102772
Sep 29, 2011
3293
3
0
Ausnahmen von Sicherheitsrichtlinien - wie wird das bei Euch gehandhabt?
Schnittstellenmanagement, verschlüsselte USB-Sticks - eine Möglichkeit von vielen. Leider gibt es all zu oft die Anweisung bei "gewissen Leuten" Ausnahmen zu machen. Eine Grauzone für den Administrator oder kann man sich rechtlich absichern?
Hallo zusammen,
ich bin in meinem Unternehmen, unter anderem für die Hard- bzw. Softwareüberwachung, sowie für das Schnittstellenmanagment veranwortlich.
Im Rahmen meiner Möglichkeiten, beschaffe ich das aus technischer Sicht ausgereifteste Produkt um die geschäftlichen Interessen meines Arbeitgebers zu erfüllen.
So haben wir eine ausgereifte Asset Management Lösung, welches es mir meldet wenn ein mir unbekanntes Produkt im Unternehmen installiert wird oder die Hardware ihre Lokation verwendet. Unsere Schnittstellen sind alle über ein Endpoint-Security Client geschlossen. Nur ausgewählte Mitarbeiter erhalten nach Zustimmung des jeweiligen Abteilungsleiters einen verschlüsselten USB-Speicherstick.
Soweit die rosarote Wolke ;D
Leider kommt es in der Realität vor, dass von mir erwartet wird, bei den sogenannten VIPs (Abteilungsleiter, enge Vertraute von Ihnen oder sogar mein direkter Vorgesetzter) Ausnahmen vom Sicherheitskonzept verlangt werden. Da heißt es: "Mach alle Schnittstellen auf. Dieser Mensch hat Jahre für seine Position gearbeitet, da hat er auch das Privileg." oder "wenn der Abteilungsleiter keinen verschlüsselten USB-Stick möchte, dann gib ihm einen unverschlüsselten". Vom Asset Management ganz zu Schweigen. Selbstverständlich darf man die VIPs oder direkten Kollegen nicht nötigen einen Client zu installieren, den vielleicht hat die Person private Software installiert, welche dann gefunden wird.
Ich für meinen Teil, schüttele da nur den Kopf. Den genau für den Anwenderkreis haben wir die Lösung "verschlüsselte Speichermedien" geschaffen. Wenn so eine Person Geschäftsdaten nach Außen trägt und die verliert, wäre das eine Katastrophe. Der OttoNormal Anwender hat in meinen Unternehmen kaum Zugang zu so sensiblen Daten wie ein VIP.
Auch bei einem möglichen SoftwareAudit stehe ich mit in der Veranwortung, unterschlage ich ja die Lizenzdaten von knapp 100 Rechner von denen ich ja keine (zumindest nachweisbaren) Informationen habe.
Es interessiert mich, wie solche Aussnahmen bei Euch gehandhabt werden. Gibt es diese Ausnahmen oder seid Ihr konzequent?
Kann ich mich rechtlich absichern, indem ich es dem Anwender überlasse ob er einen verschlüsselten USB-Speicherstick möchte oder dieser lieber unverschlüsselt ist? Vielleicht im Rahmen einer unterschriebenen Erklärung?
Kann ich eine Absicherung im Form einer vom Mitarbeiter unterschriebenen Erklärung auch für die Softwareüberwachung nutzen?
Danke für Eure Antworten
Stefan
ich bin in meinem Unternehmen, unter anderem für die Hard- bzw. Softwareüberwachung, sowie für das Schnittstellenmanagment veranwortlich.
Im Rahmen meiner Möglichkeiten, beschaffe ich das aus technischer Sicht ausgereifteste Produkt um die geschäftlichen Interessen meines Arbeitgebers zu erfüllen.
So haben wir eine ausgereifte Asset Management Lösung, welches es mir meldet wenn ein mir unbekanntes Produkt im Unternehmen installiert wird oder die Hardware ihre Lokation verwendet. Unsere Schnittstellen sind alle über ein Endpoint-Security Client geschlossen. Nur ausgewählte Mitarbeiter erhalten nach Zustimmung des jeweiligen Abteilungsleiters einen verschlüsselten USB-Speicherstick.
Soweit die rosarote Wolke ;D
Leider kommt es in der Realität vor, dass von mir erwartet wird, bei den sogenannten VIPs (Abteilungsleiter, enge Vertraute von Ihnen oder sogar mein direkter Vorgesetzter) Ausnahmen vom Sicherheitskonzept verlangt werden. Da heißt es: "Mach alle Schnittstellen auf. Dieser Mensch hat Jahre für seine Position gearbeitet, da hat er auch das Privileg." oder "wenn der Abteilungsleiter keinen verschlüsselten USB-Stick möchte, dann gib ihm einen unverschlüsselten". Vom Asset Management ganz zu Schweigen. Selbstverständlich darf man die VIPs oder direkten Kollegen nicht nötigen einen Client zu installieren, den vielleicht hat die Person private Software installiert, welche dann gefunden wird.
Ich für meinen Teil, schüttele da nur den Kopf. Den genau für den Anwenderkreis haben wir die Lösung "verschlüsselte Speichermedien" geschaffen. Wenn so eine Person Geschäftsdaten nach Außen trägt und die verliert, wäre das eine Katastrophe. Der OttoNormal Anwender hat in meinen Unternehmen kaum Zugang zu so sensiblen Daten wie ein VIP.
Auch bei einem möglichen SoftwareAudit stehe ich mit in der Veranwortung, unterschlage ich ja die Lizenzdaten von knapp 100 Rechner von denen ich ja keine (zumindest nachweisbaren) Informationen habe.
Es interessiert mich, wie solche Aussnahmen bei Euch gehandhabt werden. Gibt es diese Ausnahmen oder seid Ihr konzequent?
Kann ich mich rechtlich absichern, indem ich es dem Anwender überlasse ob er einen verschlüsselten USB-Speicherstick möchte oder dieser lieber unverschlüsselt ist? Vielleicht im Rahmen einer unterschriebenen Erklärung?
Kann ich eine Absicherung im Form einer vom Mitarbeiter unterschriebenen Erklärung auch für die Softwareüberwachung nutzen?
Danke für Eure Antworten
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 173877
Url: https://administrator.de/contentid/173877
Printed on: April 20, 2024 at 01:04 o'clock
3 Comments
Latest comment
Hallo,
Gegen eine derartige Anweisung kannst du in der Praxius kaum was machen.
Es sei denn du bist bereit deine Karriere oder deinen Job zu riskieren.
Wenn irgendwie möglich solltest du dafür sorgen das du entsprechende Anweisungen schriftlich bekommst.
Deinen Widerstand gegen sowas solltest du ebenfalls deutlich machen.
Generell gilt hier das du alles notieren und dokumentieren solltest.
brammer
Gegen eine derartige Anweisung kannst du in der Praxius kaum was machen.
Es sei denn du bist bereit deine Karriere oder deinen Job zu riskieren.
Wenn irgendwie möglich solltest du dafür sorgen das du entsprechende Anweisungen schriftlich bekommst.
Deinen Widerstand gegen sowas solltest du ebenfalls deutlich machen.
Generell gilt hier das du alles notieren und dokumentieren solltest.
brammer
Moin Moin
Ernsthaft:
Wir haben Ähnliche Vorgaben über den "mobilen" Umgang unserer Daten.
Jeder Mitarbeiter hat ein Pamphlet unterschrieben in dem er versichert das Ihn klar ist das Daten nicht unverschüsselt durch die Welt geschleppt werden dürfen usw.
Jeder User der meint z.B. einen USB Stick zu benötigen:
1. holt sich das (schriftliche) OK der GL
2. dann bekommt er einen Verschlüsselten USB Stick und
3. Quitiert schriftlich dem Empfang und
4. Unterschreibt die Erklärung (leicht angepasst für USB Sticks und die verwendetet Verschlüsselungssoftware) noch einmal.
Bei VIPs bzw. meinen Direkten Vorgesetzten bin ich jederzeit und gerne bereit Punkt 1. als gegeben hinzunehmen (bin ja flexibel und unkompliziert),
aber ohne 3. bzw. 4. erfolgt kein 2. Fertig.
Als Bonus bekommt dann jeder (wenn er danach verlangt) ein Anleitung für die Verschlüsselungssoftware.
Darin steht dann auch (in einen kleinen Nebensatz) wie man die Verschlüsselung von Stick entfernen könnte.
Gruß L.
Es interessiert mich, wie solche Aussnahmen bei Euch gehandhabt werden. Gibt es diese Ausnahmen oder seid Ihr konzequent?
Ich mach stängig Ausnahmen, und zwar konsequent. Ernsthaft:
Wir haben Ähnliche Vorgaben über den "mobilen" Umgang unserer Daten.
Jeder Mitarbeiter hat ein Pamphlet unterschrieben in dem er versichert das Ihn klar ist das Daten nicht unverschüsselt durch die Welt geschleppt werden dürfen usw.
Jeder User der meint z.B. einen USB Stick zu benötigen:
1. holt sich das (schriftliche) OK der GL
2. dann bekommt er einen Verschlüsselten USB Stick und
3. Quitiert schriftlich dem Empfang und
4. Unterschreibt die Erklärung (leicht angepasst für USB Sticks und die verwendetet Verschlüsselungssoftware) noch einmal.
Bei VIPs bzw. meinen Direkten Vorgesetzten bin ich jederzeit und gerne bereit Punkt 1. als gegeben hinzunehmen (bin ja flexibel und unkompliziert),
aber ohne 3. bzw. 4. erfolgt kein 2. Fertig.
Als Bonus bekommt dann jeder (wenn er danach verlangt) ein Anleitung für die Verschlüsselungssoftware.
Darin steht dann auch (in einen kleinen Nebensatz) wie man die Verschlüsselung von Stick entfernen könnte.
Gruß L.
Als Ergänzung zu meinen Vorredner (-schreibern), es gibt im Betriebsverfassungsgesetz das sogenannte Gleichbehandlungsgebot. Danach müssen Regelungen, welche für eine bestimmte definierbare Gruppe oder für das gesamte Unternehmen erlassen wurden auch für alle betroffenen ohne Ausnahme gelten. Sonst gelten sie nämlich für keinen.
Mein Tipp: Bitte den, für die Informationssicherheit bei euch Verantwortlichen oder gleich die Geschäftsleitung um die Einholung einer rechtliche Würdigung der Ausnahme-Vorgänge hinsichtlich Haftung bei Verstößen gegen das BDSG, Haftung der Geschäftsleitung in Bezug auf die Organpflichten des GmbH-Gesetzes und schließlich Auswirkungen der Ausnahmen auf das Gesamtunternehmen aufgrund des Gleichbehandlungsgrundsatzes des Betriebsverfassungsgesetzes.
Wetten bei der GL werden nach der rechtlichen Bewertung einige Entscheidungen gänzlich anders laufen. Vor allem, Du bist aus dem Schneider!
Ciao
Pitti
Mein Tipp: Bitte den, für die Informationssicherheit bei euch Verantwortlichen oder gleich die Geschäftsleitung um die Einholung einer rechtliche Würdigung der Ausnahme-Vorgänge hinsichtlich Haftung bei Verstößen gegen das BDSG, Haftung der Geschäftsleitung in Bezug auf die Organpflichten des GmbH-Gesetzes und schließlich Auswirkungen der Ausnahmen auf das Gesamtunternehmen aufgrund des Gleichbehandlungsgrundsatzes des Betriebsverfassungsgesetzes.
Wetten bei der GL werden nach der rechtlichen Bewertung einige Entscheidungen gänzlich anders laufen. Vor allem, Du bist aus dem Schneider!
Ciao
Pitti
