blackmann
Goto Top

Zugriff auf Verzeichnis ohne Administrator

Hallo @all,

meine Frau ist BEM-Beauftragte in ihrem Betrieb. (BEM - Betriebs Eingliederungs Mangement)

Sie möchte nun in Ihrem Betrieb ein Verzeichnis im Netzlaufwerk (Win-Server / Cloud) erstellen lassen, auf das nur sie und die anderen BEM-Beauftaten zugreifen können, kein Administrator.

Es geht also um DSGVO im engsten Sinne, in diesem Verzeichnis sollen vertrauliche Dokumente abgelegt werden.

Wie kann so etwas erstellt und dann auch geprüft werden?

Bitte keine Detaillösungen, nur Hinweise in der Art, dass sie meine Frau dem Admin in Ihrem Betrieb erklären kann.

Danke für Eure Zeit

BG BM

Content-Key: 82422167194

Url: https://administrator.de/contentid/82422167194

Printed on: June 13, 2024 at 13:06 o'clock

Member: Pjordorf
Pjordorf Aug 31, 2023 updated at 15:56:06 (UTC)
Goto Top
Hallo,

Zitat von @Blackmann:
Wie kann so etwas erstellt und dann auch geprüft werden?
Ordner erstellen, Sicherheitsgruppe anlegen, BEM Nutzer dort hinzufügen, alle ungewünschten entfernen (Löschen), Sicherheitsgruppe auf NTFS (oder was immer dein Server dort verwendet) und Freigabenberechtigung zuordnen bzw anwenden - Ferdisch.

dass sie meine Frau dem Admin in Ihrem Betrieb erklären kann.
Oder diesen Admin fragen bzw. dessen Chef Klarmachen das er diesen Admin den Auftrag erteilt das er dies Wasserdicht umsetzt. Der Admin hat doch einen Chef, oder?

Gruß,
Peter
Member: Penny.Cilin
Penny.Cilin Aug 31, 2023 at 15:53:43 (UTC)
Goto Top
Ein Admin kann sich immer Zugriff verschaffen.

Gruss Penny.
Member: erikro
erikro Aug 31, 2023 at 15:53:44 (UTC)
Goto Top
Moin,

Zitat von @Blackmann:
meine Frau ist BEM-Beauftragte in ihrem Betrieb. (BEM - Betriebs Eingliederungs Mangement)

Haben wir auch.

Sie möchte nun in Ihrem Betrieb ein Vereichnis im Netzlaufwerk (Win-Server / Cloud) erstellen lassen, auf das nur sie und die anderen BEM-Beauftaten zugreifen können, kein Administrator.

Das ist letztendlich nicht möglich. Wenn die Daten auf einem Firmenserver gespeichert werden, kann der Admin sich immer Zugriff verschaffen.

Es geht also um DSGVO im engsten Sinne, in diesem Verzeichnis sollen vertrauliche Dokumente abgelegt werden.

Wie kann so etwas erstellt und dann auch geprüft werden?

Wir handhaben das so:

Admin erstellt den Ordner.
Admin setzt die Rechte so, dass er selbst keinerlei Rechte mehr hat.
Muss er sich Rechte verschaffen, kann er das im Zweifel. Verhindern kann man das nicht. Man kann natürlich auch die Überwachung für diese Ordner einschalten. Aber auch das kann der Admin im Zweifel aushebeln. Es ist also eher eine Frage des Vertrauens.

Tritt dann der Fall ein, dass der Admin den Ordner aufmachen muss, sollte die Regelung so sein, dass zwei weitere Personen (Vertreter des Gremiums und Datenschutzbeauftragter) dabei sind und ein Protokoll geführt wird.

Wenn das Vertrauen nicht da sein sollte, dann sollte man sich grundsätzlich überlegen, ob das der richtige Admin ist. Um das Problem zu lösen, wäre eine Verschlüsselungssoftware eine Lösung.

hth

Erik
Member: em-pie
em-pie Aug 31, 2023 updated at 16:05:42 (UTC)
Goto Top
Moin,

  • Eigenen Server (NAS) beschaffen.
  • Komplett verschlüsseln
  • System/ Berechtigungen einrichten
  • Admin- Kennwort durch BEM ändern lassen
  • User verbinden sich mit NetUse zum Server
  • Update gehen nur zusammen mit dem BEM-Personal

Nach 3-6 Monaten sollst du die Kiste dann doch selbst administrieren und hast damit auch wieder Zugriff auf die Daten…


Alternativ ein ECM etablieren, bei dem jeglicher Zugriff protokolliert wird. Die Protokollierung kann man (Admin) auch nicht ändern/ umgehen.
Member: erikro
erikro Aug 31, 2023 at 16:07:23 (UTC)
Goto Top
Zitat von @em-pie:

Alternativ ein ECM etablieren, bei dem jeglicher Zugriff protokolliert wird. Die Protokollierung kann man (Admin) auch nicht ändern/ umgehen.

Der war gut. face-wink
Member: Kuemmel
Kuemmel Aug 31, 2023 at 16:37:38 (UTC)
Goto Top
Share mit VeraCrypt Datei zur Verfügung stellen und diese dann als Share am Client einbinden. Das Kennwort kennt dann logischerweise nur die Abteilung.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 31, 2023 at 16:53:39 (UTC)
Goto Top
Zitat von @Blackmann:

Sie möchte nun in Ihrem Betrieb ein Vereichnis im Netzlaufwerk (Win-Server / Cloud) erstellen lassen, auf das nur sie und die anderen BEM-Beauftaten zugreifen können, kein Administrator.

Moin,

per Ordre di Mufti. Einen Admin kann man nicht aussperren außer mit Zuckerbrot und Peitsche.

Alternativ eine eigene Kiste die nur durch die BEMBAs selbst verwaltet wird, was aber imho ein noch größeres Sicheherheitsrisiko für den Betrieb ist.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Aug 31, 2023 at 16:55:51 (UTC)
Goto Top
Zitat von @erikro:

Zitat von @em-pie:

Alternativ ein ECM etablieren, bei dem jeglicher Zugriff protokolliert wird. Die Protokollierung kann man (Admin) auch nicht ändern/ umgehen.

Der war gut. face-wink

ROFL face-smile

lks
Member: Blackmann
Blackmann Aug 31, 2023 at 17:03:31 (UTC)
Goto Top
Thanks für Eure Hilfe!

Zitat von @Kuemmel:

Share mit VeraCrypt Datei zur Verfügung stellen und diese dann als Share am Client einbinden. Das Kennwort kennt dann logischerweise nur die Abteilung.

Diesen Gedanken hatte ich auch gerade: Einen VeraCrypt-Container in ein BEM-Verzeichnis (Mitglieder BEM-Mitglieder + Admin) und local auf den Rechnern Veracrypt installieren (oder gibt es eine Servervariante?)
Das müsste dem ADMIN dort doch zu vermitteln sein.

Zugriff auf den Container hätten dann definitiv nur die BEM-Mitglieder.

Oder spricht da was gegen?

BG BM
Member: Lochkartenstanzer
Lochkartenstanzer Aug 31, 2023 at 17:07:39 (UTC)
Goto Top
Zitat von @Blackmann:

Thanks für Eure Hilfe!

Zitat von @Kuemmel:

Share mit VeraCrypt Datei zur Verfügung stellen und diese dann als Share am Client einbinden. Das Kennwort kennt dann logischerweise nur die Abteilung.

Diesen Gedanken hatte ich auch gerade: Einen VeraCrypt-Container in ein BEM-Verzeichnis (Mitglieder BEM-Mitglieder + Admin) und local auf den Rechnern Veracrypt installieren (oder gibt es eine Servervariante?)
Das müsste dem ADMIN dort doch zu vermitteln sein.

Zugriff auf den Container hätten dann definitiv nur die BEM-Mitglieder.

Oder spricht da was gegen?

Daß immer nur einer drauf zugreifen kann und nicht mehrere gleichzeitig, solange es nich ausschlißlich lesend ist.

lks
Member: Xaero1982
Xaero1982 Aug 31, 2023 at 17:12:27 (UTC)
Goto Top
Wenn man seinem Admin nicht vertraut, sollte man sich einen neuen Admin suchen, dem man vertraut.
Member: Vision2015
Vision2015 Aug 31, 2023 updated at 17:23:45 (UTC)
Goto Top
Moin...
der Admin kann da immer ran, wenn er Will, oder Muss ran...
Notfalls schaut er sich das im Backup an...
habt ihr kein vertrauen zu eurem admin?

Frank
Member: Blackmann
Blackmann Aug 31, 2023 at 17:25:39 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Daß immer nur einer drauf zugreifen kann und nicht mehrere gleichzeitig, solange es nich ausschlißlich lesend ist.

lks

Rücksprache mit meiner Frau, die ist gerade beim BEM Seminar:

- Das Vertrauen zum Admin in Ihrem Betrieb hat grenzen, in jeder Hinsicht
- Kann der Admin am Löschen dieses Containers gehindert werden?
- Die Arbeit mit den Dateien 'nacheinander/einzeln' kann man organisieren

Kann man VeraCrypt zentral auf dem Server installieren und nutzen so dass die lokale Installation entfallen kann??

BG BM
Member: Dani
Dani Aug 31, 2023 at 17:25:54 (UTC)
Goto Top
Moin,
Share mit VeraCrypt Datei zur Verfügung stellen und diese dann als Share am Client einbinden. Das Kennwort kennt dann logischerweise nur die Abteilung.
mit sowas würde ich vorsichtig sein und vorab mit allen Stellen im Haus schriftlich klären. Da könnten nämlich heutzutage auch Tools wie MSDE, Crowdstrike, etc. anschlagen.

Es geht also um DSGVO im engsten Sinne, in diesem Verzeichnis sollen vertrauliche Dokumente abgelegt werden.
das gilt es doch im Rahmen des Unternehmens mit dem beteiligen Teams zu erarbeiten. Es gibt da so viele Möglichkeiten. Aber oftmals geht es um organisatorische Details oder auch Rahmenbedingungen. Das sprengt aus meiner Sicht den Rahmen.


Gruß,
Dani
Member: Blackmann
Blackmann Aug 31, 2023 at 17:37:11 (UTC)
Goto Top
So, habe den Link jetzt mal meiner Frau geschickt, dass Sie mit lesen kann...
Member: Blackmann
Blackmann Aug 31, 2023 at 17:46:23 (UTC)
Goto Top
Erste Reaktion von meiner Frau, dieses Thema DSGVA/BEM ist Ihr sehr wichtig, sie nimmt es sehr ernst:

Da habe ich aber eine Diskussion ausgelöst! Sind auch einige gute Denkanstöße dabei! Schriftliche Festlegung mit allen beteiligten ....

Thanks an Alle BM
Member: Vision2015
Vision2015 Aug 31, 2023 at 17:47:06 (UTC)
Goto Top
Moin...
Zitat von @Blackmann:

Zitat von @Lochkartenstanzer:

Daß immer nur einer drauf zugreifen kann und nicht mehrere gleichzeitig, solange es nich ausschlißlich lesend ist.

lks

Rücksprache mit meiner Frau, die ist gerade beim BEM Seminar:

- Das Vertrauen zum Admin in Ihrem Betrieb hat grenzen, in jeder Hinsicht
das ist nicht gut!
- Kann der Admin am Löschen dieses Containers gehindert werden?
nein, nicht wirklich! wenn er will, macht er auch, was er will, oder im Auftrag machen soll!
- Die Arbeit mit den Dateien 'nacheinander/einzeln' kann man organisieren
das klappt nicht immer!

Kann man VeraCrypt zentral auf dem Server installieren und nutzen so dass die lokale Installation entfallen kann??
nun... möglich wäre das.... allerdings muss das auch der Admin machen!


BG BM

Frank
Member: maretz
maretz Aug 31, 2023 at 18:41:39 (UTC)
Goto Top
Ich würde ganz simpel dann die Dateien verschlüsseln ODER das ganze extern speichern. Aber man muss sich einfach bewusst sein - wenn der Admin es wirklich drauf anlegt hat der Zugriff auf alles. Screen-Recording an, Keylogger installieren,... - wenn man annimmt der arbeitet eben nicht legal dann hat der ja alle Möglichkeiten... Wenn der legal arbeitet wird der sich auch dran halten was den nix angeht...

Man muss sich auch bewusst sein - wenn der Admin keinen Zugriff hat darf auch kein Backup gemacht werden ... was dann ja auch wieder einige Nachteile hat.
Member: Lochkartenstanzer
Lochkartenstanzer Aug 31, 2023 at 19:04:06 (UTC)
Goto Top
Zitat von @Blackmann:

**Da habe ich aber eine Diskussion ausgelöst! Sind auch einige gute Denkanstöße dabei! Schriftliche Festlegung mit allen beteiligten ....

sage ich doch Zuckerbrot und Peitsche.

Zuckerbrot (Lob, Vergünstigungen, etc.), wenn er brav ist und seine Arbeit wie schriftlich vereinbart erledigt und Peitsche (Cat9, Abmahnung, Kündigung, Konventionalstrafen, etc.) , wenn er sich danebenbenimmt.

lks
Member: kpunkt
Solution kpunkt Sep 01, 2023 at 06:39:34 (UTC)
Goto Top
Das klappt überhaupt nicht. Vor allem nicht, wenn es um die DSGVO geht.
Denn die fordert explizit, dass administrative Zugriffe möglich sein müssen. Steht ebenfalls im BDSG, genauer § 64 BDSG.
In Art 32 Abs. 4 DSGVO kann man auch nachlesen, dass die Personen mit Zugriff eben nur nach Anweisung des Verantwortlichen machen dürfen. Deswegen gibts da bei Admins auch eine besondere Datenschutzverpflichtung.

Schon alleine deswegen bringt es eher nix, sich da oftmals umständliche Systeme zu überlegen. Für den eigenen Seelenfrieden kann man verschlüsseln. Aber selbst da muss der Admin dazu in der Lage sein, da zugreifen zu können.
Im Grunde reicht da ein ganz normales freigegebenes Verzeichnis mit Berechtigung. Wie alles, was mit HR zu tun hat.
Bei BEM dürfte noch eine Risikofolgeabschätzung fällig werden.
Member: DerWoWusste
DerWoWusste Sep 01, 2023 at 08:18:42 (UTC)
Goto Top
Moin.

Ich habe mal einen Artikel bei ee dazu verfasst: https://www.experts-exchange.com/articles/37793/Am-I-being-monitored.htm ...
Auch wenn Du es ungern hörst, es ist unmöglich, etwas vor Personen zu schützen, die auf dem PC Adminrechte haben.
Deine Frau braucht einen selbstadministrierten PC dafür.
Member: Lochkartenstanzer
Lochkartenstanzer Sep 01, 2023 updated at 08:28:45 (UTC)
Goto Top
Zitat von @DerWoWusste:

Deine Frau braucht einen selbstadministrierten PC dafür.

Und auch da ist es sehr schwer, diesen vor einem (bösartigen) Admin zu schützen, sofern der PC nicht isoliert in einem Raum ohne Zutrittsmöglichkeit für den Admin steht.

Es steht und fällt daher mit dem Vertrauen zum Admin.

lks
Member: DerWoWusste
DerWoWusste Sep 01, 2023 at 08:29:21 (UTC)
Goto Top
Und auch da ist es sehr schwer, diesen vor einem (bösartigen) Admin zu schützen.
Für Laien schon, aber für Techniker ist es nicht schwer. Ich meine einen PC, der nicht im Netzwerk ist, der verschlüsselt ist und der physisch auch nicht manipulierbar ist (wird weggeschlossen).
Normalerweise überfordert das nicht-Techniker, aber das muss ja nicht so sein.
Member: Lochkartenstanzer
Lochkartenstanzer Sep 01, 2023 at 08:41:11 (UTC)
Goto Top
Zitat von @DerWoWusste:

Und auch da ist es sehr schwer, diesen vor einem (bösartigen) Admin zu schützen.
Für Laien schon, aber für Techniker ist es nicht schwer. Ich meine einen PC, der nicht im Netzwerk ist, der verschlüsselt ist und der physisch auch nicht manipulierbar ist (wird weggeschlossen).


o.k. Ich hatte es ja noch ergänzt. face-smile

lks
Member: Blackmann
Blackmann Sep 01, 2023 at 08:56:57 (UTC)
Goto Top
Ich von meiner Seite möchte Euch erst einmal danken, es ist ein interessanter und informativer Thread geworden der doch die verschiedensten Sichtweisen zu diesem Thema darlegt.

Da sie, meine Frau, ein verfechter der DSGVO ist, als Vertrauensperson in ihrem Betrieb anerkannt und oft auch zu Rate gezogen wird macht sie sich eben darüber Gedanken, zurecht.

Ich habe Ihr gerade geschrieben, dass heute noch neue, informative Kommentare dazugekommen sind und sie auch gebeten, das Thema Datenschutz in Ihrem BEM-Kurs definitiv anzuschneiden.

Mal schauen was DA rauskommt.

Danke für die Infos ... obwohl Freitag ist :>))

BG BM
Member: kpunkt
kpunkt Sep 01, 2023 at 09:42:15 (UTC)
Goto Top
Zitat von @DerWoWusste:

Und auch da ist es sehr schwer, diesen vor einem (bösartigen) Admin zu schützen.
Für Laien schon, aber für Techniker ist es nicht schwer. Ich meine einen PC, der nicht im Netzwerk ist, der verschlüsselt ist und der physisch auch nicht manipulierbar ist (wird weggeschlossen).
Normalerweise überfordert das nicht-Techniker, aber das muss ja nicht so sein.

Ganz schwierig das in Einklang mit DSGVO und BDSG zu bringen.
Die TOMs werden ja immer noch gefordert.
Du brauchst also TOMs die das gewährleisten. Und da brauchts dann noch immer einen Admin. Theoretisch möglich, wenn BEM-Mensch und Admin in Personalunion verfügbar. Da muss dann auch der DSB eng involviert sein.
Du kannst auch eine Abteilung nicht vom gesamten Unternehmen trennen.

Aber wie gesagt, DSGVO- und BDSG-konform ist da eine einfache Freigabe mit Berechtigungskonzept.

Das eigentliche "Problem" ist der sonderbare Wunsch, da eine Sonderlösung zu implementieren, die absolut nicht notwendig ist.
Ein einfacher Blick auf Arztpraxen reicht. Da sind ebenfalls besonders schützenswerte Daten unterwegs. Eigentlich noch einen Tick höher einzuordnen.
Member: Thomas2
Thomas2 Sep 01, 2023 at 10:47:47 (UTC)
Goto Top
Hi,

einfach einen autarken Laptop zur Verfügung stellen der selbst verwaltet wird. Backup wird natürlich auch eigenständig gemacht und alle anderen Vorgaben aus dem Datenschutz wie Verschlüsselung usw. ebenfalls. Wenn ihr den Admin nicht wollt, müsst ihr selber administrieren, mit allen Folgen.

Gruß,
Thomas
Member: StefanKittel
StefanKittel Sep 01, 2023 at 14:41:59 (UTC)
Goto Top
Hallo,

das ist ein Henne-Ei-Problem.
Techniker sollen in das Email-Postfach des Vorstandsvorsitzenden von VW nicht reinschauen können (nicht dürfen).
Aber sie sollen Backups, Email-Archivierung einrichteun und warten können und bei Problemen diese lösen können.
Das ist zumindest "schwierig".

Einige Dinge kann man getrennte Hardware und andere über Ende-zu-Ende-Verschlüsselung (z.B. sMIME) regeln, aber irgendwo hat es mit Vertrauen und dokumentierten Abläufe zu tun.

Stefan
Member: Dani
Dani Sep 01, 2023 at 21:35:46 (UTC)
Goto Top
Moin,
Da sie, meine Frau, ein verfechter der DSGVO ist, als Vertrauensperson in ihrem Betrieb anerkannt und oft auch zu Rate gezogen wird macht sie sich eben darüber Gedanken, zurecht.
Die DSGVO gibt es nun mal. Gefällt nicht allen, mir manchmal auf nicht. Aber mein Arbeitgeber vertraut darauf, dass ich meiner Sorgfaltspflicht nachkomme und an die verschiedenen Rahmenbedingungen jederzeit denke. Dafür bekomme ich mein Gehalt.

Ich bin aktuell der Meinung, dass da eigentlich der Datenschutzbeauftragter und wenn es gibt Sicherheitsbeauftragter ins Boot müssen. Evtl. gibt es sogar Dokumente dazu, wie mit den verschiedenen Arten von Daten umgehen muss. Das ist in der Regel kein Wunschkonzert...

einfach einen autarken Laptop zur Verfügung stellen der selbst verwaltet wird. Backup wird natürlich auch eigenständig gemacht und alle anderen Vorgaben aus dem Datenschutz wie Verschlüsselung usw. ebenfalls. Wenn ihr den Admin nicht wollt, müsst ihr selber administrieren, mit allen Folgen.
Eine Schatten IT, großartige Idee.... * kopfschüttel* Am Besten noch einen eigenen Internetzugang für Recherche Zwecke.

- Das Vertrauen zum Admin in Ihrem Betrieb hat grenzen, in jeder Hinsicht
Mit solche Äußerungen sollte deine Frau vorsichtig sein. Wenn es keine belastbaren Beweise für Fehlverhalten, Pflichtverhaltung, o.ä. gibt, kann der Schuss nach hinten losgehen.

Oder spricht da was gegen?
Wer bei uns etwas mit den nicht bereitgestellten Lösungen verschlüsselt, bekommt zeitnah einen Termin mit dem Vorgesetzten, HR und BR. Denn es wäre ein Verstoß gegen eine schriftliche Arbeitsanweisung. Daher klären!

das Thema Datenschutz in Ihrem BEM-Kurs definitiv anzuschneiden.
wäre das erste Mal, dass in solchen Schulungen, Kurse, etc. technische Empfehlungen dafür gegeben werden. In der Regel gibt es primär organisatorische Tipps. Weil die technisch gibt es so viele Möglichkeiten und Kombinationen. Zumal die Seminarleitungen meistens keine detaillierte IT Wissen haben. Besser wäre es den Datenschutzbeauftrage, Sicherheitsbeauftragte in das Vorhaben einzubinden.


Gruß,
Dani
Member: Blackmann
Solution Blackmann Sep 02, 2023 at 09:05:06 (UTC)
Goto Top
Danke @all,

zu der primären Frage gibt es viele interessante Hinweise. Meine Frau meinte gerade, dass sie einen Fahrplan für die Zukunft hat...

Aber glaubt IHR, das jeder Admin in einem Betrieb, jeder Datenschutzbeauftragte dort auch seiner Bestimmung gerecht wird? Weit gefehlt!

Vertrauen kann man sich auch verspielen ...

Schönes WE

BM
Member: Dani
Dani Sep 03, 2023 at 21:14:48 (UTC)
Goto Top
Moin,
Aber glaubt IHR, das jeder Admin in einem Betrieb, jeder Datenschutzbeauftragte dort auch seiner Bestimmung gerecht wird? Weit gefehlt!
Ich weiß nicht wie es bei euch ist, aber bei uns werden Personen entsprechenden Ihrer Aufgabenbeschreibung für Ihre Leistung entsprechend gut bezahlt. Wenn jemand seinen Aufgaben nicht nach kommt, kann das verschiedene Gründe haben. Entsprechend wird da auch ein Augenmerk darauf gelegt und dafür gibt u.a. den Vorgesetzen, der dafür Sorge zu tragen hat. Wenn es bewusst ignoriert und "weggeschaut" wird, so sehe ich darin durch aus eine Verletzung der Sorgfaltspflicht. Sowohl von den betroffenen Personen als auch bei den Mitwissern. Dann darf man aber auch nicht die Vertrauenskarte ziehen...


Gruß,
Dani
Member: kpunkt
kpunkt Sep 04, 2023 at 05:48:07 (UTC)
Goto Top
Zitat von @Blackmann:

Meine Frau meinte gerade, dass sie einen Fahrplan für die Zukunft hat...

Aber glaubt IHR, das jeder Admin in einem Betrieb, jeder Datenschutzbeauftragte dort auch seiner Bestimmung gerecht wird? Weit gefehlt!

Das jetzt nicht als Angriff sehen, aber ich denke, so eine Mitarbeiterin gibt es bei uns auch. Sehr viel Halbwissen und pocht dabei auf ihren Titel als Abteilungsleiterin (Bereich HR und eine weitere Abteilung). Sie will alles superkorrekt haben, vor allem, bei völlig unwichtigen Sachen, oder die eher sowieso vorgegeben und nicht änderbar sind. In ihrem Fach bestimmt sehr gut, aber in allem anderen ein kompletter Totalausfall.
Die hat auch mal gefordert, dass Admins keinen Zugang zu HR-Systemen haben dürfen. Tjoa, Geschäftsleitung und ich haben uns abgesprochen und ließen ihren Willen. Natürlich kann ich auf die Systeme zugreifen, ich mach's nur nicht. Interessiert mich auch nicht im geringsten, was da alles zu finden wäre.
Seitdem gibts halt immer wieder Arbeitspausen, da sie bei den kleinsten Vorkommnissen überfordert ist und alles über die Anbieter-Hotline gehen muss. Anfragen bei mir laufen immer in die Richtung: ich hab keinen Zugriff und kenn mich bei den Systemen auch nicht aus.

Manchmal werden einem seine Wünsche auch erfüllt. Das kann dann böse ins Auge gehen, wenn man die Wünsche nicht durchdenkt oder meint, man weiß es sowieso besser. Oben genannte Kollegin ist jetzt nur noch in einem Bereich Abteilunugsleiterin.
Member: DerWoWusste
DerWoWusste Sep 04, 2023 at 07:14:14 (UTC)
Goto Top
Die nächste Frage in die selbe Richtung kommt bestimmt bald.
Geht die Diskussion erneut in dieser epischen Breite los, oder können wir uns einigen auf:

  • Wenn Du den Admin fürchtest, musst Du deinen "Geheimrechner" selbst administrieren.
  • Nimm Dir einen Rechner den Du wegschließen kannst und setze zusätzlich Festplattenverschlüsselung ein.
  • Dass du selbst nun die Aufgaben übernehmen musst, die sonst die IT macht (Installation, Backup, Troubleshooting, Softwarepflege,...) sollte klar sein.
Member: computerhusky
computerhusky Sep 04, 2023 at 11:30:01 (UTC)
Goto Top
Hallo,
Viele Firmen geben z.B. die Gehaltsabrechnung aus dem Haus an einen externen Dienstleister, einerseits wegen der dafür nötigen Software, andererseits aber auch, damit niemand aus der Firma darauf unkontrolliert zugreifen kann, auch kein Administrator. Allerdings verlagert das m.E. das Vertrauensproblem nur, irgend jemand bei dem Dienstleister hat dann die Administratorfunktion und kann vermutlich auch auf die Daten zugreifen, wenn er will. Aber eventuell kann das dann durch Verschlüsselung verhindert werden.
Viele Grüße
Thomas
Member: Bingo61
Bingo61 Sep 04, 2023 at 11:48:48 (UTC)
Goto Top
Admin hat eine besondere Vertrauensstellung.
Heisst, wenn da kein Vetrauen zum Admin da ist, sollte man sich mal fragen warum.
Sogar wir als ext. haben zu allen Daten bei den Kunden zugriff, egal ob Personal Buchhaltung usw. das wird auch Vertraulich behandelt.
Member: kpunkt
kpunkt Sep 04, 2023 updated at 11:53:41 (UTC)
Goto Top
Zitat von @computerhusky:

Aber eventuell kann das dann durch Verschlüsselung verhindert werden.

Das ist doch auch Quatsch.
Wenn Daten an Dritte weitergegebn werden, dann brauchts eben laut DSGVO einen Vertrag. Nennt sich Vertrag zur Auftragsverarbeitung oder oft kurz nur AVV.
Und da ist auch nix anderes geregelt wie z.B. in der Datenschutzverpflichtung, die der Admin unterschreiben soll. Plus halt schon ein kleines "Löschkonzept".

Nur: wenn du verschlüsselte Daten rausgibst, dann kann der Verarbeiter gar nicht damit arbeiten.

Aber ja, mit so einem AVV und einem Dritten kann man sich dann die Stelle eines BEM-Beauftragten einsparen.
Member: Blackmann
Blackmann Sep 04, 2023 at 17:17:49 (UTC)
Goto Top
<Ich starte hier mal ein Gedankenspiel>:

Admin lässt ein Verzeichnis Systemweit offen, obwohl es nur für eine Abteilung benutzbar sein sollte! 'Och das kann passieren'.

Datenschutzbeauftragter wird gefragt, warum manche persönliche Daten am Schwarzen Brett mit bekanngemacht wurden ...'Och das ist doch alles nicht so schlimm'.

Die BEM-Beauftgte, ohne eigene tiefere EDV-Kenntnisse, erhält nun im Rahmen der Wiedereingliederung mündlich/schriftlich/elektronisch sehr persönliche Informationen und möchte nun an sich nur sicherstellen, dass diese zu schützen sind.

<Ich beende hier ein Gedankenspiel>

... und werde meiner Frau mitteilen, dass heute noch ein paar neue, informative Kommentare eingetrudelt sind ...

Thanks @all -BM
Member: maretz
maretz Sep 04, 2023 at 17:30:15 (UTC)
Goto Top
Also - nochmal die Frage: Wenn du davon ausgehst das der Admin sich eben eh nicht an seine vertraglichen Vereinbarungen hält und sich damit illegal Zugang zu den Daten verschaffen würde (nur weil er die öffnen KANN heisst es ja nicht das er/sie es darf!) -> warum glaubst du das du dich irgendwie dagegen schützen kannst?

Nen Keylogger auf den Anwender-PC installiert oder das Passwört kurz geändert (und danach das Backup vom DC wiederherstellen so das es zurückgesetzt wurde - war was defekt, ging nur über recovery,...),.. Wenn man eh den "legalen" Pfad verlässt dann gibt es doch zig Wege um an sowas ranzukommen. Und da man als Admin problemlos Programme im Hintergrund halten kann und die zT. auch sehr gut verstecken kann - was sollte einen noch hindern?

Ausserdem drehe ich mal die Frage um: Warum sollte der Betrieb denn deiner Frau trauen? Nur weil die eine Position als Datenschutzbeauftragte hat? Ggf. ist die doch genauso locker in dem Bezug. EINES macht die ja offentsichtlich: Mit dir über betriebliche Angelegenheiten sprechen (sonst wüsstest du nix über den Admin). Und da wäre es durchaus schon fraglich ob es nicht sogar für den Betrieb rufschädigend ist wenn jemand nach Aussen (und auch der Ehemann ist ja "aussen" für den Betrieb) sagt das Personen IM Betrieb nicht vertrauenwürdig sind. Also warum sollte man dann annehmen das deine Frau vertrauenswürdiger ist so das die Daten eben _nicht_ nach draussen gibt. Ggf. hängt nämlich DIE ja die Gehaltszettel ans besagte schwarze Brett oder macht den Admin nur schlecht weil der sich geweigert hatte der Diablo 4 auf den Firmenpc zu installieren?!?

Von daher denke ich sollte man das ganze durchaus realistisch sehen - und wenn sich im Betrieb einer eben nicht an die Regeln halten will gibt es üblicherweise 100 Möglichkeiten in jeder Abteilung wie man das machen KANN. Das ganze System funktioniert eben nur weil die meisten sich dran halten...
Member: Vision2015
Vision2015 Sep 04, 2023 at 17:43:50 (UTC)
Goto Top
Moin...
Zitat von @Blackmann:

<Ich starte hier mal ein Gedankenspiel>:
oha... ich auch.

Admin lässt ein Verzeichnis Systemweit offen, obwohl es nur für eine Abteilung benutzbar sein sollte! 'Och das kann passieren'.
die BEM-Beauftragte lässt ihre Mappe in der Kantine Ligen.... face-smile


Datenschutzbeauftragter wird gefragt, warum manche persönliche Daten am Schwarzen Brett mit bekanngemacht wurden ...'Och das ist doch alles nicht so schlimm'.
...weil die BEM die Mappe in der Kantine liegen lassen hat!

Die BEM-Beauftgte, ohne eigene tiefere EDV-Kenntnisse, erhält nun im Rahmen der Wiedereingliederung mündlich/schriftlich/elektronisch sehr persönliche Informationen und möchte nun an sich nur sicherstellen, dass diese zu schützen sind.
nun... aber nicht, wenn die Mappe in der Kantine liegen bleibt!

<Ich beende hier ein Gedankenspiel>
ich auch...

... und werde meiner Frau mitteilen, dass heute noch ein paar neue, informative Kommentare eingetrudelt sind ...
teile besser deiner Frau mal mit das ein(e) BEM nicht besser und vor allem Sorgfälltiger als Administratoren sind! den so stellst du das dar!
ihr tut ja echt so, als ihr Heilig, Fehlerlos und die Admins der Firma die Teufel sind!
ihr solltet besser mit euren Admins zusammenarbeiten, und nicht gegen diese!
dann Helfen Admins auch gerne BEMs, die sich nicht so gut EDV und Sicherheit auskennen!


Thanks @all -BM

Frank
Member: Blackmann
Blackmann Sep 04, 2023 at 17:52:43 (UTC)
Goto Top
Zitat von @maretz:

Ausserdem drehe ich mal die Frage um: Warum sollte der Betrieb denn deiner Frau trauen? Nur weil die eine Position als Datenschutzbeauftragte hat? Ggf. ist die doch genauso locker in dem Bezug. EINES macht die ja offentsichtlich: Mit dir über betriebliche Angelegenheiten sprechen (sonst wüsstest du nix über den Admin). Und da wäre es durchaus schon fraglich ob es nicht sogar für den Betrieb rufschädigend ist wenn jemand nach Aussen (und auch der Ehemann ist ja "aussen" für den Betrieb) sagt das Personen IM Betrieb nicht vertrauenwürdig sind....


Lies mal die Eröffnungsfrage, dein Einwand ist in keinster Weise zielführend oder lösungsfindend.

BM
Member: Vision2015
Vision2015 Sep 04, 2023 at 18:00:09 (UTC)
Goto Top
Moin..
Zitat von @Blackmann:

Zitat von @maretz:

Ausserdem drehe ich mal die Frage um: Warum sollte der Betrieb denn deiner Frau trauen? Nur weil die eine Position als Datenschutzbeauftragte hat? Ggf. ist die doch genauso locker in dem Bezug. EINES macht die ja offentsichtlich: Mit dir über betriebliche Angelegenheiten sprechen (sonst wüsstest du nix über den Admin). Und da wäre es durchaus schon fraglich ob es nicht sogar für den Betrieb rufschädigend ist wenn jemand nach Aussen (und auch der Ehemann ist ja "aussen" für den Betrieb) sagt das Personen IM Betrieb nicht vertrauenwürdig sind....


Lies mal die Eröffnungsfrage, dein Einwand ist in keinster Weise zielführend oder lösungsfindend.
aber er hat recht!

BM
Frank
Member: maretz
maretz Sep 04, 2023 at 18:40:05 (UTC)
Goto Top
Zitat von @Blackmann:

Zitat von @maretz:

Ausserdem drehe ich mal die Frage um: Warum sollte der Betrieb denn deiner Frau trauen? Nur weil die eine Position als Datenschutzbeauftragte hat? Ggf. ist die doch genauso locker in dem Bezug. EINES macht die ja offentsichtlich: Mit dir über betriebliche Angelegenheiten sprechen (sonst wüsstest du nix über den Admin). Und da wäre es durchaus schon fraglich ob es nicht sogar für den Betrieb rufschädigend ist wenn jemand nach Aussen (und auch der Ehemann ist ja "aussen" für den Betrieb) sagt das Personen IM Betrieb nicht vertrauenwürdig sind....


Lies mal die Eröffnungsfrage, dein Einwand ist in keinster Weise zielführend oder lösungsfindend.

BM

Es mag sein das du es nicht gerne hörst - aber sag doch mal warum deine Frau hier eben vertrauenswürdiger ist obwohl sie ganz offentsichtlich betriebsinterna gemütlich zuhause erzählt und du die (wenn auch ohne Firmennamen) dann sogar ins Internet stellst. Aber der ADMIN ist pauschal nicht vertrauenswürdig? Merkst du selbst was hier grad merkwürdig ist?

Übrigens: Nur weil man etwas nicht gerne hört bedeutet es nicht das es _falsch_ sein muss...
Member: Blackmann
Blackmann Sep 04, 2023 updated at 20:44:33 (UTC)
Goto Top
Zitat von @maretz:
Nen Keylogger auf den Anwender-PC installiert oder das Passwört kurz geändert (und danach das Backup vom DC wiederherstellen so das es zurückgesetzt wurde - war was defekt, ging nur über recovery,...)

Du bringst zum wiederholten mal einen Keylogger in's Spiel, stellst andere kontroverse Szenarien hier ein ...
was soll ich denn davon halten?

Wie gesagt, es ist wirklich nicht im geringsten Zielführend.

Zitat von @Vision2015:
die BEM-Beauftragte lässt ihre Mappe in der Kantine Ligen.... face-smile

Sie hatte die doch schon beim ersten mal in der Kantine liegengelassen .... so Deine wiederholenden Meinung.

Zitat von @Vision2015:
ihr tut ja echt so, als ihr Heilig, Fehlerlos und die Admins der Firma die Teufel sind!....

Das interpretiertst Du dort hinein! Mir kommt das fast so vor, als ob Du das persönlich nimmst.
War nicht mein Ziel - Sorry.

Meine Frau schaut gerade bei 'BEM Datenschutz' nach ....

BG BM
Member: kpunkt
kpunkt Sep 05, 2023 at 04:43:22 (UTC)
Goto Top
Ich glaube, "deine Frau" sollte ihre eigenes Unternehmen gründen.
Weil alle anderen wollen vor allem ihr doch nur Böses.

Sorry, aber das alles ist höchst lächerlich und hat mit DSGVO so rein gar nichts zu tun. Wenn "sie" schon mit DSGVO argumentieren will, dann soll "sie" sich zumindest einmal durchlesen, was denn in der Verordnung überhaupt steht.

Das einzige, was man hiervon rauslesen kann, ist, dass "deine Frau" dem Admin ans Bein pissen will. Wahrscheinlich hat er irgendwas nicht ermöglicht, weil "deine Frau" sich was völlig hanebüchenes in den Kopf gesetzt hat.

Tatsache ist: "deine Frau" hat von Tuten und Blasen keine Ahnung, will aber alle anderen dvon überzeugen, dass nur "sie" weiß, wie man es richtig macht.
Ich hab zwei Paragraphen genannt, die das Vorhaben komplett gegen die Wand laufen lassen, weil nicht erlaubt.
Aber ich weiß, "deine Frau" kann sich ja über bestehende Gesetze hinwegsetzen, weil "sie" es ja besser als alle anderen weiß.

Lächerlich
Member: Penny.Cilin
Penny.Cilin Sep 05, 2023 at 08:02:57 (UTC)
Goto Top
Hallo,

ich bin erst jetzt auf den Beitrag gestossen.

@Blackmann
Ist Deine Frau wirklich BEM-Beauftragte, oder eher SBV (Schwerbehindertenvertretung)?
Weil, BEM kenne ich als Betriebs Eingliederungs Maßnahme.

Nur so als Information. Da ich an den Seminaren für Betriebsräten teilgenommen habe.

D.h. wenn eine Person mehr als 30 Krankheitstage im Jahr hat, steht dieser ein BEM Gespräch zu.

Gruss Penny.
Member: maretz
maretz Sep 05, 2023 at 19:30:29 (UTC)
Goto Top
Zitat von @Blackmann:

Zitat von @maretz:
Nen Keylogger auf den Anwender-PC installiert oder das Passwört kurz geändert (und danach das Backup vom DC wiederherstellen so das es zurückgesetzt wurde - war was defekt, ging nur über recovery,...)

Du bringst zum wiederholten mal einen Keylogger in's Spiel, stellst andere kontroverse Szenarien hier ein ...
was soll ich denn davon halten?

Der Keylogger ist doch nur EIN Beispiel. Ich denke hier hat vermutlich JEDER der Admins min. 20 Wege um an die Daten eines Benutzers zu kommen wenn man eben davon ausgeht das der Admin sich nicht an die Regeln halten will. Es müssen aber ja nicht alle aufgeführt werden um die div. Script-Kiddys noch mehr auf dumme Ideen zu bringen.

DEINE Aussage war doch: Deren Admin ist nicht vertrauenswürdig. Warum sollte er/sie denn nicht eben diese Möglichkeiten nutzen? Damit ist JEDER Weg vertrauliche Daten auf einem Arbeitsrechner zu bearbeiten oder irgendwo auf einem Firmennetzwerk zu speichern eben automatisch als nicht vertrauenswürdig. Stell es dir mal einfach vor: Du gehst morgen irgendwo an nem Berg klettern. Derjenige der dich aber sichern soll ist eben nicht vertrauenswürdig und du glaubst der will an deine Lebensversicherung. Gibt es jetzt IRGENDEIN Material was du von der Person nutzen würdest - Haken, Seil, ...? Du WEISST das derjenige zig Möglichkeiten hat da was zu drehen - und du vertraust dem nicht? Also ich würde von solch einer Person nich mal nen Schnürsenkel zum Schuhe zubinden annehmen...

Die andere Aussage ist einfach: Warum ist deine FRAU denn Vertrauenswürdiger wenn die ganz offenkundig Firmen-Interne Daten zuhause erzählt? Die braucht also nicht die Unterlagen in der Kantine vergessen - die erzählt es dir und du stellst es einfach mal direkt ins Internet... Morgen dann halt "Der Boss verdient 15000 Euro/Monat während die Angestellten nur 2000 Euro haben - is das Fair?"? Sollte nicht GRADE jemand im Datenschutz-Segment eben auch zuhause ggf. sich etwas zurückhalten? Sollte nicht GRADE jemand aus dem Segment dir kräftig die Ohren lang ziehen wenn diese Daten (wenn auch halbwegs Anonym) ins Internet gehen? Ich bin sicher eben nicht in dem Bereich unterwegs - trotzdem mache ich zB. keine Meetings in nem Zug weil eben die Person die neben mir sitzt da ggf. Infos bekommt die einfach nicht dafür gedacht sind UND nur eine Seite kennt (und damit vermutlich nen falsches Bild bekommen wird).


Wie gesagt, es ist wirklich nicht im geringsten Zielführend.


Zielführend ist für dich nur ein Weg wie man etwas speichern kann ohne das der Admin es lesen kann aber am besten trotzdem sich um Backups kümmert. Du setzt aber in dem Moment vorraus das der Admin sich an Regeln hält - DANN hält er/sie sich aber eben auch daran gewisse Daten nicht zu öffnen weil die einen nix angehen...

Zitat von @Vision2015:
die BEM-Beauftragte lässt ihre Mappe in der Kantine Ligen.... face-smile

Sie hatte die doch schon beim ersten mal in der Kantine liegengelassen .... so Deine wiederholenden Meinung.


Und auch da wäre es ja dann interessant wie du so einen Fall verhinder willst? Die MEISTEN Datenlecks gehen nämlich auf genau solche unachtsamkeiten zurück. Aber vermutlich entspricht auch das nicht deinem Ziel und ist damit auszublenden. Ok - kann man machen. Wenn ich die Randbedingungen eng genug mache ist die Welt nämlich auch perfekt. Zumindest immer dann wenn ich einfach definiere das alles was für mich nicht perfekt ist nicht existieren darf.


Zitat von @Vision2015:
ihr tut ja echt so, als ihr Heilig, Fehlerlos und die Admins der Firma die Teufel sind!....

Das interpretiertst Du dort hinein! Mir kommt das fast so vor, als ob Du das persönlich nimmst.
War nicht mein Ziel - Sorry.

Meine Frau schaut gerade bei 'BEM Datenschutz' nach ....

BG BM

Nun - du stellst es nunmal so da und willst eine Lösung die es nunmal einfach nicht gibt. WENN der Admin (wie du oben schreibst) nachweislich nicht vertrauenswürdig ist dann gibt es nur eine Lösung: Kicke den Admin. Thema durch. Auch das gibt es natürlich. Alternativ kaufe dir nen privates Laptop was keinen Kontakt zur Firma hat und arbeite damit - inkl. externer Mail-Server,... (die sog. Schatten-IT). Nur: Das muss man objektiv begründen können - ein "der ist nicht vertrauenwürdig" reicht da nicht. Auch da - siehe oben, ggf. hat der Admin sich geweigert deiner Frau Diablo 4 auf den PC zu packen und nu is die sauer... Oder deine Frau hat was falsch gemacht und der Admin hat sie gemeldet (auch nicht sooo ungewöhnlich solche "Racheaktionen"). DAMIT bekommst du den Admin nämlich eben nich raus. Und solange der da sitzt ist die Firmen-IT eben auch immer prinzipiell entweder angreifbar (weil der Admin da nicht die Möglichkeit hat was zu schützen) ODER er kann sich Zugriff verschaffen. So einfach ist das nunmal...