IT Dienstleister und VPN Zugang

Mitglied: Eduard.D
Hallo zusammen,

ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir sicher das unsere Lösung nicht gut ist und möchte das ganze ändern weiß aber nicht so recht wie.

Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.

Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.

Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.

Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.


Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.

Mit freundlichen Grüßen

Eduard D.

Content-Key: 1410358220

Url: https://administrator.de/contentid/1410358220

Ausgedruckt am: 27.11.2021 um 00:11 Uhr

Mitglied: Visucius
Visucius 20.10.2021 aktualisiert um 15:57:58 Uhr
Goto Top
Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.

Welcher Datentransfer?! Und welche lizenzierte Software?!

Ich halte Deinen Ansatz mit der VM eigentlich schon für praktikabel?! Selber habe ich aber auch FullAccess bei den Kunden - allerdings nur von meinem Arbeitsrechner und habe da auch schon mal überlegt für jeden Kunden einen eigenen Useraccount anzulegen um das besser zu trennen.

Bin mal gespannt, wie das die Kollegen hier handhaben.

VG
Mitglied: ArnoNymous
ArnoNymous 20.10.2021 um 16:04:55 Uhr
Goto Top
Moin,

was ist das für ein Dienstleister, der seine Privatgeräte dafür nutzt? Eine 1-Mann Bude?
Dazu müsste man jetzt auch genauer erläutern, was genau an deinem Vorschlag nicht funktionieren soll, dass er mit Datentransfer und Lizenz nicht klarkommt (meint er event. eine RDP-Software)?

Prinzipiell finde ich deine Idee schon gut, das habe ich teilweise ebenso im Einsatz. Dazu kann man den VPN Zugriff noch mit deinem Token absichern, der dann von z.B. dir vorher erfragt werden muss. Dazu natürlich ein eigener User, ist klar.

Zu einem IT-Dienstleister gehört auf der anderen Seite jedoch auch immer eine Menge Vertrauen.

Gruß
Mitglied: C.Caveman
C.Caveman 20.10.2021 um 16:06:51 Uhr
Goto Top
Moin,

Setzt euch mit dem Dienstleister zusammen und klärt das auf Augenhöhe.
Mein aktueller Eindruck. Du hast keinen Schimmer, was der DL bei euch im Netzwerk macht und welche Berechtigungen er wirklich benötigt.

Gruß
C.C.
Mitglied: Vision2015
Vision2015 20.10.2021 um 16:22:22 Uhr
Goto Top
Moin...
Zitat von @Eduard.D:

Hallo zusammen,

ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir sicher das unsere Lösung nicht gut ist und möchte das ganze ändern weiß aber nicht so recht wie.
ok...

Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
bist du den Sicher, das es seine Privat geräte sind, und nicht seine Arbeitsgeräte?
da sollte doch schon unterschieden werden...

Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
hm... finde ich jetzt nicht so!
wenn es seine arbeitsgeräte sind, welche er für seinen job braucht, ist das OK (in meinen augen)
ihm nachzuweisen, das er die geräte auch Privat nutzt, wird so gut wie unmöglich sein!

Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
hm... bis auf seine programme (für was auch immer) ist das gleiche in grün... macht er das auf alle seine geräte, gleicher zustand, nicht ein stück mehr sicherheit!
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
das mit dem Privat ist ja nicht soooo sicher, es ist erstmal sein arbeitsgerät!

Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.
also ich würde auch keinen exchange supporten, wo ich nicht selber auch drauf bin...


Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.
wir haben zu 99% 24/7 zugriff auf alle Geräte... ich sehe da kein problem!
es ist ja auch eine sache des vertrauens.... das scheint ja etwas angekratzt zu sein.
der Dienstleister hat ja sicher eine Auftragsverarbeitung unterschrieben, also ist doch alles schön... oder?

Mit freundlichen Grüßen

Eduard D.
Frank
Mitglied: MacLeod
MacLeod 20.10.2021 um 16:33:02 Uhr
Goto Top
Hallo
Solche Konfigurationen gibt es recht häufig, daß das Rechenzentrum des Dienstleisters über VPN mit dem System des Kunden verbunden ist. Diverse Beispiele:
- Für Branchensoftware und Maschinensteuerungen führt der Dienstleister Datenanalysen der Steuerungen in Echtzeit aus und entwickelt damit die Software aktiv weiter oder führt Optimierungen durch. Etwa Flaschenabfüllanlagen oder Backofensteuerungen für Bäckereibetriebe.
- Komplett vom Inet abgeschottete Produktionsbereiche machen Backups der wichtigsten System über VPN zu speziellem Dienstleister
- In der Logistikbranche wird die Beladungsoptimierung der Container zentral von dessen RZ aus berechnet über VPN.
Und so weiter und so fort.

Aber auch kleinere Dienstleister/ISP stellen sich darauf ein. Wenn der Kunde z.B. seinen Exchange nach außen komplett dicht macht, wegen schlechter Erfahrungen oder gesetzlicher Vorgaben, dann läuft eben die Mailarchivierung über VPN zum lokalen Provider.

Letztendlich müsst ihr genau klären welche Dienste/Services vom Externen betreut werden und wozu was benötigt wird.
Gegen kleine Systemhäuser als Dienstleister mit VPN Anbindung ist nichts einzuwenden. Das Sicherheitskonzept muss passen. Und wenn die Firma vertrauenswürdig ist und das seit Jahren sauber macht sollte ein Gespräch kein Problem darstellen.
MfG,
MacLeod
Mitglied: Mystery-at-min
Mystery-at-min 20.10.2021 um 16:36:29 Uhr
Goto Top
Hört sich nach einem organisatorischen Problem an, vertraut Ihr dem Dienstleister nicht - kündigt Ihm. Aber aus der Erfahrung heraus erwartet dann auch kein direktes Supporten mehr, denn dann fällt es eben in die üblichen Prozesse (und dauert damit).

Da aber schlussendlich alles über das Vertrauen geht, Satz 1, entweder Vertrauen da - dann spricht man unter vier (+n) Augen oder Vertrauen weg, dann im guten auseinander gehen.
Mitglied: MacLeod
MacLeod 20.10.2021 um 17:08:47 Uhr
Goto Top
Viele Firmen wissen gar nicht wie viel Arbeit kleine Dienstleister auf den Kundensystemen machen. Weil sie entweder mit Pauschalverträgen bezahlt werden oder der Dienstleister nicht jede Arbeit separat berechnet aus Kulanz.
Softwareupdetes, Server Neustarts, Daten Reorganisationen in der DB, Testläufe der USVs etc.
Alles nur damit der Kunde jeden morgen saubere Systeme hat und voll arbeiten kann.

Nimmt man dem Hausmeister den Schlüssel und das Firmenhandy ab, braucht man sich nicht zu wundern, wenn am Montag alles still steht weil am Samstag Stromausfall war; und eben kein Hausmeister die Sicherung wieder reingeschoben hat.
:-) face-smile
Mitglied: dertowa
dertowa 20.10.2021 um 17:37:24 Uhr
Goto Top
Zitat von @Eduard.D:
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.

Dann soll er sich einen anderen Kunden suchen. :-D face-big-smile
Mitglied: Eduard.D
Eduard.D 20.10.2021 um 17:48:46 Uhr
Goto Top
Vielen Dank für die Vielen Antworten.

In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.

Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.

Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.

Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
Mitglied: erikro
erikro 20.10.2021 aktualisiert um 17:51:44 Uhr
Goto Top
Moin,

Zitat von @Eduard.D:
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.

Völlig normales Vorgehen. Allerdings bezweifle ich, dass der DL seine "privaten" Geräte benutzt.

Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.

Wenn Du das so siehst, solltest Du den DL wechseln. Soziale Probleme (hier mangelndes Vertrauen zum DL) kann man nicht technisch lösen. Entweder vertraust Du dem. Dann ist alles gut. Oder nicht, dann müsst Ihr Euch in aller Freundschaft trennen.

Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.

Und wo genau ist da das mehr an Sicherheit? Er kann immer noch machen, was er will. Wie gesagt, ich gehe davon aus, dass der Kollege weiß, was er da tut, und den Teufel tun wird, hier mit "privaten" Geräten zu fuhrwerken.

Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.

Da stellt sich mir die Frage, was der DL denn da treibt? Sicherlich gibt es Leistungen, die man auch mittels Hopserver erbringen kann. Datentransfer gehört sicherlich dazu. Das mache ich sogar firmenintern meist zweischrittig (erst vom Arbeitsplatz auf den Server mit eingeschränktem User, auf dem Server dann als Admin dahin, wo es hingehört). Aber wenn er dafür selbst bezahlte Software vorhält, die dafür notwendig ist, dann sieht das schon wieder anders aus. Ich kenne auch Hersteller, die rücken den Konfigurator nur an lizensierte Partner raus und verbieten explizit, das Zeug auf Kundenrechnern zu installieren. Wenn die dann nur mit einer direkten Verbindung zum Server funktioniert, dann braucht er die.

Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.

Dann frage Deinen DL nach den Gründen. Wenn Du dann merkst, dass es reine Bequemlichkeit ist, dann mache ihm klar, dass Du das anders willst. Wenn es gute Gründe hat, dann rede mit ihm über die TOMs unter denen Du das erlaubst und schreibe sie in den Rahmenvertrag.

Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.

So oder so. Der Webprogrammierer kriegt einen eingeschränkten User auf dem RDS per VPN und von dort aus darf er dann auch auf den Webserver zugreifen, wenn er das vorher ankündigt und getestet wurde, dass alles geht. Unser DL für die TK, zu dem wir vollstes Vertrauen haben, hat volle Adminrechte. Dass ist gut so, da das ein echter Experte ist, der auch mal auf der Leitung mitprotokolliert, was passiert, und dann Vodafone sagt, was sie tun müssen. Und unserem DL für die Watchguards können wir die Rechte nicht entziehen, da sie sonst nicht das könnten, wofür sie bezahlt werden. ;-) face-wink Ich bin ein großer Freund der niedrigst möglichen Rechte. Aber man kann es auch übertreiben. ;-) face-wink

Liebe Grüße

Erik
Mitglied: commodity
commodity 20.10.2021 aktualisiert um 18:03:34 Uhr
Goto Top
Viele gute Aussagen oben. Das hier bringt es auf den Punkt:
Zitat von @MacLeod:
Nimmt man dem Hausmeister den Schlüssel und das Firmenhandy ab, braucht man sich nicht zu wundern, wenn am Montag alles still steht weil am Samstag Stromausfall war...
Ich brauche und verlange full-access auf die Systeme, die ich betreue. Bei regelmäßiger Betreuung unerlässlich. Sehe ich im Monitoring einen auffälligen Vorgang, will ich diesen auch sogleich untersuchen können. Auch regelmäßige Wartung braucht das. Das geht kaum nach Terminkalender und ist oft abends oder am WE.
Zugang natürlich nur über VPN. In spezifischen Fällen kann ich mir vorstellen, dass Teile eines Systems vom Fernzugriff ausgeschlossen werden, aber das wäre sicher eine Ausnahme. Und ich betreue fast durchweg Geräte mit Art. 9 - Daten. Bin aber auch stets der einzige Admin. In der Zusammenarbeit mit IT-Abteilungen o.ä. kann ich mir auch andere Lösungen vorstellen.
Ich kenne auch keinen Firmenchef, der nachts oder am Wochenende in die Firma fahren möchte, um mir Zugriff zu gewähren.

Viele Grüße, commodity

Edit:
Zitat von @Eduard.D:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Das kann man vielleicht so machen. Ich denke mal drüber nach. Bequemes Arbeiten ist aber was anderes und ich sehe auch nicht das Risiko. Ob ich mit meinem Arbeitsnotebook ins Unternehmen gehe oder mich von diesem per VPN verbinde, das Risiko ist gleich. Und mein Arbeitsgerät möchte ich - bittechön - doch gern benutzen.

Der Einwand des DL überzeugt mich aber dennoch nicht. Wenn er Daten rüberschicken/austauschen will, kann er das ja über die bestimmt vorhandenene oder eben einzurichtende Unternehmenscloud machen. So mache ich das ohnehin oft, weil ich selten mit Windows-RDP arbeite.
Mitglied: dertowa
dertowa 20.10.2021 um 17:53:41 Uhr
Goto Top
Zitat von @Eduard.D:
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.

Also handelt es sich um keinen IT-Administrator, sondern um einen Entwickler.
Das ließe sich hinsichtlich der angesprochenen Systeme doch zugriffsseitig regeln?
Mitglied: Vision2015
Vision2015 20.10.2021 um 18:00:21 Uhr
Goto Top
Moin...
Zitat von @Eduard.D:

Vielen Dank für die Vielen Antworten.

In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
ist ja Prima... der mann ist voll im Einsatz, und braucht den zugriff!
also sind das keine Privaten Computer, sondern sein Arbeitswerkzeug!

Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
das ist ja auch ok so... wenn er das so braucht, und seine arbeit ok ist, wat willste mehr....
der arbeitet so nah am geschehen, da brauchst du dir wegen sicherheit und datenschutz keine gedanken machen...

Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
dann hat der mann volkommen recht, ich würde den umweg über eine VM nur mit saftigen aufpreisen machen, weil das nur stört bei der arbeit!

Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
ich verstehe... der Dienstleister hat recht!

ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....

Frank
Mitglied: Vision2015
Vision2015 20.10.2021 um 18:02:30 Uhr
Goto Top
Zitat von @dertowa:

Zitat von @Eduard.D:
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.

Also handelt es sich um keinen IT-Administrator, sondern um einen Entwickler.
Das ließe sich hinsichtlich der angesprochenen Systeme doch zugriffsseitig regeln?
was willst du da noch regeln?
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.

der mann hat eh auf alles wichtige zugriff... :-) face-smile

Frank
Mitglied: Eduard.D
Eduard.D 20.10.2021 um 18:06:52 Uhr
Goto Top
Scheinbar haben wir in einem Punkt aneinander vorbei geredet. Mit dem Full access möchte ich dem DL nicht den Zugriff auf seine benötigten Server wegnehmen, die braucht er logischer weise um arbeiten zu können.
Momentan hat der DL mit dem VPN Tunnel zugriff auf einfach alles im Netzwerk und das möchte ich ändern.

Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.

Darauf war auch dieser Punkt bezogen.

Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
Mitglied: Vision2015
Vision2015 20.10.2021 um 18:07:50 Uhr
Goto Top
Moin...
Zitat von @commodity:


Ich kenne auch keinen Firmenchef, der nachts oder am Wochenende in die Firma fahren möchte, um mir Zugriff zu gewähren.
nee, die würden mir was husten, und sagen, wozu hast du nen wartungsvertrag und schlüssel der bude?
und schlüssel haben wir von 80 % der vertragskunden!

Viele Grüße, commodity

Frank
Mitglied: Vision2015
Vision2015 20.10.2021 um 18:11:00 Uhr
Goto Top
Moin...
Zitat von @Eduard.D:

Scheinbar haben wir in einem Punkt aneinander vorbei geredet. Mit dem Full access möchte ich dem DL nicht den Zugriff auf seine benötigten Server wegnehmen, die braucht er logischer weise um arbeiten zu können.
Momentan hat der DL mit dem VPN Tunnel zugriff auf einfach alles im Netzwerk und das möchte ich ändern.
wozu? habt ihr noch wichtigere sachen als:
ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
ich denke nicht.... oder?

Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.

Darauf war auch dieser Punkt bezogen.
ist mir klar...

Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
ichj würde da nix ändern...
Frank
Mitglied: Visucius
Visucius 20.10.2021 um 18:14:10 Uhr
Goto Top
Was spricht denn dagegen das über unterschiedliche Zugriffsebenen im Active-Directory zu lösen?!

Du wirst doch auch eh andere Passwörter auf z.B. den Netzwerkgeräten nutzen?! Wenn Ihr eine Unterteilung in vLANS habt, könntest Du evtl. den VPN-Access auf die für Ihn relevanten Geräte beschränken.

VG
Mitglied: erikro
erikro 20.10.2021 um 18:15:28 Uhr
Goto Top
Moin,

Zitat von @Eduard.D:
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.

Also kein Dienstleister, sondern ein scheinselbständiger Subunternehmer. Das ist was ganz anderes. Naja, Du bist von der IT. Wenn so mit Mitarbeitern umgegangen wird, würde ich mir ganz schnell was Neues suchen. Ist ja im Moment kein wirkliches Problem. ;-) face-wink

Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.

OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?

Zugriff benötigt er, stand jetzt, auf unser ERP System,

Auf das Echtsystem? Das ist verboten.

die Produktiv Datenbank (SQL),

Das ist verboten.

das Datawarehouse,

Das ist verboten.

dem Fileserver

Ich kann mir nicht vorstellen, dass da keine Dateien liegen, die nicht dazu führen: Das ist verboten.

und das Backend System des Konfigurators.

Sogar da könnte das Entwickeln mit Echtdaten verboten sein.

Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf. Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.

Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.

Hä? Wozu braucht die Zugriff auf Eure Server? Damit arbeitet man doch lokal. Ich habe ja selbst mal ein paar Jahre nebenbei Webanwendungen mitentwickelt. Ich kenne keinen Entwickler, der sowas nicht auf seinem lokalen Rechner macht. Allenfalls, wenn die Bude größer ist, liegt die Versionsverwaltung auf einem internen Server.

Bei der Tätigkeit ist m. E. ein Zugriff nur dann notwendig, wenn das fertige Produkt installiert werden soll. Das muss er sowieso mit der IT absprechen, da man vor solchen Aktionen gerne Maßnahmen trifft für den Fall, das was schief geht. Insofern bin ich jetzt bei Dir. Ich hätte ihm diese Zugriffe nie gewährt. Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT. ;-) face-wink

Liebe Grüße

Erik
Mitglied: Eduard.D
Eduard.D 20.10.2021 um 18:18:13 Uhr
Goto Top
Hey,
Zitat von @Vision2015:

wozu? habt ihr noch wichtigere sachen als:
ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
ich denke nicht.... oder?

Es geht mir im speziellen auch nicht um Datendiebstahl, ich möchte nach Möglichkeit nur ein potentielles Einfallstor so weit wie möglich schließen.

Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
ich würde da nix ändern...
Frank

Vielen Dank dafür, ich werden dann nur den VPN Tunnel dahingehend abändern das er nicht mehr auf das gesamte Netzwerk kommt.
Mitglied: Vision2015
Vision2015 20.10.2021 um 18:27:23 Uhr
Goto Top
Moin...
Zitat von @erikro:

Moin,

Zitat von @Eduard.D:
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.

Also kein Dienstleister, sondern ein scheinselbständiger Subunternehmer. Das ist was ganz anderes. Naja, Du bist von der IT. Wenn so mit Mitarbeitern umgegangen wird, würde ich mir ganz schnell was Neues suchen. Ist ja im Moment kein wirkliches Problem. ;-) face-wink

Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.

OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
na um daten einzuspielen... updates, fixes etc...

Zugriff benötigt er, stand jetzt, auf unser ERP System,

Auf das Echtsystem? Das ist verboten.
wo steht das? und wiso soll das verboten sein?

die Produktiv Datenbank (SQL),

Das ist verboten.
wo steht das? und wiso soll das verboten sein?

das Datawarehouse,

Das ist verboten.
wo steht das? und wiso soll das verboten sein?

dem Fileserver

Ich kann mir nicht vorstellen, dass da keine Dateien liegen, die nicht dazu führen: Das ist verboten.
wo steht das? und wiso soll das verboten sein?

und das Backend System des Konfigurators.

Sogar da könnte das Entwickeln mit Echtdaten verboten sein.
wo steht das? und wiso soll das verboten sein?

Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf. Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
das wird als Fehlerbehebung und Debug bezeichnet... da macht auch keine DSGVO was dran!

Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.

Hä? Wozu braucht die Zugriff auf Eure Server? Damit arbeitet man doch lokal. Ich habe ja selbst mal ein paar Jahre nebenbei Webanwendungen mitentwickelt. Ich kenne keinen Entwickler, der sowas nicht auf seinem lokalen Rechner macht. Allenfalls, wenn die Bude größer ist, liegt die Versionsverwaltung auf einem internen Server.
also ich kenne einige entwickler doe so arbeiten, und nur so arbeiten können... uind das in der medizin technik!
wichtig ist nur, welchen namen das kind bekommt... :-) face-smile

Bei der Tätigkeit ist m. E. ein Zugriff nur dann notwendig, wenn das fertige Produkt installiert werden soll. Das muss er sowieso mit der IT absprechen, da man vor solchen Aktionen gerne Maßnahmen trifft für den Fall, das was schief geht. Insofern bin ich jetzt bei Dir. Ich hätte ihm diese Zugriffe nie gewährt. Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT. ;-) face-wink
ach was :-) face-smile

Liebe Grüße

Erik

Frank
Mitglied: erikro
erikro 20.10.2021 um 18:27:32 Uhr
Goto Top
Zitat von @Vision2015:
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....

Und? Ich verändere mich gerade beruflich. Ich habe dabei eher das Gefühl, dass sich die Firmen bei mir vorstellen und nicht umgekehrt. Wenn man was kann, ist es doch zur Zeit kein Problem, einen neuen Job zu finden. ;-) face-wink
Mitglied: erikro
erikro 20.10.2021 aktualisiert um 18:44:02 Uhr
Goto Top
Moin,

Zitat von @Vision2015:
OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
na um daten einzuspielen... updates, fixes etc...

Die kriegt er dann, wenn es notwendig ist unter Aufsicht. So handhabe ich das jedenfalls. Ich gucke zu, was der da macht. Und das ist auch gut so. Fast immer muss ich eingreifen, damit er keinen Unsinn treibt. Nun, in dem Fall, wenn der Kollege das System gut kennt und der TO der einzige Kunde ist, dann vielleicht auch ohne Aufsicht. ;-) face-wink Aber ein permanenter Zugriff ist damit nicht notwendig.

wo steht das? und wiso soll das verboten sein?
wo steht das? und wiso soll das verboten sein?
wo steht das? und wiso soll das verboten sein?

Copy&paste hat auch so seine Tücken. ;-) face-wink

Na da steht das und auch warum. ;-) face-wink

Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf.

Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
das wird als Fehlerbehebung und Debug bezeichnet... da macht auch keine DSGVO was dran!

Deswegen ja auch grenzwertig. Klar kann man eine für den Echtbetrieb freigegebene Version wieder zurückziehen, weil man im Echtbetrieb merkt, dass was Entscheidendes nicht funktioniert. Aber das Entwickeln mit Echtdaten ist klar verboten.


Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.

Hä? Wozu braucht die Zugriff auf Eure Server?
also ich kenne einige entwickler doe so arbeiten, und nur so arbeiten können... uind das in der medizin technik!

Ohje, ich stelle mir gerade vor, wie ein Entwickler ohne Aufsicht ein Update der Überwachungssoftware der Intensivstation vornimmt, während dort gerade zehn mehr tote als lebendige Patienten liegen. Nein, das kann nicht Dein Ernst sein? ;-) face-wink

wichtig ist nur, welchen namen das kind bekommt... :-) face-smile

Wie man das umgeht, weiß ich auch. Aber ich halte es mittlerweile für die Pflicht der IT-Abteilung, den Datenschutz einzuhalten und in Zusammenarbeit mit dem DSB auch notfalls durchzusetzen. Als Angestellter einer Firma hat man die Pflicht, Schaden vom Unternehmen abzuwenden. Und bei den heutigen Strafen selbst für recht kleine Vergehen kann der Schaden verdammt groß werden. Der Staat hat den Aufsichtsbehörden die Macht und sich selbst eine recht gute Einnahmequelle verschafft.

Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT. ;-) face-wink
ach was :-) face-smile

Doch, echt.

Liebe Grüße

Erik
Mitglied: Mystery-at-min
Mystery-at-min 20.10.2021 um 19:05:00 Uhr
Goto Top
Ohje, ich stelle mir gerade vor, wie ein Entwickler ohne Aufsicht ein Update der Überwachungssoftware der Intensivstation vornimmt, während dort gerade zehn mehr tote als lebendige Patienten liegen. Nein, das kann nicht

Dein Ernst? Es gibt einen kleinen Unterschied, ob man von einem DEV spricht, der keine Ahnung hat, oder von einem, der das System hochgezogen hat.

Auch: Intensivstation ungleich Shopkonfigurator.

Grundsätzlich sollte das System sicher sein, es sieht aber so aus, als wäre die Tätigkeit für den AG aus ganz anderem Grund sehr prenzlig. Wurde schon angerissen. Also DSGVO ist wichtig, hier aber wohl nicht das Kriterium, auch die VPN nicht. Es sieht eher so aus, als würde der Nachfolger nicht wollen, dass der vorhergehende Ihm auf die Finger schaut (nicht andersherum).
Mitglied: C.Caveman
C.Caveman 20.10.2021 um 19:10:40 Uhr
Goto Top
Moin,
Zitat von @erikro:

Zitat von @Vision2015:
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....

Und? Ich verändere mich gerade beruflich. Ich habe dabei eher das Gefühl, dass sich die Firmen bei mir vorstellen und nicht umgekehrt. Wenn man was kann, ist es doch zur Zeit kein Problem, einen neuen Job zu finden. ;-) face-wink

Wie du schon schreibst. Wenn man was kann. :-) face-smile
Es kommt nur auf den Vertrag an, welcher der DL mit der GF ausgehandelt hat.

Gruß
C.C.
Mitglied: chgorges
chgorges 21.10.2021 um 00:27:40 Uhr
Goto Top
Zitat von @Eduard.D:
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.

Lol, der hat euch voll an den Ei*** und vernichtet alles per Knopfdruck, wenn ihm was nicht passt. Wärt nicht der erste Laden, dem das passiert...

Dreht den Spieß um und verkauft ihm den Jumphost (für mich absolute Pflicht) als seinen Schutz. Es kann ja auch andersrum laufen, es geht bei euch was kaputt und wird ihm angelastet, weil er den nicht nachvollziehbaren Generalschlüssel hat und das Gegenteil nicht beweisen kann.

Außerdem ist ein Admin-Diary mittlerweile Compliance-Pflicht, denke nicht, dass er/ihr eins führt.

Was sagt euer Datenschutzbeauftragter zu dem Thema?

VG
Mitglied: commodity
commodity 21.10.2021 um 09:01:19 Uhr
Goto Top
Zitat von @chgorges:
Jumphost (für mich absolute Pflicht)

Vom Jumphost aus braucht er genau die Rechte, die er sonst auch braucht. Ich sehe da keinen Schutz vor Missbrauch durch einen berechtigten Admin. Der Vorteil eines Jumphosts ist, das ein kompromittierter Admin-Rechner nichts einschleppt und dass Zugriffe kanalisiert und besser überwacht werden können.

Hier ist kurz und knapp ein Beispiel beschrieben, wie man die Zugriffe mit Jumphosts kanalisieren kann.

Und hier zeigt Franky hübsch, wie man das einrichtet.

Viele Grüße, commodity
Mitglied: C.Caveman
C.Caveman 21.10.2021 um 09:35:41 Uhr
Goto Top
Zitat von @commodity:
...
Vom Jumphost aus braucht er genau die Rechte, die er sonst auch braucht. Ich sehe da keinen Schutz vor Missbrauch durch einen berechtigten Admin.
Wenn ein Admin Mist bauen will, dann kann er das. Vor so etwas gibt es keinen Schutz.

Die Verwendung eines "Jumphosts" bringt den Vorteil, dass man den VPN-Zugang auf das nötigste reduzieren kann. Es wird nur eine RDP/VNC/SSH-Freigabe von dem Client auf den Jumphost benötigt. Und nicht von Client auf Alles.
(IT-)Sicherheit ist und bleibt eine Kombination vieler Mechanismen. Wenn man das Haus verlässt, schließt man die Fenster und die Haustür.
Mitglied: radiogugu
radiogugu 21.10.2021 um 12:16:57 Uhr
Goto Top
Hi.

Es steht ja immer die Frage des Vertrauens bei externen Zugriffen wie ein Elefant im Raum.

Vertraglich muss alles sauber geregelt sein, damit professionelles Verhalten beider Parteien auf gutem Grund fußt.

Wenn das erschüttert ist, sollte man sich umsehen. In diesem Fall jedoch, so lese ich das bisher zumindest, ist das Vertrauen ja da.
Auch kann man sich nicht so einfach umsehen, da die eingesetzte Software von besagtem DL entwickelt wurde und dies wahrscheinlich nicht gerade OpenSource ist.

Die Kollegen hatten schon alles gesagt. Der gewährte Zugriff für DL muss immer im Verhältnis zur gewünschten Tätigkeit stehen. IT-Administratoren ohne administrativen Zugriff sind eingeschränkt handlungsfähig.

Ein Entwickler benötigt jedoch keinen Zugriff auf Live Systeme, es sei denn er testet gerne am "lebenden Objekt". Prinzipiell könnte man ihm TestVMs zur Verfügung stellen, welche Klone der Live Systeme darstellen und diese in ein abgeschottetes VLAN packen.
Das setzt natürlich voraus, dass der VM Host die erforderlichen Ressourcen bereitstellen kann.

Hoffentlich hält dann euer Datensicherungskonzept, was es verspricht 😐

Gruß
Marc
Mitglied: Mystery-at-min
Mystery-at-min 21.10.2021 um 12:22:52 Uhr
Goto Top
Wenn das erschüttert ist, sollte man sich umsehen. In diesem Fall jedoch, so lese ich das bisher zumindest, ist das Vertrauen ja da.

Das seh ich beispielsweise mittlerweile stark anders.

Ein Entwickler benötigt jedoch keinen Zugriff auf Live Systeme, es sei denn er testet gerne am "lebenden Objekt". Prinzipiell könnte man ihm TestVMs zur Verfügung stellen, welche Klone der Live Systeme darstellen und diese in ein abgeschottetes VLAN packen.

Das darf man nicht gleichsetzen. In einem Konzern ist der Dev bzw dessen Team komplett getrennt (wie oben schon in Oberlehrermanier "ist verboten" falsch dargestellt wurde), bei einem KMU (wovon ich ausgehe) ist der Dev oft genug auch App-Admin, weswegen es auch anders zu regeln ist. Es ist auch davon auszugehen, dass der Dev einmal Administrativ tätig war bzw immer noch ist.

Generell ist die Frage, hilft ein Jump Host bei der Absicherung? - Im Zweifel ja, bei Verwanzung, ansonsten gibt es im Setup zig Möglichkeiten "auszubrechen".

Grundsätzlich glaube ich, dass es hier aber insbesondere der Nasenfaktor ist, der zum "Problem" führt, ggf. einmal zusammen sitzen. Im Forum dies breit zu treten dürfte zu keinem positiven Ergebnis führen, im Zweifel ist der DL weg und die Anbindung geht flöten.
Mitglied: erikro
erikro 21.10.2021 um 13:50:03 Uhr
Goto Top
Moin,

Zitat von @Mystery-at-min:
(wie oben schon in Oberlehrermanier "ist verboten" falsch dargestellt wurde),

Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.

bei einem KMU (wovon ich ausgehe) ist der Dev oft genug auch App-Admin, weswegen es auch anders zu regeln ist. Es ist auch davon auszugehen, dass der Dev einmal Administrativ tätig war bzw immer noch ist.

Hat der TO das gesagt, dass dem so ist? Bisher ist nur von einem externen Entwickler die Rede.

Liebe Grüße

Erik
Mitglied: Visucius
Visucius 21.10.2021 aktualisiert um 14:12:52 Uhr
Goto Top
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.

Ich halte das ja mal wieder für "fürchterlich" digital gedacht. Die Welt besteht ja nicht nur aus Nullen und Einsen ;-) face-wink

Der Gesetzgeber hat mit der Zweckbindung ja nicht die Weiterentwicklung der verarbeitenden IT im Unternehmen im Blick, sondern den Weiterverkauf. Und darauf zielt das Gesetz ab. Was man im Blick haben sollte ist eher, dass der Entwickler ja (jetzt) extern ist und die Weitergabe dahin wohl zumindest in der Freigabe erwähnt werden müsste ... sofern die Daten das Unternehmen verlassen ... was bei Vollzugriff aber nicht ausgeschlossen werden kann ...

In IT-Foren immer wieder spannend, wie das IT-Denken 1:1 auf juristische Fragen übertragen wird. Mit google sucht man dann nen Gesetzestext ... wo der in der Hierarchie steht, obs da ggfs. Durchführungsverordnungen gibt und wie der bisher ggfs. per Gericht (letztinstanzlich?) ausgelegt wurde, ist dann natürlich völlig nebensächlich.

Wenn das alles immer so 1:1 aus dem Gesetz gelesen werden könnte - bräuchte es weder Anwälte noch Richter ... 3 Juristen, 5 Meinungen ... dabei würde doch EIN IT-ler völlig genügen um einem die Welt zu erklären! 😂
Mitglied: Vision2015
Vision2015 21.10.2021 um 14:12:02 Uhr
Goto Top
Moin...

Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.

aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"

Frank
Mitglied: Mystery-at-min
Mystery-at-min 21.10.2021 um 15:01:01 Uhr
Goto Top
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.

Nur, weil er am Livesystem Änderungen vornimmt verwendet er die Daten nicht.

Anderenfalls sollten wohl alle Druckeradmins besser immer jemanden aus der DS Abteilung dabei haben, der etwaige Blätter im Drucker zur Seite räumt.

Wenn ihr alles nach der Auffassung macht würde mich interessieren, ob Ihr überhaupt noch produktiv arbeitet - oder seid ihr eine Behörde?
Mitglied: erikro
erikro 21.10.2021 um 16:54:20 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.

aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"

Frank

Auf die Schnelle eine Quelle:
https://www.datenschutz.org/zweckbindung/

Dass man das in einem Forum gestandenen Admins belegen muss, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben werden, beweisen muss ...

Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
Mitglied: commodity
commodity 21.10.2021 aktualisiert um 17:05:48 Uhr
Goto Top
Ich glaube, der TO wollte etwas über Eure Anwendungspraxis wissen und nicht lesen müssen, wie juristische Laien die DSGVO interpretieren ;-) face-wink

Viele Grüße, commodity
Mitglied: erikro
erikro 21.10.2021 um 17:08:13 Uhr
Goto Top
Zitat von @Mystery-at-min:
Anderenfalls sollten wohl alle Druckeradmins besser immer jemanden aus der DS Abteilung dabei haben, der etwaige Blätter im Drucker zur Seite räumt.

Für Druckerdienstleister ist ein Vertrag zur Auftragsdatenverarbeitung zwingend vorgeschrieben. Hmmmmm.
Und weil Ihr ja gerne Quellen habt:
https://www.haufe.de/steuern/kanzlei-co/dsgvo-auftragsverarbeitung-durch ...
Ein wenig nach unten Scrollen zu den Beispielen.

Wenn ihr alles nach der Auffassung macht würde mich interessieren, ob Ihr überhaupt noch produktiv arbeitet - oder seid ihr eine Behörde?

Wenn wir eine Behörde wären, wäre vieles einfacher. Da ist der DS nämlich ganz schön aufgeweicht. Nein, zum einen habe ich jahrelang DSBe technisch weitergebildet und zum anderen habe ich es momentan mit fast ausschließlich besonders schützenswerten Daten zu tun. Und ja, man kann auch unter Beachtung der geltenden Gesetze produktiv und effektiv arbeiten.
Mitglied: erikro
erikro 21.10.2021 um 17:09:01 Uhr
Goto Top
Zitat von @commodity:

Ich glaube, der TO wollte etwas über Eure Anwendungspraxis wissen

Die diskutieren wir doch hier lebhaft. ;-) face-wink
Mitglied: Visucius
Visucius 21.10.2021 aktualisiert um 17:37:13 Uhr
Goto Top
Auf die Schnelle eine Quelle: https://www.datenschutz.org/zweckbindung/

Das gleiche BlahBlah, was überall steht. Die Frage ist doch nicht was Zweckbindung ist, sondern ob die Weiterentwicklung innerhalb eines IT-Systems und eines "Verarbeiters" unter die "erklärte Zustimmung" fällt. Du holst Dir ja auch nicht für jedes Datenbackup ne neue Zustimmung zur DV ein ... oder?!

Ist doch nicht so schwer 😏
Mitglied: Vision2015
Vision2015 21.10.2021 um 19:58:03 Uhr
Goto Top
Zitat von @erikro:

Zitat von @Vision2015:

Moin...

Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.

aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"

Frank

Auf die Schnelle eine Quelle:
https://www.datenschutz.org/zweckbindung/

Dass man das in einem Forum gestandenen Admins belegen muss, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben werden, beweisen muss ...
das brauchst du doch nicht belegen, das wissen wir!

Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
ja... aber nur du behauptest das er das tut,... nicht wir!

Frank
Mitglied: erikro
erikro 21.10.2021 um 21:56:49 Uhr
Goto Top
Moin,

Zitat von @Vision2015:

Zitat von @erikro:
Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
ja... aber nur du behauptest das er das tut,... nicht wir!

Ich habe den TO so verstanden. Vielleicht äußert er sich ja noch einmal dazu.

Liebe Grüße

Erik
Mitglied: erikro
erikro 21.10.2021 um 21:59:52 Uhr
Goto Top
Zitat von @Visucius:

Auf die Schnelle eine Quelle: https://www.datenschutz.org/zweckbindung/

Das gleiche BlahBlah, was überall steht.

Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.

Die Frage ist doch nicht was Zweckbindung ist, sondern ob die Weiterentwicklung innerhalb eines IT-Systems und eines "Verarbeiters" unter die "erklärte Zustimmung" fällt.

Das ist zumindest unter DSBen unstrittig. Testen einer Weiterentwicklung gehört in der Regel nicht zu der Zweckbestimmung.
Mitglied: Vision2015
Vision2015 21.10.2021 um 22:08:44 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @Vision2015:

Zitat von @erikro:
Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
ja... aber nur du behauptest das er das tut,... nicht wir!

Ich habe den TO so verstanden. Vielleicht äußert er sich ja noch einmal dazu.
ist das echt so wichtig für dich?

Liebe Grüße

Erik
Frank
Mitglied: Vision2015
Vision2015 21.10.2021 um 22:11:49 Uhr
Goto Top
Moin...
Zitat von @erikro:

Zitat von @Visucius:

Auf die Schnelle eine Quelle: https://www.datenschutz.org/zweckbindung/

Das gleiche BlahBlah, was überall steht.

Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.
nun... ich sehe das auch so.. es ist nur bla bla bla... und meistens gibbet einen weg drumrum... was auch gut ist!

Die Frage ist doch nicht was Zweckbindung ist, sondern ob die Weiterentwicklung innerhalb eines IT-Systems und eines "Verarbeiters" unter die "erklärte Zustimmung" fällt.

Das ist zumindest unter DSBen unstrittig. Testen einer Weiterentwicklung gehört in der Regel nicht zu der Zweckbestimmung.
was der DSB nicht weiß..... :-) face-smile

Frank
Mitglied: Visucius
Visucius 21.10.2021 aktualisiert um 23:39:14 Uhr
Goto Top
Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.
Nix Datenschutz ist BlahBlah, sondern dass was da steht. Wie in allen(?) anderen Beispielen auch bezieht sich das darauf, dass die erhobenen Daten "gewinnbringend" weiterverschachert oder anderweitig eingesetzt werden: Als Beispiele meist: Versand- und Personendaten für Werbung, Tracking, Weiterverkauf usw.

Und das ist auch gut so, dass dem ein Riegel vorgeschoben werden möchte. Ob das klappt steht auf nem anderen Blatt.

Kein Gesetz schreibt Dir aber rechtswirksam vor, dass Du die erhobenen Daten gefälligst nur auf EINEM Produktiv-System nutzt. Stell Dir vor, Du spiegelst die Kundendatenbank auf mehreren Servern. Böse Stimmen könnten glauben das macht Amazon z.B. so ;-) face-wink
Oder Du machst ein Fail-Over oder ein ungeplantes weiteres Backup innerhalb des gleichen Verarbeiters ...

Wer soll das prüfen?! Welcher Nachteil entsteht da für denjenigen dessen Daten da gespiegelt werden?! Und wenn die auf ein System gespiegelt werden, das erst in einer Woche online geht weil das noch optimiert wird ... entstehen was für DSGVO-Probleme?!

Datenschutz muss nicht heißen, dass man die Hose mit der Kneifzange zumacht nur weil jeder seine Neurosen da reininterpretiert.

Was wurde da nciht alles bei der Einführung behauptet, wer daran zugrunde geht und wer endlich mal blechen darf ... und nach 3 Jahren?! Musste die zugrundegegangenen Geschäftsmodelle mit der Lupe suchen ... ebenso die erfolgreich verklagten Unternehmen. In erster Linie ist das ein Verwaltunsmonster geworden ... wie alles aus Brüssel.
Mitglied: binBash86
binBash86 22.10.2021 um 14:11:11 Uhr
Goto Top
Ich kann dieses Ansinnen nicht nachvollziehen. Einem IT-Dienstleister muss man vertrauen, so wie man seinem Steuerberater vertrauen muss, ansonsten macht das keinen Sinn. Wenn du anfängst den Zugriff des Dienstleisters zu beschneiden oder zu verkomplizieren, dass lass es besser ganz und mach es selbst. Die IT-Dienstleister haben Ihre eigenen Konzepte wie Sie beim Kunden zugreifen. Entweder man vertraut dem Konzept, oder man ist beim falschen Dienstleister.
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement7 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...

question
Reinigung der Apple Watch gelöst honeybeeVor 18 StundenFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
HP Notebook startet nicht mehrben1300Vor 20 StundenFrageHardware4 Kommentare

Hallo zusammen, mein HP Notebook Modell 17-ca1300ng startet nicht mehr. Wenn ich den Power Knopf drücke, blinkt die LED neben der Ladebuchse 3x weiß. Jemand ...