Poly: Sniffing

Hallo,

Ich fang mal so an:
Unsere Firma ist in den letzten Jahren dann doch ein wenig gewachsen und hier ist sowas wie eine IT-Abteilung entstanden.
Ich hab leider wenig Ahnung von Netzwerktechnik und daher meine Frage:
Ich möchte den Mitarbeitern ein wenig auf die Finger schauen können in dem ich protokolliere

  • welche IP welche URL aufruft/Downloadet
  • welche Mitarbeiter welche Email erhält

Ich kann mir gut vorstellen das das jedoch unter Datenschutz fällt?!
Aber auf der anderen Seite habe ich doch auch sowas wie eine Verpflichtung zu wissen was in "Meinem Netz" so passiert?!

Vielen Dank für alle Antworten im Voraus
Poly

  1. Hallo,

    Ich möchte den Mitarbeitern ein wenig auf die Finger schauen können in dem ich protokolliere

    • welche IP welche URL aufruft/Downloadet

    Zumindest das wird vollkommen üblich (auch in Heimnetzen) sein.

    Ich kann mir gut vorstellen das das jedoch unter Datenschutz fällt?!

    Ich bin kein Rechtsexperte. Aber wenn die Mitarbeiter über die "Abhörmaßnahmen" informiert werden sehe ich da keine Probleme.

    Jonathan

    1. Hallo Jonathan,

      Ich bin kein Rechtsexperte. Aber wenn die Mitarbeiter über die "Abhörmaßnahmen" informiert werden sehe ich da keine Probleme.

      Dann rate ich dir, die Augen möglichst schnell aufzumachen; selbstverständlich fällt das unter datenschutzrechtliche Bestimmungen, wir sind hier ja nicht bei Orwell! Alles, was mir sonst noch dazu einfiele, hat Robert bereits gesagt, also spar' ich's mir.

      File Griese,

      Stonie

      --
      It's no good you trying to sit on the fence
      And hope that the trouble will pass
      'Cause sitting on fences can make you a pain in the ass.
      Und im Übrigen kennt auch Stonie Wayne.
      1. Hallo Jonathan,

        Ich bin kein Rechtsexperte. Aber wenn die Mitarbeiter über die "Abhörmaßnahmen" informiert werden sehe ich da keine Probleme.

        Dann rate ich dir, die Augen möglichst schnell aufzumachen; selbstverständlich fällt das unter datenschutzrechtliche Bestimmungen, wir sind hier ja nicht bei Orwell! [...]

        Nee, aber bei der Arbeit.
        Wenn es verboten ist, private Dinge mit dem Rechner zu erledigen (der Rechner also wirklich ein reines Arbeitsgerät ist), der Mitarbeiter darüber informiert ist, wäre das Vorgehen in Ordnung.
        Das hat nichts mit Orwell (unter den genannten Voraussetzungen) zu tun.

        Gruß
        Reiner

        1. Hallo Reiner,

          Nee, aber bei der Arbeit.

          Oh, das ist mir durchaus klar.

          Wenn es verboten ist, private Dinge mit dem Rechner zu erledigen (der Rechner also wirklich ein reines Arbeitsgerät ist), der Mitarbeiter darüber informiert ist, wäre das Vorgehen in Ordnung.

          Nicht wirklich; grundsätzlich dürfen nämlich schon mal keine Einzelplatzauswertungen vorgenommen werden. Dumm, wenn Internetrecherchen zur Arbeit gehören - und aus welchem anderen Grund sollte man einem Mitarbeiter denn einen Internetzugang zur Verfügung stellen?

          Man darf sicherlich die aufgerufenen IPs mitloggen und, wenn man feststellt, dass der Aufruf von (beispielsweise) Grußkartenseiten überhand nimmt, den Zugriff auf diese Seiten für alle Mitarbeiter sperren, das schon. Aber man darf definitv nicht mitloggen, wer welche Seiten aufruft. Und man darf nicht hinterfragen, wie die Herren der Schöpfung an diese wirklich nett anzusehenden Desktop-Bilder kommen, auf denen garantiert nicht ihre Freundinnen abgebildet sind - jedenfalls nicht im Einzelnen.

          Etwas anderes ist es, wenn der Chef am Rechner des Mitarbeiters vorbeikommt und sieht, wie der völlig hypnotisiert bei ebay auf eine Kristallkugel bietet, anstatt seiner Arbeit nachzugehen. Das ist dann aber nicht Überwachung des Arbeitsplatzes sondern "kalt erwischt". In dem Fall gibt es einen "begründeten Verdacht" auf den Missbrauch der Arbeitsmittel zu privaten Zwecken und dann kann man sicher den Mitarbeiter von seinem Rechner wegholen und beispielsweise den Browsercache durchsehen und ähnliches.

          Das Mitloggen der Netzwerkaktivitäten bezogen auf die einzelnen Mitarbeiter ist tatsächlich nicht erlaubt, soweit ich weiss (aber ich bin ja nun, wie schon so oft gesagt, kein Anwalt).

          Dass Firmen so etwas und noch wesentlich üblere Dinge trotzdem tun, ist eine ganz andere Sache. Und dass ein Mitarbeiter, der Wert auf seinen Verbleib am Arbeitsplatz legt, dagegen nichts unternehmen wird, dürfte erklären, warum es da keinen Kläger und folglich auch keinen Richter gibt.

          File Griese,

          Stonie

          --
          It's no good you trying to sit on the fence
          And hope that the trouble will pass
          'Cause sitting on fences can make you a pain in the ass.
          Und im Übrigen kennt auch Stonie Wayne.
          1. was, in welchem Rahmen erlaubt ist oder auch nicht, interessiert am Ende des Tages
            weder Arbeitnehmer noch Arbeitgeber. Gibt es keine klaren Regelungen von Seiten des
            Arbeitgebers wird, es ihm schwer fallen, irgendwelche arbeitsrechtlichen Konsequenzen
            durchzusetzen. Bedeutet: er kann natürlich Daten sammeln, soviel er will, im Zweifel
            jeden Tastaturanschlag. In wieweit er die gewonnenen Informationen gerichtlich ver-
            wertbar an den Richter bringen kann, ohne sich ins Knie zu schießen, sollte er
            vorher klären.

            Auf der anderen Seite sollten sich auch Arbeitnehmer nicht unbedingt auf ihr Recht
            auf Privatsphäre am Arbeitsplatz verlassen. Vor dem Hintergrund "Wahrung der IT-Sicherheit"
            im Unternehmen lassen sich schon mal Dinge begründen, die durchaus auch Bestand vor
            Gericht haben.

            Das beste ist: Der Arbeitgeber schafft klare Regeln und der Arbeitnehmer lässt sein
            privates Zeugs zu Hause - Feierabend.

            Und ganz ehrlich, kein Unternehmer kann mir erzählen, dass es wirtschaftlich ist, nur
            mal so aus Spaß zig Logfiles von 100 Arbeitsplätzen über einen langen Zeitraum hinweg
            auswerten zu lassen, und kein Admin, dass er Bock darauf hat.

            Grüße, Matthias

      2. Hallo,

        Dann rate ich dir, die Augen möglichst schnell aufzumachen; selbstverständlich fällt das unter datenschutzrechtliche Bestimmungen, wir sind hier ja nicht bei Orwell!

        Ich rate dir mal die Augen aufzumachen.Das mitloggen von aufgerufenen Webseiten ist völlig normal, genauso normal wie jeder Webserver mitloggt wie seine Seiten aufgerufen werden.

        Viele Router und ähnliches sind standardmäßig so eingestellt dass die mitloggen wer wann welche Webseite aufgerufen hat.

        Und das in Schulen oder bei Arbeitsstellen mitgeloggt wird, welche Seiten aufgerufen werden und und unerwünschte Seiten die häufig aufgerufen werden dann gesperrt werden, ist auch völlig normal.

        Ob das zu kritisieren ist, stelle ich mal in Frage. Abscheindend scheint es aber nicht verboten zu sein, denn sonst würde es nicht so häufig gemacht.

        Jonathan

        1. Hallo,

          Dann rate ich dir, die Augen möglichst schnell aufzumachen; selbstverständlich fällt das unter datenschutzrechtliche Bestimmungen, wir sind hier ja nicht bei Orwell!

          Ich rate dir mal die Augen aufzumachen.Das mitloggen von aufgerufenen Webseiten ist völlig normal, genauso normal wie jeder Webserver mitloggt wie seine Seiten aufgerufen werden.

          das ist aber so nicht erlaubt, in dem Punkt hat Stonie Recht!

          Viele Grüße,
          Reiner

        2. Moin!

          Dann rate ich dir, die Augen möglichst schnell aufzumachen; selbstverständlich fällt das unter datenschutzrechtliche Bestimmungen, wir sind hier ja nicht bei Orwell!

          Ich rate dir mal die Augen aufzumachen.Das mitloggen von aufgerufenen Webseiten ist völlig normal, genauso normal wie jeder Webserver mitloggt wie seine Seiten aufgerufen werden.

          Das ist in Deutschland gemäß des Prinzips der Datenarmut u.U. allerdings gar nicht erlaubt. Dieses Prinzip besagt, dass nur die Daten zu erheben sind, welche für den Betrieb eines Dienstes benötigt werden.

          Viele Router und ähnliches sind standardmäßig so eingestellt dass die mitloggen wer wann welche Webseite aufgerufen hat.

          Dann sind es mehr als Router. Ein Router arbeitet technisch nämlich gar nicht auf dieser Protokollebene (HTTP).

          Und das in Schulen oder bei Arbeitsstellen mitgeloggt wird, welche Seiten aufgerufen werden und und unerwünschte Seiten die häufig aufgerufen werden dann gesperrt werden, ist auch völlig normal.

          Ist es nicht. Unerwünschte Seiten sollten gesperrt sein, unabhängig davon, wie oft sie aufgerufen werden. Und zur Optimierung der Netznutzung braucht man ebenfalls keine Schnüffelei, sondern besser einen Proxyserver.

          Ob das zu kritisieren ist, stelle ich mal in Frage. Abscheindend scheint es aber nicht verboten zu sein, denn sonst würde es nicht so häufig gemacht.

          Was man nicht weiß …

          Lass mich raten: Du hast auch nichts zu verbergen, oder?

          Viele Grüße,
          Robert

          1. Hallo,

            Das ist in Deutschland gemäß des Prinzips der Datenarmut u.U. allerdings gar nicht erlaubt. Dieses Prinzip besagt, dass nur die Daten zu erheben sind, welche für den Betrieb eines Dienstes benötigt werden.

            Es geht ja nicht um einen Dienst. Außerdem mag es ein Arbeitgeber für nötig halten, mitzuloggen welche Seiten aufgerufen werden. Wenn z.B. bekannt wird, dass von der Arbeitsstelle illegale Webseiten aufgerufen werden muss ja möglicherweise nachgewiesen werden können von welchem Arbeitsplatzrechner das geschah.

            Dann sind es mehr als Router. Ein Router arbeitet technisch nämlich gar nicht auf dieser Protokollebene (HTTP).

            Ich bezog mich jetzt auf die handelsüblichen Modelle, die möglicherweise noch einen Inhaltsfilter und andere Administrationsoptionen haben.

            Ist es nicht. Unerwünschte Seiten sollten gesperrt sein, unabhängig davon, wie oft sie aufgerufen werden. Und zur Optimierung der Netznutzung braucht man ebenfalls keine Schnüffelei, sondern besser einen Proxyserver.

            Dann lässt man halt den Proxy-Server mitloggen. Ich halte es jedenfalls für utopisch ne riesige Black oder Whitelist von verbotenen/erlaubten Webseiten anzulegen. Da ist es deutlich einfacher mitzuloggen was aufgerufen wird und unerwünschtes für die Zukunft zu sperren.

            Lass mich raten: Du hast auch nichts zu verbergen, oder?

            Ich finde Datenschutz selbst sehr wichtig und halte ganz sicher nichts von solchen Überwachungsmaßnahmen. Dennoch sind die wohl üblich und unter Umständen auch erlaubt. Mehr wollte ich nicht sagen.

            Jonathan

            1. Hallo!

              Ich finde Datenschutz selbst sehr wichtig und halte ganz sicher nichts von solchen Überwachungsmaßnahmen. Dennoch sind die wohl üblich und unter Umständen auch erlaubt. Mehr wollte ich nicht sagen.

              Erlaubt sind sie AFAIK nur dann, wenn die Mitarbeiter von dieser Überwachung informiert wurden.
              In AT ist weiters so, dass auch der Betriebsrat (falls vorhanden) solchen Überwachungsmechanismen zustimmen muss.

              mfg
                frafu

            2. Hallo.

              Wenn z.B. bekannt wird, dass von der Arbeitsstelle illegale Webseiten aufgerufen werden muss ja möglicherweise nachgewiesen werden können von welchem Arbeitsplatzrechner das geschah.

              Das ist Sache der Ermittlungsbehörden und geht selbst über vorauseilenden Gehorsam weit hinaus.
              MfG, at

  2. Moin!

    Ich hab leider wenig Ahnung von Netzwerktechnik und daher meine Frage:
    Ich möchte den Mitarbeitern ein wenig auf die Finger schauen können in dem ich protokolliere

    • welche IP welche URL aufruft/Downloadet
    • welche Mitarbeiter welche Email erhält

    Und was hat nun deine Kompetenz mit dem Netzverhalten deiner Kollegen zu tun? Protokollierst du auch, wie viele Mitarbeiter tagsüber auf den Gängen unterwegs sind (Bandbreite) oder liest dir alle ein- und ausgehenden Briefe durch?

    IMHO ist es sinnvoller, den WWW-Zugriff per Black- oder Whitelist zu regeln und auch ein Proxyserver soll schon sehr gute Dienste geleistet haben. Bei den Emails ist allerdings Vorsicht geboten:

    Ich kann mir gut vorstellen das das jedoch unter Datenschutz fällt?!

    Denn hier geht es nämlich auf einmal sogar um das Briefgeheimnis, welches grundrechtlich verbrieft ist! Aber vielleicht möchtest du auf eurem Mailserver ein Antivirenprogramm installieren? Spamfilter sind rechtlich schon schwieriger zu handhaben.

    Aber auf der anderen Seite habe ich doch auch sowas wie eine Verpflichtung zu wissen was in "Meinem Netz" so passiert?!

    Und genau deshalb überwacht die Putzfrau auch per Kamera die Toiletten oder was? Muss man seinen Kollegen gegenüber soviel Misstrauen haben?

    Schönen Wochenanfang,
    Robert

  3. Hallo!

    Ich möchte den Mitarbeitern ein wenig auf die Finger schauen können in dem ich protokolliere

    • welche IP welche URL aufruft/Downloadet
    • welche Mitarbeiter welche Email erhält

    Bevor du soetwas technisch angehst, erkundige dich mal über die rechtlichen Belange. Da gibt es einschlägige Gesetze was du unter welchen Vorrausetzungen darfst. Auf alle Fälle müssen die Mitarbieter über solche Maßnahmen informiert werden. Zumindest in AT und DE.
    In AT ist es auch so, dass für  solche Maßnahmen auch der Betriebsrat (falls vorhanden) zustimmen muss.

    Wenn du ein solches Monitoring installierst ohne dich rechtlich abzusichern, kannst du dir gewaltig die Finger verbrennen.

    mfg
      frafu

  4. Hallo Poly und die anderen...

    nehmt's mir nicht übel, aber das Thema ist deutlich komplexer als nur über wenn und aber
    mit Bezug auf Datenschutz oder Schutz der Privatsphäre am Arbeitsplatz zu sprechen.

    @Poly... wenn Du nicht grad der Chef von Eurer Company bist, hat's Dich persönlich überhaupt
    nicht zu interessieren, was Deine Kollegen treiben. Es sei den, es gehört zu Deiner Aufgaben-
    beschreibung im Arbeitsvertrag ;o)

    Kleine Unternehmen haben leider ein Problem: Kaum jemand ist in der Lage zu beurteilen, welche
    Rolle die IT (Technik, Infrastruktur, Menschen...) überhaupt für den Geschäftsbetrieb spielt.
    Da war'n am Anfang mal 'n paar einzelne Rechner, irgendwann kam ein Server dazu und - hehe,
    Internet... Den Punkt, die IT dem Wachstum der Firma strukturiert (!) anzupassen, hat man
    irgendwann verpasst. Keinen Plan... das schließt Chefs def. mit ein.

    Was ich sagen will ist: Strukturiert Eure IT gedanklich neu. Bewertet und gewichtet die Rolle
    der IT zur Erfüllung der Unternehmensziele. Leitet daraus grundlegende Bedingungen ab, die
    gegeben sein müssen, damit die IT ihrer Rolle gerecht werden kann. Schnell wird sich Euer
    Gedankenspiel in einen technischen und einen menschlichen Zweig aufsplitten und irgendwann kommt
    Ihr dann dahin, dass Ihr für die Mitarbeiter Regeln für den Umgang mit der IT aufstellen könnt.
    Begründet diese Regeln (z.b. private Nutzung gefährdet Unternehmensdaten, es steht nur eine begrenzte
    Bandbreite zur Verfügung, Ausnutzung der Arbeitszeit, etc.). Formuliert diese Regeln im Rahmen
    einer Arbeitsanweisung zur Nutzung der IT und macht diese zur Anlage zum Arbeitsvertrag mit
    entsprechenden Hinweisen zu Konsequenzen bei Verstoß gegen die Regeln. Weißt an dieser Stelle
    auch auf entsprechende Monitoring-Maßnahmen hin. Wir sind bei uns noch eine Schritt weiter
    gegangen und haben auch den Sinn und Zweck bestimmter technischer Maßnahmen (FW, Mailfilter...)
    beschrieben. Mitarbeiter sind gar nicht so dumm, wie Arbeitgeber manchmal glauben: erklär bestimmte
    Dinge etwas ausführlicher, sie werden's verstehen, sich dran halten und - besonders wichtig
    für Admins: keine dummen Fragen stellen :o).

    Wenn Ihr das geschafft und den Eindruck gewonnen habt, dass Eure Leute das durchholen, macht
    Euch technische Gedanken über das Monitoring. Meist hält sich der Aufwand dann in sehr engen
    Grenzen, weil gezielt auf bestimmte Probleme geschossen werden kann. Momentan sieht's für mich
    aus, als ob Du mit 'ner Schrotflinte auf einen Busch schießt und hoffst, dass ein Hase humpelnd
    raus kommt.

    Ganz am Rande stoßt Ihr dann auch auf die rechtlichen Fragen, die zu klären sind. Die gehören
    auch aus anderen Gründen ohnehin mit zu den Überlegungen dazu.

    Fakt ist: einem Mitarbeiter zu kündigen (1. Nennung auf die Frage nach dem Ziel eines Monitorings)
    weil er in der Arbeitszeit Pornoseiten angesurft hat, funktioniert nicht, wenn die oben ganz grob
    beschriebenen Grundlagen nicht da sind. Das nervt max. den Arbeitsrichter.

    Wenn das alles ein wenig wie aus'm Lehrbuch klingt, tut's mir Leid, aber grad kleine Unternehmen
    glauben leider, dass sie sich über die IT nur Gedanken machen müssen, wenn's bei Aldi mal wieder günstig
    Rechner gibt... schade eigentlich, sie könnten sich in jeder Beziehung viel Stress von
    der Backe halten, nicht nur arbeitsrechtlichen.

    Grüße, Matthias

    1. Hallo,

      Fakt ist: einem Mitarbeiter zu kündigen (1. Nennung auf die Frage nach dem Ziel eines Monitorings) weil er in der Arbeitszeit Pornoseiten angesurft hat, funktioniert nicht, wenn die oben ganz grob beschriebenen Grundlagen nicht da sind.

      oh, das funktioniert sehr wohl - einen Fall in dieser Art gab es vor nicht allzu langer Zeit in meiner Firma. Seither wurde per Rundschreiben an alle Mitarbeiter noch einmal betont, dass die Nutzung des Internet zu privaten Zwecken nicht erlaubt sei; außerdem wurden die Mitarbeiter informiert, dass durch den Proxy künftig ein pro Arbeitsplatzrechner kontinuierlich laufendes Protokoll der aufgerufenen URLs über die letzten vier Wochen geführt wird, und dass diese Protokolle stichprobenartig kontrolliert und ggf. hinterfragt werden. Unser Betriebsrat[1] wurde über diese Maßnahme ebenfalls informiert und hat zugestimmt.

      So long,
       Martin

      [1] Leider ist unser Betriebsrat jedoch nichts weiter als der verlängerte Arm der Geschäftsleitung. Aber die Halunken werden trotzdem jedesmal wiedergewählt, obwohl jeder sie verflucht - wie in der großen Politik.

      --
      Wichtig ist, was hinten rauskommt.
        (Helmut Kohl, 16 Jahre deutsche Bundesbirne)
  5. Ich hab leider wenig Ahnung von Netzwerktechnik und daher meine Frage:
    Ich möchte den Mitarbeitern ein wenig auf die Finger schauen können in dem ich protokolliere

    Überwachung ist erlaubt, sobald die Arbeitnehmervertretung zugestimmt hat und alle Betroffenen darüber informiert sind. Ein gänzliches Verbot der privaten Nutzung ist – wie beim Telefon – übrigens nicht durchsetzbar. Um gegen Missbrauch vorgehen zu können, muss der *Gebrauch* reglementiert werden.

    Details zum Arbeitsrecht: Internet am Arbeitsplatz (DE/AT) samt Entscheidungen.

    Anekdote:

    Ich hatte vor kurzem eine interessante E-Mail mit dem Betreff „Cola-Automat“ im beruflichen Posteingang, deren beigefügtes Video ich aus Jugendschutzgründen mit „Geburt einer Getränkedose“ umschreiben würde. So weit, so erfrischend. Adressaten im CC: der gesamte Finanzbereich (zu 85 % weiblich), Personalwesen (wie passend) und der kaufmännische Geschäftsführer (p0wned!). Outlook-Verteiler können tückisch sein und die  Lesebestätigungen müssen förmlich eingeschlagen sein. *gg*

    Roland

    --
    Mac or PC?
    Classic Rap: MP3 96k • AAC+ 24k • WMA 32k