Tom_Berlin
Anmeldungsdatum: 26. April 2016
Beiträge: Zähle...
|
Hallo Forum, wir haben ein Ubuntu 14.04.4-System, auf dem mehrere Benutzer arbeiten. Seitens des Datenschutzbeauftragten ist es nun gewünscht, dass die Shell-Aktivitäten aller Benutzer geloggt werden. Meine spontane Idee ist es, alle Einträge in der .bash_history der einzelnen User in eine Sammel-Logdatei umzuleiten. Dabei wäre es wünschenswert, dass dieses Sammel-Log vor dem Zugriff der Anwender, die alle Sudo-Rechte haben, geschützt bleibt. Habt Ihr dazu eine Idee? Mit vielen Grüßen, Tom
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Tom_Berlin schrieb: Seitens des Datenschutzbeauftragten ist es nun gewünscht, dass die Shell-Aktivitäten aller Benutzer geloggt werden.
Eine dauerhafte, systematische Überwachung ist stets unzulässig.
Meine spontane Idee ist es, alle Einträge in der .bash_history der einzelnen User in eine Sammel-Logdatei umzuleiten.
Habt Ihr dazu eine Idee?
Hier wird IMHO eine sauberere Lösung beschrieben.
Dabei wäre es wünschenswert, dass dieses Sammel-Log vor dem Zugriff der Anwender, die alle Sudo-Rechte haben, geschützt bleibt.
Mit der oben gewählten Methode wäre Remote-Syslogging eine Möglichkeit, also auf eine andere Maschine, auf die die Leute keinen Zugriff haben.
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Hi. Tom_Berlin schrieb: Seitens des Datenschutzbeauftragten ist es nun gewünscht, dass die Shell-Aktivitäten aller Benutzer geloggt werden.
"Datenschutz"? Wirklich? Das Passt nicht, vielleicht heißt der Typ Datengefährdungsbeauftragter? Könnte übrigens passieren, dass ihr dann von euren Mitarbeitern verklagt werdet (und diese auch recht bekommen). Überwachung von Mitarbeitern ist nur in Einzelfällen mit konkreter Begründung möglich. Würde ich als Firma auch nie im Alleingang machen sondern in Zusammenarbeit mit der Polizei. Meine spontane Idee ist es, alle Einträge in der .bash_history der einzelnen User in eine Sammel-Logdatei umzuleiten.
Gib mal einen Befehl in die Bash ein und setze an den Anfang ein Leerzeichen. Schau dir dann die History an. Außerdem geht viel verloren, wenn man mit mehr als einer Bash/Terminal arbeitet. Und selber löschen/abschalten geht auch. Dabei wäre es wünschenswert, dass dieses Sammel-Log vor dem Zugriff der Anwender, die alle Sudo-Rechte haben, geschützt bleibt.
sudo wegnehmen?
|
keraM
Anmeldungsdatum: 17. März 2006
Beiträge: 167
Wohnort: Dresden
|
Tom_Berlin schrieb:
Meine spontane Idee ist es, alle Einträge in der .bash_history der einzelnen User in eine Sammel-Logdatei umzuleiten.
Sofern die rechtliche Zulässigkeit gegeben ist, schau vorher in den ~/.bashrc nach, ob es dort einen Eintrag export HISTCONTROL=ignorespace gibt. 😉 Quelle
|
Tom_Berlin
(Themenstarter)
Anmeldungsdatum: 26. April 2016
Beiträge: 6
|
"Datenschutz"? Wirklich? Das Passt nicht, vielleicht heißt der Typ Datengefährdungsbeauftragter? Könnte übrigens passieren, dass ihr dann von euren Mitarbeitern verklagt werdet (und diese auch recht bekommen). Überwachung von Mitarbeitern ist nur in Einzelfällen mit konkreter Begründung möglich. Würde ich als Firma auch nie im Alleingang machen sondern in Zusammenarbeit mit der Polizei.
Es geht darum, den Zugriff auf personenbezogene Daten nötigenfalls nachweisen zu können. Stichwort "Eingabekontrolle" gemäß Bundesdatenschutzgesetz: Es muss sichergestellt werden, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind. https://www.bfdi.bund.de/bfdi_wiki/index.php/Technische_und_organisatorische_Ma%C3%9Fnahmen
|
Tom_Berlin
(Themenstarter)
Anmeldungsdatum: 26. April 2016
Beiträge: 6
|
misterunknown schrieb:
Hier wird IMHO eine sauberere Lösung beschrieben.
Danke, das sieht gut aus! Ich versuche das mal so einzubinden und werde dann berichten. Tom
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Nun ich bin kein Rechtsanwalt oder ähnliches und kann das nicht so gut einschätzen. Es geht aber in dem Gesetzt um: Es muss sichergestellt werden, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.
Protokollierung Benutzeridentifikation
Ich denke nicht, das es zulässig ist alle Eingaben zu protokollieren. Wo werden denn die personenbezogenen Daten eingegeben (sicherlich eine Datenbank)? An der Stelle würde ich entsprechende Protokollierungsmaßnamen ergreifen. Notfalls muss die Datenbank auf einen extra Server/VM damit nicht jeder Rootrechte darauf hat. Im Zweifel sollte euer DatenschutzMensch sich noch mit einem Rechtsanwalt beraten. Nur ein gut gemeinter Rat, den du auch gerne ignorieren kannst. Und wer Rootrechte und das Wissen dazu hat kann auch alle Loggingmaßnamen umgehen. Root darf alles.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Tom_Berlin schrieb: Es geht darum, den Zugriff auf personenbezogene Daten nötigenfalls nachweisen zu können. Stichwort "Eingabekontrolle" gemäß Bundesdatenschutzgesetz:
Dafür gibt es Versionskontrollsysteme, wie svn oder git.
Es muss sichergestellt werden, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.
https://www.bfdi.bund.de/bfdi_wiki/index.php/Technische_und_organisatorische_Ma%C3%9Fnahmen
Die Argumentation ist zu dünn. Du kontrollierst damit nicht nur Zugriffe auf personenbezogene Daten, sondern alles, was ein Mitarbeiter auf dem System macht. Das ist eine rechtlich nicht zu rechtfertigende Generalüberwachung. Der Zweck mag lauter sein, das hier verwendete Mittel ist juristisch sicherlich nicht zu halten.
|
track
Anmeldungsdatum: 26. Juni 2008
Beiträge: 7174
Wohnort: Wolfen (S-A)
|
Tom_Berlin schrieb: "Datenschutz"? Wirklich? Das Passt nicht, vielleicht heißt der Typ Datengefährdungsbeauftragter? Könnte übrigens passieren, dass ihr dann von euren Mitarbeitern verklagt werdet (und diese auch recht bekommen). Überwachung von Mitarbeitern ist nur in Einzelfällen mit konkreter Begründung möglich. Würde ich als Firma auch nie im Alleingang machen sondern in Zusammenarbeit mit der Polizei.
Es geht darum, den Zugriff auf personenbezogene Daten nötigenfalls nachweisen zu können. Stichwort "Eingabekontrolle" gemäß Bundesdatenschutzgesetz:
Wenn Du wirklich die personenbezogenen Daten auf Zugriffe überprüfen willst, musst Du das tun - und nicht jedwede Shellbefehle mitloggen ! Einige Umgehungsmöglichkeiten** wurden ja schon genannt, und die rechtlichen Probleme einer 100%- User-Kontrolle auch. Also: konzentrier Dich besser auf den richtigen Punkt, statt mit fragwürdigen Mitteln die "Gießkanne" zu schwingen. LG, track ** das Shell-Logging auszuhebeln geht noch viel einfacher: Du brauchst nur eine neue Untershell aufzumachen, dann bist Du aus dem Standard-Logging heraus !
|
Tom_Berlin
(Themenstarter)
Anmeldungsdatum: 26. April 2016
Beiträge: 6
|
misterunknown schrieb:
Die Argumentation ist zu dünn. Du kontrollierst damit nicht nur Zugriffe auf personenbezogene Daten, sondern alles, was ein Mitarbeiter auf dem System macht. Das ist eine rechtlich nicht zu rechtfertigende Generalüberwachung. Der Zweck mag lauter sein, das hier verwendete Mittel ist juristisch sicherlich nicht zu halten.
Ich bin der Meinung, dass die Archivierung der History-Daten rechtlich vollkommen in Ordnung ist. Es findet in diesem Augenblick ja überhaupt keine Überwachung statt. Nur dann, wenn es einen Anhaltspunkt gibt, dass etwas schief gelaufen ist, kann Einblick genommen werden. Und bei einem konkreten Verdacht ist das meinem Kenntnisstand nach auch rechtlich in Ordnung. Viele Grüße, Tom
|
Tom_Berlin
(Themenstarter)
Anmeldungsdatum: 26. April 2016
Beiträge: 6
|
track schrieb:
Also: konzentrier Dich besser auf den richtigen Punkt, statt mit fragwürdigen Mitteln die "Gießkanne" zu schwingen.
Das Argument lasse ich gelten. Was wir hier aber gerade versuchen, ist mit einem minimalen Aufwand den schwammig formulierten Anforderungen des Gesetzgebers nachzukommen. Glücklicherweise kennt das BDSG das "Prinzip der Verhältnismäßigkeit". Unsere personenbezogenen Daten sind nicht besonders "heiß" und müssen daher per Gesetzeslage auch nicht mit exorbitantem Aufwand geschützt werden. Auch wenn Dir das Logging der Shellbefehle unverhältnismäßig erscheint, so ist es für uns ein sehr einfach umzusetzender Weg, um nachzuweisen, dass wir ein Auge auf die Infrastruktur haben. Natürlich decken wir damit nicht alles ab, das ist uns klar. Danke für die Tipps, die Shell auszutricksen! In diesem Zusammenhang ist vielleicht die hier diskutierte Option interessant, mit PROMPT_COMMAND="history -a; $PROMPT_COMMAND" das History-File nach jeder Eingabe eines Befehls sofort abzuspeichern. Viele Grüße, Tom
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Tom_Berlin schrieb: Ich bin der Meinung, dass die Archivierung der History-Daten rechtlich vollkommen in Ordnung ist.
Nun, Meinungen und Gesetze differieren bisweilen.
Nur dann, wenn es einen Anhaltspunkt gibt, dass etwas schief gelaufen ist, kann Einblick genommen werden. Und bei einem konkreten Verdacht ist das meinem Kenntnisstand nach auch rechtlich in Ordnung.
Im konkreten Verdacht ja. Aber das Vorhalten und Archivieren einer jeglicher Aktion, die ein Mitarbeiter auslöst, ist Totalüberwachung. Vor Gericht bewegt ihr euch also IMHO auf sehr dünnem Eis.
|
track
Anmeldungsdatum: 26. Juni 2008
Beiträge: 7174
Wohnort: Wolfen (S-A)
|
Tom, ich glaube, Du hattest mich nicht ganz verstanden:
Wenn ich was pfuschen will, dann tippe ich kurz bash ein, und nix wird mehr geloggt ! Ich hatte es nicht konkret heraus gesucht, aber ich wollte Dich mit der Nase auf inotify stoßen. Da kannst Du pfuschen was du willst: das wird auf Dateisystem-Ebene geloggt, und das unterläuft niemand.
Soweit das ganze nochmal mit dem Besenstiel. LG, track
|
user_unknown
Anmeldungsdatum: 10. August 2005
Beiträge: 17552
Wohnort: Berlin
|
Falls es einen Betriebsrat gibt würde ich da auch noch mal nachfragen, ob von der Seite (Mitarbeiter-/Leistungsüberwachung) Probleme gesehen werden. Tom_Berlin schrieb: misterunknown schrieb:
Ich bin der Meinung, dass die Archivierung der History-Daten rechtlich vollkommen in Ordnung ist. Es findet in diesem Augenblick ja überhaupt keine Überwachung statt. Nur dann, wenn es einen Anhaltspunkt gibt, dass etwas schief gelaufen ist, kann Einblick genommen werden. Und bei einem konkreten Verdacht ist das meinem Kenntnisstand nach auch rechtlich in Ordnung.
Nein, die Überwachung findet anlasslos statt; sie wird nicht erst eingeschaltet, wenn ein konkreter Verdacht besteht. Die Daten werden gespeichert und somit haben auch Leute Zugang zu den Daten. Ich bin aber weder Anwalt, noch Datenschutzbeauftragter, verfolge nur Meldung zum Thema. Wissen die Mitarbeiter, dass alles geloggt wird?
|
rklm
Projektleitung
Anmeldungsdatum: 16. Oktober 2011
Beiträge: 12829
|
Tom_Berlin schrieb:
Ich bin der Meinung, dass die Archivierung der History-Daten rechtlich vollkommen in Ordnung ist. Es findet in diesem Augenblick ja überhaupt keine Überwachung statt. Nur dann, wenn es einen Anhaltspunkt gibt, dass etwas schief gelaufen ist, kann Einblick genommen werden. Und bei einem konkreten Verdacht ist das meinem Kenntnisstand nach auch rechtlich in Ordnung.
Vermutlich aber erst nach dem Verdacht. Ich halte das rechtlich für sehr bedenklich, insbesondere die Tatsache, dass Du alles loggen willst. Es gibt den Grundsatz der Datensparsamkeit, der genau das verbietet. Du musst in dem System, in dem Änderungen gemacht werden, ein Audit-Logging einrichten. Das ist der richtige Weg. Davon abgesehen gibt es noch technische Probleme mit dem Ansatz, die hier auch schon genannt wurden. Die würde ich aber nicht für halb so bedeuten halten wie die juristischen.
|