Geschäftsführung Admin-Passwörter geben?!

[Hunduster]

Hallo zusammen,

ich habe mal eine Frage.

Ich bin seit ca. 6 Monaten bei einem Unternehmen als Sysadmin angestellt. Die Firma wurde bisher von 3 externen Mitarbeitern verwaltet was auf Dauer aber zu teuer wurde und nun ich hier sitze.

Wir sind ca. 22 Mitarbeiter + 2 GFs.

Nun bin ich gerade dabei eine komplett neue Infrastruktur aufzubauen und habe entsprechende Hardware gekauft. Eine komplett neue Domäne, Systemumstellung auf Windows 7 und dem ganzen Pi Pa Po.

Sooo, nun sollen die Mitarbeiter bei der Umstellung auch IT Richtlinien unterschreiben. Von wegen keine private Nutzung... das Übliche halt.

Bisher war es hier so, dass die GFs die Adminpasswörter kannten. Sowohl das es lokalen als auch das des Domänen Admins. Dies möchte ich so eigentlich nicht fortführen.

Es ist in der Vergangenheit (ich habe es zweimal mitbekommen) wohl schon vorgekommen, dass die E-Mails der Azubine bei einem GF ankamen. Wie weiß angeblich keiner. Es war aber kein Routingfehler oder ähnliches. Zudem muss ich sagen das unsere GFs sehr neugierig sind was ihre Mitarbeiter angeht.

Wie ich mal schätze, kann ich der Geschäftsleitung sicherlich nicht verweigern die passwörter rauszugeben. Daher ist meine Frage eher die, der Argumentation. Welche guten Argumente habe ich, diese Passwörter eben nicht weiterzugeben und somit auch den anderen mitarbeitern ein besseres Gefühl zu verschaffen?

Oder aber; kann ich mich absichern wenn ich die Passwörter rausgeben muss? Also nehmen wir mal an es passiert nochmal sowas wie bei der Azubine und der entsprechende Mitarbeiter pocht (mit Recht!) auf Datenschutzverstoß etc. Wie kann ich mich dann sicher aus der Affäre ziehen als verantwortlicher Admin?

Es würde mich interessieren wie das bei Euch gehandhabt wird. Leider sind meine GFs nicht die Art von Chefs sie einen ITler hinsetzen und sagen: "mach mal, dafür bezahl ich dich". Die müssen alles wissen hier...

[bigvic]

Wie ich mal schätze, kann ich der Geschäftsleitung sicherlich nicht verweigern die passwörter rauszugeben.

Korrekt.

Daher ist meine Frage eher die, der Argumentation. Welche guten Argumente habe ich, diese Passwörter eben nicht weiterzugeben und somit auch den anderen mitarbeitern ein besseres Gefühl zu verschaffen?

Mmn keine. Oder welche Argumentation würdest du denn akzeptieren, wenn du der Geschäftsführer einer Firma bist und der Admin dir die Passwörter zu deiner IT-Infrastruktur (die wahrscheinlich geschäftskritisch ist) nicht geben will? Mmn ist es sogar fahrlässig, wenn sie diese nicht einfordern.

Oder aber; kann ich mich absichern wenn ich die Passwörter rausgeben muss? Also nehmen wir mal an es passiert nochmal sowas wie bei der Azubine und der entsprechende Mitarbeiter pocht (mit Recht!) auf Datenschutzverstoß etc. Wie kann ich mich dann sicher aus der Affäre ziehen als verantwortlicher Admin?

Lass dir den Empfang der Passwörter mit einer Unterschrift quittieren. Mehr kannst du nicht machen.

Leider sind meine GFs nicht die Art von Chefs sie einen ITler hinsetzen und sagen: "mach mal, dafür bezahl ich dich". Die müssen alles wissen hier...

Und Recht haben sie, oder?

Also ich würde an deiner Stelle mal keinen Wind machen, da es dafür keinen Grund gibt, ausser vielleicht die Beschneidung deiner alleinigen Macht des Adminpasswortes.

ciao,

vic

P.S: Das ganze erinnert mich ein wenig an ... http://www.heise.de/newsticker/meldung/ueberbesorgter-Administrator-in-Haft-187697.html

Bearbeitet 8. März 2010 von bigvic

[Hunduster]

Schon korrekt. Wenn ich nicht zu erreichen bin oder aber mir was zustößt (Gott bewahre) dann sollten die GFs schon die Passwörter haben, stimmt schon.

Aber ich habe halt wesentlich mehr Angst vor dem Missbrauch dieser Rechte.

[truebsalgeblaese]

Gut, für diesen Fall könnte man auch die Passwörter in einem (verklebten/versiegelten) Umschlag im Safe aufbewahren - für Notfälle...

tsg

[Enno]

Haben wir bei uns genauso gemacht. Die Admin Passwörter liegen in einem verklebten/versiegelten Umschlag im Tresor.

Und der Chef hat unterschrieben das die Passwörter dort nur im Notfall geöffnet werden dürfen.

Wobei unser Chef die eigentlich garnicht wollte. Er hat im übrigen auch nur normale User-Rechte. Einzig er hat den einzigen User-Rechner in der Firma bei dem die USB-Ports auch mit USB-Sticks funktionieren, bei allen anderen sind die per Software deaktiviert.

[Hunduster]

Haben wir bei uns genauso gemacht. Die Admin Passwörter liegen in einem verklebten/versiegelten Umschlag im Tresor.

Und der Chef hat unterschrieben das die Passwörter dort nur im Notfall geöffnet werden dürfen.

Wobei unser Chef die eigentlich garnicht wollte. Er hat im übrigen auch nur normale User-Rechte. Einzig er hat den einzigen User-Rechner in der Firma bei dem die USB-Ports auch mit USB-Sticks funktionieren, bei allen anderen sind die per Software deaktiviert.

Mit den USB Ports ist es bei uns nicht anders. Nur die GFs, ich und zwei mitarbeiter die Datev nutzen haben freigeschlatete USB Ports.

Das mit der Unterschrift von wegen Notfall ist interessant. Hast du da eine Textvorlage zu?

[bigvic]

Das mit der Unterschrift von wegen Notfall ist interessant. Hast du da eine Textvorlage zu?

Und wer definiert einen "Notfall" bzw. hat uneingeschränkten Zugang zum Safe (falls es den gibt) ... richtig, die GF Also ist das letztlich nur Pseudosicherheit (wenn überhaupt).

An deiner Stelle würde ich echt aufpassen mich nicht nach 6 Monaten schon bei der Firmenleitung unbeliebt zu machen. Misstrauen kommt meistens nicht so gut an - egal ob vom Chef zum MA oder anderstrum.

Bearbeitet 8. März 2010 von bigvic

[Enno]

@hunduster

ne kann ich dir leider nicht zukommen lassen, da dort noch einiges mehr drinsteht was als Internas gilt.

Setz dich doch einfach mal mit dem Chef hin und erklär denen wo dein Bauchweh liegt.

Das du gern die Passwörter hinterlegen würdest wie oben geschrieben, und solange der Brief noch verschlossen ist dann auch Verantwortlich bist. Nur eben wenn jemand das Passwort kennt auch nicht mehr kontrollieren kannst ob jemand absichtlich (was man ja keinem unterstellen will) oder vielleicht unabsichtlich irgendwas verstellt was dann zu Systemausfällen oder anderem führt.

[schepp]

Du musst der GF ja nicht die Passwörter für deinen lokalen und Domänen-Admin Account geben. Erstell der GF doch einen eigenen Account und gib ihnen Adminrechte, dann steht doch in den Logs drin wer welche Mails forwarded.

Gruß

[hades]

Es gibt nie nur einen Adminaccount.

Jeder der Admins/GF bekommt einen personalisierten Admin-Account.

Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe.

Dann koennen die immer wieder auftauchende Fragen wer wann etwas warum geaendert hat schnell geklaert werden.

Und man kommt mit dem originalen Admin-Account immer noch ans System, wenn sich mal alle Admins aussperrren sollten.

Das Kennwort des originalen Admins muss dann bei Arbeitsplatzwechsel eines der Admins/GF immer mit einem neuen Kennwort versehen werden. Irgendeiner weiss es immer, auch wenn es im Safe liegt.

Idealerweise wird jedem Admin zusaetzlich ein normaler User-Account gegeben.

Denn auch Admins sollten nicht generell immer mit Admin-Rechten arbeiten.

Fuer Emailschreiben und im Web nach Problemloesungen suchen reichen auch bei einem Admin Userrechte aus.

[DocInfra]

Es gibt nie nur einen Adminaccount.

Jeder der Admins/GF bekommt einen personalisierten Admin-Account.

Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe.

Genau so sollte man es machen, und nicht anders. Und das gilt für ALLE User/ Kennwörter. Bei Active Directory, Switches, Routern etc. Am besten sogar bei Switches und Routern authentifizierung per RADIUS und IAS am AD.

[SoL_Psycho]

Es gibt nie nur einen Adminaccount.

Jeder der Admins/GF bekommt einen personalisierten Admin-Account.

Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe.

Dann koennen die immer wieder auftauchende Fragen wer wann etwas warum geaendert hat schnell geklaert werden.

Und man kommt mit dem originalen Admin-Account immer noch ans System, wenn sich mal alle Admins aussperrren sollten.

Das Kennwort des originalen Admins muss dann bei Arbeitsplatzwechsel eines der Admins/GF immer mit einem neuen Kennwort versehen werden. Irgendeiner weiss es immer, auch wenn es im Safe liegt.

Idealerweise wird jedem Admin zusaetzlich ein normaler User-Account gegeben.

Denn auch Admins sollten nicht generell immer mit Admin-Rechten arbeiten.

Fuer Emailschreiben und im Web nach Problemloesungen suchen reichen auch bei einem Admin Userrechte aus.

Amen!

[Hunduster]

Ok vielen Dank vor allem hades. Ich hoffe nur das ich das meinen GFs vernünftig beibringen kann das sie sich drauf einlassen.

[pruefer_gg]

Ich würde auch den Weg über den Briefumschlag und die personalisierten Accounts gehen. Wenn Deine GF darauf nicht eingeht, würde ich die Verantwortung für die Aufgabe des Admin ablehnen!

Was das lesen der E-Mail angeht darf das die Geschäftsführung - zumindest so lange, wie die Mail nicht eindeutig als privat gekennzeichnet ist (wenn in Deinem Unternehmen überhaupt private Mails zugelassen sind!).

GG

[Hunduster]

Was das lesen der E-Mail angeht darf das die Geschäftsführung - zumindest so lange, wie die Mail nicht eindeutig als privat gekennzeichnet ist (wenn in Deinem Unternehmen überhaupt private Mails zugelassen sind!).

Die Mitarbeiter haben nichts unterschrieben. Bei der E-Mail von der ich sprach stand im Betreff Privat drin daher hätten sie diese nicht lesen dürfen. Zumal man auch aufhören muss eine E-Mail zu lesen sobald aus dem text hervorgeht, dass diese Privat ist. Die Azubine musste ein Gespräch mit dem Chef führen wegen des Inhalts und ich habe ihn auch darauf hingewiesen, dass dies ein klarer Verstoß gegen den Datenschutz ist und ich das nicht noch einmal billigen werde.

[hades]

Wenn bei der privaten Nutzung von Email und Internet nichts klar geregelt ist, dann kann fuer die Mitarbeiter ein Gewohnheitsrecht entstehen, dass u.U. auch einklagbar ist.

V.a. das genannte Mitlesen von Emails verstoesst ohne eine klare Nutzungsregelung gegen das Fernmeldegeheimnis (Telekommunikationsgesetz §88).

Wenn Deine Azubine diesen Vorfall zur Anzeige bringen wuerde, dann kommt das Strafgesetzbuch §206 (Verletzung des Post-/Fernmeldegeheimnis) zum Tragen:

Fuer den/die Mitleser gibt es entweder bis zu 5 Jahre Haft oder Geldstrafen.

D.h. lasse von einem Juristen die Passagen der IT-Richtlinien / Betriebsvereinbarungen aufsetzen und dann von den Mitarbeitern unterschreiben, die die private Nutzung von Email und Internet untersagen.

Nur dann ist Dein Chef auf der sicheren Seite.

[Enno]

Allerdings auch nur dann, wenn er auch Konsequenzen folgen lässt wenn ihm ein Vertoß gegen diese Regelung bekannt wird.

Ansonsten ist es wieder gEwohnheitsrecht.

Also wenn eh alle dagegen verstoßen der Chef es weis und nichts unternimmt dann gilt wieder das Recht als wenns die Regelung nicht gäbe.

[hades]

Gibt es Deine These auch mit einem nachvollziehbaren Urteil?

[pruefer_gg]

Gibt es Deine These auch mit einem nachvollziehbaren Urteil?

Das würde mich auch interessieren. Kann ich mir eigentlich nicht vorstellen, da es sich hier um eine Straftat handelt!

GG