Systemhaus auf Abwegen

bingo61
Goto Top
Hallo zusammen,
bin derzeit ratlos bei dem folgenden Scenario:
In einen Seniorenheim wurde beschlossen, die IT an eine andere Firma zu übergeben.
Der Vertrag mit derzeitigen Systemhaus wurde ordentlich und Fristgerecht gekündigt.
Nach Erhalt der Kündigung, waren der Domainadmin, der Switch , Proxmox Software und Fritzbox,nicht mehr mit hinterlegten Zugangsdaten erreichbar.
Da die Heimleiterin ohne Wissen der System Firma, wegen Installation von Datev temporären Domadmin Zugang hatte , konnte man den Administrator der Domain wieder zugänglich machen.

Die Firma bestreiten das diese Daten geändert wurden.
Die Firma hat „noch „ unüberwachten VPN Zugang.

Frage nun:
Kann man das strafrechtlich verfolgen lassen?
Denn vor Ort ist niemand mit IT wissen, der solche Änderungen durchgeführt hätte und kann.
Software installieren von speziell Software wird von den Softwareentwickler der Anbieter über Remote durchgeführt.
Es gibt vor Ort weder Admin noch EDV geschulte Mitarbeiter .
Die Betreuung lag voll und ganz in Händen des Systemhauses .
Aufgefallen ist es zufällig, da ich gebeten wurde die Domain Admin Rechte der Heimleiterin wieder zurück zu nehmen.
Bei der Anmeldung als Administrator wurde falsches Passwort gemeldet, dieses hatte Tage vorher funktioniert.
Bei Prüfung der anderen Zugänge wurde dann ersichtlich, dass alle heimlich abgeändert wurden.
Grüße
Rocco

Content-Key: 395107

Url: https://administrator.de/contentid/395107

Ausgedruckt am: 04.07.2022 um 07:07 Uhr

Mitglied: tikayevent
tikayevent 08.12.2018 um 15:03:12 Uhr
Goto Top
Ist der Vertrag bereits komplett ausgelaufen oder befindet dieser sich noch in der Kündigungsfrist? Wenn er noch in der Kündigungsfrist ist, dann ist eigentlich noch alles in Ordnung, wenn das Systemhaus den Fullservice hatte, da eigentlich der Kunde keinen Zugriff auf die Systeme nehmen sollte, außer es wurde vertraglich anders geregelt.

Wichtig ist, dass der gekündigte Vertragsnehmer mit der finalen Beendigung des Vertrages sämtliche systemrelevanten Daten, darunter auch die Zugangsdaten, herausgibt.

Für weiteres bitte einen entsprechenden Fachanwalt konsultieren.
Mitglied: maretz
maretz 08.12.2018 um 15:12:32 Uhr
Goto Top
Moin,

das hängt ja idR von deinen Verträgen ab. Es weiss keiner welche Rechte darin verankert wurden - z.B. Lizenzen die eben an den Service-Vertrag gekoppelt wurden, ob überhaupt ein Übergang darin steht,...

Ich würde jedoch den VPN-Zugang erst mal abschalten und beim nächsten mal ggf. ein seriöses Unternehmen suchen..
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.12.2018 um 15:43:39 Uhr
Goto Top
Hallo Rocco,

und wer bist du in diesem Szenario?

Im weiteren kommt das tatsächlich auf den Vertrag an, außerdem, warum sollte da niemand anderes daran gewesen sein? Gerade in schlecht geplanten Umzügen oder Hau Ruck Aktionen kann auch der neue Systembetreuer viel Quark veranstalten, der dann auf den alten geschoben wird.

VG
Mitglied: Kraemer
Kraemer 08.12.2018 um 16:18:33 Uhr
Goto Top
Mitglied: maretz
maretz 08.12.2018 um 16:48:22 Uhr
Goto Top
oh mann, und das kannst du so ohne den Vertrag zu kennen mal eben klären ob es wirklich "Computersabotage" ist oder ob im Vertrag ggf. sogar geregelt ist das der Kunde keinen Zugriff auf die Systeme bekommen darf?!? Nich schlecht, deine Glaskugel möcht ich haben...
Mitglied: Kraemer
Kraemer 08.12.2018 um 17:28:52 Uhr
Goto Top
Zitat von @maretz:
Nich schlecht, deine Glaskugel möcht ich haben...
Moin @maretz, im Gegensatz zu dir (haltloses Geschwafel), versuche ich die Frage des TO

Zitat von @Bingo61:
Kann man das strafrechtlich verfolgen lassen?
schlicht zu beantworten. Ob das in deren Fall zutrifft, muss der TO entscheiden (oder sein Rechtsberater - es gibt noch weitere Punkte / Paragraphen die treffen könnten)
Mitglied: it-fraggle
it-fraggle 08.12.2018 um 18:13:51 Uhr
Goto Top
Ähm... Für Rechtsberatung ist der Anwalt zu konsultieren.
Mitglied: maretz
maretz 08.12.2018 um 18:27:22 Uhr
Goto Top
Da auch du die Verträge nicht kennst stellt sich die Frage was für dich "Geschwafel" ist. Da ich mich aber nich auf dem Level unterhalten möchte sei mir nicht böse (oder doch, mir auch recht egal) wenn ich dich einfach ignoriere...
Mitglied: falscher-sperrstatus
falscher-sperrstatus 08.12.2018 um 21:54:49 Uhr
Goto Top
Faktum ist: Keiner kann genaueres sagen, der TO verschwindet wieder in dem Loch, aus dem er kam.
Faktum ist im weiteren: Offensichtlich spricht der TO auf keinem Fachlichen Level, denn sonst würde er sich in fachlich geistesgegenwärtiger Verfassung an einen Anwalt wenden.
Faktum ist abschließend: Sicherlich kann man alles strafrechtlich verfolgen(!) lassen, aber das kann auch schnell die Pistole gegen sich wenden lassen.

Wir sind hier weder Anwälte, noch können (und wollen wir) die Daten einsehen können (abgesehen DSGVO und CO), demnach: Kauf dir die Hilfe, die du brauchst und spiel dich hier nicht so auf.
Mitglied: Vision2015
Vision2015 09.12.2018 um 08:19:26 Uhr
Goto Top
Moin...

irgendiwie denke ich es es geht um den TO selber....
Die Firma hat „noch „ unüberwachten VPN Zugang.
warum macht ihr den nicht dicht?

Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 09.12.2018 um 09:44:14 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

irgendiwie denke ich es es geht um den TO selber....
Die Firma hat „noch „ unüberwachten VPN Zugang.
warum macht ihr den nicht dicht?

Frank

Moin Frank,

dann wäre die Frage hier zu stellen aber noch blöder...

Christian
Mitglied: Vision2015
Vision2015 09.12.2018 um 12:48:35 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Zitat von @Vision2015:

Moin...

irgendiwie denke ich es es geht um den TO selber....
Die Firma hat „noch „ unüberwachten VPN Zugang.
warum macht ihr den nicht dicht?

Frank

Moin Frank,

dann wäre die Frage hier zu stellen aber noch blöder...
du... sachen gibbet, dat glaubste nich..... face-smile

Christian
Frank
Mitglied: St-Andreas
St-Andreas 09.12.2018 um 21:26:38 Uhr
Goto Top
Zitat von @Bingo61:

Hallo zusammen,
bin derzeit ratlos bei dem folgenden Scenario:
In einen Seniorenheim wurde beschlossen, die IT an eine andere Firma zu übergeben.

Normal.

Der Vertrag mit derzeitigen Systemhaus wurde ordentlich und Fristgerecht gekündigt.

Und ist der jetzt beendet? Oder läuft der noch?

Nach Erhalt der Kündigung, waren der Domainadmin, der Switch , Proxmox Software und Fritzbox,nicht mehr mit hinterlegten Zugangsdaten erreichbar.


Ist ja nicht schön, aber nicht schlimm, eventuell sogar ein ganz normaler Vorgang.

Da die Heimleiterin ohne Wissen der System Firma, wegen Installation von Datev temporären Domadmin Zugang hatte , konnte man den Administrator der Domain wieder zugänglich machen.

Das ist nicht gut. Also das offenbar ein Benutzer Domänenadmin war. Und das der (vermutlich) verantwortlichen Stelle nicht mitzuteilen ist schon ziemlich schlecht.


Die Firma bestreiten das diese Daten geändert wurden.

Ich vermute die Firma bestreitet das diese Daten von der Firma geändert wurden?

Die Firma hat „noch „ unüberwachten VPN Zugang.

Warum? Ist das Teil des (noch laufenden) Vertrages? Wenn ja, wo ist hier das Problem?


Frage nun:
Kann man das strafrechtlich verfolgen lassen?

Man kann nichts strafrechtlich verfolgen lassen. Man kann das höchstens beantragen oder anzeigen. Aber was genau willst Du denn strafrechtlich verfolgen lassen? Welcher Schaden ist entschanden?

Denn vor Ort ist niemand mit IT wissen, der solche Änderungen durchgeführt hätte und kann.
Also die Heimleiterin hat Domänenadminrechte (gehabt). Für irgendwas (Datevinstallation) waren die ja gut. Ich bin mir sehr sicher das jemand der im Heim dann Datev installiert und dafür Domänenadminrechte brauchte auch weiss wie man Kennwörter ändert.


Software installieren von speziell Software wird von den Softwareentwickler der Anbieter über Remote durchgeführt.

Aha, so ganz ohne Rechte und Wissen?

Es gibt vor Ort weder Admin noch EDV geschulte Mitarbeiter .

Auch ungeschulte Mitarbeiter können Kennwörter ändern.

Die Betreuung lag voll und ganz in Händen des Systemhauses .

Nein, tat sie nach Deinen Angaben ja nicht, siehe Domänenadminrechte Heimleiterin, speziell Software Entwickler und "hinterlegte Kennwörter"

Aufgefallen ist es zufällig, da ich gebeten wurde die Domain Admin Rechte der Heimleiterin wieder zurück zu nehmen.

Ach, ich denke es gibt bei Euch niemanden der das kann?

Bei der Anmeldung als Administrator wurde falsches Passwort gemeldet, dieses hatte Tage vorher funktioniert.
Macht ja nichts.


Bei Prüfung der anderen Zugänge wurde dann ersichtlich, dass alle heimlich abgeändert wurden.
Na, dann schaut man mal in die entsprechenden Logfiles. Euer neuer Betreuer wird das sicherlich problemlos können.


Grüße
Rocco

Insgesamt, vor allem weil wichtige Informationen fehlen, kann ich hier weder Abwege noch Sabotagen oder sonst was erkennen. Das einzige was ich hier sehe sind ziemlich viele Ungereimtheiten.
Vom Bauchgefühl her würde ich sagen das die Heimleitung ziemlich schlecht beraten ist.

Sollte dem Heim ein Schaden entstanden sein solltet Ihr Strafanzeige gegen Unbekannt stellen, am bestem in Zusammenarbeit mit einem Fachanwalt.
Ist kein Schaden entstanden, sollte das Heim sich professionelles IT Management zulegen/einkaufen.
Mitglied: AnkhMorpork
AnkhMorpork 10.12.2018 um 08:03:57 Uhr
Goto Top
<OT>
Bei derartigen Fragen habe ich immer die Befürchtung, dass bei Postings unter "Rechtliche Fragen" tatsächlich eine Art Rechtsberatung erwartet wird. Vielleicht sollte die Rubrik irgendwie umbenannt werden - hab aber im Moment auch keine Idee dazu.
</OT>
Mitglied: altmetaller
altmetaller 10.12.2018 um 09:20:29 Uhr
Goto Top
Hallo,

„Computerrecht - keine Rechtsberatung!“

Gruß,
Jörg
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.12.2018 um 09:45:09 Uhr
Goto Top
Zitat von @altmetaller:

Hallo,

„Computerrecht - keine Rechtsberatung!“

Da würde es auch reichen einfach den jetzigen Titel um " keine Rechtsberatung" zu erweitern.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.12.2018 um 09:51:56 Uhr
Goto Top
Moin,

Die Kollegen haben eingetlich alles wesentliche dazu gesagt:

Wenn Ihr einen Vertrag habt, daß der Dienstleister alles machen soll, dann kann der natürlich Adminpaßwörter so setzen, wie er es für richtig hält, solange die Dinetse erbracht ewrden, die vereinbart sind.

Wenn der Vertrag gekündigt wurde, so ist es Aufgabe des Dienstleister für einen geordnete Übergabe diese paßwörter zu dokumentieren und euch zu übergeben und Eure Aufgabe ist es, dies einzufordern.

Wenn nun bei Euch personen vorhanden sind, die Adminpaßwörter kennen, haben diese natürlcih auch die Möglichkeit auch Paßwörter zu ändern.

Wenn Ihr es nun versäumt habt, ohre prozesse so auszurichten, daß bei solchen Änderungen mitgeloggt wird, wer diese Änderungen durchführt, so ist es im nachhinein schwirig dem ehemaligen Dienstleister oder einem eigenen Mitarbeiter nachzuweisen, daß er es war.

Die Mitarbeiter werden natürlich abstreiten, es gewesen zu sein, selbst wenn sie es waren..


Mein Fazit: Schau in die veträge und sorge dafür, daß Ihr einen geordneten Übergang mit aktueller Dokumentaiotn habt. Alles ander sollte durch die Anwälte geregelt werden.

lks

PS: Wenn der konkrete Verdacht der Sabotage besteht, kann man natürlich Anzeige bei der Polizei oder Staatsanwalt erstatten. Ob das dann zum gewünschten ergebnis ührt oder ncith, wird dann auf die Beweislage ankommen.
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 10.12.2018 um 11:01:45 Uhr
Goto Top
mal die Exitklauseln im Vertrag durchlesen... falls es welche gibt. Normalerweise vereinbart man in Verträgen auch, was bei Vertragsbeendigung zu passieren hat. Wenn nicht, dann wird das ziemlich interessant, und ich hoff mal ernsthaft daß jemand eine Paßwortdiskette für den Domainadmin angefertigt hat.
Mitglied: Ja-Nein-Geht...jetzt-Super
Ja-Nein-Geht...jetzt-Super 26.12.2018 um 11:28:20 Uhr
Goto Top
Hey Rocco,

das ist alles im Datenverarbeitungsvetrag (Auftragsdatenverarbeitung) der schriftlich vorliegen muss geregelt.
Nach Ablauf muss das Systemhaus Dir die Doku überreichen ... und alle Datenträger.... und und und
Das ist eine geltende Umsetzung der DSGVO.

Was du jetzt tun kannst:
Die Datenhoheit liegt immer beim Verantworlichen-meist dein Boss. Dieser kann die Passwörter und die
Daten sofort anfordern.

Mitglied: St-Andreas
St-Andreas 26.12.2018 um 13:06:58 Uhr
Goto Top
Sorry, aber wo regelt die DSGVO die Dokumentation des Netzwerkes?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.12.2018 um 13:10:21 Uhr
Goto Top
Zitat von @St-Andreas:

Sorry, aber wo regelt die DSGVO die Dokumentation des Netzwerkes?

Die DSGVO regelt nur, daß alle vorhandenen Daten ausgehändigt werden müssen. Von daher auch die Dokumentation des Netzwerks. Sollte das Systemhaus keine interne Dokumentation haben, wird es sich fragen lassen müssen, wie sie dann ihren Vertrag erfüllt haben. face-smile

lks
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2018 um 13:32:14 Uhr
Goto Top
Moin lks,

wenn mich nicht alles täuscht, ist nur der Personen bezogene teil unveränderlich. Was b2b mit Betriebsdaten passiert ist leider nicht so fix geregelt.

Klar greifen da nun wieder andere Regelungen, haben aber ohne Vertrag erstmal nichts mit der Datenübertragung zu tun.

Viele Grüße
Mitglied: St-Andreas
St-Andreas 26.12.2018 um 14:23:50 Uhr
Goto Top
Art. 1 DSGVO Gegenstand und Ziele
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Sorry, aber die Dokumentation eines Netzwerkes unterliegt doch nicht der DSGVO?
Interne Netzwerk-Dokumentationen beinhalten, zumindest bei uns, keine personenbezogenen Daten (was die Dokumentation auch nur komplizieren würde). Ein Anrecht des Kunden darauf ergibt sich nicht aus der DSGVO.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2018 um 14:29:21 Uhr
Goto Top
So seh ich das ebenfalls. Im Zuge des auftragsdatenvertrags kann das mit geregelt werden, muss aber nicht.
Mitglied: Ja-Nein-Geht...jetzt-Super
Ja-Nein-Geht...jetzt-Super 26.12.2018 aktualisiert um 20:09:47 Uhr
Goto Top
...doch das muss dort geregelt sein.

Allein aus dem Grund, dass der Auftraggeber der Verantwortliche bleibt. Dieses kann er nur sein, wenn er die TOMs in deren Einzelheiten kennt. Wenn der DV beispielsweise keine Dokumentation erstellt hat, hat dieser seinen Job nicht richtig gemacht und im Verfahren wär der Verantwortliche in der Verwantwortung. Beispielsweise gehören zu den TOMs die Zutritt- Zugangs- und Zugriffsdaten und die Verfügbarkeitskontrolle damit wär das ganze AD abgebildet und für die Verfügbarkeitskontrolle zusätzlich die Backupstrategien (natürlich auch mit den Zugangsdaten).
Da der Auftragsgegeber als Verantwortlicher in der Rechenschaftspflichtig ist, wär es nicht gut beraten, wenn dieser das Zepter nicht in der Hand hat.

@st.andreas: da bist du immer drin: die Logfiles enthalten z.b. IP-Adressen, die lassen sich aufgrund der Zeiten einen Nutzer zuordnen - somit sind das personenidentifizierbare Daten... Die DSGVO regelt nicht nur die Verwendung von „Namen“, die regelt auch ob du ab 2020 Windows 7 weiter benutzen darfst face-smile oder ob du einen Schlüssel zum Serverraum haben darfst face-smile

VG
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2018 aktualisiert um 20:53:35 Uhr
Goto Top
Zitat von @Ja-Nein-Geht...jetzt-Super:

...doch das muss dort geregelt sein.

Allein aus dem Grund, dass der Auftraggeber der Verantwortliche bleibt. Dieses kann er nur sein, wenn er die TOMs in deren Einzelheiten kennt.

Wie ist das bei Clouddiensten? face-wink

Wenn der DV beispielsweise keine Dokumentation erstellt hat, hat dieser seinen Job nicht richtig gemacht und im Verfahren wär der Verantwortliche in der Verwantwortung. Beispielsweise gehören zu den TOMs die Zutritt- Zugangs- und Zugriffsdaten und die Verfügbarkeitskontrolle damit wär das ganze AD abgebildet und für die Verfügbarkeitskontrolle zusätzlich die Backupstrategien (natürlich auch mit den Zugangsdaten).

Kann, muss nicht, ist aber auch hier die Frage der Auslegung. EU typisch.

Da der Auftragsgegeber als Verantwortlicher in der Rechenschaftspflichtig ist, wär es nicht gut beraten, wenn dieser das Zepter nicht in der Hand hat.

Auch hier kommt es drauf an. lass mal einen Admin zum Arzt werden, oder einen Arzt zum Admin, beide können vom anderen Gebiet (meist) nichts machen.

@St.Andreas: da bist du immer drin: die Logfiles enthalten z.b. IP-Adressen, die lassen sich aufgrund der Zeiten einen Nutzer zuordnen - somit sind das personenidentifizierbare Daten... Die DSGVO regelt nicht nur die Verwendung von „Namen“, die regelt auch ob du ab 2020 Windows 7 weiter benutzen darfst face-smile oder ob du einen Schlüssel zum Serverraum haben darfst face-smile

Im Internet, ja und nein (Rechtssprechung: Ja). In der Firma hast du aber i.d.R nichts privates zu tun, daher auch nur berufliche Daten, hier steht i.d.R der Anspruch des AG auf Sicherheit und Nachvollziehbarkeit höher als das Persönlichkeitsrecht (von unpersönlichen Daten) des AN.

VG

VG
Mitglied: Ja-Nein-Geht...jetzt-Super
Ja-Nein-Geht...jetzt-Super 26.12.2018 um 20:43:29 Uhr
Goto Top
face-smile
Einen schönen Abend dir noch, certi
Mitglied: falscher-sperrstatus
falscher-sperrstatus 26.12.2018 um 20:53:20 Uhr
Goto Top
ebenfalls face-smile
Mitglied: St-Andreas
St-Andreas 26.12.2018 um 21:52:23 Uhr
Goto Top
Sorry, aber die Dokumentation von Verfahren und Organisationsmaßnahmen hat nichts mit dem zu tun, was ich unter Netzwerkdokumentation verstehe.
Zugangs- und Zugriffsdaten haben meiner Meinung nach absolut nichts in den TOMs zu suchen.
Ausserdem: Logfiles sind nicht Bestandteil einer Dokumentation, insofern verstehe ich nicht warum irgendwelche IP-Adressen in Logfiles mich nach DSGVO verpflichten würden eine Netzwerkdokumentation zu erstellen bzw. auszuhändigen.
Mitglied: Ja-Nein-Geht...jetzt-Super
Ja-Nein-Geht...jetzt-Super 26.12.2018 um 22:06:20 Uhr
Goto Top
Hey St.Andreas,
Ja das mag ja sein, aber zu den TOMs gehören nun mal die Zugangs- und Zutrittskontrolle. Ich hab mir das nicht ausgedacht, aber es macht Sinn.
Die Logfiles gehören zu der Eingangskontrolle und somit zu den TOMs und somit zur DSGVO. Zudem muss daher die LOg-File in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden. Aber mach dir kein Stress du darfst nicht IT-Admin und zugleich DSB in einem Unternehmen sein. Einen schönen Abend nochface-smile
Mitglied: Ja-Nein-Geht...jetzt-Super
Ja-Nein-Geht...jetzt-Super 26.12.2018 um 22:11:07 Uhr
Goto Top
Achso... auszuhändigen müssen die Dir das nicht, sie müssen die Logs kontrollieren und den Verantwortlichen über ein Ereignis informieren. Aber wie und was in den LOGs reinkommt unterliegt dem DS. Das ist aber in der Verantwortung des Verantwortlichen - also nicht des Auftragsverarbeiters, der darf nur im Auftrag es Verantwortlichen handeln.... ja das ist ein Thema für sich... nichts für ungut - guten Abend dir face-smile