Informationen im Rechner vor den eigenen Mitarbeitern schützen

Hardwarefragen: Computer, Tablet, Handy und Co.
Benutzeravatar
Ach
Beiträge: 3113
Registriert: 29. Mai 2013 10:06

Informationen im Rechner vor den eigenen Mitarbeitern schützen

Moin moin,

ich suche Empfehlungen:
- Gelegentlich habe ich auf meinem Rechner Dinge, die meine Mitarbeiter nichts angehen. Soll als Chef vorkommen.
- Die meisten Mitarbeiter haben keinen Zugriff auf meinen Rechner, mit Windows+L sperre ich ihn, wenn ich das Büro verlasse. Einfach gelöst.

- Ein Mitarbeiter hat mein Benutzerkennwort und damit Zugriff auf meinen Rechner... Geschlossene Dokumente kann ich noch mit Passwort schützen, offene Browserfenster, Verlauf etc. sind hier noch eine Schwachstelle. Mit Inkognito-Tabs hinterlasse ich keinen Verlauf, bin aber weniger flexibel. Wenn ich Seiten schließe, sind sie erstmal weg. Die wiederzufinden ist dann teilweise echt schwer. Offen lassen ist mindestens genauso unpraktisch. Gibt es irgendeine einfache Möglichkeit, passwortgeschützte Favoriten ohne Verlauf zu speichern? :durchdreh:

- Ein Angestellter kümmert sich als Admin um unsere gesamte IT... Der hat durch seine Tätigkeit ebenfalls Zugriff auf meinen Rechner. Da kann ich nichtmal einschätzen, wie weit dieser Zugriff geht. Er hat natürlich unter anderem die Aufgabe, meine Daten sicherzustellen und macht das auch gut. Aber müsste ich nicht auch meinerseits die Daten vor ihm schützen? Ist das überhaupt sinnvoll machbar?


3 Monate gratis Händlerbund
DavidH
Beiträge: 3
Registriert: 11. Nov 2021 10:58
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

zu 1)
Ich würde das sensible Surfen in einem anderen Browser durchführen und diesen mittels einer 'Kennwort-App' sichern.
Bsp.: Microsoft Edge: "Browser Lock"

zu 2)
Du müsstest dafür sorgen, dass Deine Daten verschlüsselt abgelegt werden und nur Du sie entschlüsseln kannst. Dadurch kann eine normale Sicherung durchgeführt, aber diese nicht ohne den privaten Schlüssel, wiederhergestellt werden.
miezekatze
Beiträge: 3858
Registriert: 3. Jan 2011 11:48

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Der/die Mitarbeiter bekommen einen eigenen PC. Niemand hat was an deinem Rechner zu suchen. Das kostet kein Geld heutzutage. Problem 1 gelöst.


Zum IT-Angestellten - schwierig, wir haben eine zusätzlich geschäftliche E-Mail Adresse außerhalb unseres @unsereFirma Netzwerks (also bei gmx, web, wo auch immer) wo niemand Zugriff drauf hat. Wenn du mehr geschäftliche Dinge wirklich sicher privat haben möchtest bleibt dir nichts anderes übrig als dich selbst in das Thema ein klein bisschen einzuarbeiten. Privat Geschäftlicher Rechner Zuhause (oder sonst wo) auf dem du arbeitest. Einrichten kann dein IT Kerl den ja (Programme, Internet, Zugriff auf Daten,...), aber alles weitere machst du selber. Vor allem die Datensicherung.
xMerchant
Beiträge: 3472
Registriert: 24. Mär 2010 19:57
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Bei dir fehlt ganz offensichtlich ein Rechte- und Zugriffskonzept.

Mal grob umrissen.
[*]Für jeden Mitarbeiter einen eigenen Login. Nur der Mitarbeiter kennt das Kennwort. Wenn die Rechner in einer Gruppe sind, kann sich trotzdem jeder an jedem Rechner anmelden, hat aber nur Zugriff auf die für ihn freigegebenen Dokumente.

[*]Nur der angemeldete Benutzer hat Leserechte auf "seine" Dateien. Dateien, die nicht von anderen eingesehen werden sollen, werden in der Dokumenten-Struktur des Benutzers gespeichert (auf die hat nur den angemeldete Benutzer Zugriff, Administratoren erst, nachdem sie die Zugriffsrechte überschreiben haben, kann man auch verhindern).

[*]Man kann das auch auf Gruppenebene einrichten, so dass z.B. alle Vertriebsmitarbeiter auf die relevanten Dokumente Zugriff haben, aber keine anderen.

Man kann unter Windows die Rechte so konfigurieren, dass die Datensicherung alle Dateien sichern kann, aber nur berechtigte Benutzer die Dateien öffnen können.

Du bist Dir sicher, dass deine interne IT Datenschutzkonform ist?

Für das Rechtekonzept solltest Du dir externe Hilfe suchen. Es wäre eigentlich die Aufgabe deines ITlers gewesen dich darauf hinzuweisen. Offensichtlich will oder kann er das nicht einrichten. Hol dir jemanden, der das regelmäßig macht, den Bedarf analysiert und auch nachvollziehbar dokumentiert
kreien
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3618
Registriert: 5. Jul 2015 13:06
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Die Klassiker wären (falls nicht schon geschehen)

a) auf Windows Server mit Active Directories (AD) umzustellen, vgl. https://de.wikipedia.org/wiki/Active_Directory,

b) die Clients sind an den Server angebunden,

c) jeder Benutzer arbeitet an seinem eigenen Rechner in seinem eigenen Benutzerkonto,

d) der Chefrechner (z. B. Laptop) mit privaten/geheimen Aktivitäten ist selbst administriert sowie von der restlichen IT-Landschaft abgekoppelt und hat auch eine eigene Internetverbindung, z. B. sowas wie MagentaMobil Speedbox (vgl. https://www.telekom.de/mobilfunk/tarife ... l-speedbox),

e) ich benutze zum automatisierten Löschen des Caches, Verlaufs und der Cookies das Programm CCleaner Professional.

a) bis c) sind aber Standard oder?
Benutzeravatar
Ach
Beiträge: 3113
Registriert: 29. Mai 2013 10:06

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Vielen Dank schonmal für die ersten Empfehlungen, das hat mir sehr geholfen!

- Browser Lock hab ich jetzt schonmal sofort umgesetzt Vielen Dank!
- E-Mail Adresse außerhalb der Firma hatte ich schonmal aufgesetzt, aber irgendwie nie richtig genutzt. Unser VPN blockiert leider den Dienst, aber da werd ich sicher eine Lösung für finden. Danke für die Erinnerung!
- Der eine Mitarbeiter, der Zugriff hat, ist nicht aussperrbar. Es ist ein Familienmitglied, dass durch betriebliche Regeln nicht gebunden ist :-) Von daher arbeiten wir eng zusammen und es besteht ein gutes Vertrauensverhältnis. Der BrowsLock ist hier für mich genau das richtige Schutzniveau.
- Mit Verschlüsselung meiner gespeicherten Daten oder alternativ mit der Datensicherung muss ich mich mal befassen. Das Thema begeistert mich mal 0, aber muss wohl.
- Gleiches gilt wohl auch dafür, wie ich den User "Admin" von meinem eigenen Userzugang fernhalte.
- Datenschutztechnisch sind wir sicherlich weder vorbildlich noch lückenlos. Aber alles in allem ganz gut aufgestellt, indem wir Personendaten fast ausschließlich in separat geschützten Systemen haben. Mir geht's hier aber nicht um den Datenschutz, sondern um den Schutz von Geheimnissen.
Benutzeravatar
Wolkenspiel
Beiträge: 10879
Registriert: 21. Sep 2011 07:13

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Ach hat geschrieben: 12. Nov 2021 11:21 - Der eine Mitarbeiter, der Zugriff hat, ist nicht aussperrbar. Es ist ein Familienmitglied, dass durch betriebliche Regeln nicht gebunden ist :-) Von daher arbeiten wir eng zusammen und es besteht ein gutes Vertrauensverhältnis. Der BrowsLock ist hier für mich genau das richtige Schutzniveau.
Du willst deinen Browserverlauf vor den Blicken deiner Frau schützen? :lol:
Benutzeravatar
Ach
Beiträge: 3113
Registriert: 29. Mai 2013 10:06

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

@kreien: Ich hab deinen Beitrag erst nach dem Absenden gesehen.
Vielen Dank!
a-b muss ich mich mal einlesen, verstehe ich nichts von.
c ist überall dort, wo es sinnvoll und möglich ist, umgesetzt. Auf der Verkaufsfläche beispielsweise hat aber jeder Mitarbeiter die Möglichkeit, spontan an jeden Rechner zu gehen.

d) wow, das Setup hört sich extrem sicher an. Das hätte ich jetzt gemacht, wenn ich in der Rüstungsindustrie wäre :-D So hart haben wir das nichtmal in der Wirtschaftsprüfung gehandhabt. Eigene Internetverbindung und losgelöst vom Firmennetzwerk funktioniert nicht. Ich brauch einerseits Programme und Daten, die wir in der Firma zentral auf einem Server haben. Andererseits brauch ich Zugriff auf verschiedene Systeme, die in der Verbundzentrale liegen. Da hab ich nur über einen von der Zentrale gemanagte Internetverbindung via VPN Zugriff.
Benutzeravatar
hissenit
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 465
Registriert: 16. Mär 2021 15:52
Land: Deutschland
Firmenname: Hissen IT
Branche: Datenverarbeitung | PaketConnector | InvoiceCreator | Webservices
Wohnort: Bensheim / Südhessen
Kontaktdaten:

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Wenn alles doch auf einem Rechner stattfinden soll, wäre eine Lösung VeraCrypt in Kombination mit portablen Anwendungen, die dann nur im VeraCrypt-Container liegen und per Passwort (Verschlüsselung) geöffnet werden können.
In der Theorie kann natürlich jeder mit Adminrechten einen Keylogger installieren. Irgendwo sind dann Grenzen, wenn man keine echte physische Trennung der Gerätschaften hat.
kreien
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3618
Registriert: 5. Jul 2015 13:06
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Backups verschlüsseln oder einzelne externe Datenträger ist schön und gut sowie auch für Laien beherrschbar. Aber komplett verschlüsselte Partitionen auf Servern oder Clients, die sich im Produktivbetrieb befinden, das ist was für Profis und will wohlüberlegt sein – das wäre mir zu heikel. Beim kleinsten Problem – seien es gekippte Bits in großen Container-Dateien oder ein missratenes Windows-Update, das keine Rücksicht nimmt und einen (versteckten) Container anzählt – ist erst mal Schluss.

Die Idee mit VeraCrypt und dort implementierten portablen Anwendungen ist gut – ich mache das teilweise so. Leider bedarf der Start von VeraCrypt itself im Portable Mode lokaler Adminrechte – ich bekomme es jedenfalls nicht ohne hin, was die Handhabung erschwert und die Gruppe der geeigneten Benutzer wieder einschränkt.

Am Rande: Vor allem, immer schön Backups machen, USB-Sticks und SD-Karten leben auch nicht ewig, genauso wie der Chef. Jeder kann jederzeit sterben, eine Notfallmappe mit allen Paswörtern im Safe wäre gut für die Nachfolger (KeePass kann so eine Liste auf Papier ausdrucken).
Tony
Beiträge: 2514
Registriert: 21. Sep 2008 15:58
Land: Deutschland
Wohnort: 40000

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Ich habe mich damit abgefunden, dass unser ITler alles sehen kann wenn er möchte ... es ist aber auch ein sehr großes Vertrauen vorhanden.

Ich habe allerdings einen USB Stick am Schlüsselbund, wo in einem TrueCrypt-Container die ganz persönlichen Sachen gespeichert sind.
JohnGalt
Beiträge: 1043
Registriert: 18. Feb 2013 23:19

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Tony hat geschrieben: 12. Nov 2021 12:46 Ich habe mich damit abgefunden, dass unser ITler alles sehen kann wenn er möchte ... es ist aber auch ein sehr großes Vertrauen vorhanden.
Der größte Angriffsvektor in der IT-Sicherheit sind Menschen.
futro-User-entfernt

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

miezekatze hat geschrieben: 12. Nov 2021 10:43 …dein IT Kerl…
Bei dieser Wertschätzung wird der „IT Kerl“ wohl sehr bald abwandern und spätestens dann sollte man seinen Kram auch selbst auf die Reihe kriegen. :lol:

Die schlaueren Angestellten backen dem „IT Kerl“ zum Admin-Day derweil eine Torte und haben dafür im Gegenzug keine Probleme mit irgendwas. Als ob den juckt, dass der Chef sich nach Feierabend bei der Domina auspeitschen und am Hundehalsband ausführen lässt. applaus

Nunja, ansonsten muss man halt alles verschlüsseln, aber ganz ehrlich, wenn man so sensibele Daten hat, dass da keiner drauf zugreifen darf, gehört da jeder weitere Zugriff ohnehin gesperrt und vorallem das Ganze vom Netz getrennt, denn das ist das wahrscheinlichste Einfallstor für Angriffe auf „Geschäftsgeheimnisse“.

Edit: Ach ja, und die Verschlüsselung hilft auch nix, wenn es um so sensible Geschäftsgeheimnisse geht, dass die wirklich den Aufwand lohnen. Windows ist von Haus aus so durchlöchert, dass da die US-Dienste auch Verschlüsselung in annehmbarer Zeit brechen können. Jeder Entwickler, der auch nur im Ansatz die Windows-API und Crypto-Verfahren kennt, weiß das.
futro-User-entfernt

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Tony hat geschrieben: 12. Nov 2021 12:46 Ich habe mich damit abgefunden, dass unser ITler alles sehen kann wenn er möchte ... es ist aber auch ein sehr großes Vertrauen vorhanden.

Ich habe allerdings einen USB Stick am Schlüsselbund, wo in einem TrueCrypt-Container die ganz persönlichen Sachen gespeichert sind.
Schon besser, zumal einem so viele Dateien über die sexuellen Vorlieben der Leute schnell zufällig in die Hand rutschen, dass man sowas von Haus aus gleich professionell umgeht, wenn man Zugriff auf Systeme hat. Mein Bedarf an sexuellen Phantasien, die den Rechnern anvertraut werden, sind auf Lebzeiten gedeckt. Und wirkliche Geschäftsgeheimnisse gehören auf keine Kiste mit Netzzugang. Punkt.
vbc
Beiträge: 1813
Registriert: 13. Mai 2017 10:09
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Ich weiß ja nicht, ob es primär da um "Vorlieben" ging, aber egal.

Ich habe eine Zeit lang mit Mac und PC gleichzeitig an einem Arbeitsplatz gearbeitet und das lief einwandfrei über einen Switch für Monitor, Maus & Tastatur. Da gab es einen Knopf zum umschalten und fertig. Vielleicht ist das eine Option, geht ja auch mit 2 PCs !?
Auf dem Zweit Rechner ein freigegebenes Laufwerk für Benutzer Hauptrechner, so kann man Daten schnell hin- und herschieben und wenn der aus ist, kommt auch keiner ran, der Admin beim Hauptrechner ist.

Geht bestimmt auch mit PC und Laptop, womit man sich dann zuhause um Backup des Laptops kümmern kann.
Benutzeravatar
Ach
Beiträge: 3113
Registriert: 29. Mai 2013 10:06

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Es geht nicht um Vorlieben, nicht um meine Frau, nicht um meinen Mann und auch nicht um den Geheimdienst. Ich bin eigentlich froh, dass ich DIE Sorgen nicht hab :-D

Mehr um den Fall, dass mein IT-Kerl liest, dass ich in einem Forum Vorschläge sammle, wie ich zukünftig den IT-Kerl nur noch für die Installation von Standardanwendungen einsetze. :-D

Vera Crypt hab ich mir installiert und rumgetestet. Dass ich immer die Verbindung zum virtuellen Laufwerk trennen oder den PC neu starten muss, finde ich unheimlich umständlich.
Statt dessen habe ich jetzt einfach einzelne brisante Dokumente mit sehr allgemein gehaltenen Titeln versehen und passwortgeschützt. Wenn jetzt Terror im Laden ist, speicher & schließ ich und hab damit die Informationen geschützt. Oder nicht?


Microsoft Edge mit Browser Lock war übrigens eine klasse Empfehlung. Hätte ich nie gedacht, dass ich mich eines Tages mit dem Browser anfreunden könnte.
Benutzeravatar
Ach
Beiträge: 3113
Registriert: 29. Mai 2013 10:06

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

- Browser Lock hab ich jetzt schonmal sofort umgesetzt Vielen Dank!
- E-Mail Adresse außerhalb der Firma hatte ich schonmal aufgesetzt, aber irgendwie nie richtig genutzt.
Browser Lock in Edge + E-Mail-Postfach außerhalb der Firma in einer Outlook-Adresse, die über den verschlossenen Edge geöffnet ist -> ergab lesbaren Popup bei Maileingang, und bei Klick darauf EInblick in den Maileingang. Ich schätze Mal, dass Microsoft da für Windows irgendeine tolle Lösung gebastelt hat.
Fazit: Bitte nicht nachmachen.
Benutzeravatar
Woody-HH
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 2618
Registriert: 29. Mär 2010 19:14
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Tipp von einem Ex-"IT-Kerl": Wenn Du dem Menschen nicht vertraust trenne dich von ihm. Ein Sysadmin darf per Definition alles, alles, alles.
Wenn Du Informationen vor ihm geheim halten willst nutze einen Rechner den er nicht administriert, ein privates Notebook zum Beispiel. Wenn Du den Arbeitsplatz verlässt schließe das Notebook weg. Alles andere ist kein Schutz.
Benutzeravatar
Fotoshooter
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 1689
Registriert: 25. Okt 2016 13:46

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Woody-HH hat geschrieben: 21. Feb 2023 09:54 Tipp von einem Ex-"IT-Kerl": Wenn Du dem Menschen nicht vertraust trenne dich von ihm. Ein Sysadmin darf per Definition alles, alles, alles.
Wenn Du Informationen vor ihm geheim halten willst nutze einen Rechner den er nicht administriert, ein privates Notebook zum Beispiel. Wenn Du den Arbeitsplatz verlässt schließe das Notebook weg. Alles andere ist kein Schutz.
Richtig. Ein guter ITler schafft - fast - jede Verschlüsselung und sei diese auch noch so gut geplant. Hier hilft nur Vertrauen.
Aber ich kann es verstehen, bei uns im Haus mach ich die IT selber und hab für Dinge wo ich nicht mehr im Thema bin einen befreundeten ITler, der hat aber nicht alle Passwörter, im Zweifel muss ich die bei ihm eingeben (und hoffen dass er die nicht mitloggt... ;)).
SteveBrickman
Beiträge: 162
Registriert: 17. Okt 2022 10:34
Land: Deutschland

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Woody-HH hat geschrieben: 21. Feb 2023 09:54 Tipp von einem Ex-"IT-Kerl": Wenn Du dem Menschen nicht vertraust trenne dich von ihm.
Und als aktiver ITler unterschreibe ich das zu 100%. Wir Bitbastler haben auch sowas wie eine Berufsehre. Ich habe zum Beispiel bei uns in der Firma Vollzugriff auf alles, incl. aller Konten (Bank , PP, AMZ, ...) und mir würde im Traum nicht einfallen, da irgendein Schindluder mit zu treiben.
Antworten

Zurück zu „Technik“

  • Information