drummelbummel
Goto Top

Berufspflichten eines Administrators

Wie weit darf ein Administrator sich einen Überblick über Daten im Netzwerk verschaffen?
Ist das dann "rumschnüffeln" oder ein Teil seiner Aufgaben?

Als Admin prüfe ich regelmäßig die Daten auf den Laufwerken. Sehr oft werden diese z.B. falsch gespeichert, obwohl der Arbeitgeber klare Richtlinien herausgegeben hat.
Nun habe ich herausgefunden, dass private Schreiben von Führungskräften von den Sekretariaten auf frei zugänglichen Shares abgelegt wurden und das dem Arbeitgeber gemeldet.

Jetzt wirft man mir vor, ich würde herumschnüffeln und das sehe ich schon als einen gewaltigen Vorwurf.

Aus meiner Sicht muss ich darauf achten, ob Daten richtig abgelegt wurden. Das ist doch auch eine Frage des Datenschutzes, oder?
Und wenn ich mir keinen Überblick über die Daten machen darf, wie soll ich dann z.B. ein Datensicherungskonzept erstellen, überwachen und bei Bedarf ändern?

Wäre lieb, wenn ihr dazu etwas zu sagen hättet.

Passend fand ich einen Spruch an anderer Stelle im Forum: "Willkommen in der Hölle".

Gruß

G.

Content-ID: 131561

Url: https://administrator.de/contentid/131561

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

LatinoZH
LatinoZH 12.12.2009 um 18:22:55 Uhr
Goto Top
Ganz einfach, du machst die GL auf dich Sicherheitsriesiken aufmerksam.
Mit dem Satz, sollten deine Warnungen ignoriert werden,
so übernimmst du keine Verantwortung mehr über mögliche Datenmissbräuche.

Es wird sicherlich keine 24h gehen, bis diese darauf reagieren.
Denn keine Sau, will deine Verantwortung als IT Admin übernehmen.

Das leben ist Hart, doch wie sagt man so schön. Don't fuck the Admin.
Wer will sonst, diesen undankbaren Job übernehmen face-wink hehe
filippg
filippg 12.12.2009 um 18:34:53 Uhr
Goto Top
Hallo,

die Antwort darauf ist etwas von den bei euch geltenden Regelungen abhängig, und wir sind alle keine Rechtsanwälte (dürfen also auch keine Rechtsberatung erteilen). Aber grundsätzlich bist du als Administrator für die technischen Prozesse zuständig, nicht für die organisatorischen. Um das auf das Datensicherungskonzept zu beziehen: bei euch im Haus wird definiert, welche Daten wie gut verfügbar zu sein haben. Dann wird ein Konzept erstellt, wie das gewährleistet werden kann. Abhängig davon wird definiert welche Verzeichnisse/Server/DBs auf welche Art und Weise zu Backupen sind. Du (oder dein Chef) bist nun dafür verantwortlich, dass diese Verzeichnisse tatsächlich so gesichert werden. Das ist ein technischer Prozess. Das die Leute ihre Daten aber tatsächlich auf geeignete Art ablegen ist eine rein organisatorische Frage. Damit hat die IT-Administration nichts zu tun (so lange nicht etwa der IT-Betrieb gefährdet wird, etwa weil die Nutzer gigabyteweise Daten in Shares ablegen, die nur für kleine Datenmengen gedacht sind). In sofern halte ich den dir gemachten Vorwurf für nicht ungerechtfertigt.
Handelt es sich um private Daten (wie du schreibst), so bist du zur Einsichtnahme noch weniger berechtigt.

Gruß

Filipp
LatinoZH
LatinoZH 12.12.2009 um 18:39:14 Uhr
Goto Top
Jep Private Daten sind Tabu face-smile "Datenschutzgesetz".
Auch Lohnlisten usw gehen dich als Admin nichts an!!!

Jedoch so wie ich verstanden habe. Sind sensible Daten auf einen öffentlichen Ordener gelandet.
Das darf nicht sein und muss richtig gestellt werden!


Zitat von @filippg:
Hallo,

die Antwort darauf ist etwas von den bei euch geltenden Regelungen abhängig, und wir sind alle keine Rechtsanwälte
(dürfen also auch keine Rechtsberatung erteilen). Aber grundsätzlich bist du als Administrator für die technischen
Prozesse zuständig, nicht für die organisatorischen. Um das auf das Datensicherungskonzept zu beziehen: bei euch im Haus
wird definiert, welche Daten wie gut verfügbar zu sein haben. Dann wird ein Konzept erstellt, wie das gewährleistet
werden kann. Abhängig davon wird definiert welche Verzeichnisse/Server/DBs auf welche Art und Weise zu Backupen sind. Du
(oder dein Chef) bist nun dafür verantwortlich, dass diese Verzeichnisse tatsächlich so gesichert werden. Das ist ein
technischer Prozess. Das die Leute ihre Daten aber tatsächlich auf geeignete Art ablegen ist eine rein organisatorische
Frage. Damit hat die IT-Administration nichts zu tun (so lange nicht etwa der IT-Betrieb gefährdet wird, etwa weil die Nutzer
gigabyteweise Daten in Shares ablegen, die nur für kleine Datenmengen gedacht sind). In sofern halte ich den dir gemachten
Vorwurf für nicht ungerechtfertigt.
Handelt es sich um private Daten (wie du schreibst), so bist du zur Einsichtnahme noch weniger berechtigt.

Gruß

Filipp
drummelbummel
drummelbummel 12.12.2009 um 18:44:58 Uhr
Goto Top
Danke Filipp,

das bestätigt meinen Verdacht.

Dennoch - wie soll die organisatorische Frage je auffällig werden, wenn ich das Problem nicht erkenne und melde?

Ich suche ja nicht speziell nach solchen Daten. Ich bemerke eben dieses Problem im Rahmen meiner technischen Tätigkeit.

Würde ich den Vorgesetzten nicht aufmerksam machen, würde ich doch auch eine Pflichtverletzung begehen?

Egal was ich mache - es ist falsch?

By the way - die "organisatorische Leitung" hat weder ein Gefühl für diese Probleme noch technische Ahnung.
Die würden das Problem nie erkennen.

Gruß

G.
n.o.b.o.d.y
n.o.b.o.d.y 12.12.2009 um 19:43:34 Uhr
Goto Top
Hallo,

ich sehe das auch etwas differnzierter, nur weil ein Admin an alle Daten kommt/kommen muß, heißt das nicht, dass er dieses auch tun muß. Es ist immer einr Gradwanderung. Um z.B. die Shares zu überwachen und eben auch die Datensicherung, reicht es in der Regel die das Dateivolumen in den Verzeichnissen zu sichten, aber nicht deren Inhalt.

Ich an deiner Stelle würde noch mal das offene Gespräch suchen und der GF erklären warum und wieso du das getan hast und das Du eben nicht geschnüffelt hat. Erkläre denen die Hintergründe warum wir Admins uns machmal in Tabuverzeichnisse klicken müssen (Stichwort DaSi). Das das zu unserem Job gehört und es nun mal so ist, dass wir mehr sehen können als alle anderen im Betrieb, meist auch als die GF. Das ist num mal so. Aber wenn das Vertrauensverhältnis zum Admin angeschlagen ist, wird es meist schwer noch seinen Job richtig machen zu können, wenn einem immer das Damoklesschwert im Genick schwebt.
filippg
filippg 12.12.2009 um 19:57:20 Uhr
Goto Top
Hallo,

Dennoch - wie soll die organisatorische Frage je auffällig werden, wenn ich das Problem nicht erkenne und melde?
Das ist nicht dein Problem, dafür hat die GF zu sorgen.
Natürlich könnte die GF dich beauftragen, die Umsetzung zu kontrollieren. In dem Falle wäre dann im allgemeinen auch sie, und nicht du, bei Datenschutzverstößen etc verantwortlich, du bist also auf einer relativ sicheren Seite. Ganz fein raus ist man übrigens, wenn man in dem Unternehmen einen Datenschutzbeauftragten hat. Mit dem kann man das alles beschnacken, und wenn er einem ein Verhalten als "Datenschutzrechtlich unbedenklich" bescheinigt kann man sich darauf im Zweifelsfall berufen.

Ich suche ja nicht speziell nach solchen Daten. Ich bemerke eben dieses Problem im Rahmen meiner technischen Tätigkeit.
Wie "bemerkt" man, dass A private Daten von B in einen Ordner x legt?
Würde ich den Vorgesetzten nicht aufmerksam machen, würde ich doch auch eine Pflichtverletzung begehen?
M. E. nach ist niemand verpflichet zu petzen. Du bist noch nichtmal verpflichtet eine Straftat, die du bemerkst, anzuzeigen. Geschweige denn einen verstoß gegen interne Vorschriften. Anders ist es, wenn diese in einen Bereich Fallen, für den du explizit verantwortlich bist - das sagt ja genau der Begriff.
Daneben kann man soetwas auf verschiedene Arten melden. Entweder unter Nennung von A, B und x oder in der Form "Bei technischen Kontrollen ist der Anschein entstanden, dass Daten falsch klassifiziert, und daher nicht dem Datenschutzkonzept entsprechend abgelegt werden. Ich würde dringend empfehlen, die Mitarbeiter hier zu sensibilisieren".

Gruß

Filipp
drummelbummel
drummelbummel 12.12.2009 um 22:54:07 Uhr
Goto Top
Nun, dann muss ich noch ein wenig weiter ausholen. Bitte nicht deswegen schimpfen - ich wollte das Problem möglichst auf den Punkt bringen.

Ich habe bei diesem Auftraggeber mehrere Rollen.

Ich bin IT-Leiter, Berater und Admin in einem.

Das Konzept der Datenablage habe ich eingeführt, um damit einen reibunglsosen Ablauf, auch über mehrere Standorte hinweg, zu ermöglichen.

Es gibt ein persönliches Laufwerk, Ordner für (Chef - Sekretariat), Ordner für Teams und ein Laufwerk für Daten, die grundsätzlich jeder bearbeiten / sehen darf.

Wenn ich also als Admin tätig bin, habe ich auch die Rolle des Beraters und des IT-Leiters.

Ich prüfe regelmäßig die Datensicherung und auch z.B. die Art und Menge der Dateien. Auch, ob die Daten richtig gespeichert werden.
Dabei habe ich bemerkt, dass Dateien - schon am Namen erkennbar - eher private Inhalte hatten und sicher auf dem allgemeinen Laufwerk nichts zu suchen hatten.

Das Problem ist, dass der Auftraggeber selbst sich um nichts kümmern möchte und für nichts verantwortlich sein will.

Deshalb berichte ich Probleme an den "Vorgesetzten". Dessen erste Frage ist immer: "machen Sie konkrete Beispiele".
Also musste ich ihm auch sagen, was ich wo gefunden habe.

Er hat diese Angelegenheit als so wichtig eingestuft, dass er die Mitarbeiter in einem Rundmail darauf aufmerksam gemacht hat.

Nun meldet sich ein anderer "Vorgesetzter" (gleiche Hierarchiestufe / Machtposition) mit dem Vorwurf ich hätte geschnüffelt.

Das "Willkommen in der Hölle" passt in meinem Fall wirklich.

Es gibt keine Vorgaben, keine Regeln und niemanden, der hinte mir steht. Ich will nicht jammern - so ist eben der Job.

Aber rein rechtlich ist man immer angreifbar.
Ich bin übrigens auch der, der schon seit Jahren darauf drängt, einen Datenschutzbeauftragten einzusetzen.

Ich gebe dir, Filipp, recht.

Aber ganz ehrlich - ich lebe in einer realen Welt. Ich kann in Sekunden in einem Verzeichnis "Auffälligkeiten" bemerken. Dazu muss ich wahrhaftig in meiner Rolle als Admin nicht schnüffeln. Als IT-Leiter würde ich normalerweise mit den Betroffenen sprechen - aber ich habe dafür keine Berechtigung. Also muss ich als Berater mit dem Auftraggeber darüber sprechen.

Der steht aber im Zweifel immer hinter seinen Kollegen und nicht hinter mir.

By the way - es gibt eine vertragliche Vereinbarung, in der meine Tätigkeit beschrieben ist. Wenn aber solche Details zur Sprache kommen - so detailliert ist der Vertrag eben nicht. Es steht nicht explizit drinnen, dass ich das Recht / die Pflicht habe, dem Kunden Probleme mit dem Datenschutz mitzuteilen.

Wie beurteilt ihr diese, nun konkretere Situation?

Gruß

G.
sia1984
sia1984 12.12.2009 um 23:52:34 Uhr
Goto Top
Also meiner Meinung nach reagiert der Mensch, der sich beschwert, vollkommen falsch. Du hast ja nicht umsonst den Zugriff auf alle Daten, da du ja den reibungslosen Ablauf und die Sicherheit mit den technischen Systemen gewährleisten musst. Da letztendlich du derjenige bist, der bei einem Datenleck zur Verantwortung gezogen wirst, hast du eben auch meiner Meinung nach die Pflicht (nicht rechtlich, sondern logisch), solche Dinge zu melden. Wenn das in einem öffentlichen Share liegt, haben auch die anderen Mitarbeiter normalerweise die Pflicht, der betreffenden Person Meldung zu erstatten.
Du kannst den Nörgler ja auch mal fragen, ob du das tolerieren sollst und er dann dafür die Verantwortung übernimmt. Dann ist er bestimmt etwas leiser.
Chibisuke
Chibisuke 13.12.2009 um 02:30:38 Uhr
Goto Top
Verzwickte Situation...
Wärst du "nur" Admin wär die Sache einfach. Admins können alles sehen aber sind gleichzeitig "blind", sie wissen nur dass etwas da ist, aber das wer-wie-was etc interessiert sie nicht und geht sie auch nix an. Ich kann als Admin z.B. nur feststellen dass ein User mehrere GB in seinem Homelaufwerk bunkert und ihn darauf hinweisen dass er doch bitte etwas aufräumen soll. Hineinschauen und feststellen dass er dort seine MP3-Sammlung lagert wäre hingegen tabu.

Durch deine - ja anscheinen nicht allzu ausführlich festgelegte - Berater- und Leiter-Rolle hast du dann das Problem dass du von denen her die Daten überprüfen sollst, das aber deiner Admin-Tätigkeit widerspricht.

Wenn sie dir jetzt den schwarzen Peter des "Schnüfflers" zuschieben wollen seh ich eigentlich nur eine sinnvolle Lösung: Beschränk deine Tätigkeit auf die reine Admin-Funktion bzw. auf die Teile des Vertrags die eindeutig und vor allem widerspruchsfrei zum Administratorposten sind und verlang für die restlichen Punkte Klärung und Konkretisierung. Wenn du nur das tust was explizit im Vertrag steht kann dir keiner unterstellen dass du schnüffelst oder etwas unerlaubtes/unerwünschtes tust.
drummelbummel
drummelbummel 13.12.2009 um 08:31:48 Uhr
Goto Top
vielen Dank für eure Hinweise.

Damit kann ich jetzt noch einmal in mich gehen, um die verschiedenen Aspekte meiner Tätigeit neu zu bewerten.

Das "beschränk' dich auf die Admin Tätigkeit" habe ich auch schon einmal versucht. Da aber der Kunde keinerlei Aufgaben vergibt bzw. vergeben möchte, hätte ich nur wenig zu tun. So gibt es keine Anweisung, die Datensicherung zu prüfen. Es gibt einfach gar keine Anweisung. Da bliebe nicht viel, wäre da nicht der IT-Leiter in mir, der die Kontrolle der Dasi für sehr wichtig hält.

Frage ich immer wieder nach, ob und wann ich etwas tun soll, reagiert man genervt, weil man für solche Kleinigkeiten keine Zeit hat.
Nutze ich dagegen ein Wartungsfenster in der Mittagspause, um ein Update einer wichtigen Anwendung einzuspielen, beschwert man sich darüber, ich würde den Betriebsablauf stören. So könnte ich noch lange weiter machen.

Wäre das nicht ein sehr, sehr guter Kunde in Bezug auf die Bezahlung, wäre ich schon lange weg.
Aber so viele Angebote gibt es nun auch wieder nicht.

Da bleibt nur "Augen zu und durch". Aber zumindest will ich nicht angreifbar sein und bleiben.

Gruß

G.
whatever
whatever 14.12.2009 um 11:10:34 Uhr
Goto Top
Zitat von @drummelbummel:
Nun meldet sich ein anderer "Vorgesetzter" (gleiche Hierarchiestufe / Machtposition) mit dem Vorwurf ich hätte
geschnüffelt.


Hallo.

Ich würde mir einfach meinen Chef und den "anderen Vorgesetzten" (Mr. Schnüffelvorwurf) schnappen und um ein Gespräch zu dritt bitten.
Dabei lässt sich oft einiges besser erklären und darstellen, außerdem ist dann schon mal die erste emotionale Luft raus.
Letztendlich müssen sich dann eh die beiden Vorgestzten einigen, was Du denn nun machen sollst oder eben nicht. Du kannst dabei "nur" beratend zur Seite stehen.
Wenn keiner will, dass Du überprüfst, ob sich alle an die Vorgaben (Abspeichern, Datenstruktur, etc.) halten, solltest Du den beiden klipp und klar sagen, dass dann auch die Verantwortung dafür woanders liegen muss und Du auch nicht den Müllmann spielen wirst.

Oder wenn Dir das alles zu blöd ist, gehst Du einfach eine Stufe höher in der Hierarchie. face-smile
Ich hätte meine Spaß damit, aber ich kann durchaus verstehen, wenn Dir sowas nicht liegt und Du keinen Stress möchtest.
manbar
manbar 14.12.2009 um 11:17:49 Uhr
Goto Top
Mal ne Frage in die Runde:

weiss jemand wie es sich mit Dateinamen und Datenschutz verhält?
Technisch gesehen verstößt man doch nicht gegen den Datenschutz bei einer Dateiauflistung, oder?

ich mein eine Dateiname ist doch nichts anderes als eine "Aktenbeschriftung"..

und wieviele Daten ich in der beschriftung Ablege ist doch eh Nutzerabhängig..

ob ich die datei "vorgang hr mueller sep09.odf" nenne, oder "schreiben fristlose kuendigung mueller aus der entwicklung wegen diebstahl im september 09.odf" macht ja vom "Erkentnissgrad" schon nen Unterschied. nichts desto trotz muss man ja mal Directorys listen als Admin.
whatever
whatever 14.12.2009 um 11:38:48 Uhr
Goto Top
So lange Du nicht den Inhalt liest - sofern es Dir nicht erlaubt wurde - weißt Du ja nicht wirklich, was in den Dateien drin steht und stellt somit auch keine Verletzung dar.
Natürlich landest Du bei Deinem Beispiel sicherlich einen Treffer, wenn Du raten solltest wem da gekündigt wird, aber wie das Schreiben wirklich aussieht bleibt Dir verborgen. Wer alle Infos schon in den Dateinamen verpackt, sollte sich halt nicht wundern, wenn alle darüber Bescheid wissen, obwohl niemand die Datei angelangt hat.

Abgesehen davon muss Dir die Geschäftsführung eh eine Menge Vertrauen entgegenbringen, wenn Du der Domainadmin bist und somit auf alle Daten zugreifen kannst. Darüber hinaus sollte natürlich schriftlich erfasst sein, was Du öffnen oder eben nur anfassen (verschieben, kopieren für's Backup) darfst. Ob Du das Vertrauen dann missbrauchst und Dir dadurch evtl. mächtig Ärger einhandelst, muss Du Dir selber überlegen. Aber der Buchhaltung, die auf alle Gehaltskonten der Mitarbeiter Zugriff hat, geht es ja nun auch nicht anders, oder?!
NichtDieMama
NichtDieMama 14.12.2009 um 12:47:29 Uhr
Goto Top
Ich denke, daß Du die Dateien nicht hättest öffnen dürfen. Und eigentlich geht's Dich auch nichts an, ob das Dokument XYZ mit Inhalt ABC auf dem Share 1 oder 2 gespeichert wird. Wenn überhaupt, dann wäre es wohl besser gewesen, die Info "Verdacht der unsachgemäßen bzw. unsicheren Ablage" weiterzuleiten.
Und wegen der rechtlichen Grauzone: kicke Dich soweit als möglich aus den Inhalten raus. Ich habe eigene GL-Shares eingerichtet, auf die ich keinen Zugriff mehr habe und auch nicht haben möchte (Datensicherung und -wartung sind von diesen Bereichen dann logischerweise auch ausgenommen).
Mike-M
Mike-M 14.12.2009 um 13:07:26 Uhr
Goto Top
Und wegen der rechtlichen Grauzone: kicke Dich soweit als möglich aus den Inhalten raus. Ich habe eigene GL-Shares eingerichtet, auf die ich keinen Zugriff mehr habe und auch nicht haben möchte (Datensicherung und -wartung sind von diesen Bereichen dann logischerweise auch ausgenommen).

Das ist gut und recht. Aber wenn das alles schon eingerichtet ist und die GF's, aus was für Gründe immer, ihre Dateien in allgemein zugänglichen Ordner verstauen, dann sind sie selber Schuld. Natürlich müssen private Ordner und Ordner die nur bestimmten Personen zugänglich sind angelegt werden.

Soviel ich verstanden habe, stehen diese Dokumente im "public" Bereich. Wenn du ein pflichtbewuster Admin bist, musst du deine GF's darauf aufmerksam machen. Wenn dann einer blöd tut, dann soll er dir sagen wie du dich verhalten sollst, wenn dir so etwas auffällt. Wie sollst du im "Publicbereich" wissen, ohne zu öffnen, was privat ist oder Firmenrelevant?

Ein guter Rat. Bemühe dich schleunigst um definierte Regeln in deinem Bereich, die du mit den GF's erarbeitest und dann schriftlich niederlegst. Ansonsten begibst du dich auf sehr dünnes Eis.

Admin

Mike
NichtDieMama
NichtDieMama 14.12.2009 um 13:18:04 Uhr
Goto Top
@mike: "Öffentlich" heißt in dem Kontext nicht, "jeder darf reinschauen". Deswegen gibt's ja das ganze Datenschutz-Gezeter (nicht alles was (technisch) machbar ist ist auch erlaubt). Ich glaube, daß ein Administrator IN den Firmen-Dateien nichts verloren hat - Logs und anderes was zur Admin-Tätigkeit notwendig ist natürlich außen vor.
Mike-M
Mike-M 14.12.2009 um 13:53:24 Uhr
Goto Top
@NichtDieMama

Da gebe ich dir voll und ganz recht. Aber wenn die GF's in Bereiche abspeichern, die mehrere Personen, auch welche denen es nichts angeht, benutzen dürfen, dann sollten sie sich nicht wundern wenn ihr "Datenschutz" löchrig wird.

Ich wollte nur darauf aufmerksam machen, daß es für den Admin besser ist mit den GF's gewisse Regeln zu erstellen, und diese natülich neiderschreiben, an die sich beide zu halten haben. Bei uns ist das so gergelt, daß die Leute die in diesem Ordner Rechte haben alles lesen dürfen. Wenn ich keine Rechte darauf habe, auch als Admin, dann habe ich die Finger davon zu lassen. Wenn ich in Ordner sehen muss auf die ich keine Rechte habe, dann muss ich mit Absprache der GF's mir die Rechte explicit geben. Also für Accounts die ständig Zugriff haben müssen (Backup), werden eigene angelegt die für nichts anderes verwendet werden.

Es sollten die Leute (man kann das ihnen auch klar machen, und es funktioniert) auch ihren "Kopf" benutzen was sie wo abspeichern.

Aber wie heisst es so schön: Nur Dumme halten Ordnung, ein Genie beherrscht das Chaos.

Mike
teflon
teflon 14.12.2009 um 14:50:08 Uhr
Goto Top
Hallo drummelbummel,

so ganz einfach hat das ein Admin sicher nicht. Das geht sicher auch aus den hier geschriebenen Antworten hervor.

Vielleicht kann ich das Ganze noch einmal von einer anderen Seite beleuchten.

Ausgehend von Deinen Aufgaben (Berater, IT-Leiter, Admin) kann erst einmal festgestellt werden dass dies eine ziehmlich normale Konstallation ist. Als Betreiber ist man auch immer ein Stück Berater. Als Berater ist man auch (wenigstens zu Beginn) ein Stück Betreiber.

Je frischer die Umsetzung des geplanten Konzeptes ist, desto Einfacher sollten die Probleme !!!kommunizierbar!!! sein und sich der Vorfurf der Schnüfflei aus der Welt schaffen lassen. Denn gerade zu Beginn sollte auch überprüft werden ob ein Konzept verstanden worden ist oder nicht.
Die sollte sich aber, wie bereits geschrieben, auf die Namen von Dateien beschränken. Da sich einem der Inhalt nicht erschließt, kann man also auch immer nur bei dem entsprechenden Eigentümer !!!nachfragen!!!, ob die Datei an diesem Ort wohl gut aufgehoben ist oder nicht. Eine sichere Aussage kann nur der Erzeuger der Datei abgeben, Der Administrator kann dies nicht, da er den Inhalt nicht kennen !!!kann!!!. (Es sei denn, er schnüffelt!)

Wird vom Admin nicht gefragt sondern festgestellt, dann ist hier aus meiner Sicht schon einmal keine besondere Sensibilität für die Thematik vorhanden. Bei einer Feststellung kann der Erzeuger der Datei mit einigem Rech davon ausgehen, das hier reingeschaut wurde. Das ist dann immer eine schlechte Voraussetzung für weiter Gespräche.

Geht es um die Datensicherheit und gibt einen Vorfall, dann wird oft gefragt: "Wie konnte das passieren?" und "Warum hat der Eine oder Andere nichts gesagt?".

Die Gesamtverantwortung hat immer der/die GF! Dies ist Verbunden mit entsprechenden Kontrollpflichten.
Diese muss die GF im Zweifelsfall auch nachweisen können.

Da geht erst einmal nix dran vorbei.
Bei Problemen wird untersucht werden, ob der Job des Admin nach den Regeln des Unternehmens (Sicherheitspolicy) oder nach allgemein anerkannten Regeln ((Standards, Datensicherheit ISO27001) gemacht wurde. Nur bei sehr grob fahrlässigen oder mutwilligen Vergehen wird man den Admin juristisch belangen.
Alles Andere, so würde ich es bewerten, liegt in der Verantwortung der GF.

Sollte der Admin bei der Arbeit zufällig auf Dinge stoßen die für den Fortbestand des Unternehmens oder für die Sicherheit bedeutender Informationen, den Betriebsfrieden, etc. ..., nach seiner Einschätzung, eine Gefahr darstellen, so sollte er eine entsprechende Anfrage an die GF oder den/die Bereichsleiter stellen. Dies natürlich unverzüglich! Wenn per Telefon, so im Anschluß daran dies entsprechend Dokumentieren und auch die Handlungsanweisungen mit festhalten und bestätigen lassen.
"Wie eben miteinander besprochen ... bla bla"

Bei nicht so wichtigen Dingen immer an den Dateneigentümer wenden - auch immer schriftlich !!!anfragen!!!.

Nicht vergessen, der Admin ist ein Dienstleister! Wenn also jemand seine Fenster nicht geputzt haben will,
dann auch nicht drauf rum rubbeln! face-wink

Beachtet der Admin dies, so denke ich, hat er seiner Pflicht genüge getan. Er kann in jedem Fall nachweisen auf Verstöße gegen Richtlinien oder Gefahren bezüglich der Datensicherheit, im Rahmen seiner Möglichkeiten, aufmerksam gemacht zu haben.

Gruß
Teflon
CyberHaderach
CyberHaderach 14.12.2009 um 15:34:00 Uhr
Goto Top
Das hauptsächliche Problem ergibt sich in der Tat daraus, dass es keine Regelungen im Unternehmen dazu gibt.
Daraus lässt sich ableiten, dass so ziemlich alles erlaubt ist.
Und daraus wiederum ergibt sich, dass die Rechte bei den Nutzern liegen und alles so gehandhabt werden muss als wäre es privat.

Es ist dem Admin in einem solchen Szenario nicht gestattet sich Kenntnis über diese Informationen zu verschaffen.
Speziell im bereich Mail und Internetnutzung ist man hier ganz schnell im Strafrecht und mit 2-5 Jahren Haftstrafe bedroht (Stichwort Fernmeldegeheimnis).

Aus dem Datenschutz ergibt sich ähnliches.

Ich weiß dass ich mir in diesem Forum damit keine Freunde mache face-wink , aber streng genommen dürfte es, selbst wenn es Regelungen gibt,
aus datenschutzrechtlicher Sicht den allmächtigen Admin nicht geben. Da müssen geteilte Passwörter und Loggingfunktionen her.
Der Admin ist "nur" Erfüllungsgehilfe ohne besondere Rechte.
Ich weiß aber auch dass das in der Praxis anders aussieht und oftmals auch kaum anders handhabbar ist.

Dein Weg also: lass dich nicht auf Grabenkämpfe zwischen den beiden "gleichberechtigten" Entscheidern ein.
Formuliere deine Aufforderung schriftlich, dass Du zu Erfüllung deiner Aufgaben ein verbindliches Regelwerk für alle Nutzer willst
aus der sich auch deine Rechte und Pflichten ergeben. Verweise dabei auf deinen unsicheren Status nach dem TKG, TMG und BDSG und
dass du nicht rechtssicher für den ordnungsgemäßen Betrieb der Anlagen sorgen kannst.
templier
templier 14.12.2009 um 15:57:48 Uhr
Goto Top
Hi drummelbummel,

also ich bin jetzt schon 20 Jahre im Geschäft und meiner Ansicht nach hast Du falsch gehandelt.

Denn erstens obliegt es nicht an Dir Daten als "privat" oder "nicht privat" einzustufen sondern dem welcher die Daten ablegt.
Zweitens hat man nicht anderer Leute Daten zu sichten, auch nicht beim Verdacht eines "Verstosses" hier bist Du rechtlich gesehen
ganz klar auf der falschen Seite.

Und drittens isses Deine Aufgabe das Netzwerk am laufen zu halten und nicht das Userverhalten zu kontrollieren. Dafür sind die
Leutz selbst verantwortlich und ggf. auch für die Konsequenzen von ihrem "falschem Abspeichern".

Mein Rat:
Mach Deinen Job und übernimm nicht die Rolle eines Detektives oder eines digitalen Wachmannes. Denn dann müsstest auch
Ihre E-Mails (die ja geschäftliche Informationen(Dateien enthalten können), ihre Taschen (könnten ja Datenträger der Firma frinne sein),
etc kontrollieren und das kann und ist bei Gott nicht Deine Aufgabe face-wink

Grüsse an alle
Ralph
drummelbummel
drummelbummel 14.12.2009 um 23:03:55 Uhr
Goto Top
Nun gibt es ja doch schon einige konkrete Hinweise, für die ich dankbar bin.

Ich möchte aber noch einmal erläutern, dass die Ablagestruktur deshalb eingeführt wurde, damit bestimmte (für alle verfügbare,rein tätigkeitsorientierte) Daten nach einiger Zeit archiviert werden können. Obwohl schon einige Zeit in's Land gegangen ist, klappt das mit der Ablage nicht so, wie es die Unternehmensleitung ja auch beschlossen und kommuniziert hat.

Wenn nun niemand das Recht hat, sich über die Ordner und Dateinamen einen Überblick zu verschaffen (ich meine damit nicht das Öffnen von Dateien !!!), wie soll man je feststellen können, ob die Anweisungen auch umgesetzt werden?

Wenn ich mit Maschinen bestimmte Bauteile produziere, habe ich nicht nur die Möglichkeit, sondern auch die Pflicht, die Qualität der Teile zu prüfen. In einem Unternehmen, welches "digitale" Produkte in Form von Dokumenten mit Inhalten herstellt, könnte ich das nach der allgemein hier aufgeführten Meinung nicht tun.
Im Grunde könnte ich nur den Mitarbeiter ansprechen, dass seine Teile "komisch" aussehen und ob er nicht mal prüfen will, ob er noch Qualität erzeugt. Dem Chef dürfte ich das nicht melden?

Auf der anderen Seite zertifiziert sich z.B. dieses Unternehmen nach DIN/ISO. Dort werden ja auch die "Spielregeln" für die Ablage festgelegt. Aber prüfen dürfte ich das dann nicht?

Jede Form von Qualität setzt doch auch eine Prüfung nach der Einhaltung von Standards mit ein?

Zu dem Thema "private E-Mails" bzw. "Surfen während der Arbeit" gibt es schon ausreichend Quellen.

Aber zum Thema "Qualitätssicherung digitaler Systeme" habe ich noch nicht viel gefunden. Hier steht man doch immer mit einem Bein im Knast?

Macht sich ein Mitarbeiter strafbar, wenn er in einem großen Unternehmen auf einem "public share" mal schaut, was da für Dateien liegen ?
Er hat sich den Zugriff nicht verschafft oder erschwindelt?

Auch wenn ich nun von der eigentlichen Frage abkomme - ich würde mich über eure Ansichten freuen.

G.
Mike-M
Mike-M 15.12.2009 um 08:19:47 Uhr
Goto Top
Wie schon öfters gesagt: eindeutige Regeln. Solange man keine eindeutigen Regeln im Umgang mit Ordnern und Dateien erlässt, und diese im Unternehmen publiziert, kommt es immerwieder zu Querelen. Und z.B. öffentlich ist nun mal öffentlich und da darf sich keiner beschweren, daß seine dort abgelegten Dateien gelesen werden.

Im Umkehrschlus: Privat ist Privat. Da hat auch ein Admin nicht das Recht auch nur Einsicht zu nehmen. Außer es droht eine Gefahr (z.B. durch Viren) für die Firma. Dann aber nur in Absprache der Chef's oder Geschäftsleitung oder wenn es ganz gut ist dem Datenschutzbeauftragten.


Mike
madsmd
madsmd 15.12.2009 um 08:56:03 Uhr
Goto Top
Hallo,

das klingt für mich nach einem klassischen Interessenkonflikt bei deinen Aufgaben.

Die Aufgaben des Administrators, IT-Sicherheitsbeauftragten und Datenschutzbeauftragten sollten eigendlich immer strikt getrennt sein.
So ist es nur eine Frage der Zeit bis genau soein Problem eintritt.

D.h. der Administrator kann aber darf nicht schnüffeln. Er kann bei dem Verdacht eines Verstoßes allerdings den IT-SiBe oder den Datenschutzbeauftragten hinzuziehen. Die dürfen nämlich unter bestimmten Vorraussetzungen, aber können es normalerweise nicht, da die Adminrechte fehlen.

Z.b. wenn du mitbekommst das jemand neuerdings ein Userprofil 10 GB groß ist und dir durch euer Antiviren Tool stäntig Meldungen von dort kommen, kannst du einfach den IT-SiBe informieren, dieser wird dann den Datenschutzbeauftragen Informieren und mit dir zusammen in den Ordner schauen was da drinnen liegt.

Du solltest den GF das Problem klarmachen und dich von einigen Aufgaben trennen.

Bewährt hat sich die Aufteilung so, dass der IT-Leiter die Aufgaben des IT-SiBe wahrnimmt, hat somit keine Administratorrechte. Die Mitarbeiter der IT-Abteilung sind die Administratoren und der Leiter der Personalabteilung ist der Datenschutzbeauftragte , da dieser eh mit sensiblem Daten arbeitet.

Aber da in deinem Fall die Daten in einer öffentlichen Freigabe waren kann sich niemand beschweren.
Es ist einfach ein Verstroß gegen das Datenschutzkonzept, der zufällig bemerkt wurde und die Firma kann froh sein das dadurch kein weiterer Schaden entstanden ist.

lg
16568
16568 15.12.2009, aktualisiert am 18.10.2012 um 18:40:21 Uhr
Goto Top
Zitat von @filippg:
... und wir sind alle keine Rechtsanwälte
(dürfen also auch keine Rechtsberatung erteilen).

Wenn ich den Satz nochmal von Dir lese, dann schreibst Du 100x (und nicht per copy/paste): ich soll nichts falsches schreiben in einem Admin-Forum.

man darf sehr wohl Rechtsberatung geben!
Lesen, verstehen face-wink


Lonesome Walker
16568
16568 15.12.2009 um 09:27:48 Uhr
Goto Top
Mal was anderes, nur so zum Weiterspinnen:

was würde passieren, wenn die Daten in der Freigabe, welche nicht mitgesichert werden, plötzlich weg wären.
Aufgrund irgendeines komischen Festplattenfehlers oder so...?

User erzieht man nicht mit Peitsche, das is learning-by-doing...


Lonesome Walker
Mike-M
Mike-M 15.12.2009 um 09:35:10 Uhr
Goto Top
@lonesome Walker

Dann würde ich dich als Chef umgehend rauswerfen.


Mike
NichtDieMama
NichtDieMama 15.12.2009 um 09:37:34 Uhr
Goto Top
@Walker: Ich hab das mit einem kleiner Sicherungs-Proggi gelöst, welches alle paar Tage den User nervt, eine externe HD anzuschließen um zu sichern. Dessen Log (nur Ausführungsinformationen) wird auf dem Server gesichert und regelmäßig geprüft. Wenn da Lücken sind, gibt's einen schriftlichen Hinweis an den Benutzer. Ich denke, daß dies eine Frage der Gewichtung ist - in meinem Fall liegt der Schwerpunkt auf "darf keiner sehen". Von "Benutzer-Erziehung" halt ich im Laufe der jahre immer weniger. Das muß man machen wie die Auto-Industrie: von ABS über Airbag über Einschlafontrolle über Navi über ESP über Zentralverriegelung, etc pp. Der Autofahrer wird niemals "vernünftiger" oder "besser". Wir müssen seine Umgebung sichern und ihn davon abhalten, Fehler zu machen.
templier
templier 15.12.2009 um 09:43:50 Uhr
Goto Top
Das ist einer der besten Sätze die ich bei all den Meinungen bisher hier gelesen habe, denn das ist absolut richtig face-wink

Zitat von @NichtDieMama:
Wir müssen seine Umgebung sichern und ihn davon abhalten,Fehler zu machen.
madsmd
madsmd 15.12.2009 um 09:45:38 Uhr
Goto Top
Wenn es gewollt ist das Abteilungslaufwerke oder Userprofile mitgesichert werden benötigt der Admin halt die Rechte.
Und wenn bei der durchsicht der Sicherungslogs etwas komisches auffällt und nach einer genaueren Prüfung festgestellt wird das hier irgendwelche Verstöße festgestellt wurden, muss halt der nächste Vorgesetzte informiert werden.
Mike-M
Mike-M 15.12.2009 um 09:56:17 Uhr
Goto Top
@spryvh

Dafür gibt es spezielle Backup Admis, mit denen ich nicht meine tägliche Arbeit mache. Die Logfiles kann ich ja einsehen und nach Fehlern auswerten, aber mein normaler Admin Accout muss kein Recht auf Private ode z.B Personal Ordner haben.

@NichtDieMama

Du hast absolut Recht. Das ist aber gleichzeitig das Problem.

Mike
madsmd
madsmd 15.12.2009 um 10:52:49 Uhr
Goto Top
@Mike-M

ab einer gewissen Firmengröße und verfügbares Personal macht es natürlich auch Sinn die Aufgaben weiter aufzuteilen. Das ist hier aber nicht der Fall. Hier wurden alle Aufgaben in eine einzige Person gestopft...
Mike-M
Mike-M 15.12.2009 um 11:07:35 Uhr
Goto Top
@spryvh

Ich meine auch nicht die Aufgaben aufzuteilen. Bei uns ist das so geregelt. Ich habe einen Admin Account, mit dem ich meine tägliche Arbeit verrichte. Mit diesem komme ich aber nur in die Verzeichnisse die für meine Arbeit oder für Support brauche. Aber der Zugriff auf die sensiblen Ordner ist mir verwehrt. Da der Backup sowieso über einen Dienst läuft, der auch den Zugriff auf meine Ordner steuert, habe ich als Admin damit nichts zu tun. Es ist schon richtig, daß ich mir Zugriff verschaffen kann, das kann man bei einem Admin nicht verhindern, aber das ist nachprüfbar. Die Versuchung ist nicht so groß einfach mal so irgendwo reinzusehen.
Eine geweisse Verantwortung und ein gewisses Vertrauen seitens der GF ist natürlich unabdingbar. Ansonsten könnten die Admin's ihre Arbeit nicht verrichten.

Ich sage es nochmal. Der beste Weg und der Sicherste für einen Admin sind definierte Regeln in einem Unternehmen. Ohne ist es sehr gefählich für die einzelne Person, und sehr einfach für die GF einen Sündenbock zu finden.

Mike
sia1984
sia1984 16.12.2009 um 17:15:25 Uhr
Goto Top
Ich denke, dass das auch sehr sinvoll wäre, wie Mike-M das beschreibt.

Ich würde das außerdem mit dem öffentlichen Share lassen. Sollen die Leute das doch per eMail schicken!
whatever
whatever 16.12.2009 um 17:59:22 Uhr
Goto Top
Zitat von @sia1984:

Ich würde das außerdem mit dem öffentlichen Share lassen. Sollen die Leute das doch per eMail schicken!

Hmmm, bei uns gibt's sowas auch und nennt sich 'Transfer'.
Da das aber auch Daten von manchmal ein paar GBs sind, wäre das per Mail ziemlich albern. Dazu kommt noch, dass es vergängliche Daten sind. Viel Spaß damit im Postfach, wenn die Leute keine Ordnung halten und den Mist nicht mehr löschen, wenn sie ihn nicht mehr brauchen face-smile
madsmd
madsmd 16.12.2009 um 19:13:51 Uhr
Goto Top
Bei mir gibts dafür extra Versand-Laufwerke, also Netzlaufwerke in die sich die Netzer gegenseitig per Rechtsklick, send to reinkopieren können ohne jedoch den Inhalt angezeigt bekommen.
Mike-M
Mike-M 16.12.2009 um 23:50:45 Uhr
Goto Top
Das sind alles gute Vorschläge. Man muss sie nur umsetzen und vor allem durchsetzen. Es ist nicht wichtig wie so ein Share heisst sondern wie die User damit umgehen. Ob es Transfer heisst oder die Versand-Laufwerke so konfiguriert sind, daß die Anderen nur ihren teil sehen (was sich übrigends mit FTP gut realisieren lässt) ist eigentlich ohne Bedeutung. Es kommt immer auf die Anforderung im jeweiligen Betrieb an. Es muss halt ein passendes Konzept erstellt werden, und dieses rigoros umgesetzt werden. Und vor allem, es müssen sich alle daran halten. Die die sich nicht daran halten, müssen wissen, daß ihre Daten nicht geheim sind. Das sind Firmen direktiven.


Mike
madsmd
madsmd 17.12.2009 um 08:36:38 Uhr
Goto Top
Durchsetzen wird man dies am schnellsten mit schriftlichen Belehrungen, die jährlich Unterzeichnet werden müssen.
Dazu denn noch regelmäßige Datenschutzüberprüfungen.

Nur der Chef muss da mitspielen. Ist ja eigendlich auch in seinem Interesse...
maretz
maretz 18.12.2009 um 10:45:20 Uhr
Goto Top
Moin,

meine Meinung dazu: Ich darf als Admin zwar sicherlich ne menge machen - aber das ÖFFNEN von Dokumenten gehört nicht zu meinen Aufgaben &/ Pflichten! Wenn die GL also meint die Gehaltsliste auf den global zugänglichen Ordner bei uns zu legen - HF&GL! Wenn die Datei "Gehaltsliste.xls" heisst dann würde ich der GL auch bescheid sagen das ich das merkwürdig finde. Heisst die Datei irgendwie anders dann ist das nicht mein Problem!

Hier ist eben die Sache das ich für die Technische Seite da bin - bedeutet ich sorge dafür das es Shares gibt und das es bei Bedarf auch Shares gibt die nur bestimmte Personenkreise nutzen können/dürfen. WAS die da reinlegen is mir zimlich egal - da gehe ich auch nicht hinterher... Ich öffne schließlich auch nicht die Post auf dem Schreibtisch des Chefs - nur weil da nicht "vertraulich" drauf steht...

Von daher muss ich sagen das du dir den Vorwurf gefallen lassen musst - und entsprechend in Zukunft ggf. nicht wirklich solche durchsuchungen vornehmen solltest... (Was anderes ist es wenn du direkt aufgefordert wirst ein Dokument zu öffnen - wobei ich da auch keinen PW-Schutz o.ä. umgehe)
1651
1651 21.12.2009 um 15:35:19 Uhr
Goto Top
Wie sieht das aus, wenn jeder Mitarbeiter eine Betriebsvereinbarung unterschrieben hat, die ihm die Nutzung der IT für private Zwecke untersagt ?

In dem Moment sind doch alle Dateien geschäftlich und die GF hat das Sagen über die Dateien.
maretz
maretz 21.12.2009 um 16:27:15 Uhr
Goto Top
Nehmen wir mal an das jeder diese Vereinbarung unterschrieben hat. Dann hat die GL das sagen (mehr oder weniger). OK. Ich glaube nicht das die GL damit einverstanden ist wenn der Admin in allen Dokumenten rumschnüffelt - denn auch den Admin geht z.B. der Inhalt von "gehaltsliste.xls" nichts an!

Weiterhin ist auch eine solche BV nicht ein freifahrtschein für den Admin und die GL! Das Gesetz steht immernoch über jeder BV - und somit gilt der Datenschutz in einigen Fällen immernoch. Ich darf zwar als Admin dann in die Mails reinsehen - wenn aber der private Charakter einer Mail erkenntlich ist dann muss ich aufhören zu lesen und ggf. die entsprechende Person ansprechen das ich den Inhalt wissen will. Sollte die das nicht rausgeben wollen kann ich immernoch eine Abmahnung bzw. eine Verdachtskündigung aussprechen - OHNE das ich die betreffenden, vermutlich privaten, Daten gelesen habe!

Dasselbe gilt m.E. auch für alle Dateien. Natürlich darf die GL in jede Word-File reinsehen (ich würde - auch wenn ich kein Anwalt bin und das auch nicht wirklich sicher weiss! - davon ausgehen das bei Word/Excel-Files auf dem Firmenserver dieses sogar ohne BV gehen würde). Für den Admin gilt das jedoch nicht unbedingt - es sei denn die GL fordert dazu ausdrücklich auf. Ich persönlich würde mich jedoch wundern wenn meine GL ankommt und mir sagt das ich in die Files gucken soll ob alles richtig liegt. Ok, vermutlich die am besten bezahlte Putzkraft der Welt - aber da mir der Inhalt idR. eh nichts sagen wird kann ich schlecht einschätzen ob es an einer stelle richtig oder falsch abgelegt ist.

Wie gesagt - ich würde das ganze einfach in zukunft komplett unterlassen. Es gibt eben auch für Admins dinge die die gar nichts angehen - und die einen auch nichts angehen müssen. Wenn jemand dann eben vertrauliche Daten öffentlich ablegt -> PP - Persönliches Pech! Ich bin jederzeit bei einer entsprechenden Frage wo man das ablegen kann zu beraten, ich bin auch bereit entsprechend geschützte Ordner zu erstellen. Aber um in jede File reinzugucken ob die das auch richtig machen übersteigt zum einen meine Befugnisse - und zum anderen würde mir auch die Zeit für sowas fehlen...
crashzero2000
crashzero2000 11.03.2010 um 12:38:02 Uhr
Goto Top
Moinsen ....

Also ich sehe das so :
Es ist NICHT deine Aufgabe falsche "Datenablagen" zu sichten und zu benennen.
Wenn du die "Speicherrihtlinien" aufgestellt hast und "durch Zufall" falsch abgelegte Daten sichtest, solltest du lediglich erneut und mit Nachdruck auf deine Richtlinie verweisen.

Wenn ein User allerdings "geheime" Dokumente in ein Shared-Verzeichnis legt auf das auch du "normalen" Zugang hättest, muß der User damit rechnen das auch du die Dokumente öffnen wirst, deshalb liegen diese ja in diesem Ordner !
Dann könntest du sicherlich ohne Probleme mit dem jeweiligen "Besitzer" des Dokumentes darüber reden.