IT-Dokumentation im Notfall freigeben
Moin zusammen,
ich arbeite ehrenamtlich in einem Sportverein mir rund 200 Mitgliedern und betreue u.a. die Vereins-IT. Der Umfang ist überschaubar: Domains, Wordpress, E-Mail-Konten, selbstgehostete Nextcloud, fremdgehostete Vereinsverwaltung und ein paar Zugangsdaten für dies und das (weniger wichtige Systeme und Strukturen).
Ich habe alles relativ sauber dokumentiert und pflege die Doku natürlich auch.
Da ich mir nicht bei allen Vorstandsmitgliedern sicher bin, wie verantwortungsbewusst und vertraulich sie mit den Daten umgehen würden, möchte ich auch weiterhin alleinigen Zugriff auf die Dokumentation haben. Gleichzeitig wäre es aber natürlich wichtig, dass der Vorstand ohne mein Zutun Zugriff erlangen kann, sollte ich aus welchen Gründen auch immer längere Zeit außer Gefecht sein.
Hat jemand einen Ansatz, wie man diesen Widerspruch auflösen kann? Ich wollte - wenn möglich - nicht so weit gehen, diese Dinge über meine persönliche Nachlassverwaltung zu regeln, zumal diese ja auch nur im Todesfall greift und nicht, wenn ich "nur" schwer verletzt bin.
Danke vorab für Eure Ideen und Anregungen!
ich arbeite ehrenamtlich in einem Sportverein mir rund 200 Mitgliedern und betreue u.a. die Vereins-IT. Der Umfang ist überschaubar: Domains, Wordpress, E-Mail-Konten, selbstgehostete Nextcloud, fremdgehostete Vereinsverwaltung und ein paar Zugangsdaten für dies und das (weniger wichtige Systeme und Strukturen).
Ich habe alles relativ sauber dokumentiert und pflege die Doku natürlich auch.
Da ich mir nicht bei allen Vorstandsmitgliedern sicher bin, wie verantwortungsbewusst und vertraulich sie mit den Daten umgehen würden, möchte ich auch weiterhin alleinigen Zugriff auf die Dokumentation haben. Gleichzeitig wäre es aber natürlich wichtig, dass der Vorstand ohne mein Zutun Zugriff erlangen kann, sollte ich aus welchen Gründen auch immer längere Zeit außer Gefecht sein.
Hat jemand einen Ansatz, wie man diesen Widerspruch auflösen kann? Ich wollte - wenn möglich - nicht so weit gehen, diese Dinge über meine persönliche Nachlassverwaltung zu regeln, zumal diese ja auch nur im Todesfall greift und nicht, wenn ich "nur" schwer verletzt bin.
Danke vorab für Eure Ideen und Anregungen!
Please also mark the comments that contributed to the solution of the article
Content-ID: 668105
Url: https://administrator.de/contentid/668105
Printed on: October 15, 2024 at 05:10 o'clock
17 Comments
Latest comment
Moin,
Drück dem Vorstand einen versiegelten Briefumschlag in die Hand, den sie wegschließen sollen. Dort steht dann drin, wo die Doku liegt und wie das Master-Passwort zur Passwort-Datenbank lautet.
Dazu noch den Hinweis, wenn die Mist machen, deren Pech.
Ansonsten den Punkt auf der nächsten Migliederversammlung anbringen und dort diskutieren/ beschließen lassen. Dann ist es im Protokoll „verankert“.
Drück dem Vorstand einen versiegelten Briefumschlag in die Hand, den sie wegschließen sollen. Dort steht dann drin, wo die Doku liegt und wie das Master-Passwort zur Passwort-Datenbank lautet.
Dazu noch den Hinweis, wenn die Mist machen, deren Pech.
Ansonsten den Punkt auf der nächsten Migliederversammlung anbringen und dort diskutieren/ beschließen lassen. Dann ist es im Protokoll „verankert“.
Die einfachste Lösung ist eigentlich Passwort (eine kleine Liste oder ein einzelnes für eine Keepass Container) und das absolut nötigste in einen versiegelten Umschlag an einem sicheren Ort. Solange man dem Vorstand nicht unterstellt sich böswillig zu verhalten, kann das Siegel intakt bleiben solange du sowieso da bist.
Einen Datenträger würde ich nicht unbedingt in den Umschlag packen, die könnten, ohne das es auffällt, unbrauchbar sein oder werden.
Einen Datenträger würde ich nicht unbedingt in den Umschlag packen, die könnten, ohne das es auffällt, unbrauchbar sein oder werden.
Moin,
Und zusätzlich noch zumindest das Desaster-Recovery ausdrucken und mit in den Safe legen. Was nützt mir eine tolle Doku, wenn der Datenträger futsch ist?
Liebe Grüße
Erik
Zitat von @em-pie:
Drück dem Vorstand einen versiegelten Briefumschlag in die Hand, den sie wegschließen sollen. Dort steht dann drin, wo die Doku liegt und wie das Master-Passwort zur Passwort-Datenbank lautet.
Drück dem Vorstand einen versiegelten Briefumschlag in die Hand, den sie wegschließen sollen. Dort steht dann drin, wo die Doku liegt und wie das Master-Passwort zur Passwort-Datenbank lautet.
Und zusätzlich noch zumindest das Desaster-Recovery ausdrucken und mit in den Safe legen. Was nützt mir eine tolle Doku, wenn der Datenträger futsch ist?
Liebe Grüße
Erik
Der aktuelle betont immer wieder ganz bewusst seine IT-Nicht-Affinität und freut sich, wenn er möglichst klein vorgekaute Häppchen hingeworfen bekommt, daher ist das im Moment eine theoretische Frage.
Grundsätzlich aber ist die IT-Verwaltung nicht Aufgabe des Vorsitzenden, daher würde ich so eine Anfrage prinzipiell erst einmal ablehnen.
Grundsätzlich aber ist die IT-Verwaltung nicht Aufgabe des Vorsitzenden, daher würde ich so eine Anfrage prinzipiell erst einmal ablehnen.
Es sind aber ersteinmal die Daten und die Systeme des Vereines welcher durch den Vorstand vertreten wird und nicht deine. Daher hat er die Hoheit und delegiert die IT-Verwaltung an dich.
Ihm den Zugang vorzuenthalten und nur im Notfall freizugeben halte ich für eine Gratwanderung.
Eher würde für den Vorstand eigene Administrative Konten anlegen, in einen "Umschlag / Passwortsafe" packen und ihm offiziell übergeben.
Es sollte ja sowieso immer "Break Glass-Accounts" geben.
Alternativ bei Cloud-Kram die Ansprechpartner beim Anbieter hinterlegen, die können dann bei Bedarf nach Authorisierung den Vorstand auch freischalten.
Ich stimme dir zu, deswegen Gratwanderung.
Klar ist nicht jeder Firmeneigentümer Dom-Admin, aber es wird ihn aber sehr wohl interessieren das ein Zugriff bei Ausfall des einen Admins möglich ist. Sei es durch mehrere Admins, Passwortlisten/Safes im Umschlag usw.
Wie es ausgestaltet wird liegt erst einmal in der Verantwortung des GF/ Vorstandes , dieser kann es natürlich delegieren.
Klar ist nicht jeder Firmeneigentümer Dom-Admin, aber es wird ihn aber sehr wohl interessieren das ein Zugriff bei Ausfall des einen Admins möglich ist. Sei es durch mehrere Admins, Passwortlisten/Safes im Umschlag usw.
Wie es ausgestaltet wird liegt erst einmal in der Verantwortung des GF/ Vorstandes , dieser kann es natürlich delegieren.
Ich würde ebenfalls einfach ein Passwort festlegen womit man eben auf entweder die Systeme selbst zugreifen kann (blöd weil dann ja min. ein passwort überall gleich sein muss) ODER womit man eine entsprechenden Passwort-Tresor (1Password,...) entsperren kann und alles findet. DAs in nen Umschlag und gut is.
Dann eben nur ab und an sich den Umschlag zeigen lassen um sicherzustellen das der noch geschlossen ist (zumindest wenn es mal Fragen wg. Zugriffen gibt)
Dann eben nur ab und an sich den Umschlag zeigen lassen um sicherzustellen das der noch geschlossen ist (zumindest wenn es mal Fragen wg. Zugriffen gibt)
Moin,
Ganz einfach: auf der nächsten Vorstandssitzung oder Vereinsversammlung zum Tagesordnungspunkt machen, das für und wieder verschiedener Lösungen vortragen, und vom Vorstand (oder den Mitgliedern) bestimmen lassen, was gemacht werden soll. Nennt sich Demokratie. Es ist nicht Deine Sache, zu entscheiden, wen Du für verantwortungsvoll genug hältst.
Ggf. noch Richtlinien erstellen, wie mit dem Material umzugehen ist und darüber auch abstimmen lassen.
lks
Ganz einfach: auf der nächsten Vorstandssitzung oder Vereinsversammlung zum Tagesordnungspunkt machen, das für und wieder verschiedener Lösungen vortragen, und vom Vorstand (oder den Mitgliedern) bestimmen lassen, was gemacht werden soll. Nennt sich Demokratie. Es ist nicht Deine Sache, zu entscheiden, wen Du für verantwortungsvoll genug hältst.
Ggf. noch Richtlinien erstellen, wie mit dem Material umzugehen ist und darüber auch abstimmen lassen.
lks
Zitat von @Datenreise:
Das ist rechtlich zwar korrekt und in der Theorie auch sinnvoll - praktisch sieht es heutzutage doch aber so aus: 90% der Menschen sind reine Konsumenten und wollen sich außerhalb eines sehr engen Kernbereich ihres Lebens weder irgendwo einbringen, noch Verantwortung übernehmen.
Der Mitglieder-Durchschnitt meines Sportvereins liegt definitiv oberhalb von Mittelwerten bei Bildung und Einkommen, trotzdem sind die wenigsten bereit, sich zu engagieren oder in Dinge hinein zu denken. Wenn bei einer Mitgliederversammlung 20 % der Stimmberechtigten anwesend sind, ist dies schon eine erfolgreiche Veranstaltung.
Für die konkrete Situation heißt das also, dass die allerwenigsten tatsächlich mitentscheiden *wollen*.
Innerhalb des Vorstands ist die Situation naturgemäß etwas weniger schlimm als über alle Mitglieder hinweg, zugegeben.
Ganz einfach: auf der nächsten Vorstandssitzung oder Vereinsversammlung zum Tagesordnungspunkt machen, das für und wieder verschiedener Lösungen vortragen, und vom Vorstand (oder den Mitgliedern) bestimmen lassen, was gemacht werden soll. Nennt sich Demokratie. Es ist nicht Deine Sache, zu entscheiden, wen Du für verantwortungsvoll genug hältst.
Das ist rechtlich zwar korrekt und in der Theorie auch sinnvoll - praktisch sieht es heutzutage doch aber so aus: 90% der Menschen sind reine Konsumenten und wollen sich außerhalb eines sehr engen Kernbereich ihres Lebens weder irgendwo einbringen, noch Verantwortung übernehmen.
Der Mitglieder-Durchschnitt meines Sportvereins liegt definitiv oberhalb von Mittelwerten bei Bildung und Einkommen, trotzdem sind die wenigsten bereit, sich zu engagieren oder in Dinge hinein zu denken. Wenn bei einer Mitgliederversammlung 20 % der Stimmberechtigten anwesend sind, ist dies schon eine erfolgreiche Veranstaltung.
Für die konkrete Situation heißt das also, dass die allerwenigsten tatsächlich mitentscheiden *wollen*.
Innerhalb des Vorstands ist die Situation naturgemäß etwas weniger schlimm als über alle Mitglieder hinweg, zugegeben.
Ich bin selber in einem halben Dutzend Vereine mit verschiedenen ehrenamtlichen Aufgaben, in manchen sogar "nur" als einfaches Mitglied. Daher weiß ich, daß das die richtige Methode ist. Alles andere ist nur Willkür Deinerseits.
lks
PS: Daß es heutzutage schwieriger ist, Freiwillige zu finden, die Aufgaben zu übernehmen, als das noch vor mehreren Jahrzehnten der Fall war, scheint ein allgemeines Phänomen unserer Zeit zu sein.
Naja, hört sich aber anders an
Wie du schon schreibst: es ist ein Widerspruch
Eine Möglichkeit wäre noch sowas wie ein PIM/PAM oder Bitwarden /Vaultwarden mit Emergency Access
Da ich mir nicht bei allen Vorstandsmitgliedern sicher bin, wie verantwortungsbewusst und vertraulich sie mit den Daten umgehen würden, möchte ich auch weiterhin alleinigen Zugriff auf die Dokumentation haben. Gleichzeitig wäre es aber natürlich wichtig, dass der Vorstand ohne mein Zutun Zugriff erlangen kann, sollte ich aus welchen Gründen auch immer längere Zeit außer Gefecht sein.
Wie du schon schreibst: es ist ein Widerspruch
Eine Möglichkeit wäre noch sowas wie ein PIM/PAM oder Bitwarden /Vaultwarden mit Emergency Access
Für die konkrete Situation heißt das also, dass die allerwenigsten tatsächlich mitentscheiden *wollen*.
Innerhalb des Vorstands ist die Situation naturgemäß etwas weniger schlimm als über alle Mitglieder hinweg, zugegeben.
Dann erinnere doch den Vorstand/ die Mitglieder daran, dass die Mitglieder eines Vereins den Vorstand für deren Geschäfte entlasten muss, da ansonsten der Vorstand (malen wir den teufel mal bewusst an die Wand) persönlich haftet. Gut. In erster Linie bezieht sich das ja auf Jahresabschlüsse/ Wirtschaftpläne… Aber eine Verantwortubg haben die dann doch schon noch.Innerhalb des Vorstands ist die Situation naturgemäß etwas weniger schlimm als über alle Mitglieder hinweg, zugegeben.
Und wenn die alle keinen Bock haben, dann gib eine Lösung vor:
Schatzmeister erhält die Info, wo die Doku und das Password-Depot liegt. Der Vorstand die Info über das Masterpasswort zu der Passwort-Datenbank…
Wenn alle keinen Bock auf das Konstrukt haben -> TOP auf der nächsten Mitgliederversammlung.
Moin,
für so Kleininstallationen halte ich Keepass für eine gute Idee, denn da kannst Du dann gleich auch die ganze Doku selbst mit rein hängen, ggf. als Anhang zu einzelnen Einträgen. Und natürlich alle Passwörter.
Beim Speichern dann immer gleich einen Export in eine 2. Database mit festgelegtem sicherem Zugriffspasswort (kann man mit KPScript auch automatisieren). Diese, 2. Database, wird an einem bekannt gegebenen Ort gespeichert und das Zugriffspasswort mit Angabe des Speicherortes und der Software in einem Briefumschlag hinterlegt.
Vorteil: Du kannst in Deiner "Hauptdatenbank" beliebig oft das Passwort ändern, ohne dass das Notfallpasswort im Briefumschlag geändert werden muss.
Komfortabler: Bitwarden oder Vaultwarden lokal im Verein aufsetzen, 2. Benutzer mit festgelegtem Notfallpasswort, ansonsten alles wie bei Keepass.
Verständlich, aber falsch. Der Vorstand vertritt den Verein. Ob ehrenamtlich oder nicht, dass, was Du da machst, sind Vereinssachen. D.h. die rechtliche Macht darüber übt alleine "der Vorstand" (im Zweifel alle zusammen) aus, nicht Du. Du darfst da auch gar nichts entscheiden oder zurückhalten. Du kannst Empfehlungen aussprechen, das war es dann auch.
Ebenso natürlich auch in der Privatwirtschaft. Wenn der einzige Geschäftsführer einer GmbH vom ITler Zugangsdaten haben will, dann sind die herauszugeben. So einfach ist das. Ob das sinnvoll ist, ob man das befürwortet - alles egal (in der Praxis würde man dem ITler natürlich empfehlen, die Herausgabe zu dokumentieren). Ich hatte schon den Fall, dass der Inhaber und Geschäftsführer Domainadmin mit seinem täglich genutzten Account sein wollte. Als Dienstleister habe ich ihm erklärt, warum das keine gute Idee ist. Er bestand darauf. Hat er dann selbstverständlich bekommen, es ist ja nun einmal seine IT. Und ja, das damit verbundene Risiko hat sich später einmal auch verwirklicht, und ab da ist er allen Sicherheitsempfehlungen gefolgt. Aber, wie gesagt, sein Eigentum, seine Regeln. Er trug bewusst das damit verbundene Risiko, das ihn alleine (bzw. sein Unternehmen) auch getroffen hat - aber nicht musste, ist ja kein Naturgesetz, dass etwas schief geht.
Bei Sportvereinen würde ich das aber auch pragmatisch so lösen, dass ich im Zweifel, wenn also irgendwo Uneinigkeit herrscht, es auf die Tagesordnung der nächsten Versammlung setzen und diese entscheiden lassen würde.
Gruß
DivideByZero
für so Kleininstallationen halte ich Keepass für eine gute Idee, denn da kannst Du dann gleich auch die ganze Doku selbst mit rein hängen, ggf. als Anhang zu einzelnen Einträgen. Und natürlich alle Passwörter.
Beim Speichern dann immer gleich einen Export in eine 2. Database mit festgelegtem sicherem Zugriffspasswort (kann man mit KPScript auch automatisieren). Diese, 2. Database, wird an einem bekannt gegebenen Ort gespeichert und das Zugriffspasswort mit Angabe des Speicherortes und der Software in einem Briefumschlag hinterlegt.
Vorteil: Du kannst in Deiner "Hauptdatenbank" beliebig oft das Passwort ändern, ohne dass das Notfallpasswort im Briefumschlag geändert werden muss.
Komfortabler: Bitwarden oder Vaultwarden lokal im Verein aufsetzen, 2. Benutzer mit festgelegtem Notfallpasswort, ansonsten alles wie bei Keepass.
Zitat von @Datenreise:
Da ich mir nicht bei allen Vorstandsmitgliedern sicher bin, wie verantwortungsbewusst und vertraulich sie mit den Daten umgehen würden, möchte ich auch weiterhin alleinigen Zugriff auf die Dokumentation haben.
Da ich mir nicht bei allen Vorstandsmitgliedern sicher bin, wie verantwortungsbewusst und vertraulich sie mit den Daten umgehen würden, möchte ich auch weiterhin alleinigen Zugriff auf die Dokumentation haben.
Verständlich, aber falsch. Der Vorstand vertritt den Verein. Ob ehrenamtlich oder nicht, dass, was Du da machst, sind Vereinssachen. D.h. die rechtliche Macht darüber übt alleine "der Vorstand" (im Zweifel alle zusammen) aus, nicht Du. Du darfst da auch gar nichts entscheiden oder zurückhalten. Du kannst Empfehlungen aussprechen, das war es dann auch.
Ebenso natürlich auch in der Privatwirtschaft. Wenn der einzige Geschäftsführer einer GmbH vom ITler Zugangsdaten haben will, dann sind die herauszugeben. So einfach ist das. Ob das sinnvoll ist, ob man das befürwortet - alles egal (in der Praxis würde man dem ITler natürlich empfehlen, die Herausgabe zu dokumentieren). Ich hatte schon den Fall, dass der Inhaber und Geschäftsführer Domainadmin mit seinem täglich genutzten Account sein wollte. Als Dienstleister habe ich ihm erklärt, warum das keine gute Idee ist. Er bestand darauf. Hat er dann selbstverständlich bekommen, es ist ja nun einmal seine IT. Und ja, das damit verbundene Risiko hat sich später einmal auch verwirklicht, und ab da ist er allen Sicherheitsempfehlungen gefolgt. Aber, wie gesagt, sein Eigentum, seine Regeln. Er trug bewusst das damit verbundene Risiko, das ihn alleine (bzw. sein Unternehmen) auch getroffen hat - aber nicht musste, ist ja kein Naturgesetz, dass etwas schief geht.
Bei Sportvereinen würde ich das aber auch pragmatisch so lösen, dass ich im Zweifel, wenn also irgendwo Uneinigkeit herrscht, es auf die Tagesordnung der nächsten Versammlung setzen und diese entscheiden lassen würde.
Ich wollte - wenn möglich - nicht so weit gehen, diese Dinge über meine persönliche Nachlassverwaltung zu regeln, zumal diese ja auch nur im Todesfall greift und nicht, wenn ich "nur" schwer verletzt bin.
Nicht nur das, da gehört es auch nicht hin. Du privat ungleich Verein. So haben z.B. Deine Erben oder Notfallbevollmächtigte im Zweifel nichts an und in den Unterlagen des Vereins zu suchen.Gruß
DivideByZero
Zitat von @Datenreise:
Das ist rechtlich zwar korrekt und in der Theorie auch sinnvoll - praktisch sieht es heutzutage doch aber so aus: 90% der Menschen sind reine Konsumenten und wollen sich außerhalb eines sehr engen Kernbereich ihres Lebens weder irgendwo einbringen, noch Verantwortung übernehmen.
Der Mitglieder-Durchschnitt meines Sportvereins liegt definitiv oberhalb von Mittelwerten bei Bildung und Einkommen, trotzdem sind die wenigsten bereit, sich zu engagieren oder in Dinge hinein zu denken. Wenn bei einer Mitgliederversammlung 20 % der Stimmberechtigten anwesend sind, ist dies schon eine erfolgreiche Veranstaltung.
Für die konkrete Situation heißt das also, dass die allerwenigsten tatsächlich mitentscheiden *wollen*.
Innerhalb des Vorstands ist die Situation naturgemäß etwas weniger schlimm als über alle Mitglieder hinweg, zugegeben.
Ganz einfach: auf der nächsten Vorstandssitzung oder Vereinsversammlung zum Tagesordnungspunkt machen, das für und wieder verschiedener Lösungen vortragen, und vom Vorstand (oder den Mitgliedern) bestimmen lassen, was gemacht werden soll. Nennt sich Demokratie. Es ist nicht Deine Sache, zu entscheiden, wen Du für verantwortungsvoll genug hältst.
Das ist rechtlich zwar korrekt und in der Theorie auch sinnvoll - praktisch sieht es heutzutage doch aber so aus: 90% der Menschen sind reine Konsumenten und wollen sich außerhalb eines sehr engen Kernbereich ihres Lebens weder irgendwo einbringen, noch Verantwortung übernehmen.
Der Mitglieder-Durchschnitt meines Sportvereins liegt definitiv oberhalb von Mittelwerten bei Bildung und Einkommen, trotzdem sind die wenigsten bereit, sich zu engagieren oder in Dinge hinein zu denken. Wenn bei einer Mitgliederversammlung 20 % der Stimmberechtigten anwesend sind, ist dies schon eine erfolgreiche Veranstaltung.
Für die konkrete Situation heißt das also, dass die allerwenigsten tatsächlich mitentscheiden *wollen*.
Innerhalb des Vorstands ist die Situation naturgemäß etwas weniger schlimm als über alle Mitglieder hinweg, zugegeben.
Das mag korrekt sein - würde ich dennoch zur Diskussion stellen. Bei einer guten Formulierung werden sich die Leute an deinen Vorschlag halten und du umgehst damit automatisch das Problem das in 1-2 Wochen/Monaten/Jahren irgendwer grad nen schlechten Tag hat und sich an sowas aufhängt. Du kannst dann sagen "ich habe gefragt, das war der Beschluss" und bist raus aus der Nummer. GRADE bei Themen bei denen eigentlich keiner wirklich was sagen will geht das eigentlich recht gut...