Admin Passwort geklaut - brauche Anmelde Protokoll Tool

Hallo,

alle diese Programme lassen sich mehr oder weniger leicht umgehen.

Im Ereiggnissprotokoll kann man dies sehen unter Sicherheit. Evtl. muss man es auf einer XP Workstation noch aktivieren.

Warum änderst Du das Kennwort nicht?

Stefan

hallo,

wenn es sich um Windows-Rechner handelt, wovon ich bei 'Admin Passwort' mal ausgehe:
in der Systemsteuerung - Verwaltung - Ereignisanzeige - Sicherheit

Moin Martin,

was soll denn die Konsequenz sein, falls Du feststellst, dass sich Dein Mitarbeiter tatsächlich als Admin anmeldet?
Abmahnung? Rauswurf?

Die Frage ist dann vermutlich auch, wie Du an die entsprechende Information gekommen bist und ob es rechtens war, Deinen MA in dieser Form zu überwachen.
Und da kommst Du mit
sicherlich in rechtliche Konflikte

Außerdem müsstest Du dann noch feststellen, WAS Dein MA macht, nachdem er sich als Admin angemeldet hat.
Schnüffelt er tatsächlich in den "verbotenen" Bereichen rum?
Dafür müsstest Du dann die "Ordner-Überwachung" aktivieren.
(Rechtsklick auf dem entsprechenden Ordner / Eigenschaften / Sicherheit / Erweitert / Überwachung)
Die Ergebnisse findest Du dann anschließend ebenfalls in der Ereignisanzeige


Das Passwort sollte sicherlich schnellstens geändert werden.
Aber der Vertrauensbruch ist jetzt natürlich da.
Und überhaupt wäre natürlich noch zu klären, wie Dein MA an das Passwort gekommen ist
(und wie Du es verhinderst, dass er es wieder bekommt...)

Gruß CeMeNt

Wie verschickt Ihr denn Emails?
Habt Ihr einen Exchange-Server? Evtl. noch einen Proxy-Server und eine Firewall?
Falls ja, hättest Du vermutlich die Möglichkeit dirket dort nachzusehen, wer wann welche Emails verschickt, und welche Seiten angesurft werden.

Wie genau das geht, ist dann natürlich von der konkreten Situation bei Dir abhängig.

Gibt es eine offizielle Anweisung, dass die private Nutzung von Internet/Email absolut untersagt ist?
Falls nicht, sollte die ebenfalls nicht unbedingt im "finalen Gespräch" als Grund genannt werden

Womit begruendest du denn deine Annahme das der MA dein Adminpasswort kennt?

Wenn du dein Adminpasswort nicht regelmaessig aenderst, oder gar nicht dazu in der Lage bist dann wuerde ich mir ernsthaft sorgen machen ob deine IT-Infrastruktur wirklich die notwendigen Ansprueche der IT-Sicherheit erfuellt.

Ist denn im Betrieb das private Surfen oder Email verschicken per Betriebsvereinbarung untersagt?

Moin,

sorry, aber gehts noch? Warum packst du nicht gleich ne Webcam auf jeden Bildschirm und lässt dir die Mitarbeiter so direkt als Bild auf deinen Monitor einspielen? Selbstverständlich kannst du dann auch gleich noch eben alle privaten Mails mitlesen - und nicht vergessen: Wenn die auf toilette gehen die Zeit unbedingt nacharbeiten lassen!

Also - ja, es gibt solche kleinen Tools. Aber für solche Zwecke sicherlich ungeeignet... Am besten nimm mal google und suche danach -> ggf. hast ja glück und lädst dir nen Trojaner runter der dir dein Netz zerbombt!

Die Aussage das "evtl. noch ein altes PW irgendwo dann aktiv ist" ist ebenfalls Müll. Sorry, dein Admin-PW wurde grade geknackt -> und damit gehört es gefälligst sofort geändert. Ausserdem bekommst du dann im Eventlog wenigstens gleich angezeigt das jemand sich mit dem falschen Userdaten angemeldet hat -> und derjenige kann das Eventlog auch nicht löschen...

Alles was darüber hinaus geht verlässt einfach den legalen Rahmen und dafür wirst du hier keine hilfe bekommen...

Dafür gibt's doch das hier

Du scheinst doch eh schon sehr voreingenommen zu sein....

Schau dir die Logfiles an und da wirst du sehen wann sich das letzte Mal dein Admin angemeldet hat....

Hallo Martin,

klar gibt es viele Tools, aber in deinem Fall ist Hopfen und Malz verloren.
Denn:

1. Ein Admin arbeitet nie als Administrator!
2. für installationen sollte es einen extra Account geben.
3. Dein persönliches Kennwort solltest du (wie schon von den anderen genannt) öfter mal ändern. Spätestens JETZT.
4. Es sollte aus mindestens soviel Zeichen bestehen, daß man auch wenn man neben dir steht sich die Zeichenfolge NICHT merken kann.
5. Gut ist es auch für verschiede Anwendungen verschiende Kennwörter zu benutzen.
6. Es sollte aber auch nicht so sein, daß du dir das aufschreiben mußt. 8-)
7. Es ist dein gutes Recht den User dessen PC du pflegst zu bitten, dich unbeobachtet Dein Passwort eingeben zu lassen.
8. zu gut aller letzt sollte man über die Möglichkeit nachdenken die Sicherheit dadurch zu erhöhen, Chipkarten für jeden einzuführen. Somit ist das Risiko geringer das jemand mit deinem Account sich am System anmelden kann, da er die Karte und eine PIN haben muß. (die sich evtl. leichter zu merken ist als ein 12-20 stelliges Kennwort.

Falls du in einer Domäne arbeitest kann ein Kennwort nicht irgendwo noch aktiv sein.
Das darf nicht der Ausschlag sein, sein Kennwort nicht zu ändern.

Harry

Moin,

also fangen wir mal beim simplen an:

Ihr habt kein explizites Verbot von privater Nutzung bei Emails. Guckst du jetzt in seine Emails (ohne sein Einverständnis/Wissen oder einen zwingenden Grund) rein dann hast du ganz andere Sorgen. Denn damit geht es schon in den Datenschutz und auch in das Briefgeheimnis... Viel Spass wenn du mit der Begründung eine Kündigung aussprechen möchtest -> der Boomerang wird dich umhauen! Dabei bedenke das diese Strafe an dich als Person geht - nicht an den Betrieb!

Weiterhin: Du stellst vermutungen an das die Quote sehr hoch ist. Nun - was würdest du machen wenn du das Gefühl hast jemand liest alles mit was du machst? Ich für meinen Teil würde auch ständig die History usw. killen -> egal ob Privat oder Gewerblich genutzt... Ganz ehrlich: Wenn du die Person kicken willst dann mach es -> aber komm nicht mit solchen Vermutungen dabei denn das ist mehr als schwach... Ist bei dir etwa auch jeder der seine Daten verschlüsselt automatisch ein Verbrecher?!?

Fazit: Du nimmst an das er dein Passwort verwendet hat - einen Beweis dafür hast du nicht. Allerdings möchtest du um den Beweis zu bekommen etwas tun was jedem Arbeitsrecht sowas von wiederspricht das es schon weh tun muss! Damit bleibt die Schlussfolgerung: Der einzige der definitiv etwas illegales vorhat bist DU! Und somit wäre die Frage wer - wenn er es durchzieht - entlassen werden soll/muss auch einfach! DU!

Bitte entschuldige wenn die Antwort nicht so ist wie du es willst - aber Admins die meinen sie wären Gott und die dürfen alles gehen mir ein wenig auf den Senkel! Denn: Mit dem Job des Admins ist ein gewisses Vertrauen verbunden -> natürlich KANN ich auch in alle Emails gucken, sehen wer wo surft und mir Bildschirminhalte anzeigen lassen. Allerdings ist es der Respekt vor den jeweiligen Personen (und deren Persönlichkeit) die jemanden mit auch nur ein klein wenig Anstand davon abhalten sollte dieses auch auszunutzen! Und eine Vermutung als Anhaltspunkt zu nehmen um jemanden dermaßen zu überprüfen ist schon zimlich schwach! Ein vernünftiger Admin sollte da bessere Wege finden...

also maretz,

ich finde, Du gehst zu hart mit Martin ins Gericht.

Er hat ja vorher geschrieben:


und

Eben!

Innerlich hat sich Martin wohl schon dazu entschieden, den betroffenen MA zu entlassen.
Um sein Gewissen zu beruhigen, will er jetzt einfach wissen, was derjenige noch so alles auf dem Kerbholz hat.

Scheint ein klassischer "Minderleister" zu sein.

Naja, ein bisschen überzogen.
Wer das Vertrauen der Firma missbraucht, muss (evtl.) erst einmal abgemahnt werden.
Folgen weitere Vertöße, folgt die Kündigung.
Verschleiert der MA seine Missetaten sind sie dadurch nicht ungeschehen, sondern müssen in irgendeiner Form aufgedeckt werden.
Das kann dann evtl. schon mal in einen rechtlichen Graubereich führen.
Im Falle Lidl, DB, Siemens usw. wurden sicherlich illegale Methoden angewandt.
Aber so wie ich Martin einschätze, wird er seine Grenzen kennen.

@Martin:
Um Deinen MA zu kündigen, sollte der von Dir erwähnte bereits begangene Vertrauensbruch ausreichend sein.
Falls Du allerdings nun auf der Suche nach dem Tropfen bist, der das Kündigungs-Faß überlaufen lassen soll (und dieser dann letztendlich zur Kündigung führen soll), wirst Du Arbeitsrechtliche Probleme bekommen.
Gründe dafür wurden nun schon zahlreich genannt.

@ Martin

P.S.:

Die meisten, die Dir heute geantwortet haben, tun dies wohl vom Büro aus.
Sie nutzen das Internet also ebenfalls mehr oder weniger privat.
Also nicht alle in einen Topf werfen.
Wir wollen doch nur spielen...

Du kannst eine kleine Batchdatei beim starten laufen lassen, die wie folgt aussieht:

@echo off
if %username% == administrator goto ja
goto nein
:ja
echo angemeldet als %username% an %computername% am %date% um %time%. >> \\servername\freigabe\%computername%.txt
:nein

Dieses Script schreibt (nur wenn sich jemand als Administrator anmeldet) den Benutzernamen, den Rechnernamen, das Datum und die Uhrzeit in eine Datei, die den Namen des Clients trägt.
Somit wird nur geloggt, wenn sich jemand als Administrator anmeldet und niemand wird ausspioniert.

Du könntetst das Script z.B. im Loginscript starten um nachvollziehen zu können, wann du dich an welchen Client angemeldet hast.
Wenn sich jemand anderes unrechtmäsig mit deinem Account anmeldet, braucht er sich nicht wundern, wenn auch deine Scripte ablaufen


Gruß
Peter

Moin,

also - ob derjenige gekündigt wird oder nicht ist mir in der Sache egal.

Ich finde es aber keineswegs übertrieben zu sagen das der Zugriff auf E-Mails (insbesondere wenn keine Betriebsvereinbarung besteht!) zu weit geht. Das hat dann auch nichts mehr mit "Grauzone" zu tun - sondern ist einfach zu weit gegangen. Denn: Wenn hier wirklich private Emails drinne sind dann können dort auch mal vertrauliche Informationen stehen die so keinem was angehen. Genauso wie ich erwarten würde das ein Brief auf dem "Persönlich" steht nicht von jemand anders geöffnet wird darf ich das bei Emails denke ich auch verlangen.

Ich finde das eine solche Maßnahme eben nur in ganz wenigen Fällen - und da auch nur im beisein des Mitarbeiters - gerechtfertigt ist. Diese Maßnahmen sind jedoch _NICHT_ gerechtfertigt wenn der Admin vorher seinen Job nicht richtig gemacht hat und daher ggf. keine anderen Anhaltspunkte finden kann.

Du findest das ich zu hart ins Gericht gehe? Gut - dann zeige ich doch mal EINE Alternative auf: Grade bei Tobit gibt es (im DV-Admin) das Eingangs- und das Ausgangsbuch. Da kann ich im normalfall schon anhand des Betreffs & der Zieladresse (mehr sehe ich da auch nicht!) sehen ob eine Mail Privat war oder nicht. Dieses ist sogar über Filter möglich - so das ich nichtmal alle ausgehenden Mails anzeigen lasse sondern bequem nur die Person habe. Du siehst - eine einfache Möglichkeit um dasselbe zu erreichen -> und das ganz ohne zuviel von der Privatspähe des Mitarbeits zu verletzen...

Dasselbe gilt für die Webnutzung: Ein simpler Proxy davor geschaltet - schon brauche ich keine komplette Überprüfung des Mitarbeiters! Wenn ein Sachbearbeiter während der Arbeitszeit auf www.administrator.de geht ist es mir egal ob er was schreibt, liest oder whatever -> es ist privat.

Den Zugriff mit Admin-Rechten kann ich recht einfach über das Windows-Systemprotokoll nachvollziehen. Auch hier brauche ich nichtmal en Arbeitsplatz des Mitarbeiters anzufassen...

Mit DIESEN Daten kann ich einen Mitarbeiter auch konfrontieren - und er hat die Möglichkeit diese Daten zu entkräften. Aber er verliert nicht gleich sein Gesicht weil er davon ausgehen muss das man grad alle persönlichen Daten von dem gelesen hat... Und wenn es dann zur Kündigung kommt habe ich die Option genau diese Dinge vorzulegen -> ohne damit meinen eigenen Kopf in die Schlinge zu stecken...

Zum Thema "Getroffene Hunde bellen": Nein, mir ist das noch nicht passiert. Da ich selbst Admin bin hätte ich auch problemlos genug Erfahrung und Möglichkeiten diese Dinge zu umgehen. ABER: Ich stehe auf dem Standpunkt das ich andere genauso behandele wie ich behandelt werden möchte. Und ich schreibe nunmal auch mal ne private Mail oder auch mal eine SMS (auf dem Firmen-Handy) bei dem ich nicht möchte das jeder das liest...

Wurde nicht gerade eine Aldi-Kassiererin gekündigt, weil sie zwei Leergutbons über 0,80€ in die eigene Tasche gesteckt hat?

Das irgendwelche Bank-Manager gekündigt wurden, weil sie Milliarden in den Sack gehauen haben, hat man dagegen noch nicht gehört. Im Gegenteil. Sie bekommen noch fette Prämien --- damit sie bleiben, und nicht zur Komkurenz wechseln.

Aber das ist ein anderes Thema.

@Martin:
Viel Glück.
Versaue deinem MA aber nicht das Osterfest!

viel Spass, wenn er dann mit dem Anwalt vor der Tür steht, denn einfach mal eben so "betriebsbedingt" kündigen is nicht so einfach wie du das schreiben kannst:
click mich oder mich oder auch mich

dann kündige ihm lieber fristgerecht und stell ihn mit sofortiger Wirkung frei, wobei auch das nicht einfach mal so zu machen ist: click mich
am besten ziehst du einen Anwalt für Arbeitsrecht zu rate, der dich dann bestens beraten wird...