Ich habe es kommen sehen, in dieser aufgeheizten Stimmung in Sachen Datenanalyse werden unverdächtige oder wie in diesem Fall leicht verdächtige Dinge zu Skandalen hochgebauscht. Diesmal trifft es die EnCase Enterprise Edititon.Die lieben Kollegen des Bildungs-Boulevards haben sich der Spionage-Software gewidmet. Es geht konkret darum, dass ein internationales Unternehmen auf allen Rechnern im Konzern einen Agent der EnCase Enterprise Edition installiert hat. Was eigentlich als schnelle Möglichkeit für eine Incident Response bzw. Memory Acquisition oder auch die Erstellung eines forensischen Festplattenimages von entfernten Standorten gedacht war, bekommt nun das Etikett der Mitarbeiterspionage angeheftet. Auch wenn diese bemühte Aufregung nun nicht jedermanns Sache ist, zeigt es immer wieder, dass sich die Unternehmen zwingend Gedanken machen müssen, wenn forensische Software eingesetzt wird. Dies bedeutet übrigens auch, dass interne Ermittlungseinheiten auf legale Füße gestellt werden müssen. Auch sollten die Unternehmen über eine Betriebsvereinbarung „Sonderuntersuchung“ nachdenken. Es werden sich nur wenige Datenschützer bzw. Betriebs- oder Personalräte gegen eine solche Vereinbarung stellen, man sollte es nur im Vorfeld und offen ansprechen.
EnCase Enterprise Edition als Tool für Incident Response bzw. Memory Acquisition zu beschreiben, dass ist ja wohl mehr als gewagt und reichlich naiv.
Ich habe drei Jahre in einer amerikanischen Firma in Houton gearbeit, Details erspare ich mir. Auf allen Rechnern war der EnCase Enterprise Software Agent installiert. Der Fernzugriff wurde durch die Konzernsicherheit, das Personalmanagement, die Kostenkontrolle sowie durch einen uns unbekannten Generalaccount (wahrscheinlich eine IT-Adminstrative Kontrolle) zur direkten Leistungs- und Verhaltenskontrolle genutzt. Dabei waren Zugriffe sowohl im Falle von Vorfällen (negative Äusserungen, Verdachtsfällen auf Verstöße gegen die Konzernregeln, etc.) als auch verdachtsunabhängig regelmäßig der Fall.
EnCase Enterprise habe ich keinesfalls als Incident Response Tool wahrgenommen.
Guter Einwand, der wieder einmal eines der Hauptprobleme bei forensischen Tools und Untersuchungen aufzeigt. In den falschen Händen zweckentfremdet, sind sie kein Segen. Leistungs- und Verhaltenskontrolle ist auch durch viele andere Dinge möglich. Lässt sich zum Beispiel auch prima über die Windows-Eventlog mit der Auswertung der lokalen An- und Abmeldezeiten erreichen, oder auch über die Protokolldaten der Zutrittskontrollsysteme. Diese Mechanismen deswegen aber als reine Spionagemechanismen zu verwenden ist zu kurz gegriffen. Ich kann mich nur wiederholen: Es muss ganz klare Regelungen zum Einsatz von forensischen Tools im Rahmen eines Kontinuierlichen Fraud Monitorings geben, die Datenschutz- und Betriebsverfassungsgesetze angemessen berücksichtigen. HR und Controlling sollten niemals die Möglichkeit habe, auf solche Daten zuzugreifen.
Ich kann mich Herrn Geschonneck nur anschließen.
Leider werden die Personen die dann wirklich EnCase Enterprise (insbesondere die Information Assurance Komponente) für Unternehmensweite Sweeps oder auch für Incident Response benutzen müssen, im Regen stehen gelassen.
Die Auseinandersetzung mit dem Datenschutz, gerade in internationalen Unternehmen, scheint doch etwas komplexer zu sein.
EnCase Enterprise und Information Assurance Suite bieten dem Ermittler einen immensen Umfang an Möglichkeiten der Informationsbeschaffung.
Das EnCase Servlet kann gut und gerne auch als „Trojaner“ bezeichnet werden. Dieses weckt natürlich Begehrlichkeiten die unbedingt auf ihre rechtliche Grundlage geprüft werden müssen.
Es sei Guidance gedankt das diese Produkte zum Glück sehr teuer sind und nicht jeder Firmenchef es sich leisten kann.
Das Servlet kann im übrigen auch im „Silent Mode“ installiert werden so das der Nutzer im Regelfall gar nicht mitbekommt das EnCase benutzt wird.
Nicht das Werkzeug ist der Täter!