31
Systemhaus auf Abwegen
Hallo zusammen,
bin derzeit ratlos bei dem folgenden Scenario:
In einen Seniorenheim wurde beschlossen, die IT an eine andere Firma zu übergeben.
Der Vertrag mit derzeitigen Systemhaus wurde ordentlich und Fristgerecht gekündigt.
Nach Erhalt der Kündigung, waren der Domainadmin, der Switch , Proxmox Software und Fritzbox,nicht mehr mit hinterlegten Zugangsdaten erreichbar.
Da die Heimleiterin ohne Wissen der System Firma, wegen Installation von Datev temporären Domadmin Zugang hatte , konnte man den Administrator der Domain wieder zugänglich machen.
Die Firma bestreiten das diese Daten geändert wurden.
Die Firma hat „noch „ unüberwachten VPN Zugang.
Frage nun:
Kann man das strafrechtlich verfolgen lassen?
Denn vor Ort ist niemand mit IT wissen, der solche Änderungen durchgeführt hätte und kann.
Software installieren von speziell Software wird von den Softwareentwickler der Anbieter über Remote durchgeführt.
Es gibt vor Ort weder Admin noch EDV geschulte Mitarbeiter .
Die Betreuung lag voll und ganz in Händen des Systemhauses .
Aufgefallen ist es zufällig, da ich gebeten wurde die Domain Admin Rechte der Heimleiterin wieder zurück zu nehmen.
Bei der Anmeldung als Administrator wurde falsches Passwort gemeldet, dieses hatte Tage vorher funktioniert.
Bei Prüfung der anderen Zugänge wurde dann ersichtlich, dass alle heimlich abgeändert wurden.
Grüße
Rocco
bin derzeit ratlos bei dem folgenden Scenario:
In einen Seniorenheim wurde beschlossen, die IT an eine andere Firma zu übergeben.
Der Vertrag mit derzeitigen Systemhaus wurde ordentlich und Fristgerecht gekündigt.
Nach Erhalt der Kündigung, waren der Domainadmin, der Switch , Proxmox Software und Fritzbox,nicht mehr mit hinterlegten Zugangsdaten erreichbar.
Da die Heimleiterin ohne Wissen der System Firma, wegen Installation von Datev temporären Domadmin Zugang hatte , konnte man den Administrator der Domain wieder zugänglich machen.
Die Firma bestreiten das diese Daten geändert wurden.
Die Firma hat „noch „ unüberwachten VPN Zugang.
Frage nun:
Kann man das strafrechtlich verfolgen lassen?
Denn vor Ort ist niemand mit IT wissen, der solche Änderungen durchgeführt hätte und kann.
Software installieren von speziell Software wird von den Softwareentwickler der Anbieter über Remote durchgeführt.
Es gibt vor Ort weder Admin noch EDV geschulte Mitarbeiter .
Die Betreuung lag voll und ganz in Händen des Systemhauses .
Aufgefallen ist es zufällig, da ich gebeten wurde die Domain Admin Rechte der Heimleiterin wieder zurück zu nehmen.
Bei der Anmeldung als Administrator wurde falsches Passwort gemeldet, dieses hatte Tage vorher funktioniert.
Bei Prüfung der anderen Zugänge wurde dann ersichtlich, dass alle heimlich abgeändert wurden.
Grüße
Rocco
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 395107
Url: https://administrator.de/contentid/395107
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
31 Kommentare
Neuester Kommentar
Ist der Vertrag bereits komplett ausgelaufen oder befindet dieser sich noch in der Kündigungsfrist? Wenn er noch in der Kündigungsfrist ist, dann ist eigentlich noch alles in Ordnung, wenn das Systemhaus den Fullservice hatte, da eigentlich der Kunde keinen Zugriff auf die Systeme nehmen sollte, außer es wurde vertraglich anders geregelt.
Wichtig ist, dass der gekündigte Vertragsnehmer mit der finalen Beendigung des Vertrages sämtliche systemrelevanten Daten, darunter auch die Zugangsdaten, herausgibt.
Für weiteres bitte einen entsprechenden Fachanwalt konsultieren.
Wichtig ist, dass der gekündigte Vertragsnehmer mit der finalen Beendigung des Vertrages sämtliche systemrelevanten Daten, darunter auch die Zugangsdaten, herausgibt.
Für weiteres bitte einen entsprechenden Fachanwalt konsultieren.
Moin,
das hängt ja idR von deinen Verträgen ab. Es weiss keiner welche Rechte darin verankert wurden - z.B. Lizenzen die eben an den Service-Vertrag gekoppelt wurden, ob überhaupt ein Übergang darin steht,...
Ich würde jedoch den VPN-Zugang erst mal abschalten und beim nächsten mal ggf. ein seriöses Unternehmen suchen..
das hängt ja idR von deinen Verträgen ab. Es weiss keiner welche Rechte darin verankert wurden - z.B. Lizenzen die eben an den Service-Vertrag gekoppelt wurden, ob überhaupt ein Übergang darin steht,...
Ich würde jedoch den VPN-Zugang erst mal abschalten und beim nächsten mal ggf. ein seriöses Unternehmen suchen..
Hallo Rocco,
und wer bist du in diesem Szenario?
Im weiteren kommt das tatsächlich auf den Vertrag an, außerdem, warum sollte da niemand anderes daran gewesen sein? Gerade in schlecht geplanten Umzügen oder Hau Ruck Aktionen kann auch der neue Systembetreuer viel Quark veranstalten, der dann auf den alten geschoben wird.
VG
und wer bist du in diesem Szenario?
Im weiteren kommt das tatsächlich auf den Vertrag an, außerdem, warum sollte da niemand anderes daran gewesen sein? Gerade in schlecht geplanten Umzügen oder Hau Ruck Aktionen kann auch der neue Systembetreuer viel Quark veranstalten, der dann auf den alten geschoben wird.
VG
oh mann, und das kannst du so ohne den Vertrag zu kennen mal eben klären ob es wirklich "Computersabotage" ist oder ob im Vertrag ggf. sogar geregelt ist das der Kunde keinen Zugriff auf die Systeme bekommen darf?!? Nich schlecht, deine Glaskugel möcht ich haben...
Moin @maretz, im Gegensatz zu dir (haltloses Geschwafel), versuche ich die Frage des TO
schlicht zu beantworten. Ob das in deren Fall zutrifft, muss der TO entscheiden (oder sein Rechtsberater - es gibt noch weitere Punkte / Paragraphen die treffen könnten)
schlicht zu beantworten. Ob das in deren Fall zutrifft, muss der TO entscheiden (oder sein Rechtsberater - es gibt noch weitere Punkte / Paragraphen die treffen könnten)
Ähm... Für Rechtsberatung ist der Anwalt zu konsultieren.
Da auch du die Verträge nicht kennst stellt sich die Frage was für dich "Geschwafel" ist. Da ich mich aber nich auf dem Level unterhalten möchte sei mir nicht böse (oder doch, mir auch recht egal) wenn ich dich einfach ignoriere...
Faktum ist: Keiner kann genaueres sagen, der TO verschwindet wieder in dem Loch, aus dem er kam.
Faktum ist im weiteren: Offensichtlich spricht der TO auf keinem Fachlichen Level, denn sonst würde er sich in fachlich geistesgegenwärtiger Verfassung an einen Anwalt wenden.
Faktum ist abschließend: Sicherlich kann man alles strafrechtlich verfolgen(!) lassen, aber das kann auch schnell die Pistole gegen sich wenden lassen.
Wir sind hier weder Anwälte, noch können (und wollen wir) die Daten einsehen können (abgesehen DSGVO und CO), demnach: Kauf dir die Hilfe, die du brauchst und spiel dich hier nicht so auf.
Faktum ist im weiteren: Offensichtlich spricht der TO auf keinem Fachlichen Level, denn sonst würde er sich in fachlich geistesgegenwärtiger Verfassung an einen Anwalt wenden.
Faktum ist abschließend: Sicherlich kann man alles strafrechtlich verfolgen(!) lassen, aber das kann auch schnell die Pistole gegen sich wenden lassen.
Wir sind hier weder Anwälte, noch können (und wollen wir) die Daten einsehen können (abgesehen DSGVO und CO), demnach: Kauf dir die Hilfe, die du brauchst und spiel dich hier nicht so auf.
Moin...
irgendiwie denke ich es es geht um den TO selber....
Frank
irgendiwie denke ich es es geht um den TO selber....
Die Firma hat „noch „ unüberwachten VPN Zugang.
warum macht ihr den nicht dicht?Frank
Zitat von @Vision2015:
Moin...
irgendiwie denke ich es es geht um den TO selber....
Frank
Moin...
irgendiwie denke ich es es geht um den TO selber....
Die Firma hat „noch „ unüberwachten VPN Zugang.
warum macht ihr den nicht dicht?Frank
Moin Frank,
dann wäre die Frage hier zu stellen aber noch blöder...
Christian
Zitat von @certifiedit.net:
Moin Frank,
dann wäre die Frage hier zu stellen aber noch blöder...
du... sachen gibbet, dat glaubste nich..... Zitat von @Vision2015:
Moin...
irgendiwie denke ich es es geht um den TO selber....
Frank
Moin...
irgendiwie denke ich es es geht um den TO selber....
Die Firma hat „noch „ unüberwachten VPN Zugang.
warum macht ihr den nicht dicht?Frank
Moin Frank,
dann wäre die Frage hier zu stellen aber noch blöder...
Christian
Zitat von @Bingo61:
Hallo zusammen,
bin derzeit ratlos bei dem folgenden Scenario:
In einen Seniorenheim wurde beschlossen, die IT an eine andere Firma zu übergeben.
Hallo zusammen,
bin derzeit ratlos bei dem folgenden Scenario:
In einen Seniorenheim wurde beschlossen, die IT an eine andere Firma zu übergeben.
Normal.
Der Vertrag mit derzeitigen Systemhaus wurde ordentlich und Fristgerecht gekündigt.
Und ist der jetzt beendet? Oder läuft der noch?
Nach Erhalt der Kündigung, waren der Domainadmin, der Switch , Proxmox Software und Fritzbox,nicht mehr mit hinterlegten Zugangsdaten erreichbar.
Ist ja nicht schön, aber nicht schlimm, eventuell sogar ein ganz normaler Vorgang.
Da die Heimleiterin ohne Wissen der System Firma, wegen Installation von Datev temporären Domadmin Zugang hatte , konnte man den Administrator der Domain wieder zugänglich machen.
Das ist nicht gut. Also das offenbar ein Benutzer Domänenadmin war. Und das der (vermutlich) verantwortlichen Stelle nicht mitzuteilen ist schon ziemlich schlecht.
Die Firma bestreiten das diese Daten geändert wurden.
Ich vermute die Firma bestreitet das diese Daten von der Firma geändert wurden?
Die Firma hat „noch „ unüberwachten VPN Zugang.
Warum? Ist das Teil des (noch laufenden) Vertrages? Wenn ja, wo ist hier das Problem?
Frage nun:
Kann man das strafrechtlich verfolgen lassen?
Man kann nichts strafrechtlich verfolgen lassen. Man kann das höchstens beantragen oder anzeigen. Aber was genau willst Du denn strafrechtlich verfolgen lassen? Welcher Schaden ist entschanden?
Denn vor Ort ist niemand mit IT wissen, der solche Änderungen durchgeführt hätte und kann.
Also die Heimleiterin hat Domänenadminrechte (gehabt). Für irgendwas (Datevinstallation) waren die ja gut. Ich bin mir sehr sicher das jemand der im Heim dann Datev installiert und dafür Domänenadminrechte brauchte auch weiss wie man Kennwörter ändert.Software installieren von speziell Software wird von den Softwareentwickler der Anbieter über Remote durchgeführt.
Aha, so ganz ohne Rechte und Wissen?
Es gibt vor Ort weder Admin noch EDV geschulte Mitarbeiter .
Auch ungeschulte Mitarbeiter können Kennwörter ändern.
Die Betreuung lag voll und ganz in Händen des Systemhauses .
Nein, tat sie nach Deinen Angaben ja nicht, siehe Domänenadminrechte Heimleiterin, speziell Software Entwickler und "hinterlegte Kennwörter"
Aufgefallen ist es zufällig, da ich gebeten wurde die Domain Admin Rechte der Heimleiterin wieder zurück zu nehmen.
Ach, ich denke es gibt bei Euch niemanden der das kann?
Bei der Anmeldung als Administrator wurde falsches Passwort gemeldet, dieses hatte Tage vorher funktioniert.
Macht ja nichts.Bei Prüfung der anderen Zugänge wurde dann ersichtlich, dass alle heimlich abgeändert wurden.
Na, dann schaut man mal in die entsprechenden Logfiles. Euer neuer Betreuer wird das sicherlich problemlos können.Grüße
Rocco
Rocco
Insgesamt, vor allem weil wichtige Informationen fehlen, kann ich hier weder Abwege noch Sabotagen oder sonst was erkennen. Das einzige was ich hier sehe sind ziemlich viele Ungereimtheiten.
Vom Bauchgefühl her würde ich sagen das die Heimleitung ziemlich schlecht beraten ist.
Sollte dem Heim ein Schaden entstanden sein solltet Ihr Strafanzeige gegen Unbekannt stellen, am bestem in Zusammenarbeit mit einem Fachanwalt.
Ist kein Schaden entstanden, sollte das Heim sich professionelles IT Management zulegen/einkaufen.
<OT>
Bei derartigen Fragen habe ich immer die Befürchtung, dass bei Postings unter "Rechtliche Fragen" tatsächlich eine Art Rechtsberatung erwartet wird. Vielleicht sollte die Rubrik irgendwie umbenannt werden - hab aber im Moment auch keine Idee dazu.
</OT>
Bei derartigen Fragen habe ich immer die Befürchtung, dass bei Postings unter "Rechtliche Fragen" tatsächlich eine Art Rechtsberatung erwartet wird. Vielleicht sollte die Rubrik irgendwie umbenannt werden - hab aber im Moment auch keine Idee dazu.
</OT>
Hallo,
„Computerrecht - keine Rechtsberatung!“
Gruß,
Jörg
„Computerrecht - keine Rechtsberatung!“
Gruß,
Jörg
Zitat von @117471:
Hallo,
„Computerrecht - keine Rechtsberatung!“
Hallo,
„Computerrecht - keine Rechtsberatung!“
Da würde es auch reichen einfach den jetzigen Titel um " keine Rechtsberatung" zu erweitern.
lks
Moin,
Die Kollegen haben eingetlich alles wesentliche dazu gesagt:
Wenn Ihr einen Vertrag habt, daß der Dienstleister alles machen soll, dann kann der natürlich Adminpaßwörter so setzen, wie er es für richtig hält, solange die Dinetse erbracht ewrden, die vereinbart sind.
Wenn der Vertrag gekündigt wurde, so ist es Aufgabe des Dienstleister für einen geordnete Übergabe diese paßwörter zu dokumentieren und euch zu übergeben und Eure Aufgabe ist es, dies einzufordern.
Wenn nun bei Euch personen vorhanden sind, die Adminpaßwörter kennen, haben diese natürlcih auch die Möglichkeit auch Paßwörter zu ändern.
Wenn Ihr es nun versäumt habt, ohre prozesse so auszurichten, daß bei solchen Änderungen mitgeloggt wird, wer diese Änderungen durchführt, so ist es im nachhinein schwirig dem ehemaligen Dienstleister oder einem eigenen Mitarbeiter nachzuweisen, daß er es war.
Die Mitarbeiter werden natürlich abstreiten, es gewesen zu sein, selbst wenn sie es waren..
Mein Fazit: Schau in die veträge und sorge dafür, daß Ihr einen geordneten Übergang mit aktueller Dokumentaiotn habt. Alles ander sollte durch die Anwälte geregelt werden.
lks
PS: Wenn der konkrete Verdacht der Sabotage besteht, kann man natürlich Anzeige bei der Polizei oder Staatsanwalt erstatten. Ob das dann zum gewünschten ergebnis ührt oder ncith, wird dann auf die Beweislage ankommen.
Die Kollegen haben eingetlich alles wesentliche dazu gesagt:
Wenn Ihr einen Vertrag habt, daß der Dienstleister alles machen soll, dann kann der natürlich Adminpaßwörter so setzen, wie er es für richtig hält, solange die Dinetse erbracht ewrden, die vereinbart sind.
Wenn der Vertrag gekündigt wurde, so ist es Aufgabe des Dienstleister für einen geordnete Übergabe diese paßwörter zu dokumentieren und euch zu übergeben und Eure Aufgabe ist es, dies einzufordern.
Wenn nun bei Euch personen vorhanden sind, die Adminpaßwörter kennen, haben diese natürlcih auch die Möglichkeit auch Paßwörter zu ändern.
Wenn Ihr es nun versäumt habt, ohre prozesse so auszurichten, daß bei solchen Änderungen mitgeloggt wird, wer diese Änderungen durchführt, so ist es im nachhinein schwirig dem ehemaligen Dienstleister oder einem eigenen Mitarbeiter nachzuweisen, daß er es war.
Die Mitarbeiter werden natürlich abstreiten, es gewesen zu sein, selbst wenn sie es waren..
Mein Fazit: Schau in die veträge und sorge dafür, daß Ihr einen geordneten Übergang mit aktueller Dokumentaiotn habt. Alles ander sollte durch die Anwälte geregelt werden.
lks
PS: Wenn der konkrete Verdacht der Sabotage besteht, kann man natürlich Anzeige bei der Polizei oder Staatsanwalt erstatten. Ob das dann zum gewünschten ergebnis ührt oder ncith, wird dann auf die Beweislage ankommen.
mal die Exitklauseln im Vertrag durchlesen... falls es welche gibt. Normalerweise vereinbart man in Verträgen auch, was bei Vertragsbeendigung zu passieren hat. Wenn nicht, dann wird das ziemlich interessant, und ich hoff mal ernsthaft daß jemand eine Paßwortdiskette für den Domainadmin angefertigt hat.
Hey Rocco,
das ist alles im Datenverarbeitungsvetrag (Auftragsdatenverarbeitung) der schriftlich vorliegen muss geregelt.
Nach Ablauf muss das Systemhaus Dir die Doku überreichen ... und alle Datenträger.... und und und
Das ist eine geltende Umsetzung der DSGVO.
Was du jetzt tun kannst:
Die Datenhoheit liegt immer beim Verantworlichen-meist dein Boss. Dieser kann die Passwörter und die
Daten sofort anfordern.
das ist alles im Datenverarbeitungsvetrag (Auftragsdatenverarbeitung) der schriftlich vorliegen muss geregelt.
Nach Ablauf muss das Systemhaus Dir die Doku überreichen ... und alle Datenträger.... und und und
Das ist eine geltende Umsetzung der DSGVO.
Was du jetzt tun kannst:
Die Datenhoheit liegt immer beim Verantworlichen-meist dein Boss. Dieser kann die Passwörter und die
Daten sofort anfordern.
Sorry, aber wo regelt die DSGVO die Dokumentation des Netzwerkes?
Die DSGVO regelt nur, daß alle vorhandenen Daten ausgehändigt werden müssen. Von daher auch die Dokumentation des Netzwerks. Sollte das Systemhaus keine interne Dokumentation haben, wird es sich fragen lassen müssen, wie sie dann ihren Vertrag erfüllt haben.
lks
Moin lks,
wenn mich nicht alles täuscht, ist nur der Personen bezogene teil unveränderlich. Was b2b mit Betriebsdaten passiert ist leider nicht so fix geregelt.
Klar greifen da nun wieder andere Regelungen, haben aber ohne Vertrag erstmal nichts mit der Datenübertragung zu tun.
Viele Grüße
wenn mich nicht alles täuscht, ist nur der Personen bezogene teil unveränderlich. Was b2b mit Betriebsdaten passiert ist leider nicht so fix geregelt.
Klar greifen da nun wieder andere Regelungen, haben aber ohne Vertrag erstmal nichts mit der Datenübertragung zu tun.
Viele Grüße
Art. 1 DSGVO Gegenstand und Ziele
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Sorry, aber die Dokumentation eines Netzwerkes unterliegt doch nicht der DSGVO?
Interne Netzwerk-Dokumentationen beinhalten, zumindest bei uns, keine personenbezogenen Daten (was die Dokumentation auch nur komplizieren würde). Ein Anrecht des Kunden darauf ergibt sich nicht aus der DSGVO.
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Sorry, aber die Dokumentation eines Netzwerkes unterliegt doch nicht der DSGVO?
Interne Netzwerk-Dokumentationen beinhalten, zumindest bei uns, keine personenbezogenen Daten (was die Dokumentation auch nur komplizieren würde). Ein Anrecht des Kunden darauf ergibt sich nicht aus der DSGVO.
So seh ich das ebenfalls. Im Zuge des auftragsdatenvertrags kann das mit geregelt werden, muss aber nicht.
...doch das muss dort geregelt sein.
Allein aus dem Grund, dass der Auftraggeber der Verantwortliche bleibt. Dieses kann er nur sein, wenn er die TOMs in deren Einzelheiten kennt. Wenn der DV beispielsweise keine Dokumentation erstellt hat, hat dieser seinen Job nicht richtig gemacht und im Verfahren wär der Verantwortliche in der Verwantwortung. Beispielsweise gehören zu den TOMs die Zutritt- Zugangs- und Zugriffsdaten und die Verfügbarkeitskontrolle damit wär das ganze AD abgebildet und für die Verfügbarkeitskontrolle zusätzlich die Backupstrategien (natürlich auch mit den Zugangsdaten).
Da der Auftragsgegeber als Verantwortlicher in der Rechenschaftspflichtig ist, wär es nicht gut beraten, wenn dieser das Zepter nicht in der Hand hat.
@st.andreas: da bist du immer drin: die Logfiles enthalten z.b. IP-Adressen, die lassen sich aufgrund der Zeiten einen Nutzer zuordnen - somit sind das personenidentifizierbare Daten... Die DSGVO regelt nicht nur die Verwendung von „Namen“, die regelt auch ob du ab 2020 Windows 7 weiter benutzen darfst oder ob du einen Schlüssel zum Serverraum haben darfst
VG
Allein aus dem Grund, dass der Auftraggeber der Verantwortliche bleibt. Dieses kann er nur sein, wenn er die TOMs in deren Einzelheiten kennt. Wenn der DV beispielsweise keine Dokumentation erstellt hat, hat dieser seinen Job nicht richtig gemacht und im Verfahren wär der Verantwortliche in der Verwantwortung. Beispielsweise gehören zu den TOMs die Zutritt- Zugangs- und Zugriffsdaten und die Verfügbarkeitskontrolle damit wär das ganze AD abgebildet und für die Verfügbarkeitskontrolle zusätzlich die Backupstrategien (natürlich auch mit den Zugangsdaten).
Da der Auftragsgegeber als Verantwortlicher in der Rechenschaftspflichtig ist, wär es nicht gut beraten, wenn dieser das Zepter nicht in der Hand hat.
@st.andreas: da bist du immer drin: die Logfiles enthalten z.b. IP-Adressen, die lassen sich aufgrund der Zeiten einen Nutzer zuordnen - somit sind das personenidentifizierbare Daten... Die DSGVO regelt nicht nur die Verwendung von „Namen“, die regelt auch ob du ab 2020 Windows 7 weiter benutzen darfst
oder ob du einen Schlüssel zum Serverraum haben darfst VG
Zitat von @Ja-Nein-Geht...jetzt-Super:
...doch das muss dort geregelt sein.
Allein aus dem Grund, dass der Auftraggeber der Verantwortliche bleibt. Dieses kann er nur sein, wenn er die TOMs in deren Einzelheiten kennt.
...doch das muss dort geregelt sein.
Allein aus dem Grund, dass der Auftraggeber der Verantwortliche bleibt. Dieses kann er nur sein, wenn er die TOMs in deren Einzelheiten kennt.
Wie ist das bei Clouddiensten?
Wenn der DV beispielsweise keine Dokumentation erstellt hat, hat dieser seinen Job nicht richtig gemacht und im Verfahren wär der Verantwortliche in der Verwantwortung. Beispielsweise gehören zu den TOMs die Zutritt- Zugangs- und Zugriffsdaten und die Verfügbarkeitskontrolle damit wär das ganze AD abgebildet und für die Verfügbarkeitskontrolle zusätzlich die Backupstrategien (natürlich auch mit den Zugangsdaten).
Kann, muss nicht, ist aber auch hier die Frage der Auslegung. EU typisch.
Da der Auftragsgegeber als Verantwortlicher in der Rechenschaftspflichtig ist, wär es nicht gut beraten, wenn dieser das Zepter nicht in der Hand hat.
Auch hier kommt es drauf an. lass mal einen Admin zum Arzt werden, oder einen Arzt zum Admin, beide können vom anderen Gebiet (meist) nichts machen.
@st.andreas: da bist du immer drin: die Logfiles enthalten z.b. IP-Adressen, die lassen sich aufgrund der Zeiten einen Nutzer zuordnen - somit sind das personenidentifizierbare Daten... Die DSGVO regelt nicht nur die Verwendung von „Namen“, die regelt auch ob du ab 2020 Windows 7 weiter benutzen darfst oder ob du einen Schlüssel zum Serverraum haben darfst
oder ob du einen Schlüssel zum Serverraum haben darfst Im Internet, ja und nein (Rechtssprechung: Ja). In der Firma hast du aber i.d.R nichts privates zu tun, daher auch nur berufliche Daten, hier steht i.d.R der Anspruch des AG auf Sicherheit und Nachvollziehbarkeit höher als das Persönlichkeitsrecht (von unpersönlichen Daten) des AN.
VG
VG
Einen schönen Abend dir noch, certi
ebenfalls
Sorry, aber die Dokumentation von Verfahren und Organisationsmaßnahmen hat nichts mit dem zu tun, was ich unter Netzwerkdokumentation verstehe.
Zugangs- und Zugriffsdaten haben meiner Meinung nach absolut nichts in den TOMs zu suchen.
Ausserdem: Logfiles sind nicht Bestandteil einer Dokumentation, insofern verstehe ich nicht warum irgendwelche IP-Adressen in Logfiles mich nach DSGVO verpflichten würden eine Netzwerkdokumentation zu erstellen bzw. auszuhändigen.
Zugangs- und Zugriffsdaten haben meiner Meinung nach absolut nichts in den TOMs zu suchen.
Ausserdem: Logfiles sind nicht Bestandteil einer Dokumentation, insofern verstehe ich nicht warum irgendwelche IP-Adressen in Logfiles mich nach DSGVO verpflichten würden eine Netzwerkdokumentation zu erstellen bzw. auszuhändigen.
Hey St.Andreas,
Ja das mag ja sein, aber zu den TOMs gehören nun mal die Zugangs- und Zutrittskontrolle. Ich hab mir das nicht ausgedacht, aber es macht Sinn.
Die Logfiles gehören zu der Eingangskontrolle und somit zu den TOMs und somit zur DSGVO. Zudem muss daher die LOg-File in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden. Aber mach dir kein Stress du darfst nicht IT-Admin und zugleich DSB in einem Unternehmen sein. Einen schönen Abend noch
Ja das mag ja sein, aber zu den TOMs gehören nun mal die Zugangs- und Zutrittskontrolle. Ich hab mir das nicht ausgedacht, aber es macht Sinn.
Die Logfiles gehören zu der Eingangskontrolle und somit zu den TOMs und somit zur DSGVO. Zudem muss daher die LOg-File in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden. Aber mach dir kein Stress du darfst nicht IT-Admin und zugleich DSB in einem Unternehmen sein. Einen schönen Abend noch
Achso... auszuhändigen müssen die Dir das nicht, sie müssen die Logs kontrollieren und den Verantwortlichen über ein Ereignis informieren. Aber wie und was in den LOGs reinkommt unterliegt dem DS. Das ist aber in der Verantwortung des Verantwortlichen - also nicht des Auftragsverarbeiters, der darf nur im Auftrag es Verantwortlichen handeln.... ja das ist ein Thema für sich... nichts für ungut - guten Abend dir
