donnervogel515 13 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 Hallo Forum, hoffe ich bin im Off Topic Bereich mit meinem Anliegen richtig aufgehoben ....ansonsten bitte ich um Verschiebung. Wie regelt Ihr eigentlich gerade als Dienstleister (wird es hier ja wohl auch einige geben) den Zugriff auf Kundendaten wie Kennwörter und sonstige empfindliche Daten? Welche Tools nutzt Ihr gegebenenfalls oder habt ihr euch selber Lösungen gebaut? Finde den Umgang bei uns im Unternehmen recht schwierig und immer wenn Mitarbeiter gehen oder Praktikanten kommen kriege ich Bauchschmerzen (mal stärker mal schwächer). Das nach einem Mitarbeiterwechsel Zugangsdaten (auch beim Kunden) geändert oder gesperrt werden müssen ist natürlich nicht vermeidbar, aber wie bekomme ich es recht komfortabel hin, dass Mitarbeiter transparent nur auf Daten Zugreifen können welche sie auch wirklich benötigen und nicht z.B. Daten von Kunden mit denen Sie gar keine Schnittmenge haben. Unsere bisheriges Ablage System ist eigentlich nur dateibasiert, also Excel und Word. Berechtigungen werden auf NTFS Ebene vergeben. Das Funktioniert sicherlich auch ist aber nicht wirklich komfortabel / transparent und ich habe einfach Angst dass mal etwas durch eine Unachtsamkeit doch übersehen werden könnte. Bin für jeden hilfreichen Tipp dankbar....es muss auch keine Freeware sein ;-) Danke 3 Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 Passwörter legen wir in Keepass Dateien ab. Hat aber auch die Nachteile, wenn jemand die Firma verlässt kann er die Kennwörter mitnehmen und diese sollten dann geändert werden. Es gibt aber alternative Produkte, die besser mit Multiuser Umgebungen arbeiten wie z.B. http://www.passwordsafe.de/produkte/unternehmen/enterprise-server.html http://www.manageengine.com/products/passwordmanagerpro/ http://passwordvaultmanager.com/ Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 (bearbeitet) Wenn man die Berechtigungen vernünftig setzt und ein Konzept erarbeitet, wer auf welche Resource zugreifen darf, dann sehe ich das nicht so dramatisch. Man sollte halt nicht alles in einen Ordner schmeißen sondern für bestimmte Berechtigungsgruppen eigene Ablageorte festlegen, auf die dann auch nur diese Gruppen Zugriff haben. In Business-Anwendungen mit eigener Benutzerverwaltung richtet man einen neuen Benutzer ein. Somit muss man nach dem Ausscheiden des Mitarbeiters überhaupt kein Passwort ändern. Man löscht oder deaktiviert einfach dessen Benutzerkonto. Benutzerpasswörter muss man sich nicht unbedingt merken. Das sollte jeder Benutzer für sich behalten und selbst merken. Es gibt für mich keinen triftigen Grund, wozu ein Admin das Benutzerpasswort der Mitarbeiter kennen muss. Für administrative Passwörter kann man natürlich ein extra Programm wie Keepass benutzen. bearbeitet 20. August 2013 von iDiddi Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 (bearbeitet) Wie regelt Ihr eigentlich gerade als Dienstleister (wird es hier ja wohl auch einige geben) den Zugriff auf Kundendaten wie Kennwörter und sonstige empfindliche Daten? Hallo, ich kenne keine Kundendaten, habe keinen Zugriff darauf, kenne keine Kennwörter von Kunden, keine deren Mitarbeiter. Ein neuer Mitarbeiter erhält mit der Einladung zum Antritt Daten für die Initialisierung, er ist gezwungen, diese sofort zu ändern, darauf wird er hingewiesen. bearbeitet 20. August 2013 von lefg Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 (bearbeitet) Hallo, ich kenne keine Kundendaten, habe keinen Zugriff darauf, kenne keine Kennwörter von Kunden, keine deren Mitarbeiter. Ein neuer Mitarbeiter erhält mit der Einladung zum Antritt Daten für die Initialisierung, er ist gezwungen, diese sofort zu ändern, darauf wird er hingewiesen. Genau so sollte es sein ;) Personenbezogene und private Daten sind hierzulande besonders geschützt. Da muss man als Admin auch rein rechtlich auf der Hut sein. Existiert bei Euch eine Richtlinie bzgl. privater Nutzung etc.? bearbeitet 20. August 2013 von iDiddi Zitieren Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 Hallo, ich kenne keine Kundendaten, habe keinen Zugriff darauf, kenne keine Kennwörter von Kunden, keine deren Mitarbeiter. Du bist als Dienstleister unterwegs? Ich kenne genügend Dienstleister (ich gehöre dazu), die vor diesem oder ähnlichen Problemen stehen. Der Kunde erwartet "problemlose" Bearbeitung von Störungen, da kann man bei 24h natürlich auch erstmal dafür sorgen, dass der Kunde alle notwendigen Daten dann per remote in die Session klimpert, oder man hat entsprechende Zugangsdaten. Diese sind dann eben _sicher_ zu verwalten. Dazu gibt's auch entsprechende Vertragspunkte. Oder wie regelt man innerhalb des Dienstleisters den Zugriff auf solche Daten? Nicht jeder soll jedes Kennwort jedes Kunden kennen können oder dürfen. Auch hierfür ist dann eben eine entsprechende technische Lösung zu schaffen. Achso, wir verwenden derzeit für sowas Password Depot von acebit, wurde hier im Thread glaub ich noch nicht genannt. Das ist grundsätzlich ganz ok, aber wenn ich nochmal ne Entscheidung für ein Produkt treffen müßte, wäre es sicher nicht mehr dieses. ;) Ein neuer Mitarbeiter erhält mit der Einladung zum Antritt Daten für die Initialisierung, er ist gezwungen, diese sofort zu ändern, darauf wird er hingewiesen. Ja, und was hat das mit der eigentlichen Anfrage des TO zu tun? Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 Vor allem wenn man z.B. Fileserver oder andere Dienste für einen Kunden bereitstellt hat man unter Umständen gezwungenermaßen Zugriff auf Kundendaten (wie soll man z.B. sonst auf einem Fileserver Rechte setzen wenn man selbst keine Rechte besitzt). Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 20. August 2013 Melden Teilen Geschrieben 20. August 2013 Wir setzen von Cyber-Ark Enterprise Password Vault ein. Damit hat man relativ gute ACLs und Nachverfolgung wer wann worauf zugreift. Leider haben Mitarbeiter manchmal noch lokal Keepass drauf und arbeiten dort mit Kundendaten. Das wird aber regelmässig geprüft. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. August 2013 Melden Teilen Geschrieben 21. August 2013 Du bist als Dienstleister unterwegs? Zugegeben, esist machmal schwierig, meist zeitraubend, manchmal sch*****. Ich bin bei meinen Kunden im Systen als Benutzer eingetragen z.B. in der Gruppe der Administratoren. Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 21. August 2013 Melden Teilen Geschrieben 21. August 2013 Früher als ich eher "Kunde" für externen Support war, wurden keine sensiblen Passwörter heraus gegeben. Entweder wurden für die entsprechenden Accounts die Passwörter in welche geändert, die der Support wissen durfte und danach wieder geändert, oder es gab einen Account, der danach wieder gesperrt wurde. Oder der Support war vor Ort und wir haben ihm den Account nach jedem reboot angemeldet. Gewisse Passwörter sollten sowieso regelmäßig geändert werden. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. August 2013 Melden Teilen Geschrieben 21. August 2013 (bearbeitet) Ich bin mir nicht sicher, was der TO meint, um welche Mitarbeiter es ihm geht, um Mitarbeiter des Kunden und deren Daten oder um seine eigenen Mitarbieter, die beim Kunden den Support machen und dabei dessen Daten erfahrren, darauf Zugriff haben, nach deren Ausscheiden immer noch die Zugangsdaten kennen? bearbeitet 21. August 2013 von lefg Zitieren Link zu diesem Kommentar
donnervogel515 13 Geschrieben 21. August 2013 Autor Melden Teilen Geschrieben 21. August 2013 (bearbeitet) Hallo an Alle, danke für die bisherigen Informationen. Es ist wirklich sehr schwierig als Dienstleister die richtige Balance zwischen Sicherheit und der von Kunden auch gewollten flexiblen Arbeitsweise zu finden. Gerade bei sehr kleinen Kunden ist es teilweise sehr schwierig, da diese natürlich sicheren Arbeitsweisen (z.B. jeder Mitarbeiter von uns hat einen eigen Account auf dem Kundensystem) dann doch schon auch einen erheblichen Mehraufwand erfordert. Natürlich haben wir von 99% der nicht administrativen Benutzerkonten keine Zugangsdaten, aber manchmal lässt es sich leider nicht verhindern. Leider erfordert die Ablage der Informationen im Dateisystem mit entsprechenden Berechtigungen Disziplin und es kommt leider immer wieder vor dass es in Eile zu Fehlern kommt. Daher suche ich eben ein entsprechendes Tool. Werde mir die oben genannten heute am Abend alle einmal ansehen und auf unsere Belange prüfen. Danke an Alle für die bisherige Hilfe Werde entsprechend Feedback geben PS: Es geht mir um den Zugriff auf administrativen Daten für Kundensysteme und wie ich diese für unsere Servicemitarbeiter sicher(er) bereitstellen kann. bearbeitet 21. August 2013 von donnervogel515 Zitieren Link zu diesem Kommentar
donnervogel515 13 Geschrieben 7. März 2014 Autor Melden Teilen Geschrieben 7. März 2014 Hallo, nach einiger Zeit haben wir uns jetzt nach einer ausgiebigen Evaluierung für PasswordSafe in der Enterprise Edition (inkl. Enterprise Server) entschieden. Wollte nur noch mal eine kurze Rückmeldung zu diesem Thema geben. Bisher sehe ich in diesem Produkt nur Vorteile, wenn jemand noch ein absolutes NoGo hat kann er dieses hier gerne noch ergänzen. Die Lizenzen werden ja erst in der nächsten Woche erworben. Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 13. März 2014 Melden Teilen Geschrieben 13. März 2014 Hallo Donnervogel, vielen Dank für deine Rückmeldung. Viele Grüße Arnd 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.