Die Trennung von Mitarbeitern ist häufig mit Ermittlungen, Rechtsstreitigkeiten und eDiscovery verbunden. Viele Mitarbeiter greifen auch nach der Trennung weiterhin auf Informationen von ihren Arbeitgebern zu und fast drei Viertel der Arbeitgeber berichten, dass sie durch einen Verstoß gegen ihre digitale Sicherheit durch einen Mitarbeiter negativ beeinflusst wurden.
Viele Mitarbeiter behalten auch eigene oder fremde Passwörter, mit denen sie nach ihrer Abreise Daten erfassen oder Aktivitäten überwachen können. Dies ist sicherlich eine beängstigende Aussicht für Arbeitgeber, die auch die Möglichkeit einer Datenexfiltration über Konten auf Plattformen Dritter (wie Salesforce) berücksichtigen müssen.
Datendiebstahl ist weit verbreitet und es gibt zahlreiche Möglichkeiten, Daten zu stehlen. Das bedeutet jedoch nicht, dass die Leute, die das Unternehmen verlassen haben, schlecht sind. Tatsächlich gibt es, wie weiter unten erörtert wird, Zeiten, in denen die Entfernung von Daten unbeabsichtigt war, und Zeiten, in denen die entfernten Daten keinen leicht quantifizierbaren Schaden zur Folge haben. Oft gibt es einige Analogien zu einem Fall häuslicher Beziehungen im Sinne von Verrat, Wut und Groll auf allen Seiten.
Veranstaltung zur Trennung von Mitarbeitern
Die Akteure bei jeder Untersuchung einer Arbeitsunterbrechung sind der alte Arbeitgeber, der neue Arbeitgeber, der Arbeitnehmer und die Personalabteilung/IT/Management. Der beste Weg, sich auf die Trennung von Mitarbeitern vorzubereiten, besteht darin, über solide Verfahren für die Rückgabe der Unternehmenstechnologie, Erinnerungen daran, keine Informationen zu vernichten, und Erinnerungen an Geheimhaltungsvereinbarungen und Wettbewerbsverbote zu verfügen.
Es kann schwierig sein, alle möglichen externen Geräte zu berücksichtigen, aber es ist für Arbeitgeber von entscheidender Bedeutung, dies vor und während des Austrittsgesprächs zu tun – denn danach ist es viel schwieriger, solche Geräte zu finden und anzufordern. Das Austrittsgespräch kann auch Aufschluss darüber geben, wo möglicherweise Daten liegen, von denen der Arbeitgeber nichts weiß. Austrittsgespräche können ähnlich wie Unterhaltsgespräche behandelt werden. Erwägen Sie daher die Verwendung einer ähnlichen Vorlage.
Es ist auch wichtig, die Trennung zwischen personenbezogenen Daten, die der Mitarbeiter erfassen möchte, und geistigem Eigentum des Unternehmens zu berücksichtigen. Einige Mitarbeiter kennen den Unterschied möglicherweise nicht oder glauben, dass sie Anspruch auf bestimmte Daten haben. Klarheit ist hier der Schlüssel.
Metadaten richtig lesen
Da der Zeitpunkt der Dokumentenübertragung bei den meisten Trennungen von Mitarbeitern ein entscheidender Punkt ist, ist es wichtig zu verstehen, dass Erstellungs-, Änderungs- und Zugriffsdaten sehr kontextabhängig sind.
Das Datum des letzten Zugriffs auf eine Datei kann durch Windows, eine Antivirenanwendung oder andere Aktivitäten aktualisiert werden, die möglicherweise nicht vom Benutzer generiert werden. „Erstellt“ bedeutet normalerweise, dass es auf dem Medium erstellt wurde, auf das es kopiert wurde (unter Windows), was bei einer Datendiebstahlsuntersuchung wichtig sein kann.
Die Partei, die die Klage erhebt, kann die Ermittlungen enorm unterstützen, indem sie Gegenstände markiert, die die „Schlüssel zum Königreich“ sind – also die wichtigsten Gegenstände, die mitgenommen wurden. Prüfer werden im Laufe eines Verfahrens auf viele tausend Akten stoßen, doch wenn es um die Schadensfeststellung geht, ist es wichtig zu wissen, welche der Akten aus Sicht des Klägers tatsächlich schädlich waren.
Mögliche Szenarien
Aus Sicht der Datenentfernung gibt es vier mögliche Szenarien: Datenverlust, der nicht böswillig ist, vermuteter Datenverlust, der nicht stattgefunden hat, böswilliger Akteur, der den Datenverlust verschwiegen hat, und Verschwörung zur Datenbeschaffung. Nichtböswilliger Datenverlust umfasst die Entnahme persönlicher Daten, Whistleblower-Maßnahmen, versehentliches Entfernen von Daten oder jemanden, der glaubt, dass sein früheres Unternehmen ihm möglicherweise Geld schuldet. Verschwörungen sind weitaus seltener als angenommen und am schwierigsten zu untersuchen.
Am häufigsten kommt es bei forensischen Untersuchungen zu Situationen, in denen der Arbeitgeber davon ausgeht, dass es sich um einen Datenverlust handelte, und um eine schlechte Tätersituation. Im letzteren Fall kommen diejenigen, die ihre Aktionen verbergen möchten, normalerweise nach Geschäftsschluss vorbei, schließen ein kürzlich erworbenes persönlich gekauftes Gerät an, senden wichtige Dokumente per E-Mail an ihr persönliches Konto oder unternehmen Anstrengungen, Spuren zu verwischen (Verbergen von Daten oder Massenlöschung). Im ersten Fall hat jemand vielleicht einfach eine Reihe von Dateien per Drag-and-Drop verschoben und dabei mehr an seine Familienfotos als an die Arbeitgeberinformationen gedacht – das ist der Unterschied zwischen einem Tritt und einem Stolpern.
Die digitale Forensik ist für alle diese Szenarien mit Ausnahme der Verschwörung im Wesentlichen gleich. Dort müssen die Ermittler zeigen, wie alle Beteiligten miteinander umgehen, meist durch Textnachrichten und anderen Informationsaustausch. Dabei handelt es sich um langwierige, komplexe Untersuchungen, die Zeit und Ressourcen erfordern, die bei Standardfällen nicht der Fall sind.
Rechtsstreitigkeiten und Schadensersatz
Der Maßstab für forensische Beweise, die für eine einstweilige Verfügung im Vergleich zu einer einstweiligen Verfügung erforderlich sind, ist die Überzeugung des Gerichts, dass die Möglichkeit eines irreparablen Schadens besteht. Bei der Beantragung einer TRO muss dem Gericht nachgewiesen werden, dass der irreparable Schaden nicht mehr bezahlbar ist, wenn es nicht sofort handelt, um die Vernichtung oder den Verlust von Beweismitteln zu stoppen. Um diese TROs in eine einstweilige Verfügung umzuwandeln, ist eine Anhörung erforderlich. Eine Mediation kommt in der Regel erst später in der Findungsphase zum Einsatz, wenn beide Seiten mehr gelernt haben.
Es ist sehr wichtig, frühzeitig zu bestimmen, wie das Endergebnis aussehen wird und was der Kunde davon erwartet. Übliche Optionen sind Schadensersatz, die Unterbindung eines Mitarbeiters, dem Konkurrenten für einen bestimmten Zeitraum zu helfen, oder einfach nur etwas, um den Schmerz des Verrats zu lindern.
Sanierung
Als Forensiker fragen wir die Anwälte, ob ihre Mandanten bei der Wiedergutmachung von Datendiebstählen wirklich alles tun wollen. Es ist ein sehr kostspieliger Prozess, und häufig wird gefordert, „alles, was sie mitgenommen haben, zu vernichten“ oder „zuzustimmen, dass ein Drittunternehmen Daten löschen darf“.
Die Sanierung knüpft einen schönen Bogen um die Arbeit, die ein forensischer Prüfer geleistet hat, um gestohlene Daten zu identifizieren und wie diese durch ein Unternehmen verbreitet wurden. Andererseits ist es eines der vergeblichsten Unterfangen, es ist eine Möglichkeit, allen ein besseres Gefühl zu geben. Auf Kosten des Beklagten kann alles auf einem Gerät gelöscht werden, es ist jedoch nur ein USB-Stick erforderlich, um die gesamte Arbeit rückgängig zu machen. Außerdem ist die Zeit für niemanden von Vorteil, da Daten eine Lebensdauer haben. Die Preisfestlegung ab 2024 mag bedeutsam und geheim sein, aber die Preisfestsetzung für 2021, die in einem Fall gestohlen wurde, der Zeit in Anspruch genommen hat, ist möglicherweise nicht sehr wertvoll. Da alte Daten nicht den gleichen Halt haben, fühlt sich der verärgerte Kunde, der bereit ist, alles Nötige zu tun, um die Travestie zu stoppen, zwei Jahre später möglicherweise nicht mehr so.
Abschluss
Forensische Prüfer werden hinzugezogen, um zu beweisen, dass jemand Daten gestohlen hat, aber diese Fälle sind vertretbar. Man kann einen Kampf um die Datenerfassung verlieren und den Krieg gewinnen, indem man nachweisen kann, dass es kein Schaden, sondern nur ein kleines Foul war. Dabei geht es nicht nur um den Beweis, dass die austretende Partei unschuldig war, sondern auch darum, dass der Arbeitgeber kein unwissentlicher Vorteil oder Opfer war und dass andere Personen nicht mitschuldig waren. Die größere Herausforderung bei solchen Untersuchungen besteht darin, nachweisen zu können, dass sie nicht unter der Schirmherrschaft des neuen Arbeitgebers durchgeführt wurden und dass der Schaden gering oder gar nicht war.
Ressourcen
Beachten Sie, dass für einige der hier besprochenen Punkte einige Ressourcen verfügbar sind: · Leitfaden für Ersthelfer zum Diebstahl von Mitarbeiterdaten · Entwurf digitaler forensischer Untersuchungsprotokolle · Kommentiertes ESI-Protokoll
Avansic und Dr. Manes möchten Craig Ball für seine Beiträge danken.
[View source.]