11
Zugriff auf vertrauliche Firmendaten - Rechtliche Absicherung?
Guten Morgen zusammen!
Ich habe mir gestern die Frage gestellt, wie man sich eigentlich rechtlich dagegen absichert, dass man als Systemadministrator theoretisch in Dateien der Geschäftsführung schauen könnte. Klar tut man dieses nicht, aber man kann es im Notfall nicht beweisen, dass man es nicht getan hat.
Gestern hatte ich den Fall, dass der Geschäftsführer wichtige Finanz-Dateien ausversehen in einen Unterordner verschoben hat und ich hatte sie ihm von meinem Rechner (genauergesagt remote vom File-Server aus) zurückgeschoben. Er weiss also nun, dass ich Zugriff auf diese Dateien hätte, wenn ich wollte. Sollten einmal Daten gestohlen werden, wüsste er, dass ich auch darauf Zugriff hätte und ich müsste irgendwie beweisen, dass ich es nicht gewesen bin.
Was machen andere Admins in diesem Fall?
Grüße, Peter
Ich habe mir gestern die Frage gestellt, wie man sich eigentlich rechtlich dagegen absichert, dass man als Systemadministrator theoretisch in Dateien der Geschäftsführung schauen könnte. Klar tut man dieses nicht, aber man kann es im Notfall nicht beweisen, dass man es nicht getan hat.
Gestern hatte ich den Fall, dass der Geschäftsführer wichtige Finanz-Dateien ausversehen in einen Unterordner verschoben hat und ich hatte sie ihm von meinem Rechner (genauergesagt remote vom File-Server aus) zurückgeschoben. Er weiss also nun, dass ich Zugriff auf diese Dateien hätte, wenn ich wollte. Sollten einmal Daten gestohlen werden, wüsste er, dass ich auch darauf Zugriff hätte und ich müsste irgendwie beweisen, dass ich es nicht gewesen bin.
Was machen andere Admins in diesem Fall?
Grüße, Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102332
Url: https://administrator.de/contentid/102332
Printed on: April 26, 2024 at 23:04 o'clock
11 Comments
Latest comment
Was machen andere Admins in diesem Fall?
Den nächsten Flug nach Afrika nehmen ;)Scherz bei Seite. Du kannst als Admin zwar unterbinden, dass du in einen Ordner "stolperst" aber als Admin kommst du immer an Daten ran.
Dessen muss sich die Firmenleitung schon bewusst sein wenn sie dich einstellt.
Generell musst du aber nicht beweisen, dass du nicht dran warst sondern sie müssen dir nachweisen, dass du dran warst.
Die einzige Möglichkeit einen Beweis zu führen, wer an einer Datei war ist die Ordnerüberwachung und dort für das Ereignis "Ordner auflisten / Daten lesen". Das kannst du ja für dein Benutzerkonto (oder für alle Konten) überwachen lassen um so zu protokollieren wer an einer Datei war.
(Das ist keine Rechtsberatung)
Grüße
Max
und ich müsste irgendwie beweisen, dass ich es nicht
gewesen bin.
Moin Peter!gewesen bin.
Wieso mußt DU denn beweisen, dass DU es NICHT warst?
In Deutschland gilt immer noch die Unschuldsvermutung.
Also muß jemand immer noch nachweisen, dass DU es getan HAST!
Aber auf der anderen Seite, bist Du natürlich dafür verantwortlich, dass niemand unerlaubeterweise den Zugriff auf diese Daten bekommt.
Das realisierst Du natürlich mit den Zugriffsrechten.
Außerdem gibt es dann natürlich noch die Überwachungsmöglichkeiten.
So kannst Du z.B. feststellen, wer wann auf bestimmte Dateien oder Ordner zugegriffen hat.
Und der Admin ist nun mal in der vertrauensvollen Lage in der er Zugriff auf alle Daten haben kann und manchmal auch haben muss.
Also, wenn Du nicht gerade vorhast, in Kürze wirklich die Daten von Deinem Chef zu klauen (und Du in Wirklichkeit eine Möglichkeit suchst, Deine Spuren zu verwischen
), dann immer locker bleiben.Und mache Dir Gedanken über Deine Zugriffsberechtigungen.
Gruß CeMeNt
Stimmt auch wieder, die Beweisführung ist umgekehrt. Ist ja auch nur eine theoretische Frage, die ich mir gestern gestellt habe. Also könnte man die Ordnerüberwachung für alle Admins anschalten... ich werde mal mit meinem IT-Leiter darüber sprechen.
Ähnlich haben wir es ja auch in Sachen "Internetzugriff" gemacht. Ich bin IT-Sicherheitsbeauftragter und kontrolliere auffällige Website-URLs, die unsere Firewall als Top10 registriert (damit ich sie danach sperren kann). Damit ich aber selbst nicht gegen die Betriebsvereinbarung verstoße wenn ich auf youporn surfe, um zu gucken was das ist, habe ich es von der Geschäftsführung schriftlich, dass ich das zu Kontrollzwecken darf.
Ähnlich haben wir es ja auch in Sachen "Internetzugriff" gemacht. Ich bin IT-Sicherheitsbeauftragter und kontrolliere auffällige Website-URLs, die unsere Firewall als Top10 registriert (damit ich sie danach sperren kann). Damit ich aber selbst nicht gegen die Betriebsvereinbarung verstoße wenn ich auf youporn surfe, um zu gucken was das ist, habe ich es von der Geschäftsführung schriftlich, dass ich das zu Kontrollzwecken darf.
Hi,
Trotz aller Überwachung hat der/die Admin(s) immer noch die Möglich "ungesehen" an die Daten zu kommen - Stichwort Sicherungsbänder. Man muss ja nicht gleich ein Band entwenden. Ein Restore auf einen anderen Server auf dem die Überwachung nicht aktiv ist, genügt da völlig.
Es würde sich also immer irgendwie ein Fall konstruieren lassen, bei dem der Admin als Schuldiger da steht
lg,
Slainte
Trotz aller Überwachung hat der/die Admin(s) immer noch die Möglich "ungesehen" an die Daten zu kommen - Stichwort Sicherungsbänder. Man muss ja nicht gleich ein Band entwenden. Ein Restore auf einen anderen Server auf dem die Überwachung nicht aktiv ist, genügt da völlig.
Es würde sich also immer irgendwie ein Fall konstruieren lassen, bei dem der Admin als Schuldiger da steht
lg,
Slainte
... oder der Admin stellt für 5 Minuten die Ordnerüberwachung aus... ich seh schon, es gibt keine rechtliche Sicherheit. So ist das halt in unserem Job
Wenn euer Unternehmen mehr als 10 Personen (die Daten bearbeiten) seit, braucht euer Unternehmen einen Datenschutzbeauftragten, der sich um solche Problemstellungen kümmert. Wenn es den in eurem Unternehmen gibt solltest du diesen mal ansprechen.
Erstens sind es meines Wissens 20 Mitarbeiter und zweitens zählen da nur die, die personenbezogene Daten bearbeiten. Und mit Personen sind in diesem Zusammenhang nur natürliche Personen und deren Daten gemeint.
Manuel
Manuel
Eine Datenschutzbeauftragte haben wir im Haus, die werde ich mal ansprechen.
Ok, bei automatisierter Verarbeitung ab 10 Personen, die damit arbeiten. Das mit den natürlichen Personen ist und bleibt aber so.
Manuel
Manuel
Hallo Allerseits,
ein Admin hat das Recht auf alle im Netzwerk gehaltenen Daten zugreifen zu koennen und die Pflicht es zu tun, wenn es die Netzwerk[betriebs-]sicherheit gebietet.
Genauso wie unangeforderte ad-hoc Remotesitzungen z.B. mittels eines vorangehenden Telefonats angekuendigt werden, verfaehrt man auch mit dem Zugriff auf die Dateien. Falls es einen Vorgesetzten gibt, den dies interessieren koennte so informiert man Diesen ebenfalls.
Damit hat sich's....
Saludos
gnarff
ein Admin hat das Recht auf alle im Netzwerk gehaltenen Daten zugreifen zu koennen und die Pflicht es zu tun, wenn es die Netzwerk[betriebs-]sicherheit gebietet.
Genauso wie unangeforderte ad-hoc Remotesitzungen z.B. mittels eines vorangehenden Telefonats angekuendigt werden, verfaehrt man auch mit dem Zugriff auf die Dateien. Falls es einen Vorgesetzten gibt, den dies interessieren koennte so informiert man Diesen ebenfalls.
Damit hat sich's....
Saludos
gnarff