Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Verdacht auf Transfer von Geschäftsdaten

Mitglied: Johnsoncontrol

Johnsoncontrol (Level 1) - Jetzt verbinden

04.02.2020 um 12:18 Uhr, 1391 Aufrufe, 50 Kommentare, 3 Danke

Hallo zusammen,

folgender Sachverhalt:

Wir haben bei einem Mitarbeiter den aktuellen Verdacht, dass dieser an seinem Geschäfts Computer geschäftliche Daten (Kundendaten) in eine Excel Datei transferiert hat und dieses file dann online über seinen privaten Email Account an sich selbst geschickt hat.

Gibt es hier irgendeine Möglichkeit das herauszufinden? Ggf. Durch eine Spiegelung?

Vielen Dank für eure Hilfe

Grüße
50 Antworten
Mitglied: SlainteMhath
04.02.2020 um 12:23 Uhr
Moin,

als erstes solltet ihr das mit eurer Rechtsabteilung/euren Anwalt abklären. ggfs kommt euch da die DSGVO in die Quere...

Die technischen Möglichkeiten hängen von eurer Netzwerk- und Firewall Infrastruktur ab. DA gibst du zu wenig infos

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 12:35 Uhr
Hallo,

Rückwirkend ist da wenig möglich, wenn es bisher keine IT-Sicherheitsstrategie und Vorkehrung gibt. Das Rechtliche hat der Kollege bereits angesprochen. Aus dem Ansatz sollte eine solche wohl erarbeitet werden.

Wenn du willst, klopf gerne mal hier an, u.a wir stehen hierfür gerne zur Verfügung.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: clSchak
04.02.2020 um 13:11 Uhr
Hi

die Logs des Mailservers werden dir da weiterhelfen, du kannst zwar nicht den Inhalt der Mail sehen aber ob überhaupt eine Versandt wurde. Wenn Ihr einen Exchange im Einsatz habt, könnt Ihr im Bedarfsfall auch gelöschte Elemente der letzten 30T wiederherstellen (sofern an der Standardeinstellung nichts geändert wurde) - was dann auch "Gesendete Elemente" betrifft.

Wenn Ihr das zeitlich schnell genug geklärt bekommt, kommt Ihr auch an die entsprechenden Daten ran.

Apropos: Mail Archivierung ist Pflicht ... und das man seinen Usern die private Nutzung verbietet auch, dann darfst auch die Auswertungen fahren ohne das du DSGVO Probleme bekommst. (Ausschluss privater Nutzung setzt aber schon einiges mehr voraus wie eine schriftliche Anweisung).

Gruß
@clSchak
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 13:13 Uhr
online über seinen privaten Email Account an sich selbst geschickt hat.

Lese da keine Firmeninfrastruktur.
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 13:18 Uhr
Vielen Dank für euren Kommentar.

Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen. Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!

Viele Grüße
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 13:22 Uhr
Hallo Johnson,

das ist selbst mit seiner Zustimmung (Zwangslage - stimmt er dem nicht zu macht er sich automatisch verdächtig?) sehr zweifelhaft.

Ebenfalls ist die Frage, ob Ihr alle privaten Emailadressen von Ihm kennt und ob er die genannte Email -falls, in dubio pro reo - nicht bereits gelöscht hat.

Viele Grüße,

Christian
Bitte warten ..
Mitglied: clSchak
04.02.2020, aktualisiert um 13:24 Uhr
Zitat von Johnsoncontrol:

Vielen Dank für euren Kommentar.

Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen. Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!

Viele Grüße

Wenn keine Auditing auf dem Client aktiv ist würde ich das fast für unmöglich halten ohne Zugriff auf die entsprechenden Mailaccounts zu erhalten die dem Anwender privat gehören.

@certifiedit.net: stimmt, habe ich irgendwie überlesen, dann sind die von mir genannten Hinweise nicht korrekt.
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 13:33 Uhr
Hallo zusammen,

Danke nochmals für eure Hilfe und Kommentare.

Letztendlich stellt sich im Vordergrund die Frage, ob man generell nachvollziehen könnte, ob der Mitarbeiter die Datei zum
Beispiel von seinem Desktop via Drag and Drop in eine neue Email seiner privaten Emailadresse im Browser kopiert hat.

Viele Grüße
Bitte warten ..
Mitglied: sabines
04.02.2020, aktualisiert um 13:36 Uhr
Zitat von Johnsoncontrol:
>(Kundendaten) in eine Excel Datei transferiert hat und dieses file dann online über seinen privaten Email Account an sich selbst geschickt hat.

Moin,

was genau heisst das? Über das Webportal seines privaten Accounts oder eine zusätzliche privat Email Adresse im Firmen Outlook/T-Bird o.ä.?
Im ersten Fall hast Du sogut wie keine Chance das nachzuvollziehen im zweiten vielleicht.

Für die Zukunft: Umfassende DLP einführen, das fängt beim USB Stick an, geht über die Sperre von Freemailern und endet bei einer entsprechenden Mail Appliance, die so etwas (mit Glück) verhindert, etc.

Gruss
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 13:36 Uhr
Letztendlich stellt sich im Vordergrund die Frage, ob man generell nachvollziehen könnte, ob der Mitarbeiter die Datei zum

so wie es sich anhört ist da Sicherheitstechnisch grüne Wiese, also tendiert es zu nein.

Beispiel von seinem Desktop via Drag and Drop in eine neue Email seiner privaten Emailadresse im Browser kopiert hat.

Nein.
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 13:39 Uhr
Ja genau- die Datei vom Firmenrechner kopiert und über das Webportal seines privaten email providers verschickt..

Danke + Grüße
Bitte warten ..
Mitglied: FA-jka
04.02.2020 um 13:44 Uhr
Hallo,

Zitat von Johnsoncontrol:

Vielen Dank für euren Kommentar.

Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.

Wenn ich damit konfrontiert werden würde, dann würde ich das als Anlass nehmen, die Beweise zu vernichten

Wenn Ihr einen begründeten Verdacht habt solltet Ihr euch als Erstes die Zustimmung des Betriebsrates holen. Ansonsten steht hier eine ganze Menge zu den rechtlichen Aspekten: https://www.ddniedersachsen.de/assets/messages/Anlage_9_Interne_Ermittlu ...

Unter Umständen ist nachvollziehbar, dass größere Datenmengen aus einem CRM-System o.Ä. gezogen wurden. Was da protokolliert wird, hängt von eurem System ab.

Am Browserverlauf kann man maximal erkennen, dass der Mitarbeiter seinen privaten E-Mail-Account aufgerufen hat. U.U. findet man das auch in den Protokollen eines eventuell vorhandenen Proxy-Servers.

Vielleicht findet man die Excel-Tablette oder Hinweise darauf auch noch irgendwo auf dem Rechner des Mitarbeiters (Papierkorb, Liste der "zuletzt geöffneten Dateien" usw.).

Achja: Ein Faktor ist natürlich auch, wie zerrüttet das Vertrauensverhältnis ist. Wenn von öffentlicher Seite (Staatsanwaltschaft) ermittelt wird, kann diese z.B. ein Auskunftsersuchen an den privaten E-Mail-Anbieter stellen.

Gruß,
Jörg
Bitte warten ..
Mitglied: Lochkartenstanzer
04.02.2020 um 13:45 Uhr
Zitat von Johnsoncontrol:
Die Frage hierzu ist allerdings Liese es sich technisch nachweisen, dass er eine file in excel Format von seinem
Desktop z.b: online von seinem eigenen email Provider - wie z.b. Gmail / Web.de etc an sich selbst geschickt hat? Von seiner geschäftlichen Adresse an den privaten Account wäre ja klar aber von privat zu privat?!

Da müßte man eine forensische Analyse seines Systems machen, und schauen, was in den Browser-resten noch verfügbar ist.

Allerdings läßt sdich auf diese Weise nur nachweisen, daß er etwas verschickt hat und nicht, daß er nichts verschickt hat. Und zwar dann, wenn er nachlässig genug war und nicht alle Spuren schon verwischt hat.


Ich glabe Ihr soltle über ogranisatorische Maßnahmen und an "vertrauens"-Checks arbeiten.

lks
lks
Bitte warten ..
Mitglied: brammer
04.02.2020 um 13:58 Uhr
Hallo,

dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“ Zu beweisen.

Im deutschen Recht gab es mal sowas wie Beweislast und Unschuldsvermutung. ... Ihr müsst beweisen das er unrecht begangen hat. Nicht umgekehrt.

brammer
Bitte warten ..
Mitglied: VGem-e
04.02.2020 um 15:04 Uhr
Servus,

und wenn der TO in seiner Firma alle möglichen technischen Wege für einen illegalen Dateitransfer blockiert, könnte sein AN ja immer noch versuchen, ggf. mit (mehreren) Fotos des privaten Smartphones eine offene Excel-Datei abzufotografieren und dann ohne, ohne dass der AG dies merkt, an seinen privaten Mailaccount zu senden.
Dann würde wohl nur helfen, das Mitbringen des privaten Smartphones ins Büro zu verbieten?!

Gruß
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 15:28 Uhr
Danke euch allen für die schnellen Infos.

Also Fakt, wie ich nun verstanden habe ist, dass wir nicht nachvollziehen können wie Dateien bewegt wurden bzw. In ein Browserfenster kopiert wurden oder gar per Mail
Verschickt wurden, richtig ? Auch nicht durch log files o.ä. ?

Danke + Gruß
Bitte warten ..
Mitglied: SeaStorm
LÖSUNG 04.02.2020 um 15:35 Uhr
bestenfalls könnte man bei vorhandensein einer entsprechenden Firewall mit SSL inspection und detaillierten logs sehen das er auf der Site des Mailanbieters war. Vielleicht sogar anhand der Aufrufe das er eine Mail verschickt hat. Aber WELCHE Datei er da verschickt hat nicht und auch nicht wohin.

Sowas kommt vor. Wenn ihr euch da zu sehr reinsteigert, verletzt ihr Ruckzuck seine Rechte und dann wird's schnell hässlich für euch.
Belasst es einfach dabei und schaut das ihr entsprechende Techniken implementiert, das sowas in Zukunft nicht mehr vorkommt.
DLP in der Firewall, mit allen Vor und Nachteilen, private Mailanbieter sperren, Kundendaten nicht in Exceldateien aufbewahren *sigh* und solche Dinge halt
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 16:11 Uhr
Wir haben uns eben mal mit diversen „forensic“
Software beschäftigt. Das könnte doch helfen? Hat jemand Erfahrungen damit ? Letztendlich ist die Staatsanwaltschaft oder Polizei ja auch in der Lage dazu, diverse Dinge zu rekonstruieren?

Grüße
Bitte warten ..
Mitglied: FA-jka
04.02.2020 um 16:14 Uhr
Hallo,

"kommt drauf an". Früher war es mal so, dass bei gelöschten Dateien einfach nur der erste Name von der Datei durch ein Fragezeichen ersetzt wurde (die wurde dann nicht mehr im Index angezeigt).

Inzwischen dürfte sich da aber etwas getan haben Anzumerken ist auch, dass die Chance, gelöschte Dateien wieder herzustellen, mit zunehmender Nutzung des Speichermediums sinkt. Die freigewordenen Bereiche stehen ja zum Beschreiben zur Verfügung.

Gruß,
Jörg
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 16:15 Uhr
ich hab mehr und mehr das Gefühl, dass hier nur ein Skriptkiddie schreibt. Wenn es wirklich um relevante Firmendaten ginge, wäre wohl schon der Rechtsanwalt gefragt und ein Profi eingeschalten.
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 16:24 Uhr
Skriptkiddie?!?!

Sorry aber die Sache ist nunmal nicht ganz einfach.

Wie du dir sicher vorstellen kannst, geht es um generellen erstmal darum, ob es technisch überhaupt möglich ist an einen Beweis zu gelangen !!

Da hilft dir auch kein Rechtsanwalt weiter!
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020, aktualisiert um 16:32 Uhr
Das ist sie tatsächlich nicht. Aber versetz dich bitte mal in unsere Lage: Wir kennen weder den Aufbau eures Netzes, noch den Ursprungsverdacht bzw auch nur irgendwas, womit man etwas ableiten könnte. Im Prinzip ist schon mit den ersten Antworten alles gesagt worden:

a) du brauchst rechtliche Absicherung, bevor du irgendwas machst, sonst habt ihr bald ganz andere Probleme. Und doch, da hilft ein Rechtsanwalt.
b) ihr braucht, da wohl nicht vorhanden (sonst nicht die Frage hier - hoffentlich) externe Unterstützung.

Mit forensic Tools herumspielen dürfte gelinde gesagt aus der Situation nicht nur zu nichts führen, sondern ggf. sogar Beweise zerstören - auch, weil der Zeitfaktor hierbei immer gegen euch spielt. Dementsprechend ist es entweder nicht so wichtig (was komisch wäre) oder es ist eben eine Agitation nach dem Schema, wir brauchen da nur ein Skript rennen zu lassen. Was eben nur mit Glück zu einem Ergebnis und wenn, vielleicht nicht zum richtigen (die Kollegen erwähnten es bereits) führt.

Die rechtl. Rahmen sind dabei auch recht eng, ihr dürfte de facto gar nicht danach suchen.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 04.02.2020 um 16:42 Uhr
Zitat von Johnsoncontrol:

Wir haben uns eben mal mit diversen „forensic“
Software beschäftigt. Das könnte doch helfen?

Ja.

Hat jemand Erfahrungen damit ?

Ja.

Letztendlich ist die Staatsanwaltschaft oder Polizei ja auch in der Lage dazu, diverse Dinge zu rekonstruieren?

Jein.


das geht nur dann, wenn die Information auch noch vorhanden ist. Wenn man die betreffenden Daten sorgfältig genug löscht oder vielleicht sogar falsche Daten implantiert, kann man alle möglichen "Taten" verwischen oder "nachweisen".

Das Problem ist, daß die gefundenen Daten korrekt eingeordnet und bewertet werden müssen. Eine forensische Analyse liefert nur Hinweise, aber keine handfesten Beweise. Und wie gesagt, solange kein Dritter an der Platte rumfummelt kann man damit nur Hinweise für die Schuld finden, wobei es dann nochmal ein weiterer Punkt ist, ob die Hinweise vom Verdächtigen stammen oder ob ein Dritter da noch rumgefummelt hat, um die Schuld auf diesen zu wälzen, aber das nicht vorhandensein von Hinweisen ist kein Beweis für Unschuld.

Wenn Ihr solche Vorkommnisse verhindern wollte, müßt Ihr eure Infrastruktur und Eure Arbeitsprozesse dementsprechend gestalten.

lks
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 17:05 Uhr
Hi lks,

Vielen Dank für deine ausführliche Antwort.

Vielleicht noch zur Ergänzung des allgemeinen Sachverhalts:

Der Mitarbeiter hat sich nicht Fehlverhalten, indem er auf seinem Geschäftsrechner auf Daten zugegriffen hat (er hatte ja auch die Berechtigung dazu), es geht hier vielmehr ausschließlich darum, ob er das excel file im Browser über seinen privaten email Zugang auf sich privat weitergeleitet hat.

Das ist die große Frage, ob sich technisch sowas überhaupt rausfinden lässt, da es ja sein EIGENER Account sein musste.

Denn: wenn das nicht so ist, hätten wir wohl ein großes Problem

Grüße
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020, aktualisiert um 17:14 Uhr
Ps: das mit der „Zeit“ Bzw. Eiligkeit haben wir noch nicht so ganz verstanden, da es ja doch eigentlich nichts am System ändert ?

Wir wollten uns eigentlich in Ruhe einen entsprechenden Plan zurecht legen...
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020, aktualisiert um 17:17 Uhr
Der Mitarbeiter hat sich nicht Fehlverhalten, indem er auf seinem Geschäftsrechner auf Daten zugegriffen hat (er hatte ja auch die Berechtigung dazu), es geht hier vielmehr ausschließlich darum, ob er das excel file im Browser über seinen privaten email Zugang auf sich privat weitergeleitet hat.

Andere Frage, wie kommt ihr denn auf die Idee, dass er getan haben könnte und wer bist "du" im Unternehmen? Mit wem ist das "Plan zu Recht legen" abgestimmt? Merke: Als Admin kommst du ggf. sogar in Haftung, wenn du Datenschutzbefugnisse überschreitest.

Das ist die große Frage, ob sich technisch sowas überhaupt rausfinden lässt, da es ja sein EIGENER Account sein musste.

Wenn da was war und noch nichts gelöscht wurde und nicht zu viel Zeit war lässt sich u.U ein Hinweis finden, wie der aussieht kommt aber auf viel mehr Parameter an.

Ps: das mit der „Zeit“ Bzw. Eiligkeit haben wir noch nicht so ganz verstanden, da es ja doch eigentlich nichts am System ändert ?

Doch. Es werden dauernd Dateien im System geschrieben und gelöschte überschrieben, ebenfalls werden alte Logdateien gelöscht und vllt ist es auch nur sowas simples wie "Browsercache löschen", weil die Branchenanwendung nicht mehr läuft...Also nichtmal unbedingt der Verschleierung dienlich sein soll, es aber doch ist.
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 17:32 Uhr
Ganz einfach:

Wir haben festgestellt, dass größere Datenmengen aus einem CRM System kopiert wurden. Wohin wissen wir nicht. Aber: eine Mitarbeiterin hat sich wohl gewundert, warum der Mitarbeiter den ganzen Tag an einer excel Liste arbeitet, von der keiner wusste was genau er macht!

Dem Mitarbeiter wurden vorübergehend die Rechte zum Zugriff auf das System entzogen.

Er streitet dies vehement ab.
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020, aktualisiert um 19:53 Uhr
Wenn Ihr solche Vorkommnisse verhindern wollte, müßt Ihr eure Infrastruktur und Eure Arbeitsprozesse dementsprechend gestalten.

kann das nur anführen. Dir dürfte mittlerweile auch klar sein, dass "theoretisch" darüber reden kaum etwas bringt.
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 17:41 Uhr
Sicherlich hast du Recht, was die GL sicherlich auch bedenken wird. Zum aktuellen Fall hilft uns das aber nicht mehr...
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 17:44 Uhr
Stimmt, da hilft aber auch keine Theorie, da müsst Ihr nachschauen lassen, was wann passiert ist um Indizien zu sammeln. Nur eine große Menge abgerufener Daten heisst noch nichts, vor allem, wenn er die Rechte hatte.

In welcher Branche seid Ihr denn? (gerne per PN).
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 17:50 Uhr
Genau.

Ein Verdacht ist aber kein Nachweis und wenn der Mitarbeiter nicht zur genauen Überprüfung zustimmen sollte, können wir auch nicht einfach auf „seinen“ Rechner bzw. Alle Inhalte, Verläufe etc zugreifen.
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 17:58 Uhr
Auch das ist absolut richtig, deswegen benötigt ihr die Rechtsanwaltliche Absicherung und dann die konkrete Prüfung wenn erlaubt und dann solltet Ihr schleunigst den Sicherheits- und Datenschutzpart aufbauen.
Bitte warten ..
Mitglied: FA-jka
04.02.2020 um 18:33 Uhr
Hallo,

Zitat von Johnsoncontrol:

Ganz einfach:

Aber: eine Mitarbeiterin hat sich wohl gewundert, warum der Mitarbeiter den ganzen Tag an einer excel Liste arbeitet, von der keiner wusste was genau er macht!

Und das begründet den Hauptverdacht?

Gruß,
Jörg
Bitte warten ..
Mitglied: Johnsoncontrol
04.02.2020 um 18:34 Uhr
Naja in Kombination mit der durch den User kopierten Daten schon oder ?
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 18:45 Uhr
Ohne Vorgeschichte nicht unbedingt. Aber das Thema Vertrauen kam ja schon auf. Damit scheint es ja nicht (mehr) weit her zu sein.
Bitte warten ..
Mitglied: broecker
04.02.2020 um 19:02 Uhr
also wenn man's denn wirklich will, muß man wirklich den Zustand der IT einfrieren und ernsthaft forensisch auswerten;
Spuren können immer noch in den Resten der Auslagerungsdatei sein, Spuren können im Browser-Cache sein, Spuren können aus temporären Dateien (das Excel-Dings) in den wieder freien Blöcken der Festplatte sein -
dafür darf man aber den Mitarbeiter nicht mehr beliebig weiter auf dem System arbeiten lassen.

Schlachtplan also:

1. sicherstellen und versiegeln - Protokoll machen, 6-8 Augen Prinzip
2. Rechtliche Situation klären, durfte nur dienstlich gearbeitet werden, Betriebsrat, Arbeitsvertrag, ...
3. erst dann vom unabhängigen Forensiker mit Budget 4-5 stellig nach Spuren suchen lassen und genug potentielle Datenmuster zur Verfügung stellen
4. ggf. Anhaltspunkte bewerten und ggf. nach Strategie mit GL und Rechtsabteilung erst den MA konfrontieren bzw. sich vor Gericht sehen.

HG
Mark
Bitte warten ..
Mitglied: ToniHo
04.02.2020 um 19:31 Uhr
Moin,

für mich liest sich das so, ohne dir zu nahe treten zu wollen, als würde da jemand seine Spuren oder irgendwelche Spuren verwischen wollen. Ist nur meine Meinung.

Mit Hilfe von Datenforensik kansnt du aber einiges, gerade bei Windows, rekonstruieren. Angefangen bei den sog. JumpLists bis hinzu Einträgen über die Registry kannst du herausfinden, wann, welche Datei geöffnet wurde. Natürlich nur bestimmte Zeiträume bzw. bis zu bestimmten Zeiträumen. Du kannst dir hierzu die Poster vom SAN Institut anschauen. Einfach in Google mal "SANS Institut IT Forensik Grafik" eingeben.

Sollte so ein Fall tatsächlich eingetreten sein, hätte man aber schon längst rechtliche Schritte bzw. Experten ins Boot geholt. Jeder sollte wissen, dass Forensik ein sensibles und zeitkritisches Thema ist. Gerade wenn du die Resultate gerichtlich verwertbar machen willst. So einfach ist das nämlich alles nicht.

Ansonsten stimme ich meinen Vorrednern zu: In Deutschland gilt die Unschuldsvermutung. Solange ihr also nichts beweisen könnt, hat euer Mitarbeiter euch auch nichts nachzuweisen. Wo kämen wir hin, wenn jeder erstmal seine Unschuld beweisen muss, bevor man ihn überhaupt Schuld bewiesen hat.

Grüße
Toni
Bitte warten ..
Mitglied: keine-ahnung
04.02.2020 um 20:00 Uhr
@FA-jka

Vielleicht findet man die Excel-Tablette oder Hinweise darauf

Ganz sicher die falsche Spur - die Teile sind in Deutschland nicht zugelassen und zumindest im europäischen Ausland verschreibungspflichtig.

LG, Thomas
Bitte warten ..
Mitglied: UweGri
04.02.2020, aktualisiert um 20:50 Uhr
Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.


Nun, wäre ich der Mitarbeiter und unschuldig, würde ich einen RA konsultieren, mit der Bitte doch eine höhere Abfindung zu "beantragen", Alternative wäre eine Anzeige der Firma wegen falscher Verdächtigung und erpresserischer Aufforderung zur "Unschuldsfindung"! Bereits jetzt habt ihr den Fehler begangen, bei einem Verdacht, diesen offen zu äußern. Könnte schon als Beleidigung / Unterstellung ausgelegt werden. Bereits zu diesem Zeitpunkt hat sich die Firma sehr weit in die rechtliche Grauzone reinbegeben.

Nachtrag: Beweissicherung für ein Gericht könntet Ihr eh nicht tun. Solch Verfahren setzt zwingend einen richterlichen Beschluss voraus und zugelassene und vereidigte Techniker mit für Gerichte zugelassene Software.
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 20:46 Uhr
Zitat von UweGri:

Unser Gedanke ist aktuell gegenbenenfalls der, dass der Mitarbeiter zu einer Überprüfung zustimmt um somit quasi seine „Unschuld“
Zu beweisen.


Nun, wäre ich der Mitarbeiter und unschuldig, würde ich einen RA konsultieren, mit der Bitte doch eine höhere Abfindung zu "beantragen", Alternative wäre eine Anzeige der Firma wegen falscher Verdächtigung und erpresserischer Aufforderung zur "Unschuldsfindung"! Bereits jetzt habt ihr den Fehler begangen, bei einem Verdacht, diesen offen zu äußern. Könnte schon als Beleidigung / Unterstellung ausgelegt werden. Bereits zu diesem Zeitpunkt hat sich die Firma sehr weit in die rechtliche Grauzone reinbegeben.

und durch das nicht aktiv werden sind auf der anderen Seite ggf. bereits massig (falls) wirkliche Beweise verloren gegangen.
Bitte warten ..
Mitglied: Vision2015
04.02.2020 um 21:08 Uhr
moin...

Wenn Ihr solche Vorkommnisse verhindern wollte, müßt Ihr eure Infrastruktur und Eure Arbeitsprozesse dementsprechend gestalten.
aber grundlegend....

wenn ihr dabei hilfe braucht, dürft ihr euch gerne melden!

Frank
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 21:10 Uhr
Haha, Frank, lass uns Mal über eine Kooperation reden ;)

Danke dir!
Bitte warten ..
Mitglied: Vision2015
04.02.2020 um 21:16 Uhr
moin...
Zitat von certifiedit.net:

Haha, Frank, lass uns Mal über eine Kooperation reden ;)
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....

Danke dir!
gerne... warte mal ab, auf unseren Winterschlussverkauf 2020... da werden wir Wiederholt und aufdringlich auf unsere Angebote hinweisen....

Frank
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020 um 21:17 Uhr
Zitat von Vision2015:

moin...
Zitat von certifiedit.net:

Haha, Frank, lass uns Mal über eine Kooperation reden ;)
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....

bringt Ihr euch so an den Markt?

Ich glaub ich muss nochmals drüber nachdenken
Bitte warten ..
Mitglied: transocean
04.02.2020, aktualisiert um 21:19 Uhr
Zitat von Johnsoncontrol:

Naja in Kombination mit der durch den User kopierten Daten schon oder ?

Oha... Wäre ich der verdächtigte Arbeitnehmer, hättest Du bzw. die GL des Hauses eine Unterlassungsklage am Hals.
Und wenn ich die GL, oder ein Teil davon wäre, würde ich mir neben der Sicherheit meiner IT auch Gedanken um deinen Verbleib machen.
Wer oder was hat Dich befähigt, interne Vorkommnisse aus dem Unternehmen heraus in ein öffentlich zugängliches Administrator Forum zu transferieren?

Grüße

Uwe
Bitte warten ..
Mitglied: certifiedit.net
04.02.2020, aktualisiert um 21:20 Uhr
Zitat von transocean:

Zitat von Johnsoncontrol:

Naja in Kombination mit der durch den User kopierten Daten schon oder ?

Oha... Wäre ich der verdächtigte Arbeitnehmer, hättest Du bzw. die GL des Hauses eine Unterlassungsklage am Hals.
Und wenn ich die GL, oder ein Teil davon wäre, würde ich mir neben der Sicherheit meiner IT auch Gedanken um deinen Verbleib machen.
Wer oder was hat Dich befähigt, interne Vorkommnisse aus dem Unternehmen heraus in ein öffentlich zugängliches Administrator Forum zu transferieren?

Grüße

Uwe

Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.

Aber dafür wird man hier mittlerweile sogar angefeindet.
Bitte warten ..
Mitglied: transocean
04.02.2020 um 21:24 Uhr
Zitat von certifiedit.net:
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.

Aber dafür wird man hier mittlerweile sogar angefeindet.

Wo Du Recht hast...
Bitte warten ..
Mitglied: Vision2015
04.02.2020 um 21:25 Uhr
Zitat von certifiedit.net:

Zitat von Vision2015:

moin...
Zitat von certifiedit.net:

Haha, Frank, lass uns Mal über eine Kooperation reden ;)
uh... ich wollte den Kunden für mich alleine... deswegen nur heute das Angebot. 99% Preisnachlass, auf alle Aufträge....

bringt Ihr euch so an den Markt?
ja... du nicht?

Ich glaub ich muss nochmals drüber nachdenken
echt jetzt
Frank
Bitte warten ..
Mitglied: Vision2015
04.02.2020 um 21:37 Uhr
Zitat von transocean:

Zitat von certifiedit.net:
Ganz meine Rede, aber das sag ich hier schon lange. Solche Fragen (und viele weitere) gehören nicht in ein öfftl. Forum, sondern in die Hände von Spezialisten, sowohl rechtl. als auch techn.

Aber dafür wird man hier mittlerweile sogar angefeindet.

Wo Du Recht hast...
ja .... aber... schaut mal...

derjenige braucht ja auch seine daseinsberechtigung!...was sollte er den machen, wenn nicht moppern!
und nicht jeder hat die fachliche kompetenz und erfahrung, hier lösungen auf probleme in der IT zu posten...
und dabei sein ist alles...

Frank
Bitte warten ..
Mitglied: mupan7
05.02.2020 um 17:32 Uhr
Niemand, auch nicht die Polizei, darf/dürfte einen privaten Mailaccount einfach mal so durchsuchen. Und die Durchsuchung sämtlicher Konten wäre der einzige Weg zum Beweis. Und weil der Gerichtsbeschluss dafür so lange dauert, gibt es Möglichkeiten, Daten einzufrieren. Der Betriebsrat und der betriebliche Datenschutzbeauftragte wurden in den Kommentaren vergessen, deren Einbindung ist nicht zu vergessen.

Ziemlich maue Verdachtslage. Sind Sie sicher, dass es Ihnen um die Aufklärung eines möglichen Fehlverhaltens geht?
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards
Verdacht auf Mainboarddefekt
gelöst Frage von achkleinCPU, RAM, Mainboards11 Kommentare

Hallo, ich habe hier einen älteren PC mit Intel Pentium Dual Core E5800 und Foxconn Mainboard G41MD. Ich habe ...

Apache Server

Webserver 75 aktive Tasks Verdacht auf Schadscripte

Frage von wescraven07Apache Server24 Kommentare

Moin moin Admins, folgende Frage: ich habe einen Managed Server und seit heute morgen ziemlich Probleme mit der Performance ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 1 TagHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 2 TagenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 2 TagenMicrosoft Office11 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 2 TagenNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Server-Hardware
Lieferzeiten bei einem Server - kann das sein?
gelöst Frage von samet22Server-Hardware31 Kommentare

Hallo, ich hätte an diejenigen eine Frage welche innerhalb der letzten 6-12 Monate einen Server bestellt haben. Ich habe ...

Verschlüsselung & Zertifikate
SSL Zertifikat gekauft funktioniert aber nicht
Frage von TeKiLLa1895Verschlüsselung & Zertifikate18 Kommentare

Hi, Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen. Jetzt passt aber der ...

Humor (lol)
Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden
Information von Dilbert-MDHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Linux Tools
Wert aus eine bestimmte Zeile in eine andere Spalte ändern unter Linux Bash
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOOLinux Tools15 Kommentare

Guten Tag, ich sitze gerade wiedermal vor einem Problem und muss unter Zeitdruck ein diesen lösen. Ich muss mit ...