Zum Inhalt springen

Geschäftsführung Admin-Passwörter geben?!


Hunduster

Empfohlene Beiträge

Hallo zusammen,

ich habe mal eine Frage.

Ich bin seit ca. 6 Monaten bei einem Unternehmen als Sysadmin angestellt. Die Firma wurde bisher von 3 externen Mitarbeitern verwaltet was auf Dauer aber zu teuer wurde und nun ich hier sitze.

Wir sind ca. 22 Mitarbeiter + 2 GFs.

Nun bin ich gerade dabei eine komplett neue Infrastruktur aufzubauen und habe entsprechende Hardware gekauft. Eine komplett neue Domäne, Systemumstellung auf Windows 7 und dem ganzen Pi Pa Po.

Sooo, nun sollen die Mitarbeiter bei der Umstellung auch IT Richtlinien unterschreiben. Von wegen keine private Nutzung... das Übliche halt.

Bisher war es hier so, dass die GFs die Adminpasswörter kannten. Sowohl das es lokalen als auch das des Domänen Admins. Dies möchte ich so eigentlich nicht fortführen.

Es ist in der Vergangenheit (ich habe es zweimal mitbekommen) wohl schon vorgekommen, dass die E-Mails der Azubine bei einem GF ankamen. Wie weiß angeblich keiner. Es war aber kein Routingfehler oder ähnliches. Zudem muss ich sagen das unsere GFs sehr neugierig sind was ihre Mitarbeiter angeht.

Wie ich mal schätze, kann ich der Geschäftsleitung sicherlich nicht verweigern die passwörter rauszugeben. Daher ist meine Frage eher die, der Argumentation. Welche guten Argumente habe ich, diese Passwörter eben nicht weiterzugeben und somit auch den anderen mitarbeitern ein besseres Gefühl zu verschaffen?

Oder aber; kann ich mich absichern wenn ich die Passwörter rausgeben muss? Also nehmen wir mal an es passiert nochmal sowas wie bei der Azubine und der entsprechende Mitarbeiter pocht (mit Recht!) auf Datenschutzverstoß etc. Wie kann ich mich dann sicher aus der Affäre ziehen als verantwortlicher Admin?

Es würde mich interessieren wie das bei Euch gehandhabt wird. Leider sind meine GFs nicht die Art von Chefs sie einen ITler hinsetzen und sagen: "mach mal, dafür bezahl ich dich". Die müssen alles wissen hier...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wie ich mal schätze, kann ich der Geschäftsleitung sicherlich nicht verweigern die passwörter rauszugeben.

Korrekt.

Daher ist meine Frage eher die, der Argumentation. Welche guten Argumente habe ich, diese Passwörter eben nicht weiterzugeben und somit auch den anderen mitarbeitern ein besseres Gefühl zu verschaffen?

Mmn keine. Oder welche Argumentation würdest du denn akzeptieren, wenn du der Geschäftsführer einer Firma bist und der Admin dir die Passwörter zu deiner IT-Infrastruktur (die wahrscheinlich geschäftskritisch ist) nicht geben will? Mmn ist es sogar fahrlässig, wenn sie diese nicht einfordern.

Oder aber; kann ich mich absichern wenn ich die Passwörter rausgeben muss? Also nehmen wir mal an es passiert nochmal sowas wie bei der Azubine und der entsprechende Mitarbeiter pocht (mit Recht!) auf Datenschutzverstoß etc. Wie kann ich mich dann sicher aus der Affäre ziehen als verantwortlicher Admin?

Lass dir den Empfang der Passwörter mit einer Unterschrift quittieren. Mehr kannst du nicht machen.

Leider sind meine GFs nicht die Art von Chefs sie einen ITler hinsetzen und sagen: "mach mal, dafür bezahl ich dich". Die müssen alles wissen hier...

Und Recht haben sie, oder?

Also ich würde an deiner Stelle mal keinen Wind machen, da es dafür keinen Grund gibt, ausser vielleicht die Beschneidung deiner alleinigen Macht des Adminpasswortes.

ciao,

vic

P.S: Das ganze erinnert mich ein wenig an ... http://www.heise.de/newsticker/meldung/ueberbesorgter-Administrator-in-Haft-187697.html

Bearbeitet von bigvic
Link zu diesem Kommentar
Auf anderen Seiten teilen

Haben wir bei uns genauso gemacht. Die Admin Passwörter liegen in einem verklebten/versiegelten Umschlag im Tresor.

Und der Chef hat unterschrieben das die Passwörter dort nur im Notfall geöffnet werden dürfen.

Wobei unser Chef die eigentlich garnicht wollte. Er hat im übrigen auch nur normale User-Rechte. Einzig er hat den einzigen User-Rechner in der Firma bei dem die USB-Ports auch mit USB-Sticks funktionieren, bei allen anderen sind die per Software deaktiviert. :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Haben wir bei uns genauso gemacht. Die Admin Passwörter liegen in einem verklebten/versiegelten Umschlag im Tresor.

Und der Chef hat unterschrieben das die Passwörter dort nur im Notfall geöffnet werden dürfen.

Wobei unser Chef die eigentlich garnicht wollte. Er hat im übrigen auch nur normale User-Rechte. Einzig er hat den einzigen User-Rechner in der Firma bei dem die USB-Ports auch mit USB-Sticks funktionieren, bei allen anderen sind die per Software deaktiviert. :)

Mit den USB Ports ist es bei uns nicht anders. Nur die GFs, ich und zwei mitarbeiter die Datev nutzen haben freigeschlatete USB Ports.

Das mit der Unterschrift von wegen Notfall ist interessant. Hast du da eine Textvorlage zu? :D

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das mit der Unterschrift von wegen Notfall ist interessant. Hast du da eine Textvorlage zu? :D

Und wer definiert einen "Notfall" bzw. hat uneingeschränkten Zugang zum Safe (falls es den gibt) ... richtig, die GF :D Also ist das letztlich nur Pseudosicherheit (wenn überhaupt).

An deiner Stelle würde ich echt aufpassen mich nicht nach 6 Monaten schon bei der Firmenleitung unbeliebt zu machen. Misstrauen kommt meistens nicht so gut an - egal ob vom Chef zum MA oder anderstrum.

Bearbeitet von bigvic
Link zu diesem Kommentar
Auf anderen Seiten teilen

@hunduster

ne kann ich dir leider nicht zukommen lassen, da dort noch einiges mehr drinsteht was als Internas gilt.

Setz dich doch einfach mal mit dem Chef hin und erklär denen wo dein Bauchweh liegt.

Das du gern die Passwörter hinterlegen würdest wie oben geschrieben, und solange der Brief noch verschlossen ist dann auch Verantwortlich bist. Nur eben wenn jemand das Passwort kennt auch nicht mehr kontrollieren kannst ob jemand absichtlich (was man ja keinem unterstellen will) oder vielleicht unabsichtlich irgendwas verstellt was dann zu Systemausfällen oder anderem führt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es gibt nie nur einen Adminaccount.

Jeder der Admins/GF bekommt einen personalisierten Admin-Account.

Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe.

Dann koennen die immer wieder auftauchende Fragen wer wann etwas warum geaendert hat schnell geklaert werden.

Und man kommt mit dem originalen Admin-Account immer noch ans System, wenn sich mal alle Admins aussperrren sollten.

Das Kennwort des originalen Admins muss dann bei Arbeitsplatzwechsel eines der Admins/GF immer mit einem neuen Kennwort versehen werden. Irgendeiner weiss es immer, auch wenn es im Safe liegt.

Idealerweise wird jedem Admin zusaetzlich ein normaler User-Account gegeben.

Denn auch Admins sollten nicht generell immer mit Admin-Rechten arbeiten.

Fuer Emailschreiben und im Web nach Problemloesungen suchen reichen auch bei einem Admin Userrechte aus.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es gibt nie nur einen Adminaccount.

Jeder der Admins/GF bekommt einen personalisierten Admin-Account.

Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe.

Genau so sollte man es machen, und nicht anders. Und das gilt für ALLE User/ Kennwörter. Bei Active Directory, Switches, Routern etc. Am besten sogar bei Switches und Routern authentifizierung per RADIUS und IAS am AD.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es gibt nie nur einen Adminaccount.

Jeder der Admins/GF bekommt einen personalisierten Admin-Account.

Der originale Admin-Account wandert danach mit einem neuen Kennwort versehen in den Safe.

Dann koennen die immer wieder auftauchende Fragen wer wann etwas warum geaendert hat schnell geklaert werden.

Und man kommt mit dem originalen Admin-Account immer noch ans System, wenn sich mal alle Admins aussperrren sollten.

Das Kennwort des originalen Admins muss dann bei Arbeitsplatzwechsel eines der Admins/GF immer mit einem neuen Kennwort versehen werden. Irgendeiner weiss es immer, auch wenn es im Safe liegt.

Idealerweise wird jedem Admin zusaetzlich ein normaler User-Account gegeben.

Denn auch Admins sollten nicht generell immer mit Admin-Rechten arbeiten.

Fuer Emailschreiben und im Web nach Problemloesungen suchen reichen auch bei einem Admin Userrechte aus.

Amen! :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich würde auch den Weg über den Briefumschlag und die personalisierten Accounts gehen. Wenn Deine GF darauf nicht eingeht, würde ich die Verantwortung für die Aufgabe des Admin ablehnen!

Was das lesen der E-Mail angeht darf das die Geschäftsführung - zumindest so lange, wie die Mail nicht eindeutig als privat gekennzeichnet ist (wenn in Deinem Unternehmen überhaupt private Mails zugelassen sind!).

GG

Link zu diesem Kommentar
Auf anderen Seiten teilen

Was das lesen der E-Mail angeht darf das die Geschäftsführung - zumindest so lange, wie die Mail nicht eindeutig als privat gekennzeichnet ist (wenn in Deinem Unternehmen überhaupt private Mails zugelassen sind!).

Die Mitarbeiter haben nichts unterschrieben. Bei der E-Mail von der ich sprach stand im Betreff Privat drin daher hätten sie diese nicht lesen dürfen. Zumal man auch aufhören muss eine E-Mail zu lesen sobald aus dem text hervorgeht, dass diese Privat ist. Die Azubine musste ein Gespräch mit dem Chef führen wegen des Inhalts und ich habe ihn auch darauf hingewiesen, dass dies ein klarer Verstoß gegen den Datenschutz ist und ich das nicht noch einmal billigen werde.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn bei der privaten Nutzung von Email und Internet nichts klar geregelt ist, dann kann fuer die Mitarbeiter ein Gewohnheitsrecht entstehen, dass u.U. auch einklagbar ist.

V.a. das genannte Mitlesen von Emails verstoesst ohne eine klare Nutzungsregelung gegen das Fernmeldegeheimnis (Telekommunikationsgesetz §88).

Wenn Deine Azubine diesen Vorfall zur Anzeige bringen wuerde, dann kommt das Strafgesetzbuch §206 (Verletzung des Post-/Fernmeldegeheimnis) zum Tragen:

Fuer den/die Mitleser gibt es entweder bis zu 5 Jahre Haft oder Geldstrafen.

D.h. lasse von einem Juristen die Passagen der IT-Richtlinien / Betriebsvereinbarungen aufsetzen und dann von den Mitarbeitern unterschreiben, die die private Nutzung von Email und Internet untersagen.

Nur dann ist Dein Chef auf der sicheren Seite.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Allerdings auch nur dann, wenn er auch Konsequenzen folgen lässt wenn ihm ein Vertoß gegen diese Regelung bekannt wird.

Ansonsten ist es wieder gEwohnheitsrecht.

Also wenn eh alle dagegen verstoßen der Chef es weis und nichts unternimmt dann gilt wieder das Recht als wenns die Regelung nicht gäbe.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...