Spionage?

[NikeVRSTour 0]

Schönen guten Abend!

Ich würde gerne die Meinung von Fachleute zu fogendem hören.

Eine Firma mit ca. 15 Clients und Mitarbeitern. Windows 7 und 8 Clients, Windows 2008 r2 Server, Clients arbeiten mit dem Remotedesktop auf dem Server und ein zweiter Server mit windows 2008 als Fileserver und Mailserver.

Geschäftsleitungsordner durch Sicherheitsrechte nur für Administratoren und Mitglieder der Geschäftsleitung freigegeben. Aktuell nur der Geschäftsführer in der Domäne mit diesen Rechten angemeldet. Keine Zugriffsüberwachung aktiviert. Folgende Situation, der Geschäftsführer greift im Zuge der Gehaltsverhandlung auf eine Excel Datei im Geschäftsleitungsordner zu. Beim öffnen kommt die Frage "Die Datei ist bereits geöffnet wollen Sie etc......", alle arbeiten nur auf dem Remotedesktopserver. Nun macht der Geschäftsführer den Taskmanager auf und sieht das nur er und der Mitarbeiter mit dem er die Gehaltsverhandlung führt Excel geöffnet hat. Der Geschäftsführer schießt den Task ab und unmittelbar danach läßt sich die Datei öffnen. Dem Geschäftsführer kommen Zweifel und bittet den Administrator am Abend den Remotedesktop des Mitarbeiters starten zu lassen und Excel und Word zu öffnen. Rechtlich sehr bedenkenswert!!! Hierbei stellt sich heraus das bei den zuletzt geöffneten Dateien, viele wichtige Dateien des Geschäftsleitungsordners, geöffnet wurden. Die Verbindung wurde durch ein Laufwerksmapping hergestell wie man am Pfad ersehen konnte. Dieses Mapping bestand aber zu dem Zeitpunkt der Überprüfung nicht.

 

Mich würde jetzt eure Einschätzung zu diesem Fall interessieren!

 

VG

[Daniel -MSFT- 129]

Wenn der Anwender das Kennwort eines Admins oder des Geschäftsführers herausbekommen hat (viele gehen damit recht schlampig um), dann kann er damit sich gegen den Fileserver z.B. mit net use IP-Adresse verbinden und dabei die anderen Logondaten angeben. So käme er an die Daten.

 

Was ist denn das Ziel? Was will die Firma erreichen? Am einfachsten besucht man den Kollegen mit Zeugen (Betriebsrat?) am Arbeitsplatz und bittet ihn, Excel zu öffnen. Dann bittet man um Erklärung der zuletzt geöffneten Dateien.

 

Allerdings kann der Kollege auch sagen, das war er nicht. Schliesslich könnt ihr ihm das ja untergeschoben haben. Ihr habt Euch ja schon seinen Account heimlich zu eigen gemacht. Damit könnt ihr, wenn er nicht gerade ein Geständnis ablegt, gar nichts mehr beweisen.

 

Have Fun!

Daniel

bearbeitet 8. Mai 2014 von Daniel -MSFT-

[NikeVRSTour 0]

Hallo Daniel, das Ziel, bzw. was will man erreichen will sind zwei Dinge, einen Mitarbeiter nicht zu unrecht zu beschuldigen und auf der anderen Seite das Unternehmen zu schützen. Daher ist erst zu klären ob es irgenwelche Möglichkeiten gibt, sollte nur er sein Passwort kennen, das hier nicht irgendein Irrtum besteht!

[Daniel -MSFT- 129]

Na dann schaut mal nach, wie die effektiven Berechtigungen auf dem Ziel sind und in welchen Gruppen der User ist. Nicht dass ihr übersehen habt, dass er indirekt Zugriff hat.

[NeMiX 76]

Du solltest als erstes die ACLs auf den Foldern prüfen und evtl. die Zugriffsüberwachung einschalten um zu prüfen ob noch andere Leute Zugriff haben.

Falls es einen Betriebsrat gibt, solltet Ihr den auch direkt einschalten.

[NikeVRSTour 0]

Die Berechtigungen auf dem Foldern sind richtig gesetzt und auch die Gruppenmitgliedschaften in den sich der Benutzer befindet haben keinen Zugriff auf das Ziel. Sicher ist das für den Zugriff die Mitgliedschaft in der Gruppe GL oder Administratoren benötigt wird.

 

 

Gibt es sonst noch Möglichkeiten wo wir bzgl. der Sicherheit was übersehen haben könnten? Das Excel einträge ind den zuletzt von ihm geöffneten Dateien nicht von ihm stammen könnten?

 

 

 

 

Und dann eben die Sache wie oben beschrieben mit der geöffneten Datei und den abgeschossenen Task!

bearbeitet 9. Mai 2014 von NikeVRSTour

[NilsK 2.827]

Moin,

 

wenn in der Meldung, die der GF gesehen hat, tatsächlich der Name des Anwenders stand (und nicht sein eigener oder der eines Administratorkontos), dann hatte der Anwender selbst auch die Rechte, die Datei zu öffnen. Hätte er ein anderes Konto verwendet, dann hätte dessen Name dort gestanden, weil dieses Konto ja den Zugriff durchgeführt hätte.

 

In der Umgebung scheint eine wirkliche Klarheit aber kaum herzustellen zu sein. Denn wenn der GF auf dem Dateiserver oder dem Terminalserver Prozesse beenden kann, dann sind die Rechte nicht ausreichend restriktiv vergeben. Ein echter Nachweis lässt sich damit also nicht führen.

 

Nur zur Vorsicht: Jede juristische Bewertung ist uns nicht nur nicht möglich, sondern auch nicht erlaubt.

 

Gruß, Nils

bearbeitet 9. Mai 2014 von NilsK

[h-d.neuenfeldt 21]

Du hast selber festgestellt :

"Dem Geschäftsführer kommen Zweifel und bittet den Administrator am Abend den Remotedesktop des Mitarbeiters starten zu lassen und Excel und Word zu öffnen. Rechtlich sehr bedenkenswert!!! Hierbei stellt sich heraus das bei den zuletzt geöffneten Dateien, viele wichtige Dateien des Geschäftsleitungsordners, geöffnet wurden. Die Verbindung wurde durch ein Laufwerksmapping hergestell wie man am Pfad ersehen konnte. Dieses Mapping bestand aber zu dem Zeitpunkt der Überprüfung nicht."

 

Dies ist in meinen Augen rechtlich nicht nur bedenklich sondern eindeutig Illegal. Betriebsrat ? Datenschutzbeauftragter ?

Solche Fälle von einem "augenscheinlichen" Missbrauch gehören anders angegangen und auch erst mal mit dem Firmenanwalt besprochen.

Beweissicherung ist das Problem !

Jetzt, nachdem der Account fremdgestartet worden ist, ist die Beweissicherung kaputt, da kein Nachweis mehr geführt werden kann, daß nicht du und/oder der GF diese Änderungen nachträglich durchgeführt habt.

[Dr.Melzer 191]

Da das hier schon bedenklich in Richtung Rechteberatung geht und wir das nicht leisten können und dürfen schließe ich den Thread.