Danske Honeywell-ansatte skal finde sig i spionprogram

Et forkromet dataopsamlingsværktøj, som blandt andet politiet bruger til efterforskning, er installeret på alle Honeywell-ansattes computere. »For at beskytte de ansattes personlige data,« lyder Honeywells forklaring.

Ansatte i Honeywell-koncernen må acceptere, at der på deres arbejds-pc er installeret et stærkt efterretningsværktøj, der potentielt kan bruges til at overvåge alle deres handlinger på computeren.

Der er tale om programmet Encase, som blandt andet bruges af politiet i forbindelse med efterforskning af it-relateret kriminalitet.

»Det er et virkelig stærkt værktøj, der kan tage kopi af harddisken, se alle aktive processer, registrere og spore al internettrafik, spejde efter åbne porte og meget mere,« forklarer seniorkonsulent i Devoteam Consulting og computer forensics-ekspert Carsten Jørgensen til Version2.

Programmet kan altså opsnappe alt, hvad brugeren foretager sig, og gemme det på en central server ? og det i en form, der ifølge marketingbrochuren er sikret, så det altid vil holde i en retssag. Alt sammen uden at brugeren har mulighed for at opdage, at det sker.

Honeywell afviser at bruge Encase til at overvåge de ansatte.

»Honeywell bruger Encase til at beskytte sine ansattes personlige data og oplysninger. Encase sikrer virksomheden mod virus og anden malware, der kan påvirke virksomhedens it-formåen. Ligesom anden software har Encase en række potentielle anvendelsesmuligheder. Honeywells politik forhindrer brug af Encase til undersøgelser af medarbejdere i Europa. Honeywell vil ikke aktivere Encase uden at gennemføre passende konsultationer med samarbejdsudvalg, hvor det er påkrævet,« skriver Honeywells kommunikationsdirekør Ilse Schouteden i en mail til Version2.

At Encase angiveligt kun bruges til at bekæmpe virus og malware, undrer Carsten Jørgensen.

»Det virker som at skyde gråspurve med kanoner. Hvis man kun er interesseret i at beskytte medarbejderne mod virus og malware, så er der andre programmer, som er billigere. Encase er voldsomt dyrt, og jeg kunne gætte på, at Honeywell har installeret det af compliance-hensyn, så man har garderet sig i tilfælde af mistanke om brud på reglerne i de lande, hvor man kan lave den type undersøgelser,« siger Carsten Jørgensen.

Han påpeger, at det, der berettiger til den høje pris på Encase, i realiteten drejer sig om, at de indhentede oplysninger umiddelbart er gangbare som bevismateriale i en retssag ? uden at modparten kan stille spørgsmålstegn ved ægtheden af oplysningerne.

Ilse Schouteden bekræfter over for Version2, at man udmærket er klar over de mulige anvendelser af Encase, men benægter, at overvågning finder sted i Europa. Adspurgt om Encase så bruges til overvågning af ansatte uden for Europa, har hun ingen kommentarer.

Ifølge det tyske magasin Der Spiegel forsøger fagforeninger i Tyskland nu at få Honeywell til at fjerne programmet, da det muligvis krænker de tyske regler om databeskyttelse. I slutningen af marts skal en tysk arbejdsdomstol tage stilling til, om Honeywell har overtrådt medarbejdernes rettigheder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Kramselund Jereminsen Blogger

Firewalls begrænser vores ansattes frie udveksling af data indenfor virksomheden eller til private computere.

eller

Kravet om kodeord på låseskærmen er helt utilgiveligt, når jeg kommer træt tilbage fra frokost forhindrer det mig i at arbejde med det samme, fordi jeg er for mæt og træt til at taste kodeord? ;-)

EnCase er et gammelkendt computer forensics værktøj og det er rigtigt at det kan en masse. Jeg synes dog det er en tilsnigelse af kalde det for et spionprogram.

Der er en balance mellem hvad man må på en PC på arbejdspladsen og hvad arbejdspladsen skal tillades at gøre mod den ansatte, helt enig.

Blot fordi EnCase har været brugt i retssale tidligere synes jeg dog ikke man bør kaste skidt efter det, men blot nå frem til den sædvanlige konklusion - på arbejdspladsen har virksomheden, eller en administrator uden moral, adgang til de fleste af dine data - altid.

Man behøver ikke være en Lisbeth Salander for at indse dette :-)

  • 0
  • 0
Jens Madsen

Hvis medarbejderne er bekendt med programmet, og ved hvad det kan, så er det ikke et spionprogram. Det er kun et spionprogram, hvis det bruges til at spionere, uden medarbejdernes viden om at det foregår. Hvis medarbejderne har kendskab til det, og accepteret det, så er det kun overvågning.

Det er helt igennem accepteret at overvåge medarbejderne. Ofte, sker det for medarbejdernes egen sikkerhed. I stedet for ubegrundede beskyldninger mod sagesløse medarbejdere, er med grundig overvågning muligt at alene rette mistanke mod skyldige.

  • 0
  • 0
Joe Hansen

"Han påpeger, at det, der berettiger til den høje pris på Encase, i realiteten drejer sig om, at de indhentede oplysninger umiddelbart er gangbare som bevismateriale i en retssag – uden at modparten kan stille spørgsmålstegn ved ægtheden af oplysningerne."

Det lyder lidt uhyggeligt, at man ikke kan stille spørgsmålstegn ved ægtheden af oplysningerne. Det er jo på ingen måde en teknisk begrænsning, så det må være noget juridisk?

§ 3735928559: Lov om at anklageren altid har ret?

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

Egentlig drejer det sig om at EnCase har været igennem hele møllen - og derfor sparer man tid.

Tid er penge, specielt hvis det er advokattid=salær :-)

Så selvom du gerne vil stille spørgsmålstegn, så vil de fleste nok sige det er behandlet.

Faktisk ser jeg det lidt omvendt, EnCase har bevist at de opsamler på en "fornuftig måde" og derfor KAN beviserne bruges . Om beviserne så styrker eller afkræfter påstande og er relevant osv. er en anden sag.

Men summa summarum, jeg vil hellere have et image opsamlet efter en specifik metode og muligheden for selv at verificere påstande, og det giver EnCase mulighed for :-) fremfor et tilfældigt screenshot af et torrentprogram.

  • 0
  • 0
Henrik Sørensen

Når bare overvågning er klart og tydeligt meldt ud kan jeg ikke se noget galt i det. Det er jo firmaets udstyr og netværk man benytter.

Men firmaerne må samtidig tage i betragtning at de støder potentielt ansatte fra sig.

Forrestebn er der jo altid den mulighed at man selv bekoster fx en PDA med mobilt bredbånd, hvis man vil undgå overvågningen.

  • 0
  • 0
Frank Hansen

Hvorfor er denne overvågning overhovedet nødvendig? Hvis en ledelse har så lidt tillid til sine medarbejdere, så er der vist noget andet galt i virksomheden. Noget som overvågning ikke løser. Tværtimod!

Men ok, hvis ledelsen gerne vil af med de dygtige medarbejde, så er det da en udmærket måde at gøre det på.

  • 0
  • 0
Anonym

Bedauerlicherweise ist Guidance Software, der Hersteller der Software EnCase, vor Erscheinen des Artikels seitens des Autors (des Magazins „Der Spiegel“) nicht kontaktiert worden und hat daher einen Leserbrief an den „Spiegel“ gesandt, um klarzustellen, dass es sich bei EnCase nicht um eine Schnüffelsoftware handelt.

Leserbrief

Sehr geehrte Damen und Herren,

zu ihrem Online-Artikel „Virtuelle Spürhunde“ vom 2. März 2009 möchten wir aus der Sicht von EnCase Enterprise Software einige Missverständnisse ausräumen:

Der Artikel impliziert, dass EnCase Enterprise eine Überwachungssoftware sei, was als solches nicht richtig ist. EnCase Enterprise dient nicht zur Rückverfolgung der Onlineaktivitäten von Mitarbeitern oder dazu, dem Arbeitgeber Informationen über die Datennutzung auf den PC`s der Mitarbeiter zu liefern. Es dient auch nicht zur Ausspähung von Mitarbeitern.

Vielmehr ist EnCase Enteprise eine passive Technologie, die Firmen dazu in die Lage versetzt, ihren rechtlichen Verpflichtungen, Daten zu sammeln, nachzukommen, sei es aufgrund der Beantwortung von Auskunftsersuchen von Aufsichts- oder Strafverfolgungsbehörden, der Notwendigkeit Verdachtsfällen von Korruption oder anderen Unregelmässigkeiten nachzugehen oder in einer Situation, in der das Firmennetzwerk Opfer von Hacker-Angriffen, Betrugsversuchen oder sonstigen Angriffen geworden ist, um die vorhandenen Daten in der am wenigsten belastenden Art und Weise zu sammeln.

Nach deutschem Recht gibt es eine Reihe von Situationen, unter denen die Sammlung solcher Daten verlangt wird, insbesondere, um einem Verdacht von Fehlverhalten nach zugehen. Ein anderes Beispiel ist die datenschutzrechtliche Regelung der Auskunftsrechte, in deren Rahmen auf Anfragen von Kunden oder Mitarbeitern zu antworten ist, welche persönlichen Informationen im Netzwerk des Unternehmens gespeichert sind. Zu bedenken sind schließlich Situationen in denen Hacker das Netzwerk eines Unternehmens angegriffen haben, wodurch letztlich die Daten von Mitarbeitern und Kunden ins Risiko gestellt werden. Um auf solche Anfragen oder Angriffe antworten zu können, müssen die Datenströme erfasst und gesammelt werden, um zu rekonstruieren was tatsächlich passiert ist. Da heutzutage der Geschäftsverkehr weitgehend mittels Email und elektronischen Dokumenten vollzogen wird, kann die Datensammlung in solchen Fällen nicht erfolgen, ohne Computer und Netzwerke zu durchsuchen.

In solchen Fällen haben deutsche Unternehmen bislang häufig durch ihre IT-Abteilungen die Information erhoben, in dem direkt auf Server, Emailsysteme aber auch PC`s von Mitarbeitern zugegriffen wurde, in dem die Emails und Dokumente des Einzelnen Mitarbeiters auf den Firmensystemen durchsucht wurden. Ein solcher Low-Tech-Ansatz lässt in der Tat Fragen bezüglich der Persönlichkeitsrechte der betroffenen Computernutzer aufkommen, insbesondere wenn nicht nachvollziehbar festgehalten wird, welche Daten durchsucht oder gesammelt werden. In manchen Fällen lassen Unternehmen auf diese Art auch durch externe Berater die Informationen erheben, z. B. in dem vollständige Kopien von Servern und Mitarbeitercomputern gezogen werden, die dann Kopien des gesamten Email-Verkehrs, der elektronischen Dokumente, aber auch der Fotos und vielleicht privaten Daten eines Mitarbeiters enthalten, die von den Beratern oder Anwälten umfassend durchsucht werden. Offensichtlich werden auf diese Art sehr viel mehr persönliche Daten von Mitarbeitern gesammelt, als bei gezielter Suche.

Demgegenüber ist EnCase Enterprise gerade das Mittel, das die Persönlichkeitsrechte der Angestellten am ehesten zu schützen geeignet ist. Dies aus folgenden Gründen:

(1) Im Gegensatz zu breit angelegten Datensammlungen, die häufig verwendet werden, kann das System auf die Sammlung der wirklich notwendigen Informationen beschränkt werden, z. B. auf die Daten, die von einer Aufsichtsbehörde oder in Ermittlungsverfahren wirklich gebraucht werden, ohne den gesamten Computer oder die Email-Box eines Mitarbeiters Dritten zugänglich zu machen.

(2) Ferner verfügt das System, im Gegensatz zu traditionellen Datensammelmechanismen über eine hoch entwickelte, zuständigkeitsbasierte Sicherheitsarchitektur und kann so konfiguriert werden, dass selbst der Anwender der Software die gesammelten Daten nicht einsehen kann.

(3). Schließlich gibt es Vorkehrungen, die durch das Setzen von Bearbeiterregeln den Zugang so beschränken können, dass Betriebsräte, Mitarbeiter von Personalabteilungen oder andere den Vorgang der Datensammlung überwachen und nachvollziehen können, um sicher zu stellen, dass die Datensuche nur im Einklang mit den Persönlichkeitsrechten und den Arbeitnehmerrechten erfolgt und Beteiligungsrechte des Betriebsrats und der Mitarbeiter nicht unterlaufen werden können.

(4) Schließlich ist EnCase eine passive Technologie, die weder Daten überwacht, noch Zugriff auf Daten nimmt, solange die Datensammlung nicht bewusst vom Anwender veranlasst wird.

Darüber hinaus können strenge Regeln des Schutzes der Persönlichkeitsphäre wie Anwenderprotokolle direkt so programmiert werden, dass beispielsweise ein Zugriff ohne Beteiligung des Betriebsrats unmöglich ist. Beispielsweise können Mitarbeiter private Dateien so speichern, dass diese von einem Suchlauf ausgeschlossen sind. Der Betriebsrat kann Unternehmensrichtlinien mit der Unternehmensführung gemeinsam erlassen, in denen präzise beschrieben wird, welchen Mitarbeitern die Anwendung der EnCase Software erlaubt wird, welche Informationen sie sehen können und dass den Betroffenen Mitarbeitern automatisch eine Mitteilung über den Datenzugriff zugeht. Da jede einzelne Anwendung von EnCase Enterprise Software vom Betriebsrat sogar „real-time“ nach verfolgt werden kann, wird der Betriebsrat in die Lage versetzt, die Interessen der Arbeitnehmerschaft und des Schutzes der Privatsphäre wirkungsvoll durchzusetzen.

Soweit Daten aus rechtlichen Gründen gesammelt werden müssen, ist EnCase Enterprise die am wenigstens belastende Technologie, die den besten Schutz der Persönlichkeitsrechte garantiert, da die Datensammlung auf den schmalen Ausschnitt der wirklich notwendigen Daten für einen Fall beschränkt werden kann.

Es gibt andere Technologien, die den Begriff „virtuelle Spürhunde“ verdient haben, die z. B. den Email-Verkehr eines Mitarbeiters abfangen und durchsuchen und so eine permanent wachsende Datenmenge zur Durchsuchung bereit stellen. EnCase stellt solche Anwendungen jedoch nicht zur Verfügung, es überwacht nicht, es durchforstet keine Mitarbeiterdaten, es überwacht keine laufenden Kommunikationen und es baut keinen durchsuchbaren Datenbestand sämtlicher Mitarbeiterdaten auf, insbesondere nicht von einer Vielzahl unverdächtiger Mitarbeiter.

Wir ermutigen die Betriebsräte und das Firmenmanagement ausdrücklich, sich mit den Sicherheitsfutures von EnCase vertraut zu machen und sich anzuschauen, wie die angemessene Protokollierung der Datenzugriffe erfolgt, um den Verhältnismäßigkeitsgrundsatz zu gewährleisten. Man wird sehen, dass EnCase von einem virtuellen Spürhund weit entfernt ist und als Mittel der legitimen Datenauswertung das am wenigstens belastende, mildestes Mittel darstellt.

Die vollständige Stellungnahme können Sie unter folgender Adresse nachlesen: http://www.guidancesoftware.com/dsresponse

  • 0
  • 0
Log ind eller Opret konto for at kommentere