blackstar
Goto Top

Sicherer Speicherbereich für den Betriebsrat

In unserem Unternehmen (ca 50 Angestellte) wurde ein Betriebsrat gegründet.

Hallo Ihr Lieben!

In unserem recht kleinen Unternehmen mit ca 50 Angestellten, wurde ein Betriebsrat gegründet/gewählt. Wie Ihr Euch denken könnt, hat das schon für einigen Unmut bei der Geschäftsführung gesorgt. Ich als Admin soll nun einen sicheren Speicherort für den Betriebsrat zur Verfügung stellen, der möglichst keine Kosten verursacht. Das mit den Kosten bekomme ich hin, aber "sicher vor dem Zugriff Unbefugter" ??? Die 50 Angestellten sind alles Softwareentwickler und viele von denen wissen besser als ich wie man an Daten herankommt, die sie nichts angehen.

Meine Frage ist: wie habt Ihr das Problem gelöst, welche Ideen habt Ihr in Euren Unternehmen umgesetzt?

Freue mich auf viele Denkanstöße und wünsche Euch eine entspannte Woche


Frank


Zur Umgebung:
Windows Active Directory auf Server 2003, Fileserver Windows 2008R2, diverse Windows 2003/2008R2 Memberserver und diverse SLES Maschinen.
Betriebsrat besteht aus 3 Personen.

Content-ID: 185015

Url: https://administrator.de/forum/sicherer-speicherbereich-fuer-den-betriebsrat-185015.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

SlainteMhath
SlainteMhath 15.05.2012 um 11:48:57 Uhr
Goto Top
Moin,

da du nicht naeher auf deine Server und Clientumgebung eingehst...versuchs doch mal mit einem TrueCrypt Container auf einem Netzlaufwerk. Passphrase sollte ausschlkiesslich der BR kennen.

lg,
Slainte
Alchimedes
Alchimedes 15.05.2012 um 11:51:26 Uhr
Goto Top
Hallo,

vergiss was ich geschrieben hatte.
Hat sich erledigt... da kein Samba.

Gruss
AndreasHoster
AndreasHoster 15.05.2012 um 11:55:01 Uhr
Goto Top
Sauber gesetzte NTFS Rechte sollten den Zugriff schon verhindern können, wenn die anderen keine Adminrechte haben, keinen physischen Zugriff auf die Maschine um mal ein Knoppix booten zu können oder Zugriff auf die Backups haben.
Wenn die anderen Adminrechte haben, hast Du praktisch eh schon verloren.

Und wenn Du solche Bedenken hast, natürlich muß der Betriebsrats-PC auch frei von selbergeschiebener Spionagesoftware sein.
kontext
kontext 15.05.2012 um 11:55:09 Uhr
Goto Top
Ciao Frank,

wie wäre es wenn du eine Gruppe erstellst im AD für Betriebsrat.
Dort nimmst du die 3 User rein.

Dann erstellst du ein Share und gibts nur der Gruppe Betriebsrat Zugriff.
Dann könntest du das Share z.B. als Netzlaufwerk für die 3 User bereitstellen ...

Ich hoffe die restlichen User haben die Admin-Passwörter bzw. die Passwörter der 3 User nicht - ansonsten ist alles für die Katz ;)
Und natürlich auch keine Admin-Rechte face-smile

EDIT: too slow

Gruß
zanko
SlainteMhath
SlainteMhath 15.05.2012 um 11:57:15 Uhr
Goto Top
Ein Verzeichnis anlegen, der Gruppe BR Vollzugriff geben, alle anderen Benutzer und Gruppen entfernen.
Somit kann der (Domain-)Admin nur zugreifen, wenn er den Besitzt über den Order/Die Dateien übernimmt (und das lässt sich nchvollziehen)
hajowe
hajowe 15.05.2012 um 11:59:05 Uhr
Goto Top
Hallo

Vielleicht wäre es noch interessant zusätzlich die Laufwerksüberwachung für aller Zugriffe
einzuschalten. Bringt natürlich nur etwas wenn sie auch wirklich geprüft wird.

Gruß
hajowe
Lochkartenstanzer
Lochkartenstanzer 15.05.2012 um 12:01:42 Uhr
Goto Top
Mein vorschlag:

Einfach eigene Betriebsrat-Infrastruktur:

Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.

Das "Darf nichts Kosten" ist kein Argument. Die GL muß dem Betriebsrat ein geeignetes Arbeitsmittel zur Verfügung stellen.

lks
keine-ahnung
keine-ahnung 15.05.2012 um 12:05:16 Uhr
Goto Top
Hi,

Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche face-wink

Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein wenig relativiert, gelle?

Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 15.05.2012 um 12:14:09 Uhr
Goto Top
Zitat von @keine-ahnung:
Hi,

Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche face-wink

/me 2


Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein
wenig relativiert, gelle?

Aus meiner Angestelltenzeit weiß ich, daß der Streit eher darum geht, was notwendig und was "Luxus" ist.


Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die
lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...


Das problem ist, daß der Netzwerlverkehr im Klartext ist. sinnvoller wäre ein eigenständiger Rechner der vom rest abgeschottet ist. ist zwar unbequem, imme rdorthin latschen zu müssen, aber dafür sicherer.

lks
DerWoWusste
DerWoWusste 15.05.2012 um 12:49:22 Uhr
Goto Top
Moin.

Die Frage ist doch zunächst: "wer ist unbefugt?" Und: "kann man den Schutz überhaupt erreichen?"
Auch Verschlüsselungen erfordern Kennwörter. Diese per Tastatur einzugeben auf einem System, dass man (der BR) nicht selbst administriert, ist nicht sicher. Der GF oder wer auch immer, könnte einen Admin bestechen, ihm Kennwörter per Keylogger mitschreiben zu lassen und das war's dann mit dem Schutz. Das klingt zunächst vielleicht übertrieben, aber ich würde danach handeln.

Der einzige Weg, den Windows bietet, der halbwegs annehmbar ist, ist NTFS-Überwachung. Zeichne auf, wer die Freigabe des Betriebsrates öffnet und gib dem BR die Möglichkeit, dies zu prüfen. Manipuliert jemand die Einstellungen oder löscht gar das Log, wird dies nämlich auch geloggt. Aber: was ist mit offline-Zugriffen?

Quintessenz für mich: man müsste eine Verschlüsselung einsetzen und eine nicht mitlogbare Authentifizierung implementieren, wenn man es ernst meint. [Edit] Selbst dann kann jeder weitere Tastaturanschlag aufgezeichnet werden und es können natürlich auch Bildschirmfotos erstellt werden.

Der Ansatz von Lochkartenstanzer mit dem eigenen Rechner ist natürlich auch gut, aber können die BRs das? Können sie den schützen? MIt Vollverschlüsselung sollte man eine solide Basis dafür schaffen können. Bleibt nur noch die Frage, ob das mit dem einzelnen Rechner praktikabel ist.
kontext
kontext 15.05.2012 um 12:56:02 Uhr
Goto Top
@DerWoWusste - das mit dem bestechenden Admin ist ein guter Einwand, aber würdest du dich vom der GF bestechen lassen?
Ich denke das die GF und der Admin sicherlich genau weiß das das absolut untragbar ist - und auch vor Gericht nicht gerade rosig aussieht ...
but thats OT ;)

Aber wie du sagst - wer was kann und wer sollte für was verantwortlich sein, sollte schon geklärt sein ...

Gruß
keine-ahnung
keine-ahnung 15.05.2012 um 13:10:54 Uhr
Goto Top
Das kingt alles ein bisschen mehr nach George Orwell als nach Lebensnähe face-wink So ein kleines Unternehmen ist doch nicht die NSA? Ich glaube eigentlich kaum, dass eine normal agierende Geschäftsführung soviel kriminelle Energie aufwendet, um die Daten des Betriebsrates zu knacken. Dafür geht es im Härtefall schon auch mal in den Knast ...

LG, Thomas
kontext
kontext 15.05.2012 um 13:14:30 Uhr
Goto Top
@keine#ahnung - klar das schon - aber es wird ja hier von einem sicheren Speicherbereich gesprochen ...
... auch wenn es nicht Lebensnah ist - es kann vorkommen face-smile

Gruß
Blackstar
Blackstar 15.05.2012 um 13:56:21 Uhr
Goto Top
Hallo Leute, freue mich über die rege Beteiligung an diesem Thema.
"So ein kleiner Laden ist doch nicht die NSA"... hehehe das ist richtig, so ein kleiner Laden hat normalerweise aber auch keinen Betriebsrat. Der ist schon aus treffenden Gründen ins Leben gerufen worden.
Ein - wie auch immer- geschützter Bereich innerhalb der AD scheidet meiner Ansicht nach auf jeden Fall aus. Erstens: Die Datensicherung. Diese wird auf Bändern bei einem Bereichsleiter zu Hause ausgelagert. Zweitens: Für den Fall des Totalausfalls der IT-Administration und im Zuge der Desasterrecoverystrategie existiert eine Passwortliste, auf die die Geschäftsleitung unkontrollierbar Zugriff hat.
Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im Büro ist und die Remotedesktopsitzung als Domänenadmin geöffnet war, kann ich davon ausgehen, daß das Administrationspasswort anderswo bekannt ist.

Die Idee mit dem NAS finde ich ganz gut, sofern wie schon von Euch erwähnt, die Übertragung verschlüsselt verläuft.

Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud). Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?

Vielen Dank für all Eure Tips!

Ich freue mich auf weitere.


Besten Gruß

Frank
Penny.Cilin
Penny.Cilin 15.05.2012 um 14:02:45 Uhr
Goto Top
Einfach eigene Betriebsrat-Infrastruktur:

Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.

Ich habe damals diese Variante bei einem meiner Arbeitgeber umgessetzt. D. h. eigener abgeschlossener Raum, eigener Rechner inkl. Verschlüsselung, eigener Drucker und zusätzlich noch eine externe Festpaltte zwecks Datensicherung - alles verschlüsselt.
Der Support lief ausschließlich bei mir ein und auch nur im Beisein zweier BR-Mitglieder.

Ich hatte damit kein Problem. Ich muß allerdings auch anmerken, daß es ein größeres Unternehmen war, mit 7 BR-Mitgliedern. Zudem war das verhältnis zwichen BR und GF im Allgemeinen positiv.
OK, Meinungsverschiedenheiten gibt es immer mal.
Lochkartenstanzer
Lochkartenstanzer 15.05.2012 um 14:28:19 Uhr
Goto Top
Zitat von @Blackstar:

Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor
kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im

wenn so etwas vorkommt, sind die normalen Arbeitsplatzrechne rnciht vertrauenswürdig.


Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud).
Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was
meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?

Eigene, vom betriebsrat oder einem vertrauenswürdigen Admin verwaltete Kiste. Auch wenn man per ssl auf externe Postfächer zugreift. Die daten landen ja doch irgendwann auf der lokalen Platte, z.B. im cache und können ausgelesen werden. Um das sauber hinzubekommen, muß man da relativ großen Aufwand treiben.

Ein eigener rechner ist zwar auch kompromittierbar, sollte aber mirt weniger aufwand zu schützen sein.

lks
102534
102534 15.05.2012 um 18:07:14 Uhr
Goto Top
Das ist ja echt übel... was haltet ihr von einem eigenem Netz, Zugang zum Internet über VPN, Emails, Kalender & Co. evtl über ein GMail Business Konto oder MS Office 365.
GMail hätte den Vorteil das die Dateien über GDrive auch gleich verschlüsselt übertragen werden. Alternativ noch Dropbox, wenn die Netze getrennt sind.

Eine Idee wäre noch, einen VPN Hoster zu verwenden und dann 3 Laptops mit UMTS. Die Laufwerke mit einer Intel SSD die Hardwareverschlüsselt ist und einem _sicheren_ Schlüssel.
(dann hat sicher keiner Zugriff auf die HDD & es kann euch keiner in die Internetverbindung reinpfuschen!)
Backups dann auf eine 2,5 Zoll HDD, ebenfalls verschlüsselt.
Dirmhirn
Dirmhirn 15.05.2012 um 23:55:38 Uhr
Goto Top
HI!

wir haben auch noch keinen BR.
existiert eine Passwortliste
die gibts bei uns auch - aber wozu von allen Nutzern?! ist das rechtlich überhaupt zulässig?
Admin PW in Kuvert ok, aber alle anderen kann man ja zurücksetzen.

sg Dirm