Nutzer-Aktionen (insbesondere "illegales Kopieren" von Datein) per Skript überwachen?

[Freakhouse]

Nutzer-Aktionen (insbesondere "illegales Kopieren" von Datein) per Skript überwachen?

Gibt es eine Möglichkeit, per Skript melden zu lassen, wenn ein User mehr als eine bestimmte Anzahl von Dateien von der DS herunterkopiert bzw. liest?

Es geht dabei um folgendes Szenario: in vielen Büros und Firmen kommt mittlerweile eine DS zum Einsatz. Auf Netzlaufwerken werden eine Vielzahl von Dateien gespeichert. Wenn nun ein ehemals loyaler Mitarbeiter nicht mehr ganz so loyal ist (beispielsweise weil er gekündigt hat oder gekündigt wurde), besteht immer mal wieder die Gefahr, dass er kurz vor seinem Abgang anfängt, sich vertrauliche Dateien abzuziehen (beispielsweise, indem er sie auf einen USB-Stick kopiert). Daher meine Frage: lässt sich der Zugriff auf Dateien (insbesondere das Kopieren) per Skript überwachen, dass beispielsweise beim Überschreiten einer bestimmten Dateianzahl eine E-Mail an den Admin rausgeht oder ähnliches?

 

[dil88]

Das sollte per Shellskript prinzipiell möglich sein, aber ich zweifle an dem Nutzen. Vermutlich wird das Limit regelmäßig pflichtgemäß überschritten werden. Ich würde eher die organisatorischen Voraussetzungen dafür schaffen, dass die Zugangsrechte gut gepflegt und bei Bedarf entzogen werden.

 

[Freakhouse]

Ich denke, wenn man das Limit entsprechend hoch ansetzt, dürfte sich unterscheiden lassen, ob im geregelten Arbeitsgang Daten gelesen werden oder da einer die komplette Platte kopiert. Die Kontrolle über die Zugangsrechte ist auf jeden Fall ein wesentlicher Schritt. Aber der Entzug von Zugangsrechten kommt eben in meinem geschilderten Szenario oft zu spät.

 

[dil88]

Ein kluger Dieb könnte in einem solchen Fall seine Aktivititen fokussieren oder verteilen. Ich würde jedenfalls das "zu spät" anpacken.

 

[Freakhouse]

Gehen wir aber mal vom Normalfall und damit einem nicht gerade IT-versierten Anwender aus, der einfach den kompletten Datenbestand, zu dem er als Mitarbeiter ja Zugang hat und auch haben muss, auf einen USB-Stick rüberkopiert.

 

[TeXniXo]

Ich kenne diese Situationen all zu gut!

Das Problem ist halt, dass man dem MA nicht einfach so die Rechte entziehen kann, solange das Dienstverhältnis (inkl. Kündigungsfristen) aufrecht ist.
Da sind sogar Arbeitgeber verpflichtend, ihm die regulären Arbeitsbedingungen zu gewähren, um die Arbeiten zu beenden und/oder Übergaben seinerseits zu ermöglichen. Außer bei einer fristlosen Entlassung oder Freistellung.

Es ist mit Sicherheit so, dass 90% der "normalen Userschafft" die eingangs erwähnte Situation durchlaufen wird (also einfach alles auf einmal kopieren o.ä.). Daher würde auch mich diese Lösung interessieren!

 

[Puppetmaster]

Du kannst den Mitarbeiter ja auch von jetzt auf gleich freistellen, wenn du ihn als Sicherheitsrisiko einstufst (oder auch nicht).

Ob Du hingegen einfach eine "Überwachung" auf auffällige Dateitransfers etablieren kannst, ist auch eine rechtliche Frage. Gibt es einen Betriebsrat? Der wäre an der Stelle mindestens einmal einzubinden.

 

[Thonav]

Ich warne ebenfalls davor, ohne Hinweise gegenüber dem Mitarbeiter irgendwelche "Mitschnitte" zu veranlassen. Der Mitarbeiter ist in allen Fällen darüber zu informieren. Für solche Aktionen ist es auch nicht von Belang, ob der Betriebsrat davon Kenntnis hat und dem zustimmt - ein Unternehmen hat die Möglichkeit der Freistellung des Mitarbeiters.

 

[heavy]

Bevor ich über Server Scripte (die wenn sie falsch laufen ja auch ärger bereiten können, thema falsche verdächtigung; illegale Überwachung; eingriff in Persönlichkeitsrechte etc.) was richten würde, würde ich den Zugriff auf USB Sticks oder ähnliches unterbinden. Auch kann man in einer Kündigung festlegen auf welche Daten der Mitarbeiter noch zugreifen darf und eventuell auch auf eine Protokollierung dahingehend hinweisen. Aber da das alles eher mit (Arbeits-) Recht zu tuen hat sind wir da eh falsch am platz.

 

[Thonav]

Eine solche Protokollierung muss dann aber für alle Mitarbeiter gelten - schon da wird es zu Schwierigkeiten kommen. Ein Mitarbeiter, der egal ob gekündigt oder selber kündigend, ist bis zum letzten Arbeitstag ein regulärer Mitarbeiter. Daher bietet das Arbeitsrecht ja dem Arbeitgaber die Möglichkeit der Freistellung.

 

[AndiHeitzer]

Wenn ein Unternehmen Wert drauf legt, dass keine wichtigen Daten "abhanden" kommen sollen, dann würde ich den Zugriff auf lokale Laufwerke (DISK/BRENNER/USB-STICK) per Voreinstellung am Arbeitsplatz-PC unterbinden.
Bitte auch nicht vergessen, dass Files per Mail "das Weite suchen" könnten.
Inwieweit das sinnvoll/umsetzbar ist, kann ich nicht abschliessend beurteilen.

 

[Puppetmaster]

Für solche Aktionen ist es auch nicht von Belang, ob der Betriebsrat davon Kenntnis hat und dem zustimmt...

Der BR ist da voll im Thema, wann immer es um Leistungs- und Verhaltenskontrolle geht. Min. einmal letzteres wäre hier ganz klar gegeben.

 

[Freakhouse]

Das Sperren von USB-Ports und CDROM-Laufwerken ist auf jeden Fall ein Teil der Sicherheitsstrategie. Eine solche Sperre hat ihre Berechtigung bereits aus dem Grund, das Risiko einer Infektion mit Malware zu minimieren. Allerdings kommen wir etwas vom Thema ab, wenn wir über Betriebsräte und kündigungsbedingte Freistellungen diskutieren.

Bei uns gibt es beispielsweise gar keinen Betriebsrat, der irgendwie eingebunden werden müsste. Darüber hinaus ist das Abgreifen von Daten durch einen gekündigten Arbeitnehmer ja nur ein Szenarion von vielen. Denn wenn sich ein Mitarbeiter selbst eine neue Stelle sucht bzw. sich mit dem Gedanken trägt, zu kündigen, erfährt der Arbeitgeber erst bei der Kündigung davon. In den Wochen oder Monaten davon hat der Mitarbeiter - und mir sind da einige Fälle persönlich bekannt - mal schwupps den halben Datenbestand auf einem USB-Stick nach Hause getragen.

Zum Thema illegale Mitarbeiterüberwachung: es geht nicht um eine Leistungskontrolle (die ja ohnehin schon über das DSM-eigene Protokollcenter problemlos möglich wäre), sondern ausschließlich um die Installation einer "Alarmanlage", die sich meldet, wenn außergewöhnlich große Mengen an Daten kopiert werden. Dies würde übrigens auch dann helfen, wenn sich ein Hacker Zutritt zur DS verschafft und Daten über das Internet abzieht.

 

[geimist]

Ich finde die juristische Auseinandersetzung zur ursprünglichen Frage des TE auch nicht sehr zielführend. Das muss letztendlich der Anwender entscheiden und verantworten. Die meisten Aktionen werden ja von Haus aus auf dem Server geloggt.

Eine Lösung für die technische Umsetzung fände auch ich auch interessant. Man müsste die vorhandenen Logs für die verschiedenen Zugriffsprotokolle ggfls. filtern, zusammenführen und mit einen festgelegten kritischen Wert abgleichen.

 

[Freakhouse]

Habe gerade entdeckt, dass sich die hier diskutierte Problemstellung zumindest dem Grunde nach bereits mit einer hauseigenen Einstellung in der Synology App "Protokollcenter" lösen lässt. Im Protokollcenter gibt es die Rubrik "Benachrichtigungen". Dort kann man eine Benachrichtigung aktivieren, wenn beispielsweise auf mehr als eine bestimmte Anzahl von Dateien pro Sekunde zugegriffen wird (was ja beim illegalen Abziehen von Daten der Fall ist). Man muss mit dem entsprechenden Wert ein bisschen herumspielen, um nicht ständig im regulären Produktivbetrieb eine Benachrichtigungsmail der Diskstation zu erhalten.

Ich habe mal probeweise einen Ordner mit 200 kleinen und mittelgroßen PDF-Dokumenten kopiert. Auf meiner DS716+II lag die höchste Zugriffszahl pro Sekunde bei 30 Dateien. Daher könnte der Wert von 40 Dateien etwas zu hoch gegriffen sein. Schade, dass man den Zeitraum nicht auch Einstellen kann. Denn dann ließe sich beispielsweise Einstellen "Benachrichtigung, wenn innerhalb von einer Minute mehr als 1.500 Dateien kopiert werden".

Habt ihr noch Ideen, was man an Benachrichtigungsregeln noch einstellen könnte, um sich warnen zu lassen, wenn jemand offensichtlich größere Mengen an Daten abzieht?

 

[PsychoHH]

Schreib einfach mal Synology, evtl. wissen die noch etwas.
Mehr als die Option ist mir aber auch nicht bekannt.

Wenn aber jemand auslesen kann welcher User wieviele Dateien aufruft usw. dann ist es Synology.