derwowusste
Goto Top

Frage an Forensiker bezüglich Beweissicherung

Moin moin, Kollegen!

Wir sind IT-ler und keine Rechtsberater - das ist mir klar.
Ich möchte dennoch fragen, ob jemand hier, der mit Forensik zu tun hat, aus eigener Erfahrung darüber Bescheid weiß, wie Daten/Datenträger als Beweismittel eingesetzt werden.

Harmloses Beispiel: es gibt eine Betriebsvereinbarung, dass keine private Internetnutzung erlaubt ist. Jemand widersetzt sich dieser Vereinbarung und wird abgemahnt. Dieser jemand klagt nun und man trifft sich vor Gericht.

Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?

Content-ID: 343612

Url: https://administrator.de/forum/frage-an-forensiker-bezueglich-beweissicherung-343612.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

certifiedit.net
certifiedit.net 17.07.2017 um 10:47:34 Uhr
Goto Top
Moin,

kein Anwalt, aber entsprechende Sachverständigen hinzuziehen.

Außerdem hat es sich etabliert den entsprechenden Anwälten bzw dritten eine Kopie der jeweiligen Daten zukommen zu lassen. Kommt natürlich drauf an, wie der Zugriff passiert. ganz trivial ist das natürlich nie und kommt auch immer auf den Einzelfall an.

Am besten ist eine stringente Beweiskette, bei der die Fälschung entweder unmöglich ist, oder in keiner Relation zum Aufwand steht.

VG
Mad-Eye
Mad-Eye 17.07.2017 um 10:52:16 Uhr
Goto Top
Hi,

ganz Interessant zum nachlesen könnte auch das folgende sein: https://www.heise.de/security/artikel/Tatort-Internet-Ferngesteuert-1320 ...

denke auch das hier ein zertifizierter Sachverständiger die beste Wahl sein wird.

Gruß,
Mad-Eye
ashnod
ashnod 17.07.2017 um 11:01:28 Uhr
Goto Top
Zitat von @DerWoWusste:
Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?

Moin
Lustige Idee und guter Tipp face-wink

Da Logfiles tatsächlich meist als Textfile vorliegen oder in einer Datenbank gespeichert werden, ist eine Manipulation naürlich leicht möglich.

Wie man das rechtssicher machen könnte ist sicher für alle interessant.

Berichte bitte über den Ausgang face-wink

VG
Ashnod
psannz
psannz 17.07.2017 aktualisiert um 11:10:37 Uhr
Goto Top
Sers,

vielleicht am Thema vorbei und rückwirkend nicht möglich: Firewall und/oder Proxy Logdateien, e.g. via Syslog, auf einen WORM Speicher laufen lassen.
Nachdem (seit 2005?) auch Soft-WORM Medien für eine rechtssichere Archivierung zulässig sind, sollte es also kein Problem sein auf ne vDisk zu sichern.

Grüße,
Philip
kaiand1
kaiand1 17.07.2017 um 12:07:11 Uhr
Goto Top
Nun wenn sollte doch die Logfiles vom Router/Firewall und die des Clientssystem vorhanden sein in den Sicherungen sowie der Verlauf des Users...
Aber Leicht wird dies ja auch nicht da du ja nur den Client hast und eine Benutzerkennung..
Jedoch wenn der seinen PC verlässt ohne zu Sperren könnte auch der Böse Kollege dies gemacht haben oder der seine Logindaten kennt...
Wer Tatsächlich zu den Zeitpunkt am PC war kannst du quasi ja gar nicht Belegen....
ashnod
ashnod 17.07.2017 um 12:18:11 Uhr
Goto Top
Zitat von @kaiand1:
Jedoch wenn der seinen PC verlässt ohne zu Sperren könnte auch der Böse Kollege dies gemacht haben oder der seine Logindaten kennt...


Moin

Das sehe ich als kleineres Problem weil du das Abmahnfähig machen kannst und durch Zeugen beweisen kannst, wenn der Mitarbeiter ohne Abmeldung seinen Arbeitsplatz verlässt und er mehrmals ertappt wird.
Hier reicht ein schriftliches Protokoll mit Nennung und Unterschrift des Zeugen.

VG
Ashnod
kaiand1
kaiand1 17.07.2017 um 12:22:02 Uhr
Goto Top
Zitat von @ashnod:
Moin

Das sehe ich als kleineres Problem weil du das Abmahnfähig machen kannst und durch Zeugen beweisen kannst, wenn der Mitarbeiter ohne Abmeldung seinen Arbeitsplatz verlässt und er mehrmals ertappt wird.
Hier reicht ein schriftliches Protokoll mit Nennung und Unterschrift des Zeugen.

VG
Ashnod

Wobei da die Sache ist ob die Kollegen den anderen auch in die "Pfanne hauen" was das Miteinander Arbeiten ja auch erschwert....
Penny.Cilin
Penny.Cilin 17.07.2017 um 12:26:09 Uhr
Goto Top
Zitat von @DerWoWusste:

Moin moin, Kollegen!
Hallo Kollege,

Frage: wenn der Jenige nun behaupten würde, dass die "digitalen Beweise" (Logfiles) manipuliert sind - wie könnte man dem begegnen?
Stellt sich zunächst einmal die Frage, wie die 'digitalen Beweise' aka Logfiles gesichert wurden.
Wurden diese im Beisein von Betriebsrat, Revision, Rechtsanwalt oder gar Polizei gesichert?
Ich denke, daß ist ein ausschlaggebender Grund.
Bei Anwesenheit vom Betriebsrat ober gar besser Revision und/oder Rechtsanwalt dürfte die 'Person' Schwierigkeiten haben, eine Manipulation nachzuweisen.

Was ich damit sagen will, ist eine rechtssichere Sicherstellung der 'digitalen Beweismittel' ist schwer oder gar unmöglich anzugreifen.


Gruss Penny
em-pie
em-pie 17.07.2017 um 12:35:20 Uhr
Goto Top
@Penny.Cilin:

Ich spiele jetzt mal den BadCop, wobeoi ich alles andere als dem TO (oder seinen Kollegen) etwas unterstellen will. Ich versuche mich nurmal in die Lage des Anderen zu versetzen:
Dein Ansatz würde aber vorausetzen, dass die o.g Pesonenkreise die Daten gesichert haben, bevor der zuständige ITler Kenntnis davon hatte.
Der ITler könnte ja zunächst die LogFiles hinsichtlich erstelldatum/ Inhalt manipuliert haben und erst dann es dem BR/ Vorgesetzten des vermeidlichen Täters gemeldet haben.
Ich würde ja nicht erst jemanden Anschwärzen und dann die Beweise manipulieren.
Und als ITler weiss man ja, wie die Daten manipuliert werden können, ohne dass es auffällt.
Lediglich das anzapfen der DaSi würde im ersten Angriff von Erfolg sprechen. Was aber voraussetzt, das der Tatbestand kurz vor der Sicherung der Daten erfolgte. Ansonsten hätte man wieder genügend Zeit zum manipulieren

Ich denke, wie von certified vorgeschlagen, das hinzuziehen eines zugelassenen Sachverständigen für die sinnvollste Variante. Auch wenn das den Kostenrahmen am Ende ein wenig sprengt, letztendlich geht es ja aber darum, wer im Recht ist (oder eben nicht).

Gruß
em-pie
DerWoWusste
DerWoWusste 17.07.2017 aktualisiert um 12:57:40 Uhr
Goto Top
Bei Anwesenheit vom Betriebsrat ober gar besser Revision und/oder Rechtsanwalt dürfte die 'Person' Schwierigkeiten haben, eine Manipulation nachzuweisen
nun, wenn du wirklich meinst, dass das Beisein während des Loggings möglich ist...
Hier sitzt kein Anwalt/Polizist auf Abruf, damit er bezeugen kann, dass das Logfile auf normalem Wege erzeugt wurde.

Ich hätte meine Frage noch allgemeiner formulieren sollen:
1 Hat hier jemand einschlägige Erfahrung mit der Nutzung von Daten als Beweismaterial vor Gericht?
2 Wenn ja, wie wurde die Integrität der Daten beurteilt?
Penny.Cilin
Penny.Cilin 17.07.2017 um 13:20:34 Uhr
Goto Top
Zitat von @DerWoWusste:

Bei Anwesenheit vom Betriebsrat ober gar besser Revision und/oder Rechtsanwalt dürfte die 'Person' Schwierigkeiten haben, eine Manipulation nachzuweisen
nun, wenn du wirklich meinst, dass das Beisein während des Loggings möglich ist...
Hier sitzt kein Anwalt/Polizist auf Abruf, damit er bezeugen kann, dass das Logfile auf normalem Wege erzeugt wurde.
OK und Revision dann anscheinend auch nicht. - Gut so geht es dann nicht.

Ich hätte meine Frage noch allgemeiner formulieren sollen:
1 Hat hier jemand einschlägige Erfahrung mit der Nutzung von Daten als Beweismaterial vor Gericht?
2 Wenn ja, wie wurde die Integrität der Daten beurteilt?
Diese Fragen sehen schon anders aus, somit bin ich aus dem Thema draussen.
User1000
User1000 17.07.2017 um 13:33:36 Uhr
Goto Top
Meines Wissens haben die Richter einen Spielraum bei der Beurteilung, ob sie Beweise gelten lassen oder nicht. Das hängt dann von den Umständen ab.
Ich habe es schon erlebt, dass Screenshots von WhatsApp-Unterhaltungen akzeptiert wurden - obwohl man die mit Photoshop ja auch selbst basteln könnte...
certifiedit.net
certifiedit.net 17.07.2017 um 13:36:02 Uhr
Goto Top
1. Als Beweis bereits genutzt, ging aber nicht vor Gericht.
2. Hier haben Richter Spielräume. Es gilt schliesslich auch ein Blatt Papier mit notdürftig mitnotierten Aufwänden als Stundennachweis, wenn dem Richter sonst nichts spanisch vorkommt.

Kommt aber, wie gesagt, immer auf die eigenen und fremden Anwälte an, außerdem darf man sich da nicht von amerikanischen Gerichtsshows leiten lassen, in denen z.T ein Komma zum Abbruch des Verfahrens genügt.
beidermachtvongreyscull
beidermachtvongreyscull 17.07.2017 aktualisiert um 15:23:05 Uhr
Goto Top
Die größere Rechtssicherheit hast Du dann, wenn per zu unterschreibender Dienstvereinbarung oder im Arbeitsvertrag ausdrücklich vermerkt ist, dass der Internetverkehr vom Arbeitgeber überwacht ist und auf benutzerbezogen, detailliert dargestellt werden kann.

Mit seiner Unterschrift akzeptiert der Arbeitnehmer dieses Monitoring und erlaubt damit, es auch als beweiskräftig zu sehen.

Dass der AG in böser Absicht versucht, den AN loszuwerden, muss vom AN wirksam bewiesen werden.
Das sind zwei unterschiedliche Blickrichtungen.

Die höchste Rechtssicherheit hast Du, wenn der Internetverkehr von einer unabhängigen dritten (juristischen) Person überwacht wird.
Dann greift das Verdachtsmoment gegen den AG nicht.
DerWoWusste
DerWoWusste 17.07.2017 um 15:31:54 Uhr
Goto Top
Es geht in dieser Frage nicht um nicht-dienstliche Internetbenutzung. Es geht um Daten und unter welchen Umständen sie als Beweismittel taugen. Es geht auch nicht um Vermutungen, sondern um eigene Erfahrungen.
certifiedit.net
certifiedit.net 17.07.2017 um 15:51:23 Uhr
Goto Top
Dann kann man sagen: Eine konkrete Aussage kannst du auf eine inkonkrete Frage nicht bekommen.

Um was geht es denn?
DerWoWusste
DerWoWusste 17.07.2017 aktualisiert um 16:17:00 Uhr
Goto Top
Um was geht es denn?
Ich suche Leute, die schon in die Verlegenheit kamen, vor Gericht digitale Beweise verwerten zu wollen und hoffe, dass diese Leute von Ihren Erfahrungen berichten.

Ich habe festgestellt, dass wir uns als Firma nie gefragt haben, wie mit einer solchen Situation umzugehen wäre - das ist alles.
Ich stelle es mir äußerst schwierig vor, glaubhaft zu machen, dass diese Beweismittel echt sind, da man Daten auf Festplatten ja auf einfachste Weise manipulieren kann. Wenn es zum Beispiel um Logfiles geht, handelt man ja oft mit Textdateien - der Integritätsschutz (der ja gleichsam Integritätsnachweis ist) ist bei denen kaum zu gewährleisten, IMHO.
Avaatar
Avaatar 17.07.2017 aktualisiert um 16:37:40 Uhr
Goto Top
Wir hatten mal den Fall dass ein Mitarbeiter Daten per USB Stick klaute. Kollegen beobachteten ihn wie er mit einem USB Stick hantierte. Damals waren USB Sticks noch nicht blockiert, es gab aber auch keinen Grund sie zu nutzen da alles vernetzt war.
Daher erregte der USB Stick unsere Aufmerksamkeit. Mit dem anwesenden Betriebsrat wurde der Kollege gebeten den Stick zu übergeben, was er auch tat.
Wir schickten den Stick dann an eine spezialisierte Firma die eine Kopie des Sticks anfertigte und den Stick auf Daten (auch gelöschte) untersuchte.
Nachdem das Ergebnis feststand dass Daten die auf dem Stick nichts zu suchen hatten abgespeichert wurden hat die Geschäftsführung dann übernommen.
Der Mitarbeiter wurde gekündigt, vor Gericht ging das Ganze nicht.
Edit: Das Ganze ist aber auch schon einige Jahre her, geschätzt ca. 8-9
beidermachtvongreyscull
beidermachtvongreyscull 17.07.2017 aktualisiert um 16:38:31 Uhr
Goto Top
Ich arbeite als IT-Administrator bei einer Rechtsanwaltskanzlei und werde oft genug zu solchen oder ähnlichen Fällen befragt oder habe die Möglichkeit, mit zu verfolgen, wie sich die Dinge entwickeln.

Mein Kommentar entstand also aus Erlebtem bzw. Erfahrenem ergo aus Erfahrung (wenn auch nicht an eigenem Leib).

Ich komme mal kurz auf Deine zwei Fragen:

Zitat von @DerWoWusste:
Ich hätte meine Frage noch allgemeiner formulieren sollen:
1 Hat hier jemand einschlägige Erfahrung mit der Nutzung von Daten als Beweismaterial vor Gericht?

Wenn die jemand hat, werden Dir seine/ihre Antwort(en) nichts bringen. Das liegt in der Natur der Sache. Daten, erhoben zu einem bestimmten Zweck und dann vor Gericht verwertet zu werden ist der erste Sachverhalt, der zu klären ist. Ein Beispiel dazu: Nur weil ich in meinem Auto nach vorne und hinten Dashcams installiert habe, habe ich noch lange nicht das Recht, dass die Aufnahmen vor Gericht als Beweis zugelassen werden. Das hängt nicht nur vom Richter ab, sondern eben auch davon, ob die gewonnenen Daten zu diesem Zweck aufgenommen werden durften.

2 Wenn ja, wie wurde die Integrität der Daten beurteilt?
Das hängt immer vom/von den Gutachter/n ab und von der jeweiligen Seite. Je öfter Datenintegrität in Zweifel gezogen wird, desto eher kommt ein neues Gutachten. Wenn dies aber nicht passiert, dann ist ein Gutachten erstmal fest. Ich erinnere an den Redtube-Abmahnskandal. Das Gutachten kannst Du hier noch einsehen: http://abmahnung-medienrecht.de/wp-content/uploads/2014/01/Gutachten_zu ...

Darauf stützte sich die Abmahnwelle. Erst als kritisch hinterfragt wurde, kam das Ganze ins Wanken und fiel zusammen.
DerWoWusste
DerWoWusste 17.07.2017 um 16:36:39 Uhr
Goto Top
vor Gericht ging das Ganze nicht.
Aha. Und warum passt es dann in diesen Thread? face-smile
Avaatar
Avaatar 17.07.2017 um 16:40:09 Uhr
Goto Top
Du wolltest über Daten und inwieweit sie als Beweismittel taugen Bescheid wissen face-smile
Das beauftragte Unternehmen hielt sich an alle Normen, ISOs etc. um die Daten auch gerichtstauglich zu verwenden. Das wusste der Mitarbeiter und hat sein Glück daher erst gar nicht versucht.
DerWoWusste
DerWoWusste 17.07.2017 um 16:41:14 Uhr
Goto Top
Das beauftragte Unternehmen hielt sich an alle Normen, ISOs etc. um die Daten auch gerichtstauglich zu verwenden
Nun wird's interessant - wo kann ich diese einsehen/recherchieren?
Avaatar
Avaatar 17.07.2017 um 16:46:58 Uhr
Goto Top
Ab hier muss ich leider passen, das ist wie gesagt 8-9 Jahre her, ich erinnere mich nicht mehr an den Namen des Unternehmens.
C.R.S.
C.R.S. 17.07.2017 um 17:32:15 Uhr
Goto Top
Hallo DWW,

besprich das Thema mit dem Anwalt, der gleichartige Probleme bei euch bearbeitet bzw. bearbeiten würde, da das viele Wenn und Aber enthält, auch wegen etwaiger arbeitsrechtlicher Besonderheiten.

Die Logs sind im allgemeinen Zivilprozess grds, d.h. außerhalb des § 371a ZPO, kein Beweismittel, sondern substantiierter Parteivortrag. Wenn der Gegner die Echtheit substantiiert bestreitet, werdet ihr den Echtheitsbeweis führen müssen. Naheliegendes Beweismittel dafür ist der Admin als Zeuge, der ihre Erstellung konfiguriert und sie gesehen hat. Ansonsten kommt noch ein Sachverständigengutachen in Betracht.

Das ist die Theorie, weil in der Praxis die Tendenz (leider) zugunsten desjenigen ausschlägt, der digitale Beweismittel auch nur ausgedruckt vorlegt. Die Schwelle der "Substantiierung" ist insoweit für den Vortrag niedrig und für das Bestreiten hoch. Wäre erfolgreich bestritten, müsste Beweis erhoben werden, wovor die wenig technikbegeisterten Gerichte zurückschrecken. Logs sind eher selten, aber heute regelmäßig vorgelegte E-Mails sind oft offenkundige Bastelarbeiten, und die Betreffenden kommen damit durch. Es fehlt einfach an der Sachkompetenz bei den Gerichten, um dafür einen Maßstab zu entwickeln. Etwa in Filesharing-Prozessen werden Hashwerte praktisch durchweg ohne Angabe des Hash-Verfahrens behandelt. Einzigartiger Gibberish ist eben einzigartiger Gibberish.

Wenn es zum SV-Gutachten kommt, nimm ebenfalls die Filesharing-Prozesse oder die Strafprozesse in Cybercrime-Sachen als Vergleichsmaßstab: Ich will nicht sagen, dass die Ergebnisse dadurch signifikant falsch sind, aber technisch betrachtet ist das schon ein trauriges Schauspiel. Den in diesem Bereich tätigen Forensikern werden Aussagen abgerungen, die in der digitalen, spurlos veränderlichen Welt technisch nicht begründbar sind (Hat der Angeklagte/Kläger/Beklagte dies oder jenes getan?). Sie lassen sich die auch abringen, entweder weil sie es nicht besser wissen und das Zusammenspiel von Hard- und Software wie vermeintliche Naturgesetze studiert haben; oder weil sie dem Gericht die nötige Abstraktion nicht vermitteln können, und welche konkrete Dichte an Plausibilität sich für ein hypothetisches Geschehen aus ihren Feststellungen ergibt. Ab einer gewissen Plausibilität springen sie selbst in die Bresche und sagen: Mit an Sicherheit grenzender Wahrscheinlichkeit war es so. Der Richter steht dann am Ende einer für Juristen sehr wichtigen Reputationskette: Der SV, den er in ähnlichen Verfahren schon 50 Mal gehört hat, sagt, es war ganz sicher so wie in dem Bericht steht, den die forensische Standardsoftware auf Knopfdruck ausgespuckt hat. Die Software hätte in vielen Jahren noch nie einen Fehler gemacht, sagt der SV dazu, und fertig ist der Lack.
Auch diese Praxis streitet leider für alles bis auf allzu offensichtlich manipulierte Artefakte.

Grüße
Richard
DerWoWusste
DerWoWusste 17.07.2017 um 17:38:47 Uhr
Goto Top
Hallo Richard und danke für die interessanten Ausführungen. Magst Du noch hinzufügen wie oft Du solche Erfahrungen gemacht hast?
C.R.S.
C.R.S. 17.07.2017 um 18:05:46 Uhr
Goto Top
Mein Unternehmen ist u.a. IT-forensisch tätig, allerdings unter Meidung der Gerichtssäle. Die Perspektive auf die justizielle Seite stammt aus meinem Rechtsreferendariat, bei Gericht in einer Urheberrecht-/Filesharing-Abteilung. Bei den E-Mails denke ich an zwei Fälle in insgesamt gerade einmal 11 Monaten Zivilrecht.
Was den Push-Button-Forensiker mit der fehlerfreien Standardsoftware angeht: der ist dadurch quasi prominent und muss sich hier nicht wiedererkennen.
117471
117471 18.07.2017 um 11:32:31 Uhr
Goto Top
Hallo,

Zitat von @DerWoWusste:

wie könnte man dem begegnen?

Mit kopfschütteln?!? *scnr*

Ein Glück, dass ich neulich mal gegoogelt habe, was aus Lutz Donnerhacke geworden ist und zufällig auf diesen Artikel gestoßen bin, gell? face-smile

https://de.wikipedia.org/wiki/Ewige_Logdatei

Gruß,
Jörg
DerWoWusste
DerWoWusste 18.07.2017 um 11:41:29 Uhr
Goto Top
@fa-jka
Ja, solche Verfahren sind interessant. Es geht mir aber eher um Erfahrungsaustausch bzgl. Gerichten. Erfahrungen, wie C.R.S sie gemacht hat.
Ein mögliches Fazit für mich könnte sein: da ich mir das Gericht nicht aussuchen kann, lohnt es sich evtl. nicht einmal, forensisch einwandfreie Verfahren zu versuchen.
117471
117471 18.07.2017 um 12:14:14 Uhr
Goto Top
Hallo,

Zitat von @DerWoWusste:

Ein mögliches Fazit für mich könnte sein: da ich mir das Gericht nicht aussuchen kann, lohnt es sich evtl. nicht einmal, forensisch einwandfreie Verfahren zu versuchen.

Was sagt denn der Betriebsrat? Kann man hier eventuell mit Transparenz erreichen, dass dieser als unabhängige Instanz die grundsätzliche Echtheit bestätigt?

Gruß,
Jörg
DerWoWusste
DerWoWusste 18.07.2017 aktualisiert um 12:54:28 Uhr
Goto Top
Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.
117471
117471 18.07.2017 um 13:16:49 Uhr
Goto Top
Hallo,

Zitat von @DerWoWusste:

Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.

Nur so interessehalber: Der Datenschutzaspekt bereitet Dir keine Bauchschmerzen? Oder würdest Du die Protokollierung erst etablieren, wenn Verdacht gegen eine konkrete Person besteht?

"Meine" Pappenheimer machen das übrigens genau anders herum: Die haben mal 'ne Liste definiert (facebook, Instagram, BILD usw. usf.) und wenn die ihre Jungs und Mädels zur Arbeit anhalten wollen, bekommen diese einen Proxy übergebügelt, auf dem die gelisteten Seiten gesperrt sind face-smile

Gruß,
Jörg
em-pie
em-pie 18.07.2017 aktualisiert um 13:19:22 Uhr
Goto Top
Zitat von @DerWoWusste:

Du, ich kann auch unseren Anwalt damit beauftragen, sich schlau zu machen, aber ich denke, zunächst ein paar Erfahrungen anzuhören, kann nicht schaden. Es ist ja kein konkreter Fall bei uns - ich will mir nur einen Plan machen, was wohl zu tun wäre, wenn es mal soweit ist.

Dein Thread hat mich ebenfalls ins Nachdenken gebracht, wobei ich hier mal Aufwand/ Nutzen in erwägung gezogen habe.

Denkbar wären ja zwei Möglichkeiten:
Variante a) hat ja @fa-jka aufgezeigt
Variante b) könnte womöglich eine Art Syslog-Server sein, bei dem der Datenempfangene Part nur Schreibrechte in eine DB o.Ä. hat. Einen User zum Ändern/ mit den Adminrechten wird angelegt und aus einem Kennwort zweier Parteien gebildet: z.B. GL und BR. Beide Kennwörter werden jeweils für sich versiegelt in einen gesamtversiegelten Umschlag in einem Safe aufbewahrt. Das würde ja in die Richtung WORM gehen: Die Systeme dürfen zwar immer nur reinschreiben, aber Niemand kann etwas ändern. Das gesamte Verfahren ggf. mit einem IT-Juristen abstimmen und formal absegnen lassen. Optional noch in das unternehmensweite QM-System in Form einer Verfahrensanweisung (jedoch verallgemeinert) einbinden, dann wissen auch alle, zumindest über den groben Ablauf bescheit (Einzelheiten wie: welcher Safe und wer Zugang hat, sollten vllt. nicht genannt werden). Idealerweise mal zyklisch prüfen, ob die Umschläge auch noch versiegelt sind. Wenn das ein halbes Jahr keiner prüft, ist das System auch wieder "undicht"...
Neben den o.g. Usern noch eine Zahl X an ReadOnly-User, mit denen die Admins oder wer auch immer die LogFiles auswerten können.

Ob es Systeme für Variante b) schon fertig gibt: k.A.

Beim Durchlesen scheint mir auf anhieb aber Variante a) die pflgegeleichteste Variante zu sein, wobei hier die dahinterstehenden Systeme natürlich doppelt und dreifach beschäftigt sind.
C.R.S.
C.R.S. 18.07.2017 um 14:47:08 Uhr
Goto Top
Zitat von @em-pie:

Variante b) könnte womöglich eine Art Syslog-Server sein...

Das hat für allgemeine Log-Server, die aus den unterschiedlichsten Quellen gespeist werden, wenig Sinn. Jede Quelle müsste verschlüsselt und mit gegenseitiger Authentifizierung an den Log-Server angebunden werden und jeweils lokal gegen den potenziell Manipulierenden, also in dem Szenario der Fragestellung gegen den Admin, abgesichert werden. Das schönste Log-System nutzt nichts, wenn ich beliebige Daten hinein pumpen und attestieren lassen kann.

Etwas sinnvoller wird es dort, wo ein Perimeter existiert, an dem man eine verdongelte Appliance aufstellen kann: Bei der üblichen "revisionssicheren" Mail-Archivierung oder, wie in der Frage angedacht, bei den Proxy-Logs. Nun weiß jeder, dass Revisionssicherheit ein juristischer Cargo-Cult ist. Dieses magische System, in das ich nur hineinschreiben und niemand irgendetwas verändern kann, existiert schlichtweg nicht. Die Sicherheit physischer WORM-Medien hängt an der Buchhaltung über ihren Bestand, um ihre Nachfertigung zu vereiteln. Wo erfolgt die, wenn überhaupt? Auf WORM-Medien? Und weiß ich sicher, dass der Hersteller nicht vor elf Jahren eine Packung mit identischen Seriennummern ausgeliefert hat, die der Admin seitdem hortet, um bei Gelegenheit zwei Disks daraus einzusetzen?

Die Alternative ist, das Ganze kryptographisch an ein externes Trust-Center anzuflanschen, und damit einen Glaubwürdigkeitsgewinn zu erzielen. Aufwändig, denn in eigenem Interesse muss ich dann diesem gegenüber bzw. gegenüber dessen Software, die nach draußen kommuniziert, vorher alles verschlüsseln. Derjenige mit der (kollusiven) Manipulationsfähigkeit sitzt dann eben weiter weg und hat grundsätzlich ein geringeres Interesse an der jeweiligen Tat.

Also zwei Möglichkeiten: Wenn alle Stricke reißen, wird immer jemand, der das System zumindest teilweise kontrolliert und manipulieren könnte, in den Zeugenstand treten und unter strafbewehrter Wahrheitspflicht aussagen müssen, dass er nicht manipuliert habe, und welche Dritten mit welchen Hürden manipulieren könnten (nur um die dann auch befragen zu können). Meines Erachtens allein dort, wo das nicht ausreichen mag oder faktisch aussichtslos ist, wie in potenziellen Streitthemen mit dem Fiskus, dort praktiziert man exakt den Cargo-Cult, an den der jeweilige Empfängerkreis glaubt.

Grüße
Richard
DerWoWusste
DerWoWusste 18.07.2017 um 15:07:45 Uhr
Goto Top
Nur so interessehalber: Der Datenschutzaspekt bereitet Dir keine Bauchschmerzen?
Äh, nee. Ich habe gar keine Bedenken. Ich habe kein Problem und auch keinen konkreten Anlass. Ich las lediglich anderweitig in einem Forum über die Probleme, Datenträger als Beweismittel zu verwenden und das hat mich einfach zum Nachdenken gebracht und mir vor Augen geführt, das wir als Firma hierzu kein Konzept und kein Wissen haben.
117471
117471 18.07.2017 um 15:25:35 Uhr
Goto Top
Hallo,

"in anderen" Bereichen (elektronische Archivierung) wird das über eine Zertifizierung der Software erreicht.

Diese beinhaltet z.B. eine "bildliche Darstellung" von Objekten (also einen schwer reversiblen Medienbruch) und eine konsequente Protokollierung über die Meta-Daten der Objekte. Ein Lied nahezu identisch nachzusingen ist schwieriger, als ein Notenblatt abzumalen face-smile

Wobei Du natürlich Recht hast wenn Du sagst, dass man ggf. auch in der Datenbank herumpfuschen kann.

http://elektronische-steuerpruefung.de/management/steuersicher-archivie ...

Vielleicht lassen sich die LOG-Dateien ja automatisiert ins DMS einspielen^^ Wobei Du streng genommen sogar verpflichtet bist, diese zu archivieren: Die Verpflichtung erstreckt sich nämlich nicht nur auf Dokumente, sondern letztendlich auf alles, was das Rechen- und Regelwerk hinter den Prozessen beinhaltet. Und wenn z.B. ein Mitarbeiter eine Seite aufruft, über die ein kostenpflichtiger Dienst genutzt wird, handelt es sich streng genommen auch schon um einen kaufmännischen Vorgang.

Lange Rede, kurzer Sinn: Ich würde aufhören, darüber nachzudenken face-smile

Gruß,
Jörg
Herbrich19
Herbrich19 18.07.2017 um 20:04:53 Uhr
Goto Top
Hallo,

Einfach ein Image der Festplatte (1 zu 1) erstellen in bei sein eines Notars oder zumindest einiger Zeugen, diese sollten aber auch verstehen was du da machst face-smile

Gruß an die IT-Welt,
J Herbrich
em-pie
em-pie 18.07.2017 um 21:33:17 Uhr
Goto Top
Einfach ein Image der Festplatte (1 zu 1) erstellen in bei sein eines Notars oder zumindest einiger Zeugen, diese sollten aber auch verstehen was du da machst face-smile

Zu welchem Zeitpunkt willst du denn den Klon anfertigen? Vor oder nach der Manipulation der (Log-)Files?
Und wie schnell kannst du eine ganze Disk klonen, wenn da pro Sekunde 100 LogEinträge der vielen Switche/ Proxies/ whatever einfliegen?
Und wann gilt der Klon als veraltet?

Sicherlich ein guter Ansatz, welcher sich aber praktisch nicht "rechtssicher" umsetzen lässt...
Herbrich19
Herbrich19 18.07.2017 um 21:53:39 Uhr
Goto Top
Hallo

Sicherlich ein guter Ansatz, welcher sich aber praktisch nicht "rechtssicher" umsetzen lässt...

Sehe ich anders, wen man den Client PC von Netznimmt und die Festplatte (notfalls auch mit DD) clont dann ist es egal wie viel durch's Netz geht.

Gruß an die IT-Welt,
J Herbrich
ashnod
ashnod 19.07.2017 um 07:55:30 Uhr
Goto Top
Moin ...

Ich hatte ja gestern schon geschrieben, das ich dieses Thema interessant finde und somit haben wir das gestern als Thema in die Diskussion genommen.

Fazit: Eine Baustelle die wir nicht aufmachen wollen.

Hier im Forum gab es verschiedene Ansätze die durchaus geeignet erscheinen, insbesonder die von @em-pie haben uns gut gefallen, aber letztendlich in unserer Diskussion rausgefallen sind.

Ergebnis unserer Diskussion ohne rechtsverbindlichen Charakter und Anspruch auf Richtigkeit.

Ein Hauptpunkt der Diskussion war der Datenschutz von personenbezogenen Daten.

Hier sehen wir das Hauptproblem zu den vorgeschlagenen Speicherlösungen.
Wir gehen davon aus das wir diese Daten nicht beliebig erheben dürfen und zudem vor allem nicht dauerhaft und unbefristet speichern dürfen.
Zudem müssten wir sofern eine Auskunft erwünscht wird, derjenigen Person ja alle über sie gespeicherten Daten zur Verfügung stellen. Allein das ist ist ein Horrorszenario das sich niemand ernsthaft wünscht.

Daraus ergab sich aber die Frage wo dürften diese Daten rechtsverbindlich gespeichert werden.
In unserem Ergebnis kann das ausschließlich die Personalakte sein.
Zugriff auf die Personalakte haben die Arbeitgeber, der bearbeitende zuständige Personalmensch und der Mitarbeiter. Alle anderen wären hier raus, also auch die IT.
Zudem müsste der Mitarbeiter in der Folge über diesen Eintrag in seine Personalakte informiert werden.

Somit könnte man sich als Lösung folgenden Workflow vorstellen, der zugegeben einen hohen erzieherischen Wert hätte und am Ende evtl. einen rechtsverbindlichen Charakter hätte, aber vermutlich einen sehr hohen Arbeitsaufwand verursacht.

Der Webproxy stellt fest das Mitarbeiter xyz versucht hat die gesperrte Seite Porno.xxl aufzurufen und generiert eine Mitteilung an folgende Empfänger:

1. Personalabteilung -
"Mitarbeiter xyz hat am xx.xx.xxxx um xx.xx versucht folgende gesperrte Internet-Seite aufzurufen: Porno.xxl.
Bitte prüfen Sie ob sich daraus arbeitsrechtliche Auswirkungen ergeben und fordern sie ggf. eine Stellungnahme des Mitarbeiters an."

2. Mitarbeiter -
"Sie haben am xx.xx.xxxx um xx.xx versucht folgende gesperrte Internetseite aufzurufen: Porno.xxl.
Wir prüfen zur Zeit ob sich daraus arbeitsrechtliche Auswirkungen ergeben und ob dieser Sachverhalt Bestandteil Ihrer Personalakte wird.
Wir werden ggf. eine Stellungnahme von Ihnen einholen, sofern arbeitsrechtliche Auswirkungen entstehen könnten damit Sie die Gelegenheit haben sich zu dem Sachverhalt zu äussern."

Ob das dann tatsächlich Bestandteil der Personalakte wird obliegt dann der Personalabteilung. Hier gelten dann die üblichen Regelungen und Fristen für die Führung einer Personalakte.

Das wäre unsere Idee die aber in die Tonne geworfen wird, weil wir unsere Mitarbeiter nicht mit jeder Mail in Panik versetzen wollen weil Sie bei Lidl, Aldi und den anderen verdächtigen Seiten die Angebote duchstöbern wollten und der Arbeitsaufwand dafür in keinem Verhältnis steht.

VG
Ashnod