Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sicherer Speicherbereich für den Betriebsrat

Mitglied: Blackstar

Blackstar (Level 1) - Jetzt verbinden

15.05.2012, aktualisiert 11:49 Uhr, 6457 Aufrufe, 18 Kommentare

In unserem Unternehmen (ca 50 Angestellte) wurde ein Betriebsrat gegründet.

Hallo Ihr Lieben!

In unserem recht kleinen Unternehmen mit ca 50 Angestellten, wurde ein Betriebsrat gegründet/gewählt. Wie Ihr Euch denken könnt, hat das schon für einigen Unmut bei der Geschäftsführung gesorgt. Ich als Admin soll nun einen sicheren Speicherort für den Betriebsrat zur Verfügung stellen, der möglichst keine Kosten verursacht. Das mit den Kosten bekomme ich hin, aber "sicher vor dem Zugriff Unbefugter" ??? Die 50 Angestellten sind alles Softwareentwickler und viele von denen wissen besser als ich wie man an Daten herankommt, die sie nichts angehen.

Meine Frage ist: wie habt Ihr das Problem gelöst, welche Ideen habt Ihr in Euren Unternehmen umgesetzt?

Freue mich auf viele Denkanstöße und wünsche Euch eine entspannte Woche


Frank


Zur Umgebung:
Windows Active Directory auf Server 2003, Fileserver Windows 2008R2, diverse Windows 2003/2008R2 Memberserver und diverse SLES Maschinen.
Betriebsrat besteht aus 3 Personen.
Mitglied: SlainteMhath
15.05.2012 um 11:48 Uhr
Moin,

da du nicht naeher auf deine Server und Clientumgebung eingehst...versuchs doch mal mit einem TrueCrypt Container auf einem Netzlaufwerk. Passphrase sollte ausschlkiesslich der BR kennen.

lg,
Slainte
Bitte warten ..
Mitglied: Alchimedes
15.05.2012 um 11:51 Uhr
Hallo,

vergiss was ich geschrieben hatte.
Hat sich erledigt... da kein Samba.

Gruss
Bitte warten ..
Mitglied: AndreasHoster
15.05.2012 um 11:55 Uhr
Sauber gesetzte NTFS Rechte sollten den Zugriff schon verhindern können, wenn die anderen keine Adminrechte haben, keinen physischen Zugriff auf die Maschine um mal ein Knoppix booten zu können oder Zugriff auf die Backups haben.
Wenn die anderen Adminrechte haben, hast Du praktisch eh schon verloren.

Und wenn Du solche Bedenken hast, natürlich muß der Betriebsrats-PC auch frei von selbergeschiebener Spionagesoftware sein.
Bitte warten ..
Mitglied: kontext
15.05.2012 um 11:55 Uhr
Ciao Frank,

wie wäre es wenn du eine Gruppe erstellst im AD für Betriebsrat.
Dort nimmst du die 3 User rein.

Dann erstellst du ein Share und gibts nur der Gruppe Betriebsrat Zugriff.
Dann könntest du das Share z.B. als Netzlaufwerk für die 3 User bereitstellen ...

Ich hoffe die restlichen User haben die Admin-Passwörter bzw. die Passwörter der 3 User nicht - ansonsten ist alles für die Katz ;)
Und natürlich auch keine Admin-Rechte

EDIT: too slow

Gruß
zanko
Bitte warten ..
Mitglied: SlainteMhath
15.05.2012 um 11:57 Uhr
Ein Verzeichnis anlegen, der Gruppe BR Vollzugriff geben, alle anderen Benutzer und Gruppen entfernen.
Somit kann der (Domain-)Admin nur zugreifen, wenn er den Besitzt über den Order/Die Dateien übernimmt (und das lässt sich nchvollziehen)
Bitte warten ..
Mitglied: hajowe
15.05.2012 um 11:59 Uhr
Hallo

Vielleicht wäre es noch interessant zusätzlich die Laufwerksüberwachung für aller Zugriffe
einzuschalten. Bringt natürlich nur etwas wenn sie auch wirklich geprüft wird.

Gruß
hajowe
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2012 um 12:01 Uhr
Mein vorschlag:

Einfach eigene Betriebsrat-Infrastruktur:

Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.

Das "Darf nichts Kosten" ist kein Argument. Die GL muß dem Betriebsrat ein geeignetes Arbeitsmittel zur Verfügung stellen.

lks
Bitte warten ..
Mitglied: keine-ahnung
15.05.2012 um 12:05 Uhr
Hi,

Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche

Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein wenig relativiert, gelle?

Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...

LG, Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2012 um 12:14 Uhr
Zitat von keine-ahnung:
Hi,

Gott sei Dank bin ich so klein, dass ich keinen Betriebsrat brauche

/me 2


Ansonsten schau mal hier:, da hat sich das mit der Kostenfrage ja schon ein
wenig relativiert, gelle?

Aus meiner Angestelltenzeit weiß ich, daß der Streit eher darum geht, was notwendig und was "Luxus" ist.


Simpelste Lösung aus meiner Sicht: ein separates, kleines NAS ausserhalb der AD mit ausschliesslicher Nutzung durch die
lokale Authorisierung des NAS. Sollte mit 300 Euro locker zu machen sein ...


Das problem ist, daß der Netzwerlverkehr im Klartext ist. sinnvoller wäre ein eigenständiger Rechner der vom rest abgeschottet ist. ist zwar unbequem, imme rdorthin latschen zu müssen, aber dafür sicherer.

lks
Bitte warten ..
Mitglied: DerWoWusste
15.05.2012 um 12:49 Uhr
Moin.

Die Frage ist doch zunächst: "wer ist unbefugt?" Und: "kann man den Schutz überhaupt erreichen?"
Auch Verschlüsselungen erfordern Kennwörter. Diese per Tastatur einzugeben auf einem System, dass man (der BR) nicht selbst administriert, ist nicht sicher. Der GF oder wer auch immer, könnte einen Admin bestechen, ihm Kennwörter per Keylogger mitschreiben zu lassen und das war's dann mit dem Schutz. Das klingt zunächst vielleicht übertrieben, aber ich würde danach handeln.

Der einzige Weg, den Windows bietet, der halbwegs annehmbar ist, ist NTFS-Überwachung. Zeichne auf, wer die Freigabe des Betriebsrates öffnet und gib dem BR die Möglichkeit, dies zu prüfen. Manipuliert jemand die Einstellungen oder löscht gar das Log, wird dies nämlich auch geloggt. Aber: was ist mit offline-Zugriffen?

Quintessenz für mich: man müsste eine Verschlüsselung einsetzen und eine nicht mitlogbare Authentifizierung implementieren, wenn man es ernst meint. [Edit] Selbst dann kann jeder weitere Tastaturanschlag aufgezeichnet werden und es können natürlich auch Bildschirmfotos erstellt werden.

Der Ansatz von Lochkartenstanzer mit dem eigenen Rechner ist natürlich auch gut, aber können die BRs das? Können sie den schützen? MIt Vollverschlüsselung sollte man eine solide Basis dafür schaffen können. Bleibt nur noch die Frage, ob das mit dem einzelnen Rechner praktikabel ist.
Bitte warten ..
Mitglied: kontext
15.05.2012 um 12:56 Uhr
@DerWoWusste - das mit dem bestechenden Admin ist ein guter Einwand, aber würdest du dich vom der GF bestechen lassen?
Ich denke das die GF und der Admin sicherlich genau weiß das das absolut untragbar ist - und auch vor Gericht nicht gerade rosig aussieht ...
but thats OT ;)

Aber wie du sagst - wer was kann und wer sollte für was verantwortlich sein, sollte schon geklärt sein ...

Gruß
Bitte warten ..
Mitglied: keine-ahnung
15.05.2012 um 13:10 Uhr
Das kingt alles ein bisschen mehr nach George Orwell als nach Lebensnähe So ein kleines Unternehmen ist doch nicht die NSA? Ich glaube eigentlich kaum, dass eine normal agierende Geschäftsführung soviel kriminelle Energie aufwendet, um die Daten des Betriebsrates zu knacken. Dafür geht es im Härtefall schon auch mal in den Knast ...

LG, Thomas
Bitte warten ..
Mitglied: kontext
15.05.2012 um 13:14 Uhr
@keine#ahnung - klar das schon - aber es wird ja hier von einem sicheren Speicherbereich gesprochen ...
... auch wenn es nicht Lebensnah ist - es kann vorkommen

Gruß
Bitte warten ..
Mitglied: Blackstar
15.05.2012 um 13:56 Uhr
Hallo Leute, freue mich über die rege Beteiligung an diesem Thema.
"So ein kleiner Laden ist doch nicht die NSA"... hehehe das ist richtig, so ein kleiner Laden hat normalerweise aber auch keinen Betriebsrat. Der ist schon aus treffenden Gründen ins Leben gerufen worden.
Ein - wie auch immer- geschützter Bereich innerhalb der AD scheidet meiner Ansicht nach auf jeden Fall aus. Erstens: Die Datensicherung. Diese wird auf Bändern bei einem Bereichsleiter zu Hause ausgelagert. Zweitens: Für den Fall des Totalausfalls der IT-Administration und im Zuge der Desasterrecoverystrategie existiert eine Passwortliste, auf die die Geschäftsleitung unkontrollierbar Zugriff hat.
Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im Büro ist und die Remotedesktopsitzung als Domänenadmin geöffnet war, kann ich davon ausgehen, daß das Administrationspasswort anderswo bekannt ist.

Die Idee mit dem NAS finde ich ganz gut, sofern wie schon von Euch erwähnt, die Übertragung verschlüsselt verläuft.

Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud). Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?

Vielen Dank für all Eure Tips!

Ich freue mich auf weitere.


Besten Gruß

Frank
Bitte warten ..
Mitglied: Penny.Cilin
15.05.2012 um 14:02 Uhr
Einfach eigene Betriebsrat-Infrastruktur:

Eigener Rechner mit passend gewählten Zugriffsrechten und verschlüsseltem Filesystem.

Ich habe damals diese Variante bei einem meiner Arbeitgeber umgessetzt. D. h. eigener abgeschlossener Raum, eigener Rechner inkl. Verschlüsselung, eigener Drucker und zusätzlich noch eine externe Festpaltte zwecks Datensicherung - alles verschlüsselt.
Der Support lief ausschließlich bei mir ein und auch nur im Beisein zweier BR-Mitglieder.

Ich hatte damit kein Problem. Ich muß allerdings auch anmerken, daß es ein größeres Unternehmen war, mit 7 BR-Mitgliedern. Zudem war das verhältnis zwichen BR und GF im Allgemeinen positiv.
OK, Meinungsverschiedenheiten gibt es immer mal.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2012 um 14:28 Uhr
Zitat von Blackstar:

Drittens: An meinem ersten Arbeitstag wurde mir schon gesteckt, nichts Vertrauliches per Email zu verschicken. Es fand sich vor
kurzem gar eine offene PS Konsole mit Abfragen über Mailanhänge auf dem Exchangeserver. Da mein Kollege nicht im

wenn so etwas vorkommt, sind die normalen Arbeitsplatzrechne rnciht vertrauenswürdig.


Eine weitere Idee wäre vielleicht ein Postfach mit Möglichkeit der Dateiverwaltung bei einem externen Anbieter (Cloud).
Das wäre dann SSL verschlüsselt und gänzlich ausserhalb gelagert und auch von überall her zugreifbar. Was
meint Ihr dazu? Sollte ich die beiden Vorschläge mal einreichen?

Eigene, vom betriebsrat oder einem vertrauenswürdigen Admin verwaltete Kiste. Auch wenn man per ssl auf externe Postfächer zugreift. Die daten landen ja doch irgendwann auf der lokalen Platte, z.B. im cache und können ausgelesen werden. Um das sauber hinzubekommen, muß man da relativ großen Aufwand treiben.

Ein eigener rechner ist zwar auch kompromittierbar, sollte aber mirt weniger aufwand zu schützen sein.

lks
Bitte warten ..
Mitglied: win-dozer
15.05.2012 um 18:07 Uhr
Das ist ja echt übel... was haltet ihr von einem eigenem Netz, Zugang zum Internet über VPN, Emails, Kalender & Co. evtl über ein GMail Business Konto oder MS Office 365.
GMail hätte den Vorteil das die Dateien über GDrive auch gleich verschlüsselt übertragen werden. Alternativ noch Dropbox, wenn die Netze getrennt sind.

Eine Idee wäre noch, einen VPN Hoster zu verwenden und dann 3 Laptops mit UMTS. Die Laufwerke mit einer Intel SSD die Hardwareverschlüsselt ist und einem _sicheren_ Schlüssel.
(dann hat sicher keiner Zugriff auf die HDD & es kann euch keiner in die Internetverbindung reinpfuschen!)
Backups dann auf eine 2,5 Zoll HDD, ebenfalls verschlüsselt.
Bitte warten ..
Mitglied: Dirmhirn
15.05.2012 um 23:55 Uhr
HI!

wir haben auch noch keinen BR.
existiert eine Passwortliste
die gibts bei uns auch - aber wozu von allen Nutzern?! ist das rechtlich überhaupt zulässig?
Admin PW in Kuvert ok, aber alle anderen kann man ja zurücksetzen.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Windows Vista

VSSAdmin unter Vista ändert Schattenkopie-Speicherbereich selbstständig

Frage von SP-FotodesignWindows Vista

Hallo miteinander, Ich bin Landschaftsfotograf und nutze Vista Ultimate 64 als Betriebssystem auf meinem Hauptrechner. (Wird Ende nächsten Jahres ...

Tipps & Tricks

Sichere Fernwartungssoftware

Frage von Fitzel69Tipps & Tricks19 Kommentare

Servus Folgende Frage: Ich suche ein Ersatztoll für Teamviewer Da wir häufiger Firmen haben, die auf unser Firmennetz zugreifen, ...

PHP

Sicheres Netzwerk

Frage von YanmaiPHP5 Kommentare

Hallo ihr Administratoren, da ich mich echt erschreckt habe, wie einfach man die Daten mit einer HTTP Verbindung zum ...

PHP

Sicheres Loginsystem

Frage von gamerffPHP10 Kommentare

Ich habe vor auf meiner Webseite ein Loginsystem einzufügen. Wie sicher kann ich mich mit fogendem Loginsystem fühlen und ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...