9
Chefs sind -gleicher als gleich-... Geschäftsführer als Sicherheitsproblem
Guten Tag erstmal. Ich habe es mit zwei Geschäftsführern zu tun, deren Notebook-Handhabung mir sicherheitstechnische Probleme verursacht. Sie sind der Meinung, weil sie Chef sind dürften sie manches anders machen als der Rest der Nutzer.
Eigentlich unterliegt unsere Notebook-Nutzung klaren Regeln. Eine ganz wesentliche ist, dass der Benutzer keine Admin-.Rechte haben darf. Eine andere ist, dass er selbst keine Software installieren darf.
Beides wollen sie für sich nicht gelten lassen. So landen uA iTunes und private Online-Banking-Software auf dem geschäftlich genutzten Notebook, das sowohl im LAN wie auch "on the road" zum Einsatz kommt. Wie gesagt, ein Zustand, der mir überhaupt nicht gefällt.
Es ist schon klar, dass die beiden letztlich am längeren Hebel sitzen. Mich würde interessieren, wie das bei anderen (mittelständischen) Firmen gehandhabt wird und ob jemand ggf Artikel im Netz kennt, die mögliche Gefahren eines solchen Vorgehens "plakativ" aufzeigen. Erfahrungsgemäß wirken solche Texte eher als "salbungsvolle" Reden des Admins... Danke schon mal.
Eigentlich unterliegt unsere Notebook-Nutzung klaren Regeln. Eine ganz wesentliche ist, dass der Benutzer keine Admin-.Rechte haben darf. Eine andere ist, dass er selbst keine Software installieren darf.
Beides wollen sie für sich nicht gelten lassen. So landen uA iTunes und private Online-Banking-Software auf dem geschäftlich genutzten Notebook, das sowohl im LAN wie auch "on the road" zum Einsatz kommt. Wie gesagt, ein Zustand, der mir überhaupt nicht gefällt.
Es ist schon klar, dass die beiden letztlich am längeren Hebel sitzen. Mich würde interessieren, wie das bei anderen (mittelständischen) Firmen gehandhabt wird und ob jemand ggf Artikel im Netz kennt, die mögliche Gefahren eines solchen Vorgehens "plakativ" aufzeigen. Erfahrungsgemäß wirken solche Texte eher als "salbungsvolle" Reden des Admins... Danke schon mal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 132117
Url: https://administrator.de/contentid/132117
Printed on: April 19, 2024 at 02:04 o'clock
9 Comments
Latest comment
Hallo,
der Chef schafft an. Ich kann zwar darauf hinweisen, zur Not auch schriftlich, aber wenn Chef will,
dass ich Flügel an Notebook baue, dann krieg er das.
Sein Geld, seine Firma, sein Risiko.
der Chef schafft an. Ich kann zwar darauf hinweisen, zur Not auch schriftlich, aber wenn Chef will,
dass ich Flügel an Notebook baue, dann krieg er das.
Sein Geld, seine Firma, sein Risiko.
Hallo,
je nach Größe des Utnernehmens dürftet ihr einen Betriebsrat oder Betriebsvereinbarungen haben wo solche Details geregelt sind.
Generell ist "Gleicher als Gleich" immer wieder ein Problem.
Wenn du einen Betriebsrat hast wende dich an den und mach die Situation damit schriftlich!
Wenn etwas im Netz schiefeght und die Ursache verseuchte Notebooks deiner beiden Geschäftsführer sind
heißt es im Zweifelsfall anschließend das du beiden nicht auf die Gefahr hingewiesen hast!
Schreibe ein Memo, einen Bericht oder Aktennotiz aus der klar hervorgeht das du die beiden auf die Gefhar hingewiesen hast und
auch was du empfohlen hast.
Darüber hinaus kannst du die Netzwerk Ports deiner beiden GF in ein eigenes VLAN stecken und dieses gesondert überwachen
lassen, so das du eine Ausbreitung einer Gefahr zumindest einschränken kannst.
brammer
je nach Größe des Utnernehmens dürftet ihr einen Betriebsrat oder Betriebsvereinbarungen haben wo solche Details geregelt sind.
Generell ist "Gleicher als Gleich" immer wieder ein Problem.
Wenn du einen Betriebsrat hast wende dich an den und mach die Situation damit schriftlich!
Wenn etwas im Netz schiefeght und die Ursache verseuchte Notebooks deiner beiden Geschäftsführer sind
heißt es im Zweifelsfall anschließend das du beiden nicht auf die Gefahr hingewiesen hast!
Schreibe ein Memo, einen Bericht oder Aktennotiz aus der klar hervorgeht das du die beiden auf die Gefhar hingewiesen hast und
auch was du empfohlen hast.
Darüber hinaus kannst du die Netzwerk Ports deiner beiden GF in ein eigenes VLAN stecken und dieses gesondert überwachen
lassen, so das du eine Ausbreitung einer Gefahr zumindest einschränken kannst.
brammer
Hallo,
zu dem Thema gibt es Video-Clips. Bilder sagen manchmal mehr als Worte.
http://www.hvs-consulting.de/index.php?page=display.php&id=57
mfg
zu dem Thema gibt es Video-Clips. Bilder sagen manchmal mehr als Worte.
http://www.hvs-consulting.de/index.php?page=display.php&id=57
mfg
Och, das ist ganz einfach: Ein ehemaliger Kunde (beim letzten Arbeitgeber) war Steuerberater in einer Edelkanzlei, Sony Vaio, Blackberry, VPN mit gespeicherten Passwörtern und solche Scherze. Er war der Chef.
Frau fährt tanken, Vaio auf dem Rücksitz, Auto nicht abgeschlossen beim Bezahlen ("Ich achte da immer drauf!" war die Aussage bei der Diskussion vorher), Notebook geklaut, Zugriff über VPN hat zwar nicht stattgefunden, da waren wir schnell genug, wurde auch nicht versucht, aber lokale DATEV-Daten von Kunden, die noch nicht ins Netz kopiert waren, waren damit weg.
Der Chef hatte den Kunden gegenüber Informationspflicht (zwei Großkunden immerhin) und die fanden das so lustig, dass die Kanzlei dann einen Kunden weniger hatte und der andere seitdem mit denen macht, was er will. Er musste denen das ja sagen, weil er die Daten nochmal brauchte.
Die Neuinstallation des neuen Notebooks plus Gerät waren alles in allem fast 4000 Euro, die Versicherung hat die Zahlung verweigert, weil auf der Tankstellenkamera klar zu erkennen war, dass der Wagen nicht aufgebrochen wurde. Unterlassene Sicherungspflicht. Gesetzliche Vorschrift.
Da brauche ich kein Urteil, der Kunde weiß jetzt, wovon wir immer gesprochen haben.
Nach BDSG steht Dein Chef damit allerdings mit einem Bein im Bau, wenn Kundendaten auf dem Ding liegen. Was er mit seinen eigenen Daten macht, ist seine Sache.
Frau fährt tanken, Vaio auf dem Rücksitz, Auto nicht abgeschlossen beim Bezahlen ("Ich achte da immer drauf!" war die Aussage bei der Diskussion vorher), Notebook geklaut, Zugriff über VPN hat zwar nicht stattgefunden, da waren wir schnell genug, wurde auch nicht versucht, aber lokale DATEV-Daten von Kunden, die noch nicht ins Netz kopiert waren, waren damit weg.
Der Chef hatte den Kunden gegenüber Informationspflicht (zwei Großkunden immerhin) und die fanden das so lustig, dass die Kanzlei dann einen Kunden weniger hatte und der andere seitdem mit denen macht, was er will. Er musste denen das ja sagen, weil er die Daten nochmal brauchte.
Die Neuinstallation des neuen Notebooks plus Gerät waren alles in allem fast 4000 Euro, die Versicherung hat die Zahlung verweigert, weil auf der Tankstellenkamera klar zu erkennen war, dass der Wagen nicht aufgebrochen wurde. Unterlassene Sicherungspflicht. Gesetzliche Vorschrift.
Da brauche ich kein Urteil, der Kunde weiß jetzt, wovon wir immer gesprochen haben.
Nach BDSG steht Dein Chef damit allerdings mit einem Bein im Bau, wenn Kundendaten auf dem Ding liegen. Was er mit seinen eigenen Daten macht, ist seine Sache.
Nachdem sich die Laptops bei uns immer gern selbstständig machen (inkl. aufgebrochenem Auto oder Büro) ist das ganz einfach: Klar können die gerne sagen das die ne Software wollen - solang ich die Firewall nicht anpassen muss is das auch kein Problem. Allerdings sage ich denen dann auch freundlich das die natürlich die Daten dann ggf. in fremde Hände geben - und schon ist das Thema Online-Banking usw. vom Tisch...
Andersrum habe ich auch keine Probleme damit wenn die z.B. andere Software auch wollen - ist ganz einfach: Die sind viel unterwegs und arbeiten da am Notebook. Und genauso wie ich auf meinem Notebook dann eben mal Winamp installiere damit ich unterwegs auch mal im Hotel Musik hören kann verstehe ich das wenn die mit solchen Wünschen ankommen. Und solang es nicht ganz komisch wird (Filesharing würde ich mich z.B. weigern) denke ich immer das es auch mal Ausnahmen von jeder Regel geben muss... Ich hätte schließlich auch keine Lust irgendwo im Hotel zu sitzen, Russisches Fernsehen (was nich soo faszinierend ist wenn man die Sprache nicht versteht) zu gucken und auf den nächsten Tag zu warten... Dann nehme ich lieber das Laptop, mach nen bisserl Musik an und guck nochmal was man sonst so machen kann...
Andersrum habe ich auch keine Probleme damit wenn die z.B. andere Software auch wollen - ist ganz einfach: Die sind viel unterwegs und arbeiten da am Notebook. Und genauso wie ich auf meinem Notebook dann eben mal Winamp installiere damit ich unterwegs auch mal im Hotel Musik hören kann verstehe ich das wenn die mit solchen Wünschen ankommen. Und solang es nicht ganz komisch wird (Filesharing würde ich mich z.B. weigern) denke ich immer das es auch mal Ausnahmen von jeder Regel geben muss... Ich hätte schließlich auch keine Lust irgendwo im Hotel zu sitzen, Russisches Fernsehen (was nich soo faszinierend ist wenn man die Sprache nicht versteht) zu gucken und auf den nächsten Tag zu warten... Dann nehme ich lieber das Laptop, mach nen bisserl Musik an und guck nochmal was man sonst so machen kann...
Guten morgen,
also ich würde mir aufjedenfall was unterschreiben lassen oder wie schon meine Vorredner gesagt haben es über den Betriebsrat/Mitarbeitervertretung machen.
Nicht das du dann doch der bist am Schluss der darunter leidet... Soll es alles schon gegeben haben.
In der Regel ist es so, dass es erst einen riesen Knall geben muss, bis es verstanden/ernstgenommen wird!
Gruß und allen einen guten Rutsch ins Jahr 2010 ;)
also ich würde mir aufjedenfall was unterschreiben lassen oder wie schon meine Vorredner gesagt haben es über den Betriebsrat/Mitarbeitervertretung machen.
Nicht das du dann doch der bist am Schluss der darunter leidet... Soll es alles schon gegeben haben.
In der Regel ist es so, dass es erst einen riesen Knall geben muss, bis es verstanden/ernstgenommen wird!
Gruß und allen einen guten Rutsch ins Jahr 2010 ;)
Bei meinem Lieblingskunden ist das genauso. 2 GF die alles wollen dürfen.
Klar, gerne, sofort... Sicherheitsrisiken werden schriftlich kommuniziert. Das kann man dann bei Gelegenheit (und da hatte ich schon ein paar) rausziehen und damit rumwinken. Wenn man das "Selber schuld" einigermaßen diplomatisch verpackt sollte als Ergebnis nur ein verbessertes Standing bei rumkommen.
Klar, gerne, sofort... Sicherheitsrisiken werden schriftlich kommuniziert. Das kann man dann bei Gelegenheit (und da hatte ich schon ein paar) rausziehen und damit rumwinken. Wenn man das "Selber schuld" einigermaßen diplomatisch verpackt sollte als Ergebnis nur ein verbessertes Standing bei rumkommen.
Ich kann dazu eigentlich nur sagen: Sei froh, dass sich die Ansprüche der Geschäftsführer nur auf ihre Notebooks erstrecken.
Das kann man mit einer Mitteilung regeln, um dann im Ernstfall aus der Verantwortung zu sein.
Notfalls reicht das auch per interner Mitteilung (zB. wenn ein Exchange die Zustellung protokolliert) oder aber im schlimmsten Fall schriftlich (was aber sehr überlegt formuliert sein sollte).
Schreib zum Beispiel einen Systembericht, in dem das unter anderem drinnen steht.
Ich habe einen kleinen Kunden, deren zwei Geschäftsführer selbst nicht ansatzweise in der Lage sind, Sicherheitsfragen zu beachten und die aber darauf bestehen, die Passwörter aller Admin-Accounts zu wissen.
In der Folge werden diese dann auch fleissig genutzt, auch zum einfachen Arbeiten mit allem, was geht. Diesbezügliche Warnungen werden kategorisch ignoriert.
Ich habe meinen eigenen Admin-Account mal mit einem Passwort versehen, dass keiner kannte, was danach zu einem mittleren Aufstand führte, weil man sich damit nicht anmelden konnte (Das Anzeigen des letzten Users wird trotz Roaming-Profilen VERLANGT).
Auch arbeiten die beiden Geschäftsführer regelmässig in den Accounts aller Mitarbeiter, verschicken darüber Mails usw.
Persönliche Mail-Adressen gibt es zwar, wenn aber darüber geschäftliche Mail läuft, gibt es Ärger. Verschickt man private Mail, gibts auch Ärger, obwohl immer beteuert wird, dass das ja kein Problem wäre.
Selbst am Server melden sich die Geschäftsführer ständig an und lassen dann die Anmeldung stehen, inklusive offener Anwendungen.
Jede banale Auffälligkeit wird als Anlass genommen, sich alles haarklein erklären zu lassen und einem gleichzeitig zu unterstellen, man achte nicht auf das System.
Die Erklärung ist aber völlig nutzlos, da beide nicht mal ansatzweise etwas davon verstehen und auch spätestens am nächsten Tag wieder vergessen haben.
Bei denen bin ich mittlerweile ernsthaft so weit, dass ich die "Zusammenarbeit" aufkündige, sobald sich eine gute Gelegenheit ergibt.
Leider bin ich nur Einzelunternehmer und habe einen recht großen Kunden, so dass ich solche Kleinbüros benötige, um nicht in Scheinselbstständigkeit zu rutschen.
Das kann man mit einer Mitteilung regeln, um dann im Ernstfall aus der Verantwortung zu sein.
Notfalls reicht das auch per interner Mitteilung (zB. wenn ein Exchange die Zustellung protokolliert) oder aber im schlimmsten Fall schriftlich (was aber sehr überlegt formuliert sein sollte).
Schreib zum Beispiel einen Systembericht, in dem das unter anderem drinnen steht.
Ich habe einen kleinen Kunden, deren zwei Geschäftsführer selbst nicht ansatzweise in der Lage sind, Sicherheitsfragen zu beachten und die aber darauf bestehen, die Passwörter aller Admin-Accounts zu wissen.
In der Folge werden diese dann auch fleissig genutzt, auch zum einfachen Arbeiten mit allem, was geht. Diesbezügliche Warnungen werden kategorisch ignoriert.
Ich habe meinen eigenen Admin-Account mal mit einem Passwort versehen, dass keiner kannte, was danach zu einem mittleren Aufstand führte, weil man sich damit nicht anmelden konnte (Das Anzeigen des letzten Users wird trotz Roaming-Profilen VERLANGT).
Auch arbeiten die beiden Geschäftsführer regelmässig in den Accounts aller Mitarbeiter, verschicken darüber Mails usw.
Persönliche Mail-Adressen gibt es zwar, wenn aber darüber geschäftliche Mail läuft, gibt es Ärger. Verschickt man private Mail, gibts auch Ärger, obwohl immer beteuert wird, dass das ja kein Problem wäre.
Selbst am Server melden sich die Geschäftsführer ständig an und lassen dann die Anmeldung stehen, inklusive offener Anwendungen.
Jede banale Auffälligkeit wird als Anlass genommen, sich alles haarklein erklären zu lassen und einem gleichzeitig zu unterstellen, man achte nicht auf das System.
Die Erklärung ist aber völlig nutzlos, da beide nicht mal ansatzweise etwas davon verstehen und auch spätestens am nächsten Tag wieder vergessen haben.
Bei denen bin ich mittlerweile ernsthaft so weit, dass ich die "Zusammenarbeit" aufkündige, sobald sich eine gute Gelegenheit ergibt.
Leider bin ich nur Einzelunternehmer und habe einen recht großen Kunden, so dass ich solche Kleinbüros benötige, um nicht in Scheinselbstständigkeit zu rutschen.
Das ist bei uns leider nicht anders.
Bei Notebooks konnten wir unsere Regeln bisher noch weitestgehend durchsetzen, aber ansonsten wird munter "wünsch Dir was" gespielt und wir müssen immer dagegen anreden.
Meistens aber ziehen wir dabei den kürzeren. Was der Vorstand will, kriegt er auch. Punkt.
Bei Notebooks konnten wir unsere Regeln bisher noch weitestgehend durchsetzen, aber ansonsten wird munter "wünsch Dir was" gespielt und wir müssen immer dagegen anreden.
Meistens aber ziehen wir dabei den kürzeren. Was der Vorstand will, kriegt er auch. Punkt.
