Frage an Forensiker bezüglich Beweissicherung
Moin moin, Kollegen!
Wir sind IT-ler und keine Rechtsberater - das ist mir klar.
Ich möchte dennoch fragen, ob jemand hier, der mit Forensik zu tun hat, aus eigener Erfahrung darüber Bescheid weiß, wie Daten/Datenträger als Beweismittel eingesetzt werden.
Harmloses Beispiel: es gibt eine Betriebsvereinbarung, dass keine private Internetnutzung erlaubt ist. Jemand widersetzt sich dieser Vereinbarung und wird abgemahnt. Dieser jemand klagt nun und man trifft sich vor Gericht.
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Wir sind IT-ler und keine Rechtsberater - das ist mir klar.
Ich möchte dennoch fragen, ob jemand hier, der mit Forensik zu tun hat, aus eigener Erfahrung darüber Bescheid weiß, wie Daten/Datenträger als Beweismittel eingesetzt werden.
Harmloses Beispiel: es gibt eine Betriebsvereinbarung, dass keine private Internetnutzung erlaubt ist. Jemand widersetzt sich dieser Vereinbarung und wird abgemahnt. Dieser jemand klagt nun und man trifft sich vor Gericht.
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 343612
Url: https://administrator.de/forum/frage-an-forensiker-bezueglich-beweissicherung-343612.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
39 Kommentare
Neuester Kommentar
Moin,
kein Anwalt, aber entsprechende Sachverständigen hinzuziehen.
Außerdem hat es sich etabliert den entsprechenden Anwälten bzw dritten eine Kopie der jeweiligen Daten zukommen zu lassen. Kommt natürlich drauf an, wie der Zugriff passiert. ganz trivial ist das natürlich nie und kommt auch immer auf den Einzelfall an.
Am besten ist eine stringente Beweiskette, bei der die Fälschung entweder unmöglich ist, oder in keiner Relation zum Aufwand steht.
VG
kein Anwalt, aber entsprechende Sachverständigen hinzuziehen.
Außerdem hat es sich etabliert den entsprechenden Anwälten bzw dritten eine Kopie der jeweiligen Daten zukommen zu lassen. Kommt natürlich drauf an, wie der Zugriff passiert. ganz trivial ist das natürlich nie und kommt auch immer auf den Einzelfall an.
Am besten ist eine stringente Beweiskette, bei der die Fälschung entweder unmöglich ist, oder in keiner Relation zum Aufwand steht.
VG
Hi,
ganz Interessant zum nachlesen könnte auch das folgende sein: https://www.heise.de/security/artikel/Tatort-Internet-Ferngesteuert-1320 ...
denke auch das hier ein zertifizierter Sachverständiger die beste Wahl sein wird.
Gruß,
Mad-Eye
ganz Interessant zum nachlesen könnte auch das folgende sein: https://www.heise.de/security/artikel/Tatort-Internet-Ferngesteuert-1320 ...
denke auch das hier ein zertifizierter Sachverständiger die beste Wahl sein wird.
Gruß,
Mad-Eye
Zitat von @DerWoWusste:
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Moin
Lustige Idee und guter Tipp
Da Logfiles tatsächlich meist als Textfile vorliegen oder in einer Datenbank gespeichert werden, ist eine Manipulation naürlich leicht möglich.
Wie man das rechtssicher machen könnte ist sicher für alle interessant.
Berichte bitte über den Ausgang
VG
Ashnod
Sers,
vielleicht am Thema vorbei und rückwirkend nicht möglich: Firewall und/oder Proxy Logdateien, e.g. via Syslog, auf einen WORM Speicher laufen lassen.
Nachdem (seit 2005?) auch Soft-WORM Medien für eine rechtssichere Archivierung zulässig sind, sollte es also kein Problem sein auf ne vDisk zu sichern.
Grüße,
Philip
vielleicht am Thema vorbei und rückwirkend nicht möglich: Firewall und/oder Proxy Logdateien, e.g. via Syslog, auf einen WORM Speicher laufen lassen.
Nachdem (seit 2005?) auch Soft-WORM Medien für eine rechtssichere Archivierung zulässig sind, sollte es also kein Problem sein auf ne vDisk zu sichern.
Grüße,
Philip
Nun wenn sollte doch die Logfiles vom Router/Firewall und die des Clientssystem vorhanden sein in den Sicherungen sowie der Verlauf des Users...
Aber Leicht wird dies ja auch nicht da du ja nur den Client hast und eine Benutzerkennung..
Jedoch wenn der seinen PC verlässt ohne zu Sperren könnte auch der Böse Kollege dies gemacht haben oder der seine Logindaten kennt...
Wer Tatsächlich zu den Zeitpunkt am PC war kannst du quasi ja gar nicht Belegen....
Aber Leicht wird dies ja auch nicht da du ja nur den Client hast und eine Benutzerkennung..
Jedoch wenn der seinen PC verlässt ohne zu Sperren könnte auch der Böse Kollege dies gemacht haben oder der seine Logindaten kennt...
Wer Tatsächlich zu den Zeitpunkt am PC war kannst du quasi ja gar nicht Belegen....
Zitat von @kaiand1:
Jedoch wenn der seinen PC verlässt ohne zu Sperren könnte auch der Böse Kollege dies gemacht haben oder der seine Logindaten kennt...
Jedoch wenn der seinen PC verlässt ohne zu Sperren könnte auch der Böse Kollege dies gemacht haben oder der seine Logindaten kennt...
Moin
Das sehe ich als kleineres Problem weil du das Abmahnfähig machen kannst und durch Zeugen beweisen kannst, wenn der Mitarbeiter ohne Abmeldung seinen Arbeitsplatz verlässt und er mehrmals ertappt wird.
Hier reicht ein schriftliches Protokoll mit Nennung und Unterschrift des Zeugen.
VG
Ashnod
Zitat von @ashnod:
Moin
Das sehe ich als kleineres Problem weil du das Abmahnfähig machen kannst und durch Zeugen beweisen kannst, wenn der Mitarbeiter ohne Abmeldung seinen Arbeitsplatz verlässt und er mehrmals ertappt wird.
Hier reicht ein schriftliches Protokoll mit Nennung und Unterschrift des Zeugen.
VG
Ashnod
Moin
Das sehe ich als kleineres Problem weil du das Abmahnfähig machen kannst und durch Zeugen beweisen kannst, wenn der Mitarbeiter ohne Abmeldung seinen Arbeitsplatz verlässt und er mehrmals ertappt wird.
Hier reicht ein schriftliches Protokoll mit Nennung und Unterschrift des Zeugen.
VG
Ashnod
Wobei da die Sache ist ob die Kollegen den anderen auch in die "Pfanne hauen" was das Miteinander Arbeiten ja auch erschwert....
Hallo Kollege,
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Stellt sich zunächst einmal die Frage, wie die 'digitalen Beweise' aka Logfiles gesichert wurden.
Wurden diese im Beisein von Betriebsrat, Revision, Rechtsanwalt oder gar Polizei gesichert?
Ich denke, daß ist ein ausschlaggebender Grund.
Bei Anwesenheit vom Betriebsrat ober gar besser Revision und/oder Rechtsanwalt dürfte die 'Person' Schwierigkeiten haben, eine Manipulation nachzuweisen.
Was ich damit sagen will, ist eine rechtssichere Sicherstellung der 'digitalen Beweismittel' ist schwer oder gar unmöglich anzugreifen.
Gruss Penny
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Wurden diese im Beisein von Betriebsrat, Revision, Rechtsanwalt oder gar Polizei gesichert?
Ich denke, daß ist ein ausschlaggebender Grund.
Bei Anwesenheit vom Betriebsrat ober gar besser Revision und/oder Rechtsanwalt dürfte die 'Person' Schwierigkeiten haben, eine Manipulation nachzuweisen.
Was ich damit sagen will, ist eine rechtssichere Sicherstellung der 'digitalen Beweismittel' ist schwer oder gar unmöglich anzugreifen.
Gruss Penny
@Penny.Cilin:
Ich spiele jetzt mal den BadCop, wobeoi ich alles andere als dem TO (oder seinen Kollegen) etwas unterstellen will. Ich versuche mich nurmal in die Lage des Anderen zu versetzen:
Dein Ansatz würde aber vorausetzen, dass die o.g Pesonenkreise die Daten gesichert haben, bevor der zuständige ITler Kenntnis davon hatte.
Der ITler könnte ja zunächst die LogFiles hinsichtlich erstelldatum/ Inhalt manipuliert haben und erst dann es dem BR/ Vorgesetzten des vermeidlichen Täters gemeldet haben.
Ich würde ja nicht erst jemanden Anschwärzen und dann die Beweise manipulieren.
Und als ITler weiss man ja, wie die Daten manipuliert werden können, ohne dass es auffällt.
Lediglich das anzapfen der DaSi würde im ersten Angriff von Erfolg sprechen. Was aber voraussetzt, das der Tatbestand kurz vor der Sicherung der Daten erfolgte. Ansonsten hätte man wieder genügend Zeit zum manipulieren
Ich denke, wie von certified vorgeschlagen, das hinzuziehen eines zugelassenen Sachverständigen für die sinnvollste Variante. Auch wenn das den Kostenrahmen am Ende ein wenig sprengt, letztendlich geht es ja aber darum, wer im Recht ist (oder eben nicht).
Gruß
em-pie
Ich spiele jetzt mal den BadCop, wobeoi ich alles andere als dem TO (oder seinen Kollegen) etwas unterstellen will. Ich versuche mich nurmal in die Lage des Anderen zu versetzen:
Dein Ansatz würde aber vorausetzen, dass die o.g Pesonenkreise die Daten gesichert haben, bevor der zuständige ITler Kenntnis davon hatte.
Der ITler könnte ja zunächst die LogFiles hinsichtlich erstelldatum/ Inhalt manipuliert haben und erst dann es dem BR/ Vorgesetzten des vermeidlichen Täters gemeldet haben.
Ich würde ja nicht erst jemanden Anschwärzen und dann die Beweise manipulieren.
Und als ITler weiss man ja, wie die Daten manipuliert werden können, ohne dass es auffällt.
Lediglich das anzapfen der DaSi würde im ersten Angriff von Erfolg sprechen. Was aber voraussetzt, das der Tatbestand kurz vor der Sicherung der Daten erfolgte. Ansonsten hätte man wieder genügend Zeit zum manipulieren
Ich denke, wie von certified vorgeschlagen, das hinzuziehen eines zugelassenen Sachverständigen für die sinnvollste Variante. Auch wenn das den Kostenrahmen am Ende ein wenig sprengt, letztendlich geht es ja aber darum, wer im Recht ist (oder eben nicht).
Gruß
em-pie
Zitat von @DerWoWusste:
Hier sitzt kein Anwalt/Polizist auf Abruf, damit er bezeugen kann, dass das Logfile auf normalem Wege erzeugt wurde.
OK und Revision dann anscheinend auch nicht. - Gut so geht es dann nicht.Bei Anwesenheit vom Betriebsrat ober gar besser Revision und/oder Rechtsanwalt dürfte die 'Person' Schwierigkeiten haben, eine Manipulation nachzuweisen
nun, wenn du wirklich meinst, dass das Beisein während des Loggings möglich ist...Hier sitzt kein Anwalt/Polizist auf Abruf, damit er bezeugen kann, dass das Logfile auf normalem Wege erzeugt wurde.
Ich hätte meine Frage noch allgemeiner formulieren sollen:
1 Hat hier jemand einschlägige Erfahrung mit der Nutzung von Daten als Beweismaterial vor Gericht?
2 Wenn ja, wie wurde die Integrität der Daten beurteilt?
1. Als Beweis bereits genutzt, ging aber nicht vor Gericht.
2. Hier haben Richter Spielräume. Es gilt schliesslich auch ein Blatt Papier mit notdürftig mitnotierten Aufwänden als Stundennachweis, wenn dem Richter sonst nichts spanisch vorkommt.
Kommt aber, wie gesagt, immer auf die eigenen und fremden Anwälte an, außerdem darf man sich da nicht von amerikanischen Gerichtsshows leiten lassen, in denen z.T ein Komma zum Abbruch des Verfahrens genügt.
2. Hier haben Richter Spielräume. Es gilt schliesslich auch ein Blatt Papier mit notdürftig mitnotierten Aufwänden als Stundennachweis, wenn dem Richter sonst nichts spanisch vorkommt.
Kommt aber, wie gesagt, immer auf die eigenen und fremden Anwälte an, außerdem darf man sich da nicht von amerikanischen Gerichtsshows leiten lassen, in denen z.T ein Komma zum Abbruch des Verfahrens genügt.
Die größere Rechtssicherheit hast Du dann, wenn per zu unterschreibender Dienstvereinbarung oder im Arbeitsvertrag ausdrücklich vermerkt ist, dass der Internetverkehr vom Arbeitgeber überwacht ist und auf benutzerbezogen, detailliert dargestellt werden kann.
Mit seiner Unterschrift akzeptiert der Arbeitnehmer dieses Monitoring und erlaubt damit, es auch als beweiskräftig zu sehen.
Dass der AG in böser Absicht versucht, den AN loszuwerden, muss vom AN wirksam bewiesen werden.
Das sind zwei unterschiedliche Blickrichtungen.
Die höchste Rechtssicherheit hast Du, wenn der Internetverkehr von einer unabhängigen dritten (juristischen) Person überwacht wird.
Dann greift das Verdachtsmoment gegen den AG nicht.
Mit seiner Unterschrift akzeptiert der Arbeitnehmer dieses Monitoring und erlaubt damit, es auch als beweiskräftig zu sehen.
Dass der AG in böser Absicht versucht, den AN loszuwerden, muss vom AN wirksam bewiesen werden.
Das sind zwei unterschiedliche Blickrichtungen.
Die höchste Rechtssicherheit hast Du, wenn der Internetverkehr von einer unabhängigen dritten (juristischen) Person überwacht wird.
Dann greift das Verdachtsmoment gegen den AG nicht.
Wir hatten mal den Fall dass ein Mitarbeiter Daten per USB Stick klaute. Kollegen beobachteten ihn wie er mit einem USB Stick hantierte. Damals waren USB Sticks noch nicht blockiert, es gab aber auch keinen Grund sie zu nutzen da alles vernetzt war.
Daher erregte der USB Stick unsere Aufmerksamkeit. Mit dem anwesenden Betriebsrat wurde der Kollege gebeten den Stick zu übergeben, was er auch tat.
Wir schickten den Stick dann an eine spezialisierte Firma die eine Kopie des Sticks anfertigte und den Stick auf Daten (auch gelöschte) untersuchte.
Nachdem das Ergebnis feststand dass Daten die auf dem Stick nichts zu suchen hatten abgespeichert wurden hat die Geschäftsführung dann übernommen.
Der Mitarbeiter wurde gekündigt, vor Gericht ging das Ganze nicht.
Edit: Das Ganze ist aber auch schon einige Jahre her, geschätzt ca. 8-9
Daher erregte der USB Stick unsere Aufmerksamkeit. Mit dem anwesenden Betriebsrat wurde der Kollege gebeten den Stick zu übergeben, was er auch tat.
Wir schickten den Stick dann an eine spezialisierte Firma die eine Kopie des Sticks anfertigte und den Stick auf Daten (auch gelöschte) untersuchte.
Nachdem das Ergebnis feststand dass Daten die auf dem Stick nichts zu suchen hatten abgespeichert wurden hat die Geschäftsführung dann übernommen.
Der Mitarbeiter wurde gekündigt, vor Gericht ging das Ganze nicht.
Edit: Das Ganze ist aber auch schon einige Jahre her, geschätzt ca. 8-9
Ich arbeite als IT-Administrator bei einer Rechtsanwaltskanzlei und werde oft genug zu solchen oder ähnlichen Fällen befragt oder habe die Möglichkeit, mit zu verfolgen, wie sich die Dinge entwickeln.
Mein Kommentar entstand also aus Erlebtem bzw. Erfahrenem ergo aus Erfahrung (wenn auch nicht an eigenem Leib).
Ich komme mal kurz auf Deine zwei Fragen:
Wenn die jemand hat, werden Dir seine/ihre Antwort(en) nichts bringen. Das liegt in der Natur der Sache. Daten, erhoben zu einem bestimmten Zweck und dann vor Gericht verwertet zu werden ist der erste Sachverhalt, der zu klären ist. Ein Beispiel dazu: Nur weil ich in meinem Auto nach vorne und hinten Dashcams installiert habe, habe ich noch lange nicht das Recht, dass die Aufnahmen vor Gericht als Beweis zugelassen werden. Das hängt nicht nur vom Richter ab, sondern eben auch davon, ob die gewonnenen Daten zu diesem Zweck aufgenommen werden durften.
Darauf stützte sich die Abmahnwelle. Erst als kritisch hinterfragt wurde, kam das Ganze ins Wanken und fiel zusammen.
Mein Kommentar entstand also aus Erlebtem bzw. Erfahrenem ergo aus Erfahrung (wenn auch nicht an eigenem Leib).
Ich komme mal kurz auf Deine zwei Fragen:
Zitat von @DerWoWusste:
Ich hätte meine Frage noch allgemeiner formulieren sollen:
1 Hat hier jemand einschlägige Erfahrung mit der Nutzung von Daten als Beweismaterial vor Gericht?
Ich hätte meine Frage noch allgemeiner formulieren sollen:
1 Hat hier jemand einschlägige Erfahrung mit der Nutzung von Daten als Beweismaterial vor Gericht?
Wenn die jemand hat, werden Dir seine/ihre Antwort(en) nichts bringen. Das liegt in der Natur der Sache. Daten, erhoben zu einem bestimmten Zweck und dann vor Gericht verwertet zu werden ist der erste Sachverhalt, der zu klären ist. Ein Beispiel dazu: Nur weil ich in meinem Auto nach vorne und hinten Dashcams installiert habe, habe ich noch lange nicht das Recht, dass die Aufnahmen vor Gericht als Beweis zugelassen werden. Das hängt nicht nur vom Richter ab, sondern eben auch davon, ob die gewonnenen Daten zu diesem Zweck aufgenommen werden durften.
2 Wenn ja, wie wurde die Integrität der Daten beurteilt?
Das hängt immer vom/von den Gutachter/n ab und von der jeweiligen Seite. Je öfter Datenintegrität in Zweifel gezogen wird, desto eher kommt ein neues Gutachten. Wenn dies aber nicht passiert, dann ist ein Gutachten erstmal fest. Ich erinnere an den Redtube-Abmahnskandal. Das Gutachten kannst Du hier noch einsehen: http://abmahnung-medienrecht.de/wp-content/uploads/2014/01/Gutachten_zu ...Darauf stützte sich die Abmahnwelle. Erst als kritisch hinterfragt wurde, kam das Ganze ins Wanken und fiel zusammen.
Hallo DWW,
besprich das Thema mit dem Anwalt, der gleichartige Probleme bei euch bearbeitet bzw. bearbeiten würde, da das viele Wenn und Aber enthält, auch wegen etwaiger arbeitsrechtlicher Besonderheiten.
Die Logs sind im allgemeinen Zivilprozess grds, d.h. außerhalb des § 371a ZPO, kein Beweismittel, sondern substantiierter Parteivortrag. Wenn der Gegner die Echtheit substantiiert bestreitet, werdet ihr den Echtheitsbeweis führen müssen. Naheliegendes Beweismittel dafür ist der Admin als Zeuge, der ihre Erstellung konfiguriert und sie gesehen hat. Ansonsten kommt noch ein Sachverständigengutachen in Betracht.
Das ist die Theorie, weil in der Praxis die Tendenz (leider) zugunsten desjenigen ausschlägt, der digitale Beweismittel auch nur ausgedruckt vorlegt. Die Schwelle der "Substantiierung" ist insoweit für den Vortrag niedrig und für das Bestreiten hoch. Wäre erfolgreich bestritten, müsste Beweis erhoben werden, wovor die wenig technikbegeisterten Gerichte zurückschrecken. Logs sind eher selten, aber heute regelmäßig vorgelegte E-Mails sind oft offenkundige Bastelarbeiten, und die Betreffenden kommen damit durch. Es fehlt einfach an der Sachkompetenz bei den Gerichten, um dafür einen Maßstab zu entwickeln. Etwa in Filesharing-Prozessen werden Hashwerte praktisch durchweg ohne Angabe des Hash-Verfahrens behandelt. Einzigartiger Gibberish ist eben einzigartiger Gibberish.
Wenn es zum SV-Gutachten kommt, nimm ebenfalls die Filesharing-Prozesse oder die Strafprozesse in Cybercrime-Sachen als Vergleichsmaßstab: Ich will nicht sagen, dass die Ergebnisse dadurch signifikant falsch sind, aber technisch betrachtet ist das schon ein trauriges Schauspiel. Den in diesem Bereich tätigen Forensikern werden Aussagen abgerungen, die in der digitalen, spurlos veränderlichen Welt technisch nicht begründbar sind (Hat der Angeklagte/Kläger/Beklagte dies oder jenes getan?). Sie lassen sich die auch abringen, entweder weil sie es nicht besser wissen und das Zusammenspiel von Hard- und Software wie vermeintliche Naturgesetze studiert haben; oder weil sie dem Gericht die nötige Abstraktion nicht vermitteln können, und welche konkrete Dichte an Plausibilität sich für ein hypothetisches Geschehen aus ihren Feststellungen ergibt. Ab einer gewissen Plausibilität springen sie selbst in die Bresche und sagen: Mit an Sicherheit grenzender Wahrscheinlichkeit war es so. Der Richter steht dann am Ende einer für Juristen sehr wichtigen Reputationskette: Der SV, den er in ähnlichen Verfahren schon 50 Mal gehört hat, sagt, es war ganz sicher so wie in dem Bericht steht, den die forensische Standardsoftware auf Knopfdruck ausgespuckt hat. Die Software hätte in vielen Jahren noch nie einen Fehler gemacht, sagt der SV dazu, und fertig ist der Lack.
Auch diese Praxis streitet leider für alles bis auf allzu offensichtlich manipulierte Artefakte.
Grüße
Richard
besprich das Thema mit dem Anwalt, der gleichartige Probleme bei euch bearbeitet bzw. bearbeiten würde, da das viele Wenn und Aber enthält, auch wegen etwaiger arbeitsrechtlicher Besonderheiten.
Die Logs sind im allgemeinen Zivilprozess grds, d.h. außerhalb des § 371a ZPO, kein Beweismittel, sondern substantiierter Parteivortrag. Wenn der Gegner die Echtheit substantiiert bestreitet, werdet ihr den Echtheitsbeweis führen müssen. Naheliegendes Beweismittel dafür ist der Admin als Zeuge, der ihre Erstellung konfiguriert und sie gesehen hat. Ansonsten kommt noch ein Sachverständigengutachen in Betracht.
Das ist die Theorie, weil in der Praxis die Tendenz (leider) zugunsten desjenigen ausschlägt, der digitale Beweismittel auch nur ausgedruckt vorlegt. Die Schwelle der "Substantiierung" ist insoweit für den Vortrag niedrig und für das Bestreiten hoch. Wäre erfolgreich bestritten, müsste Beweis erhoben werden, wovor die wenig technikbegeisterten Gerichte zurückschrecken. Logs sind eher selten, aber heute regelmäßig vorgelegte E-Mails sind oft offenkundige Bastelarbeiten, und die Betreffenden kommen damit durch. Es fehlt einfach an der Sachkompetenz bei den Gerichten, um dafür einen Maßstab zu entwickeln. Etwa in Filesharing-Prozessen werden Hashwerte praktisch durchweg ohne Angabe des Hash-Verfahrens behandelt. Einzigartiger Gibberish ist eben einzigartiger Gibberish.
Wenn es zum SV-Gutachten kommt, nimm ebenfalls die Filesharing-Prozesse oder die Strafprozesse in Cybercrime-Sachen als Vergleichsmaßstab: Ich will nicht sagen, dass die Ergebnisse dadurch signifikant falsch sind, aber technisch betrachtet ist das schon ein trauriges Schauspiel. Den in diesem Bereich tätigen Forensikern werden Aussagen abgerungen, die in der digitalen, spurlos veränderlichen Welt technisch nicht begründbar sind (Hat der Angeklagte/Kläger/Beklagte dies oder jenes getan?). Sie lassen sich die auch abringen, entweder weil sie es nicht besser wissen und das Zusammenspiel von Hard- und Software wie vermeintliche Naturgesetze studiert haben; oder weil sie dem Gericht die nötige Abstraktion nicht vermitteln können, und welche konkrete Dichte an Plausibilität sich für ein hypothetisches Geschehen aus ihren Feststellungen ergibt. Ab einer gewissen Plausibilität springen sie selbst in die Bresche und sagen: Mit an Sicherheit grenzender Wahrscheinlichkeit war es so. Der Richter steht dann am Ende einer für Juristen sehr wichtigen Reputationskette: Der SV, den er in ähnlichen Verfahren schon 50 Mal gehört hat, sagt, es war ganz sicher so wie in dem Bericht steht, den die forensische Standardsoftware auf Knopfdruck ausgespuckt hat. Die Software hätte in vielen Jahren noch nie einen Fehler gemacht, sagt der SV dazu, und fertig ist der Lack.
Auch diese Praxis streitet leider für alles bis auf allzu offensichtlich manipulierte Artefakte.
Grüße
Richard
Mein Unternehmen ist u.a. IT-forensisch tätig, allerdings unter Meidung der Gerichtssäle. Die Perspektive auf die justizielle Seite stammt aus meinem Rechtsreferendariat, bei Gericht in einer Urheberrecht-/Filesharing-Abteilung. Bei den E-Mails denke ich an zwei Fälle in insgesamt gerade einmal 11 Monaten Zivilrecht.
Was den Push-Button-Forensiker mit der fehlerfreien Standardsoftware angeht: der ist dadurch quasi prominent und muss sich hier nicht wiedererkennen.
Was den Push-Button-Forensiker mit der fehlerfreien Standardsoftware angeht: der ist dadurch quasi prominent und muss sich hier nicht wiedererkennen.
Hallo,
Mit kopfschütteln?!? *scnr*
Ein Glück, dass ich neulich mal gegoogelt habe, was aus Lutz Donnerhacke geworden ist und zufällig auf diesen Artikel gestoßen bin, gell?
https://de.wikipedia.org/wiki/Ewige_Logdatei
Gruß,
Jörg
Mit kopfschütteln?!? *scnr*
Ein Glück, dass ich neulich mal gegoogelt habe, was aus Lutz Donnerhacke geworden ist und zufällig auf diesen Artikel gestoßen bin, gell?
https://de.wikipedia.org/wiki/Ewige_Logdatei
Gruß,
Jörg
Hallo,
Was sagt denn der Betriebsrat? Kann man hier eventuell mit Transparenz erreichen, dass dieser als unabhängige Instanz die grundsätzliche Echtheit bestätigt?
Gruß,
Jörg
Zitat von @DerWoWusste:
Ein mögliches Fazit für mich könnte sein: da ich mir das Gericht nicht aussuchen kann, lohnt es sich evtl. nicht einmal, forensisch einwandfreie Verfahren zu versuchen.
Ein mögliches Fazit für mich könnte sein: da ich mir das Gericht nicht aussuchen kann, lohnt es sich evtl. nicht einmal, forensisch einwandfreie Verfahren zu versuchen.
Was sagt denn der Betriebsrat? Kann man hier eventuell mit Transparenz erreichen, dass dieser als unabhängige Instanz die grundsätzliche Echtheit bestätigt?
Gruß,
Jörg
Hallo,
Nur so interessehalber: Der Datenschutzaspekt bereitet Dir keine Bauchschmerzen? Oder würdest Du die Protokollierung erst etablieren, wenn Verdacht gegen eine konkrete Person besteht?
"Meine" Pappenheimer machen das übrigens genau anders herum: Die haben mal 'ne Liste definiert (facebook, Instagram, BILD usw. usf.) und wenn die ihre Jungs und Mädels zur Arbeit anhalten wollen, bekommen diese einen Proxy übergebügelt, auf dem die gelisteten Seiten gesperrt sind
Gruß,
Jörg
Zitat von @DerWoWusste:
Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.
Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.
Nur so interessehalber: Der Datenschutzaspekt bereitet Dir keine Bauchschmerzen? Oder würdest Du die Protokollierung erst etablieren, wenn Verdacht gegen eine konkrete Person besteht?
"Meine" Pappenheimer machen das übrigens genau anders herum: Die haben mal 'ne Liste definiert (facebook, Instagram, BILD usw. usf.) und wenn die ihre Jungs und Mädels zur Arbeit anhalten wollen, bekommen diese einen Proxy übergebügelt, auf dem die gelisteten Seiten gesperrt sind
Gruß,
Jörg
Zitat von @DerWoWusste:
Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.
Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.
Dein Thread hat mich ebenfalls ins Nachdenken gebracht, wobei ich hier mal Aufwand/ Nutzen in erwägung gezogen habe.
Denkbar wären ja zwei Möglichkeiten:
Variante a) hat ja @fa-jka aufgezeigt
Variante b) könnte womöglich eine Art Syslog-Server sein, bei dem der Datenempfangene Part nur Schreibrechte in eine DB o.Ä. hat. Einen User zum Ändern/ mit den Adminrechten wird angelegt und aus einem Kennwort zweier Parteien gebildet: z.B. GL und BR. Beide Kennwörter werden jeweils für sich versiegelt in einen gesamtversiegelten Umschlag in einem Safe aufbewahrt. Das würde ja in die Richtung WORM gehen: Die Systeme dürfen zwar immer nur reinschreiben, aber Niemand kann etwas ändern. Das gesamte Verfahren ggf. mit einem IT-Juristen abstimmen und formal absegnen lassen. Optional noch in das unternehmensweite QM-System in Form einer Verfahrensanweisung (jedoch verallgemeinert) einbinden, dann wissen auch alle, zumindest über den groben Ablauf bescheit (Einzelheiten wie: welcher Safe und wer Zugang hat, sollten vllt. nicht genannt werden). Idealerweise mal zyklisch prüfen, ob die Umschläge auch noch versiegelt sind. Wenn das ein halbes Jahr keiner prüft, ist das System auch wieder "undicht"...
Neben den o.g. Usern noch eine Zahl X an ReadOnly-User, mit denen die Admins oder wer auch immer die LogFiles auswerten können.
Ob es Systeme für Variante b) schon fertig gibt: k.A.
Beim Durchlesen scheint mir auf anhieb aber Variante a) die pflgegeleichteste Variante zu sein, wobei hier die dahinterstehenden Systeme natürlich doppelt und dreifach beschäftigt sind.
Das hat für allgemeine Log-Server, die aus den unterschiedlichsten Quellen gespeist werden, wenig Sinn. Jede Quelle müsste verschlüsselt und mit gegenseitiger Authentifizierung an den Log-Server angebunden werden und jeweils lokal gegen den potenziell Manipulierenden, also in dem Szenario der Fragestellung gegen den Admin, abgesichert werden. Das schönste Log-System nutzt nichts, wenn ich beliebige Daten hinein pumpen und attestieren lassen kann.
Etwas sinnvoller wird es dort, wo ein Perimeter existiert, an dem man eine verdongelte Appliance aufstellen kann: Bei der üblichen "revisionssicheren" Mail-Archivierung oder, wie in der Frage angedacht, bei den Proxy-Logs. Nun weiß jeder, dass Revisionssicherheit ein juristischer Cargo-Cult ist. Dieses magische System, in das ich nur hineinschreiben und niemand irgendetwas verändern kann, existiert schlichtweg nicht. Die Sicherheit physischer WORM-Medien hängt an der Buchhaltung über ihren Bestand, um ihre Nachfertigung zu vereiteln. Wo erfolgt die, wenn überhaupt? Auf WORM-Medien? Und weiß ich sicher, dass der Hersteller nicht vor elf Jahren eine Packung mit identischen Seriennummern ausgeliefert hat, die der Admin seitdem hortet, um bei Gelegenheit zwei Disks daraus einzusetzen?
Die Alternative ist, das Ganze kryptographisch an ein externes Trust-Center anzuflanschen, und damit einen Glaubwürdigkeitsgewinn zu erzielen. Aufwändig, denn in eigenem Interesse muss ich dann diesem gegenüber bzw. gegenüber dessen Software, die nach draußen kommuniziert, vorher alles verschlüsseln. Derjenige mit der (kollusiven) Manipulationsfähigkeit sitzt dann eben weiter weg und hat grundsätzlich ein geringeres Interesse an der jeweiligen Tat.
Also zwei Möglichkeiten: Wenn alle Stricke reißen, wird immer jemand, der das System zumindest teilweise kontrolliert und manipulieren könnte, in den Zeugenstand treten und unter strafbewehrter Wahrheitspflicht aussagen müssen, dass er nicht manipuliert habe, und welche Dritten mit welchen Hürden manipulieren könnten (nur um die dann auch befragen zu können). Meines Erachtens allein dort, wo das nicht ausreichen mag oder faktisch aussichtslos ist, wie in potenziellen Streitthemen mit dem Fiskus, dort praktiziert man exakt den Cargo-Cult, an den der jeweilige Empfängerkreis glaubt.
Grüße
Richard
Hallo,
"in anderen" Bereichen (elektronische Archivierung) wird das über eine Zertifizierung der Software erreicht.
Diese beinhaltet z.B. eine "bildliche Darstellung" von Objekten (also einen schwer reversiblen Medienbruch) und eine konsequente Protokollierung über die Meta-Daten der Objekte. Ein Lied nahezu identisch nachzusingen ist schwieriger, als ein Notenblatt abzumalen
Wobei Du natürlich Recht hast wenn Du sagst, dass man ggf. auch in der Datenbank herumpfuschen kann.
http://elektronische-steuerpruefung.de/management/steuersicher-archivie ...
Vielleicht lassen sich die LOG-Dateien ja automatisiert ins DMS einspielen^^ Wobei Du streng genommen sogar verpflichtet bist, diese zu archivieren: Die Verpflichtung erstreckt sich nämlich nicht nur auf Dokumente, sondern letztendlich auf alles, was das Rechen- und Regelwerk hinter den Prozessen beinhaltet. Und wenn z.B. ein Mitarbeiter eine Seite aufruft, über die ein kostenpflichtiger Dienst genutzt wird, handelt es sich streng genommen auch schon um einen kaufmännischen Vorgang.
Lange Rede, kurzer Sinn: Ich würde aufhören, darüber nachzudenken
Gruß,
Jörg
"in anderen" Bereichen (elektronische Archivierung) wird das über eine Zertifizierung der Software erreicht.
Diese beinhaltet z.B. eine "bildliche Darstellung" von Objekten (also einen schwer reversiblen Medienbruch) und eine konsequente Protokollierung über die Meta-Daten der Objekte. Ein Lied nahezu identisch nachzusingen ist schwieriger, als ein Notenblatt abzumalen
Wobei Du natürlich Recht hast wenn Du sagst, dass man ggf. auch in der Datenbank herumpfuschen kann.
http://elektronische-steuerpruefung.de/management/steuersicher-archivie ...
Vielleicht lassen sich die LOG-Dateien ja automatisiert ins DMS einspielen^^ Wobei Du streng genommen sogar verpflichtet bist, diese zu archivieren: Die Verpflichtung erstreckt sich nämlich nicht nur auf Dokumente, sondern letztendlich auf alles, was das Rechen- und Regelwerk hinter den Prozessen beinhaltet. Und wenn z.B. ein Mitarbeiter eine Seite aufruft, über die ein kostenpflichtiger Dienst genutzt wird, handelt es sich streng genommen auch schon um einen kaufmännischen Vorgang.
Lange Rede, kurzer Sinn: Ich würde aufhören, darüber nachzudenken
Gruß,
Jörg
Einfach ein Image der Festplatte (1 zu 1) erstellen in bei sein eines Notars oder zumindest einiger Zeugen, diese sollten aber auch verstehen was du da machst
Zu welchem Zeitpunkt willst du denn den Klon anfertigen? Vor oder nach der Manipulation der (Log-)Files?
Und wie schnell kannst du eine ganze Disk klonen, wenn da pro Sekunde 100 LogEinträge der vielen Switche/ Proxies/ whatever einfliegen?
Und wann gilt der Klon als veraltet?
Sicherlich ein guter Ansatz, welcher sich aber praktisch nicht "rechtssicher" umsetzen lässt...
Moin ...
Ich hatte ja gestern schon geschrieben, das ich dieses Thema interessant finde und somit haben wir das gestern als Thema in die Diskussion genommen.
Fazit: Eine Baustelle die wir nicht aufmachen wollen.
Hier im Forum gab es verschiedene Ansätze die durchaus geeignet erscheinen, insbesonder die von @em-pie haben uns gut gefallen, aber letztendlich in unserer Diskussion rausgefallen sind.
Ergebnis unserer Diskussion ohne rechtsverbindlichen Charakter und Anspruch auf Richtigkeit.
Ein Hauptpunkt der Diskussion war der Datenschutz von personenbezogenen Daten.
Hier sehen wir das Hauptproblem zu den vorgeschlagenen Speicherlösungen.
Wir gehen davon aus das wir diese Daten nicht beliebig erheben dürfen und zudem vor allem nicht dauerhaft und unbefristet speichern dürfen.
Zudem müssten wir sofern eine Auskunft erwünscht wird, derjenigen Person ja alle über sie gespeicherten Daten zur Verfügung stellen. Allein das ist ist ein Horrorszenario das sich niemand ernsthaft wünscht.
Daraus ergab sich aber die Frage wo dürften diese Daten rechtsverbindlich gespeichert werden.
In unserem Ergebnis kann das ausschließlich die Personalakte sein.
Zugriff auf die Personalakte haben die Arbeitgeber, der bearbeitende zuständige Personalmensch und der Mitarbeiter. Alle anderen wären hier raus, also auch die IT.
Zudem müsste der Mitarbeiter in der Folge über diesen Eintrag in seine Personalakte informiert werden.
Somit könnte man sich als Lösung folgenden Workflow vorstellen, der zugegeben einen hohen erzieherischen Wert hätte und am Ende evtl. einen rechtsverbindlichen Charakter hätte, aber vermutlich einen sehr hohen Arbeitsaufwand verursacht.
Der Webproxy stellt fest das Mitarbeiter xyz versucht hat die gesperrte Seite Porno.xxl aufzurufen und generiert eine Mitteilung an folgende Empfänger:
1. Personalabteilung -
"Mitarbeiter xyz hat am xx.xx.xxxx um xx.xx versucht folgende gesperrte Internet-Seite aufzurufen: Porno.xxl.
Bitte prüfen Sie ob sich daraus arbeitsrechtliche Auswirkungen ergeben und fordern sie ggf. eine Stellungnahme des Mitarbeiters an."
2. Mitarbeiter -
"Sie haben am xx.xx.xxxx um xx.xx versucht folgende gesperrte Internetseite aufzurufen: Porno.xxl.
Wir prüfen zur Zeit ob sich daraus arbeitsrechtliche Auswirkungen ergeben und ob dieser Sachverhalt Bestandteil Ihrer Personalakte wird.
Wir werden ggf. eine Stellungnahme von Ihnen einholen, sofern arbeitsrechtliche Auswirkungen entstehen könnten damit Sie die Gelegenheit haben sich zu dem Sachverhalt zu äussern."
Ob das dann tatsächlich Bestandteil der Personalakte wird obliegt dann der Personalabteilung. Hier gelten dann die üblichen Regelungen und Fristen für die Führung einer Personalakte.
Das wäre unsere Idee die aber in die Tonne geworfen wird, weil wir unsere Mitarbeiter nicht mit jeder Mail in Panik versetzen wollen weil Sie bei Lidl, Aldi und den anderen verdächtigen Seiten die Angebote duchstöbern wollten und der Arbeitsaufwand dafür in keinem Verhältnis steht.
VG
Ashnod
Ich hatte ja gestern schon geschrieben, das ich dieses Thema interessant finde und somit haben wir das gestern als Thema in die Diskussion genommen.
Fazit: Eine Baustelle die wir nicht aufmachen wollen.
Hier im Forum gab es verschiedene Ansätze die durchaus geeignet erscheinen, insbesonder die von @em-pie haben uns gut gefallen, aber letztendlich in unserer Diskussion rausgefallen sind.
Ergebnis unserer Diskussion ohne rechtsverbindlichen Charakter und Anspruch auf Richtigkeit.
Ein Hauptpunkt der Diskussion war der Datenschutz von personenbezogenen Daten.
Hier sehen wir das Hauptproblem zu den vorgeschlagenen Speicherlösungen.
Wir gehen davon aus das wir diese Daten nicht beliebig erheben dürfen und zudem vor allem nicht dauerhaft und unbefristet speichern dürfen.
Zudem müssten wir sofern eine Auskunft erwünscht wird, derjenigen Person ja alle über sie gespeicherten Daten zur Verfügung stellen. Allein das ist ist ein Horrorszenario das sich niemand ernsthaft wünscht.
Daraus ergab sich aber die Frage wo dürften diese Daten rechtsverbindlich gespeichert werden.
In unserem Ergebnis kann das ausschließlich die Personalakte sein.
Zugriff auf die Personalakte haben die Arbeitgeber, der bearbeitende zuständige Personalmensch und der Mitarbeiter. Alle anderen wären hier raus, also auch die IT.
Zudem müsste der Mitarbeiter in der Folge über diesen Eintrag in seine Personalakte informiert werden.
Somit könnte man sich als Lösung folgenden Workflow vorstellen, der zugegeben einen hohen erzieherischen Wert hätte und am Ende evtl. einen rechtsverbindlichen Charakter hätte, aber vermutlich einen sehr hohen Arbeitsaufwand verursacht.
Der Webproxy stellt fest das Mitarbeiter xyz versucht hat die gesperrte Seite Porno.xxl aufzurufen und generiert eine Mitteilung an folgende Empfänger:
1. Personalabteilung -
"Mitarbeiter xyz hat am xx.xx.xxxx um xx.xx versucht folgende gesperrte Internet-Seite aufzurufen: Porno.xxl.
Bitte prüfen Sie ob sich daraus arbeitsrechtliche Auswirkungen ergeben und fordern sie ggf. eine Stellungnahme des Mitarbeiters an."
2. Mitarbeiter -
"Sie haben am xx.xx.xxxx um xx.xx versucht folgende gesperrte Internetseite aufzurufen: Porno.xxl.
Wir prüfen zur Zeit ob sich daraus arbeitsrechtliche Auswirkungen ergeben und ob dieser Sachverhalt Bestandteil Ihrer Personalakte wird.
Wir werden ggf. eine Stellungnahme von Ihnen einholen, sofern arbeitsrechtliche Auswirkungen entstehen könnten damit Sie die Gelegenheit haben sich zu dem Sachverhalt zu äussern."
Ob das dann tatsächlich Bestandteil der Personalakte wird obliegt dann der Personalabteilung. Hier gelten dann die üblichen Regelungen und Fristen für die Führung einer Personalakte.
Das wäre unsere Idee die aber in die Tonne geworfen wird, weil wir unsere Mitarbeiter nicht mit jeder Mail in Panik versetzen wollen weil Sie bei Lidl, Aldi und den anderen verdächtigen Seiten die Angebote duchstöbern wollten und der Arbeitsaufwand dafür in keinem Verhältnis steht.
VG
Ashnod