46
IT Dienstleister und VPN Zugang
Hallo zusammen,
ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir sicher das unsere Lösung nicht gut ist und möchte das ganze ändern weiß aber nicht so recht wie.
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.
Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.
Mit freundlichen Grüßen
Eduard D.
ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir sicher das unsere Lösung nicht gut ist und möchte das ganze ändern weiß aber nicht so recht wie.
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.
Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.
Mit freundlichen Grüßen
Eduard D.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1410358220
Url: https://administrator.de/contentid/1410358220
Printed on: April 24, 2024 at 22:04 o'clock
46 Comments
Latest comment
Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
Welcher Datentransfer?! Und welche lizenzierte Software?!
Ich halte Deinen Ansatz mit der VM eigentlich schon für praktikabel?! Selber habe ich aber auch FullAccess bei den Kunden - allerdings nur von meinem Arbeitsrechner und habe da auch schon mal überlegt für jeden Kunden einen eigenen Useraccount anzulegen um das besser zu trennen.
Bin mal gespannt, wie das die Kollegen hier handhaben.
VG
Moin,
was ist das für ein Dienstleister, der seine Privatgeräte dafür nutzt? Eine 1-Mann Bude?
Dazu müsste man jetzt auch genauer erläutern, was genau an deinem Vorschlag nicht funktionieren soll, dass er mit Datentransfer und Lizenz nicht klarkommt (meint er event. eine RDP-Software)?
Prinzipiell finde ich deine Idee schon gut, das habe ich teilweise ebenso im Einsatz. Dazu kann man den VPN Zugriff noch mit deinem Token absichern, der dann von z.B. dir vorher erfragt werden muss. Dazu natürlich ein eigener User, ist klar.
Zu einem IT-Dienstleister gehört auf der anderen Seite jedoch auch immer eine Menge Vertrauen.
Gruß
was ist das für ein Dienstleister, der seine Privatgeräte dafür nutzt? Eine 1-Mann Bude?
Dazu müsste man jetzt auch genauer erläutern, was genau an deinem Vorschlag nicht funktionieren soll, dass er mit Datentransfer und Lizenz nicht klarkommt (meint er event. eine RDP-Software)?
Prinzipiell finde ich deine Idee schon gut, das habe ich teilweise ebenso im Einsatz. Dazu kann man den VPN Zugriff noch mit deinem Token absichern, der dann von z.B. dir vorher erfragt werden muss. Dazu natürlich ein eigener User, ist klar.
Zu einem IT-Dienstleister gehört auf der anderen Seite jedoch auch immer eine Menge Vertrauen.
Gruß
Moin,
Setzt euch mit dem Dienstleister zusammen und klärt das auf Augenhöhe.
Mein aktueller Eindruck. Du hast keinen Schimmer, was der DL bei euch im Netzwerk macht und welche Berechtigungen er wirklich benötigt.
Gruß
C.C.
Setzt euch mit dem Dienstleister zusammen und klärt das auf Augenhöhe.
Mein aktueller Eindruck. Du hast keinen Schimmer, was der DL bei euch im Netzwerk macht und welche Berechtigungen er wirklich benötigt.
Gruß
C.C.
Moin...
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
bist du den Sicher, das es seine Privat geräte sind, und nicht seine Arbeitsgeräte?
da sollte doch schon unterschieden werden...
Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
hm... finde ich jetzt nicht so!
wenn es seine arbeitsgeräte sind, welche er für seinen job braucht, ist das OK (in meinen augen)
ihm nachzuweisen, das er die geräte auch Privat nutzt, wird so gut wie unmöglich sein!
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
hm... bis auf seine programme (für was auch immer) ist das gleiche in grün... macht er das auf alle seine geräte, gleicher zustand, nicht ein stück mehr sicherheit!
Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.
also ich würde auch keinen exchange supporten, wo ich nicht selber auch drauf bin...
Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.
wir haben zu 99% 24/7 zugriff auf alle Geräte... ich sehe da kein problem!
es ist ja auch eine sache des vertrauens.... das scheint ja etwas angekratzt zu sein.
der Dienstleister hat ja sicher eine Auftragsverarbeitung unterschrieben, also ist doch alles schön... oder?
Mit freundlichen Grüßen
Eduard D.
Frank
Zitat von @Eduard.D:
Hallo zusammen,
ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir sicher das unsere Lösung nicht gut ist und möchte das ganze ändern weiß aber nicht so recht wie.
ok...Hallo zusammen,
ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir sicher das unsere Lösung nicht gut ist und möchte das ganze ändern weiß aber nicht so recht wie.
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
da sollte doch schon unterschieden werden...
Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
wenn es seine arbeitsgeräte sind, welche er für seinen job braucht, ist das OK (in meinen augen)
ihm nachzuweisen, das er die geräte auch Privat nutzt, wird so gut wie unmöglich sein!
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
das mit dem Privat ist ja nicht soooo sicher, es ist erstmal sein arbeitsgerät!Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.
Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.
es ist ja auch eine sache des vertrauens.... das scheint ja etwas angekratzt zu sein.
der Dienstleister hat ja sicher eine Auftragsverarbeitung unterschrieben, also ist doch alles schön... oder?
Mit freundlichen Grüßen
Eduard D.
1
Hallo
Solche Konfigurationen gibt es recht häufig, daß das Rechenzentrum des Dienstleisters über VPN mit dem System des Kunden verbunden ist. Diverse Beispiele:
- Für Branchensoftware und Maschinensteuerungen führt der Dienstleister Datenanalysen der Steuerungen in Echtzeit aus und entwickelt damit die Software aktiv weiter oder führt Optimierungen durch. Etwa Flaschenabfüllanlagen oder Backofensteuerungen für Bäckereibetriebe.
- Komplett vom Inet abgeschottete Produktionsbereiche machen Backups der wichtigsten System über VPN zu speziellem Dienstleister
- In der Logistikbranche wird die Beladungsoptimierung der Container zentral von dessen RZ aus berechnet über VPN.
Und so weiter und so fort.
Aber auch kleinere Dienstleister/ISP stellen sich darauf ein. Wenn der Kunde z.B. seinen Exchange nach außen komplett dicht macht, wegen schlechter Erfahrungen oder gesetzlicher Vorgaben, dann läuft eben die Mailarchivierung über VPN zum lokalen Provider.
Letztendlich müsst ihr genau klären welche Dienste/Services vom Externen betreut werden und wozu was benötigt wird.
Gegen kleine Systemhäuser als Dienstleister mit VPN Anbindung ist nichts einzuwenden. Das Sicherheitskonzept muss passen. Und wenn die Firma vertrauenswürdig ist und das seit Jahren sauber macht sollte ein Gespräch kein Problem darstellen.
MfG,
MacLeod
Solche Konfigurationen gibt es recht häufig, daß das Rechenzentrum des Dienstleisters über VPN mit dem System des Kunden verbunden ist. Diverse Beispiele:
- Für Branchensoftware und Maschinensteuerungen führt der Dienstleister Datenanalysen der Steuerungen in Echtzeit aus und entwickelt damit die Software aktiv weiter oder führt Optimierungen durch. Etwa Flaschenabfüllanlagen oder Backofensteuerungen für Bäckereibetriebe.
- Komplett vom Inet abgeschottete Produktionsbereiche machen Backups der wichtigsten System über VPN zu speziellem Dienstleister
- In der Logistikbranche wird die Beladungsoptimierung der Container zentral von dessen RZ aus berechnet über VPN.
Und so weiter und so fort.
Aber auch kleinere Dienstleister/ISP stellen sich darauf ein. Wenn der Kunde z.B. seinen Exchange nach außen komplett dicht macht, wegen schlechter Erfahrungen oder gesetzlicher Vorgaben, dann läuft eben die Mailarchivierung über VPN zum lokalen Provider.
Letztendlich müsst ihr genau klären welche Dienste/Services vom Externen betreut werden und wozu was benötigt wird.
Gegen kleine Systemhäuser als Dienstleister mit VPN Anbindung ist nichts einzuwenden. Das Sicherheitskonzept muss passen. Und wenn die Firma vertrauenswürdig ist und das seit Jahren sauber macht sollte ein Gespräch kein Problem darstellen.
MfG,
MacLeod
Hört sich nach einem organisatorischen Problem an, vertraut Ihr dem Dienstleister nicht - kündigt Ihm. Aber aus der Erfahrung heraus erwartet dann auch kein direktes Supporten mehr, denn dann fällt es eben in die üblichen Prozesse (und dauert damit).
Da aber schlussendlich alles über das Vertrauen geht, Satz 1, entweder Vertrauen da - dann spricht man unter vier (+n) Augen oder Vertrauen weg, dann im guten auseinander gehen.
Da aber schlussendlich alles über das Vertrauen geht, Satz 1, entweder Vertrauen da - dann spricht man unter vier (+n) Augen oder Vertrauen weg, dann im guten auseinander gehen.
1
Viele Firmen wissen gar nicht wie viel Arbeit kleine Dienstleister auf den Kundensystemen machen. Weil sie entweder mit Pauschalverträgen bezahlt werden oder der Dienstleister nicht jede Arbeit separat berechnet aus Kulanz.
Softwareupdetes, Server Neustarts, Daten Reorganisationen in der DB, Testläufe der USVs etc.
Alles nur damit der Kunde jeden morgen saubere Systeme hat und voll arbeiten kann.
Nimmt man dem Hausmeister den Schlüssel und das Firmenhandy ab, braucht man sich nicht zu wundern, wenn am Montag alles still steht weil am Samstag Stromausfall war; und eben kein Hausmeister die Sicherung wieder reingeschoben hat.
Softwareupdetes, Server Neustarts, Daten Reorganisationen in der DB, Testläufe der USVs etc.
Alles nur damit der Kunde jeden morgen saubere Systeme hat und voll arbeiten kann.
Nimmt man dem Hausmeister den Schlüssel und das Firmenhandy ab, braucht man sich nicht zu wundern, wenn am Montag alles still steht weil am Samstag Stromausfall war; und eben kein Hausmeister die Sicherung wieder reingeschoben hat.
3
Zitat von @Eduard.D:
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
Dann soll er sich einen anderen Kunden suchen.
Vielen Dank für die Vielen Antworten.
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
Moin,
Völlig normales Vorgehen. Allerdings bezweifle ich, dass der DL seine "privaten" Geräte benutzt.
Wenn Du das so siehst, solltest Du den DL wechseln. Soziale Probleme (hier mangelndes Vertrauen zum DL) kann man nicht technisch lösen. Entweder vertraust Du dem. Dann ist alles gut. Oder nicht, dann müsst Ihr Euch in aller Freundschaft trennen.
Und wo genau ist da das mehr an Sicherheit? Er kann immer noch machen, was er will. Wie gesagt, ich gehe davon aus, dass der Kollege weiß, was er da tut, und den Teufel tun wird, hier mit "privaten" Geräten zu fuhrwerken.
Da stellt sich mir die Frage, was der DL denn da treibt? Sicherlich gibt es Leistungen, die man auch mittels Hopserver erbringen kann. Datentransfer gehört sicherlich dazu. Das mache ich sogar firmenintern meist zweischrittig (erst vom Arbeitsplatz auf den Server mit eingeschränktem User, auf dem Server dann als Admin dahin, wo es hingehört). Aber wenn er dafür selbst bezahlte Software vorhält, die dafür notwendig ist, dann sieht das schon wieder anders aus. Ich kenne auch Hersteller, die rücken den Konfigurator nur an lizensierte Partner raus und verbieten explizit, das Zeug auf Kundenrechnern zu installieren. Wenn die dann nur mit einer direkten Verbindung zum Server funktioniert, dann braucht er die.
Dann frage Deinen DL nach den Gründen. Wenn Du dann merkst, dass es reine Bequemlichkeit ist, dann mache ihm klar, dass Du das anders willst. Wenn es gute Gründe hat, dann rede mit ihm über die TOMs unter denen Du das erlaubst und schreibe sie in den Rahmenvertrag.
So oder so. Der Webprogrammierer kriegt einen eingeschränkten User auf dem RDS per VPN und von dort aus darf er dann auch auf den Webserver zugreifen, wenn er das vorher ankündigt und getestet wurde, dass alles geht. Unser DL für die TK, zu dem wir vollstes Vertrauen haben, hat volle Adminrechte. Dass ist gut so, da das ein echter Experte ist, der auch mal auf der Leitung mitprotokolliert, was passiert, und dann Vodafone sagt, was sie tun müssen. Und unserem DL für die Watchguards können wir die Rechte nicht entziehen, da sie sonst nicht das könnten, wofür sie bezahlt werden.
Ich bin ein großer Freund der niedrigst möglichen Rechte. Aber man kann es auch übertreiben.
Liebe Grüße
Erik
Zitat von @Eduard.D:
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
Derzeitige Situation:
Wir haben einen IT Dienstleister, welcher schon lange für uns tätig ist, und bisher einen "full access" von seinen privat Geräten mittels eines VPN Tunnels zu uns hat.
Völlig normales Vorgehen. Allerdings bezweifle ich, dass der DL seine "privaten" Geräte benutzt.
Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
Wenn Du das so siehst, solltest Du den DL wechseln. Soziale Probleme (hier mangelndes Vertrauen zum DL) kann man nicht technisch lösen. Entweder vertraust Du dem. Dann ist alles gut. Oder nicht, dann müsst Ihr Euch in aller Freundschaft trennen.
Erster Ansatz:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Und wo genau ist da das mehr an Sicherheit? Er kann immer noch machen, was er will. Wie gesagt, ich gehe davon aus, dass der Kollege weiß, was er da tut, und den Teufel tun wird, hier mit "privaten" Geräten zu fuhrwerken.
Dieser Ansatz soll laut besagtem Dienstleister nicht funktionieren. Die Gründe dafür wären wohl der Datentransfer von seinen Privat Geräten in unser Netzwerk und seine lizensierte Software.
Da stellt sich mir die Frage, was der DL denn da treibt? Sicherlich gibt es Leistungen, die man auch mittels Hopserver erbringen kann. Datentransfer gehört sicherlich dazu. Das mache ich sogar firmenintern meist zweischrittig (erst vom Arbeitsplatz auf den Server mit eingeschränktem User, auf dem Server dann als Admin dahin, wo es hingehört). Aber wenn er dafür selbst bezahlte Software vorhält, die dafür notwendig ist, dann sieht das schon wieder anders aus. Ich kenne auch Hersteller, die rücken den Konfigurator nur an lizensierte Partner raus und verbieten explizit, das Zeug auf Kundenrechnern zu installieren. Wenn die dann nur mit einer direkten Verbindung zum Server funktioniert, dann braucht er die.
Ich kann die Gründe nicht ganz nachvollziehen um ehrlich zu sein.
Dann frage Deinen DL nach den Gründen. Wenn Du dann merkst, dass es reine Bequemlichkeit ist, dann mache ihm klar, dass Du das anders willst. Wenn es gute Gründe hat, dann rede mit ihm über die TOMs unter denen Du das erlaubst und schreibe sie in den Rahmenvertrag.
Nun Frage ich ob ihr ähnliche Probleme hattet und wir ihr sie gelöst habt.
So oder so. Der Webprogrammierer kriegt einen eingeschränkten User auf dem RDS per VPN und von dort aus darf er dann auch auf den Webserver zugreifen, wenn er das vorher ankündigt und getestet wurde, dass alles geht. Unser DL für die TK, zu dem wir vollstes Vertrauen haben, hat volle Adminrechte. Dass ist gut so, da das ein echter Experte ist, der auch mal auf der Leitung mitprotokolliert, was passiert, und dann Vodafone sagt, was sie tun müssen. Und unserem DL für die Watchguards können wir die Rechte nicht entziehen, da sie sonst nicht das könnten, wofür sie bezahlt werden.
Ich bin ein großer Freund der niedrigst möglichen Rechte. Aber man kann es auch übertreiben. Liebe Grüße
Erik
Viele gute Aussagen oben. Das hier bringt es auf den Punkt:
Zugang natürlich nur über VPN. In spezifischen Fällen kann ich mir vorstellen, dass Teile eines Systems vom Fernzugriff ausgeschlossen werden, aber das wäre sicher eine Ausnahme. Und ich betreue fast durchweg Geräte mit Art. 9 - Daten. Bin aber auch stets der einzige Admin. In der Zusammenarbeit mit IT-Abteilungen o.ä. kann ich mir auch andere Lösungen vorstellen.
Ich kenne auch keinen Firmenchef, der nachts oder am Wochenende in die Firma fahren möchte, um mir Zugriff zu gewähren.
Viele Grüße, commodity
Edit:
Der Einwand des DL überzeugt mich aber dennoch nicht. Wenn er Daten rüberschicken/austauschen will, kann er das ja über die bestimmt vorhandenene oder eben einzurichtende Unternehmenscloud machen. So mache ich das ohnehin oft, weil ich selten mit Windows-RDP arbeite.
Zitat von @MacLeod:
Nimmt man dem Hausmeister den Schlüssel und das Firmenhandy ab, braucht man sich nicht zu wundern, wenn am Montag alles still steht weil am Samstag Stromausfall war...
Ich brauche und verlange full-access auf die Systeme, die ich betreue. Bei regelmäßiger Betreuung unerlässlich. Sehe ich im Monitoring einen auffälligen Vorgang, will ich diesen auch sogleich untersuchen können. Auch regelmäßige Wartung braucht das. Das geht kaum nach Terminkalender und ist oft abends oder am WE.Nimmt man dem Hausmeister den Schlüssel und das Firmenhandy ab, braucht man sich nicht zu wundern, wenn am Montag alles still steht weil am Samstag Stromausfall war...
Zugang natürlich nur über VPN. In spezifischen Fällen kann ich mir vorstellen, dass Teile eines Systems vom Fernzugriff ausgeschlossen werden, aber das wäre sicher eine Ausnahme. Und ich betreue fast durchweg Geräte mit Art. 9 - Daten. Bin aber auch stets der einzige Admin. In der Zusammenarbeit mit IT-Abteilungen o.ä. kann ich mir auch andere Lösungen vorstellen.
Ich kenne auch keinen Firmenchef, der nachts oder am Wochenende in die Firma fahren möchte, um mir Zugriff zu gewähren.
Viele Grüße, commodity
Edit:
Zitat von @Eduard.D:
Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Das kann man vielleicht so machen. Ich denke mal drüber nach. Bequemes Arbeiten ist aber was anderes und ich sehe auch nicht das Risiko. Ob ich mit meinem Arbeitsnotebook ins Unternehmen gehe oder mich von diesem per VPN verbinde, das Risiko ist gleich. Und mein Arbeitsgerät möchte ich - bittechön - doch gern benutzen.Mein erster Ansatz war es ihm eine VM in unserem Netzwerk bereit zustellen zu der er sich von per VPN und RDP verbinden kann. Von dieser VM hat er nun Zugriff auf die benötigten Systeme.
Der Einwand des DL überzeugt mich aber dennoch nicht. Wenn er Daten rüberschicken/austauschen will, kann er das ja über die bestimmt vorhandenene oder eben einzurichtende Unternehmenscloud machen. So mache ich das ohnehin oft, weil ich selten mit Windows-RDP arbeite.
Zitat von @Eduard.D:
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Also handelt es sich um keinen IT-Administrator, sondern um einen Entwickler.
Das ließe sich hinsichtlich der angesprochenen Systeme doch zugriffsseitig regeln?
Moin...
also sind das keine Privaten Computer, sondern sein Arbeitswerkzeug!
Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
das ist ja auch ok so... wenn er das so braucht, und seine arbeit ok ist, wat willste mehr....
der arbeitet so nah am geschehen, da brauchst du dir wegen sicherheit und datenschutz keine gedanken machen...
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
dann hat der mann volkommen recht, ich würde den umweg über eine VM nur mit saftigen aufpreisen machen, weil das nur stört bei der arbeit!
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
ich verstehe... der Dienstleister hat recht!
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....
Frank
Zitat von @Eduard.D:
Vielen Dank für die Vielen Antworten.
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
ist ja Prima... der mann ist voll im Einsatz, und braucht den zugriff!Vielen Dank für die Vielen Antworten.
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
also sind das keine Privaten Computer, sondern sein Arbeitswerkzeug!
Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
der arbeitet so nah am geschehen, da brauchst du dir wegen sicherheit und datenschutz keine gedanken machen...
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....
Frank
Zitat von @dertowa:
Also handelt es sich um keinen IT-Administrator, sondern um einen Entwickler.
Das ließe sich hinsichtlich der angesprochenen Systeme doch zugriffsseitig regeln?
was willst du da noch regeln?Zitat von @Eduard.D:
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Also handelt es sich um keinen IT-Administrator, sondern um einen Entwickler.
Das ließe sich hinsichtlich der angesprochenen Systeme doch zugriffsseitig regeln?
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
der mann hat eh auf alles wichtige zugriff...
Frank
Scheinbar haben wir in einem Punkt aneinander vorbei geredet. Mit dem Full access möchte ich dem DL nicht den Zugriff auf seine benötigten Server wegnehmen, die braucht er logischer weise um arbeiten zu können.
Momentan hat der DL mit dem VPN Tunnel zugriff auf einfach alles im Netzwerk und das möchte ich ändern.
Darauf war auch dieser Punkt bezogen.
Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
Momentan hat der DL mit dem VPN Tunnel zugriff auf einfach alles im Netzwerk und das möchte ich ändern.
Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
Darauf war auch dieser Punkt bezogen.
Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
Moin...
und schlüssel haben wir von 80 % der vertragskunden!
Viele Grüße, commodity
Frank
Ich kenne auch keinen Firmenchef, der nachts oder am Wochenende in die Firma fahren möchte, um mir Zugriff zu gewähren.
nee, die würden mir was husten, und sagen, wozu hast du nen wartungsvertrag und schlüssel der bude?und schlüssel haben wir von 80 % der vertragskunden!
Viele Grüße, commodity
Moin...
Darauf war auch dieser Punkt bezogen.
ist mir klar...
Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
ichj würde da nix ändern...
Frank
Zitat von @Eduard.D:
Scheinbar haben wir in einem Punkt aneinander vorbei geredet. Mit dem Full access möchte ich dem DL nicht den Zugriff auf seine benötigten Server wegnehmen, die braucht er logischer weise um arbeiten zu können.
Momentan hat der DL mit dem VPN Tunnel zugriff auf einfach alles im Netzwerk und das möchte ich ändern.
wozu? habt ihr noch wichtigere sachen als:Scheinbar haben wir in einem Punkt aneinander vorbei geredet. Mit dem Full access möchte ich dem DL nicht den Zugriff auf seine benötigten Server wegnehmen, die braucht er logischer weise um arbeiten zu können.
Momentan hat der DL mit dem VPN Tunnel zugriff auf einfach alles im Netzwerk und das möchte ich ändern.
ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
ich denke nicht.... oder?Das ist aus Sicherheitsperspektive die reinste Katastrophe und soll sich nun auch ändern.
Darauf war auch dieser Punkt bezogen.
Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
Frank
Was spricht denn dagegen das über unterschiedliche Zugriffsebenen im Active-Directory zu lösen?!
Du wirst doch auch eh andere Passwörter auf z.B. den Netzwerkgeräten nutzen?! Wenn Ihr eine Unterteilung in vLANS habt, könntest Du evtl. den VPN-Access auf die für Ihn relevanten Geräte beschränken.
VG
Du wirst doch auch eh andere Passwörter auf z.B. den Netzwerkgeräten nutzen?! Wenn Ihr eine Unterteilung in vLANS habt, könntest Du evtl. den VPN-Access auf die für Ihn relevanten Geräte beschränken.
VG
Moin,
Also kein Dienstleister, sondern ein scheinselbständiger Subunternehmer. Das ist was ganz anderes. Naja, Du bist von der IT. Wenn so mit Mitarbeitern umgegangen wird, würde ich mir ganz schnell was Neues suchen. Ist ja im Moment kein wirkliches Problem.
OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
Auf das Echtsystem? Das ist verboten.
Das ist verboten.
Das ist verboten.
Ich kann mir nicht vorstellen, dass da keine Dateien liegen, die nicht dazu führen: Das ist verboten.
Sogar da könnte das Entwickeln mit Echtdaten verboten sein.
Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf. Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
Hä? Wozu braucht die Zugriff auf Eure Server? Damit arbeitet man doch lokal. Ich habe ja selbst mal ein paar Jahre nebenbei Webanwendungen mitentwickelt. Ich kenne keinen Entwickler, der sowas nicht auf seinem lokalen Rechner macht. Allenfalls, wenn die Bude größer ist, liegt die Versionsverwaltung auf einem internen Server.
Bei der Tätigkeit ist m. E. ein Zugriff nur dann notwendig, wenn das fertige Produkt installiert werden soll. Das muss er sowieso mit der IT absprechen, da man vor solchen Aktionen gerne Maßnahmen trifft für den Fall, das was schief geht. Insofern bin ich jetzt bei Dir. Ich hätte ihm diese Zugriffe nie gewährt. Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT.
Liebe Grüße
Erik
Zitat von @Eduard.D:
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Also kein Dienstleister, sondern ein scheinselbständiger Subunternehmer. Das ist was ganz anderes. Naja, Du bist von der IT. Wenn so mit Mitarbeitern umgegangen wird, würde ich mir ganz schnell was Neues suchen. Ist ja im Moment kein wirkliches Problem.
Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
Zugriff benötigt er, stand jetzt, auf unser ERP System,
Auf das Echtsystem? Das ist verboten.
die Produktiv Datenbank (SQL),
Das ist verboten.
das Datawarehouse,
Das ist verboten.
dem Fileserver
Ich kann mir nicht vorstellen, dass da keine Dateien liegen, die nicht dazu führen: Das ist verboten.
und das Backend System des Konfigurators.
Sogar da könnte das Entwickeln mit Echtdaten verboten sein.
Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf. Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
Hä? Wozu braucht die Zugriff auf Eure Server? Damit arbeitet man doch lokal. Ich habe ja selbst mal ein paar Jahre nebenbei Webanwendungen mitentwickelt. Ich kenne keinen Entwickler, der sowas nicht auf seinem lokalen Rechner macht. Allenfalls, wenn die Bude größer ist, liegt die Versionsverwaltung auf einem internen Server.
Bei der Tätigkeit ist m. E. ein Zugriff nur dann notwendig, wenn das fertige Produkt installiert werden soll. Das muss er sowieso mit der IT absprechen, da man vor solchen Aktionen gerne Maßnahmen trifft für den Fall, das was schief geht. Insofern bin ich jetzt bei Dir. Ich hätte ihm diese Zugriffe nie gewährt. Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT.
Liebe Grüße
Erik
Hey,
Es geht mir im speziellen auch nicht um Datendiebstahl, ich möchte nach Möglichkeit nur ein potentielles Einfallstor so weit wie möglich schließen.
Frank
Vielen Dank dafür, ich werden dann nur den VPN Tunnel dahingehend abändern das er nicht mehr auf das gesamte Netzwerk kommt.
Zitat von @Vision2015:
wozu? habt ihr noch wichtigere sachen als:
ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
ich denke nicht.... oder?Es geht mir im speziellen auch nicht um Datendiebstahl, ich möchte nach Möglichkeit nur ein potentielles Einfallstor so weit wie möglich schließen.
Die Idee mit dem Hop/Jumpserver, war auch nur eine erste Idee und nachdem DL sagte das das nicht funktioniere wusste ich nicht so Recht warum und wollte mir einfach mal anhören wie andere Firmen sowas handhaben.
ich würde da nix ändern...Frank
Vielen Dank dafür, ich werden dann nur den VPN Tunnel dahingehend abändern das er nicht mehr auf das gesamte Netzwerk kommt.
Moin...
Auf das Echtsystem? Das ist verboten.
wo steht das? und wiso soll das verboten sein?
Das ist verboten.
wo steht das? und wiso soll das verboten sein?
Das ist verboten.
wo steht das? und wiso soll das verboten sein?
Ich kann mir nicht vorstellen, dass da keine Dateien liegen, die nicht dazu führen: Das ist verboten.
wo steht das? und wiso soll das verboten sein?
Sogar da könnte das Entwickeln mit Echtdaten verboten sein.
wo steht das? und wiso soll das verboten sein?
Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf. Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
das wird als Fehlerbehebung und Debug bezeichnet... da macht auch keine DSGVO was dran!
Hä? Wozu braucht die Zugriff auf Eure Server? Damit arbeitet man doch lokal. Ich habe ja selbst mal ein paar Jahre nebenbei Webanwendungen mitentwickelt. Ich kenne keinen Entwickler, der sowas nicht auf seinem lokalen Rechner macht. Allenfalls, wenn die Bude größer ist, liegt die Versionsverwaltung auf einem internen Server.
also ich kenne einige entwickler doe so arbeiten, und nur so arbeiten können... uind das in der medizin technik!
wichtig ist nur, welchen namen das kind bekommt...
Bei der Tätigkeit ist m. E. ein Zugriff nur dann notwendig, wenn das fertige Produkt installiert werden soll. Das muss er sowieso mit der IT absprechen, da man vor solchen Aktionen gerne Maßnahmen trifft für den Fall, das was schief geht. Insofern bin ich jetzt bei Dir. Ich hätte ihm diese Zugriffe nie gewährt. Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT.
ach was
Liebe Grüße
Erik
Frank
Zitat von @erikro:
Moin,
Also kein Dienstleister, sondern ein scheinselbständiger Subunternehmer. Das ist was ganz anderes. Naja, Du bist von der IT. Wenn so mit Mitarbeitern umgegangen wird, würde ich mir ganz schnell was Neues suchen. Ist ja im Moment kein wirkliches Problem.
OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
na um daten einzuspielen... updates, fixes etc...Moin,
Zitat von @Eduard.D:
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
In der Tat habe ich vergessen zu sagen was dieser Dienstleister für uns tut.
Bei ihm handelt es sich um einen ehemaligen Mitarbeiter, welcher sich dann mit dann mit seinem für uns entwickelten Produkt Konfigurator selbstständig gemacht hat. Seitdem ist er, meines Wissens nach, nur für uns tätig. Es handelt sich auch um ein 1 Mann Unternehmen. Diesen Produkt Konfigurator pflegt er seitdem für uns und entwickelt diesen auch ständig weiter.
Also kein Dienstleister, sondern ein scheinselbständiger Subunternehmer. Das ist was ganz anderes. Naja, Du bist von der IT. Wenn so mit Mitarbeitern umgegangen wird, würde ich mir ganz schnell was Neues suchen. Ist ja im Moment kein wirkliches Problem.
Ich habe bereits ein Gespräch mit ihm geführt und seiner Aussage nach arbeitet er von 2 verschiedenen Endgeräten und diversen VMs aus. Alles für je nach derzeitigem Projekt unterschiedlich im Einsatz.
OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
Zugriff benötigt er, stand jetzt, auf unser ERP System,
Auf das Echtsystem? Das ist verboten.
die Produktiv Datenbank (SQL),
Das ist verboten.
das Datawarehouse,
Das ist verboten.
dem Fileserver
Ich kann mir nicht vorstellen, dass da keine Dateien liegen, die nicht dazu führen: Das ist verboten.
und das Backend System des Konfigurators.
Sogar da könnte das Entwickeln mit Echtdaten verboten sein.
Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf. Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
Hä? Wozu braucht die Zugriff auf Eure Server? Damit arbeitet man doch lokal. Ich habe ja selbst mal ein paar Jahre nebenbei Webanwendungen mitentwickelt. Ich kenne keinen Entwickler, der sowas nicht auf seinem lokalen Rechner macht. Allenfalls, wenn die Bude größer ist, liegt die Versionsverwaltung auf einem internen Server.
wichtig ist nur, welchen namen das kind bekommt...
Bei der Tätigkeit ist m. E. ein Zugriff nur dann notwendig, wenn das fertige Produkt installiert werden soll. Das muss er sowieso mit der IT absprechen, da man vor solchen Aktionen gerne Maßnahmen trifft für den Fall, das was schief geht. Insofern bin ich jetzt bei Dir. Ich hätte ihm diese Zugriffe nie gewährt. Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT.
Liebe Grüße
Erik
Frank
Zitat von @Vision2015:
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....
Und? Ich verändere mich gerade beruflich. Ich habe dabei eher das Gefühl, dass sich die Firmen bei mir vorstellen und nicht umgekehrt. Wenn man was kann, ist es doch zur Zeit kein Problem, einen neuen Job zu finden.
Moin,
Die kriegt er dann, wenn es notwendig ist unter Aufsicht. So handhabe ich das jedenfalls. Ich gucke zu, was der da macht. Und das ist auch gut so. Fast immer muss ich eingreifen, damit er keinen Unsinn treibt. Nun, in dem Fall, wenn der Kollege das System gut kennt und der TO der einzige Kunde ist, dann vielleicht auch ohne Aufsicht. Aber ein permanenter Zugriff ist damit nicht notwendig.
Copy&paste hat auch so seine Tücken.
Na da steht das und auch warum.
Deswegen ja auch grenzwertig. Klar kann man eine für den Echtbetrieb freigegebene Version wieder zurückziehen, weil man im Echtbetrieb merkt, dass was Entscheidendes nicht funktioniert. Aber das Entwickeln mit Echtdaten ist klar verboten.
Hä? Wozu braucht die Zugriff auf Eure Server?
also ich kenne einige entwickler doe so arbeiten, und nur so arbeiten können... uind das in der medizin technik!
Ohje, ich stelle mir gerade vor, wie ein Entwickler ohne Aufsicht ein Update der Überwachungssoftware der Intensivstation vornimmt, während dort gerade zehn mehr tote als lebendige Patienten liegen. Nein, das kann nicht Dein Ernst sein?
Wie man das umgeht, weiß ich auch. Aber ich halte es mittlerweile für die Pflicht der IT-Abteilung, den Datenschutz einzuhalten und in Zusammenarbeit mit dem DSB auch notfalls durchzusetzen. Als Angestellter einer Firma hat man die Pflicht, Schaden vom Unternehmen abzuwenden. Und bei den heutigen Strafen selbst für recht kleine Vergehen kann der Schaden verdammt groß werden. Der Staat hat den Aufsichtsbehörden die Macht und sich selbst eine recht gute Einnahmequelle verschafft.
Doch, echt.
Liebe Grüße
Erik
Zitat von @Vision2015:
OK. Aber ein Entwickler entwickelt doch in der Regel in seiner Entwicklungsumgebung und nicht auf dem Echtsystem. Wozu braucht er da Zugriff auf die Server?
na um daten einzuspielen... updates, fixes etc...Die kriegt er dann, wenn es notwendig ist unter Aufsicht. So handhabe ich das jedenfalls. Ich gucke zu, was der da macht. Und das ist auch gut so. Fast immer muss ich eingreifen, damit er keinen Unsinn treibt. Nun, in dem Fall, wenn der Kollege das System gut kennt und der TO der einzige Kunde ist, dann vielleicht auch ohne Aufsicht.
Aber ein permanenter Zugriff ist damit nicht notwendig.wo steht das? und wiso soll das verboten sein?
wo steht das? und wiso soll das verboten sein?
wo steht das? und wiso soll das verboten sein?
wo steht das? und wiso soll das verboten sein?
wo steht das? und wiso soll das verboten sein?
Copy&paste hat auch so seine Tücken.
Na da steht das und auch warum.
Warum ist das verboten? Es verstößt gegen das Trennungsgebot. In der DSGVO ist klar und deutlich vorgeschrieben, dass man mit Echtdaten nicht entwickeln oder testen darf.
Klar, ganz am Ende muss man dann doch mal mit den Echtdaten arbeiten. Aber das ist der letzte Schritt vor dem Ausrollen. Und selbst das ist grenzwertig.
das wird als Fehlerbehebung und Debug bezeichnet... da macht auch keine DSGVO was dran!Deswegen ja auch grenzwertig. Klar kann man eine für den Echtbetrieb freigegebene Version wieder zurückziehen, weil man im Echtbetrieb merkt, dass was Entscheidendes nicht funktioniert. Aber das Entwickeln mit Echtdaten ist klar verboten.
Als lizensierte Software erwähnte er seine Versionsverwaltungssoftware und das Visual Studio.
Hä? Wozu braucht die Zugriff auf Eure Server?
Ohje, ich stelle mir gerade vor, wie ein Entwickler ohne Aufsicht ein Update der Überwachungssoftware der Intensivstation vornimmt, während dort gerade zehn mehr tote als lebendige Patienten liegen. Nein, das kann nicht Dein Ernst sein?
wichtig ist nur, welchen namen das kind bekommt...
Wie man das umgeht, weiß ich auch. Aber ich halte es mittlerweile für die Pflicht der IT-Abteilung, den Datenschutz einzuhalten und in Zusammenarbeit mit dem DSB auch notfalls durchzusetzen. Als Angestellter einer Firma hat man die Pflicht, Schaden vom Unternehmen abzuwenden. Und bei den heutigen Strafen selbst für recht kleine Vergehen kann der Schaden verdammt groß werden. Der Staat hat den Aufsichtsbehörden die Macht und sich selbst eine recht gute Einnahmequelle verschafft.
Ich kannte sogar mal ein Systemhaus, da stand an der Tür der Abteilung mit den Admins und Netzwerkern: Zutritt für Entwickler verboten. Entwickler sind der natürliche Feind einer funktionierenden IT.
ach was Doch, echt.
Liebe Grüße
Erik
Ohje, ich stelle mir gerade vor, wie ein Entwickler ohne Aufsicht ein Update der Überwachungssoftware der Intensivstation vornimmt, während dort gerade zehn mehr tote als lebendige Patienten liegen. Nein, das kann nicht
Dein Ernst? Es gibt einen kleinen Unterschied, ob man von einem DEV spricht, der keine Ahnung hat, oder von einem, der das System hochgezogen hat.
Auch: Intensivstation ungleich Shopkonfigurator.
Grundsätzlich sollte das System sicher sein, es sieht aber so aus, als wäre die Tätigkeit für den AG aus ganz anderem Grund sehr prenzlig. Wurde schon angerissen. Also DSGVO ist wichtig, hier aber wohl nicht das Kriterium, auch die VPN nicht. Es sieht eher so aus, als würde der Nachfolger nicht wollen, dass der vorhergehende Ihm auf die Finger schaut (nicht andersherum).
Moin,
Wie du schon schreibst. Wenn man was kann.
Es kommt nur auf den Vertrag an, welcher der DL mit der GF ausgehandelt hat.
Gruß
C.C.
Zitat von @erikro:
Und? Ich verändere mich gerade beruflich. Ich habe dabei eher das Gefühl, dass sich die Firmen bei mir vorstellen und nicht umgekehrt. Wenn man was kann, ist es doch zur Zeit kein Problem, einen neuen Job zu finden.
Zitat von @Vision2015:
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....
ohne dir nahe treten zu wollen, aber lass das mal besser so wie es ist... er scheint seine arbeit ja gut zu machen, und im zweifel wird sich die GF für ihn entscheiden, und gegen dich, wenn du zu laut wirst!
das ist meistens die regel.....
Und? Ich verändere mich gerade beruflich. Ich habe dabei eher das Gefühl, dass sich die Firmen bei mir vorstellen und nicht umgekehrt. Wenn man was kann, ist es doch zur Zeit kein Problem, einen neuen Job zu finden.
Wie du schon schreibst. Wenn man was kann.
Es kommt nur auf den Vertrag an, welcher der DL mit der GF ausgehandelt hat.
Gruß
C.C.
Zitat von @Eduard.D:
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
Zugriff benötigt er, stand jetzt, auf unser ERP System, die Produktiv Datenbank (SQL), das Datawarehouse, dem Fileserver und das Backend System des Konfigurators.
Lol, der hat euch voll an den Ei*** und vernichtet alles per Knopfdruck, wenn ihm was nicht passt. Wärt nicht der erste Laden, dem das passiert...
Dreht den Spieß um und verkauft ihm den Jumphost (für mich absolute Pflicht) als seinen Schutz. Es kann ja auch andersrum laufen, es geht bei euch was kaputt und wird ihm angelastet, weil er den nicht nachvollziehbaren Generalschlüssel hat und das Gegenteil nicht beweisen kann.
Außerdem ist ein Admin-Diary mittlerweile Compliance-Pflicht, denke nicht, dass er/ihr eins führt.
Was sagt euer Datenschutzbeauftragter zu dem Thema?
VG
Vom Jumphost aus braucht er genau die Rechte, die er sonst auch braucht. Ich sehe da keinen Schutz vor Missbrauch durch einen berechtigten Admin. Der Vorteil eines Jumphosts ist, das ein kompromittierter Admin-Rechner nichts einschleppt und dass Zugriffe kanalisiert und besser überwacht werden können.
Hier ist kurz und knapp ein Beispiel beschrieben, wie man die Zugriffe mit Jumphosts kanalisieren kann.
Und hier zeigt Franky hübsch, wie man das einrichtet.
Viele Grüße, commodity
Zitat von @commodity:
...
Vom Jumphost aus braucht er genau die Rechte, die er sonst auch braucht. Ich sehe da keinen Schutz vor Missbrauch durch einen berechtigten Admin.
Wenn ein Admin Mist bauen will, dann kann er das. Vor so etwas gibt es keinen Schutz....
Vom Jumphost aus braucht er genau die Rechte, die er sonst auch braucht. Ich sehe da keinen Schutz vor Missbrauch durch einen berechtigten Admin.
Die Verwendung eines "Jumphosts" bringt den Vorteil, dass man den VPN-Zugang auf das nötigste reduzieren kann. Es wird nur eine RDP/VNC/SSH-Freigabe von dem Client auf den Jumphost benötigt. Und nicht von Client auf Alles.
(IT-)Sicherheit ist und bleibt eine Kombination vieler Mechanismen. Wenn man das Haus verlässt, schließt man die Fenster und die Haustür.
Hi.
Es steht ja immer die Frage des Vertrauens bei externen Zugriffen wie ein Elefant im Raum.
Vertraglich muss alles sauber geregelt sein, damit professionelles Verhalten beider Parteien auf gutem Grund fußt.
Wenn das erschüttert ist, sollte man sich umsehen. In diesem Fall jedoch, so lese ich das bisher zumindest, ist das Vertrauen ja da.
Auch kann man sich nicht so einfach umsehen, da die eingesetzte Software von besagtem DL entwickelt wurde und dies wahrscheinlich nicht gerade OpenSource ist.
Die Kollegen hatten schon alles gesagt. Der gewährte Zugriff für DL muss immer im Verhältnis zur gewünschten Tätigkeit stehen. IT-Administratoren ohne administrativen Zugriff sind eingeschränkt handlungsfähig.
Ein Entwickler benötigt jedoch keinen Zugriff auf Live Systeme, es sei denn er testet gerne am "lebenden Objekt". Prinzipiell könnte man ihm TestVMs zur Verfügung stellen, welche Klone der Live Systeme darstellen und diese in ein abgeschottetes VLAN packen.
Das setzt natürlich voraus, dass der VM Host die erforderlichen Ressourcen bereitstellen kann.
Hoffentlich hält dann euer Datensicherungskonzept, was es verspricht 😐
Gruß
Marc
Es steht ja immer die Frage des Vertrauens bei externen Zugriffen wie ein Elefant im Raum.
Vertraglich muss alles sauber geregelt sein, damit professionelles Verhalten beider Parteien auf gutem Grund fußt.
Wenn das erschüttert ist, sollte man sich umsehen. In diesem Fall jedoch, so lese ich das bisher zumindest, ist das Vertrauen ja da.
Auch kann man sich nicht so einfach umsehen, da die eingesetzte Software von besagtem DL entwickelt wurde und dies wahrscheinlich nicht gerade OpenSource ist.
Die Kollegen hatten schon alles gesagt. Der gewährte Zugriff für DL muss immer im Verhältnis zur gewünschten Tätigkeit stehen. IT-Administratoren ohne administrativen Zugriff sind eingeschränkt handlungsfähig.
Ein Entwickler benötigt jedoch keinen Zugriff auf Live Systeme, es sei denn er testet gerne am "lebenden Objekt". Prinzipiell könnte man ihm TestVMs zur Verfügung stellen, welche Klone der Live Systeme darstellen und diese in ein abgeschottetes VLAN packen.
Das setzt natürlich voraus, dass der VM Host die erforderlichen Ressourcen bereitstellen kann.
Hoffentlich hält dann euer Datensicherungskonzept, was es verspricht 😐
Gruß
Marc
Wenn das erschüttert ist, sollte man sich umsehen. In diesem Fall jedoch, so lese ich das bisher zumindest, ist das Vertrauen ja da.
Das seh ich beispielsweise mittlerweile stark anders.
Ein Entwickler benötigt jedoch keinen Zugriff auf Live Systeme, es sei denn er testet gerne am "lebenden Objekt". Prinzipiell könnte man ihm TestVMs zur Verfügung stellen, welche Klone der Live Systeme darstellen und diese in ein abgeschottetes VLAN packen.
Das darf man nicht gleichsetzen. In einem Konzern ist der Dev bzw dessen Team komplett getrennt (wie oben schon in Oberlehrermanier "ist verboten" falsch dargestellt wurde), bei einem KMU (wovon ich ausgehe) ist der Dev oft genug auch App-Admin, weswegen es auch anders zu regeln ist. Es ist auch davon auszugehen, dass der Dev einmal Administrativ tätig war bzw immer noch ist.
Generell ist die Frage, hilft ein Jump Host bei der Absicherung? - Im Zweifel ja, bei Verwanzung, ansonsten gibt es im Setup zig Möglichkeiten "auszubrechen".
Grundsätzlich glaube ich, dass es hier aber insbesondere der Nasenfaktor ist, der zum "Problem" führt, ggf. einmal zusammen sitzen. Im Forum dies breit zu treten dürfte zu keinem positiven Ergebnis führen, im Zweifel ist der DL weg und die Anbindung geht flöten.
Moin,
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
Hat der TO das gesagt, dass dem so ist? Bisher ist nur von einem externen Entwickler die Rede.
Liebe Grüße
Erik
Zitat von @Mystery-at-min:
(wie oben schon in Oberlehrermanier "ist verboten" falsch dargestellt wurde),
(wie oben schon in Oberlehrermanier "ist verboten" falsch dargestellt wurde),
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
bei einem KMU (wovon ich ausgehe) ist der Dev oft genug auch App-Admin, weswegen es auch anders zu regeln ist. Es ist auch davon auszugehen, dass der Dev einmal Administrativ tätig war bzw immer noch ist.
Hat der TO das gesagt, dass dem so ist? Bisher ist nur von einem externen Entwickler die Rede.
Liebe Grüße
Erik
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
Ich halte das ja mal wieder für "fürchterlich" digital gedacht. Die Welt besteht ja nicht nur aus Nullen und Einsen
Der Gesetzgeber hat mit der Zweckbindung ja nicht die Weiterentwicklung der verarbeitenden IT im Unternehmen im Blick, sondern den Weiterverkauf. Und darauf zielt das Gesetz ab. Was man im Blick haben sollte ist eher, dass der Entwickler ja (jetzt) extern ist und die Weitergabe dahin wohl zumindest in der Freigabe erwähnt werden müsste ... sofern die Daten das Unternehmen verlassen ... was bei Vollzugriff aber nicht ausgeschlossen werden kann ...
In IT-Foren immer wieder spannend, wie das IT-Denken 1:1 auf juristische Fragen übertragen wird. Mit google sucht man dann nen Gesetzestext ... wo der in der Hierarchie steht, obs da ggfs. Durchführungsverordnungen gibt und wie der bisher ggfs. per Gericht (letztinstanzlich?) ausgelegt wurde, ist dann natürlich völlig nebensächlich.
Wenn das alles immer so 1:1 aus dem Gesetz gelesen werden könnte - bräuchte es weder Anwälte noch Richter ... 3 Juristen, 5 Meinungen ... dabei würde doch EIN IT-ler völlig genügen um einem die Welt zu erklären! 😂
Moin...
aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"
Frank
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"
Frank
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
Nur, weil er am Livesystem Änderungen vornimmt verwendet er die Daten nicht.
Anderenfalls sollten wohl alle Druckeradmins besser immer jemanden aus der DS Abteilung dabei haben, der etwaige Blätter im Drucker zur Seite räumt.
Wenn ihr alles nach der Auffassung macht würde mich interessieren, ob Ihr überhaupt noch produktiv arbeitet - oder seid ihr eine Behörde?
1Zitat von @Vision2015:
Moin...
aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"
Frank
Moin...
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"
Frank
Auf die Schnelle eine Quelle:
https://www.datenschutz.org/zweckbindung/
Dass man das in einem Forum gestandenen Admins belegen muss, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben werden, beweisen muss ...
Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
Ich glaube, der TO wollte etwas über Eure Anwendungspraxiswissen und nicht lesen müssen, wie juristische Laien die DSGVO interpretieren
Viele Grüße, commodity
Viele Grüße, commodity
Zitat von @Mystery-at-min:
Anderenfalls sollten wohl alle Druckeradmins besser immer jemanden aus der DS Abteilung dabei haben, der etwaige Blätter im Drucker zur Seite räumt.
Anderenfalls sollten wohl alle Druckeradmins besser immer jemanden aus der DS Abteilung dabei haben, der etwaige Blätter im Drucker zur Seite räumt.
Für Druckerdienstleister ist ein Vertrag zur Auftragsdatenverarbeitung zwingend vorgeschrieben. Hmmmmm.
Und weil Ihr ja gerne Quellen habt:
https://www.haufe.de/steuern/kanzlei-co/dsgvo-auftragsverarbeitung-durch ...
Ein wenig nach unten Scrollen zu den Beispielen.
Wenn ihr alles nach der Auffassung macht würde mich interessieren, ob Ihr überhaupt noch produktiv arbeitet - oder seid ihr eine Behörde?
Wenn wir eine Behörde wären, wäre vieles einfacher. Da ist der DS nämlich ganz schön aufgeweicht. Nein, zum einen habe ich jahrelang DSBe technisch weitergebildet und zum anderen habe ich es momentan mit fast ausschließlich besonders schützenswerten Daten zu tun. Und ja, man kann auch unter Beachtung der geltenden Gesetze produktiv und effektiv arbeiten.
Die diskutieren wir doch hier lebhaft.
Auf die Schnelle eine Quelle: https://www.datenschutz.org/zweckbindung/
Das gleiche BlahBlah, was überall steht. Die Frage ist doch nicht was Zweckbindung ist, sondern ob die Weiterentwicklung innerhalb eines IT-Systems und eines "Verarbeiters" unter die "erklärte Zustimmung" fällt. Du holst Dir ja auch nicht für jedes Datenbackup ne neue Zustimmung zur DV ein ... oder?!
Ist doch nicht so schwer 😏
Zitat von @erikro:
Auf die Schnelle eine Quelle:
https://www.datenschutz.org/zweckbindung/
Dass man das in einem Forum gestandenen Admins belegen muss, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben werden, beweisen muss ...
das brauchst du doch nicht belegen, das wissen wir!Zitat von @Vision2015:
Moin...
aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"
Frank
Moin...
Na wenn Du meinst. Die DSGVO schreibt eindeutig vor, dass Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben wurden. Damit ist eine Verwendung von Echtdaten zum Zweck der Entwicklung schlicht ein Verstoß gegen die DSGVO. Bisher liegen die ausgesprochenen Strafen für solche missbräuchliche Verwendung bei 5.000 bis 1,5Mio. €.
aber das sollst du erst mal beweisen können, du behauptest das ja einfach nur....
wenn der Entwickler nur zugriff auf das system hat um updates einzuspielen, oder fehler zu fixen ist doch alles ok!
es ist immer einfach, gleich DSGVO zu schreien... nur müssen diese wilden theorien auch bewiesen werden.... kannste aber nicht, und wirst du auch nicht können! (was auch gut so ist)
also doch " Oberlehrermanier"
Frank
Auf die Schnelle eine Quelle:
https://www.datenschutz.org/zweckbindung/
Dass man das in einem Forum gestandenen Admins belegen muss, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben werden, beweisen muss ...
Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
Frank
Moin,
Ich habe den TO so verstanden. Vielleicht äußert er sich ja noch einmal dazu.
Liebe Grüße
Erik
Zitat von @Vision2015:
Zitat von @erikro:
Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
ja... aber nur du behauptest das er das tut,... nicht wir!Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
Ich habe den TO so verstanden. Vielleicht äußert er sich ja noch einmal dazu.
Liebe Grüße
Erik
Zitat von @Visucius:
Das gleiche BlahBlah, was überall steht.
Auf die Schnelle eine Quelle: https://www.datenschutz.org/zweckbindung/
Das gleiche BlahBlah, was überall steht.
Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.
Die Frage ist doch nicht was Zweckbindung ist, sondern ob die Weiterentwicklung innerhalb eines IT-Systems und eines "Verarbeiters" unter die "erklärte Zustimmung" fällt.
Das ist zumindest unter DSBen unstrittig. Testen einer Weiterentwicklung gehört in der Regel nicht zu der Zweckbestimmung.
Zitat von @erikro:
Moin,
Ich habe den TO so verstanden. Vielleicht äußert er sich ja noch einmal dazu.
ist das echt so wichtig für dich?Moin,
Zitat von @Vision2015:
Zitat von @erikro:
Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
ja... aber nur du behauptest das er das tut,... nicht wir!Nochmal: Bugfixing und Updates sind etwas vollkommen anderes. Es geht hier um das Testen während der Entwicklung.
Ich habe den TO so verstanden. Vielleicht äußert er sich ja noch einmal dazu.
Liebe Grüße
Erik
Moin...
Das ist zumindest unter DSBen unstrittig. Testen einer Weiterentwicklung gehört in der Regel nicht zu der Zweckbestimmung.
was der DSB nicht weiß.....
Frank
Zitat von @erikro:
Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.
nun... ich sehe das auch so.. es ist nur bla bla bla... und meistens gibbet einen weg drumrum... was auch gut ist!Zitat von @Visucius:
Das gleiche BlahBlah, was überall steht.
Auf die Schnelle eine Quelle: https://www.datenschutz.org/zweckbindung/
Das gleiche BlahBlah, was überall steht.
Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.
Die Frage ist doch nicht was Zweckbindung ist, sondern ob die Weiterentwicklung innerhalb eines IT-Systems und eines "Verarbeiters" unter die "erklärte Zustimmung" fällt.
Das ist zumindest unter DSBen unstrittig. Testen einer Weiterentwicklung gehört in der Regel nicht zu der Zweckbestimmung.
Frank
Das ist genau die Einstellung, die mich stört. Datenschutz ist Blah Blah. Nee, ist es nicht.
Nix Datenschutz ist BlahBlah, sondern dass was da steht. Wie in allen(?) anderen Beispielen auch bezieht sich das darauf, dass die erhobenen Daten "gewinnbringend" weiterverschachert oder anderweitig eingesetzt werden: Als Beispiele meist: Versand- und Personendaten für Werbung, Tracking, Weiterverkauf usw.Und das ist auch gut so, dass dem ein Riegel vorgeschoben werden möchte. Ob das klappt steht auf nem anderen Blatt.
Kein Gesetz schreibt Dir aber rechtswirksam vor, dass Du die erhobenen Daten gefälligst nur auf EINEM Produktiv-System nutzt. Stell Dir vor, Du spiegelst die Kundendatenbank auf mehreren Servern. Böse Stimmen könnten glauben das macht Amazon z.B. so
Oder Du machst ein Fail-Over oder ein ungeplantes weiteres Backup innerhalb des gleichen Verarbeiters ...
Wer soll das prüfen?! Welcher Nachteil entsteht da für denjenigen dessen Daten da gespiegelt werden?! Und wenn die auf ein System gespiegelt werden, das erst in einer Woche online geht weil das noch optimiert wird ... entstehen was für DSGVO-Probleme?!
Datenschutz muss nicht heißen, dass man die Hose mit der Kneifzange zumacht nur weil jeder seine Neurosen da reininterpretiert.
Was wurde da nciht alles bei der Einführung behauptet, wer daran zugrunde geht und wer endlich mal blechen darf ... und nach 3 Jahren?! Musste die zugrundegegangenen Geschäftsmodelle mit der Lupe suchen ... ebenso die erfolgreich verklagten Unternehmen. In erster Linie ist das ein Verwaltunsmonster geworden ... wie alles aus Brüssel.
Ich kann dieses Ansinnen nicht nachvollziehen. Einem IT-Dienstleister muss man vertrauen, so wie man seinem Steuerberater vertrauen muss, ansonsten macht das keinen Sinn. Wenn du anfängst den Zugriff des Dienstleisters zu beschneiden oder zu verkomplizieren, dass lass es besser ganz und mach es selbst. Die IT-Dienstleister haben Ihre eigenen Konzepte wie Sie beim Kunden zugreifen. Entweder man vertraut dem Konzept, oder man ist beim falschen Dienstleister.
