Überwachung der Daten der PA durch unrechtmässigen Zugriff

Hallo sanbiki-no-saku,

das waren zwei Fragen. Erstens, ja das Loggen ist 87.6 - und das ist gut so. Nutzt genau das aus, um als BR initativ zu werden, und zwar mit einer Modifikation: Wer ist bei Euch Sicherheitsbeauftragter? Das Loggen der Admin's ist gang und gäbe, aber das die IT sich selbst überwacht macht den Wolf zum Schäfer.... Also einen Schritt weiter, Security-Protokoll auf Denied loogen und den Admin's das REcht auf Zugriff entziehen. Dafür Sicherheitsbeauftragter rein, und der hat zu kontrollieren. Dann die Backup's mit berücksichtigen und dafür sorgen, dass auch die Restore-Log's kontrolliert und nicht unberechtigt gelöscht werden können. Als erste Maßnahme...

Zweite Frage: Als AN "seinen" Rechner "schützen". Das ist -soweit es IT-Richtlinien gibt- ein unerlaubter Eingriff in die Konfig und sollte i.d.R. mit Sanktionen geahndet werden. Aber das kannst Du Dir besser beantworten, was und wieviel der einzelne User selbst darf.

Vertiefende Unterhaltung gerne gewünscht,

Gruß, Hans

Hallo Hans,

Danke für die schnelle Antwort.

Jepp, das waren zwei Fragen ;-) Bei uns geht es wegen Verkaufs des Unternehmens im Dezember und den Entlassungen etwas drunter und drüber. Der Datenschutzbeauftragte wurde "freigestellt", seitdem hat die Justiziarin den Job am Hals. Einen Sicherheitsbeauftragten als solchen gab es nie und gibt es nicht.

Den Admins die Rechte zu entziehen ist keine Lösung, denn das schränkt sie im täglichen doing zu sehr ein. Im wesentlichen geht es auch nicht um die Frage, wie man sowas - wenn denn dann Missbrauch stattfindet - in Zukunft verhindert. Grundsätzlich ist man sich hier im Klaren, dass man die User selbst sensibilisieren muss (hier die PA, GF, BR, Management) - auch wenn man nicht genau weiss, "wie" - denn letzendlich will man eben diese Personengruppe und die restlichen MA auf so einen Fall nicht gerade hinweisen, sondern ist bemüht das Vertrauen in die Admins zu festigen. Wenn es denn ein "Fall" von Datenmissbrauch gibt...

Gegen ein grundsätzliches Loggen der Admins sträubt sich das IT-Management, weil es immer nett kuschelig sein und mit einem Non-Logging den Admins ihr vollstes Vertrauen vergegenwärtigen will - ARGH!

Zur zweiten Frage: Der "Normal-"User ist hierbei auch nicht gemeint. So ziemlich jeder in unserer IT hat AdminRechte auf dem eigenen Rechner... ...natürlich - denn als DomainAdmin habe ich automatisch Rechte auf JEDEM Rechner. Dazu haben die GFs und diverse andere Personen lokale AdminRechte auf ihren Maschinen, weil sie auf Ihren Laptops z.B. im Ausland auch schon mal div. Programme installieren oder Aktionen ausführen können müssen. Das ist einfach so und ist von der Personengruppe so gewollt - SecurityPolicy hin oder her - hier wird sie eben nicht angewandt.

Wenn nun jemand seine Daten auf dem eigenen Rechner auf ungerechtfertige Zugriffe überwacht und wenn das unter $87.6 fällt, stimmt da m.E. irgendwas überhaupt nicht.
Falls es nicht darunter fällt, stimmt gefühlsmässig mit der Mitbestimmung zum erstgelagerten Fall etwas nicht. ;-(

Diese zweite Frage war natürlich nur ein Konstrukt und als Kontrast zur erstgenannten Frage gedacht - denn ich als Admin weiss meinen Rechner dicht zu machen, wenn nötig. Aber was wenn ich das nicht will und meine Daten nur überwache? GF und IT-Management haben übrigens Software laufen, die jeden FremdZugriff sofort namentlich anzeigen - ohne das dafür der BR bemüht wurde.

Gruß, sanbiki-no-saru

Tja, das Problem kommt mir ja bekannt vor - bloß nix an die große Glocke hängen. Sicher weiß ich auch, wie ich meinen Rechner dicht mache (hab ich auch - ebenso den des BR und der BR-Kollegen), aber als Dom.Admin zu arbeiten ist ja wohl unter aller Sau. Da sollte man auch und gerade in der IT mal sensibilisieren, das zwischen User und Admin zu unterscheiden ist. Sorry, aber ich muß auch für jeden Mist ein zweites, drittes und x-tes PW eingeben, weil die Maschinen unterschiedliche PW's haben und ich als User eben keine Adminrechte haben. Billy-Soft, wie ich verstanden haben.... runas ist aus ein tolles Tool. Nee, mit der Argumentation kommt mir kein Admin davon, es würd die Arbeit einschränken. Vertrauen stärken ist auch ein offensiver Prozeß - laut schreien "hört mal, jeder kann gicken was wir machen". O.k. wen keiner gucken will ist ein anderes Thema, aber gerade das einer der Admin's Missbrauch betreibt ist eine offizielle Regel unschlagbar. Der Admin muß damit rechnen, das vielleicht doch mal jemand guckt - diskutiert das und deckelt es mit der IT-Leitung von oben. Übrigens auch eine Vertragspflicht und Verstoß gegen BDSG, halbes Bein im Knast würd ich mal behaupten. Also Argumente genug auch zum Schutz Eurer Admins....!!

Der eigene Rechner -wie geschrieben gehört dem ArG und damit unterliegt der IT-Security- fällt nicht unter 87..6 - ist ja individuell und nicht zur Erfassung der Leistungsdaten bestimmt. Daher der Unterschied, auch wenn's verrückt klingt. GF - Rechte das Prblem hatten wir auch - ich hab meinem Vorstand dann mal in in einem Meeting in ca. 68 sec ein Tool aus'm I-Net gesaugt, installiert und sein PW in Klartext angezeigt. Da war der Fisch geputzt :-) Jetzt hat er Hauptbenutzer, und wenn der Softwarehersteller nicht MS-konform programmiert - ja sorry, aber Datenschutz ist ein bischen mehr wert als das was die GF auf ihren Laptops mit sich rumschleppt.

die Software interessiert mich.... Kannst Du mir den Hersteller per Email?

Gruß, Hans

nachtrag das mit den dom-admins... es gibt nur zwei, und beide sind deaktiviert und die pw's sind im tresor. alles andere zum arbeiten regelt das AD. soweit zum konzept. h.