Wir haben in unserer Firma Grund zur Annahme, dass ein ehemaliger Mitarbeiter aus unserem CRM System Kundendaten entwendet hat. Nach kurzer Recherche der Protokolle kam dabei eine IP Adresse raus, über welche sich wohl Zugang verschafft worden ist.
Ich möchte verständlicherweise die IP nicht nennen, aber ich würde gerne wissen, wie ich nun am Besten vorgehe. Ich habe die IP mal bei google eingegeben und auch gleich prompt einen Treffer gelandet. Dieser reicht mir aber nicht. Wie bekomme ich möglichst viel über die IP (ist ne feste IP - scheinbar Teil eines "Subnetzes" - sagt man das so?) heraus? Gibt es Seiten im WWW, welche mir genauere Informationen bezüglich einer IP mitteilen? Habt Ihr sonstige Tips/Ratschläge für mich im Umgang mit dieser IP? (Gerne auch solche bezüglich der Sicherheit unserer Daten - wer den Schaden hat, braucht bekanntlich für den Spott nicht zu sorgen :redface:)
Aus rechtlicher Sicht, welches Vergehen hat sich der ehemalige Kollege, sollte es denn zutreffen, denn schuldig gemacht?

MfG Blase

sage nur "VDS" ,da weißte wo du richtig bist.
weiterhin:die IP wechselt der Provider im allgemeinen alle 24std

http://whois.domaintools.com/

"VDS" für Vorratsdatenspeicherung? Eine private Firma wie wir kann ja nicht einfch zu einem ISP hingehen und sagen, rück die Sachen raus :confused:
Die IP um die es geht, scheint eine feste IP zu sein, zumindest eine aus einem verbund von festen IPs. Weiß nicht genau wie man das sagt, ein Kontingent von IPs?

MfG Blase

"VDS" für Vorratsdatenspeicherung? Eine private Firma wie wir kann ja nicht einfch zu einem ISP hingehen und sagen, rück die Sachen raus :confused:
Die IP um die es geht, scheint eine feste IP zu sein, zumindest eine aus einem verbund von festen IPs. Weiß nicht genau wie man das sagt, ein Kontingent von IPs?

MfG Blase
Gibt ja auch Provider mit festen IPs
stimmt kannst nicht zum ISP falls der dir bekannt ist,doch muste einen Umweg gehen zu dehnen die "VDS" angeordnet haben,sollte doch eigentlich klar sein

http://whois.domaintools.com/

Tja, was "weiß" ich nun?!

Whois Record
inetnum: 88.70.0.0 - 88.70.195.255
netname: ARCOR-DSL-NET15
descr: ARCOR AG
descr: Alfred-Herrhausen-Allee 1
descr: D-65760 Eschborn
country: DE
admin-c: ANOC1-RIPE
tech-c: ANOC1-RIPE
mnt-by: ARCOR-MNT
mnt-lower: ARCOR-MNT
mnt-routes: ARCOR-MNT
status: ASSIGNED PA
source: RIPE # Filtered

Ich werde mal ein bischen konkreter:

Als ich besagte IP bei google eingegeben hatte, gab es lediglich 4 Treffer überhaupt - einer geht auf folgende Seite, welche ich leider nicht kenne:

http://lookup365.com/www.local.NameDesMitarbeiters.de/

Innerhalb dieser Seite finde ich den Verweiß auf die private HP des ehemaligen Mitarbeiters, allerdings unter anderer IP. Wie hängt das nun zusammen? Was ist "lookup365.com" für eine Seite?

MfG Blase

Was genau würde dir denn das bringen?
Stell ne Anzeige und fertig.
Für die Polizei dürfts kaum ein Unterschied machen ob sie direkt den Namen haben oder nur die IP.
Braucht halt nur bissl länger.
Nachprüfen werden sie es so oder so ob euer ehemaliger Mitarbeiter das war oder nicht.

Was genau würde dir denn das bringen?
Stell ne Anzeige und fertig.
Für die Polizei dürfts kaum ein Unterschied machen ob sie direkt den Namen haben oder nur die IP.
Braucht halt nur bissl länger.
Nachprüfen werden sie es so oder so ob euer ehemaliger Mitarbeiter das war oder nicht.
meinte ich ja mit den Wink auf "VDS" ;)

Auch wenn ich nicht an Zufälle glaube, schon garnicht an den grade beschriebenen, so wollen wir doch letzte Gewissheit haben, bevor wir solch einen Schritt einleiten. Wir wollen uns natürlich nicht zum Affen machen bezüglich falscher Anschuldigungen und den ehemaligen Kollegen nicht fälschlicher Weise deffamieren.
Außerdem bin ich nicht sicher, ob mein Chef das polizeilich verfolgen lassen möchte. Er und der ehemalige Mitarbeiter haben eigentlich ein gutes Verhältnis. Ich denke, er möchte ihn damit konfrontieren, bevor weitere Schritte eingeleitet werden. Deswegen möchte man natürlich Gewissheit haben.

Ist lookup365.com einfach ein Suchanbieter, welcher ähnlich wie im verlinkten Whoiscecord mir ein paar Informationen bezüglich einer IP übermittelt?

Ich habe mal ein Anhang hochgeladen. Wäre super, wenn Ihr euch das mal anschaut und mir sagt, was darauf zu sehen ist, bzw. wie ich das "lese". Wie gesagt bekomme ich dies bei der Eingabe der IP in Google als Treffer. Die obere IP (die 88.X.X.X) ist die ermittelte laut unseren LOG Dateien, die darunter (81.X.X.X) ist die IP der HP des Kollegen (www.Nachname.de). Jeder schwarze Balken steht für den Nachnamen des ehemaligen Kollegen.
Gibt es hier irgend einen Zweifel, dass der Kollege das nicht war sofern unsere LOG Dateien korrekt sind?

MfG Blase

Was heisst ganz oben eigentlich 'Zugang verschafft'?
Wurden seine Zugangsdaten genutzt? Kennt nur er das Kennwort?
Solte ein gemeinsam genutzter Account (evtl. Admin?) im Spiel sein, so solltet Ihr schnellstens das Kennwort ändern und Euch ärgern, es nicht sofort nach dem Ausscheiden des MAs getan zu haben.

Nach kurzer Recherche der Protokolle kam dabei eine IP Adresse raus, über welche sich wohl Zugang verschafft worden ist.
Eigentlich sollte sich genau erkennen lassen ob er sich zugang oder nicht verschafft hat.Mann sollte sich schon sicher sein.

Wie kommst darauf das der Kollege eine feste Ip Adresse hat?
Eine 6 mbps sdsl Leitung mit fester Ip kostet , wenn ichs richtig in erinnerung habe, mit Flatrate 450 Euro/Monat bei Arcor.Ziemlich viel Geld wenn man nicht gerade selbiges damit verdienen will.

Wie kommst darauf das der Kollege eine feste Ip Adresse hat?
Eine 6 mbps sdsl Leitung mit fester Ip kostet , wenn ichs richtig in erinnerung habe, mit Flatrate 450 Euro/Monat bei Arcor.Ziemlich viel Geld wenn man nicht gerade selbiges damit verdienen will.
Es gibt auch andere Zugangsarten als DSL. Bei Kabel-Internet hat man in der Regel eine feste IP-Adresse, dort entfällt auch die Einwahl. Oder nimm Internet im Wohnheim einer Uni. Auch dort hat man feste IP-Adressen.

Es gibt auch andere Zugangsarten als DSL. Bei Kabel-Internet hat man in der Regel eine feste IP-Adresse,
Nicht wirklich - das einzige was es i.d.R. nicht gibt ist der Zwangsdisconnect nach 24h und der sichere wechsel auf eine neue dynamische IP.
Wegen dem hat man aber auch bei Cable noch lange keine fest zugewiesene IP Adresse.

Oder nimm Internet im Wohnheim einer Uni. Auch dort hat man feste IP-Adressen.
Na ja, aber da hängen X Leute hinter einem NAT und teilen sich damit diese externe statische IP - also findet man den Verursacher trotzdem nicht.

Dass man über die IP-Adresse den Angreifer nicht sicher ausmachen kann, ist mir auch klar. Eine Anzeige muss so oder so gestellt werden, wenn man Irgendwas erreichen möchte.

Für eine Anzeige wird wohl die entscheidende Frage sein, wie er sich Zugang verschafft hat. Ist er eingebrochen oder hat er sich mit seinem ehemaligen Account und Passwort einfach angemeldet?

Wir haben in unserer Firma Grund zur Annahme, dass ein ehemaliger Mitarbeiter aus unserem CRM System Kundendaten entwendet hat. Nach kurzer Recherche der Protokolle kam dabei eine IP Adresse raus, über welche sich wohl Zugang verschafft worden ist.
Was seid ihr bloß für eine Firma. Laßt euch die Kundendaten klauen und anstatt den Verantwortlichen für den Mist zu feuern, versucht ihr es einem ehemaligen Mitarbeiter in die Schuhe zu schieben.

Das mit der IP kannst du dir in die Haare schmieren. Der Trick beim Hacken eines Amateur-Servers ist gerade, daß man sich dort als eine bekannte Person einlogt. Selbst eine IP-Adresse, die in einer Log-Datei gespeichert wird, kann man noch während des Hacks ändern.

Aus rechtlicher Sicht, welches Vergehen hat sich der ehemalige Kollege, sollte es denn zutreffen, denn schuldig gemacht?
aus grammatischer Sicht heißt es:
welchen Vergehens

zur rechtlichen Sicht:
Da fällt mir nix mehr ein. Der einzige, der sich 'schuldig' gemacht hat ist eure IT. Einfach mal eben die Kundendaten (am besten noch mit Bankdaten) online stellen.... Wenn ich sowas lese (das jemand über einen stinknormalen DSL-Account von Arcor online-Zugriff auf einen Firmenserver mit sensiblen Daten bekommt), dann packt mich das kalte Grausen. Habt ihr in eurer Firma eigentlich schonmal was von Datenschutz gehört? Paßt bloß auf, das euch von euren Kunden niemand den Stecker rauszieht.

Falls ihr nur einen Verdacht habt, dann behaltet den mal lieber für euch. Ich habe auch einen Verdacht in Bezug auf die Kompetenz eurer IT. Den behalte ich auch für mich. Wenn es zu einem Verfahren kommt, dann genügt es nicht den Zugriff auf Kundendaten nachweisen zu können. Nachweisen müßt ihr, daß damit auch Mißbrauch betrieben wurde (zB. Weiterverkauf). Ohne bezifferbaren wirtschaftlichen Schaden würd' ich nicht öffentlich die Hosen runterlassen. Das jemand bei euch Kunden-Daten abgegriffen hat, ist schon ärgerlich. Eine unternehmensinterne RIESENGROSSE SCHLAMPEREI. Aber das dann auch noch öffentlich groß Rumposaunen? - Da würd ich nochmal gut drüber nachdenken. Ich würd mir sogar überlegen, ob ich es überhaupt gegenüber dem ehemaligen Mitarbeiter erwähnen würde. Wenn der es nämlich nicht war und keine Ahnung hat, wovon ihr überhaupt redet, dann wird er es überall rumerzählen. :up:

Das ist so, als ob man abends vergessen hat seine S-Klasse abzuschließen und am nächsten morgen feststellen muß, daß ein Obdachloser reingekackt hat. - Würd' ich jetzt nicht unbedingt ans schwarze Brett hängen.

Hatte einen nicht unähnlichen Fall vor kurzen. Allerdings ging in in diesem Fall darum das sich ein ehemaliger Dienstleister in den Webserver einloggte und Datensicherungen gestohlen hat, die er konkurenz Firmen verkaufen wollte(hier geht es um Lieferantendaten). Die Staatsanwaltschaft ist erst tätig geworden nachdem ich beweisen konnte das sich eine IP eingeloggt hat und diese Daten auch übertragen hat. Nachweisen wie er in das System gelangte brauchte ich dabei nicht. Wichtig war der Beweis das etwas passiert ist, sprich das jemand Daten aus einem geschützen Bereich geladen hat. Aus der IP dann einen Namen zu machen ist nicht mehr schwer, ausser der Herr sass in einem Inet Kaffee. In unserem Fall hatte der Dienstleister keinen Spass mehr, die haben morgens seine Büro/Wohnung gestürmt und alles was mit EDV zu tun hat mitgenommen :)

Es gibt auch andere Zugangsarten als DSL. Bei Kabel-Internet hat man in der Regel eine feste IP-Adresse, dort entfällt auch die Einwahl. Oder nimm Internet im Wohnheim einer Uni. Auch dort hat man feste IP-Adressen.

Laut Post 6 hat der "angreifer" aber einen Arcor anschluss.

Das wir uns hier aus IT-technischer Sicht nicht grade mit Ruhm bekleckert haben, steht wohl außer Frage.
Der ehemalige Mitarbeiter hat in der Zeit, in welcher er noch in der Firma war, einen Account in unserem CRM angelegt. Da ein anderer Kollege mit administrativen Rechten wohl so leichtsinnig war, für mehrere Bereiche das selbe Kennwort zu verwenden, hat sich der ehemalige Kollege wohl mit dem Konto des anderen Benutzers eingeloggt und dieses neue Konto mit administrativen Rechten angelegt. Das Konto ist leider erst vor Kurzem aufgefallen. Anhand der Anmeldeprotokolle in unserem CRM System konnten Daten inkl. Uhrzeiten ermittelt werden, an welchem sich dieser neue Benutzer angemeldet hat. Anhand dieser Daten und Uhrzeiten wiederum konnten wir die Protokolle, die unser ISP uns bezüglich unserer Domain bereitstellt, auswerten und sind etwa zeitgleich zur Anmeldung am Programm auf einen Zugriff gestoßen und haben halt die IP dabei gehabt.
Und die IP führt quasi direkt auf die HP des ehemaligen Kollegen...

MfG Blase

Die Provider speichern die Daten max. 7 Tage, wenn die Staatsanwälte die Daten nicht in diese Frist anfordern ist nichts mehr gespeichert...
Auf die VDS Daten darf nur bei besonders schweren Straftaten zugegriffen werden. Das dürfte bei diesem Fall IMO nicht der Fall sein.

Die Provider speichern die Daten max. 7 Tage, wenn die Staatsanwälte die Daten nicht in diese Frist anfordern ist nichts mehr gespeichert...
Auf die VDS Daten darf nur bei besonders schweren Straftaten zugegriffen werden. Das dürfte bei diesem Fall IMO nicht der Fall sein.
auf die VDS Daten greift der Staat zu wie es ihm beliebt,das ist ja das ganze Problem (informiere dich mal besser über das Thema).

Arbeitest du zufällig bei Chipsize? Evtl könntet ihr auf 3DCenter mal Werbung schalten, ich hab jedenfalls noch keine von euch gesehen.

Die fragliche IP-Adresse zeigt auf Adressen bei verschiedenen dynamischen DNS-Diensten, die den Namen des ehemaligen Mitarbeiters tragen, zB von DynDNS.com oder Strato, dort verknüpft mit der Domain, unter der auch das Webhosting-Paket des ehemaligen Mitarbeiters läuft. Man könnte davon ausgehen, dass der ehemalige Mitarbeiter diese Adressen nutzt oder nutzte um auf seinen Rechner daheim zuzugreifen. Das ist aber nur ein Indiz, kein Beweis. Es lassen sich auch Fälle konstruieren, in denen zB ein Dritter diese Adressen registrierte um dem ehemaligen Mitarbeiter etwas anzuhängen, entsprechendes Wissen und ein Zugang zu dessen Strato-Konto vorausgesetzt. Und nur weil sich jemand heimlich einen Zugang zum CRM-System verschafft, sich dort anmeldet und rumnavigiert muss er noch lange nicht Daten abziehen und verkaufen.

Arcor bietet im Übrigen sehr wohl DSL-Zugänge mit fester IP-Adresse an, und zwar für unter 50 EUR im Monat. Ob es sich bei der fraglichen IP-Adresse um solch eine handelt hab ich nun aber nicht mehr überprüft, bin ja nicht euer kostenloser Privatdetektiv.

auf die VDS Daten greift der Staat zu wie es ihm beliebt,das ist ja das ganze Problem (informiere dich mal besser über das Thema).
Nein, das Bundesverfassungsgericht hat bis zur endgültigen Entscheidung den Zugriff auf die Verfolgung von besonders schweren Straftaten begrenzt.