Pitti259 15 Geschrieben 25. März 2016 Melden Teilen Geschrieben 25. März 2016 Als Security-Berater empfehle ich grundsätzlich Verschlüsselungen für bestimmte Gruppen einzurichten, nicht als Misstrauen gegenüber den Admins, sondern zum Schutz der Admins vor Verdächtigungen. Meist steht die Personalabteilung an erster Stelle der Bereiche, die vor den pösen Admins geschützt werden muss. Übrigens aufgrund gesetzlicher Vorgaben, alleine die Möglichkeit der Administratoren auf Personaldaten zu zugreifen ist bereits ein Gesetzesverstoß. Wird aber nur auf Anzeige hin verfolgt. Weiterhin dann die GF-Ablagen. Auch hier gibt es abseits von irgendwelchen Misstrauensthemen ein Interesse der Admins sich zu schützen. Werden Internas über geplante Übernahmen o.ä. vorzeitig bekannt, kann diese Schadensersatzforderungen oder bei AGs sogar juristische Konsequenzen für die Geschäftsführung haben. Wenn diese dann die Möglichkeit hätten auf die Admins zu zeigen, wäre dies ausgesprochen unschön, für die Admins meine ich... Daher lieber Ganzjahresgriller, schau Dir die möglichen Verschlüsselungsprogramme an, wähle eines aus welches Deine GF bedienen kann und schreib ein kleines Konzept in dem Du die verschiedenen schutzbedürftigen Bereiche mit ihren Zugriffsmöglichkeiten aufzeigst. Wege zum Datenaustausch mit anderen nicht vergessen. Datenschutzbeauftragten einbeziehen, der soll ein Statement dazu abgeben. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 25. März 2016 Melden Teilen Geschrieben 25. März 2016 Übrigens aufgrund gesetzlicher Vorgaben, alleine die Möglichkeit der Administratoren auf Personaldaten zu zugreifen ist bereits ein Gesetzesverstoß. Wird aber nur auf Anzeige hin verfolgt. Als Sicherheitsberater solltest Du wissen, wie es mit Rechtsberatung/-belehrung aussieht ;) Punkt 8: http://www.mcseboard.de/topic/191452-mcseboardde-regeln-nutzungsbedingungen/ Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. März 2016 Melden Teilen Geschrieben 25. März 2016 abgesehen davon halte ich diese pauschale juristische Aussage für falsch. Aber er ist ja "Sicherheitsberater"... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. März 2016 Melden Teilen Geschrieben 25. März 2016 Übrigens aufgrund gesetzlicher Vorgaben, alleine die Möglichkeit der Administratoren auf Personaldaten zu zugreifen ist bereits ein Gesetzesverstoß. Wird aber nur auf Anzeige hin verfolgt. Das ist interessant, ehrlich! hast du einen Paragraphen, Beispielurteil, oder sonst eine juristische Quelle? Viele Admins werden gar nicht wissen, ob sie diese Möglichkeit haben oder nicht. Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 25. März 2016 Melden Teilen Geschrieben 25. März 2016 Darf ich hier überhaupt solche Artikel posten? Personaldaten enthalten besonders schützenswerte personenbezogene Daten gemäß § 3 Abs. 9 BDSG, z.B. Religionszugehörigkeit, Gewerkschaftszugehörigkeit... Solche besonders schützenswerten personenbezogene Daten dürfen nur Personen zur Kenntnis gebracht werden, welche diese Informationen unbedingt benötigen. Gegenüber jeglichen Anderen sind diese Daten nach Stand der Technik (§ 9 Satz 2 BDSG) unter Verschluss zu halten. Der Verwalter dieser Daten hat dafür zu sorgen. Kommt er dieser Sorgfaltspflicht nicht nach, verstößt er gegen das BDSG. Die Verpflichtung nach § 5, die praktisch jeder Admin unterzeichnet hat, reicht nicht aus. Das reicht nur für die normalen personenbezogenen Daten. Manche Unternehmen versuchen dies auszuhebeln, indem sie im Arbeitsvertrag einen Passus unterbringen nachdem sich der Mitarbeiter mit der Einsichtnahme durch Admins einverstanden erklärt. Möcht ich nicht vor Gericht auf Tragfähigkeit prüfen :) . Solange sich keiner in seiner informationellen Selbstbestimmung gestört fühlt, ist das alles recht theoretisch. Dummerweise gibt es auch sehr mitteilungsbedürftige Admins, die gerne mal ihr zufällig erfahrenes in der Kantine ausplaudern. Dann kann es heftig werden. Nicht nur für das Unternehmen! So, genug des Romans. Ich empfehle allen Admins sich beim Datenschutzbeauftragten ihres Unternehmens schlau zu machen. Dazu ist er da. Eigentlich. Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 26. März 2016 Melden Teilen Geschrieben 26. März 2016 Jetzt kommen wir zur Interpretation und warum wir hie keine Rechtsberatung machen: "nach Stand der Technik" ... "Der Verwalter dieser Daten hat dafür zu sorgen." Danach müssten der Personalbereich seiner Server selber kaufen und ohne DL betreiben. Oder man verwendet eine Software, welche die Daten so verschlüsselt (auch in einer SQL-DB), dass ein Admin damit nichts anfangen kann. Der Personal-Bereich muss dann selber für das Recovery-Problem Lösungen vorhalten. Wie man die Daten in Multiuser-Umgebungen sicher verschlüsseln will, ist mit aber nicht ganz klar. Irgendwo muss man die Schlüssel speichern. Bei einem einzelnen User ist das noch einfach (Verschlüsselung mit Passwort). Bei mehr als einem User wird es problematisch. Oft haben solche Lösungen die Schlüssel irgendwo abgelegt, auf die Admin dann doch zugreifen kann. Und jetzt dürfen sich die Anwälte streiten, was ein "Verwalter der Daten" ist. Man könnte auch einen Admin dazuzählen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 26. März 2016 Melden Teilen Geschrieben 26. März 2016 Ist überhaupt bekannt, ob es sich um schützenswerte Daten im Sinne des BDSG handelt? Der TO hat davon nichts geschrieben. Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 26. März 2016 Melden Teilen Geschrieben 26. März 2016 Ist überhaupt bekannt, ob es sich um schützenswerte Daten im Sinne des BDSG handelt? Der TO hat davon nichts geschrieben. Du hast natürlich recht, wir sind etwas abgeschweift. Mein Ansinnen war, wenn er schon Netzablagen verschlüsselt, dann sollte er nicht zu kurz springen. Aber, wie ich oben schon schrieb, auch nicht dem BDSG unterliegende Daten der GL können einen gesetzlichen Schutzcharakter besitzen. GmbH-Gesetz und AG-Gesetz lassen grüßen. Der eigentliche Punkt ist, ein Admin kann sich selbst nur vor Anschuldigungen jeglicher Art schützen, wenn er nicht selbst auf die Daten zugreifen kann. Ja, wir können es weiter spinnen, dann hört er halt die Leitungen ab. Ja, der Schlüsselverwalter wird ja dadurch quasi zum Admin und steht dann im Feuer. Ja, es ergeben sich weitere Probleme, wie den Zugriff der Aufsichtsbehörden, Finanzämter, Zoll etc. zu gewährleisten. Nichts ist perfekt. Nichts zu tun ist aber am schlechtesten... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. März 2016 Melden Teilen Geschrieben 26. März 2016 (bearbeitet) ein Admin kann sich selbst nur vor Anschuldigungen jeglicher Art schützen, Ja, es wäre schon einfacher und sicherer für den Admin. Eine Anschuldigung müsste aber doch eigentlich bewiesen werden? Nur weil jemanden niemand anderem einfällt als der Admin? Ob es der "Anschuldigerr" nicht selbst war? Zu dämlich oder auch vorsätzlich. Verantwortlich ist aber nicht der Admin, verantwortlich ist die Geschäftsleitung. Ich denke mal, im einfachsten Fall übernimmt der GF den Besitz des Ordners, regelt die Berechtigungen darauf selbst. Er kümmert sich auch um die Datensicherung. Und falls er verschlüsseln will, dann kann er das auch tun. Ein GF oder jemand in vergleichbarer Position kann ja nicht so dämlich sein, so etwas nicht handhaben zu können. Gegebenfalls nimmt er an einer Schulung dafür teil. bearbeitet 27. März 2016 von lefg Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 26. März 2016 Melden Teilen Geschrieben 26. März 2016 Du hast natürlich recht, wir sind etwas abgeschweift. Mein Ansinnen war, wenn er schon Netzablagen verschlüsselt, dann sollte er nicht zu kurz springen. Das macht der TO ja noch nicht. Sonst müsste er diesen Thread nicht öffnen. Zitieren Link zu diesem Kommentar
LevinKay 0 Geschrieben 29. März 2016 Melden Teilen Geschrieben 29. März 2016 Also ich hatte kürzlich nach einer Lösung zu komplexeren Strukturierung von Zugriffsrechten gesucht. Hierbei bin ich auch tatsächlich in diesem Forum auf einen guten Ansatz gekommen. Wenn du eine >= Windows 2012 Domain hast kannst du dir das ja mal anschauen. Nennt sich Dynamic Access Control. Hierbei kann man Claims erstellen die erfüllt werden müssen, damit man Zugriff bekommt. Ob sich damit aber auch der Admin aussperren lässt ist fraglich. Selbst bei verschlüsselten Daten, schließlich muss irgendwer ja die encryption administrieren. Das ist schließlich eines Admins Job und entsprechende Vermerke zu Datenschutz etc. sind in jedem Arbeitsvertrag hinterlegt. https://technet.micr...y/hh831717.aspx Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 29. März 2016 Melden Teilen Geschrieben 29. März 2016 Ja mit EFS kann man den Admin aussperren. Das läßt sich auch kontrollieren. Auch wenn man als Admin natürlich die Administration von EFS (oder welcher Lösung auch immer) übernimmt. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 29. März 2016 Melden Teilen Geschrieben 29. März 2016 Ich denke mal, im einfachsten Fall übernimmt der GF den Besitz des Ordners, regelt die Berechtigungen darauf selbst. Er kümmert sich auch um die Datensicherung. Und falls er verschlüsseln will, dann kann er das auch tun. Ein GF oder jemand in vergleichbarer Position kann ja nicht so dämlich sein, so etwas nicht handhaben zu können. Gegebenfalls nimmt er an einer Schulung dafür teil. Ich kenne aus der Vergangenheit leider genug Geschäftsführer die dazu nicht in der Lage sind. Auch nach einer Intensivschuöung :) Zitieren Link zu diesem Kommentar
NorbertFe 2.097 Geschrieben 29. März 2016 Melden Teilen Geschrieben 29. März 2016 :) Die Frage ist, ob ein GF sowas "können" muß. Ich fände es zwar schön, aber notwendig sollte das nicht sein. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. März 2016 Melden Teilen Geschrieben 30. März 2016 (bearbeitet) Ich weiss das natürlich. GFs können eher übers Wasser gehen. bearbeitet 30. März 2016 von lefg 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.