Überwachung der Daten der PA durch unrechtmässigen Zugriff

Question

Hallo Experten,

in unserer kleinen Admingruppe gibt es eine Person, die zu gut über personelle Massnahmen, Abfindungen, Gehälter  etc. informiert ist und damit im Unternehmen hausieren geht. So hat sie letztens ein BR-Mitglied damit überrascht, dass sie ihm den Anlass für die nächste Sitzung mit der GF nannte (es ging um betriebsbedingte Kündigungen) - kurz vorher ging dem BR anonym eine Liste mit den zur Kündigung durch das Management vorgeschlagener Kollegen zu...

Sie hält also mit ihrem Wissen nicht hinter dem Berg, dennoch vermuten viele im Unternehmen in ihr nur den 
Informations_weiter_träger - in Verdacht kommen BR-Mitglieder, Assistentinnen der GF und generell natürchlich alle Admins, da wir täglich mit den sensiblen Daten der Kollegen (BR, GF und auch PA) arbeiten - so arbeitet zum Bsp. ein weiterer Admin und ich desöfter persönlich an den Rechnern der GF. 
Seine neuesten geäusserten Informationen sind 1. zu detailiert und 2. zu zeitnah (eben schon vor der Sitzung mit der GF) , als das er sie von anderen Personen erhalten haben dürfte... 

Hinter vorgehaltener Hand munkelt der IT-Manager mit meinem Abteilungsleiter, wo denn wohl das Loch sein könnte, dieser mit mir, ein BR-Mitglied (auch Admin) mit dem BR-Vorstand - aber niemand unternimmt was. 
Aus Angst, dass der Schaden (Vertrauensverlust bei den anderen 300 MA) für die IT irreparable wäre. Und manche natürlich auch, weil sie davon stillschweigend profitierten.
Wenn das so weitergeht, bringt er andere in Teufelsküche - insbesondere die Assistentinnen der GFs.

Mal abgesehen von den moralischen / ethischen Fragen: ist es zulässig bzw. zwangsläufig durch den BR mitbestimmungspflichtig, wenn ich als Admin mein technisches Wissen nutze und die Daten z.B. der PA derart überwache, dass wenn ein Admin darauf in einer speziellen Art und Weise zugreift (z.B wegkopieren um sie an anderer Stelle - seinem Rechner - zu lesen) ?  

Darf ich also ein s.g. Ereignisprotokoll (für diejenigen, die sich auskennen), welches eh auf jedem Rechner / Server mitläuft dahingehend erweitern, das DANN und NUR DANN, wenn ein Admin aus unsere Gruppe UNRECHTMÄSSIG darauf zugreift, er geloggt wird? 

Und das nur auf ausgesuchte Ordnern mit sensiblen Inhalten der PersonalAbteilung. Kein anderer MA wäre davon betroffen, weder die Eigentümer der Ordner noch die MA, die auf / mit diesen Ordnern arbeiten müssen, da sie eh die entsprechend Rechte dazu besitzen.  
Admins würde wie gesagt nur im Log aufschlagen, wenn sie Datenmissbrauch betrieben. 

Was meint ihr? Datenschutz oder Überwachung von MA nach $87 6. ?  Verhalten würde hier natürlich geloggt, aber eben ein besonders mistiges. Einerseits wird der Schutz der MA-Daten von uns erwartet, aber eben so, dass wir die Daten durch Rechtevergabe gegen Missbrauch durch andere schützen. Admins haben aber überall Zugriff.

Ich möchte betonen, dass ein angeordnetes Logging durch das IT-Management, zu dem der BR hinzugezogen würde, keinen Sinn machen würde, weil es jemanden im BR gibt (nicht der genannte Admin), die das der Person brühwarm stecken würde und sie andere Wege suchen und finden würde, um die Daten zu kompromittieren (so die Person es denn tatsächlich ist).  

Falls es mitbestimmungspflichtig ist - eine weitere Frage:
Darf der einzelne MA - z.B. ich - meinen Rechner mit einem derartigen Schutz belegen? Das wenn ein Admin UNRECHTMÄSSIG darauf zugreift, er namentlich im Log festgehalten wird?  
Wenn ja, wo genau ist dann der Unterschied zu oben?


Vielen Dank für Hilfestellungen bezüglich dieses Problems.

Schönen Abend noch.

hans · Answer

Hallo sanbiki-no-saku,

das waren zwei Fragen. Erstens, ja das Loggen ist 87.6 - und das ist gut so. Nutzt genau das aus, um als BR initativ zu werden, und zwar mit einer Modifikation:
Wer ist bei Euch Sicherheitsbeauftragter? Das Loggen der Admin's ist gang und gäbe, aber das die IT sich selbst überwacht macht den Wolf zum Schäfer.... Also einen Schritt weiter, Security-Protokoll auf Denied loogen und den Admin's das REcht auf Zugriff entziehen. Dafür Sicherheitsbeauftragter rein, und der hat zu kontrollieren. 
Dann die Backup's mit berücksichtigen und dafür sorgen, dass auch die Restore-Log's kontrolliert und nicht unberechtigt gelöscht werden können. 
Als erste Maßnahme...

Zweite Frage: Als AN "seinen" Rechner "schützen". Das ist -soweit es IT-Richtlinien gibt- ein unerlaubter Eingriff in die Konfig und sollte i.d.R. mit Sanktionen geahndet werden. Aber das kannst Du Dir besser beantworten, was und wieviel der einzelne User selbst darf.

Vertiefende Unterhaltung gerne gewünscht, 

Gruß, Hans

sanbiki-no-saru · Answer

Hallo Hans,

Danke für die schnelle Antwort.

Jepp, das waren zwei Fragen ;-)
Bei uns geht es wegen Verkaufs des Unternehmens im Dezember und den Entlassungen etwas drunter und drüber. Der Datenschutzbeauftragte wurde "freigestellt", seitdem hat die Justiziarin den Job am Hals. Einen Sicherheitsbeauftragten als solchen gab es nie und gibt es nicht.

Den Admins die Rechte zu entziehen ist keine Lösung, denn das schränkt sie im täglichen doing zu sehr ein. Im wesentlichen geht es auch nicht um die Frage, wie man sowas - wenn denn dann Missbrauch stattfindet - in Zukunft verhindert. 
Grundsätzlich ist man sich hier im Klaren, dass man die User selbst sensibilisieren muss (hier die PA, GF, BR, Management) - auch wenn man nicht genau weiss, "wie" - denn letzendlich will man eben diese Personengruppe und die restlichen MA auf so einen Fall nicht gerade hinweisen, sondern ist bemüht das Vertrauen in die Admins zu festigen.
Wenn es denn ein "Fall" von Datenmissbrauch gibt...

Gegen ein grundsätzliches Loggen der Admins sträubt sich das IT-Management, weil es immer nett kuschelig sein und mit einem Non-Logging den Admins ihr vollstes Vertrauen vergegenwärtigen will - ARGH! 

Zur zweiten Frage:
Der "Normal-"User ist hierbei auch nicht gemeint. So ziemlich jeder in unserer IT hat AdminRechte auf dem eigenen Rechner...  ...natürlich - denn als DomainAdmin habe ich automatisch Rechte auf JEDEM Rechner.
Dazu haben die GFs und diverse andere Personen lokale AdminRechte auf ihren Maschinen, weil sie auf Ihren Laptops z.B. im Ausland auch schon mal div. Programme installieren oder Aktionen ausführen können müssen.
Das ist einfach so und ist von der Personengruppe so gewollt - SecurityPolicy hin oder her - hier wird sie eben nicht angewandt. 

Wenn nun jemand seine Daten auf dem eigenen Rechner auf ungerechtfertige Zugriffe überwacht und wenn das unter $87.6 fällt, stimmt da m.E. irgendwas überhaupt nicht.  
Falls es nicht darunter fällt, stimmt gefühlsmässig mit der Mitbestimmung zum erstgelagerten Fall etwas nicht. ;-(

Diese zweite Frage war natürlich nur ein Konstrukt und als Kontrast zur erstgenannten Frage gedacht - denn ich als Admin weiss meinen Rechner dicht zu machen, wenn nötig. Aber was wenn ich das nicht will und meine Daten nur überwache?
GF und IT-Management haben übrigens Software laufen, die jeden FremdZugriff sofort namentlich anzeigen - ohne das dafür der BR bemüht wurde.

Gruß, sanbiki-no-saru

hans · Answer

Tja,
das Problem kommt mir ja bekannt vor - bloß nix an die große Glocke hängen. Sicher weiß ich auch, wie ich meinen Rechner dicht mache (hab ich auch - ebenso den des BR und der BR-Kollegen), aber als Dom.Admin zu arbeiten ist ja wohl unter aller Sau. Da sollte man auch und gerade in der IT mal sensibilisieren, das zwischen User und Admin zu unterscheiden ist. Sorry, aber ich muß auch für jeden Mist ein zweites, drittes und x-tes PW eingeben, weil die Maschinen unterschiedliche PW's haben und ich als User eben keine Adminrechte haben. Billy-Soft, wie ich verstanden haben.... runas ist aus ein tolles Tool. Nee, mit der Argumentation kommt mir kein Admin davon, es würd die Arbeit einschränken.
Vertrauen stärken ist auch ein offensiver Prozeß - laut schreien "hört mal, jeder kann gicken was wir machen". O.k. wen keiner gucken will ist ein anderes Thema, aber gerade das einer der Admin's Missbrauch betreibt ist eine offizielle Regel unschlagbar. Der Admin muß damit rechnen, das vielleicht doch mal jemand guckt - diskutiert das und deckelt es mit der IT-Leitung von oben. Übrigens auch eine Vertragspflicht und Verstoß gegen BDSG, halbes Bein im Knast würd ich mal behaupten. Also Argumente genug auch zum Schutz Eurer Admins....!!

Der eigene Rechner -wie geschrieben gehört dem ArG und damit unterliegt der IT-Security- fällt nicht unter 87..6 - ist ja individuell und nicht zur Erfassung der Leistungsdaten bestimmt. Daher der Unterschied, auch wenn's verrückt klingt. 
GF - Rechte das Prblem hatten  wir auch - ich hab meinem Vorstand dann mal in in einem Meeting in ca. 68 sec ein Tool aus'm I-Net gesaugt, installiert und sein PW in Klartext angezeigt. Da war der Fisch geputzt :-) Jetzt hat er Hauptbenutzer, und wenn der Softwarehersteller nicht MS-konform programmiert - ja sorry, aber Datenschutz ist ein bischen mehr wert als das was die GF auf ihren Laptops mit sich rumschleppt.

die Software interessiert mich.... Kannst Du mir den Hersteller per Email?

Gruß, Hans


***nachtrag***
das mit den dom-admins... es gibt nur zwei, und beide sind deaktiviert und die pw's sind im tresor. alles andere zum arbeiten regelt das AD. soweit zum konzept. h.