9
Datensicherheit bei Active Directory ?
Kann das Active Directory vom Arbeitgeber dazu genutzt werden, die Angestellten auszuspionieren?
Hallo, liebe IT-Sicherheitsexperten,
hoffentlich könnt Ihr mir weiterhelfen. Ich arbeite in einem Unternehmen, in dem DATENSICHERHEIT GROSS GESCHRIEBEN WIRD - solange es um die Datensicherheit des Unternehmens geht. Unser Chef erlaubt es sich beispielsweise, sich über die Autovervollständigung von Formularen in unsere privaten eMail-Accounts einzuloggen - obwohl er und auch wir wissen, dass dies nicht erlaubt ist. Nun bekommen wir einen neuen Administrator - unser Chef hat in der Stellenausschreibung gezielt nach jemandem gesucht, der sich mit Active Directories auskennt. Der alte Admin, der gekündigt hatte, hat grinsend gemeint, das wundere ihn kein bißchen - so wüßte Chef demnächst dann GANZ genau, wer wann auf welcher Internetseite gewesen ist, wer wann welche eMail bei GMX oder WEB.de abgerufen hat usw. usf. Stimmt das? Kann unser Chef über seinen neuen Admin mit dessen Active-Directory-Kenntnissen unser Netzwerk dazu benutzen, uns auszuspionieren? Vielleicht haltet Ihr mich jetzt für paranoid, aber glaubt mir einfach mal unbekannterweise - in dieser Firma wird wahrscheinlich jeder etwas vorsichtig.
Vorab herzlichen Dank für Eure Antworten!
Maxxi
hoffentlich könnt Ihr mir weiterhelfen. Ich arbeite in einem Unternehmen, in dem DATENSICHERHEIT GROSS GESCHRIEBEN WIRD - solange es um die Datensicherheit des Unternehmens geht. Unser Chef erlaubt es sich beispielsweise, sich über die Autovervollständigung von Formularen in unsere privaten eMail-Accounts einzuloggen - obwohl er und auch wir wissen, dass dies nicht erlaubt ist. Nun bekommen wir einen neuen Administrator - unser Chef hat in der Stellenausschreibung gezielt nach jemandem gesucht, der sich mit Active Directories auskennt. Der alte Admin, der gekündigt hatte, hat grinsend gemeint, das wundere ihn kein bißchen - so wüßte Chef demnächst dann GANZ genau, wer wann auf welcher Internetseite gewesen ist, wer wann welche eMail bei GMX oder WEB.de abgerufen hat usw. usf. Stimmt das? Kann unser Chef über seinen neuen Admin mit dessen Active-Directory-Kenntnissen unser Netzwerk dazu benutzen, uns auszuspionieren? Vielleicht haltet Ihr mich jetzt für paranoid, aber glaubt mir einfach mal unbekannterweise - in dieser Firma wird wahrscheinlich jeder etwas vorsichtig.
Vorab herzlichen Dank für Eure Antworten!
Maxxi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 27128
Url: https://administrator.de/contentid/27128
Printed on: April 19, 2024 at 08:04 o'clock
9 Comments
Latest comment
Jap, kann er...
Hat wenig mit AD-Kenntnissen zu tun, aber ein pfiffiger Netzwerk-Admin kann alles ausspionieren, es sei denn, er sperrt sich selbst aus!
Hat wenig mit AD-Kenntnissen zu tun, aber ein pfiffiger Netzwerk-Admin kann alles ausspionieren, es sei denn, er sperrt sich selbst aus!
Da kann ich Chris nur zustimmen. Es gibt ggf genug Software die zur Überwachung eingesetzt werden kann, die ist zwar nicht legal, aber wennd ein Chef sich nicht drum schert..
Da braucht er dann eher einen Admin, der den Mund hält als einen mit AD Kenntnissen.
Da braucht er dann eher einen Admin, der den Mund hält als einen mit AD Kenntnissen.
Na super... Lieben Dank für die Antworten! Dann geb ichs mal an die Kollegen weiter, damit wir zukünftig noch mehr aufpassen... Wie sieht denn das dann aus? Ist das wie ein Live-Mitschnitt der Aktionen am Bildschirm? Oder eine Liste der aufgerufenen Dateien mit allen damit verbundenen Informationen? Wie kann man sich so eine "Überwachung" eigentlich vorstellen?
worst case macht da ein Programm wirklich Screenshots von dem was die User machen, schickt Kopien von E-Mails an den Chef etc. Aber das ist wirklich illegal in Deutschland und ich will mal davon ausgehen, dass euer Chef sowas nicht machte.
Hier mal die Website zu so einem Tool: http://www.orvell.de/
Das der Besuch von Internetseiten gelogt wird ist übrigens eher normal. Es ist dann immer die Frage wieweit sie ausgewertet werden. Aber selbst in Standardsoftware wie den ISA Server von MS ist es kein Problem zu sehen wer wo gesurft ist. Wofür natürlich auch keine AD Kentnisse nötig sind.
Hier mal die Website zu so einem Tool: http://www.orvell.de/
Das der Besuch von Internetseiten gelogt wird ist übrigens eher normal. Es ist dann immer die Frage wieweit sie ausgewertet werden. Aber selbst in Standardsoftware wie den ISA Server von MS ist es kein Problem zu sehen wer wo gesurft ist. Wofür natürlich auch keine AD Kentnisse nötig sind.
oookeeeee..... das heisst also: selbst wenn cookies und temporäre dateien lokal gelöscht werden, selbst wenn man die autovervollständigung von formularen und von urls abschaltet - selbst dann muss man aufpassen, was man macht... *seufz* ok. verstanden. ich gebs weiter und wir arbeiten demnächst mit rauchzeichen...
Hey,
bei uns in der Firma wird auch überwacht und das legal. Jeder Benutzer muß ein Formular unterschreiben damit er nur Sachen erledigt die etwas mit der Arbeit zu tun hat und bei bedarf kann der Chef darauf zugreifen. Alles kein Problem es wird alles Protokoliert was man so im Internet macht wie lange man drin war und so weiter.
Eigendlich finde ich das auch nicht schlecht es sagt niemand etwas wenn man mal 5 oder 10 min am Tag ins Netz geht nur wenn manche meinen auf der Arbeit nichts anderes zu machen wie Privatsachen dann soll er sich Arbeitslos melden und nicht auf die Kosten der Firma.
bei uns in der Firma wird auch überwacht und das legal. Jeder Benutzer muß ein Formular unterschreiben damit er nur Sachen erledigt die etwas mit der Arbeit zu tun hat und bei bedarf kann der Chef darauf zugreifen. Alles kein Problem es wird alles Protokoliert was man so im Internet macht wie lange man drin war und so weiter.
Eigendlich finde ich das auch nicht schlecht es sagt niemand etwas wenn man mal 5 oder 10 min am Tag ins Netz geht nur wenn manche meinen auf der Arbeit nichts anderes zu machen wie Privatsachen dann soll er sich Arbeitslos melden und nicht auf die Kosten der Firma.
schwieriges thema,
auch wenn die private nutzung von email und internet in einem unternehmen verboten ist darf der arbeitgeber trotz erhöhter kontrollbefugnisse nicht die totale überwachung anordnen. gemäß §43 bundesdatenschutzgesetz können fahrlässige verletzungen von datenschutzbestimmungen mit einem bußgeld von bis zu 250.000 euro geahndet werden. den administratoren kann ich nur dringend empfehlen sich solche überwachungsanordnungen schriftlich geben zu lassen ansonsten droht ihnen eine u.U eine mithaftung falls sich ein "überwachter" mitarbeiter oder ex-mitarbeiter das nicht gefallen läßt. im übrigen lassen sich auch durch betriebsvereinbarungen gesetzliche bestimmungen aus dem bdsg, tkg, tdg u.s.w. nicht einfach aushebeln. als lektüre zu dem thema kann ich empfehlen "Praxis des IT-Rechts" aus dem Vieweg Verlag.
auch wenn die private nutzung von email und internet in einem unternehmen verboten ist darf der arbeitgeber trotz erhöhter kontrollbefugnisse nicht die totale überwachung anordnen. gemäß §43 bundesdatenschutzgesetz können fahrlässige verletzungen von datenschutzbestimmungen mit einem bußgeld von bis zu 250.000 euro geahndet werden. den administratoren kann ich nur dringend empfehlen sich solche überwachungsanordnungen schriftlich geben zu lassen ansonsten droht ihnen eine u.U eine mithaftung falls sich ein "überwachter" mitarbeiter oder ex-mitarbeiter das nicht gefallen läßt. im übrigen lassen sich auch durch betriebsvereinbarungen gesetzliche bestimmungen aus dem bdsg, tkg, tdg u.s.w. nicht einfach aushebeln. als lektüre zu dem thema kann ich empfehlen "Praxis des IT-Rechts" aus dem Vieweg Verlag.
so schwierig ist es gar nicht. Der chef kann rechtlich voll OK sich eine Liste geben lassen, auf denen eine Übersicht drauf ist, welche Seiten wie viel frequentiert wurden. Wenn da eben die freemail Seiten mit mehr als die Hälfte zu buche schlagen, dann kann er darin eine Verletzung des Arbeitsvertrages sehen und dann sich die vollen Logdateien zuschicken lassen. rechtlich auch noch ok. in wie weit die dann genutzt werden dürfen (arbeitsrechtlich) hängt vom Arbeitsvertrag ab. Besser ist wirklich nur noch das machen, was erlaubt ist, und kein Chef wird was dagegen sagen, wenn man mal schnell in der Pause seine Mails abruft. Nur ich kann (zur Not) auch den Chef verstehen, denn gerade chatsitzungen sind beliebte Türchen für Viren etc, und die sollten drausen bleiben.
die grundfrage die sich immer stellt ist ob die private nutzung erlaubt bzw. geduldet oder verboten ist.
wenn sie verboten ist dann ist die sache relativ klar und es dürfen natürlich auswertungen bzw. kontrollen durchgeführt werden.
wenn sie allerdings erlaubt oder aber geduldet ist dann sieht es schon anders aus. dann kommt nämlich nicht nur das bdsg zur anwendung sondern auch das tkg. §85 tkg beschäftigt sich mit dem fernmeldegeheimnis. anbei ein auszug aus dem leitfaden zur nutzung von internet und email in unternehmen des bitkom verbandes:
schnipp------------------------------------------------------
§ 85 TKG bestimmt, dass ?der Inhalt der Telekommunikation und ihre näheren Umstände,
insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang
beteiligt ist oder war? dem Fernmeldegeheimnis unterliegen. Zu diesem Fernmeldegeheimnis haben das Bundesverfassungsgericht und das Bundesarbeitsgericht Grundsätze für die Telekommunikation mittels Telefon entwickelt, die auf die Telekommunikation mittels Internet/Email übertragen werden können. Da durch das Fernmeldegeheimnis jede Art der Telekommunikation geschützt ist, werden auch alle Inhalts- und Verbindungsdaten, die Auskunft über die am Internet-/Emailaustausch Beteiligten geben könnten, vor einer Preisgabe geschützt. Aus einer Analogie zu der Rechtsprechung bzgl. der Telefonüberwachung lässt sich herleiten, dass auch die Installation von Überwachungssystemen für die Internetnutzung in das allgemeine Persönlichkeitsrecht bzw. Fernmeldegeheimnis eingreift. Da über die Installation einer Firewall oder eines entsprechenden Protokollierungsprogramms je nach Programmierung die Verbindungsdaten und evtl. die Inhalte der Internet- und Emailnutzung aufgezeichnet werden, ist die Überwachung der Inhalte und Verbindungsdaten der Internet-/Emailnutzung daher unzulässig, soweit keine Rechtfertigung für diesen Eingriff vorliegt. Trennt der Arbeitgeber eine erlaubte private Kommunikation nicht von der dienstlichen Kommunikation, so erstreckt sich die Geheimhaltungspflicht auch auf dienstliche Emails. Eine Aufhebung des Fernmeldegeheimnisses durch eine Betriebsvereinbarung ist nicht möglich.
schnapp-------------------------------------------------------------
die in dem artikel angesprochene rechtfertigung für einen eingriff gilt übrigens nicht weil der chef halt gern mal wissen will was seine angestellten so versurfen. ich kann nur jedem raten im unternehmen eindeutig den privaten einsatz von internet genau zu regeln.
wenn sie verboten ist dann ist die sache relativ klar und es dürfen natürlich auswertungen bzw. kontrollen durchgeführt werden.
wenn sie allerdings erlaubt oder aber geduldet ist dann sieht es schon anders aus. dann kommt nämlich nicht nur das bdsg zur anwendung sondern auch das tkg. §85 tkg beschäftigt sich mit dem fernmeldegeheimnis. anbei ein auszug aus dem leitfaden zur nutzung von internet und email in unternehmen des bitkom verbandes:
schnipp------------------------------------------------------
§ 85 TKG bestimmt, dass ?der Inhalt der Telekommunikation und ihre näheren Umstände,
insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang
beteiligt ist oder war? dem Fernmeldegeheimnis unterliegen. Zu diesem Fernmeldegeheimnis haben das Bundesverfassungsgericht und das Bundesarbeitsgericht Grundsätze für die Telekommunikation mittels Telefon entwickelt, die auf die Telekommunikation mittels Internet/Email übertragen werden können. Da durch das Fernmeldegeheimnis jede Art der Telekommunikation geschützt ist, werden auch alle Inhalts- und Verbindungsdaten, die Auskunft über die am Internet-/Emailaustausch Beteiligten geben könnten, vor einer Preisgabe geschützt. Aus einer Analogie zu der Rechtsprechung bzgl. der Telefonüberwachung lässt sich herleiten, dass auch die Installation von Überwachungssystemen für die Internetnutzung in das allgemeine Persönlichkeitsrecht bzw. Fernmeldegeheimnis eingreift. Da über die Installation einer Firewall oder eines entsprechenden Protokollierungsprogramms je nach Programmierung die Verbindungsdaten und evtl. die Inhalte der Internet- und Emailnutzung aufgezeichnet werden, ist die Überwachung der Inhalte und Verbindungsdaten der Internet-/Emailnutzung daher unzulässig, soweit keine Rechtfertigung für diesen Eingriff vorliegt. Trennt der Arbeitgeber eine erlaubte private Kommunikation nicht von der dienstlichen Kommunikation, so erstreckt sich die Geheimhaltungspflicht auch auf dienstliche Emails. Eine Aufhebung des Fernmeldegeheimnisses durch eine Betriebsvereinbarung ist nicht möglich.
schnapp-------------------------------------------------------------
die in dem artikel angesprochene rechtfertigung für einen eingriff gilt übrigens nicht weil der chef halt gern mal wissen will was seine angestellten so versurfen. ich kann nur jedem raten im unternehmen eindeutig den privaten einsatz von internet genau zu regeln.
