xtremecase
Goto Top

Userkennwörter - Habe ich das Recht diese zu erfahren?

Ist es rechtlich in Ordnung, dass die User mir ihre Zugangsdaten geben?

Als IT-Koordinator in unserer Firma haben wir häufig das Problem, dass User ihre Projektdaten lokal auf den Rechnern speichern und dann im Außendienst bzw. im Urlaub sind.
Man kann ihnen zwar täglich auf die Finger hauen, dass sie die Daten auf dem Projektserver laden sollen - in der Praxis sieht das aber ganz anders aus

Dann muss man die User anrufen, Kennwörter erfragen, bzw. Passwort reseten auf dem Server. Neues temporäres Kennwort geben uvvvm.
Das ganze trägt nicht gerade zur Produktivität bei.


Deshalb meine Frage an euch: Habe ich als Verantwortlicher für die IT - das Recht, dass die User mir ihre Passwörter (für den Windowslogin) geben um diese dann sicher verwahrt zu archivieren (für genau solche Fälle)?

Ich danke euch für konstruktive Antworten!! face-smile
Kommentar vom Moderator Biber am 10.03.2010 um 21:13:40 Uhr
Auf "Beantwortet" und "Geschlossen" gesetzt - siehe meinen Kommentar von heute.

Grüße
Biber

Content-ID: 136769

Url: https://administrator.de/forum/userkennwoerter-habe-ich-das-recht-diese-zu-erfahren-136769.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Tsunami87
Tsunami87 24.02.2010 um 15:41:21 Uhr
Goto Top
Hallo,

meiner Meinung nach darfst du das PW nicht wissen, dafür gibt es ja die Funktion "Kennwort zurücksetzen".

Außerdem kannst du doch per Administrative Freigabe auf den Pc zugreifen und dir die Daten dann holen / bearbeiten / kopieren.

Grüße
Tsunami
wiesi200
wiesi200 24.02.2010 um 15:50:18 Uhr
Goto Top
Ich glaub eher das es darauf ankommt wie die Nutzung geregelt ist.

Aber für sowas kann man sich wenn man Adminrechte hat auf den PC anmelden und dann kommt man auf die Userdaten.
Für sowas solltest du aber deinen Datenschutzbeauftragen ansprechen.
maretz
maretz 24.02.2010 um 15:55:34 Uhr
Goto Top
Moin,

dürfen die User ihre Kennwörter selbst ändern? Dann ist die Antwort (m.E.) ganz klar: Nein, da hast du kein Anrecht drauf. Es kann ja sein das ich mein normales Email-Kennwort dann auch in der Firma verwende.

Mein Passwort hat z.B. in der Firma niemand (auch wenn ich das sonst nirgends verwende). Wenn jemand wirklich an meinen Rechner muss so kann der/die sich auch bei mir melden und ggf. mein Kennwort zurücksetzen. Ich sehe generell KEINE Veranlassung jemanden ein Passwort zu geben. Seien wir mal ehrlich: Jeder hat gewisse Eigenschaften im Passwort - d.h. wenn man ein Kennwort rausgibt dann hat die Person schon einen Anhaltspunkt wie die Kennwörter gewählt werden. Und DAS würde ich niemanden in die Hand geben...
mrtux
mrtux 24.02.2010 um 15:58:20 Uhr
Goto Top
Hi !

Zitat von @XtremeCase:
Deshalb meine Frage an euch: Habe ich als Verantwortlicher für die IT - das Recht, dass die User mir ihre Passwörter

Das solltest Du deinen Chef fragen. face-smile

Wenn das Know-How für einen guten Organisationsablauf fehlt, wird immer gleich mit der Passwortkeule herumgeschlagen. Kein Wunder dass in vielen Firmen so einiges in der IT aus dem Ruder läuft...

mrtux
trommelschlumpf
trommelschlumpf 24.02.2010 um 16:00:57 Uhr
Goto Top
Ich will die Passwörter unserer Leute gar nicht wissen. Dann kommt nämlich irgendwann der Kommentar: "Iiiiich hab nix gemacht, aber der [insertNamedesComputerfuzzis], der kennt ja mein Passwort, vielleicht wars der!"

Ausserdem: Welche bessere Möglichkeit, als die Leute mit zurückgesetzten Kennwörtern zu nerven hat man denn, um sie dazu zu bewegen endlich da zu speichern, wo es gewollt ist.
XtremeCase
XtremeCase 24.02.2010 um 16:01:50 Uhr
Goto Top
Grüß dich Tsunami,
da unsere Geschäftsleitung sich (leider) dazu entschlossen hat die SysAd - Rolle einem externen Systemhaus zu übergeben,
darf ich erstmal dort anrufen, die setzen dann das Kennwort zurück (sofern jemand erreichbar), geben mir ein temp_passwort. Das dauert zu lange.

Administrative Rechte habe ich nicht für die Domäne. Das Systemhaus kann leider nicht die für mich notwendigen Daten "freigaben/kopieren" weil sie einfach nicht genau wissen WAS und WO sie es auf dem lokalen Datenträger finden.
Beispiel:
Hallo Herr Administrator,
ich bräuchte die aktuelle Brandschutzklassifizierung, die Herr "AußerHaus", für die CNC Anlage von Firma XY im 20er Fräsnutzen vorgestern erstellt hat.
Ach ja: nicht nur die für 8mm Stahlplatten sondern auch die 10er... und das passende dxf-file, bitte. face-wink

Du siehst schon... das klappt so leider nicht face-wink

Back 2 topic:
Deshalb wäre es, sofern rechtlich möglich genial, wenn ich die Passwörter meiner Mitarbeiter einfordern könnte.
Alle bis auf einen Herren wären damit einverstanden, nur Herr "Miesmacher" sträubt sich.
Deshalb die Frage, ob ich darauf bestehen kann, da er seiner Sorgfaltspflicht bei der Speicherung einfach nicht nachgeht und das den gesamten Prozess "stark verzögert"
XtremeCase
XtremeCase 24.02.2010 um 16:06:35 Uhr
Goto Top
Zitat von @trommelschlumpf:
Ich will die Passwörter unserer Leute gar nicht wissen. Dann kommt nämlich irgendwann der Kommentar: "Iiiiich hab
nix gemacht, aber der [insertNamedesComputerfuzzis], der kennt ja mein Passwort, vielleicht wars der!"

Ausserdem: Welche bessere Möglichkeit, als die Leute mit zurückgesetzten Kennwörtern zu nerven hat man denn, um sie
dazu zu bewegen endlich da zu speichern, wo es gewollt ist.

bitte meinen verspäteten beitrag (der 3. von oben) berücksichtigen - Danke face-smile
84544
84544 24.02.2010 um 16:07:43 Uhr
Goto Top
Ich hätte eine gute Lösung für die die (vielleicht) die Leute anspornt die Dateien aus den Server zu laden.

Richte doch einfach den FTP Server als Netzwerk HDD ein.

Somit müssen sich die Leute nicht andauernd über FTP Programme einloggen und haben die Daten direkt auf dem PC.

Oder schreib doch ein kleines Batchskript, das die Dateien automatisch beim Herunterfahren auf den FTP kopiert.

Wenn du wissen willst wie, dann schreib mir eine PN... habe gerade leider wenig Zeit.
Biber
Biber 24.02.2010 um 16:09:57 Uhr
Goto Top
Moin Extermfall,

Deshalb meine Frage an euch: Habe ich als Verantwortlicher für die IT - das Recht, dass die User mir ihre Passwörter (für den Windowslogin) geben
egal, ob das nun eine Fangfrage, eine Umfrage von einer Satiresendung oder vone Forechecking-Frage von "Hach, der IT-Foren-Tester" ist...
Die beiden Antworten lauten ohne Schnörkel und Diskussionspielraum:

Ja, das ist auch ein Forum für Administratoren hier. Und diese Berufsgruppe hat nicht nur viele bunte Spielzeuge und viele unterschiedlich teure Blechkisten in physischer Erreichbarkeit, sondern kennt auch ihre Aufgaben und Grenzen.

Nein, du darfst es nicht. Oder dich nicht zumindest im gleichen Atemzug "Administrator" nennen.

Grüße
Biber
brammer
brammer 24.02.2010 um 16:16:38 Uhr
Goto Top
Hallo,

lass di e Finger von den Passworten!
Bringt nur Stress!

Versuche lieber zu erzwingen das die User die Daten auf dem Server speichern.
Solange die User im Haus sind, sollte das kein Problem sein. Eine einfache Umleitung des Speicherortes auf den Server sollte das hier tun.
Wenn die User außer Haus sind, sollen die Daten ruhig Lokal gespeichert werden den gerade bei dxf Files wird das auch mal mehr an Volumen.
Sobald sich die Mitarbeiter aber mit ausreichend Bandbreite am Intranet anmelden einfach einen automatischen Abgleich der Dateien initiieren.
Das sollte funktionieren.

brammer
45877
45877 24.02.2010 um 16:16:56 Uhr
Goto Top
Es reicht doch, wenn du die lokalen Adminpasswörter der PCs hast, und dich damit auf die administrativen Freigaben verbinden kannst.
Das passwort sollte dann halt auch allen Kisten gleich sein, aber das ist eh praktisch ;)

Ansonsten, auch wenn ihr die Administratition outgesourced habt, werdet ihr doch die Passwörter im Haus haben?
XtremeCase
XtremeCase 24.02.2010 um 16:20:44 Uhr
Goto Top
Zitat von @Biber:
Moin Extermfall,

> Deshalb meine Frage an euch: Habe ich als Verantwortlicher für die IT - das Recht, dass die User mir ihre
Passwörter (für den Windowslogin) geben
egal, ob das nun eine Fangfrage, eine Umfrage von einer Satiresendung oder eine Forechecking-Frage von "Hach, der
IT-Foren-Tester" ist...
Die beiden Antworten lauten ohne Schnörkel und Diskussionspielraum:

Ja, das ist auch ein Forum für Administratoren hier. Und diese Berufsgruppe hat nicht nur viele bunte Spielzeuge und viele
unterschiedlich teure Blechkisten in physischer Erreichbarkeit, sondern kennt auch ihre Aufgaben und Grenzen.

Nein, du darfst es nicht. Oder dich nicht zumindest im gleichen Atemzug "Administrator" nennen.

Grüße
Biber

Hallo Biber,

NEIN - ich nenne mich nicht Administrator, sondern ich bin zuständig für die Prozessoptimierung im Bereich der IT für meine Abteilung. Das beinhaltet Workflow-Optimierung der Nutzer durch die Verwendung von IT.
JA - Ich weiß welche Tools meine Mitarbeiter benötigen um effektiv zu arbeiten und was diese können
JA - ich bekomm eins auf die Mütze, wenn die Projekte wegen einem Nutzer liegen bleiben
NEIN - ich kann soetwas nicht einrichten, warten und administrieren

Meine Frage: nachdem du ja scheinbar ein "richtiger" Admin bist, bitte ich dich einen konstruktiven Vorschlag zu machen, wie du damit umgehen würdest und das Problem lösen würdest.
Meckern kann jeder face-wink

Es grüßt
Christian Hach face-wink
84544
84544 24.02.2010 um 16:37:33 Uhr
Goto Top
Ich hab dir ja einen möglichen Lösungsweg geschrieben...

http://ss64.com/nt/ftp.html
Da findest du alle nötigen Infos die du für FTP Transfers benötigst. Stichwort "mput"
wiesi200
wiesi200 24.02.2010 um 16:39:06 Uhr
Goto Top
Hey wie währ's wenn du dein Anliegen deiner IT Firma stellst.
Die werden ja dafür bezahlt und wir können dir viel vorschlagen aber machen müssen die es und dazu müssen die dann auch einverstanden sein.
wiesi200
wiesi200 24.02.2010 um 16:41:19 Uhr
Goto Top
Sag mal wo steht denn eigentlich das diese Dateien auf einen FTP Server sollen?
Biber
Biber 24.02.2010 um 16:54:08 Uhr
Goto Top
Moin XtremeCase,

sorry, als ich meine Antwort getippselt habe, standen einige der Vor-Kommentare noch nicht da.
Ihr wart in der Diskussion schon viel weiter - ich hatte mich noch am Eröffnungsbeitrag orientiert.

Dennoch stehe ich zu meinem evtl. etwas anderen Verständnis der Adminrolle. Wenn du schreibst:
Das beinhaltet Workflow-Optimierung der Nutzer durch die Verwendung von IT.
Ja nee, schon klar....
Aber genau das ist für mich der zentrale Punkt. Gerade wir Etwas-über-DAU-Level-ITler dürfen uns eben NICHT hinreissen lassen zu einem "Na ja, Datenschutz schon, aber schneller und effizienter geht es ohne..."

Vollkommen unbestritten ist natürlich, das du/wir gemeinsam hier Strategien entwickeln sollten, um Klemmer/Störungen des betrieblichen Ablaufs zu vermeiden.

Grüße
Biber
XtremeCase
XtremeCase 24.02.2010 um 17:27:37 Uhr
Goto Top
Sagen wir es einmal so - ob ich jetzt der IT-Firma 110€ die Stunde zahlen, damit sie mir die Daten zu verfügung stellen, die auf dem Nutzerprofil des Users liegen - oder ob ich 2min brauche (sofern) ich das Passwort habe.


Im Bereich Datensicherheit sehe ich da wenig unterschied. In jedem Falle bekomme ich die Daten. Einmal über den "Umweg" IT-Firma (60min - 110€ Dauer) oder über die Eingabe des Passworts (2min - 0€)
XtremeCase
XtremeCase 24.02.2010 um 18:00:54 Uhr
Goto Top
Zitat von @84544:
Ich hätte eine gute Lösung für die die (vielleicht) die Leute anspornt die Dateien aus den Server zu laden.

Richte doch einfach den FTP Server als Netzwerk HDD ein.

Somit müssen sich die Leute nicht andauernd über FTP Programme einloggen und haben die Daten direkt auf dem PC.

Oder schreib doch ein kleines Batchskript, das die Dateien automatisch beim Herunterfahren auf den FTP kopiert.

Wenn du wissen willst wie, dann schreib mir eine PN... habe gerade leider wenig Zeit.

Danke für deinen Beitrag.
Jedes Team hat bereits ein eigenes Netzlaufwerk auf dem die Projektdateien gelegt werden.
Viele Haudegen, älterer Semester speichern trotzdem alles auf dem Desktop (welchen ich nicht spiegeln will/darf). Splitscreens sei Dank ist da mittlerweilen viel zu viel Platz *rolleyes*
2hard4you
2hard4you 24.02.2010 um 20:52:18 Uhr
Goto Top
Moin,


mach einfach Deinen Job - IT-Prozessoptimierung face-wink

Scheinbar geht es nicht ohne DomAdmin bei Euch im Haus - also schlage das vor

Alternative 1: 60 min = 110 €

Alternative 2: DomAdmin im Haus - ggf. mit Hochdrehen des Loggings

Alternative 3: Illegale Zugriffe mit offenen Userkonten, Verletzung Privatsphäre, mögliche Kompromittierung von Daten und Zugriffen - per se - Datenintegrität und Sicherheit im Hintern

Gruß

24
maretz
maretz 24.02.2010 um 23:00:41 Uhr
Goto Top
Moin,

erste Frage: WO speichern denn die Leute die Daten lokal?

zweite Frage: WAS passiert wenn der PC an dem die Dinge gemacht wurden abschmiert? Und zwar z.B. ein Festplatten-Defekt?

dritte Frage (eigentlich eher rhetorisch...): Wer macht ein Backup von den Daten auf den lokalen PCs

Mit diesen Fragen gehst du mal zu deinem Boss. In der Hinterhand einige Beispielfälle bei denen es eben durch die lokale Speicherung zu Problemen kommt. Dazu noch ein paar Beispiele von Zeichnungen bei denen es eine Servergespeicherte Version gibt UND eine lokal gespeicherte Version - mit der Bitte an deinen Ober-Manitu das er dir sagt welches die aktuelle Zeichnung ist.

Spätestens JETZT sollte es also eine schriftliche Anordnung der GL geben (und nur diese ist da nunmal wirklich Weisungsbefugt) das die Daten auf dem Server zu liegen haben. Die GL kann auch erwarten das für den Fall das dieses nicht passiert jeder Mitarbeiter sein Kennwort in einem verschlossenem Umschlag irgendwo (z.B. bei der GL im Safe) hinterlegt. Und die GL darf auch der EDV die Anweisung erteilen das z.B. alle Dateien von "Eigene Dateien" in ein Servergespeichertes Profil auf dem Server umgleitet werden und jeder User auf alle Profile mindestens Leserechte hat.

Speichert jetzt noch ein User in einem anderem Verzeichnis (z.B. direkt auf Cface-smile dann muss man dem hier schon die Absicht die Firma zu behindern unterstellen. Und dieses muss dann auch mal (durch die GL) mit einer Abmahnung belohnt werden.

Ich kann dir aber nur empfehlen das du selbst dir NICHT die Passwörter der anderen User geben lässt. Denn ich nehme mal meine Glaskugel zur Hand: Kollege "X" ist grade im Urlaub. Firma ABC fragt eine Zeichnung an die der Kollege X gemacht hat. Jetzt rennt jeder erstmal zu dir - DU sollst bitte an den Rechner vom Kollegen X gehen und denen eben die Zeichnung rausgeben. Leider erwischt du die falsche Version der Zeichnung (z.B. weil X beim letzten mal das Speichern vergessen hat oder die endgültige Datei woanders liegt als du erwartest). Firma ABC kommt also nach 8 Wochen mit der falschen Zeichung (oder eure Mechaniker) und schlägt euch da nen ganzen Haufen voller falscher Bauteile um die Ohren. Nun - was passiert jetzt? Kollege X sagt das er von nix weiss - ER war ja im Urlaub. Der Kollege der dich damals so freundlich gebeten hat das eben rauszusuchen zeigt mit dem Finger auf dich - DU hast ihm ja diese Zeichnung gegeben und er hat die nur an die Firma weitergeleitet/an den Mech gegeben. Und - wer hat jetzt die große Ar...Karte und darf dem Chef erklären warum grad für zig Tausend Euro Geld in den Sand gesetzt wurde? Oder glaubst du das der Chef dir jetzt danken wird das du dich um die Zeichnungen sofort gekümmert hast? Nen kleiner Tipp am Rande: Warum glaubst du ist in den Firmen die EDV-Abteilung immer mit Leuten besetzt die sich eben mit der EDV auskennen - aber z.B. von Technischen Zeichnungen, von Vertragsrecht usw. keine Ahnung haben? Weil man den Leuten dann entweder genau sagt was man möchte ODER weil man mit denen gleich zusammen guckt! Es wird bei uns KEINER von mir erwarten das ich die Details der Schifffahrt kenne - wenn jemand ne dringende Mail vom abwesenden Kollegen sucht dann sagt der mir eben wann das in etwa war, von wem die kam oder sonstwas. Ich suche dann eben mit diesen Punkten und ggf. frage ich welche von den X Mails die Person meint. Aber wenn einer der Kollegen auf mich zeigen würde und dann sagt das ICH dem ja die falsche Mail gegeben hätte - dann wird jeder Geschäftsführer auch nur sagen das er das hätte kontrollieren müssen da man bei mir nicht von Fachkenntnissen ausgehen kann... Sieht das bei dir ähnlich aus?
XtremeCase
XtremeCase 25.02.2010 um 10:25:56 Uhr
Goto Top
Grundsätzlich erstmal vielen Dank für die vielen hilfreichen Tipps und "Blicke in die Zukunft".

War heute morgen bei der GL und hab das Thema mal angesprochen.

Es soll einen Hinweis an die User geben, dass Sie eine Veröffentlichungspflicht haben von "firmenbezogenen Daten". Wer dem nicht nachkommt, wird in die Verantwortung gezogen und muss (auch wenn er im Urlaub ist) sich darum kümmern das die Daten binnen ein paar Stunden zu Verfügung stehen.

Alternativlösung wäre die zu Verfügungstellung der Passwörter (versiegelt) im Safe vom GF.

Jeder kann frei wählen.

Sollte doch so in Ordnung sein, oder?!
maretz
maretz 25.02.2010 um 13:52:51 Uhr
Goto Top
Moin,

also erstmal: Warum sagt die GL dann nicht gleich das es keine Kennwörter gibt? Weil: Als AN hast du kein Anrecht darauf das du ein Kennwort bekommst!
Und die "Büchse der Pandorra" öffnest du damit eh -> weil: Ich speichere immernoch lokal zwischen (ist ja nicht untersagt, ihr habt ja mein Kennwort). Es existieren immernoch dümmstenfalls X verschiedene Versionen derselben Datei (X = Anzahl der Rechner +1 für den Server). Und: Jetzt gibt es gar keinen Verantwortlichen mehr: Herr X war im Urlaub. Herr Y brauchte die Zeichnung. Y findet die auf dem Server und schickt die an den Kunden. Leider weiss er nicht das X die aktuelle Version auf seinem Rechner hat. Wer ist jetzt für den Fehler "verantwortlich"? X der die auf dem Rechner gespeichert hatte und nicht auf dem Server? Y der die falsche Zeichnung geschickt hat aber gar nicht wusste das X die aktuelle Version bei sich auf dem Rechner hat? Oder sogar Person "Z" die von Y gefragt wurde ob das die richtige Zeichnung auf dem Server ist und die nach einem kurzen Blick gesagt hat "jup, sieht gut aus". Leider hat die nicht gesehen das die Bohrung für die Schrauben auf der Server-Zeichnung noch 0,5mm zu klein war...

Und ganz ehrlich: Was habt ihr für ne EDV-Firma als Support? Die Aushilfsleute vom Kindergarten nebenan? Oder doch schon Schüler die sich nen paar Euro dazuverdienen wollen? Denn: Lokal Speichern lässt man bei sowas generell NIE zu! Es gibt genau EINE Version der Zeichnung und ggf. ein "OLD"-Verzeichnis für die vorhergehenden Versionen bei denen JEDER schon am Verzeichnisnamen sieht das es veraltete Daten sind!

Meines Erachtens gibt es nur eine Lösung für euer Problem: Die EDV-Firma mal entweder kicken - oder wenn es eure Anforderung war das auf dem PC auch gespeichert werden kann (so ohne Backup und Co.) dann denjenigen der dies gebaut hat sofort öffentlich steinigen! Danach das System so umstellen das NUR auf dem Server gespeichert wird - und gut ist... Geht das nicht freiwillig dann eben die Profil-Größe so beschränken das man gar nicht mehr lokal speichern KANN ...

Aber das du die Passwörter der Kollegen weisst / daran kommst ist nur eine notlösung falls z.B. nen Unfall dafür sorgt das du an die Emails musst o.ä. Für die ARBEITSDATEN darf das nicht nötig sein!
XtremeCase
XtremeCase 25.02.2010 um 14:42:53 Uhr
Goto Top
Glaub mir, das mit der IT-Firma ist genau der Punkt der mich wurmt. Aber die IT-Firma bleibt bestehen als SysAd. Unser Chef ist irgendwie mit dem IT-Firmen Chef befreundet.
Wenn ich da reinfunke und kritisiere, bin ich am Ende der Doofe - ihr kennt das vielleicht... face-sad
Ich kann Vorschläge zur Verbesserung machen, nicht aber zum Wechsel der Firma.

Ich glaub, das wird hier ein Endlosgespräch im Forum werden... face-wink

Ich denke, dass eine Firma mit 2x 30 Mitarbeitern an PCs (2 Standorte) allmählich keine wurschtelnde (ich bin mal da, mal nicht) IT-Firma braucht,
sondern mittlerweilen günstiger/sicherer/zuverlässiger fahren würde, wenn man einen Admin fest in der Firma hätte.
Das BDsG würde eingehalten werden, alles würde SICHER und ZUVERLÄSSIG eingerichtet werden...
Dann hätte ich auch endlich wieder mehr Zeit für andere Sachen
maretz
maretz 25.02.2010 um 16:43:30 Uhr
Goto Top
Moin,

bei 2x30 Leuten wäre das SICHER sogar keine schlechte Idee. Bei der größenordnung hat weder eine Firma die da rumwuselt was dran verloren noch der Sachbearbeiter der sich grad mal nen bisserl mit dem Rechner auskennt.

Es geht da nichtmal um das Einhalten eines Gesetzes. Es geht viel mehr darum das ein Ausfall sehr schnell sehr unangenehm wird. Und wenn dann noch jemand ohne Sinn und Verstand im System rumfummelt (und auch die EDV-Firma würde ich als solchen Kandidaten bezeichnen wenn die das bei euch so locker mitmachen) dann geht meistens ALLES in die Hose... Es muss da sicher noch nicht der Dr./Dipl. Ing./Dipl. Inf. bei euch sein - aber ein vernünftiger FI wäre da in jedem Fall sinnvoll... Aber gut - auch ein Chef muss manchmal erst fühlen bevor er hört...
RogerWilco2009
RogerWilco2009 01.03.2010 um 13:12:28 Uhr
Goto Top
Hallo XtremeCase,

Du schreibst, man kann ihnen täglich auf die Finger hauen, aber in der Praxis sieht das ganz anders aus. Ein früherer Chef hat mal gesagt, "Es muß weh tun, damit sich was ändert".
Sprich doch einfach nochmal mit den Kollegen und verdeutliche ihnen das Problem.
In der nächsten Stufe machst Du eine Auflistung, was das ganze kostet, in Zeit und Aufwand und laß es dem Kollegen zukommen.
In der dritten Stufe kann man ja mal den Hinweiß geben, daß das Controlling sicherlich ganz heiß daruf wäre, Einsparungen zu finden, könnte ja auch eine Verrechnung der Kosten die Folge sein...
..und dann tut es weh!
(und Passwörter in einem Umschlag sind doch einfach nur eine neue Baustelle O-Zitat: ..ähm ja, das konnte nicht gehen, das ist das alte..!)

Gruß Roger
shadow-11
shadow-11 01.03.2010 um 18:02:10 Uhr
Goto Top
Moin oder doch besser Nabend,
also als erstes rechtlich gesehen soltest du besser die Finger davon lassen die Passwörter deiner User zu Wissen. Gibt nur Ärger wenn mal was schief läuft.
Als Möglichkeit das lokale speichern zu unterbinden machso doch ganz einfach so:

Servergespeicherte Profile und auf den lokalen Rechnern nur Leseberechtigung.

So Verfahr ich teilweise bei uns, bei den ganz harten Fällen, weil wer nich höhren will muss fühlen.
Dementsprechend haben die User nur noch Schreib-Berechtigung auf den gemounteten Netzwerklaufwerken.

Lg
UrsMitLangemNickName
UrsMitLangemNickName 02.03.2010 um 07:15:32 Uhr
Goto Top
Dein Problem sind ja nicht die fehlenden Passwörter. Somit sind sie auch nicht die Lösung.
Die Dateien müssen auf den Server, keine Frage! Nicht nur wegen dem Zugriff, sondern vor allem wegen der Backups!

Wenn die Herren Entwickler lokal arbeiten, so hat das möglicherweise mit der Geschwindigkeit des Netzwerks oder des Servers zu tun.
Vielleicht muss man denen etwas geben, damit sie nicht mehr lokal arbeiten. Auf jeden Fall sind die Folgen solchen Verhaltens enorm, wie Du ja selbst am besten weisst.
Lokal arbeiten und einchecken in ein Versionsverwaltungstool?

Auf jeden Fall muss der letzte Stand immer auf den Server. Das gehört zu deren Job, und wenn sie den nicht machen, gibt's eine Verwarnung.
Stell' Dir vor, einer entwickelt einen Monat und sein PC geht hops! Er will ja dennoch seinen Lohn...
curlybiggelow
curlybiggelow 02.03.2010 um 09:19:48 Uhr
Goto Top
Hallo zusammen.

da bin ich bei euch. Das ist kein EDV-Problem, sondern ein organisatorisches. Es hat mit Verantwortung zu tun. Solche Probleme kann man technisch nicht völlig aus der Welt schaffen. Die hendsärmeligen finden immer einen Weg am Workflow vorbei - und wenn es über den USB-Stick ist.

Wir lösen solche Probleme immer organisatorisch (Betriebsvereinbarung) etwa folgendermassen:

1.) alle Daten auf den Rechnern der Firma sind Eigentum der Firma
2.) personenbezogene (also gesetzlich besonders geschützte) Daten haben auf Shares nichts zu suchen

Wer sollte uns jetzt also verbieten auf Firmenrechnern alle Daten jederzeit einzusammeln und zusammen zu führen ?
Es gibt kein Gesetz gegen die Verarbeitung eigener Daten, es sei denn, sie fallen unter das Datenschutzgesetz (was ja gemäss Betriebsvereinbarung gar nicht sein kann).
Es gibt auch keinen gesetzlich geschützten Beruf des 'Administrators' mit anderen Rechten als denen des Arbeitsrechts.
Deshalb gilt auch für 'Administratoren' oder andere 'Verantwortliche' beim Zugriff auf Firmendaten nur das Arbeitsrecht.
Alles andere lässt sich abweichend in Betriebsvereinbarungen regeln.

P.S. Betriebsvereinbarungen haben den rechtlichen Rang von privaten Verträgen.

.. so viel zum Thema Administrator - Mythos und Wirklichkeit
Dinkelmeister
Dinkelmeister 03.03.2010 um 08:12:48 Uhr
Goto Top
hallo

ich glaube auch dass das ein erziehungsproblem ist. bei uns im geschäft gibt es auch leute die immer wieder sachen auf dem desktop abspeichern. ich kann dann immer nur diejenigen darauf hinweisen dass ich keinerlei verantwortung für daten übernehme die so abgespeichert werden und dass die daten von heute auf morgen weg sein könnten. zb: neuformatierung, festplattencrash, etc.
in deinem fall würde ich sogar soweit gehen (in absprache mit der gl und mit vorheriger information der mitarbeiter) dass die kosten eurer externen it firma einem mitarbeiter vom lohn abgezogen wird, falls er etwas lokal speichert und ihr auf diese daten zugreifen müsst in seiner abwesenheit.

nichts desto trotz würde ich einen account (zb: service) eröffnen und diesem auf allen stationen lokales admin recht geben. das kann sicher auch in anderen fällen mal notwendig werden dass du lokales adminrecht bestitzt.

gruss dinkelmeister
markozz
markozz 03.03.2010 um 16:09:39 Uhr
Goto Top
Hallo@all,

"ich glaube auch dass das ein erziehungsproblem ist." ... Das ist eindeutig ein Erziehungsproblem! Bei uns ist das so von der GL festgelegt:

- Jede Arbeitsgruppe hat auf 'nem NAS/SAS ein extra ProjektShare,
- Jede Arbeitsgruppe speichert zwischen und nach den Arbeiten genau dort ab,

Speichert einer lokal und ist im Urlaub/AD/Krank oder sonstwas und keiner kommt an die Sachen "ohne weiteres" heran, gilt die Arbeit als "nicht erbracht". Je nach "Schaden" oder Leistungsverzug dem Kunden gegenüber der sich daraus ergibt, folgt entweder:

- Verwarnung.
- Abmahnung,
- Kündigung.

... abgemahnt oder deswegen gekündigt wurde bei uns noch keiner!

Gruß
maretz
maretz 03.03.2010 um 16:26:42 Uhr
Goto Top
Zitat von @Dinkelmeister:
in deinem fall würde ich sogar soweit gehen (in absprache mit der gl und mit vorheriger information der mitarbeiter) dass die
kosten eurer externen it firma einem mitarbeiter vom lohn abgezogen wird, falls er etwas lokal speichert und ihr auf diese daten
zugreifen müsst in seiner abwesenheit.

Ich glaube nicht das du damit auch nur den ANSATZ einer Chance auf Erfolg hättest. Denn das Speichern auf der lokalen Festplatte dürfte kaum als "grobe Fahrlässigkeit" durchgehen - ggf. war mein Rechner aus welchem Grund auch immer grad vom Netz getrennt und ich konnte gar nicht anders speichern. Und jeder der nen paar Tage in der EDV arbeitet kennt die Leute die mit dem Fuß elegant das Netzwerkkabel mal aus dem rechner ziehen usw...

Würdest du also mit so einer Drohung vor mir stehen würde ich dich bestenfalls noch auslachen. Aber ERNST nehmen würde ich dich danach schon gar nicht mehr.

Es bleibt hier nur der Weg das man z.B. Eigene Dateien & den Desktop für den User sperrt so das der keinen Sinnvollen Ordner mehr zum lokalen Speichern hat. ALLERDINGS wurde hier auch der Aspekt der Netzwerk-Geschwindigkeit genannt: Selbstverständlich muss das schnell genug laufen. Wenn ich beim Programmieren bin (gehört bei mir auch zum Job) und dann mal eben das Projekt speichern will/muss/whatever dann muss das praktisch sofort fertig sein. Wenn der jedesmal beim Speichern 5 Minuten benötigt weil der erst alles übersetzt und das Netzlaufwerk dabei die Bremse ist dann kann ich nur lokal arbeiten. Es bringt mir das beste Backup nichts wenn ich am Tag 3 Testläufe machen kann und 2 Std. zum Programmieren komme. Dann ist zwar das was ich geschafft habe auf dem Server - aber bis das Programm fertig ist bin ich in Rente! (Ich speichere übrigens mein Programm auch lokal und mache dann regelmäßig - und das heisst da mehrmals täglich - ein Backup auf einen externen Server so das ich auch von zuhause weiterarbeiten kann.... Von daher kann man auch bei mir sagen das ich "lokal" arbeite - nur das ich mich eben auch selbst ums Backup kümmere und bei uns auch garantiert niemand ausser mir an den Quellcode muss da ich bei uns der einzige bin der die Sprache kennt)
Dinkelmeister
Dinkelmeister 04.03.2010 um 07:25:16 Uhr
Goto Top
Zitat von @maretz:
Ich glaube nicht das du damit auch nur den ANSATZ einer Chance auf Erfolg hättest. Denn das Speichern auf der lokalen
Festplatte dürfte kaum als "grobe Fahrlässigkeit" durchgehen - ggf. war mein Rechner aus welchem Grund auch
immer grad vom Netz getrennt und ich konnte gar nicht anders speichern. Und jeder der nen paar Tage in der EDV arbeitet kennt die
Leute die mit dem Fuß elegant das Netzwerkkabel mal aus dem rechner ziehen usw...

ich arbeite auch schon "ein paar tag" in der edv. aber ein netzwerkkabel hat noch niemand mit dem fuss rausgerissen. verlaufen eure kabel quer durchs büro? face-smile
wenn das netzwerk nicht mehr geht erwarte ich schon dass die leute mich rufen und nicht einfach lokal weiterarbeiten. was aber auch der fall ist, denn ohne netzwerk können sie nicht auf den sql zugreifen und somit funktioniert auch das erp nicht mehr was ein arbeiten bei uns unmöglich macht. zudem reden wir hier nicht von ausnahmen weil das netzwerk grad mal nicht gegangen ist sondern von unbelehrbaren wiederholungstätern.
und ob ich damit durchkomme oder nicht würde man dann sehen. nicht jeder schaltet gleich seinen anwalt ein und zieht vor gericht. zumindest bei uns in der schweiz nicht. gott sei dank.
zu guter letzt ist noch zu sagen dass du micht nicht auslachen würdest. denn solche leute wie du sind ja nicht das problem. ich denke nicht dass wir beide darüber diskutieren müssten. wir reden hier von normalen anwendern die kein verständnis dafür haben dass die daten gesichert werden müssen etc. und bei uns würde es nicht angehen dass sie keine verknüpfungen auf dem desktop ablegen dürften usw.
naja, aber so ist es eben überall etwas anders.
UrsMitLangemNickName
UrsMitLangemNickName 04.03.2010 um 07:43:44 Uhr
Goto Top
Ich sehe es auch nicht realistisch, den Mitarbeiter zur Kasse zu bitten.
Arbeitet Ihr mit interner Leistungsverrechnung?
Ihr könntet die Kosten statt dem Mitarbeiter der Abteilung belasten. Das belastet dann das Budget des Entwicklungsleiters. Und da dürfte das Problem ja auch liegen. Wenn der das Speichern auf dem Server fordert (und vorlebt), ist doch das kein Problem. Ausser, er hat ein Autoritätsproblem. Also entweder will er nicht, oder er kann nicht. DA musst Du Druck aufsetzen können.
Wenn SEINE Rechnung nicht mehr gut ausschaut, setzt sich dann schon etwas in Bewegung.
curlybiggelow
curlybiggelow 04.03.2010 um 08:53:31 Uhr
Goto Top
Richtig ! Ein Arbeitgeber-Risiko bleibt immer ein Arbeitgeber-Risiko - das kann man auch nicht per Arbeitsvertrag wirksam auf den Arbeitnehmer abwälzen. Deshalb entfällt eine finanzielle Diszipinierung in Form eines Strafgeldes auf jeden Fall, will man sich als Arbeitgeber rechtskonform verhalten.

Aber die Disziplinierung über die Arbeitsleistung und seine Beurteilung und damit natürlich auch auf die Höhe der Grundvergütung wäre durchaus nach deutschem Arbeitsrecht vertretbar. Wenn sich also jemand ständig anders verhält, als sein Vorgesetzter und seine Kollegen es von ihm erwarten, darf sich dass in seiner fachlichen Beurteilung durchaus widerfinden.

Trotzdem kann so etwas natürlich nur das letzte Mittel sein um jemanden zu disziplinieren. Wir lösen das im Vorfeld natürlich auch so, dass der Administrator bei Abwesenheit seinen etxtra zu diesem Zweck angelegten Zugang benutzt, um die Daten des 'vergesslichen' Mitarbeiters an den richtigen Platz zu kopieren. Das ist verdammt noch mal der Job eines IT-Supporters (Anwenderunterstützung) !

Nur ein zu diesem Zweck benutzbarer Zugang muss natürlich eingerichtet sein. Wenn die Geschäftsleitung das nicht will, kann sie nicht gleichzeitig verlangen, dass sich der Administrator mit Mitteln aus der rechtlichen Grauzone erst im Ernstfall einen Zugang durch Überwindung 'digitaler Barrieren' verschafft. Deshalb ist der organisatorische (vertragliche) Ausschluss personenbezogener Daten und die Einrichtung eines administrativen Zugriffes der rechtlich einwandfreie Weg zur Lösung eures Problems.

P.S: die sogn. 'administrativen Freigaben' unter Windows existieren in einer sicherheitsbewussten IT-Umgebung natürlich nicht und sind zu diesem Zweck deshalb auch nicht nutzbar. Das muss durch einen lokalen, extra zum Zwecke des IT-Supportes angelegten administrativen Zugriff geregelt werden.
maretz
maretz 04.03.2010 um 09:07:10 Uhr
Goto Top
Moin,

erstmal sag ich mal so: Jemand der sowas macht würde das natürlich sinnvollerweise bei der Beurteilung (und ggf. auch bei evtl. anstehenden Gehaltserhöhungen) bemerken. Darüber erzieht man die Leute noch am effektivsten wenn andere Wege nicht gehen.

Ebenfalls würde ich die Kosten natürlich auch der Abteilung zuschieben (falls es Kostenstellen gibt) -> denn dann merkt der Abt.-Leiter natürlich am ehesten das es ein Problem gibt und sein Budget durch solche Torf-Nasen unnötig belastet wird. Und dafür muss er sich am Schluss einen in die Wäsche geben lassen -> da das keiner will macht er dann schon druck in der eigenen Abteilung. Und das ist effektiver als wenn der "Edv-Fuzzi" da nur mal wieder sich beschwert (der hat ja eh keine Ahnung usw...).

Was ich allerdings anders sehe: Es ist NICHT mein Job die Dateien für die Kollegen zu kopieren. Wenn jemand generell ein Problem hat und z.B. keine Netzlaufwerke kennt - dann ist es mein Job dem zu zeigen wie er wo speichern kann und warum das so sein soll. Dafür stehe ich auch grade das die Leute bei Fragen eben zu mir kommen können. Und wenn der dann beim 3ten, 5ten oder 100sten Mal fragt dann muss ich mir gedanken machen ob
a) meine Erklärungen unverständlich sind
b) das Speichersystem zu komplex ist (1000 Unterordner,...)
c) die Person es nicht verstehen kann/will
und entsprechend reagieren. Dasselbe gilt m.E. auch bei Fragen zu Office o.ä. -> natürlich ist es mein Job denen ggf. zu erklären wie man etwas einstellt. Es ist aber NICHT mein Job für jemanden ein Word-Dokument zu tippen oder ne Excel-Tabelle zu erstellen. DANN hätte ich Sekretär(in) werden sollen - und nich EDV-Admin...

gruß

Mike
Skatty
Skatty 04.03.2010 um 12:21:48 Uhr
Goto Top
Hallo,

Ohne jetzt alle Kommentare gelesen zu haben, mache ich folgenden Vorschlag - sofern du Zugriff auf die Computerverwaltung hast bzw sie dir vom externen Systemhaus gewaehrleistet werden kann:


In unserer Firma richten wir auf jedem User-PC einen "IT_Desk" Account mit Administratorrechten ein, um Installationen durchzufuehren, fuer Remote-Zugriffe, etc.

Inwiefern du diese Moeglichkeit, also mindestens einen angemeldeten Administrator-Account (z.B. wenn die User Adminrechte besitzen) hast kann ich nun nicht genau abschaetzen, aber eventuell koenntest du in Absprache mit dem Systemhaus auch einen eingeschraenkten Account auf den Mitarbeiter-PCs einrichten und diesem Zugriff auf die typischen Speicherorte der Mitarbeiter vergeben.

Waere natuerlich etwas sehr aufwaendig wenn euer Unternehmen groesser ist, aber wenn es deinen Workflow auf Dauer rettet, sollte es den Aufwand wert sein.


Ansonsten gibt es ein nettes Programm OPH*ust*, das Windows-Kennwoerter wunderbar auslesen kann... Damit befindest du dich allerdings vermutlich eher weniger auf der legalen Seite...
maretz
maretz 04.03.2010 um 12:49:46 Uhr
Goto Top
erstmal befindet er sich dann weniger auf der legalen seite. Dann hat danach das Systemhaus die Möglichkeit alle weiteren Gewährleistungsansprüche sofort abzulehnen. Und zum Schluss kann er sogar dafür noch einen auf den Ar... bekommen (auch durch das Systemhaus) weil er die Sicherheits-Regeln verletzt hat. Im ganz dummen Fall kann das sogar bis dahin führen dass das Systemhaus da noch eine Rechnung für stellt die man in DEM Fall auch Privat zu tragen hat (es dürfte schwerfallen das man jemanden findet der einen PW-Crack-Programm als nicht-grob-fahrlässig wertet)
Skatty
Skatty 04.03.2010 um 14:39:44 Uhr
Goto Top
Hehe, das ist mir durchaus bewusst, deshalb ist es mehr eine Randnotiz nach meiner eigentlichen Idee...
Auf keinen Fall werde ich die offenbar weniger legale Methode weiter bekraeftigen, ich wollte lediglich die Moeglichkeiten unbewertet aufzeigen. Es liegt mir fern, jemanden hier in die S zu reiten.

Cheers
FloGrian
FloGrian 04.03.2010 um 21:41:19 Uhr
Goto Top
Hi,
wir haben in der Schule Dr.Kaiser software drauf. Der Verhindert speichern auf der Festplatte od. nur so lange bis der Rechner neu gestartet wird aber wie ich im Internet herausgefunden hab, kann man glaub ich auch einstellen das es auf ein Serverlaufwerk geht ...

oder

den ordner "Eigene Datein" =>Einstellungen und da dann den Pfad auf den Server anlegen dann merken sie es nicht einmal ... So ist es z.B. bei meiner Mum bei mir zu Hause.

MfG

Flo
2hard4you
2hard4you 05.03.2010 um 17:12:07 Uhr
Goto Top
Moin,


wir wollen hier weder biblische Gestalten noch andere Typen, die Passwörter auslesen können - sowas ist und bleibt illegal


Gruß

24
lefgruen
lefgruen 07.03.2010 um 15:48:07 Uhr
Goto Top
Hallo Im Thread,

ich meine, die Kennwörter sind nicht Eigentum der User, sie gehören der Firma, der Behörde.

Für den Fall der Abwesenheit des Users (verstorben, berunfallt,beurlaubt, überraschend ausgeschieden, .... ) erscheint es zweckmässig, dem User sein Kennwort in einem versiegelten Umschlag bei seinem Vorgesetzten hinterlegen zu lassen, das zu aktualisieren aus gegebenen Anlass, das unter Androhung personalrechtlicher Konsequenzen. Dazu ist eine Anweisung,- eine Unternehmensrichtlinie - zu erstellen, diese von der Unternehmensleitung zu unterzeichnen.

Mit freundlichem Gruß

Edgar Lefgrün
lefgruen
lefgruen 07.03.2010 um 15:51:38 Uhr
Goto Top
Aus administrativer Sicht erscheint es ratsam, dem User sehr weitgehend jede Möglichkeit zum Speichern auf der lokalen Paltte zu nehmen; damit ist das Systemhaus zu beauftragen!

Weiter sind die Pfade der Anwendungen so einzurichten, das sie nicht mehr auf lokale Verzeichnisse zeigen können.
curlybiggelow
curlybiggelow 08.03.2010 um 08:40:36 Uhr
Goto Top
Hallo Edgar,

mit deiner Meinung: die Kennwörter gehören nicht den Anwendern, sondern der Firma liegt du aber sowas von falsch. Ich empfehle hier dringend die Lektüre der einschlägigen Gesetze.

Allerdings sind Zugriffe auf personenbeziehbare Daten immer rigoroser eingegrenzt als auf Daten, die nicht auf eine Person beziehbar sind. Die Grenze zwischen personenbeziehbar und nicht auf eine Person beziehbar ist allerdings meist erst dann rechtlich eindeutig beurteilbar, wenn man bereits Zugriff genommen hat - die Beurteilung selbst ist also bereits inversiv ! Der Administrator bewegt sich also auch dann immer mit einem Bein im Gefängnis, wenn er bei seiner unterstützenden Tätigkeit zu forsch Zugriff nimmt.

Die einzige Lösung aus diesem Dilemma ist eine Datenschutzrechtliche Verpflichtung des Administrators und da jede Speicherung von personenbeziehbaren Daten über das Register ja sowieso meldepflichtig ist, ein Verbot der Speicherung von personenbeziehbaren Daten ausserhalb der angemeldeten Anwendungen. So macht das in Deutschland zumindest jede Behörde und jede größere Firma, die einen Datenschutzbeauftragten hat, der seinen Job ernst nimmt.
lefgruen
lefgruen 08.03.2010 um 09:33:52 Uhr
Goto Top
Hallo Curlybiggelow,

bitte gebe doch mal einen Hinweis auf den § oder ein Urteil!

Auf den vom User für die Arbeit im Unternehmen benutzten Rechner kann, darf es keine auf den User bezogenen Daten geben; auf den Rechnern sind ausschliesslich Daten des Unternehmens zu verarbeiten und zu speichern! Und das bestimmt eine Unternehmensrichtline, herausgegeben von der Unternehmensleitung, diese beraten von der Rechtsabteilung oder einem Fachanwalt, weiter in Abstimmung mit dem Personalrat und unter Hinzuziehung des Datenschutzbeauftragtenm, so existent. Nicht jedes Unternehmen verarbeitet personenbezogene Daten.

Im vorliegenden Fall handelt es sich nicht um personenbezogenen Daten, aber selbstverständlich hat ein Administrator eine datenschutzrechliche Verpflichtung - zu unterzeichnen - . Im vorliegenden Fall handelt es sich aber nicht um einen Administrator, es handelt sich um den "EDV-Koordinator" einer Abteilung, möglicherweise eine eher informelle Funktion.

Meine Beiträge enthalten aber etwas anderes, nämlich Hinweise auf mögliche Lösungen des eigentlichen Problems.

Gruß

Edgar
miniversum
miniversum 09.03.2010 um 15:44:59 Uhr
Goto Top
Ich glaube wenn ich bei mir einem Admin mein Passwort geben müsste dann wäre ab dem Tag mein Passwort "Der Admin ist so doof" ;)
maretz
maretz 09.03.2010 um 17:54:20 Uhr
Goto Top
Moin Edgar,

so dann kommst du zu mir und willst das Passwort welches ich frei wählen durfte. Schon ist meine erste Aussage: "Sorry, kann ich dir nicht geben weil es auch für mein privaten Web.de-Account gültig ist". Jetzt gebe mir EINEN Grund warum ich das Passwort an dich rausgeben muss (selbst vor der Polizei kann ich immernoch behaupten das ich es grad vergessen habe und solange die anderwertig keinen Ansatz haben das ich was verbotenes getan habe ist dann auch schon Ende der Ermittlung).

Wenn dann wäre die Lösung das die Firma - namentlich die EDV-Zuständigen - ein Passwort vorgeben welches nicht änderbar ist. DANN brauch man aber auch nich fragen - sondern dann weiss die EDV das PW. Aber solange ich etwas persönliches wählen kann würde ich immer behaupten das dieses auch unter den Datenschutz fällt. Denn ggf. ist das Passwort ja das meiner geliebten - und das möchte ich nicht grad vor der Ehefrau rausrücken...

Das "schöne" am Datenschutz ist das er nunmal sehr hart einschränkt was du vom Anwender verlangen darfst - und alles was vertraulich /& privat ist bleibt dem überlassen...
lefgruen
lefgruen 09.03.2010 um 19:23:47 Uhr
Goto Top
Hallo Kameraden,

bleibt doch mal bitte auf dem Teppich!

Ich habe doch kein Wort davon verlauten lassen, die User müssten der EDV, dem Admin, ihre Kennwörter mitteilen. Viele Admins sind in Wirklichkeit Schergen oder Einzelkämpfer, in untergeordneter Stellung oder Dienstleister.

Ich habe postuliert, das Kennwort des Users sei nicht sein Eigentum, es habe nicht das alleinige Verfügungsrecht darüber. Ich meine, die Verfügbarkeit kann eine Unternehmensrichtlinie regeln für spezielle Fälle; das Kennwort hinterlegen in einem versiegelten Umschlag bei einer beauftragten Leitungsperson. Solch eine Richtlnie wäre natürlich rechtlich abzustimmen, das Verfahren vertrauensfest zu machen, ein 4- oder sogar 6-Augenprinzip, ein Zugriff ist zu protokollieren, dem User mitzuteilen.

Kennwörter in unserem Unternehmen unterliegen einer bestimmten Richtlinie, sie sind komplex, Namen u.ä. werden nicht akzeptiert, diese Kennwörter düffen nicht ausserhalb des Unternehmens verwendet werden, das regelt eine Richtlinie des Unternehmens, der Beschäftigte wird darüber aktenkundig belehrt, er unterschreibt dafür.
2hard4you
2hard4you 09.03.2010 um 19:35:49 Uhr
Goto Top
FALSCH!

Der User muß niemanden sein Paßwort mitteilen, der Admin kann es immer überdrücken, falls Not am Mann ist, und dieses ist nachzuweisen!

Gruß

24
maretz
maretz 09.03.2010 um 21:48:25 Uhr
Goto Top
Na das wird ja immer besser.

Ok, Kennwörter unterliegen in einem Unternehmen (ggf.) einer gewissen Richtlinie. Sie sind komplex (hoffentlich), enthalten NICHT den Namen (auch hoffentlich) usw... Nun - dasselbe trifft auch auf meine Privaten Passwörter zu.

Jetzt kommst du mit dem guten 4- oder 6-Augen-Prinzip. Gut, also kennen jetzt bereits 3 Personen (bzw. 6 einäugige...) mein Passwort für den privaten Email-Account. Jetzt nehmen wir nur mal für eine Sekunde an das mein Chef mich loswerden will. Schon schickt er mit meinem privaten Mail-Account ne Mail an einen befreundeten Geschäftsführer. Diese enthält eine angebliche Bewerbung und betriebsinterne Daten. Schon kann er mir auch mit 64 Jahren und 44 Jahren Betriebszugehörigkeit problemlos und ohne irgendwas entlassen. Und ER war es natürlich nicht - wenn überhaupt dann jemand der Kollegen. Und mir wurde ja ordnungsgemäß mitgeteilt das mein Kennwort gesehen wurde (das man in jedem Mail-Programm ohne viel Aufwand die Versandzeit ändern kann ist dir vermutlich auch klar).

Nochmal die Frage: Warum sollte ich aus welchem Grund auch immer mein Kennwort irgendwie in der Firma bekannt geben? Ob nun nen Brief, nen Zettel am Monitor oder ne Rundmail ist dabei unerheblich. Warum sollte ich dem Geschäftsführer zwingend mehr vertrauen als meinem Kollegen? Und: Warum gibt es wohl die Möglichkeit für den Admin das User-Passwort problemlos zurückzusetzen (OHNE das vorherige zu kennen)?

Und die ganzen Belehrungen sind immer gut. Aber dummerweise müssen die nicht zwangsläufig auch immer eine Gültigkeit haben. Und ganz davon abgesehen: Natürlich kann das Unternehmen jede beliebige Richtlinie aufsetzen und sogar durchsetzen. Hast du mal in nem Unternehmen versucht wirklich komplexe Passwörter (8 Zeichen, Sonderzeichen usw... - den ganzen Kram halt) einzuführen? Nun - wie oft darfst du da mal eben nen PW zurücksetzen weil die Person das PW verloren hat? Wenn ich also ne Richtlinie einführe das jeder ein komplexes Passwort braucht und dieses auch nirgends ausserhalb des Unternehmens verwendet werden darf dann kann ich bei 100 Usern damit rechnen das ich jeden Morgen erstmal 10 Min. irgendwelche Passwörter neu setze (oder die einfach direkt am Monitor kleben...). Und wenn das Kennwort diese vertraulichen Richtlinien erfüllt dann sollte es auch etwas geben was man damit schützen will - und DA stellt sich dann noch viel mehr die Frage warum ich mein Passwort bekanntgeben sollte? Hier würde es nur dann gehen wenn man eben vom Betrieb die Passwörter vorgegeben bekommt - und diese z.B. beim Abteilungsleiter in Kopie vorliegen (und bei wem auch immer sonst noch). NUR wenn ich als EDV-Mensch die Passwörter vorgebe kann ich (verhältnismäßig) sicher sein das jemand die nicht bereits bei seinem privaten Konto auch verwendet. Und wenn die Person es dann von sich aus auf dem privaten Mailkonto und wo auch immer (ebay, ...) verwendet dann ist es die Schuld der Person wenn dieses missbraucht wird.
curlybiggelow
curlybiggelow 10.03.2010 um 08:08:55 Uhr
Goto Top
Hallo Kollegen,

bilde ich mir das nur ein, oder driftet die Diskussion langsam aber sicher Richtungs Glaubenskrieg ab ?
Die Fragestellung dieses Threads war doch: Userkennwörter - Habe ich das Recht diese zu erfahren?

Und Lösungen dazu hatten wir doch auch schon jede Menge:
Userkennwörter sind Userkennwörter (an den User gebundene), wenn die auch noch jemand anders kennte (wunderschöner Konjunktiv nicht wahr), und sei es in einem verschlossenen Umschlag mit 26 Augen, sind sie eben keine Userkennwörter mehr. Der User könnte also nie für Operationen unter seinem Account verantwortlich gemacht werden. Das sind aber nun mal die Anforderungen eines revisionssicheren IT-Betriebes nach BDSG (Zugangskontrolle, Abgangskontrolle etc.).

Für Supportzugriffe sind Administrator- oder meinetwegen auch Support-Zugänge gedacht.

Kollisionen mit privaten Belangen lassen sich per Betriebsvereinbarung ausschliessen (bis auf den Mailbereich, denn der User hat ja keinen Einfluss darauf, ob ihm jemand eine private Mail schickt oder nicht).

Alles auch beim BSI in Muster für Datenschutz-Verpflichtungen und Betriebsvereinbarungen in epischer Breite nachlesbar. Muss doch mal langsam Schluss sein mit dieser Debatte. Der Fragesteller erbat sich explizit konstruktive Beiträge.


P.S: habt Ihr es mitbekommen ? Eine Namensvetterin von mir hat als erste Frau einen Oscar für die beste Regie bekommen. Regie hat zur Gänze etwas mit Überblick und planerischer Zielverfolgung zu tun. So etwas war früher ausschliesslich Männern vorbehalten ... face-wink
lefgruen
lefgruen 10.03.2010 um 09:28:00 Uhr
Goto Top
Hallo,

danke für die deutlichen Worte und die schlagende Argumentation.
Biber
Biber 10.03.2010 um 21:12:04 Uhr
Goto Top
Moin curlybiggelow,

ich finde ähnlich wie lefgruen deinen Appell ein schönes Schlusswort.

Da nicht zu erkennen ist, ob XtremeCase noch mitliest bzw. ob er seine Frage überhaupt ergebnisoffen gestellt hat oder diese eher rhetorisch/suggestiv gemeint war...

Als Moderator sage ich jetzt mal

a) Die Frage ist hinreichend, ernsthaft genug, mit verschiedenen überzeugend dargebrachten Argumentationsketten für vollkommen verschiedene Antworten behandelt wurden - Mehr Qualität ist nicht zu erwarten, mehr Quantität muss nicht sein
b) ein definitives "Ja, klar" oder "Nein, der Admin administriert doch nur - der Hausmeister der Deutschen Bank hat doch auch keine PIN-Codes in der Tasche" ist nicht oder bestenfalls auf formal-juristischer Ebene zu erlangen. Aber auf rechtsverbindliche Auskünfte erhebt dieses Forum keinen Anspruch.

> deshalb: Setze ich die Frage auf "Beantwortet" und "Geschlossen".

Wen jemand meint, er hätte einen triftigen Grund, neue, noch nicht geschriebene Gründe Pro oder Contra zu posten --> kein Problem.
PN an mich oder einen der netteren Moderatoren, dann machen wir es wieder auf.

Grüße
Biber