On 01-Nov-00 Bernd Brodesser wrote:
Wie willt Du die Ähnlichkeit überprüfen? Du kennst doch nur das gekryptete Paßwort, und die sehen sich nicht ähnlich, noch nicht mal wenn das Paßwort gleich ist, wg. unterschielichem salt.
kA, es gibt jedenfalls Programme, die sowas checken. Wie die das machen weiß ich nicht (ich denk mal, die produzieren irgendeine Prüfsumme, die mindestens um einen bestimmten Wert unterschiedlich sein muß). Zumindest die Identität zu den letzten 5 Passwörtern ist ja kein gesteigertes Problem, da muß man ja nur archivieren.
2. Ab und an sollte man auch mal Stichproben machen. Dabei vorher klar
Was für Stichproben? Wie will man feststellen, ob jemand jemand anderes ausspioniert, es sei man erwicht ihm inflagranti. Und selbst dann kann es schwer sein es ihm nachzuweisen.
Man kann z.B. mal die Anwesenheitszeiten laut Zeiterfassung mit den Anmeldezeiten am System abgleichen, um zu sehen, ob ein Passwort von mehreren Leuten benutzt wird. Oder man kann mal stichprobenhaft checken, wer vor dem Rechner sitzt (z.B. indem man in das entsprechende Büro geht) und wer angemeldet ist. Man kann sich mal so typische Passwort-Aufschreibestellen wie Monitor, Schreibtischunterlage, Mousepad und Tastatur anschauen und wenn man da irgendwelche Wörter drauf findet die mal antesten. Sicher nicht vollkommen, aber zumindest geeignet, die gröbsten Schnitzer teilweise aufzudecken.
Was willst Du kontorllieren, wo er das Paßwort notiert haben könnte. Die erste Möglichkeit woran ich denken würde, wäre doch ein Adressbuch, aber Du willst doch nicht allen Ernstes die privaten Adressbücher der Mitarbeiter kontrollieren.
Sicher nicht. Allerdings kann man z.B. Mitarbeitern bei der Anmeldung am System zuschauen.
Außerdem kennst Du das Paßwort nicht. Wenn da irgendwo ein Wort steht, dann könnte es das Paßwort sein. Was machst Du dann? Alle Wörter, die irgendwo notiert sind durchtesten?
Zumindest die, die besonders auffällig sind, ja. Natürlich kann man nicht alles durchtesten, aber wenn das Zeug so intelligent verwahrt ist, daß man nicht ohne Weiteres draufkommt, ist ja schon was gewonnen. Es geht auch nicht um vollständige Aufdeckung sondern mehr darum, die Umsetzung der Policies in der Praxis zu beobachten und zu zeigen, daß Fehlverhalten Konsequenzen haben kann. Besonders letzteres ist wichtig, um glaubwürdig zu bleiben.
definieren, welche Konsequenzen Fehler haben und die dann incl. Chef auch gnadenlos durchziehen. z.B.: Wie meinst Du incl. Chef. Ihm auch überprüfen?
Diese Regeln müssen für den Chef genauso gelten wie für den Mitarbeiter. Sonst ist der Chef die potentielle Sicherheitslücke, die alles untergräbt. Ich kenne z.B. einen Mittelständler, der hat mit seinem zuständigen EDV-Sicherheitsmann nen entsprechenden Vertrag. Wenn die Firmenleitung nachweisbar mehrfach und ohne vorherige Absprache gegen die Security-Policy verstößt, dann kann der EDV-Mann fristlos und mit ner fürstlichen Abfindung kündigen. Sowas geht aber natürlich nur dann, wenn die Firmenleitung auch wirklich kompromisslos hinter dem Thema Sicherheit steht. In manchen Bereichen greifen auch übergeordnete Gesetze, z.B. bei Banken und Versicherungen können sich Geschäftsführer, die Sicherheitsmaßnahmen umgehen, unmittelbar strafbar machen. Hierzu sei die Lektüre des StGB und des BDSG empfohlen ;)
1. Verfehlung --> Gespräch mit Abteilungsleiter Ok, Gespräche sind immer gut. Welchen Abteilungsleiter hat denn der Chef? ;)
Im Zweifelsfall den nächsthöheren Chef oder den EDV-Menschen oder die gesamte Firmenleitung (die ja meistens nicht nur aus einer Person besteht). Ist aber ein richtiger Einwand, dieses Problem muß man im Vorfeld klären und nicht erst wenns knallt.
Zwangsweise wird nicht gehen. In der Freizeit wirst Du nicht durchsetzen können. Wenn es während der Dienstzeit ist, kann es sogar als Vorteil angesehen werden. "Lieber Schulung als Arbeit"
Natürlich kann man das durchsetzen, kenne mindestens 2 Firmen wo das so gemacht wird. Die Leute werden zunächst während der Dienstzeit geschult und unterschreiben dann die Policy. Wenn sie dann dagegen verstoßen, ist das ein klarer Verstoß gegen eine Dienstanweisung und damit ein arbeitsrechtliches Delikt. Durch die unterschriebene Vereinbarung könnte sowas im Einzelfall sogar als Betrug gewertet werden! Man könnte nun z.B. den Mitarbeiter wählen lassen, ob er "freiwillig" am Wochenende ne Schulung besucht oder lieber gleich ne arbeitsrechtlich saubere Abmahnung kriegt (mit Eintragung in die Personalakte). Wenn der MA nicht ganz blöd ist, entscheidet er sich für die Schulung. Wichtig ist aber wie gesagt, solchen Sachen muß der Betriebsrat zustimmen und sie müssen im Vorfeld klar und unmißverständlich kommuniziert und auch akzeptiert werden, sonst gibts massiv Ärger.
Aha Du kündigst also Deinen Chef, wenn er zum vierten Mal schlampt.
Siehe oben.
Du glaubst allen Ernstes, daß ein guter Mitarbeiter deswegen entlassen wird?
Ein Mitarbeiter, der mit seinem Verhalten den Bestand der Firma gefährdet, kann kein guter Mitarbeiter sein, unabhängig davon was er sonst leistet. Würdest Du einen Mitarbeiter, der das Firmengebäude anzündet, rausschmeißen? Und das, obwohl er doch sonst so gute Arbeit leistet? Oder einen, der den Schlüssel zum Firmengebäude dem nächstbesten Penner am Bahnhof in di Hand gibt? Das einzige Problem, das ich sehe, ist die Mentalität, EDV-Sicherheit mit zu niedriger Priorität zu behandeln bzw. Verstöße als leichte Verfehlungen zu betrachten. Das ist definitiv der falsche Ansatz. Wer Schutzmaßnahmen für sensible Daten wissentlich umgeht, handelt zumindest grob fahrlässig und nimmt Schäden, die an den Bestand des Betriebs gehen können, in Kauf. Da kann es mit einem "Versehen" oder einem "das macht doch jeder so" nicht getan sein.
wird. Ist es im IT-Bereich, so kann man sagen, ein guter Mitarbeiter schlampt nicht mit Paßwörter herum. Selbst das stimmt nicht. Aber was ist, wenn es nicht im IT-Bereich ist, sondern die Mitarbeiter hauptsächlich mit ganz anderen Dingen beschäftigt sind. Sei es Handwerk, seien es Schreibkräfte oder Ärzte.
Jeder Mitarbeiter, der die Firma in ihrem Bestand gefährdet, ist ein potentielles Risiko, unabhängig vom sonstigen Beitrag, den er erwirtschaftet. Glaubst Du wirklich, daß der Typ bei MS, der den Trojaner eingeschleppt hat, mit keinerlei Konsequenzen rechnen muß? Wer mit Passwörtern in Sicherheitskritischen Bereichen schlampt oder Sicherheitseinrichtungen mutwillig umgeht, der ist eine Bedrohung für das gesamte Unternehmen und muß rausfliegen, ne andere Möglichkeit gibts auf Dauer nicht. Nur muß man den Leuten das halt auch von Vorneherein klar machen. Wozu wären Sicherheitsmaßnahmen sonst da? Es geht ja nicht nur um Passwörter. Was machst Du mit nem kassierer, der die Tresortüre nachts offenläßt? Der kriegt auch eine aufs Dach, oder? Mit anderen Worten: Schlamperei mit Passwörtern ist ein grober Verstoß gegen die betriebliche Ordnung. Unachtsamkeit und Unwissenheit gelten ab dem Moment nicht mehr, ab dem man die Policy unterschrieben hat.
Wie willst Du das als einzelner regeln? Du mußt aufpassen, daß nicht Du es bist, der sozial ausgegrenzt wird.
Deshalb kann man sowas nur dann vernünftig umsetzen, wenn die gesamte Geschäftsleitung inclusive Mitarbeitervertreter voll hinter dem Konzept steht und es auch umsetzt. Das ist das Hauptproblem, solange der schlampige Umgang mit Passwörtern als Kavaliersdelikt betrachtet wird hat das alles natürlich keinen Sinn. Man muß sicher auch nicht immer alle Maßnahmen umsetzen, aber wer sensitive Daten verarbeitet und solche Dinge außen vor läßt, handelt grob fahrlässig (und damit auch außerhalb der Arbeitgeberhaftung, d.H. er muß ggf. die Folgen selber tragen!) -- =========================================================== Erhard Schwenk - alias Bitrunner =)B==o) =========================================================== No Spam replies please. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com