zerstören - auch, weil der Zeitfaktor hierbei immer gegen euch spielt. Dementsprechend ist es entweder nicht so wichtig (was komisch wäre) oder es ist eben eine Agitation nach dem Schema, wir brauchen da nur ein Skript rennen zu lassen. Was eben nur mit Glück zu einem Ergebnis und wenn, vielleicht nicht zum richtigen (die Kollegen erwähnten es bereits) führt.
Die rechtl. Rahmen sind dabei auch recht eng, ihr dürfte de facto gar nicht danach suchen.
Viele Grüße,
Christian
certifiedit.net
Zitat von @Johnsoncontrol:
Wir haben uns eben mal mit diversen „forensic“
Software beschäftigt. Das könnte doch helfen?
Wir haben uns eben mal mit diversen „forensic“
Software beschäftigt. Das könnte doch helfen?
Ja.
Hat jemand Erfahrungen damit ?
Ja.
Letztendlich ist die Staatsanwaltschaft oder Polizei ja auch in der Lage dazu, diverse Dinge zu rekonstruieren?
Jein.
das geht nur dann, wenn die Information auch noch vorhanden ist. Wenn man die betreffenden Daten sorgfältig genug löscht oder vielleicht sogar falsche Daten implantiert, kann man alle möglichen "Taten" verwischen oder "nachweisen".
Das Problem ist, daß die gefundenen Daten korrekt eingeordnet und bewertet werden müssen. Eine forensische Analyse liefert nur Hinweise, aber keine handfesten Beweise. Und wie gesagt, solange kein Dritter an der Platte rumfummelt kann man damit nur Hinweise für die Schuld finden, wobei es dann nochmal ein weiterer Punkt ist, ob die Hinweise vom Verdächtigen stammen oder ob ein Dritter da noch rumgefummelt hat, um die Schuld auf diesen zu wälzen, aber das nicht vorhandensein von Hinweisen ist kein Beweis für Unschuld.
Wenn Ihr solche Vorkommnisse verhindern wollte, müßt Ihr eure Infrastruktur und Eure Arbeitsprozesse dementsprechend gestalten.
lks
Hi lks,
Vielen Dank für deine ausführliche Antwort.
Vielleicht noch zur Ergänzung des allgemeinen Sachverhalts:
Der Mitarbeiter hat sich nicht Fehlverhalten, indem er auf seinem Geschäftsrechner auf Daten zugegriffen hat (er hatte ja auch die Berechtigung dazu), es geht hier vielmehr ausschließlich darum, ob er das excel file im Browser über seinen privaten email Zugang auf sich privat weitergeleitet hat.
Das ist die große Frage, ob sich technisch sowas überhaupt rausfinden lässt, da es ja sein EIGENER Account sein musste.
Denn: wenn das nicht so ist, hätten wir wohl ein großes Problem
Grüße
Vielen Dank für deine ausführliche Antwort.
Vielleicht noch zur Ergänzung des allgemeinen Sachverhalts:
Der Mitarbeiter hat sich nicht Fehlverhalten, indem er auf seinem Geschäftsrechner auf Daten zugegriffen hat (er hatte ja auch die Berechtigung dazu), es geht hier vielmehr ausschließlich darum, ob er das excel file im Browser über seinen privaten email Zugang auf sich privat weitergeleitet hat.
Das ist die große Frage, ob sich technisch sowas überhaupt rausfinden lässt, da es ja sein EIGENER Account sein musste.
Denn: wenn das nicht so ist, hätten wir wohl ein großes Problem
Grüße
Ps: das mit der „Zeit“ Bzw. Eiligkeit haben wir noch nicht so ganz verstanden, da es ja doch eigentlich nichts am System ändert ?
Wir wollten uns eigentlich in Ruhe einen entsprechenden Plan zurecht legen...
Wir wollten uns eigentlich in Ruhe einen entsprechenden Plan zurecht legen...
Der Mitarbeiter hat sich nicht Fehlverhalten, indem er auf seinem Geschäftsrechner auf Daten zugegriffen hat (er hatte ja auch die Berechtigung dazu), es geht hier vielmehr ausschließlich darum, ob er das excel file im Browser über seinen privaten email Zugang auf sich privat weitergeleitet hat.
Andere Frage, wie kommt ihr denn auf die Idee, dass er getan haben könnte und wer bist "du" im Unternehmen? Mit wem ist das "Plan zu Recht legen" abgestimmt? Merke: Als Admin kommst du ggf. sogar in Haftung, wenn du Datenschutzbefugnisse überschreitest.
Das ist die große Frage, ob sich technisch sowas überhaupt rausfinden lässt, da es ja sein EIGENER Account sein musste.
Wenn da was war und noch nichts gelöscht wurde und nicht zu viel Zeit war lässt sich u.U ein Hinweis finden, wie der aussieht kommt aber auf viel mehr Parameter an.
Ps: das mit der „Zeit“ Bzw. Eiligkeit haben wir noch nicht so ganz verstanden, da es ja doch eigentlich nichts am System ändert ?
Doch. Es werden dauernd Dateien im System geschrieben und gelöschte überschrieben, ebenfalls werden alte Logdateien gelöscht und vllt ist es auch nur sowas simples wie "Browsercache löschen", weil die Branchenanwendung nicht mehr läuft...Also nichtmal unbedingt der Verschleierung dienlich sein soll, es aber doch ist.
Ganz einfach:
Wir haben festgestellt, dass größere Datenmengen aus einem CRM System kopiert wurden. Wohin wissen wir nicht. Aber: eine Mitarbeiterin hat sich wohl gewundert, warum der Mitarbeiter den ganzen Tag an einer excel Liste arbeitet, von der keiner wusste was genau er macht!
Dem Mitarbeiter wurden vorübergehend die Rechte zum Zugriff auf das System entzogen.
Er streitet dies vehement ab.
Wir haben festgestellt, dass größere Datenmengen aus einem CRM System kopiert wurden. Wohin wissen wir nicht. Aber: eine Mitarbeiterin hat sich wohl gewundert, warum der Mitarbeiter den ganzen Tag an einer excel Liste arbeitet, von der keiner wusste was genau er macht!
Dem Mitarbeiter wurden vorübergehend die Rechte zum Zugriff auf das System entzogen.
Er streitet dies vehement ab.
Wenn Ihr solche Vorkommnisse verhindern wollte, müßt Ihr eure Infrastruktur und Eure Arbeitsprozesse dementsprechend gestalten.
kann das nur anführen. Dir dürfte mittlerweile auch klar sein, dass "theoretisch" darüber reden kaum etwas bringt.
Sicherlich hast du Recht, was die GL sicherlich auch bedenken wird. Zum aktuellen Fall hilft uns das aber nicht mehr...
Stimmt, da hilft aber auch keine Theorie, da müsst Ihr nachschauen lassen, was wann passiert ist um Indizien zu sammeln. Nur eine große Menge abgerufener Daten heisst noch nichts, vor allem, wenn er die Rechte hatte.
In welcher Branche seid Ihr denn? (gerne per PN).
In welcher Branche seid Ihr denn? (gerne per PN).
Genau.
Ein Verdacht ist aber kein Nachweis und wenn der Mitarbeiter nicht zur genauen Überprüfung zustimmen sollte, können wir auch nicht einfach auf „seinen“ Rechner bzw. Alle Inhalte, Verläufe etc zugreifen.
Ein Verdacht ist aber kein Nachweis und wenn der Mitarbeiter nicht zur genauen Überprüfung zustimmen sollte, können wir auch nicht einfach auf „seinen“ Rechner bzw. Alle Inhalte, Verläufe etc zugreifen.
Auch das ist absolut richtig, deswegen benötigt ihr die Rechtsanwaltliche Absicherung und dann die konkrete Prüfung wenn erlaubt und dann solltet Ihr schleunigst den Sicherheits- und Datenschutzpart aufbauen.
Hallo,
Und das begründet den Hauptverdacht?
Gruß,
Jörg
Zitat von @Johnsoncontrol:
Ganz einfach:
Aber: eine Mitarbeiterin hat sich wohl gewundert, warum der Mitarbeiter den ganzen Tag an einer excel Liste arbeitet, von der keiner wusste was genau er macht!
Ganz einfach:
Aber: eine Mitarbeiterin hat sich wohl gewundert, warum der Mitarbeiter den ganzen Tag an einer excel Liste arbeitet, von der keiner wusste was genau er macht!
Und das begründet den Hauptverdacht?
Gruß,
Jörg
Naja in Kombination mit der durch den User kopierten Daten schon oder ?
Ohne Vorgeschichte nicht unbedingt. Aber das Thema Vertrauen kam ja schon auf. Damit scheint es ja nicht (mehr) weit her zu sein.
also wenn man's denn wirklich will, muß man wirklich den Zustand der IT einfrieren und ernsthaft forensisch auswerten;
Spuren können immer noch in den Resten der Auslagerungsdatei sein, Spuren können im Browser-Cache sein, Spuren können aus temporären Dateien (das Excel-Dings) in den wieder freien Blöcken der Festplatte sein -
dafür darf man aber den Mitarbeiter nicht mehr beliebig weiter auf dem System arbeiten lassen.
Schlachtplan also:
1. sicherstellen und versiegeln - Protokoll machen, 6-8 Augen Prinzip
2. Rechtliche Situation klären, durfte nur dienstlich gearbeitet werden, Betriebsrat, Arbeitsvertrag, ...
3. erst dann vom unabhängigen Forensiker mit Budget 4-5 stellig nach Spuren suchen lassen und genug potentielle Datenmuster zur Verfügung stellen
4. ggf. Anhaltspunkte bewerten und ggf. nach Strategie mit GL und Rechtsabteilung erst den MA konfrontieren bzw. sich vor Gericht sehen.
HG
Mark
Spuren können immer noch in den Resten der Auslagerungsdatei sein, Spuren können im Browser-Cache sein, Spuren können aus temporären Dateien (das Excel-Dings) in den wieder freien Blöcken der Festplatte sein -
dafür darf man aber den Mitarbeiter nicht mehr beliebig weiter auf dem System arbeiten lassen.
Schlachtplan also:
1. sicherstellen und versiegeln - Protokoll machen, 6-8 Augen Prinzip
2. Rechtliche Situation klären, durfte nur dienstlich gearbeitet werden, Betriebsrat, Arbeitsvertrag, ...
3. erst dann vom unabhängigen Forensiker mit Budget 4-5 stellig nach Spuren suchen lassen und genug potentielle Datenmuster zur Verfügung stellen
4. ggf. Anhaltspunkte bewerten und ggf. nach Strategie mit GL und Rechtsabteilung erst den MA konfrontieren bzw. sich vor Gericht sehen.
HG
Mark
Moin,
für mich liest sich das so, ohne dir zu nahe treten zu wollen, als würde da jemand seine Spuren oder irgendwelche Spuren verwischen wollen. Ist nur meine Meinung.
Mit Hilfe von Datenforensik kansnt du aber einiges, gerade bei Windows, rekonstruieren. Angefangen bei den sog. JumpLists bis hinzu Einträgen über die Registry kannst du herausfinden, wann, welche Datei geöffnet wurde. Natürlich nur bestimmte Zeiträume bzw. bis zu bestimmten Zeiträumen. Du kannst dir hierzu die Poster vom SAN Institut anschauen. Einfach in Google mal "SANS Institut IT Forensik Grafik" eingeben.
Sollte so ein Fall tatsächlich eingetreten sein, hätte man aber schon längst rechtliche Schritte bzw. Experten ins Boot geholt. Jeder sollte wissen, dass Forensik ein sensibles und zeitkritisches Thema ist. Gerade wenn du die Resultate gerichtlich verwertbar machen willst. So einfach ist das nämlich alles nicht.
Ansonsten stimme ich meinen Vorrednern zu: In Deutschland gilt die Unschuldsvermutung. Solange ihr also nichts beweisen könnt, hat euer Mitarbeiter euch auch nichts nachzuweisen. Wo kämen wir hin, wenn jeder erstmal seine Unschuld beweisen muss, bevor man ihn überhaupt Schuld bewiesen hat.
Grüße
Toni
für mich liest sich das so, ohne dir zu nahe treten zu wollen, als würde da jemand seine Spuren oder irgendwelche Spuren verwischen wollen. Ist nur meine Meinung.
Mit Hilfe von Datenforensik kansnt du aber einiges, gerade bei Windows, rekonstruieren. Angefangen bei den sog. JumpLists bis hinzu Einträgen über die Registry kannst du herausfinden, wann, welche Datei geöffnet wurde. Natürlich nur bestimmte Zeiträume bzw. bis zu bestimmten Zeiträumen. Du kannst dir hierzu die Poster vom SAN Institut anschauen. Einfach in Google mal "SANS Institut IT Forensik Grafik" eingeben.
Sollte so ein Fall tatsächlich eingetreten sein, hätte man aber schon längst rechtliche Schritte bzw. Experten ins Boot geholt. Jeder sollte wissen, dass Forensik ein sensibles und zeitkritisches Thema ist. Gerade wenn du die Resultate gerichtlich verwertbar machen willst. So einfach ist das nämlich alles nicht.
Ansonsten stimme ich meinen Vorrednern zu: In Deutschland gilt die Unschuldsvermutung. Solange ihr also nichts beweisen könnt, hat euer Mitarbeiter euch auch nichts nachzuweisen. Wo kämen wir hin, wenn jeder erstmal seine Unschuld beweisen muss, bevor man ihn überhaupt Schuld bewiesen hat.
Grüße
Toni
@fa-jka
Ganz sicher die falsche Spur - die Teile sind in Deutschland nicht zugelassen und zumindest im europäischen Ausland verschreibungspflichtig.
LG, Thomas
Vielleicht findet man die Excel-Tablette oder Hinweise darauf
Ganz sicher die falsche Spur - die Teile sind in Deutschland nicht zugelassen und zumindest im europäischen Ausland verschreibungspflichtig.
LG, Thomas
1
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.
Nun, wäre ich der Mitarbeiter und unschuldig, würde ich einen RA konsultieren, mit der Bitte doch eine höhere Abfindung zu "beantragen", Alternative wäre eine Anzeige der Firma wegen falscher Verdächtigung und erpresserischer Aufforderung zur "Unschuldsfindung"! Bereits jetzt habt ihr den Fehler begangen, bei einem Verdacht, diesen offen zu äußern. Könnte schon als Beleidigung / Unterstellung ausgelegt werden. Bereits zu diesem Zeitpunkt hat sich die Firma sehr weit in die rechtliche Grauzone reinbegeben.
Nachtrag: Beweissicherung für ein Gericht könntet Ihr eh nicht tun. Solch Verfahren setzt zwingend einen richterlichen Beschluss voraus und zugelassene und vereidigte Techniker mit für Gerichte zugelassene Software.
Zu beweisen.
Nun, wäre ich der Mitarbeiter und unschuldig, würde ich einen RA konsultieren, mit der Bitte doch eine höhere Abfindung zu "beantragen", Alternative wäre eine Anzeige der Firma wegen falscher Verdächtigung und erpresserischer Aufforderung zur "Unschuldsfindung"! Bereits jetzt habt ihr den Fehler begangen, bei einem Verdacht, diesen offen zu äußern. Könnte schon als Beleidigung / Unterstellung ausgelegt werden. Bereits zu diesem Zeitpunkt hat sich die Firma sehr weit in die rechtliche Grauzone reinbegeben.
Nachtrag: Beweissicherung für ein Gericht könntet Ihr eh nicht tun. Solch Verfahren setzt zwingend einen richterlichen Beschluss voraus und zugelassene und vereidigte Techniker mit für Gerichte zugelassene Software.
Zitat von @UweGri:
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.
Nun, wäre ich der Mitarbeiter und unschuldig, würde ich einen RA konsultieren, mit der Bitte doch eine höhere Abfindung zu "beantragen", Alternative wäre eine Anzeige der Firma wegen falscher Verdächtigung und erpresserischer Aufforderung zur "Unschuldsfindung"! Bereits jetzt habt ihr den Fehler begangen, bei einem Verdacht, diesen offen zu äußern. Könnte schon als Beleidigung / Unterstellung ausgelegt werden. Bereits zu diesem Zeitpunkt hat sich die Firma sehr weit in die rechtliche Grauzone reinbegeben.
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.
Nun, wäre ich der Mitarbeiter und unschuldig, würde ich einen RA konsultieren, mit der Bitte doch eine höhere Abfindung zu "beantragen", Alternative wäre eine Anzeige der Firma wegen falscher Verdächtigung und erpresserischer Aufforderung zur "Unschuldsfindung"! Bereits jetzt habt ihr den Fehler begangen, bei einem Verdacht, diesen offen zu äußern. Könnte schon als Beleidigung / Unterstellung ausgelegt werden. Bereits zu diesem Zeitpunkt hat sich die Firma sehr weit in die rechtliche Grauzone reinbegeben.
und durch das nicht aktiv werden sind auf der anderen Seite ggf. bereits massig (falls) wirkliche Beweise verloren gegangen.
moin...
wenn ihr dabei hilfe braucht, dürft ihr euch gerne melden!
Frank
Wenn Ihr solche Vorkommnisse verhindern wollte, müßt Ihr eure Infrastruktur und Eure Arbeitsprozesse dementsprechend gestalten.
aber grundlegend....wenn ihr dabei hilfe braucht, dürft ihr euch gerne melden!
Frank
Haha, Frank, lass uns Mal über eine Kooperation reden ;)
Danke dir!
Danke dir!
moin...
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....
Danke dir!
gerne... warte mal ab, auf unseren Winterschlussverkauf 2020... da werden wir Wiederholt und aufdringlich auf unsere Angebote hinweisen....
Frank
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....
Danke dir!
Frank
Zitat von @Vision2015:
moin...
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....
moin...
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....
bringt Ihr euch so an den Markt?
Ich glaub ich muss nochmals drüber nachdenken
Oha... Wäre ich der verdächtigte Arbeitnehmer, hättest Du bzw. die GL des Hauses eine Unterlassungsklage am Hals.
Und wenn ich die GL, oder ein Teil davon wäre, würde ich mir neben der Sicherheit meiner IT auch Gedanken um deinen Verbleib machen.
Wer oder was hat Dich befähigt, interne Vorkommnisse aus dem Unternehmen heraus in ein öffentlich zugängliches Administrator Forum zu transferieren?
Grüße
Uwe
Zitat von @transocean:
Oha... Wäre ich der verdächtigte Arbeitnehmer, hättest Du bzw. die GL des Hauses eine Unterlassungsklage am Hals.
Und wenn ich die GL, oder ein Teil davon wäre, würde ich mir neben der Sicherheit meiner IT auch Gedanken um deinen Verbleib machen.
Wer oder was hat Dich befähigt, interne Vorkommnisse aus dem Unternehmen heraus in ein öffentlich zugängliches Administrator Forum zu transferieren?
Grüße
Uwe
Oha... Wäre ich der verdächtigte Arbeitnehmer, hättest Du bzw. die GL des Hauses eine Unterlassungsklage am Hals.
Und wenn ich die GL, oder ein Teil davon wäre, würde ich mir neben der Sicherheit meiner IT auch Gedanken um deinen Verbleib machen.
Wer oder was hat Dich befähigt, interne Vorkommnisse aus dem Unternehmen heraus in ein öffentlich zugängliches Administrator Forum zu transferieren?
Grüße
Uwe
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.
Aber dafür wird man hier mittlerweile sogar angefeindet.
Zitat von @falscher-sperrstatus:
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.
Aber dafür wird man hier mittlerweile sogar angefeindet.
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.
Aber dafür wird man hier mittlerweile sogar angefeindet.
Wo Du Recht hast...
1Zitat von @falscher-sperrstatus:
bringt Ihr euch so an den Markt?
ja... du nicht?Zitat von @Vision2015:
moin...
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....
moin...
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....
bringt Ihr euch so an den Markt?
Ich glaub ich muss nochmals drüber nachdenken
Frank
Zitat von @transocean:
Wo Du Recht hast...
ja .... aber... schaut mal...Zitat von @falscher-sperrstatus:
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.
Aber dafür wird man hier mittlerweile sogar angefeindet.
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.
Aber dafür wird man hier mittlerweile sogar angefeindet.
Wo Du Recht hast...
derjenige braucht ja auch seine daseinsberechtigung!...was sollte er den machen, wenn nicht moppern!
und nicht jeder hat die fachliche kompetenz und erfahrung, hier lösungen auf probleme in der IT zu posten...
und dabei sein ist alles...
Frank
Niemand, auch nicht die Polizei, darf/dürfte einen privaten Mailaccount einfach mal so durchsuchen. Und die Durchsuchung sämtlicher Konten wäre der einzige Weg zum Beweis. Und weil der Gerichtsbeschluss dafür so lange dauert, gibt es Möglichkeiten, Daten einzufrieren. Der Betriebsrat und der betriebliche Datenschutzbeauftragte wurden in den Kommentaren vergessen, deren Einbindung ist nicht zu vergessen.
Ziemlich maue Verdachtslage. Sind Sie sicher, dass es Ihnen um die Aufklärung eines möglichen Fehlverhaltens geht?
Ziemlich maue Verdachtslage. Sind Sie sicher, dass es Ihnen um die Aufklärung eines möglichen Fehlverhaltens geht?
