fraubi89
Goto Top

Problem bzw Frage an euch

Hallo zusammen!

Ich habe eine Frage zu Berechtigungen bzw. generell wie Ihr die Situation lösen würdet:

Wir haben einen Kunden (Werbeagentur) der 4 Angestellte hat.
Erst kürzlich ist eine Angestellte gekündigt worden und hat bei einer anderen Agentur angefangen!
Leider hat die Angestellte mit dem USB Stick Daten wie es so schön heißt raus transportiert aus der Firma weil jetzt die andere Agentur plötzlich die Daten hat.

Jetzt ist meine Frage ob ich den lokalen Schreibzugriff auf USB Sticks sperren kann bzw. ob es eine Software gibt mit der ich Überwachen kann wer Daten auf einen Stick kopiert!

Die Umgebung sieht so aus:

Windows Server 2008 AD
Files auf einem Buffalo Storage welches im AD hängt und Rechte über AD verwaltet werden
5x Windows 7 Clients in Domäne


Was sagt ihr zu diesem Problem?
Bzw. was macht ihr um genau solche Situationen zu verhindern das jemand Daten aus der Firma transportiert?


MfG
Daniel

Content-ID: 158495

Url: https://administrator.de/forum/problem-bzw-frage-an-euch-158495.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

moonghost
moonghost 12.01.2011 um 15:25:57 Uhr
Goto Top
Hallo,

auch ich hatte einmal so ein Problem.

Teste mal die Software Security Desk. Neben der gesamten Überwachung von USB-Ports, kann man diese auch komplett sperren, alles von einem Server aus.

Findest Du hier: FAIR COMPUTER.de

Gruß

moonghost
awagner82
awagner82 12.01.2011, aktualisiert am 18.10.2012 um 18:45:28 Uhr
Goto Top
Hi!

ich glaube hier:

Usb Stick sperren
USB Sticks sperren unter Windows - mit Passwort darf man benutzen
USB Port sperren

wurde so etwas schonmal diskutiert ;)

Ansonsten einfach keine USB Sticks austeilen und den Gebrauch per Arbeitsanweisung verbieten.

Gruß
Patrice
Patrice 12.01.2011 um 15:26:49 Uhr
Goto Top
Hallo Daniel

WIr haben es bei uns in der Firma so gemacht das wir die USB-Ports im Gerätemanager einfach deaktiviert habe.
Dadurch kann aber nichts mehr an die Ports angeschlossen werden und wenn alle zugriff auf den Gerätemanager haben bringt es auch nichts, da sie diese Ports einfach wieder aktivieren können

MfG
Patrice
Pago159
Pago159 12.01.2011 um 15:28:51 Uhr
Goto Top
Also die Device-Controll, mit Log, welche Daten auf welchen Authorisierten Stick geschrieben
wurden, kannst du mit Sanctuary lösen.
Du kannst nur spezielle Sticks zulassen, alle Verbieten, und eben loggen, welche Daten auf welchen Stick geschrieben wurden.
Zusätzlich würde ich auch als Arbeitsanweisung Unterschreiben lassen,
dass keine Privaten Stick´s genutzt werden dürfen.
Lg Grapper
Snowman25
Snowman25 12.01.2011 um 15:29:29 Uhr
Goto Top
Zitat von @Patrice:
[...] wenn alle zugriff auf den Gerätemanager haben [...]

Dann nimmt man Ihnen eben die Berechtigung, den Gerätemanager zu verwenden.
goscho
goscho 12.01.2011 um 15:49:41 Uhr
Goto Top
Hallo Daniel,
ich habe solche Szenarien bereits mit dem SEP von Symantec gelöst. Dort ist eine Anwendungs- und Gerätesteuerung enthalten, die entsprechend konfiguriert werden kann.
Aber Achtung: Nicht die Small Business Version (Protection Suite Small Business) kaufen, dort ist genau diese Funktion nicht enthalten.

Trotzdem gilt auch hier: Die Anwender sollten keine Admin-Rechte haben.
manuel-r
manuel-r 12.01.2011 um 15:55:19 Uhr
Goto Top
Ab Server 2008 können per GPO auch bestimmte Devicetypen gesperrt werden. Damit kann man dann also die USB-Tastatur/-Maus weiterhin erlauben, Wechseldatenträger jedoch verbieten.

Manuel
Skyemugen
Skyemugen 12.01.2011 um 15:58:16 Uhr
Goto Top
Aloha,

ich möchte nur noch eines dazu anmerken: Wenn bei euch Brenner als Laufwerke im Einsatz sind ... nunja nicht nur USB-Sticks eigenen sich für solche Sachen dann. ;)

greetz André
60730
60730 12.01.2011 um 16:01:19 Uhr
Goto Top
moin,

unabhängig davon, was die anderen bereits geschrieben haben.....

  • Werbeagenturen bzw. deren Mitarbeiter sind dafür bekannt, dass die beim gehen "Ihre" Kunden mitnehmen
(das war so, das ist so und das wird auch so bleiben)
  • Die BRD ist ein freies Land, wo jeder tun und machen kann, was er mag - wenns gegen keinen anderen oder gegen geltendes Recht verstößt.
  • Von daher - so einen Adressenblock kann man auch per Mail verschicken und dagegen kann man nix machen.....

Gruß
manuel-r
manuel-r 12.01.2011 um 16:19:13 Uhr
Goto Top
Werbeagenturen bzw. deren Mitarbeiter sind dafür bekannt, dass die beim gehen "Ihre" Kunden mitnehmen

Ich glaube Vertriebler erheben ähnlichen "Anspruch" darauf, dass es "ihre" Kunden sind face-wink
Gegen Adressen usw kann man wirklich wenig machen und auch alles andere ist immer auch für einige Mitarbeiter mehr hinderlich, als der Sache dienlich.

Nehmen wir mal an wir sperren alle möglichen Devices auf denen Daten gespeichert werden können und verhindern damit, dass Mister X die Sachen in der Hosentasche raus trägt. Dann kommt der geneigte böswillige Mitarbeier als nächstes auf die Idee das doch einfach zu mailen. Auf einem 0815-Mailserver ohne irgendwelche EInschränkungen mnarschiert die Mail mit den Geschäftsgeheimnissen einfach durch. Ein einfacher Filter würde jetzt vielleicht auf Datei-/MIME-Typen in den Anhängen fahnden. Ein findiger User umgeht das sehr schnell. Also bin ich im nächsten Schritt beim Contentfilter für Mail und verwerfe Mails, die bspw. Word, Excel, Powerpoint und PDF enthalten. Damit handele ich mir aber auch von den Leuten die ich beschränken will berechtigte Kritik ein: Die müssen nämlich logischerweise Angebote, Entwürfe, Vertragstexte oder was auch immer mit Geschäftspartnern austauschen.

Was lernen wir also?
Es ist wie so oft eine Gratwanderung zwischen "nutzt was" und "behindert uns".
Der erste Schritt zur relativen Sicherheit kostet fast nichts und ist schnell gemacht. Einfach die Mitarbeiter ein entsprechendes Schriftstück unterschreiben lassen in dem einiges untersagt wird und gleichzeitig die Einwilligung erteilt wird entsprechende Datenbewegungen zu protokollieren. Damit habe ich als Unternehmen wenigstens die Möglichkeit nachzuvollziehen wie oder durch wen Daten geklaut wurden. Den Rest klären dann Gerichte.
dog
dog 12.01.2011 um 19:27:00 Uhr
Goto Top
Für Laien:

  • USB Sticks
  • E-Mail-Anhänge
  • CD Brennen
  • FTP

Für Verzweifelte:
  • Bildschirmfotos

Für Profis:
  • Eigene Programme
  • Tunneling
  • ...

oder anders gesagt: Vergiss es.
Worauf ich zugreifen kann, kann ich auch mitnehmen.
nlemble
nlemble 13.01.2011 um 13:02:09 Uhr
Goto Top
Hi All

Hatte auch einen Fall, Habe den neuen Arbeitgeber kontaktiert und Ihn gefragt, was wohl mit Seinen Daten passieren wird, wenn Er dem Angestellten gekündigt? Und siehe da, kein Datenmissbrauch seitens dieser Firma. (Natürlich giebt es auch hier schwarze Schafe)
Gut das es da auch noch ein bisschen fairness und ethik giebt.

Nik
Florian.Sauber
Florian.Sauber 13.01.2011 um 18:41:30 Uhr
Goto Top
Aber mal ganz im ernst, wer sich da als Arbeitgeber nicht über vertragliche Schutzrechte absichert, ist selber Schuld...
LG Florian
TomatoDeluXe
TomatoDeluXe 17.01.2011 um 11:44:05 Uhr
Goto Top
Also das mit dem Daten stehlen kann man eh nie verhindern.

Mitarbeiter können auf folgende art und weise Daten stehlen....nur mal paar ideen
mailen über Geschäftsmail (unklug)
mailen über gmx, hotmail etc
ftp upload
cd brennen
usb stick oder externe usb platte
aufs handy synchen
online file hoster benutzen
ausdrucken
mit handy abknipsen (unpraktisch aber möglich)
mit Diensten wie "Log Me in" online nach Hause transverieren

Datendiebstahl kann man fast nicht verhindern sobald Mitarbeiter Zugriff auf Shares haben wo Daten liegen.
Schwieriger wirds wohl bei Citrix oder Terminal Server aber da kenne ich mich zu wenig aus.

Am besten im Arbeitsvertrag abhacken, da kann man die Mitarbeiter gerichtlich belangen, aber muss man natürlich zuerst beweisen können.
goscho
goscho 17.01.2011 um 12:05:17 Uhr
Goto Top
Zitat von @TomatoDeluXe:
Am besten im Arbeitsvertrag abhacken, da kann man die Mitarbeiter gerichtlich belangen, aber muss man natürlich zuerst
beweisen können.
[OT]Nein, das heißt korrekt:
Im Arbeitsvertrag festlegen, was abzuhacken ist, wenn Mitarbeiter Firmendaten klauen. face-big-smile face-big-smile face-big-smile [/OT]
miscmike
miscmike 17.01.2011 um 13:16:26 Uhr
Goto Top
Hallo,

also 1. : im Arbeitsvertrag absichern, ggf. wegen Datendiebstahl anzeigen

2. beschäftige Dich mal mit den Kaspersky-Business-Lösungen. Die bieten neben den gängigen Antiviren-SPAM-Schadsoftware-Firewall-usw. Funktionen
auch die Möglichkeit sämtliche Schnittstellen der ArbeitsplatzPCs (USB, COM,LPT,Laufwerke usw.) individuell zu sperren/freizugeben.

VG

miscmike
fraubi89
fraubi89 18.01.2011 um 12:59:51 Uhr
Goto Top
Hallo zusammen!

Danke für eure Meinungen!

Ja das war mir schon klar das das nicht so einfach ist!

Aber das mit dem Arbeitsvertrag auf das bin ich noch nicht gekommen!
Das werde ich dem Kunden vorschlagen!


Danke!

MfG
Daniel
Florian.Sauber
Florian.Sauber 20.01.2011 um 17:58:31 Uhr
Goto Top
Hallo nochmal!

Dann rate dem Kunden aber unbedingt an, sich fachanwaltlich beraten zu lassen. Das Thema ist äusserst komplex und es ist mit Nachdruck davon abzuraten auf etwaige Form- oder Vordrucke zu vertrauen.
Bsp.: Wenn der AN im Arbeitsvertag pauschal zur Verschwiegenheit hinsichtlich von Betriebs- und Geschäftsgeheimnissen verpflichtet wird, könnte dies die sog. Berufsausübungsfreiheit des AN beeinträchtigen und somit evtl. unwirksam werden.

Es stellt sich auch die Frage, was genau als Betriebs- oder Geschäftsgeheimnis angesehen wird, ob diese explizit zu kennzeichnen sind, etc. etc.
Eine weiterer Aspekt, gerade in Deinem Fall, wäre v.a. die Vereinbarung einer nachvertraglichen Geheimhaltung bzw. eines Wettbewerbsverbots von Interesse. Aber auch da steckt der Teufel im Detail. So kann dies bspw. nur befristet ausgesprochen werden, das dauerhafte Wettbewersbverbote nicht zugelassen sind. Eine falsche oder nicht fachgerechte Formulierung führt hierbei häufig zur Nichtigkeit der vertraglichen Vereinbarung.

Also IMMER anwaltliche Beratung einholen!

Dort erfährt man dann auch, ob soetwas überhaupt arbeitsvertraglich geregelt werden muss, oder ob sich im Einzelfall nicht Betriebsvereinbarungen oder in der Personalakte vermerkte und bestätigte Unterrichtungen des AN als bessere Wahl anbieten würden, wie etwaige Vetragsstrafen zu gestalten wären etc.etc.. Bei solchen Fragen ist nunmal immer der Einzelfall zu betrachten.

LG Florian