Maniska

Klar, Chef muss man klar machen "schnell schnell is nicht" Man muss ihm auch klar machen "wenn, dann machen wir das jetzt richtig", und "auch wenn wir das Audit überleben, wir haben hier eine GEWALTIGE Baustelle". Alleine für die (schriftliche) Bestandsaufnahme würde ich beim richtigen DL - der genau weiß was er wissen muss und wo er die Infos ungefähr herbekommen kann - 2 Wochen Aufwand schätzen. Die ganzen Einzelprojekte die sich nur daraus ergeben würden, dürften dann nochmal das gesamte nächste Jahr beschäftigen. Sowohl bei der Durchführung als auch beim Chef um das Geld zu organisieren. Ich kenne das hauptsächlich von Automotive-Audits, die waren immer sehr auf die Produktion fixiert und haben in Richtung IT eben auch "Dummydokumente" abgenickt, da ich mich geweigert hatte interne Dokumente wie zB. den detaillierten Netzplan oder die Dokumente mit IP Adressen, Serviceaccounts... im Vorfeld rauszurücken. Das Angebot "wenn er will kann er gerne an den Audit-tagen vorbei schauen und prüfen ob es die Dokumente wirklich gibt und welche Qualität diese haben hat nicht einer mal angenommen. Das zu "verkaufen" ist weder Aufgabe noch Gehaltsklasse des TE, der muss jetzt erst einmal schauen dass er den Misthaufen wieder vor einer anderen Tür abladen kann.

Wenn Standardequipment (Maus, Tastatur, Monitor), das gerne auch kaputt geht weder auf Lager liegt, noch innerhalb von 3 Werktagen zu beschaffen ist dann ist das ein Saftladen, sorry. Laptop war ja da, das "komplizierteste" war also kein Thema... "hier, dein Füller Marke "personalisierte Spezialanfertigung, der Bleistift HB dauert dann noch mal 3 Monate" wtf? Abgesehen davon ist dann "nutzen wir halt das Privathandy ohne zu fragen" mMn unter aller Sau. Entweder bin ich dann halt nicht telefonisch erreichbar, oder jemand findet eine praktikable Lösung. Wir driften aber gerade "etwas" ab.

Ganz kurz: Ich weiß dass Auditoren nicht blöd sind, ich weiß aber auch, dass die wissen wie so was, gerade beim allerersten Audit (so hab ich den TE zumindest verstanden) abläuft. Spätestens beim Folgeaudit wird da viiiiiiieeeeeeeeeeeeeeeeeeeeel genauer geschaut und auch einige Konzepte geprüft. Deswegen ja der Hinweis dass die Konzepte dann auch in die Realität umgesetzt werden müssen. Und ja, Baustellen die man erkennt (was beim Erstellen solcher Dokumente zwangsläufig passiert) kann man nicht von jetzt auf gleich beheben. Wenn der Auditor ein komplettes, ausgereiftes Sicherheitskonzept, inkl Notfallhandbuch, Testberichten etc erwartet, dann wird der Chef das schon mitbekommen. Mein Hinweis an den TE ging in die Richtung "erst mal das was muss, so gut es in der kurzen Zeit eben geht". Dass da nur Pfusch am Bau rumkommt sollte allen Beteiligten klar sein. Nur, wenn der Chef nicht klar kommuniziert was er erwartet, bzw selbst nicht weis was er braucht ist "etwas" das man noch verbessern kann immer noch besser als "Nichts". Jetzt nur hin stehen und sagen "kann ich nicht, mach ich nicht" hilft dem TE noch weniger. Wenn der Chef wirklich daran interessiert ist ein Konzept zu haben das man leben kann und nicht nur nette Bilder fürs Audit, dann wird er das kommunizieren und einsehen dass das "etwas" länger dauert und nicht innerhalb von 2 Wochen machbar ist.

Bei IGM kann man auch erst versuchen zu erziehen. Also darf sich Scheffe meine Handynummer - die halt auf im Lebenslauf stand - krallen und abspeichern und mich darüber kontaktieren? Das ja gemein.

WTF??? Was ist das für eine IT in der man erst einmal Zeug bestellen muss? Von mir bekommst du am ersten Tag mit dem Laptop das "Rundum Sorglos Paket" bestehend aus PC/Laptop mit Docking, 2 Monitore, Maus, Tastatur, Headset und wenn es das gibt und der Einkauf nicht gepennt hat Handy. Ja, Headset, Maus und Tastatur sind via Kabel, außer man hat mir im Vorfeld gesagt dass es was anderes als Standard werden soll. Telefonat mit externen Kunden oder warum "muss" da Hemd? Wenn ich im Goku Gedächtnis Hoody da sitze, dann ist das halt so. Wir haben keinen Termin, sei froh wenn ich so was wie eine Frisur habe im HO. Wie gesagt, bei Anruf, nicht bei geplantem Meeting! Direkt am Anfang kundtun dass es eine Folgetermin gibt und man pünktlich "weiter" muss und zum Zeitpunkt dann ein "Tut mir leid, ich habe leider eine Folgetermin und muss raus". Nicht du bist in dem Moment unhöflich, sondern diejenigen die deine Zeit nicht wertschätzen und derart verschwenden. Wer spricht von BYOD? Du schaffst das private Handy aus $Gründen ab, simple as that. Abgesehen davon hast du doch gerade quasi BYOD, nur ohne "Ausgleich" o.Ä. Die Nummer war doch auch nur für den Bewerbungsprozess, oder? @charmanta Treibt da jemand mit PBD Schindluder? Die Daten waren ja nicht für die Kontaktaufnahme im Tagesgeschäft freigegeben. M.E. dürfen die die nicht haben/verwenden. Betriebsrat! Frag mal unverbindlich was die davon halten (Handygeschichte, Pausen nicht machen können... Und dann warte mal ab wie gerupft dein Vorgesetzter die Tage danach aussehen wird. Ist doch gut, alles Überstunden die man auch mal abfeiern muss. Auch hier, BR triggern, die sind da recht unentspannt und geben das entsprechend weiter. Bei Anrufen nach aus stempeln: Klingeln lassen, ein stempeln, zurückrufen "Sorry, musste erst wieder ein stempeln" dann wirds zumindest kurz. Oder einfach klingeln lassen, auch wenn es nervt.

Soweit ich das verstanden habe: Serviceaccounts benötige keine CAL. Also der Account der auf dem Filesystem berechtigt ist, die Scan2Folder Dokumente abzulegen benötigt keine. Der User, der den Scanner füttert aber schon. Wer hostet schon ((öffentlich zugängliche) Web-) Anwendungen unter Windows???

Dann halt so https://webcache.googleusercontent.com/search?q=cache:rk6A6DnGxE0J:https://www.datenschutz-guru.de/files/IT-Richtlinie.doc+&cd=4&hl=de&ct=clnk&gl=de&client=firefox-b-d Das ist zwar kein Word, aber der Inhalt vom Word. Welche Regeln gelten im HO (abgesehen von "die selben wie vor Ort), gerade in Punkto "Zettel rumliegen lassen", Ausdrucke vernichten.. Datenschutz halt. VON WO AUS darf überhaupt gearbeitet werden, ggf. auch mit Unterschieden bzgl Abteilungen. Wenn jemand bei Starfucks dem Vertriebler über die Schulter schielt ist das ggf weniger schlimm wie bei HR und offener Lohnliste oder IT mit offenem Keypass. Darf ich vielleicht auch HO machen wenn ich MFA machen kann, egal ob mit App (Firmenhandy oder Privatgerät erlaubt) oder Hardwaretoken? Darf ich auch von Malle aus arbeiten? ...

Ja und nein Deswegen hosten die auch nicht auf Windows. Gut, und weil Linux dafür deutlich besser geeignet ist. Du kannst(konntest?) auch Geräte lizenzieren, kommt aber wahrscheinlich aus das selbe raus oder wird sogar noch teurer. So, genug verarscht: Wenn es ein AD gibt, dann hat der User doch sowieso schon eine Server CAL, zumindest sollte er die haben, das AD läuft ja auf einem Server, und der User greift drauf zu. Jeder User der direkt, oder indirekt(!!!) mit einem Gerät auf einen Windowsserver zugreift, benötigt eine CAL. Dabei ist es egal ob das eine UserCAL ist, sprich der User ist berechtigt (unabhängig vom Endgerät) oder eine Geräte CAL sprich das Gerät ist berechtigt (unabhängig vom User). User CAL -> User kann darf von jedem Gerät aus auf Windowsserver (Mehrzahl!!!) zugreifen. Geräte CAL -> Gerät darf von jedem User verwendet werden um auf Ressourcen zuzugreifen. Mischbetrieb beider CALs -> grauen Haare und Schreikrampf da nicht wirklich verwaltbar und absolut undurchsichtig Ich als User benötige um Arbeiten zu könne im Regelfall: Ein Endgerät mit einer Windowslizenz Eine Lizenz (User CAL) Office Eine User CAL Windows Server $höchstesOSimEinsatz sobald ich etwas nutze das eine Windowsserver nutzt (AD, DNS, DHCP) also ja, du benötigst für JEDEN User eine User CAL Eine User CAL MS Exchange (wenn ich Mail nutze) Eine User CAL MS SQL (wenn ich etwas nutze was den SQL nutzt) ... Ich brauche aber nur EINE EINZIGE User CAL für eine unbegrenzte Anzahl an Servern.

Hmm, zumindest die Basics hätte man dir mitgeben können, bzw wenn du eh im Dauer-HO bist das Equipment aus dem Büro mitnehmen lassen. Aber gut Ob der Call mit oder ohne Bild stattfindet ist relativ egal /außer man muss sich extra was anziehen. Gegen eine schlechte Meetingkultur kann man relativ wenig machen, außer konsequent die Meetings pünktlich verlassen wegen Folgeterminen, die man im Outlook stehen hat. Ob das dann der tägliche Blocker Mittagspause ist oder der Termin "am Projekt X weiterarbeiten" ist ja egal. Outlook bestätigt den Folgetermin. Laberbacken im Meeting keine ich auch zu gut, erst mal 30 Min unnötiges Gesabbel, 15 Minuten für alle relevanten Inhalt und dann nochmal 15Min+ für Einzelthemen die den Rest auch nicht tangieren. Wäre jetzt ja echt blöd wenn dein Handy kaputt geht, oder? Abgesehen davon dass ich "Handy hat >1 Woche Lieferzeit" nicht gelten lassen würde, wann wussten die das du kommst und ein Handy benötigst? Wurde dann bestellt? Wenn nein, warum solltest du dein Privathandy für deren Fehlplanung hernehmen? Private Nummer im Unternehmen bekannt geht auch mal gar nicht. Neue Nummer organisieren, diesmal nicht breit streuen, so lange Handy nach FA (also nach DEINEM FA, nicht nach dem wann die Kollegen denken du musst noch da sein) in "nur WLAN" Modus setzen, WLAN Calls falls aktiv aus und Ruhe haben. "Besser" scheint aber nicht "gut" zu sein. Wirst du dort auf Dauer glücklich wenn das so bleibt? Ähm, ok, KANN man so formulieren, man kann auch darauf hinweisen, das auch im HO Pausen zu machen sind und Vorgesetzte darauf achten sollen.

Nee, der Auditor ist wie die Schwiegermutter, der Besuchstermin ist fix, da lässt sich nichts dran drehen. Gebäude abfackeln vielleicht, aber auch das ist nicht sicher. Und hilft nur bedingt. Der Auditor will im ersten Schritt normalerweise(!) nur sehen, dass sich jemand generell Gedanken gemacht hat, vor allem wenn er das erste Mal kommt. Vorschlag an deinen Chef: Du erstellst Futter für den Auditor das irgendwo zwischen Realität und Märchenstunde angesiedelt ist, aber so nah an der Realität dass es nicht sofort auffällt was und wie viel Märchen dabei ist Dein Chef verdonnert den Kollegen nach einem Urlaub eine anständige (das bewertet nicht der Kollege selbst) Doku zu erstellen. Dieser Punkt ist nicht verhandelbar! Es werden Projekte gestartet um die vorab-Unterlagen fürs Audit möglichst an die Realität anzupassen oder die Unterlagen werden fürs nächste Audit an die Realität angepasst. ALLES was der Auditor anmeckert wird geprüft und bei Bedarf behoben. Wenn es nicht behoben werden soll, wird das (die Empfehlung der IT und die Ablehnung der GF) schriftlich in die Risikobewertung und damit in das Sicherheitskonzept mit aufgenommen. Sollte dein Chef nicht mitspielen wollen, erstellst du trotzdem die Unterlagen unten, und erinnerst dich an die aktuell noch 14 Tage Kündigungsfrist deinerseits Du brauchst zuerst "Arbeitsanweisung zum Umgang mit IT", der Wisch den man bei Eintritt unterschreibt dass man keine eigenen USB Sticks stecken soll, dass das Zeug pfleglich zu behandeln ist etc. So was in der Art (Achtung, Worddokument) Kennwortrichtlinie, Berechtigungskonzept (da reicht fürs Audit erst mal die Theorie, können wir gerne dann in einen anderen Thread drüber Schnacken), Umgang im HO wenn vorhanden, Rechner ist zu Sperren wenn man aufsteht (ggf. auch zum Teil mit GPO erzwingen) ACHTUNG!!! Das sind ORGANISATORISCHE Maßnahmen, die ggf. technisch durchgesetzt werden. Die schlägst du nur vor, wenn Chef sagt "mach mer nicht", lass dir das schriftlich geben und mach es nicht. Liste mit Telefonnummern relevanter DL: Elektriker, ISP, Telefonanbieter, Werkschutz, Sicherheitsbeauftragter... Alle die iwas mit IT zu tun haben könnten... DSB Beschreibung wie wird das Backup durchgeführt (Wir sichern mit..., alle Systeme werden täglich um xx sounso gesichert, am WE nochmal auf Band, Band kommt zur Bank...). Rücksicherung/Prüfen der Backups nicht vergessen. Orientiere dich an einer Mischung aus Bauchgefühl und BestPractice. Systeme werden soundso aktuell gehalten (Windows via WSUS, Linux via unatended Update, Hardware alle 3/6 Monate oder wenn kritischer Patch) Virenscanner XY ist soundso im Einsatz wird soundso verwaltet und meldet Funde via Mail an Admins, diese prüfen dann... Firewall erlaubt nur ABC, Ports werden nur via $Prozess freigeschalten Grobe Zeichnung wie das Netzwerk aufgebaut ist mit Internetwolke, VPN, Firewall, DMZ, Intranet (Bunt, nicht technisch) Grobe Zeichnung vom Backend (redundante Server, USV... Marketing in Bunt halt) Für den Durchschnittsauditor sollte das reichen, oder er setzt noch was auf die Mängelliste. Der SUper-GAU ist beschrieben, analysiert und behoben? -> Sicherheitskonzept Wenn nein: machen solange die Erinnerung noch frisch ist. Der ist auch Gold wert. Jede Frage die du dir jetzt stellst, wird sich jeder der die Umgebung nicht kennt im Zweifel auch stellen -< ab in die Doku Multifunktionsgeräte, also relevante Drucker, ggf. wenn vorhanden noch den Plotter. Lieber die oben genannten Dokumente alle in einem Beta-Status statt nur die Hälfte in 100%.

Also im Winter 20/21 mit 29% durchgerasselt, Sommer 2021 mit 46% (wobei hier durch die Verweigerung der Einsichtnahme ggf. etwaige Widerspruchs- und Klagefristen gehemmt sein dürften) und jetzt in den letzten Zügen und kurz vor Knapp beim Letztversuch? Also so halb "zum Spaß". Ich persönlich würde versuchen ASAP einen Termin beim Anwalt und über den per Einstweiliger Anordnung, oder was auch immer das dann wäre, die Einsicht durchzuboxen.

Mit welcher Begründung ursprünglich? "Corona" oder was Kreativeres? Gibt es Gründe warum du Prüfungseinsicht haben möchtest oder eher ein "Einfach so, weil ich es kann" (nicht wertend gemeint). Die Gründe können der IHK erstmal egal sein. Solange sie dir die Einsicht nicht ermöglicht haben (und du regelmäßig weiter nervst) hemmt das aber afaik die Verjährung von Ansprüchen bzw Widerspruchsfristen. Das kann aber nur ein Anwalt genau beantworten, Verwaltungsrecht ist eklig. Dann soll sich halt einer in Sicherheitskleidung werfen und die Unterlagen holen. Ich sehe hier keine Unmöglichkeit sondern ein "och nööööö, Aufwand...". Vielleicht noch ein "MEINE HAARE", wenn Helm zu tragen ist. Kannst ja anbieten vorher eine Dose 3-Wetter-Taft zu schicken damit mal jemand in die Pötte kommt. Wenn ich das hier richtig verstehe hast du einen rechtlichen Anspruch auf Akteneinsicht, das sollte die IHK aber eh schon wissen. Ich bin mir nicht sicher ob eine neue Anfrage mit §§ hilft. Vielleicht mit einer "oder sonst" Drohung zum Anwalt zu gehen, Beschwerde einzulegen (ka. wo man das machen könnte) o.Ä. und die Kosten beim Verursacher, sprich der IHK wiederzuholen. "Nach einem Jahr ist unüblich" vs "ich versuch es ja schon seit einem Jahr" oder Anfrage zur Einsicht "Winter 19" im Frühling 2021 gestellt? Es kann sein, dass es da Fristen gibt, aber im Regelfall sollte man seine Unterlagen "jederzeit" einsehen können. Nur weil die bei deiner IHK das nicht machen (wollen) bedeutet das nicht dass es keine Anspruch darauf gibt Bei der Kooperationsbereitschaft der IHK? Wenn es nur "zum Spaß" wäre, lass es, das ist die Zeit nicht wert. Wenn du dir was davon erhoffst, Anwalt. Alleine wirst du da nicht voran kommen.

Generell kann ich dir noch den Tipp geben: Egal was du jetzt anfasst, herausfindest, neu machst... Dokumentiere jeden Schei*! Wirklich jeden! Lass dir die Doku von deinem Kollege zeigen, so er denn eine schreiben wird. Was für ihn, mit Wissen und allem schlüssig ist muss es noch lange nicht sein. Die Doku sollte im Idealfall so sein, dass jemand fachfremdes mit durchschnittlichem IT Wissen sich daran entlang hangeln kann. Sie muss mindestens so sein, dass ein IT-ler der die Umgebung nicht kennt sich damit zurechtfinden kann. Lass dir von jemandem die Gebäudepläne geben, mindestens als pdf und zeichne dort deine neuralgischen Punkte, also Verteilerschränke, Positionierung DECT und WLAN APs, Netzwerkverkabelung im Backend, Standorte MuFu, Hauseinführungen... ein. Jeder DL dessen Namen du hörst: Aufschreiben, und sei es nur das Wissen dass es jemanden gibt. Alle Programme die so im Raum schweben: aufschreiben, wenn das Wort DATEV fällt lauf so schnell und weit du kannst herausfinden ob sich da ein DL drum kümmert, ihr nur die Server verantwortet und bei Problemen im Programm der DL zuständig ist...

Ok mit der Grundvoraussetzung: ab zum Chef "vergiss es, das ist nicht machbar weil keine Doku vorhanden. Wenn ich bis zum 15.11 noch irgendwas anderes machen soll ist das unschaffbar. Außerdem hab ich so was noch nie gemacht, könnte also länger dauern" Entweder man akzeptiert diese Aussage oder... Du bist 3 Monate dort? D.h. deine Bewerbungsunterlagen sind noch recht aktuell? Und damit meine ich nicht, dass man dich feuern könnte, sondern dass du... Kläre als erstes mit deinem Chef was er möchte. Klingt nach Wirtschaftsprüfer, Versicherung oder Audit. Will man Unterlagen mit denen man was anfangen kann, nach denen in Zukunft gelebt werden soll etc oder soll es "nur" Futter für den Auditor werden? Ersteres ist deutlich aufwändiger und sollte auch nach Erstellung regelmäßig (nicht erst zum nächsten Audit) geprüft, aktualisiert und ergänzt werden. Letzteres ist relativ schnell hin geschludert, aber hilft später im Alltag kein Stück weiter und hat auch mit der Realität nicht viel zu tun. Da faselst du dir etwas zusammen wie ihr Backup macht, wie ihr Firewall und AV konfiguriert hab (Marketingblablubb, nicht zu technisch) und wie ihr eure Systeme aktuell haltet. Wenn es NUR für das Audit ist, darf da auch gerne was fehlen. Auditoren sind glücklich wenn sie was zu Meckern finden und suchen dann auch nicht mehr allzu gründlich weiter. Außer es sind IT-ler die wissen was sie tun. Dann hast du aber eh verloren. Dann erklär das deinem Chef so, das ist auch der erste Punkt der Risikobewertung: Wenn der Kollege ausfällt (Krank, Unfall, Tot, Kündigung... oder wie jetzt Urlaub) gibt es NICHTS, keine Möglichkeit den IT Betrieb sauber hochzuzfahren oder schnell auf Ausfälle reagieren zu können. Entweder dein Chef gibt dem Kollegen die Hausaufgabe die "Kopfdoku" zu Papier zu bringen oder... Wie war das mit den aktuellen Bewerbungsunterlagen? Bauchgefühl ist schon mal gar nicht der ganz falsche Ansatz wenn du es nicht besser weißt. Leg dir einen Zettel hin und schreib alle "Hirnfürze" zu dem Thema auf um nichts zu vergessen. Weil, wenn du den Zutritt (also wer kann hinlatschen) analysierst kommt bestimmt auch der Gedanke mit "wer kann denn auf Daten zugreifen - Berechtigungskonzept" mal vorbei. Festhalten und auf Papier fesseln damit er nicht verloren geht. Hausaufgabe die du deinem Chef direkt mitgeben kannst, da der Kollege der das vielleicht auch weiß gerade nicht da ist: Wo existieren welche Supportverträge, welche Servicezeiten, welche Kontaktdaten...? Nach dem Schema Hardware - Hersteller/Verkäufer - Kontaktdaten/Ansprechpartner/Supporthotline - Supportzeiten - Supportvertrag (24/7, 9-5, ...Laufzeit) - Reaktionszeit Software/Infrastruktur - Provider/DL/Betreuer - Kontaktdaten/Ansprechpartner/Supporthotline - Supportzeiten - Supportvertrag (24/7, 9-5, ...) - Reaktionszeit Damit ist er erst mal beschäftigt und merkt "oh, so aus dem Ärmel schütteln is nicht". Im Idealfall gibst du ihm eine Liste mit den Dingen die dir spontan einfallen und ergänzt ggf. um Vergessenes. Nicht erst versuchen die 100% zu erreichen und dann abgeben.

Genau darauf wird spekuliert. Du hast das Equipment ja zuhause, dann wirst du dich sicher in der Freizeit damit beschäftigen. Ich würde mir nicht ohne Not (=Bedarf) groß Netzwerkequipment daheim hinstellen. Das Zeug ist verfressen (Stromkosten), laut und sperrig, dafür sind mir persönlich die Strompreise zu hoch. Warum eine Forti zuhause hinstellen wenn es für den Einsatzzweck auch ein Pi tut? Der ist leiser, kleiner und zieht deutlich weniger Saft. Wozu benötigst du bei einer Wegstrecke um die 2km und der Möglichkeit quasi "immer" HO zu machen einen Firmenwagen zur Privatnutzung? Du könntest den Wagen, falls du einen nehmen "musst" mit Fahrtenbuchregelung nehmen und einfach auf dem Firmenparkplatz sehen lassen. Falls du mal zum Kunden raus musst pendelst du eben die 2km privat, holst den Wagen und ab gehts. 2.359,11 € Netto bei 45k fix + ggf Boni - Firmenwagen kosten vs (im schlimmsten Fall) 2.231,97 € netto bei 42k bzw 2.058,87 € bei 38k. Wobei du beim Konzern tendenziell eher eine Gehaltserhöhung bekommen kannst, das Schulungsangebot besser ist, du leichter die Richtung ändern kannst wenn du was Neues machen möchtest, es (hoffentlich) einen Betriebsrat gibt der deine Interessen gegenüber dem AG vertritt und andere unsichtbare Benefits. Kleine Firmen vertreten oftmals eher die Einstellung "we are family", was nichts anderes bedeutet als dass dich halte der GF vor allen rund macht, anstelle des Teamleiters im 4 Augen Gespräch... THIS!

Ich würde auf der grünen Wiese so vorgehen: Bestandsaufnahme: Räumlichkeiten: Wo stehen die Systeme, separate Brandabschnitte oder Serverraum Marke "Trockenbau" mit Papptür, welche Zutrittskontrollen gibt es und wie sicher sind die, wer benötigt Zutritt weil ggf noch ein Sicherungskasten mit drinnen hängt, wo ist die Backupinfrastruktur untergebracht, wo sind die Hauseinführungen, wer hat wo Zutritt... Hardware: schauen was alles da ist, wie diese Dinge voneinander abhängig sind, welche Redundanzen ggf vorhanden sind: Bei Servern zweites Netzteil mit zweitem unabhängigem Stromkreis, USV, redundante Geräte im Cluster, alles was HA ist... Netzwerk: Wie sind die Stockwerksverteiler an die Infrastruktur angebunden Software: Welche Software ist m Backend im Einsatz, gibt es Abhängigkeiten (ERP ist ohne den zugehörigen SQL Server mittelmäßig nutzlos), Redundanzen (mehre DCs?), Cluster Welche Software ist im Frontend im Einsatz, gibt es Abhängigkeiten, ist etwas davon in der Cloud...? Anschlüsse Haben die IT Räume einen eigenen Stromkreis oder hängen sie am Gebäudeteil (Stockwerk, Flur...) mit dran Haben IT Räume zwei voneinander unabhängige Stromkreise Gibt es mehre Hauseinführungen? Wo laufen die Anschlüsse (Strom, Internet, Telefon...) von der Straße ins Gebäude? Was passiert wenn ein Bagger "Haps" macht Wie viele Internetanschlüsse mit welcher Bandbreite sind vorhanden, was passiert mit der Telefonie wenn das Internet weg ist ... Das wertest du aus und erstellst eine Mängelliste: was ist Stand jetzt schon Murks und muss gemacht werden bevor man über ein wirkliches Sicherheitskonzept nachdenken kann. Wenn z.B. jeder zweite einen Schlüssel zum Serverraum hat weil das halt das Standardschloss der Schließanlage ist müssen wir nicht über "High Security" reden... Dann gehst du her und bewertest die Punkte die dir aufgefallen sind: Es gibt nur einen Internetanschluss, aber alles was man zum Arbeiten braucht ist in der Cloud? Nicht gut... In dem Fall ist das Ausfallrisiko des Internetanschlusses als "hoch" und die Auswirkungen als "kritisch" einzustufen. Im Idealfall kannst du an die Risikobeseitigung noch einen Zeitraum bis zum Wiederanlauf und ein Preisschild zum Risikominimierung oder Beseitigung. "Hey Chef, es kostet uns XX€ im Monat eine redundante Internetleitung als Fallback legen zu lassen falls der Primären Anschluss gestört ist. Eine Stunde Ausfall Internet kostet uns XX*n€, soll ich das beauftragen? Risiko: Ausfall Internet Risikobewertung: Hoch und kritisch Sicherheitskonzept: Backup Anschluss, ggf mit verminderter Bandbreite So gehst du durch alles was ausfallen kann durch. WAS gemacht wird entscheidest nicht du, du zeigst nur die Risikofaktoren auf, nennst Lösungswege und lässt die GF entscheiden ob sie das Risiko tragen will oder nicht. Was relevant ist und was nicht sollst du ja gerade herausfinden. Wie kritisch es bei euch ist, wenn 7-zip nicht funktioniert, das Intranet nicht verfügbar ist oder TestVMbrauchtkeinMensch mit in die Sicherung muss und wenn ja mit welchen RTO und RPO kann keiner hier sagen.

Bei der Voraussetzung: befürchte ich, dass noch nicht mal eine Privathaftpflicht besteht

Gaaanz doofe Idee wenn man null Rücklagen hat: Mein bei dir gekauftes Stück Hardware geht kaputt? Hallooooooooooooooo Gewährleistungsansprüche. Es ist nicht nur "kaputt gegangen" sondern hat noch was anderes mit ins Nirwana gerissen oder anderweitig Schäden verursacht? Das zahlst du. Ich hab das Teil falsch benutzt sagst du? Proof it! Dann zahlst du den Gutachter, deinen Anwalt, streckst Gerichtskosten vor...

Plus Schadenersatz wegen jeder nicht bekommenen Gehaltserhöhung, nicht genehmigten Schulung in den nächsten 2 Jahren. Wird zwar etwas schwerer das zu beweisen, aber wenn der AG von sich aus regelmäßig erhöht und man nichts bekommt... Wird bestimmt nicht unmöglich sein da einen Zusammenhang herzustellen. Ich hatte mich auch schon einmal bei einem AG nicht beworben, weil ich wusste dass deren IT- Leiter und meiner zusammen im Verein sind. Ein privates Gespräch unter Freunden, wird schwer da den Datenschutzi drauf anzusetzen. WENN man unbedingt nachforschen will, dann wird das gemacht, da hilft dann auch kein Sperrvermerk o.Ä. deswegen würde ich so was einfach direkt weglassen.

Sagen wir mal so, wenn der potentielle neue AG so was bei mir abziehen würde und ich bekomme das mit: Beim aktuellen AG leugnen "kenn ich nicht, keine Ahnung wer das ist und was das soll" und dem Landesdatenschutzbeauftragten Bescheid geben dass da einer mit schützenswerten Daten um sich wirft.

Das ist eher die Regel als die Ausnahme. Komme ich aus einer Festanstellung habe ich im Regelfall kein aktuelles AZ. Da ich aber noch bei dem Unternehmen bin würde iein AZ wohl mindestens im Bereich 2-3 angesiedelt sein. Verdächtiger wäre m.E. ein aktuelles AZ ohne Vorgesetzen- oder Aufgabenwechsel im AZ. Soll da einer weg gelobt werden?

Ich verlängere mal: Zusätzlich sollte die Familienplanung (egal ob m oder w) schon soweit abgeschlossen sein dass keine Ausfälle wegen Elternzeit, "Kind krank" oder "Wichtiger Termin im Kinderleben" z.B. Einschulung o.Ä. zu befürchten sind. Weiterbildungen bitte nur in der Freizeit und auf eigene Kosten, Gehaltsanpassung gibt es dafür aber in keinem Fall. Soziales Leben außerhalb der Arbeitszeit im Idealfall auch möglichst wenig vorhanden "falls mal was sein sollte", offiziell aber keine Rufbereitschaft, schon gar nicht bezahlt. Wenn Hobbys schon sein müssen dann aber bitte nichts gefährlicheres als "lesen" und da auch nach Möglichkeit Fachliteratur ...

Und selbst wenn, die Ressource ist zwar dann regenerativ, aber wenn man durch "keiner minert $hitcoins wegen Zwomarkfuffzich" einen Windpark einsparen kann hat das auch mehr zum Umweltschutz beigetragen als "aBeR iCh NeHm DoCh ÖkOsTrOm". Auch der muss produziert werden, und diese Produktionsstätte ist IMMER ein Eingriff in die Natur, und damit nur die zweitbeste Möglichkeit Umweltschutz zu betreiben.

Unterlagen flott machen, Job finden, Blanko-Kündigung ausdrucken (also etwas wo nur noch händisch das Kündigungsdatum rein muss (nur für den Funfaktor)) und wenn Chef blöd kommt aus der Tasche ziehen, Datum und Unterschrift, ihm in die Hand drücken und das "surprised pikachu Face" in vollen Zügen aufsaugen und genießen. Ein anständiges Arbeitszeugnis kannst du von diesem Vorgesetzten eh nicht erwarten, also hol dir wenigsten das. Alternativ, wenn deine Kollegen hinter dir stehen und die Vorwürfe aus der Luft gegriffen sind: Beschwerde bei HR wegen Mobbing und das alles nach oben eskalieren lassen.