Seite 1 von 2

Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 10:32
von Ach
Moin moin,

ich suche Empfehlungen:
- Gelegentlich habe ich auf meinem Rechner Dinge, die meine Mitarbeiter nichts angehen. Soll als Chef vorkommen.
- Die meisten Mitarbeiter haben keinen Zugriff auf meinen Rechner, mit Windows+L sperre ich ihn, wenn ich das Büro verlasse. Einfach gelöst.

- Ein Mitarbeiter hat mein Benutzerkennwort und damit Zugriff auf meinen Rechner... Geschlossene Dokumente kann ich noch mit Passwort schützen, offene Browserfenster, Verlauf etc. sind hier noch eine Schwachstelle. Mit Inkognito-Tabs hinterlasse ich keinen Verlauf, bin aber weniger flexibel. Wenn ich Seiten schließe, sind sie erstmal weg. Die wiederzufinden ist dann teilweise echt schwer. Offen lassen ist mindestens genauso unpraktisch. Gibt es irgendeine einfache Möglichkeit, passwortgeschützte Favoriten ohne Verlauf zu speichern? :durchdreh:

- Ein Angestellter kümmert sich als Admin um unsere gesamte IT... Der hat durch seine Tätigkeit ebenfalls Zugriff auf meinen Rechner. Da kann ich nichtmal einschätzen, wie weit dieser Zugriff geht. Er hat natürlich unter anderem die Aufgabe, meine Daten sicherzustellen und macht das auch gut. Aber müsste ich nicht auch meinerseits die Daten vor ihm schützen? Ist das überhaupt sinnvoll machbar?

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 10:43
von DavidH
zu 1)
Ich würde das sensible Surfen in einem anderen Browser durchführen und diesen mittels einer 'Kennwort-App' sichern.
Bsp.: Microsoft Edge: "Browser Lock"

zu 2)
Du müsstest dafür sorgen, dass Deine Daten verschlüsselt abgelegt werden und nur Du sie entschlüsseln kannst. Dadurch kann eine normale Sicherung durchgeführt, aber diese nicht ohne den privaten Schlüssel, wiederhergestellt werden.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 10:43
von miezekatze
Der/die Mitarbeiter bekommen einen eigenen PC. Niemand hat was an deinem Rechner zu suchen. Das kostet kein Geld heutzutage. Problem 1 gelöst.


Zum IT-Angestellten - schwierig, wir haben eine zusätzlich geschäftliche E-Mail Adresse außerhalb unseres @unsereFirma Netzwerks (also bei gmx, web, wo auch immer) wo niemand Zugriff drauf hat. Wenn du mehr geschäftliche Dinge wirklich sicher privat haben möchtest bleibt dir nichts anderes übrig als dich selbst in das Thema ein klein bisschen einzuarbeiten. Privat Geschäftlicher Rechner Zuhause (oder sonst wo) auf dem du arbeitest. Einrichten kann dein IT Kerl den ja (Programme, Internet, Zugriff auf Daten,...), aber alles weitere machst du selber. Vor allem die Datensicherung.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 11:02
von xMerchant
Bei dir fehlt ganz offensichtlich ein Rechte- und Zugriffskonzept.

Mal grob umrissen.
[*]Für jeden Mitarbeiter einen eigenen Login. Nur der Mitarbeiter kennt das Kennwort. Wenn die Rechner in einer Gruppe sind, kann sich trotzdem jeder an jedem Rechner anmelden, hat aber nur Zugriff auf die für ihn freigegebenen Dokumente.

[*]Nur der angemeldete Benutzer hat Leserechte auf "seine" Dateien. Dateien, die nicht von anderen eingesehen werden sollen, werden in der Dokumenten-Struktur des Benutzers gespeichert (auf die hat nur den angemeldete Benutzer Zugriff, Administratoren erst, nachdem sie die Zugriffsrechte überschreiben haben, kann man auch verhindern).

[*]Man kann das auch auf Gruppenebene einrichten, so dass z.B. alle Vertriebsmitarbeiter auf die relevanten Dokumente Zugriff haben, aber keine anderen.

Man kann unter Windows die Rechte so konfigurieren, dass die Datensicherung alle Dateien sichern kann, aber nur berechtigte Benutzer die Dateien öffnen können.

Du bist Dir sicher, dass deine interne IT Datenschutzkonform ist?

Für das Rechtekonzept solltest Du dir externe Hilfe suchen. Es wäre eigentlich die Aufgabe deines ITlers gewesen dich darauf hinzuweisen. Offensichtlich will oder kann er das nicht einrichten. Hol dir jemanden, der das regelmäßig macht, den Bedarf analysiert und auch nachvollziehbar dokumentiert

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 11:06
von kreien
Die Klassiker wären (falls nicht schon geschehen)

a) auf Windows Server mit Active Directories (AD) umzustellen, vgl. https://de.wikipedia.org/wiki/Active_Directory,

b) die Clients sind an den Server angebunden,

c) jeder Benutzer arbeitet an seinem eigenen Rechner in seinem eigenen Benutzerkonto,

d) der Chefrechner (z. B. Laptop) mit privaten/geheimen Aktivitäten ist selbst administriert sowie von der restlichen IT-Landschaft abgekoppelt und hat auch eine eigene Internetverbindung, z. B. sowas wie MagentaMobil Speedbox (vgl. https://www.telekom.de/mobilfunk/tarife ... l-speedbox),

e) ich benutze zum automatisierten Löschen des Caches, Verlaufs und der Cookies das Programm CCleaner Professional.

a) bis c) sind aber Standard oder?

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 11:21
von Ach
Vielen Dank schonmal für die ersten Empfehlungen, das hat mir sehr geholfen!

- Browser Lock hab ich jetzt schonmal sofort umgesetzt Vielen Dank!
- E-Mail Adresse außerhalb der Firma hatte ich schonmal aufgesetzt, aber irgendwie nie richtig genutzt. Unser VPN blockiert leider den Dienst, aber da werd ich sicher eine Lösung für finden. Danke für die Erinnerung!
- Der eine Mitarbeiter, der Zugriff hat, ist nicht aussperrbar. Es ist ein Familienmitglied, dass durch betriebliche Regeln nicht gebunden ist :-) Von daher arbeiten wir eng zusammen und es besteht ein gutes Vertrauensverhältnis. Der BrowsLock ist hier für mich genau das richtige Schutzniveau.
- Mit Verschlüsselung meiner gespeicherten Daten oder alternativ mit der Datensicherung muss ich mich mal befassen. Das Thema begeistert mich mal 0, aber muss wohl.
- Gleiches gilt wohl auch dafür, wie ich den User "Admin" von meinem eigenen Userzugang fernhalte.
- Datenschutztechnisch sind wir sicherlich weder vorbildlich noch lückenlos. Aber alles in allem ganz gut aufgestellt, indem wir Personendaten fast ausschließlich in separat geschützten Systemen haben. Mir geht's hier aber nicht um den Datenschutz, sondern um den Schutz von Geheimnissen.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 11:26
von Wolkenspiel
Ach hat geschrieben: 12. Nov 2021 11:21 - Der eine Mitarbeiter, der Zugriff hat, ist nicht aussperrbar. Es ist ein Familienmitglied, dass durch betriebliche Regeln nicht gebunden ist :-) Von daher arbeiten wir eng zusammen und es besteht ein gutes Vertrauensverhältnis. Der BrowsLock ist hier für mich genau das richtige Schutzniveau.
Du willst deinen Browserverlauf vor den Blicken deiner Frau schützen? :lol:

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 11:28
von Ach
@kreien: Ich hab deinen Beitrag erst nach dem Absenden gesehen.
Vielen Dank!
a-b muss ich mich mal einlesen, verstehe ich nichts von.
c ist überall dort, wo es sinnvoll und möglich ist, umgesetzt. Auf der Verkaufsfläche beispielsweise hat aber jeder Mitarbeiter die Möglichkeit, spontan an jeden Rechner zu gehen.

d) wow, das Setup hört sich extrem sicher an. Das hätte ich jetzt gemacht, wenn ich in der Rüstungsindustrie wäre :-D So hart haben wir das nichtmal in der Wirtschaftsprüfung gehandhabt. Eigene Internetverbindung und losgelöst vom Firmennetzwerk funktioniert nicht. Ich brauch einerseits Programme und Daten, die wir in der Firma zentral auf einem Server haben. Andererseits brauch ich Zugriff auf verschiedene Systeme, die in der Verbundzentrale liegen. Da hab ich nur über einen von der Zentrale gemanagte Internetverbindung via VPN Zugriff.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 11:28
von hissenit
Wenn alles doch auf einem Rechner stattfinden soll, wäre eine Lösung VeraCrypt in Kombination mit portablen Anwendungen, die dann nur im VeraCrypt-Container liegen und per Passwort (Verschlüsselung) geöffnet werden können.
In der Theorie kann natürlich jeder mit Adminrechten einen Keylogger installieren. Irgendwo sind dann Grenzen, wenn man keine echte physische Trennung der Gerätschaften hat.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 12:42
von kreien
Backups verschlüsseln oder einzelne externe Datenträger ist schön und gut sowie auch für Laien beherrschbar. Aber komplett verschlüsselte Partitionen auf Servern oder Clients, die sich im Produktivbetrieb befinden, das ist was für Profis und will wohlüberlegt sein – das wäre mir zu heikel. Beim kleinsten Problem – seien es gekippte Bits in großen Container-Dateien oder ein missratenes Windows-Update, das keine Rücksicht nimmt und einen (versteckten) Container anzählt – ist erst mal Schluss.

Die Idee mit VeraCrypt und dort implementierten portablen Anwendungen ist gut – ich mache das teilweise so. Leider bedarf der Start von VeraCrypt itself im Portable Mode lokaler Adminrechte – ich bekomme es jedenfalls nicht ohne hin, was die Handhabung erschwert und die Gruppe der geeigneten Benutzer wieder einschränkt.

Am Rande: Vor allem, immer schön Backups machen, USB-Sticks und SD-Karten leben auch nicht ewig, genauso wie der Chef. Jeder kann jederzeit sterben, eine Notfallmappe mit allen Paswörtern im Safe wäre gut für die Nachfolger (KeePass kann so eine Liste auf Papier ausdrucken).

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 12:46
von Tony
Ich habe mich damit abgefunden, dass unser ITler alles sehen kann wenn er möchte ... es ist aber auch ein sehr großes Vertrauen vorhanden.

Ich habe allerdings einen USB Stick am Schlüsselbund, wo in einem TrueCrypt-Container die ganz persönlichen Sachen gespeichert sind.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 12. Nov 2021 21:31
von JohnGalt
Tony hat geschrieben: 12. Nov 2021 12:46 Ich habe mich damit abgefunden, dass unser ITler alles sehen kann wenn er möchte ... es ist aber auch ein sehr großes Vertrauen vorhanden.
Der größte Angriffsvektor in der IT-Sicherheit sind Menschen.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 13. Nov 2021 01:28
von futro-User-entfernt
miezekatze hat geschrieben: 12. Nov 2021 10:43 …dein IT Kerl…
Bei dieser Wertschätzung wird der „IT Kerl“ wohl sehr bald abwandern und spätestens dann sollte man seinen Kram auch selbst auf die Reihe kriegen. :lol:

Die schlaueren Angestellten backen dem „IT Kerl“ zum Admin-Day derweil eine Torte und haben dafür im Gegenzug keine Probleme mit irgendwas. Als ob den juckt, dass der Chef sich nach Feierabend bei der Domina auspeitschen und am Hundehalsband ausführen lässt. applaus

Nunja, ansonsten muss man halt alles verschlüsseln, aber ganz ehrlich, wenn man so sensibele Daten hat, dass da keiner drauf zugreifen darf, gehört da jeder weitere Zugriff ohnehin gesperrt und vorallem das Ganze vom Netz getrennt, denn das ist das wahrscheinlichste Einfallstor für Angriffe auf „Geschäftsgeheimnisse“.

Edit: Ach ja, und die Verschlüsselung hilft auch nix, wenn es um so sensible Geschäftsgeheimnisse geht, dass die wirklich den Aufwand lohnen. Windows ist von Haus aus so durchlöchert, dass da die US-Dienste auch Verschlüsselung in annehmbarer Zeit brechen können. Jeder Entwickler, der auch nur im Ansatz die Windows-API und Crypto-Verfahren kennt, weiß das.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 13. Nov 2021 02:05
von futro-User-entfernt
Tony hat geschrieben: 12. Nov 2021 12:46 Ich habe mich damit abgefunden, dass unser ITler alles sehen kann wenn er möchte ... es ist aber auch ein sehr großes Vertrauen vorhanden.

Ich habe allerdings einen USB Stick am Schlüsselbund, wo in einem TrueCrypt-Container die ganz persönlichen Sachen gespeichert sind.
Schon besser, zumal einem so viele Dateien über die sexuellen Vorlieben der Leute schnell zufällig in die Hand rutschen, dass man sowas von Haus aus gleich professionell umgeht, wenn man Zugriff auf Systeme hat. Mein Bedarf an sexuellen Phantasien, die den Rechnern anvertraut werden, sind auf Lebzeiten gedeckt. Und wirkliche Geschäftsgeheimnisse gehören auf keine Kiste mit Netzzugang. Punkt.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 13. Nov 2021 08:05
von vbc
Ich weiß ja nicht, ob es primär da um "Vorlieben" ging, aber egal.

Ich habe eine Zeit lang mit Mac und PC gleichzeitig an einem Arbeitsplatz gearbeitet und das lief einwandfrei über einen Switch für Monitor, Maus & Tastatur. Da gab es einen Knopf zum umschalten und fertig. Vielleicht ist das eine Option, geht ja auch mit 2 PCs !?
Auf dem Zweit Rechner ein freigegebenes Laufwerk für Benutzer Hauptrechner, so kann man Daten schnell hin- und herschieben und wenn der aus ist, kommt auch keiner ran, der Admin beim Hauptrechner ist.

Geht bestimmt auch mit PC und Laptop, womit man sich dann zuhause um Backup des Laptops kümmern kann.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 16. Nov 2021 17:16
von Ach
Es geht nicht um Vorlieben, nicht um meine Frau, nicht um meinen Mann und auch nicht um den Geheimdienst. Ich bin eigentlich froh, dass ich DIE Sorgen nicht hab :-D

Mehr um den Fall, dass mein IT-Kerl liest, dass ich in einem Forum Vorschläge sammle, wie ich zukünftig den IT-Kerl nur noch für die Installation von Standardanwendungen einsetze. :-D

Vera Crypt hab ich mir installiert und rumgetestet. Dass ich immer die Verbindung zum virtuellen Laufwerk trennen oder den PC neu starten muss, finde ich unheimlich umständlich.
Statt dessen habe ich jetzt einfach einzelne brisante Dokumente mit sehr allgemein gehaltenen Titeln versehen und passwortgeschützt. Wenn jetzt Terror im Laden ist, speicher & schließ ich und hab damit die Informationen geschützt. Oder nicht?


Microsoft Edge mit Browser Lock war übrigens eine klasse Empfehlung. Hätte ich nie gedacht, dass ich mich eines Tages mit dem Browser anfreunden könnte.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 21. Feb 2023 07:33
von Ach
- Browser Lock hab ich jetzt schonmal sofort umgesetzt Vielen Dank!
- E-Mail Adresse außerhalb der Firma hatte ich schonmal aufgesetzt, aber irgendwie nie richtig genutzt.
Browser Lock in Edge + E-Mail-Postfach außerhalb der Firma in einer Outlook-Adresse, die über den verschlossenen Edge geöffnet ist -> ergab lesbaren Popup bei Maileingang, und bei Klick darauf EInblick in den Maileingang. Ich schätze Mal, dass Microsoft da für Windows irgendeine tolle Lösung gebastelt hat.
Fazit: Bitte nicht nachmachen.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 21. Feb 2023 09:54
von Woody-HH
Tipp von einem Ex-"IT-Kerl": Wenn Du dem Menschen nicht vertraust trenne dich von ihm. Ein Sysadmin darf per Definition alles, alles, alles.
Wenn Du Informationen vor ihm geheim halten willst nutze einen Rechner den er nicht administriert, ein privates Notebook zum Beispiel. Wenn Du den Arbeitsplatz verlässt schließe das Notebook weg. Alles andere ist kein Schutz.

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 21. Feb 2023 14:59
von Fotoshooter
Woody-HH hat geschrieben: 21. Feb 2023 09:54 Tipp von einem Ex-"IT-Kerl": Wenn Du dem Menschen nicht vertraust trenne dich von ihm. Ein Sysadmin darf per Definition alles, alles, alles.
Wenn Du Informationen vor ihm geheim halten willst nutze einen Rechner den er nicht administriert, ein privates Notebook zum Beispiel. Wenn Du den Arbeitsplatz verlässt schließe das Notebook weg. Alles andere ist kein Schutz.
Richtig. Ein guter ITler schafft - fast - jede Verschlüsselung und sei diese auch noch so gut geplant. Hier hilft nur Vertrauen.
Aber ich kann es verstehen, bei uns im Haus mach ich die IT selber und hab für Dinge wo ich nicht mehr im Thema bin einen befreundeten ITler, der hat aber nicht alle Passwörter, im Zweifel muss ich die bei ihm eingeben (und hoffen dass er die nicht mitloggt... ;)).

Re: Informationen im Rechner vor den eigenen Mitarbeitern schützen

Verfasst: 21. Feb 2023 15:47
von SteveBrickman
Woody-HH hat geschrieben: 21. Feb 2023 09:54 Tipp von einem Ex-"IT-Kerl": Wenn Du dem Menschen nicht vertraust trenne dich von ihm.
Und als aktiver ITler unterschreibe ich das zu 100%. Wir Bitbastler haben auch sowas wie eine Berufsehre. Ich habe zum Beispiel bei uns in der Firma Vollzugriff auf alles, incl. aller Konten (Bank , PP, AMZ, ...) und mir würde im Traum nicht einfallen, da irgendein Schindluder mit zu treiben.