Sicherer Speicherbereich für den Betriebsrat
In unserem Unternehmen (ca 50 Angestellte) wurde ein Betriebsrat gegründet.
Hallo Ihr Lieben!
In unserem recht kleinen Unternehmen mit ca 50 Angestellten, wurde ein Betriebsrat gegründet/gewählt. Wie Ihr Euch denken könnt, hat das schon für einigen Unmut bei der Geschäftsführung gesorgt. Ich als Admin soll nun einen sicheren Speicherort für den Betriebsrat zur Verfügung stellen, der möglichst keine Kosten verursacht. Das mit den Kosten bekomme ich hin, aber "sicher vor dem Zugriff Unbefugter" ??? Die 50 Angestellten sind alles Softwareentwickler und viele von denen wissen besser als ich wie man an Daten herankommt, die sie nichts angehen.
Meine Frage ist: wie habt Ihr das Problem gelöst, welche Ideen habt Ihr in Euren Unternehmen umgesetzt?
Freue mich auf viele Denkanstöße und wünsche Euch eine entspannte Woche
Frank
Zur Umgebung:
Windows Active Directory auf Server 2003, Fileserver Windows 2008R2, diverse Windows 2003/2008R2 Memberserver und diverse SLES Maschinen.
Betriebsrat besteht aus 3 Personen.
Hallo Ihr Lieben!
In unserem recht kleinen Unternehmen mit ca 50 Angestellten, wurde ein Betriebsrat gegründet/gewählt. Wie Ihr Euch denken könnt, hat das schon für einigen Unmut bei der Geschäftsführung gesorgt. Ich als Admin soll nun einen sicheren Speicherort für den Betriebsrat zur Verfügung stellen, der möglichst keine Kosten verursacht. Das mit den Kosten bekomme ich hin, aber "sicher vor dem Zugriff Unbefugter" ??? Die 50 Angestellten sind alles Softwareentwickler und viele von denen wissen besser als ich wie man an Daten herankommt, die sie nichts angehen.
Meine Frage ist: wie habt Ihr das Problem gelöst, welche Ideen habt Ihr in Euren Unternehmen umgesetzt?
Freue mich auf viele Denkanstöße und wünsche Euch eine entspannte Woche
Frank
Zur Umgebung:
Windows Active Directory auf Server 2003, Fileserver Windows 2008R2, diverse Windows 2003/2008R2 Memberserver und diverse SLES Maschinen.
Betriebsrat besteht aus 3 Personen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185015
Url: https://administrator.de/forum/sicherer-speicherbereich-fuer-den-betriebsrat-185015.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
18 Kommentare
Neuester Kommentar
Sauber gesetzte NTFS Rechte sollten den Zugriff schon verhindern können, wenn die anderen keine Adminrechte haben, keinen physischen Zugriff auf die Maschine um mal ein Knoppix booten zu können oder Zugriff auf die Backups haben.
Wenn die anderen Adminrechte haben, hast Du praktisch eh schon verloren.
Und wenn Du solche Bedenken hast, natürlich muß der Betriebsrats-PC auch frei von selbergeschiebener Spionagesoftware sein.
Wenn die anderen Adminrechte haben, hast Du praktisch eh schon verloren.
Und wenn Du solche Bedenken hast, natürlich muß der Betriebsrats-PC auch frei von selbergeschiebener Spionagesoftware sein.
Ciao Frank,
wie wäre es wenn du eine Gruppe erstellst im AD für Betriebsrat.
Dort nimmst du die 3 User rein.
Dann erstellst du ein Share und gibts nur der Gruppe Betriebsrat Zugriff.
Dann könntest du das Share z.B. als Netzlaufwerk für die 3 User bereitstellen ...
Ich hoffe die restlichen User haben die Admin-Passwörter bzw. die Passwörter der 3 User nicht - ansonsten ist alles für die Katz ;)
Und natürlich auch keine Admin-Rechte
EDIT: too slow
Gruß
zanko
wie wäre es wenn du eine Gruppe erstellst im AD für Betriebsrat.
Dort nimmst du die 3 User rein.
Dann erstellst du ein Share und gibts nur der Gruppe Betriebsrat Zugriff.
Dann könntest du das Share z.B. als Netzlaufwerk für die 3 User bereitstellen ...
Ich hoffe die restlichen User haben die Admin-Passwörter bzw. die Passwörter der 3 User nicht - ansonsten ist alles für die Katz ;)
Und natürlich auch keine Admin-Rechte
EDIT: too slow
Gruß
zanko
Hi,
Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche
Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein wenig relativiert, gelle?
Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...
LG, Thomas
Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche
Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein wenig relativiert, gelle?
Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...
LG, Thomas
/me 2
Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein
wenig relativiert, gelle?
Aus meiner Angestelltenzeit weiß ich, daß der Streit eher darum geht, was notwendig und was "Luxus" ist.
Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die
lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...
Das problem ist, daß der Netzwerlverkehr im Klartext ist. sinnvoller wäre ein eigenständiger Rechner der vom rest abgeschottet ist. ist zwar unbequem, imme rdorthin latschen zu müssen, aber dafür sicherer.
lks
Moin.
Die Frage ist doch zunächst: "wer ist unbefugt?" Und: "kann man den Schutz überhaupt erreichen?"
Auch Verschlüsselungen erfordern Kennwörter. Diese per Tastatur einzugeben auf einem System, dass man (der BR) nicht selbst administriert, ist nicht sicher. Der GF oder wer auch immer, könnte einen Admin bestechen, ihm Kennwörter per Keylogger mitschreiben zu lassen und das war's dann mit dem Schutz. Das klingt zunächst vielleicht übertrieben, aber ich würde danach handeln.
Der einzige Weg, den Windows bietet, der halbwegs annehmbar ist, ist NTFS-Überwachung. Zeichne auf, wer die Freigabe des Betriebsrates öffnet und gib dem BR die Möglichkeit, dies zu prüfen. Manipuliert jemand die Einstellungen oder löscht gar das Log, wird dies nämlich auch geloggt. Aber: was ist mit offline-Zugriffen?
Quintessenz für mich: man müsste eine Verschlüsselung einsetzen und eine nicht mitlogbare Authentifizierung implementieren, wenn man es ernst meint. [Edit] Selbst dann kann jeder weitere Tastaturanschlag aufgezeichnet werden und es können natürlich auch Bildschirmfotos erstellt werden.
Der Ansatz von Lochkartenstanzer mit dem eigenen Rechner ist natürlich auch gut, aber können die BRs das? Können sie den schützen? MIt Vollverschlüsselung sollte man eine solide Basis dafür schaffen können. Bleibt nur noch die Frage, ob das mit dem einzelnen Rechner praktikabel ist.
Die Frage ist doch zunächst: "wer ist unbefugt?" Und: "kann man den Schutz überhaupt erreichen?"
Auch Verschlüsselungen erfordern Kennwörter. Diese per Tastatur einzugeben auf einem System, dass man (der BR) nicht selbst administriert, ist nicht sicher. Der GF oder wer auch immer, könnte einen Admin bestechen, ihm Kennwörter per Keylogger mitschreiben zu lassen und das war's dann mit dem Schutz. Das klingt zunächst vielleicht übertrieben, aber ich würde danach handeln.
Der einzige Weg, den Windows bietet, der halbwegs annehmbar ist, ist NTFS-Überwachung. Zeichne auf, wer die Freigabe des Betriebsrates öffnet und gib dem BR die Möglichkeit, dies zu prüfen. Manipuliert jemand die Einstellungen oder löscht gar das Log, wird dies nämlich auch geloggt. Aber: was ist mit offline-Zugriffen?
Quintessenz für mich: man müsste eine Verschlüsselung einsetzen und eine nicht mitlogbare Authentifizierung implementieren, wenn man es ernst meint. [Edit] Selbst dann kann jeder weitere Tastaturanschlag aufgezeichnet werden und es können natürlich auch Bildschirmfotos erstellt werden.
Der Ansatz von Lochkartenstanzer mit dem eigenen Rechner ist natürlich auch gut, aber können die BRs das? Können sie den schützen? MIt Vollverschlüsselung sollte man eine solide Basis dafür schaffen können. Bleibt nur noch die Frage, ob das mit dem einzelnen Rechner praktikabel ist.
@DerWoWusste - das mit dem bestechenden Admin ist ein guter Einwand, aber würdest du dich vom der GF bestechen lassen?
Ich denke das die GF und der Admin sicherlich genau weiß das das absolut untragbar ist - und auch vor Gericht nicht gerade rosig aussieht ...
but thats OT ;)
Aber wie du sagst - wer was kann und wer sollte für was verantwortlich sein, sollte schon geklärt sein ...
Gruß
Ich denke das die GF und der Admin sicherlich genau weiß das das absolut untragbar ist - und auch vor Gericht nicht gerade rosig aussieht ...
but thats OT ;)
Aber wie du sagst - wer was kann und wer sollte für was verantwortlich sein, sollte schon geklärt sein ...
Gruß
Das kingt alles ein bisschen mehr nach George Orwell als nach Lebensnähe So ein kleines Unternehmen ist doch nicht die NSA? Ich glaube eigentlich kaum, dass eine normal agierende Geschäftsführung soviel kriminelle Energie aufwendet, um die Daten des Betriebsrates zu knacken. Dafür geht es im Härtefall schon auch mal in den Knast ...
LG, Thomas
LG, Thomas
Einfach eigene Betriebsrat-Infrastruktur:
Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.
Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.
Ich habe damals diese Variante bei einem meiner Arbeitgeber umgessetzt. D. h. eigener abgeschlossener Raum, eigener Rechner inkl. Verschlüsselung, eigener Drucker und zusätzlich noch eine externe Festpaltte zwecks Datensicherung - alles verschlüsselt.
Der Support lief ausschließlich bei mir ein und auch nur im Beisein zweier BR-Mitglieder.
Ich hatte damit kein Problem. Ich muß allerdings auch anmerken, daß es ein größeres Unternehmen war, mit 7 BR-Mitgliedern. Zudem war das verhältnis zwichen BR und GF im Allgemeinen positiv.
OK, Meinungsverschiedenheiten gibt es immer mal.
Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor
kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im
kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im
wenn so etwas vorkommt, sind die normalen Arbeitsplatzrechne rnciht vertrauenswürdig.
Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud).
Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was
meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?
Eigene, vom betriebsrat oder einem vertrauenswürdigen Admin verwaltete Kiste. Auch wenn man per ssl auf externe Postfächer zugreift. Die daten landen ja doch irgendwann auf der lokalen Platte, z.B. im cache und können ausgelesen werden. Um das sauber hinzubekommen, muß man da relativ großen Aufwand treiben.
Ein eigener rechner ist zwar auch kompromittierbar, sollte aber mirt weniger aufwand zu schützen sein.
lks
Das ist ja echt übel... was haltet ihr von einem eigenem Netz, Zugang zum Internet über VPN, Emails, Kalender & Co. evtl über ein GMail Business Konto oder MS Office 365.
GMail hätte den Vorteil das die Dateien über GDrive auch gleich verschlüsselt übertragen werden. Alternativ noch Dropbox, wenn die Netze getrennt sind.
Eine Idee wäre noch, einen VPN Hoster zu verwenden und dann 3 Laptops mit UMTS. Die Laufwerke mit einer Intel SSD die Hardwareverschlüsselt ist und einem _sicheren_ Schlüssel.
(dann hat sicher keiner Zugriff auf die HDD & es kann euch keiner in die Internetverbindung reinpfuschen!)
Backups dann auf eine 2,5 Zoll HDD, ebenfalls verschlüsselt.
GMail hätte den Vorteil das die Dateien über GDrive auch gleich verschlüsselt übertragen werden. Alternativ noch Dropbox, wenn die Netze getrennt sind.
Eine Idee wäre noch, einen VPN Hoster zu verwenden und dann 3 Laptops mit UMTS. Die Laufwerke mit einer Intel SSD die Hardwareverschlüsselt ist und einem _sicheren_ Schlüssel.
(dann hat sicher keiner Zugriff auf die HDD & es kann euch keiner in die Internetverbindung reinpfuschen!)
Backups dann auf eine 2,5 Zoll HDD, ebenfalls verschlüsselt.