Skip to content

Sicherheitslücke Systemadministrator ...

Geschrieben von Dirk Deimeke am
gedanken Ein Arbeitskollege wies mich heute auf den Artikel Die unheimlichen Götter im Tagesanzeiger hin. Der Artikel thematisiert etwas, was schon lange bekannt ist und nie bestritten wurde. Allerdings muss darüber im Umfeld der verschiedenen Affären rund um Bespitzelung noch einmal gesprochen werden. Menschen, die Vollzugriff auf Systeme haben, können ihre Rechte auch missbrauchen.

Einige Firmen haben das bereits erkannt und verlangen aus diesem Grund ein (polizeiliches) Führungszeugnis bzw. Führungszeugnis (Schweiz) oder Strafregisterbescheinigung (Österreich). Das ist zwar nicht ausreichend, aber schon einmal ein Statement. Wenn man wegen Computerkriminalität vorbestraft ist - zählen eigentlich illegale Kopien dazu? - dann wird es schwierig, einen Job in solchen Firmen einen Job zu finden.

Ich halte den Systemadministrators' Code of Ethics für wichtig und ich erwarte, dass jeder, der professionell IT betreibt auch dahinter steht. Den Verhaltenskodex habe ich für unser Buch übersetzt und als Richtlinie auch bei My own IT eingesetzt.

(Vielleicht lohnt es sich auch, hier im Blog mal nach "ethics" zu suchen).

Trackbacks

blog.bering.in am : PingBack

Vorschau anzeigen

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

sadig am :

*Deswegen halte ich snowden nicht fuer einen maertyrer sondern fuer einen dieb

Dirk Deimeke am :

*Grenzwertig.

Steht die höhere Ethik über dem Berufs-Ethos? Finde ich schwierig zu beurteilen. Ich kann Deine Haltung aber verstehen.

Blizzz am :

*Dieb? Kann man so sehen. Offenbar bedarf es ihn, Milliardenfache Rechtsverletzungen eines Regimes aufzudecken, das überall auf dem Globus Menschen ermordet, wie es ihm beliebt. Dann ist so ein Dieb mit offenen Armen zu empfangen und einfach ein Held. Märtyrer nicht, er lebt ja noch. Und das hoffentlich lange.

Dirk Deimeke am :

*Ganz, ganz schwieriges Thema.

Wer entscheidet, was gut und was richtig ist? Der "gesunde Menschenverstand" ist je nach Person anders, da gibt es keine grossen Gemeinsamkeiten.

Nach meinen Moralvorstellungen hat er mutig und richtig gehandelt.

Martin "jorval" am :

*Zum Glück haben bei uns auf die kritischen Systeme wie proxylogs nur 2 Personen Zugriff.
Diese Ethik das man die selben Schweigepflichten wie Ärzte zum Beispiel hat lässt sich leider nicht jedem vermitteln.

Das selbe gilt aber auch für das Verständnis der Nutzer (des Firmennetzes!!!) die den einfachen Zugang oft in der vergangenheit missbraucht haben, mehrfach. Erst nachdem wir dann Hart mit GF und Abmahnungen durch gegriffen haben haben sich die Nutzer belehren lassen.

Dirk Deimeke am :

*Proxies halte ich für nicht so wahnsinnig kritisch. Schlimmer sind meiner Ansicht nach E-Mail und Systeme der Personalabteilung. Schlimm ist auch, wenn die Geschäftsführung die Admins missbraucht, um selber Einsicht zu nehmen.

Die Rechtslage ist unzweideutig ... gerade, was auch private Nutzung angeht. Allerdings muss der Arbeitgeber diese dann untersagen.

Martin Fink am :

*Die Proxies waren ja nur ein Beispiel, und ich finde die Logs schon sehr Kritisch den der unbedarfte Nutzer legt mit seinem Surfverhalten oft auch privates wie seine sexuellen Neigungen offen, und das jemand fremden (dem Admin) der trotzdem bekannt ist.

Jep, Wir haben schon oft über interne Mailverschlüsselung nach gedacht, aber wie es so häufig ist fehlt Zeit und auch interresse.
Wir haben zwar darauf geachtet Begehrlichkeiten klein zu halten, aber sobald ein Mitarbeiter auf der "liste" steht ...

Rechtlich ist jedem Mitarbeiter die private Nutzung der Infrastruktur untersagt, aber ich bin der Meinung das es schwierig bleibt da der Arbeitgeber ja Unterschiede macht. Solange der Mitarbeiter nicht auf der "Liste" steht wird über die Private Nutzung hinweg gesehen. Da ist es einfach für den Arbeitgeber.

Dirk Deimeke am :

*Das macht es so oder so einfach für den Arbeitgeber.

Wenn private Nutzung untersagt ist, darf er jederzeit kontrollieren.

Ich darf das Internet in der Firma privat nutzen, denke aber nicht, dass ich kritische Seiten ansurfe ... :-)

Henrik am :

*Danke für die Links. Ich möchte noch hinzufügen, das man bei gewissen Aufträgen, die man z.B. als Auftragnehmer für den Staat, Bundesbehörden oder ähnliches annehmen möchte einer Sicherheitsüberprüfung unterzogen wird. Siehe http://de.wikipedia.org/wiki/Sicherheits%C3%BCberpr%C3%BCfungsgesetz

Ü1 und Ü2 hab ich schon.

Dirk Deimeke am :

*Ü2 hatte ich auch mal, die muss ja regelmässig wiederholt werden :-)

Danke für den Link.

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen
Datenschutzerklärung / Impressum