balisto
Goto Top

Remoteverbindung durch einen Admin

Hallo an alle,

ich bin neu hier und habe mich wegen einer ganz bestimmten Frage angemeldet.

Ich bin in einem Firmennetz, ca 100 Clients, mehrere Server (Win2007)
Auf den PC's läuft fast ausschließlich Windows XP.

Durch einige Bemerkungen eines Admins stellt sich mir nun folgende Frage:

Kann ein Admin sich auf meinen Rechner verbinden und mir bei der Arbeit zusehen ohne daß ich das bemerke?
Daß er sich verbinden und z.B. sich die Ordner meiner Festplatte durchsehen kann weiß ich.

Die Frage ist nur, ob er sich auch unbemerkt auf meinen Desktop verbinden kann und mitsehen kann was ich tue.
Und das mit den mit Windows mitgelieferten Mitteln, denn irgendeine spezielle Software ist nicht installiert.
Remoteverbindung ist zwar abgeschaltet, aber das gilt ja nicht für Admins.

Mir gehts hier um Sachen wie Netbanking, private Mails, Krankenakte, eben Dinge die vertraulich sind.

Ist einem Admin sowas möglich? Ohne mein Einverständnis, ohne Meldung am Bildschirm?

Vielen Dank für Eure Antworten

Content-ID: 131016

Url: https://administrator.de/contentid/131016

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

maretz
maretz 05.12.2009 um 18:31:44 Uhr
Goto Top
Moin,

ganz ohne Hilfmittel: Nein. ABER: Die sollten für einen Admin problemlos zu bekommen sein - und dann lautet die Antwort: JA.

Und weiterhin lautet die Antwort das du auch besser nichts vertrauliches auf deinem Rechner haben solltest - da es für den Admin auch relativ leicht ist an dein PW zu kommen bzw. er dieses ändern kann und dann auch zugang zu deinen Daten hat. Ganz davon abgesehen kann es durch einen simplen Bedienungsfehler auch sein das du Krank bist und dein Kollege an deinen Rechner geht - und hier plötzlich in deinem Email-Account oder deinen vertraulichen Dateien rumschnüffelt...

Aber wie gesagt - ja, der Admin kann sich jederzeit auf deinen Rechner schalten auch ohne das du das merkst. Dass das ganze dann nicht legal ist steht auf einem anderem Blatt...
83237
83237 05.12.2009 um 18:54:08 Uhr
Goto Top
Zitat von @Balisto:
Kann ein Admin sich auf meinen Rechner verbinden und mir bei der Arbeit zusehen ohne daß ich das bemerke?

Ja geht

Die Frage ist nur, ob er sich auch unbemerkt auf meinen Desktop verbinden kann und mitsehen kann was ich tue.
Ja geht

Und das mit den mit Windows mitgelieferten Mitteln, denn irgendeine spezielle Software ist nicht installiert.
muss auch nicht

Remoteverbindung ist zwar abgeschaltet, aber das gilt ja nicht für Admins.

für Admins gilt vieles nicht ;)

Mir gehts hier um Sachen wie Netbanking, private Mails, Krankenakte, eben Dinge die vertraulich sind.

So etwas sollte niemals auf dem Firmenrechner zu finden sein,also halte ich es mal mit dem Spruch " Arbeit ist Arbeit und Privat ist Privat, Privat ist nicht Arbeit,sowie Arbeit nicht Privat ist."

Ist einem Admin sowas möglich? Ohne mein Einverständnis, ohne Meldung am Bildschirm?

Ja ist möglich

Vielen Dank für Eure Antworten

Bitte gern geschehen face-smile
Balisto
Balisto 05.12.2009 um 20:56:05 Uhr
Goto Top
Ok, danke erstmal für Eure Antworten - aber leider sind die widersprüchlich.

Kann er nun oder kann er nicht? Wenn ja, wie?
Daß er reinsehen kann weiß ich. Daß er die laufenden Prozesse sehen kann ist auch klar.
Es geht allein darum ob er einen Bildschirm so sehen kann wie ihn der User selbst sieht, also mitschauen kann was der gerade tut.
Und das alles ohne zusätzliche Software!! Auch ein Admin darf nicht einfach irgendwas irgendwo installieren.

Das mit den Privatdaten wurde falsch verstanden. Es geht z.B. um Krankendaten, Lohndaten usw. also Dinge die nur den betreffenden Sachbearbeiter etwas angehen. (>Datenschutz)

Anlaß für meine Frage ist ein neuer junger Mitarbeiter unserer IT-Abteilung, der solches andeutet (das Grücht geht auch die Runde) und offensichtlich Spaß dran zu haben scheint in anderer Leute Sachen rumzuschnüffeln.

Nur, wie soll mans beweisen?
Wenn er sich verbindet sollte man doch z.B. seine IP sehen können, oder?
maretz
maretz 05.12.2009 um 21:13:09 Uhr
Goto Top
Ähm - als Admin darf man nicht einfach irgendwas installieren??? Genau das is aber doch mein Job - die Software auf den PCs zu installieren.

Ich nutze z.B. eine ganz einfache Remote-Steuerung die sich auch von meinem Platz aus auf dem Client installieren lässt. Dabei habe ich die default-einstellung belassen (Symbol wird angezeigt und der User bekommt ne Nachricht). DAS kann ich aber auch abschalten - und dann sehe ich alles was der User sieht und ich kann Eingaben (per tastatur / maus) so machen als würde der davor das machen...

Und: Natürlich kannst du während der Verbindung die IP des Admins sehen - nur würdest du bei mir nie wissen DAS ich mich verbunden habe!

Ich würde hier eh ganz anders vorgehen. Ich würde mit dem Abteilungsleiter der EDV sprechen. Denn: DAS ist definitiv nen ganz ernsthaftes Problem - als Admin hat man IMMER eine Sonderstellung im Betrieb. Ich kann bei uns prinzipiell auch in alle Daten reingucken - aber meine Position hat eine besondere Vertrauensstellung so das die Leute wissen das ich das nicht tun werde. Der Admin ist (edv-mäßig) zwar immer die mächtigste Person im Betrieb - aber dadurch auch gleich die schwächste. Ich bin selbst auch Leiter der EDV (auch wenn ich nur einen Kollegen darunter habe) - aber würde sich jemand bei mir melden das solche Sprüche kommen würde es ne ganz klare Ansage geben.

Was du weiterhin machen kannst: Mal dem jungen Kollegen erklären das er als Admin deutlich höhere Rechtliche Anforderungen hat als normale Mitarbeiter. So sollte ein Mitarbeiter der EDV auch wissen was Datenschutz, Privatsspähre usw. bedeutet - und welche Probleme das geben kann wenn man sich da einfach drüber hinwegsetzt.

Wenn weiterhin solche Gerüchte bestehen dann würde ich darum bitten das die Daten ab sofort verschlüsselt abgelegt werden - wobei sich dann die Sachbearbeiter z.t. um die Datensicherung kümmern müssen.

Bitte habe aber auch verständnis das ich dir nicht genau schildere wie man sowas macht. Hier lesen leider auch ne Menge Kiddys mit - und die möchte ich nicht auf dumme Ideen bringen. Die EDV-Betreuenden Personen in den Schulen werden dieses vermutlich nachvollziehen und begrüßen...
newnetti
newnetti 05.12.2009 um 22:26:58 Uhr
Goto Top
Man sitzt als Admin zwischen den Stühlen.
Stuhl 1: Geschäftsleitung
Stuhl 2: Belegschaft.
Stuhl 3: Betriebsrat

Hier helfen meist nur klare Regeln. Ab wann erhalten Personen überhaupt Zugriff auf Sensible Daten. Ab wann zwingt die Notwendigkeit einen Admin in Daten der Geschäftsleitung oder des Personals reinzuschauen. Wie darf ein Admin mit diesen Daten umgehen. Eine Weitergabe der Daten an nicht autorisierte Dritte kann schon ein Kündigungsgrund sein.Siehe Datenschutz usw.. Die Geschäftsleitung sollte nur Personen zum Administrator ernennen, zu der Sie auch vertrauen hat.

Ich selbst habe bereits durch Meldungen eines Virenscanners über einen Virus PCs auf den Kopf gestellt. Was man hier teilweise fand war nicht mehr witzig und es half auch nur noch ein intensives Gespräch zwischen Betriebsrat, Mitarbeitern die mit dem PC arbeiten und der entsprechenden Abteilungsleitung. Mit personellen Entscheidungen als Resultat.

Sinnvolle Audits auf dem Server oder einem Client helfen um auch auf Seiten der Administratoren Missbrauch aufzudecken.
Technisch ist alles möglich. Erlaubt ist es erst bei auftretender Notwendigkeit unter der Berücksichtigung des Datenschutzes.

Ich muss Maretz recht geben, das Thema ist brisant.

Folgendes würde ich tun:
1. Gespräch mit dem jungen Kollegen und ihn direkt auf das Gerücht ansprechen.
2. Wenn es nicht hilft : Mit der EDV Leitung
3. Wenn es immer noch nicht Hilft : Gespräch mit der Geschäftsleitung und allen beteiligten.

LG Newnetti
84331
84331 05.12.2009 um 23:15:19 Uhr
Goto Top
XP lässt nur eine anmeldung zu entweder du oder der Remote
maretz
maretz 06.12.2009 um 09:11:14 Uhr
Goto Top
@84331: Sorry - aber das ist Unsinn... XP lässt ggf. nur eine Anwendung zu - das ist richtig. Aber mit den ganzen Remote-Tools (ich nenne hier nur mal VNC) übernimmt die User-Session und man guckt so mit auf den User-Bildschirm...

Wenn man andere Tools nimmt und die "richtig" einstellt dann macht man das auch - und der User merkt mal so rein gar nichts...

Ein wort noch am Rande: Als Admin hat man noch nen Stuhl für sich... Den Rechtlichen - denn bei einigen Sachen ist es sogar pflicht dieses zur Anzeige zu bringen, egal was die GL usw. sagen...
Balisto
Balisto 06.12.2009 um 11:21:47 Uhr
Goto Top
Für mich wirds immer verwirrender....

Meine Frage war klar und eindeutig:

Ist es OHNE am Client installierte Zusatzsoftware, also nur mit windowseigenen Mitteln (Windows XP), möglich einem User bei der Arbeit UNBEMERKT zuzusehen?
Und zwar so, daß man seinen Bildschirm genau so sieht wie er selbst - und er merkt nicht daß er einen Zuschauer hat.

Daß sowas mit allen möglichen (erlaubten oder unerlaubten) Tools geht ist klar, aber darum gehts mir nicht.
maretz
maretz 06.12.2009 um 12:19:36 Uhr
Goto Top
Was ist daran so wichtig ob es ohne Zusatzsoftware ist oder nicht? Du merkst nicht das die SW auf deinem Rechner ist - und wenn ich mich abmelde is die auch wieder verschwunden... D.h. die SW ist nur solange auf dem Rechner wie ich auch zugucke...

Ansonsten wird es ganz ohne Zusatzsoftware nicht gehen - aber wie gesagt, das ist unerheblich weil du von der SW nichts sehen wirst... Und wenn man jetzt noch die komplett illegalen Tools hinzuzieht (die nur dafür da sind die Daten auszuspähen) dann siehst du die nichtmal während ich dich beobachte - da die sich selbst im Task-Manager verstecken würden... Und nur um es klar zu machen: Um dir die SW zu installieren benötige ich KEINEN Zugang zu deinem Rechner -> es reicht wenn der am Netz hängt und ich die Adresse kenne. Das Admin-PW hat der Admin ja eh - also ist das kein Problem... (und deine FW-Einstellungen usw. kann man bereits über die Domänen-Anmeldung aushebeln - d.h. die Firewall würde mich nichtmal intressieren...)
newnetti
newnetti 06.12.2009 um 12:29:41 Uhr
Goto Top
Danke Maretz für den vierten Stuhl.
Den hat ich gestern ganz vergessen face-sad
Balisto
Balisto 06.12.2009 um 14:56:39 Uhr
Goto Top
Danke maretz, das war jetzt eine eindeutige und klare Antwort.

Nun eine nächste Frage - kann man das verhindern?
Ich bin in der Situation in dieser Firma gewisse Anordnungen treffen zu können und hätte nun gerne gewußt, ob ich solche Zugriffe auf gewissen Rechnern unterbinden kann. Also anordnen, daß diese 2 oder 3 betroffenen Rechner so konfiguriert werden (oder eine entsprechende Software draufkommt), daß so etwas verhindert wird.
maretz
maretz 06.12.2009 um 15:08:01 Uhr
Goto Top
Und wer trifft die Umsetzung? Der Admin...

Sorry - aber suche das Gespräch mit der EDV-Abteilung. Alles andere ist bullshit. Du bittest den Admin das er nen Rechner von seinem Zugriff ausschließt?
a) Wie prüfst du ob er das auch wirklich gemacht hat?
b) Wie möchtest du diese Rechner ab jetzt sichern? Der Admin (und andere Admin-Gleiche Konten) haben ja keinen Zugriff mehr darauf. Und die Files müssen schon lokal liegen - sonst brauch der Admin nicht den Bildschirm anzusehen, er nimmt einfach die File vom Server...

Und nehmen wir mal an du möchtest das ich mich selbst aussperre... Wer sagt dir das ich nicht gleich ne Backdoor mit einsetze? D.h. Verbindungen von allen Rechnern werden abgelehnt (ausser wenn die IP 192.168.0.5 ist...). Also schalte ich mich dann kurz auf die IP - und habe den Zugriff...

So hart es für dich zu akzeptieren sein mag - aber der Admin ist eben eine Person mit besonderem Vertrauensstatus. Wenn du den nicht hast dann musst du das mit den Leuten klären - wobei im Zweifel die Antwort lauten kann das einer von euch oder von den EDV-Leuten den Betrieb verlässt...