Benutzeraktivität

[Hr. Breuer]

Hallo zusammen,
kann mir jemand sagen, was genau in der Benutzeraktivität protokolliert wird?
In meiner Übersicht haben sowohl ich als auch andere Personen Lesezugriffe gehabt. Beispielsweise hatte eine Person um 8:42:35 Uhr 120 Lesezugriffe auf meine "Daten" und zwei Minuten später erneut 46. Was bedeutet diese Anzahl?
Handelt es sich dabei um Zugriffe auf meine E-Mails und/oder auf meinen Kalender?

Außerdem hat es Zugriffe Mitten in der Nacht gegeben. Das kann ja nicht sein.

Vielen Dank für eure Antworten.

[MacSpudik]

Hallo Hr. Breuer,

es kann durchaus Zugriffe mitten in der Nacht geben, denn entscheidend ist nicht, ob die Person angemeldet ist, sondern ob etwas oder jemand unter diesem Namen etwas durchgeführt hat.
Wenn z.B. ein Agent mit der ID von Person X signiert ist, werden die Lese-/Schreibaktivitäten des Agenten nicht mit dem Servernamen, sondern mit Namen von Person X dokumentiert.
Gleiches gilt auch für Gestaltungswechsel oder -aktualisierungen.
Es können also durchaus einige Personen in der Benutzeraktivität erscheinen, die in Person die entsprechende Datenbank gar nicht wirklich geöffnet und gelesen haben.

Grüße von
Sebastian

[Hr. Breuer]

Hallo Sebastian,
vielen Dank für die Antwort.
Gehen wir mal nicht davon aus, dass es sich um einen Agenten mit der ID der Person handelt.
Gibt es dann noch andere Gründe für die hohe Anzahl an Lesezugriffen innerhalb weniger Minuten?
Worauf hat die Person lesend zugegriffen? Meine Mails, meinen Kalender oder noch mehr?

Vielen Dank.

[Pfefferminz-T]

Neben Personen / Agenten können natürlich auch Server darauf zugreifen. Anhand der Logs kann man nicht nachvollziehen, auf welche Dokumente zugegriffen wurde, nur die Aktion (Lesen, Schreiben, etc.) die dabei ausgeführt wurde.

54 Lesen kann demnach bedeuten, dass 54 Mails gelesen wurden oder dass 53 Mails und ein Kalendereintrag gelesen wurde... es geht hier um gelesene Dokumente ohne Unterscheidung des Typs.

[Hr. Breuer]

Ok, da also um 8:42:35 Uhr 120 Dokumente gelesen wurde und um 8:44:59 Uhr 46 weitere, wird das wohl für einen Agenten/Server oder ähnliches sprechen. In der kurzen Zeit kann man wohl kaum so viele Dokumente lesen bzw. öffnen.
Oder gibt's noch andere Meinungen/Möglichkeit für diese Aktivitäten?

[eknori]

Welche "anderen" Personen sind denn in der Liste? sind das Personen, die gegebenenfalls Zugriff auf Ordner haben und dann mit dem mobile Device über Traveler zugreifen?
In dr Regel sind es Serverzugriffe im Zuge von Designupdates etc.

[eknori]

in Notes ist übrigens ALLES ein Dokument. ACL, Designelemente und natürlich auch Mails.

[WildVirus]

Bei einer Replikation kann viel "gelesen" werden.

Und auch schön an das Thema Leistens- und Verhaltenskontrolle denken.

[Hr. Breuer]

Also....
Dem Admin unserer Firma wird vorgeworfen unberechtigt Mails von Kollegen gelesen zu haben.
Als Beweis dient die Benutzeraktivität dieser Kollegen, in denen der Admin namentlich mit Lesezugriffen gelistet ist.
Der Admin behauptet keine Mails gelesen zu haben. Die bereits erwähnte hohe Anzahl an Lesezugriffen innerhalb kürzester Zeit macht mich jedoch stutzig. Meiner Meinung nach kann man nicht so viele Mails in so kurzer Zeit lesen, wenn man wirklich die Absicht hat Mails zu lesen.
Der Admin ist ein guter Freund von mir, gleichzeitig bin ich aber einer der Betroffenen Kollegen. Jetzt möchte ich natürlich wissen, ob er meine Mails gelesen hat oder nicht.
Ich bin leider kein Admin und habe daher weder das Wissen noch die Berechtigung um dies zu prüfen.
Es wäre schön, wenn es eine andere Möglichkeit gibt .

[WildVirus]

Habt Ihr einen Betriebsrat oder Datenschutzbeauftragten ?

Wenn ja, sofort einschalten und (externe) Profis prüfen lassen. Nicht als Anwender "rumspielen"

Bei solchen Behauptungen sollte es vernünftig aufgeräumt werden, auch im Interesse Deines Freundes !

[eknori]

Davon ausgehend, daß der Admin nicht vom Client aus mit seiner ID irgendwelche Zugriffe erzeugt hat:

in denen der Admin namentlich mit Lesezugriffen gelistet ist.

das passiert dann, wenn der Admin z.B. einen Agenten erstellt hat / einen Agenten mit seiner ID bearbeitet hat. Dann trägt dieser Agent seine Signatur und wenn er dann losläuft, werden die Zugriffe mit dem Namen des Admins protokolliert. Das Erstellen/Bearbeiten eines Agenten muss nicht zwangsläufig in böser Absicht geschehen sein.

Anzeichen für einen Agenten sind eine gewisse Regelmäßigkeit im Aktivitätenprotokoll.

Meiner Meinung nach kann man nicht so viele Mails in so kurzer Zeit lesen, wenn man wirklich die Absicht hat Mails zu lesen.

Genau, die Häufigkeit / Frequenz der Zugriffe spricht für einen maschinellen Zugriff.

Der Admin behauptet keine Mails gelesen zu haben.

Es gilt die Unschuldsvermutung.


Es gibt natürlich Möglichkeiten, euer System zu untersuchen; ich arbeite bei einem Dienstleister und mache daher auch keinen Hehl daraus, daß wir gegen Einwurf einer Anzahl Münzen gerne behilflich sind.

Um die Ursache für die Zugriffe evtl. eingrenzen zu können, würde ich einmal folgendes machen:

In der Zugriffskontrollliste der Datenbank ( ACL ) ist der Admin entweder namentlich oder als Gruppe ( LocalDomainAdmins) eingetragen.
Diese Einträge sollten einmal auf NoAccess gesetzt werden. Damit kann der Admin dann nicht mehr auf die Datenbank zugreifen.

Auch DEFAULT und Anonymous sollten generell auf NoAccess gesetzt werden.

Wenn sich noch weitere Personengruppen in der ACL befinden muss geprüft werden, ob der Admin Mitglied in einer dieser Gruppen ist.

Für den Test können auch diese Gruppen auf NoAccess gesetzt werden.

Letztendlich darf nur noch der Eigentümer der Datenbank und der Server Zugriff haben.

Wenn es sich wirklich um einen Agenten handelt, dann wird man das spätestens dann an der Console des Servers sehen, wenn er losläuft und mangels Zugriffsberechtigung einen Fehler wirft.

Diese Änderungen haben keinen Einfluss auf die Funktionsweise der Maildatei. Diese Dinge können auch von deinem Admin erledigt werden. Macht das zusammen und protokolliert euer Vorgehen. Das ist gut für Dich und auch für den Admin hat es eine selbst schützende Wirkung. Ich weiß natürlich nicht, wie das interne Verhältnis auf Grund der Vorwürfe ist; aber das sollte man im Interesse aller Beteiligten hinbekommen.

[MacSpudik]

Ich schließe mich Ulrich Krause an.
Der Unterschied zwischen Agenten und dem persönlichen Zugriff liegt vor allem in der Regelmäßigkeit (jeden Tag oder Stunde zur gleichen Uhrzeit), der Anzahl Dokumente und auch der Zeitpunkt (z.B. mitten in der Nacht).
Als Anwender kann man dies aber i.d.R. nur schwer auseinanderhalten und der Gedanke, dass hier jemand spioniert, liegt dann nahe.

Für mich als Admin ist aber eines grundlegend und besonders wichtig: Vertrauen!
Es verhält sich wie mit den eigenen Kindern, dem Partner oder einem Vorsitzenden einer Partei oder eines Vereins. Ohne Vertrauen funktioniert das System nicht. Natürlich kann man für einen bestimmten Zeitraum dem Admin die Rechte entziehen und bestmöglich beweisen, dass es Automatismen sind. Es muss aber die Ausnahme sein und bleiben.
Ein Admin, der das Vertrauen der Anwender/innen verloren hat und dem man langfristig die Rechte auf die Anwendungen entzieht, kann nur schwer arbeiten. Natürlich ist es möglich, auch ohne Rechte auf die Anwendungen zu administrieren. Das ist bei einigen Banken, Forschungsabteilungen usw. durchaus üblich, macht einem das Leben zwar etwas schwerer, aber gerade da zeigt sich, wer wirklich gut administrieren kann.
Was man aber bei aller Technik nicht ersetzen kann, ist das Vertrauen der Anwender. Das steht an erster Stelle.

[schroederk]

Zudem müsste sich der Admin ziemlich sorglos angestellt haben, wenn man ihm tatsächlich Zugriff auf fremde DBs nachweisen könnte.
Vorausgesetzt der Admin hätte die kriminelle Absicht illegalerweise die Mails anderer Personen zu lesen, dann sollter theoretisch über genügend Grundwissen verfügen, wie man den Nachweis unglaublich erschweren kann.
Mal ganz davon abgesehen davon, dass er den persönlichen Zugriff auch innerhalb des Zeitraums automatischer Zugriffe verstecken könnte.
Ein tatsächlicher Beweis wird bei Euch wohl recht schwer zu finden sein, aber mich würde mal interessieren, wie der Verdacht überhaupt aufgekommen ist.
Hat sich jemand aus Neugier einfach mal die Zugriffe auf seine DB angeschaut und den Namen des Admins gefunden und hat dann direkt mit Verdächtigungen um sich geschossen?

[eknori]

Interessant, und auch im Hinblick auf die Zuverlässigkeit der aufgezeichneten Informationen.

Ich hämmere momentan mit meiner ID auf der Datenbank rum. Designänderungen, Dokumentenzugriffe , Löschungen ...
Im Aktivitätenprotokoll sehe ich aber nur meine beiden Server ... keine Spur von meiner Id...

[MacSpudik]

Die Protokollierung der durchgeführten Aktionen kommen (glaube ich) erst etwas verzögert an.
Ich habe in der Vergangenheit immer mal wieder festgestellt, dass erfolgte Änderungen nicht auf die Minute auf die Aktivitätsprotokolleinträge passen, sondern erst mit ein wenig Latenz erscheinen.
Zudem erscheinen bei Clustern die Namen der "Übeltäter" nur auf dem Server, wo diese auch aktiv waren. Die Clusterpartner protokollieren die Änderungen mit dem entsprechenden Server, wo die Änderungen herkommen und dann auch nur dann, wenn die Änderungen bei ihnen erfolgen. Hier verwischt also leicht die Spur.

[MacSpudik]

Zudem müsste sich der Admin ziemlich sorglos angestellt haben, wenn man ihm tatsächlich Zugriff auf fremde DBs nachweisen könnte.
(...)
Hat sich jemand aus Neugier einfach mal die Zugriffe auf seine DB angeschaut und den Namen des Admins gefunden und hat dann direkt mit Verdächtigungen um sich geschossen?

Dito.
Möglichkeiten gibt es wie Sand am Meer, ich denke da nur an Zugriffe direkt aufs Serverdateisystem. Daher ist die Trennung zwischen Betriebssystemsadmins und Service(Domino)admins in Komination mit verschlüsselten ServerIDs so wichtig ...

[Hr. Breuer]

Wie es aufgefallen ist, kann ich leider nicht sagen.
Der Admin ist vorerst freigestellt und darf sich zur Sache nicht äußern.
Sein Problem ist nun, dass er keine Möglichkeit hat zu beweisen, dass er nichts verbotenes getan hat, da er keinen Zugriff mehr auf Notes hat.

Es spricht einiges für einen Agenten. Vielleicht waren es darüberhinaus auch Zugriffe auf den Kalender der Personen. Dies ist nicht untersagt.
Es dürfte also schwierig sein ihm diesen Vorwurf zu beweisen.

Vielen Dank für eure Antworten.

[schroederk]

An seiner Stelle würde ich das Vertrauensverhältnis mal extrem in Frage stellen.
Da ist ja reinstes Mittelalter-Verhalten gezeigt worden.
Früher reichte es auch schon aus, eine Frau der Hexerei zu bezichtigen.
Wenn sie dann Glück hatte, wurde sie nur im See ertränkt. Kam sie dabei um, war es keine Hexe... wie tröstlich.

Einfach mal den Admin irgendwas bezichtigen. Direkt freigestellt, keine Möglichkeit auf Verteidigung.
Wie geht es jetzt weiter? Wird wenigstens ein bezahlter Dienstleister zur "Spurensicherung" beauftragt oder belässt man es auf vermeintliche Indizien?

Ich hoffe nicht, dass ich mal in die Situation komme, dass ich für Deine Firma arbeiten muss.

[eknori]

An seiner Stelle würde ich das Vertrauensverhältnis mal extrem in Frage stellen.
Da ist ja reinstes Mittelalter-Verhalten gezeigt worden.
Früher reichte es auch schon aus, eine Frau der Hexerei zu bezichtigen.
Wenn sie dann Glück hatte, wurde sie nur im See ertränkt. Kam sie dabei um, war es keine Hexe... wie tröstlich.

Einfach mal den Admin irgendwas bezichtigen. Direkt freigestellt, keine Möglichkeit auf Verteidigung.
Wie geht es jetzt weiter? Wird wenigstens ein bezahlter Dienstleister zur "Spurensicherung" beauftragt oder belässt man es auf vermeintliche Indizien?

Ich hoffe nicht, dass ich mal in die Situation komme, dass ich für Deine Firma arbeiten muss.

+1

[MacSpudik]

An seiner Stelle würde ich das Vertrauensverhältnis mal extrem in Frage stellen.
Da ist ja reinstes Mittelalter-Verhalten gezeigt worden.
Früher reichte es auch schon aus, eine Frau der Hexerei zu bezichtigen.
Wenn sie dann Glück hatte, wurde sie nur im See ertränkt. Kam sie dabei um, war es keine Hexe... wie tröstlich.

Einfach mal den Admin irgendwas bezichtigen. Direkt freigestellt, keine Möglichkeit auf Verteidigung.
Wie geht es jetzt weiter? Wird wenigstens ein bezahlter Dienstleister zur "Spurensicherung" beauftragt oder belässt man es auf vermeintliche Indizien?

Ich hoffe nicht, dass ich mal in die Situation komme, dass ich für Deine Firma arbeiten muss.

+1

+1

=3

Lohnt sich bald ne Online Petition zu machen