Rechtlicher Aspekt von Monitoring-Software

[XspYroX]

Hallo zusammen

Ich habe eine Frage, die vermutlich etwas ins juristische abdriftet, trotzdem würde ich aber gerne eure Meinung dazu hören

Wir sind eine Firma, die Kunden berufliche Weiterbildungen anbietet.

Diese findet an Computern innerhalb unserer Fillialen statt.

Die Kunden sind also nicht angestellt, sondern Kunden (!).

Die Rechner sind von uns, die Kunden dürfen diese nur benutzen, nachdem sie jeden morgen die AGB akzeptieren.

Jetzt habe ich ein Programm geschrieben, welches in festgelegten Intervallen die laufenden Prozesse der Rechner abruft und mit einer Whitelist abgleicht.

Wenn wir ein Programm finden, das nicht auf der Whitelist steht und welches nicht erlaubt ist (z.B. aus Lizenztechnischen Gründen, Der Kunde nimmt sich ein gecracktes Portable Photoshop mit u.s.w.), dann gehen wir zum Kunden hin und weisen ihn freundlich darauf hin.

Jetzt hat unser Chef gesagt, dass wir, bevor wir das auf allen Rechnern einsetzen, das erst unter dem Gesichtspunkt des Datenschutzes klären müssen.

Hier mal ein paar Ausschnitte aus den AGB, die die TN jeden morgen bestätigen müssen:

im Rahmen der gesetzlichen Bestimmungen, insbesondere bezüglich der Nutzung des Internet und des Datenschutzes, beachten Sie bitte folgende Hinweise:

Es ist untersagt, urheberrechtlich- oder kopiergeschützte, pornografische, gewaltverherrlichende, rassistische oder sonst jugendgefährdende Inhalte aufzurufen oder zu speichern. Es ist ausdrücklich verboten Tauschbörsen (wie z.B. eMule, BitTorrent, Kazaa, oder ähnliche) in jeglicher Weise zu nutzen, deren Inhalte zu speichern oder weiterzugeben.

FIRMA ist zur Erfüllung seiner Aufsichtspflicht berechtigt, den Datenverkehr zu speichern und zu kontrollieren.

(Bitte beachten Sie hierzu auch die untenstehende Nutzungsordnung)

Es ist nicht gestattet kritische Anwendungen, welche die Stabilität der PC-Systeme negativ beeinflussen (z.B. Google-Taskbars und -Tools, Chat-Clients wie IRC oder ICQ, Messenger etc.) zu installieren

Noch eine Bitte: Getränke und Speisen nicht mit in die Unterrichtsräume nehmen!

...

...

...

Urheberrechte

Das Aufzeichnen des Unterrichts (sowohl Bild als auch Ton) ist untersagt.Bitte beachten Sie, dass Sie aus urheberrechtlichen und aus persönlichkeitsrechtlichen Gründen (Bilder von Dozenten und Teilnehmenden werden mit übertragen) keine Aufzeichnungen des Unterrichts machen dürfen. Dies gilt auch für Screenshots: es ist nicht gestattet, Screenshots von der Videoübertragung des Unterrichts zu erzeugen. Alle Rechte auf Video, Ton und Bild liegen bei FIRMA.Bitte haben Sie Verständnis dafür, dass wir die Einhaltung dieser rechtlichen Vorgaben stichprobenartig überprüfen. Zuwiderhandlungen führen zum Ausschluss vom Unterricht. Weitere rechtliche Schritte behält FIRMA sich vor.

...

Abruf von Internet-Inhalten

Die gesetzlichen Bestimmungen, insbesondere des Strafrechts, Urheberrechts und des Jugendschutzrechts, sind zu beachten. Es ist vor allem untersagt, pornografische, gewaltverherrlichende, rassistische oder sonst jugendgefährdende Inhalte aufzurufen oder zu speichern.

Download von Internet-Inhalten

Der Download, d.h. das Kopieren von urheberrechtlich- oder kopiergeschützten Dateien ist strengstens untersagt. Es ist ausdrücklich verboten Tauschbörsen (wie z.B. eMule, BitTorrent, Kazaa, oder ähnliche.) in jeglicher Weise zu nutzen, deren Inhalte zu speichern oder weiterzugeben. Auch die Umgehung von Kopierschutzmechanismen ist nicht erlaubt. Die Installation von heruntergeladenen, legalen Anwendungen auf FIRMA-Rechner ist nur nach Genehmigung der Schulleitung zulässig. Unnötiges Datenaufkommen durch Laden und Versenden von großen Dateien aus dem Internet ist zu vermeiden.

Veröffentlichung von Inhalten im Internet

Es ist untersagt, pornografische, gewaltverherrlichende, rassistische, jugendgefährdende, beleidigende oder sonst strafrechtlich verbotene Inhalte, insbesondere urheberrechtlich- oder kopiergeschützten Daten, im Internet zu veröffentlichen, zu versenden oder sonst zugänglich zu machen. Ferner dürfen Inhalte, die dem Ansehen oder dem Erscheinungsbild von FIRMA schaden, nicht verbreitet werden.

Aufsichtsmaßnahmen, Administration

FIRMA ist zur Erfüllung seiner Aufsichtspflicht berechtigt, den Datenverkehr zu speichern und zu kontrollieren. Darüber hinaus können bei der Inanspruchnahme von schulischen Computersystemen oder Netzwerken die zur Sicherung des Betriebs und zur Vermeidung von Missbrauch erforderlichen personenbezogenen Daten elektronisch protokolliert werden. FIRMA ist berechtigt, zum Zwecke der Aufrechterhaltung eines ordnungsgemäßen Netzwerkbetriebes oder zur Vermeidung von Missbräuchen Zugriff auf die Daten der Nutzer zu nehmen, sofern dies im jeweiligen Einzelfall erforderlich ist. FIRMA wird von seinen Einsichtsrechten nur stichprobenartig und in Verdachtsfällen Gebrauch machen

Erstmal viel text, aber ich denke,dass primär der letzte abschnitt relevant ist.

Die Frage ist nun also:

Dürfen wir unsere eigenen Computer scannen?

Im Missverständnisse zu vermeiden:

Es werden nur die LAUFENDEN PROZESSE abgerufen. Es werden also keinerlei Nutzdaten gescannt.

Wenn ein Kunde einen USB-Stick einsteckt, wird dieser vom Scan nicht erfasst, es sei denn er startet von dort aus ein Programm. Dieses ist aber grundsätzlich verboten und somit sollte das scannen bzw. erfassen dieses Prozesses dann keinerlei Problem darstellen.

Erstmal wäre mir natürlich eure Meinung wichtig.

Aber wenn ihr irgendwelche Gesetzestexte habt, oder vielleicht gefällte Gerichtsurteile kennt, in denen dieser oder ein ähnlicher Fall beschrieben wurde, dann wäre ich euch dafür umso mehr dankbar

In Hoffnung auf viele Antworten

LG XspYroX

[Crash2001]

Also ich würde da noch einen Zusatzparagraphen einfügen, der es generell untersagt, nicht von euch installierte Programme auszuführen. Wenn man einen UM3-Stick hat, dann wird auf dem Rechner nichts installiert - das Programm kann aber dennoch aufgerufen / genutzt werden. Das sind die sogenannten Mobile Programme. Diese sind hier bisher gar nicht direkt angesprochen.

Muss der USer denn überhaupt z.B. einen eigenen USB-Stick nutzen können, oder könnte man dies generell untersagen?

Benötigt der User so viele Berechtigungen, dass er auch selber Software installieren können muss, oder könnte man ansonsten auch noch was an den Berechtigungen schrauben, so dass wirklich nur die Programme ausgeführt werden können, die auch erlaubt sind?

Regeln sind nun einmal da, um gebrochen zu werden und es ist einfacher, etwas per Berechtigung zu verbieten, als alles zu kontrollieren.

Zur gesetzlichen Lage:

Wenn der User der AGB zustimmt und sie sich nicht durchliest, ist das sein Problem. Der Kunde bekommt den PC zur Verfügung gestellt und muss sich an eure Vorgaben halten. Da er auch darüber aufgeklärt wird, dass der PC überwacht wird, sollte es also rechtlich eigentlich keine Probleme geben.

Was jedoch nciht stimmt, wenn die PCs regelmässig nach laufenden bestimmten Programmen abgescannt werden ist der Teil hier:

[...]FIRMA wird von seinen Einsichtsrechten nur stichprobenartig und in Verdachtsfällen Gebrauch machen [...]

Oder aber es ist etwas anderes damit gemeint. Dann fehlt jedoch das mit dem Whitelistenvergleich.

[127.0.0.1]

die juristische bewertung ist ja eine sache: wenn du auf das scannen hinweist, am besten schriftlich und gegen unterschrift, dann solltest du auf der sicheren seite sein.

aber was ist denn der zweck dieser maßnahme? ihr habt in euren agb stehen, dass die rechner nur für den zweck der schulung genutzt werden dürfen und der user stimmt diesen zu. damit seit ihr doch schon auf der sicheren seite... wozu denn noch kontrollieren?

[XspYroX]

Danke erstmal für die Antwort

Zum Thema UM3-Stick:

Die Programme werden ja trotzdem ins Temp-Verzeichnis bzw. zumindestens in den RAM geladen. Von daher werden Sie auf dem PC ausgeführt (PC heißt ja nicht Festplatte, sondern Computer, also CPU, RAM u.s.w.).

Die Berechtigungen der User einzuschränken.... geht nicht wirklich. Die User haben schon keine Adminrechte. Aber alle Exe-dateien per whitelist freizuschalten und das ausführen anderer exe-dateien zu unterbinden ist, glaube mir, in unserer umgebung unmöglich

Die Portable-Tools vom USB-stick brauchen nunmal keine adminrechte, daher können diese trotzdem ausgeführt werden.

Beim Punkt gesetzliche Lage stimme ich dir voll und ganz zu.

"Stichprobenartig" bedeutet:

Wir haben die Möglichkeit uns unbemekrt per VNC aud die Rechner der Kunden zu schalten, mit viewonly, aber auch mit eingriffen-

Die Kunden sollen wissen, dass wir nicht da sitzen und die ganze zeit auf deren bildschirm gucken.

Dieses VNC-Eingreifen ist mit Stichprobenartig gemeint, müsste man das vielleicht noch genauer differenzieren?

Viele Grüße schonmal

XspYroX

[XspYroX]

die juristische bewertung ist ja eine sache: wenn du auf das scannen hinweist, am besten schriftlich und gegen unterschrift, dann solltest du auf der sicheren seite sein.

aber was ist denn der zweck dieser maßnahme? ihr habt in euren agb stehen, dass die rechner nur für den zweck der schulung genutzt werden dürfen und der user stimmt diesen zu. damit seit ihr doch schon auf der sicheren seite... wozu denn noch kontrollieren?

Naja.

Es geht nicht nur um lizenzprobleme bei software.

Manchmal versuchen Kunden auch den Bildschirminhalt inklusive Ton mit aufzuzeichnen (Camtasia & Co.). Das ist aus vielen Grümden verboten UND wir müssen dafür sorgen, dass solche Videos nicht den Standort verlassen.

Abgesehen davon sind unsere Logs unter Umständen nicht so weit zurückreichend oder detailiert, dass man bei einer urheberrechtsverletzung durch drittsoftware exakt den User von damals ausfindig machen kann und de schuld auf ihn schieben kann.

Daher ist hier wirklich kontrolle besser als nachsicht

LG XspYroX

[pr0gg3r]

Ihr packt das Problem doch völlig falsch an. Wieso kann jemand bei euch auf dem Rechner überhaupt Programme installieren? Warum kann man bei euch CDs einlegen, USB-Sticks anschließen etc.? Wieso verhindert ihr das nicht? Dein Programm mit der Prozess-Whitelist ist doch dann nur noch ein weiteres Extra. Du musst ja auch nicht aufnehmen und nach Hause telefonieren, wer wann welchen Prozess laufen lässt, sondern einfach unerlaubte Prozesse abschießen.

[XspYroX]

Ihr packt das Problem doch völlig falsch an. Wieso kann jemand bei euch auf dem Rechner überhaupt Programme installieren? Warum kann man bei euch CDs einlegen, USB-Sticks anschließen etc.? Wieso verhindert ihr das nicht? Dein Programm mit der Prozess-Whitelist ist doch dann nur noch ein weiteres Extra. Du musst ja auch nicht aufnehmen und nach Hause telefonieren, wer wann welchen Prozess laufen lässt, sondern einfach unerlaubte Prozesse abschießen.

Wer spricht denn davon, dass die user dinge installieren können?

Wie gesagt, die user haben keine adminrechte, können daher nichts "installieren".

Wenn sie aber portable-software auf dem rechner haben, dann ist das nur eine exe und kein installer.

USB-sticks können wir aus firmeninternen gründen für die user nicht verbieten, da diese die sticks benutzen dürfen um daten zu sichern.

"einfach nur unerlaubte programme abschießen".

Wenn wir also "photshop_cracked_AXXO.exe" blocken, denkst du der user kann die exe nicht in "lol_leckt_mich.exe" umbenennen? Wie willst du da die richtigen programme abschießen?

Abgesehen davon gibt es eine winzige liste an programmen. die benutzt werden dürfen im gegensatz zu der liste aller im internet verfügbaren programme, die NICHT benutzt werden dürfen.

Daher eigenet sich hier eine whitelist mehr als eien blacklist.

LG XspYroX

[Crash2001]

Hmmmm... und dann benennt er es in mspaint.exe um und schon erkennst du es nicht mehr.

[XspYroX]

Doch, da der Prozesspfad mitgespeichert wird

Und er hat keine Zugriff auf die systemordner und keinen schreibzugriff auf viele andere programmverzeichnisse

Mir ist aber klar, dass wenn jemand das system knacken möchte, dass er das schafft.

Aber wenn er dieses system umgeht, steckt so viel hackerwille und der wille etwas verbotenes zu tun dahinter, dass er erstens auch andere systeme umgehen würde und zweitens wir ihn damit, wenn es auffliegt, verklagen können bzw. fristlos rauswerfen können

Es geht in erster linie darum, dass die kunden das system problemlos benutzen können.

Also lieber diese kleine "sicherheitslücke" offen lassen und das sstem für die kunden noch einigermaßen offen und "unbeschränkt" lassen

LG XspYroX

[pr0gg3r]

Wer spricht denn davon, dass die user dinge installieren können?

Wie gesagt, die user haben keine adminrechte, können daher nichts "installieren".

Wenn sie aber portable-software auf dem rechner haben, dann ist das nur eine exe und kein installer.

USB-sticks können wir aus firmeninternen gründen für die user nicht verbieten, da diese die sticks benutzen dürfen um daten zu sichern.

Deshalb frag ich ja, weil du nicht gesagt hast, was der User darf und was nicht.

Daher eigenet sich hier eine whitelist mehr als eien blacklist.

Ich habe nie von einer Blacklist gesprochen

Wie wärs mit:

Gruppenrichtlinie => Benutzerkonfiguration => Administrative Vorlagen => System => Nur zugelassene Windows-Anwendungen ausführen...

Entweder über die Domäne verteilen oder lokal einstellen, dann aber die gpedit.msc nicht vergessen, sonst kannste nachträglich nichts mehr ändern(!)

[XspYroX]

Deshalb frag ich ja, weil du nicht gesagt hast, was der User darf und was nicht.

Ich habe nie von einer Blacklist gesprochen

Wie wärs mit:

Gruppenrichtlinie => Benutzerkonfiguration => Administrative Vorlagen => System => Nur zugelassene Windows-Anwendungen ausführen...

Entweder über die Domäne verteilen oder lokal einstellen, dann aber die gpedit.msc nicht vergessen, sonst kannste nachträglich nichts mehr ändern(!)

Das war natürlich meine erste idee, also mit den Grupnnenrichtlinien

Allerdings gibt es dafür dann doch zu viele "kleine" exe-dateien, die für bestimmte funktionen nur für eine sekunde oder so aufgerufen werden.

Daher wäre diese liste riiiiiesig lang. Man müsste ja praktisch den pc nach sämtlichen exe-dateien durchsuchen lassen und diese dort einfügen.

Wenn mein Scanner alle 15 minuten scannt wäre es halt ein recht großer zufall, wenn solche "1-sekunde-laufzeit-exe-dateien" vom scan erwischt werden. Und wenn sie erwischt werden, füge ich sie innerhalb von 5 sekunden der whitelist hinzu und gut ist

aaaaber eigentlich driften wir etwas OT hier

Habe mit unserer zentrale gesprochen und die gibt diese frage so schnell wie möglich an unseren datenschutzbeauftragten.

Wenn hier interesse besteht, kann ich die antwort vom datenschutzbeauftragten hier, anonymisiert natürlich, posten

LG XsproX

[pr0gg3r]

Prozesse, die von Prozessen gastartet werden, werden mit der von mir vorgeschlagenen Methode nicht blockiert! Du musst also nicht alle Windows-Exe-Dateien oder ausführbare Dateien, die ein erlaubtes Programm startet, einzeln blockieren.