9
Datenablage: Zugriffskontrolle und Sicherheit für Personaldaten und Vertrauenspersonen
Hallo zusammen,
wir stehen vor der Herausforderung, eine Datenablage für Personaldaten und Daten von Vertrauenspersonen zu implementieren, auf die nur bestimmte Personen im Unternehmen Zugriff haben sollen. Ein wichtiger Punkt ist, dass es unter keinen Umständen möglich sein darf, dass ein Administrator Zugriff auf die Daten hat, die dort abgelegt werden.
Gleichzeitig soll der Server jedoch aus Verwaltungsgründen in der AD eingebunden sein, damit er vom Administrator aufrufbar bleibt. Derzeit haben wir einen Abgegrenzten Server außerhalb der AD, was ich versuche zu umgehen, damit wir eine einheitliche Struktur haben.
Zusätzlich möchten wir verschiedene, voneinander abgegrenzte Bereiche einrichten, bei denen jeweils nur bestimmte Personen Zugriff erhalten.
Es soll einen Personal Bereich geben, auf dem NUR unsere Personalabteilung Zugriff haben darf. Und dann soll es einen Bereich für unsere Vertrauenspersonen geben auf dem NUR diese Zugriff haben.
Hat jemand von euch Erfahrungen damit, wie man dieses Setup sicher und effektiv umsetzt? Evtl. auch mit einer separaten NAS oder ähnliches. Ich bin für alle Vorschläge offen.
LG
tacobell03
wir stehen vor der Herausforderung, eine Datenablage für Personaldaten und Daten von Vertrauenspersonen zu implementieren, auf die nur bestimmte Personen im Unternehmen Zugriff haben sollen. Ein wichtiger Punkt ist, dass es unter keinen Umständen möglich sein darf, dass ein Administrator Zugriff auf die Daten hat, die dort abgelegt werden.
Gleichzeitig soll der Server jedoch aus Verwaltungsgründen in der AD eingebunden sein, damit er vom Administrator aufrufbar bleibt. Derzeit haben wir einen Abgegrenzten Server außerhalb der AD, was ich versuche zu umgehen, damit wir eine einheitliche Struktur haben.
Zusätzlich möchten wir verschiedene, voneinander abgegrenzte Bereiche einrichten, bei denen jeweils nur bestimmte Personen Zugriff erhalten.
Es soll einen Personal Bereich geben, auf dem NUR unsere Personalabteilung Zugriff haben darf. Und dann soll es einen Bereich für unsere Vertrauenspersonen geben auf dem NUR diese Zugriff haben.
Hat jemand von euch Erfahrungen damit, wie man dieses Setup sicher und effektiv umsetzt? Evtl. auch mit einer separaten NAS oder ähnliches. Ich bin für alle Vorschläge offen.
LG
tacobell03
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671200
Url: https://administrator.de/forum/datenablage-zugriffskontrolle-und-sicherheit-fuer-personaldaten-und-vertrauenspersonen-671200.html
Ausgedruckt am: 12.03.2025 um 04:03 Uhr
9 Kommentare
Neuester Kommentar
Also als AD Admin kannst du nicht vom Server fern gehalten werden. Die AD deswegen aufzuteilen in verschiedene Bereiche ist ein Mamutprojekt mit vielen Problemen, davon würde ich abraten. Eine getrennte Hardware wie z.B. NAS, die aber auch wieder im AD hängt, scheint mir auch eine blöde Idee. Vor allem kommst du am Ende über Backup oder Hardwareebene sowieso an alles dran.
Dir hilft tatsächlich nur eine Verschlüsselung und die würde ich nicht an das AD binden, sondern eher als Veracypt-Container oder so. Eine der wichtigsten Informationen unterschlägst du aber, von wie vielen Personen reden wir überhaupt? Wie groß sind die Abteilungen? Wie oft und wie viele Leute müssen an diese Dokumente ran?
Dir hilft tatsächlich nur eine Verschlüsselung und die würde ich nicht an das AD binden, sondern eher als Veracypt-Container oder so. Eine der wichtigsten Informationen unterschlägst du aber, von wie vielen Personen reden wir überhaupt? Wie groß sind die Abteilungen? Wie oft und wie viele Leute müssen an diese Dokumente ran?
Moin,
Berechtigungen auf nem Filer in einer Windows Domain setzt man nach dem AGDLP Prinzip.
Als Admin wird und sollte man immer die Möglichkeit haben, irgendwie an diese Daten ran zu kommen (Recovery , Fehlerbehebung, ...).
Macht man dies nicht zweckgebunden und schaut da mal einfach so rein, war's das natürlich mit dem Job.
Für mich hört sich das eher nach einem organisatorischen, als einem technischen Problem an.
Gruß
Berechtigungen auf nem Filer in einer Windows Domain setzt man nach dem AGDLP Prinzip.
Als Admin wird und sollte man immer die Möglichkeit haben, irgendwie an diese Daten ran zu kommen (Recovery , Fehlerbehebung, ...).
Macht man dies nicht zweckgebunden und schaut da mal einfach so rein, war's das natürlich mit dem Job.
Für mich hört sich das eher nach einem organisatorischen, als einem technischen Problem an.
Gruß
Moin,
eine ähnliche Aufgabenstellung (da war es die Geschäftsführung, die ihre Daten vor den Admins schützen wollte) wurde bereits in diesem Beitrag diskutiert. Vielleicht findest du auch dort pro und contra-Argumente und Ansätze für dein Problem.
Gruß
TA
eine ähnliche Aufgabenstellung (da war es die Geschäftsführung, die ihre Daten vor den Admins schützen wollte) wurde bereits in diesem Beitrag diskutiert. Vielleicht findest du auch dort pro und contra-Argumente und Ansätze für dein Problem.
Gruß
TA
1
PS: Ich hasse es zu sagen, aber in den Fällen kann eine SaaS-Lösung nützlich sein.
Hi
So lange der Rechner/Server vom Admin Verwaltet werden soll (Backup, Recover ect) hat dieser immer irgendwie Möglichkeiten aber da sollte des Vertrauen halt da sein.
Da bliebe halt nur eher ein eigenen Rechner worüber auf den Speziellen Server zugegriffen wird der nicht vom Admin verwaltet wird und ihr diesen selber Zuständig seit (Updates, Probleme ect) neben Verschlüsselung, 2FA......
Aber Grundsätzlich zeigt es eher Vertrauensprobleme da gewisse Bereiche dennoch Zugriff haben wenn diese es wollen....
Dazu wird auch gerne vergessen das zb Admins, Elektriker, Putzleute, Hausmeister quasi einen Generalschlüssel haben für die Türen und so Physisch Zugang zu vielen Bereichen haben für die Tägliche Arbeit aber dennoch die Möglichkeit hätten Einblicke in Unterlagen zu nehmen die so Rumliegen die nicht für diese Bestimmt sind.....
So lange der Rechner/Server vom Admin Verwaltet werden soll (Backup, Recover ect) hat dieser immer irgendwie Möglichkeiten aber da sollte des Vertrauen halt da sein.
Da bliebe halt nur eher ein eigenen Rechner worüber auf den Speziellen Server zugegriffen wird der nicht vom Admin verwaltet wird und ihr diesen selber Zuständig seit (Updates, Probleme ect) neben Verschlüsselung, 2FA......
Aber Grundsätzlich zeigt es eher Vertrauensprobleme da gewisse Bereiche dennoch Zugriff haben wenn diese es wollen....
Dazu wird auch gerne vergessen das zb Admins, Elektriker, Putzleute, Hausmeister quasi einen Generalschlüssel haben für die Türen und so Physisch Zugang zu vielen Bereichen haben für die Tägliche Arbeit aber dennoch die Möglichkeit hätten Einblicke in Unterlagen zu nehmen die so Rumliegen die nicht für diese Bestimmt sind.....
Moin,
wenn Du den Zugriff gesichert ausschließen willst, bleibt nur eine Verschlüsselung, die auch kein Backupkeys im AD oder sonstwo im Bereich der Administratoren zulässt. Das Backup muss ebenfalls separat organisiert sein.
Vor allem aber, was dann in der Regel nicht bedacht wird: Du musst dann kosequenterweise die zugreifenden Clients auch aus dem AD nehmen, da der Admin sich dort sonst ohne Weiteres aufschalten kann.
Daher: will man das wirklich, muss man eine isolierte Umgebung ohne Administration schaffen, was ja etwas schwierig ist, weil dann diejenigen sich auch um Updates, Backup etc. kümmern müssen...
Gruß
DivideByZero
wenn Du den Zugriff gesichert ausschließen willst, bleibt nur eine Verschlüsselung, die auch kein Backupkeys im AD oder sonstwo im Bereich der Administratoren zulässt. Das Backup muss ebenfalls separat organisiert sein.
Vor allem aber, was dann in der Regel nicht bedacht wird: Du musst dann kosequenterweise die zugreifenden Clients auch aus dem AD nehmen, da der Admin sich dort sonst ohne Weiteres aufschalten kann.
Daher: will man das wirklich, muss man eine isolierte Umgebung ohne Administration schaffen, was ja etwas schwierig ist, weil dann diejenigen sich auch um Updates, Backup etc. kümmern müssen...
Gruß
DivideByZero
HI,
Ich bin in Datenbanken nicht unbedingt ein Pro, aber ist es nicht so, dass man...
A) In der Datenbank festlegt wer Zugriff hat?
B) Den DB-Server, wenn er denn im AD liegt aber geschützt sein soll, über ein z.B. "Drei-Tier-Modell (3-Tier-Architecture)" (siehe: https://www.zirous.com/2022/11/15/three-tier-architecture-approach-for-c ..) nur für Berechtigte zugänglich macht?
Klar hat der Domain-Admin dann immer noch Zugriff auf den Server, aber durch die Einschränkung der Zugriffsrechte auf Benutzer-Ebene kann man da schon einiges verhindern und auf die Datenbank selbst sollte auch ein Domain-Admin keinen Zugriff haben, wenn er nicht berechtigt wird, oder nicht?
Je nach Datenbank, könnte man dann noch protokollieren, wer wann zugegriffen hat und entsprechend agieren.
Grüße!
Ich bin in Datenbanken nicht unbedingt ein Pro, aber ist es nicht so, dass man...
A) In der Datenbank festlegt wer Zugriff hat?
B) Den DB-Server, wenn er denn im AD liegt aber geschützt sein soll, über ein z.B. "Drei-Tier-Modell (3-Tier-Architecture)" (siehe: https://www.zirous.com/2022/11/15/three-tier-architecture-approach-for-c ..) nur für Berechtigte zugänglich macht?
Klar hat der Domain-Admin dann immer noch Zugriff auf den Server, aber durch die Einschränkung der Zugriffsrechte auf Benutzer-Ebene kann man da schon einiges verhindern und auf die Datenbank selbst sollte auch ein Domain-Admin keinen Zugriff haben, wenn er nicht berechtigt wird, oder nicht?
Je nach Datenbank, könnte man dann noch protokollieren, wer wann zugegriffen hat und entsprechend agieren.
Grüße!
Von welchen Datenformaten reden wir?
Evtl ist ein DMS eine gute Option da hier der zugriff gesteuert werden kann und meist auch ein zugriffshistorie geführt wird
Evtl ist ein DMS eine gute Option da hier der zugriff gesteuert werden kann und meist auch ein zugriffshistorie geführt wird
Sowohl DBMS als auch DMS Software arbeiten mit Zugriffsbeschränkungen. Wenn du also vom einem Client aus vom Server Informationen haben willst greift die Benutzerverwaltung. Als Administrator kommst du aber an die Dienste, die Serversoftware und die Datenbank dran, wenn auch vielleicht nicht über Admin-Tools so zumindest auf das Dateisystem. Und hier hast du i.d.R. immer Möglichkeiten und auch fast keine Einschränkungen. Die Zugriffe werden auch i.d.R. nicht protokolliert, das gilt meist nur für Aktionen über den Client gegen den Server, nicht für einen direkten Zugriff auf z.B. die DB.
Die Zugriffsbeschränkung in einer SQL DB wird z.B. nicht in der DB sondern im DBMS abgebildet. Eine Protokollierung findet nur statt, wenn jemand für diese Art des Zugriffs eine Protokollierung eingerichtet hat (also nicht). Du kannst einfach den Datenbankdienst stoppen, die Datenbank-Datei in einem anderen Server einhängen und du hast immer Vollzugriff.
Um das alles unmöglich zu machen müsstest du:
- Den Bootvorgang absichern / keine anderen Boot-Medien zulassen.
- Das OS absichern, so das du keine Rechte hast. Das geht eigentlich nicht bei einem AD Member gegen den AD Admin.
- Das Dateisystem absichern / die Festplatte verschlüsseln und den Schlüssel weg sperren.
- Die DB absichern.
- Die Software absichern.
- Das Backup darf auch keine Dateien auf Dateiebene mehr sichern, nur noch die VHDX mit verschlüsselten Inhalten.
- Alle Clients absichern, die mit diesem System arbeiten. Ein böswilliger Domain-Admin kann immer ganz leicht einen Keylogger platzieren und schon hat er den Account von HR.
Selbst wenn du diesen sehr langen Weg gehst hast du dann noch enorme Nachteile, vor allem wenn etwas administrativ gemacht werden muss - das geht dann nämlich nicht mehr. Defacto muss sich HR um den Betrieb, Updates, Backup und Entstörung des Systems kümmern.
Willst du es sicher machen? Leg ein Notebook außerhalb der Domäne in den Safe + eine einfache Backup-Lösung in einem anderen Safe. Schule HR, das zu verwenden und nicht unbeaufsichtigt liegen zu lassen.
Die Zugriffsbeschränkung in einer SQL DB wird z.B. nicht in der DB sondern im DBMS abgebildet. Eine Protokollierung findet nur statt, wenn jemand für diese Art des Zugriffs eine Protokollierung eingerichtet hat (also nicht). Du kannst einfach den Datenbankdienst stoppen, die Datenbank-Datei in einem anderen Server einhängen und du hast immer Vollzugriff.
Um das alles unmöglich zu machen müsstest du:
- Den Bootvorgang absichern / keine anderen Boot-Medien zulassen.
- Das OS absichern, so das du keine Rechte hast. Das geht eigentlich nicht bei einem AD Member gegen den AD Admin.
- Das Dateisystem absichern / die Festplatte verschlüsseln und den Schlüssel weg sperren.
- Die DB absichern.
- Die Software absichern.
- Das Backup darf auch keine Dateien auf Dateiebene mehr sichern, nur noch die VHDX mit verschlüsselten Inhalten.
- Alle Clients absichern, die mit diesem System arbeiten. Ein böswilliger Domain-Admin kann immer ganz leicht einen Keylogger platzieren und schon hat er den Account von HR.
Selbst wenn du diesen sehr langen Weg gehst hast du dann noch enorme Nachteile, vor allem wenn etwas administrativ gemacht werden muss - das geht dann nämlich nicht mehr. Defacto muss sich HR um den Betrieb, Updates, Backup und Entstörung des Systems kümmern.
Willst du es sicher machen? Leg ein Notebook außerhalb der Domäne in den Safe + eine einfache Backup-Lösung in einem anderen Safe. Schule HR, das zu verwenden und nicht unbeaufsichtigt liegen zu lassen.
