Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ausnahmen von Sicherheitsrichtlinien - wie wird das bei Euch gehandhabt?

Frage Sicherheit Rechtliche Fragen

Mitglied: 102772

102772 (Level 1)

29.09.2011 um 08:34 Uhr, 2743 Aufrufe, 3 Kommentare

Schnittstellenmanagement, verschlüsselte USB-Sticks - eine Möglichkeit von vielen. Leider gibt es all zu oft die Anweisung bei "gewissen Leuten" Ausnahmen zu machen. Eine Grauzone für den Administrator oder kann man sich rechtlich absichern?

Hallo zusammen,

ich bin in meinem Unternehmen, unter anderem für die Hard- bzw. Softwareüberwachung, sowie für das Schnittstellenmanagment veranwortlich.
Im Rahmen meiner Möglichkeiten, beschaffe ich das aus technischer Sicht ausgereifteste Produkt um die geschäftlichen Interessen meines Arbeitgebers zu erfüllen.

So haben wir eine ausgereifte Asset Management Lösung, welches es mir meldet wenn ein mir unbekanntes Produkt im Unternehmen installiert wird oder die Hardware ihre Lokation verwendet. Unsere Schnittstellen sind alle über ein Endpoint-Security Client geschlossen. Nur ausgewählte Mitarbeiter erhalten nach Zustimmung des jeweiligen Abteilungsleiters einen verschlüsselten USB-Speicherstick.
Soweit die rosarote Wolke ;D

Leider kommt es in der Realität vor, dass von mir erwartet wird, bei den sogenannten VIPs (Abteilungsleiter, enge Vertraute von Ihnen oder sogar mein direkter Vorgesetzter) Ausnahmen vom Sicherheitskonzept verlangt werden. Da heißt es: "Mach alle Schnittstellen auf. Dieser Mensch hat Jahre für seine Position gearbeitet, da hat er auch das Privileg." oder "wenn der Abteilungsleiter keinen verschlüsselten USB-Stick möchte, dann gib ihm einen unverschlüsselten". Vom Asset Management ganz zu Schweigen. Selbstverständlich darf man die VIPs oder direkten Kollegen nicht nötigen einen Client zu installieren, den vielleicht hat die Person private Software installiert, welche dann gefunden wird.


Ich für meinen Teil, schüttele da nur den Kopf. Den genau für den Anwenderkreis haben wir die Lösung "verschlüsselte Speichermedien" geschaffen. Wenn so eine Person Geschäftsdaten nach Außen trägt und die verliert, wäre das eine Katastrophe. Der OttoNormal Anwender hat in meinen Unternehmen kaum Zugang zu so sensiblen Daten wie ein VIP.
Auch bei einem möglichen SoftwareAudit stehe ich mit in der Veranwortung, unterschlage ich ja die Lizenzdaten von knapp 100 Rechner von denen ich ja keine (zumindest nachweisbaren) Informationen habe.


Es interessiert mich, wie solche Aussnahmen bei Euch gehandhabt werden. Gibt es diese Ausnahmen oder seid Ihr konzequent?
Kann ich mich rechtlich absichern, indem ich es dem Anwender überlasse ob er einen verschlüsselten USB-Speicherstick möchte oder dieser lieber unverschlüsselt ist? Vielleicht im Rahmen einer unterschriebenen Erklärung?
Kann ich eine Absicherung im Form einer vom Mitarbeiter unterschriebenen Erklärung auch für die Softwareüberwachung nutzen?



Danke für Eure Antworten
Stefan
Mitglied: brammer
29.09.2011 um 08:45 Uhr
Hallo,

Gegen eine derartige Anweisung kannst du in der Praxius kaum was machen.
Es sei denn du bist bereit deine Karriere oder deinen Job zu riskieren.

Wenn irgendwie möglich solltest du dafür sorgen das du entsprechende Anweisungen schriftlich bekommst.
Deinen Widerstand gegen sowas solltest du ebenfalls deutlich machen.

Generell gilt hier das du alles notieren und dokumentieren solltest.

brammer
Bitte warten ..
Mitglied: Logan000
29.09.2011 um 09:32 Uhr
Moin Moin

Es interessiert mich, wie solche Aussnahmen bei Euch gehandhabt werden. Gibt es diese Ausnahmen oder seid Ihr konzequent?
Ich mach stängig Ausnahmen, und zwar konsequent.

Ernsthaft:
Wir haben Ähnliche Vorgaben über den "mobilen" Umgang unserer Daten.
Jeder Mitarbeiter hat ein Pamphlet unterschrieben in dem er versichert das Ihn klar ist das Daten nicht unverschüsselt durch die Welt geschleppt werden dürfen usw.
Jeder User der meint z.B. einen USB Stick zu benötigen:
1. holt sich das (schriftliche) OK der GL
2. dann bekommt er einen Verschlüsselten USB Stick und
3. Quitiert schriftlich dem Empfang und
4. Unterschreibt die Erklärung (leicht angepasst für USB Sticks und die verwendetet Verschlüsselungssoftware) noch einmal.

Bei VIPs bzw. meinen Direkten Vorgesetzten bin ich jederzeit und gerne bereit Punkt 1. als gegeben hinzunehmen (bin ja flexibel und unkompliziert),
aber ohne 3. bzw. 4. erfolgt kein 2. Fertig.
Als Bonus bekommt dann jeder (wenn er danach verlangt) ein Anleitung für die Verschlüsselungssoftware.
Darin steht dann auch (in einen kleinen Nebensatz) wie man die Verschlüsselung von Stick entfernen könnte.

Gruß L.
Bitte warten ..
Mitglied: Pitti259
01.12.2011 um 14:21 Uhr
Als Ergänzung zu meinen Vorredner (-schreibern), es gibt im Betriebsverfassungsgesetz das sogenannte Gleichbehandlungsgebot. Danach müssen Regelungen, welche für eine bestimmte definierbare Gruppe oder für das gesamte Unternehmen erlassen wurden auch für alle betroffenen ohne Ausnahme gelten. Sonst gelten sie nämlich für keinen.

Mein Tipp: Bitte den, für die Informationssicherheit bei euch Verantwortlichen oder gleich die Geschäftsleitung um die Einholung einer rechtliche Würdigung der Ausnahme-Vorgänge hinsichtlich Haftung bei Verstößen gegen das BDSG, Haftung der Geschäftsleitung in Bezug auf die Organpflichten des GmbH-Gesetzes und schließlich Auswirkungen der Ausnahmen auf das Gesamtunternehmen aufgrund des Gleichbehandlungsgrundsatzes des Betriebsverfassungsgesetzes.

Wetten bei der GL werden nach der rechtlichen Bewertung einige Entscheidungen gänzlich anders laufen. Vor allem, Du bist aus dem Schneider!

Ciao
Pitti
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 7
gelöst Sind euch verstärkte Probleme bei Windows 7 Updates aufgefallen? (4)

Frage von RadioHam zum Thema Windows 7 ...

Humor (lol)
Und? Ist bei euch auch die Klimatisierung "rektal"? (11)

Frage von FA-jka zum Thema Humor (lol) ...

Batch & Shell
gelöst Batch - Datei aus Ordner einlesen mit Ausnahmen! (4)

Frage von Daedrafaction zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (21)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...