Schlagwort-Archive: Sachverständiger

IT-Forensik, Privatermittlung und der Datenschutz

Im Rahmen unserer Tätigkeit als IT-Forensiker werten wir sowohl Computer, als auch mobile Endgeräte wie Handy- und Smartphone aus. Auch für Private und Unternehmen. Im Zuge dessen betrifft dies auch Geräte von Mitarbeitern. Um diese auswerten zu können, ist die Auswertung und damit die Erstattung eines Gutachtens an bestimmte Vorraussetzungen geknüpft.
Bereits im Vorfeld der Entwicklung von Antwortstrategien in Bezug auf Sicherheitsvorfälle (Incident-Response-Strategien), sollte der Datenschutzbeauftragte (und möglicherweise auch der Betriebsrat) aktiv einbezogen werden. Sollte eine Auswertung von Protokolldaten mit möglicherweise personenbezogenen Daten erforderlich werden, sollte der Datenschutzbeauftragte informiert werden und der Auswertung beiwohnen. Es gibt dazu nicht nur datenschutzrechtliche, sondern auch ermittlungstechnische Beweggründe. Es wäre ja Schade, am Ende bei einer gerichtlichen Auseinandersetzung zu scheitern, nur weil man gesetzliche Vorgaben nicht beachtet hat.
Der Datenschutz ist im Falle einer Ermittlung nicht außer Kraft gesetzt. Datenschutz soll in diesen Fällen kein Täterschutz sein. Deshalb ist es den Behörden (und nur diesen) erlaubt, Daten zu sammeln, die eigentlich nicht gesammelt werden dürften. Behörden sind dazuausdrücklich ermächtigt. Das Recht auf informationelle Selbstbestimmung tritt dann hinter den Strafverfolgungsanspruch des Staates zurück. Allerdings ist in jedem Einzelfall zu entscheiden, ob neben bestehender Normen und Tatbestände auch die Verhältnismäßigkeit der Mittel gewahrt bleibt. Der Datenschutzbeauftragte wird in diesem Zusammenhang sicher wertvolle Dienste leisten.

Im Rahmen der Erstattung von Privatgutachten bedeutet dies, dass der Auftraggeber nicht nur allgemeine datenschutzrechtliche Bestimmungen einzuhalten hat, sondern auch ein berechtigtes Interesse nachzuweisen hat, wenn die Ermittlung auf bestimme Personen abzielt, die verdächtigt werden. Das ist insbesondere dann erforderlich, wenn es gegen Mitarbeiter geht (Kriminalität am Arbeitsplatz vs. Arbeitnehmerdatenschutz). An dieser Stelle lassen wir uns das berechtigte Interesse grundsätzlich schriftlich im Vertrag bestätigen und übernehmen dahingehend keine Haftung.

Als Arbeitgeber sind sSe diesbezüglich übrigens gut beraten, hinsichtich der Nutzung vom Firmenrechnern klare vertragliche Regelungen und Richtlinen zu schaffen, die z.B. die private Nutzung von Firmenrechnern und Mobiltelefonen untersagen. Dann kann eine Auswertung wesentlich leichter erfolgen und man ist rechtlich auf einer deutlich sichereren Seite. Das Thema Datenschutz und IT-Forensik / Privatermittlung ist sehr komplex und in diesem Beitrag nicht erschöfpfend zu behanden. Dahingehend bin ich auch als Sachverständiger für Datenschutz tätig und kann Sie an dieser Stelle unabhängig und sachverständig beraten. Diese Möglichkeit sollten Sie nutzen, bevor ein Sicherheitsvorfall oder eine kriminelle Handlung in Ihrem Unternehmen festgestellt wird.

Insgesamt wird uns dieses Thema auch auf dieser Seite noch einige Male beschäftigen. In diesem Sinne …

Wirtschaftsspionage in großem Stil – und was Sie dagegen tun können

Nun ist es also endlich raus. Programme wie PRISM der NSA dienen nicht unbedingt dazu, die „Sicherheit“ der USA vor bösen Terroristen zu sichern, Sie dienen vornehmlich dazu, die Bürger aller Länder der Welt nachhaltig auszuspionieren und Persönlichkeits-Profile zu erstellen. Das ist an sich erst einmal nichts Neues. Mittlerweile dürfte aber auch dem letzten Hinterwäldler klar geworden sein, dass die Bundesregierung und der eigene „Geheimdienst“ von allem gewußt haben, und die eigenen Bürger fremden Mächten ausliefern und damit sämtiche Bürgerrechte untergraben. Das nur am Rande.

Selbstverständlich hat die Sache vornehmlich einen wirtschaftlichen Hintergrund. Es geht darum, die Unternehmen fremder Staaten, vor allem in Deutschland auszuspionieren, Wirtschaftsspionage nennt man das. Als Sachverständiger ist dieses Thema natürlich von besonderem Interesse, schließlich werde ich ja auch für Unternehmen tätig. Führend auf diesem Gebiet sind hier die USA, China, Russland, Großbritannien und Frankreich. Es ist natürlich nicht auszuschließen, dass auch Deutschland mitmacht, nur wen wollen wir denn dahingehend ausspionieren? Die meisten Patente kommen doch eh aus Deutschland. Früher schleuste man Spione in die Unternehmen ein, heute observiert man ihre Kommunikation.

Und deshalb predige ja nicht nur ich: Leute führt endlich vernünftige Sicherheitskonzepte in euren Unternehmen ein! Da daußen herrscht Krieg, nicht nur ein Währungskrieg, sondern auch ein Informations- und Kommunikationskrieg. Manipulation auf allen Ebenen und unterstützt durch die Mainstraemmedien. Das hat mit Verschwörungstheorien nichts zu tun, denn dieser Krieg wird ja inzwischen mehr oder weniger offen ausgetragen. Und wir sind mittlerweile so weit (und das ist besonders schlimm), dass die Bevölkerung tatenlos zusieht. Gegen einen Bahnhof können sie demonstrieren, die Demontage ihrer Freiheit und die Enteignung nicht nur ihres Eigentums, nimmt sie dagegen mehrheitlich kaum wahr. Ein gefundenes Fressen für die Überwacher. Was soll man dazu noch sagen?

Den USA und anderen Ländern ist auf jeden Fall das unterlaufen, was einem Spion nicht passieren sollte: Man hat ihr den Schlapphut weggezogen, was könnte einem Spion Schlimmeres passieren, als enttarnt zu werden. Bürger und Unternehmen wissen auf jeden Fall jetzt Bescheid und werden nun Maßnahmen ergreifen, wenn Sie klug sind. Das wird die Zukunft zeigen, wir haben es jedenfalls selbst in der Hand!

Als Unternehmen sollten Sie darauf bedacht sein, Ihre Geschäftsgeheimnisse zu schützen, so gut es eben geht. Dafür benötigt man entsprechende Konzepte, nicht nur in Sachen IT, sondern auch personelle Ressourcen (die können Sie auch extern zukaufen). Sofortmaßnahmen sollten sein:

  • Erstellung eines umfassenden Sicherheitskonzepts (evtl. Überarbeitung des Bestehenden)
  • Bestellung eines „Sicherheitsbeauftragten“ vor allem in Sachen IT
  • Erstellung von Arbeitsanweisungen für die Mitarbeiter
  • Verhindern von Praktiken des „Social Engeneering“ (Workshops)
  • Einführen softwaregestützer Monioringsysteme
  • Generelle Verschlüsselung wichtiger Informationen (E-Mail- Dokumentenverschlüsselung)
  • Überprüfung und Neuausrichtung von Berechtigungskonzepten
  • Post mortem Analyse von Sicherheits-Vorfällen, d.h. im Nachhinein Untersuchung des Unternehmensnetzwerkes i.H. auf System-Einbrüche
  • Untersuchung mobiler Endgeräte i.H. auf Schadcode, wie Trojaner

Diese Aufstellung ist natürlich keineswegs vollständig. Bedenken Sie als Geschäftsführer eines Unternehmens bitte, dass Sie möglicherweise in Einzelfällen persönlich in die Haftung genommen werden können, wenn Sie keine ausreichenden Risikomamagement-Systeme in Ihrem Unternehmen installiert und etabliert haben!