Moin,
aufgescheucht durch diverse Meldungen über Schäden durch Viren, wird es in den nächsten Tagen zu einem Gespräch zwischen uns (Admin's) und der obersten Führungsetage geben. Thema: was tun?
Mich interessiert, wo ist die rechtliche Grenze dessen, was der Admin darf. Begebe ich mich schon auf rechtlich gesehen dünnes Eis, wenn ich /var/log/mail nach z.B. Empfänger von Mails greppe und Absender, die an Adressen wie "BlutUndGewalt@..." (nicht erfunden, real!) schreiben, der Geschäftsleitung zu einem erklärendem Gespräch vorschlage?
Die Lage ist so, daß das Mailaufkommen durch versenden von, ich formuliere mal sanft, möglicherweise nicht im Interesse der Firma liegenden Anhängen, so stark gestiegen ist, daß die Kapazität der ISDN-Leitung bald nicht mehr reicht.
Also, wie handhaben das andere in ähnlicher Lage wie ich, kennt jemand Links dazu im Internet?
Andreas
Am Donnerstag, dem 13. Dezember 2001 um 08:58:34, schrieb Andreas Kretschmer:
Mich interessiert, wo ist die rechtliche Grenze dessen, was der Admin darf.
In der c't wurde mal darueber geschrieben. Es haengt davon ab, ob den Mitarbeitern der Gebrauch ihres Accounts zu privaten Zwecken erlaubt ist. In diesem Fall gehen dich die Emails nichts an. Sind die Accounts nur zu dienstlichen Zwecken gedacht, dann darfst du alles tun, was im Interesse der Firma liegt. Beispielsweise waere es dann auch moeglich, dass im Falle von Krankheit oder Urlaub die ankommenden Emails durch einen anderen Kollegen bearbeitet werden. Wichtig ist, das die Mitarbeiter das wissen und das mit Betriebsrat etc. geklaert ist.
Torsten
Torsten Werner (twerner@intercomm.de) schrieb auf LUG-DD am Don, 13 Dez, 2001; 09:10 +0100:
Am Donnerstag, dem 13. Dezember 2001 um 08:58:34, schrieb Andreas Kretschmer:
Mich interessiert, wo ist die rechtliche Grenze dessen, was der Admin darf.
In der c't wurde mal darueber geschrieben. Es haengt davon ab, ob den Mitarbeitern der Gebrauch ihres Accounts zu privaten Zwecken erlaubt ist.
So ist das. Erklärt alle Daten per Policy zum Firmeneigentum und Du musst hinteher nicht erklären, warum Du .eml Dateien filterst. Wie Ihr das dann praktisch handhabt ist was anderes.
Bei Log-Files monitore nur, was Du brauchst. Manche machen Log-file Auswertungen öffentlich. Das ist wohl rechtlich kritisch und schreckt nicht ab.
[...]
Mitarbeiter das wissen und das mit Betriebsrat etc. geklaert ist.
Ja.
Gruß,
Frank
Andreas Kretschmer kretschmer@wug-glas.de writes:
aufgescheucht durch diverse Meldungen über Schäden durch Viren, wird es in den nächsten Tagen zu einem Gespräch zwischen uns (Admin's) und der obersten Führungsetage geben. Thema: was tun?
Mich interessiert, wo ist die rechtliche Grenze dessen, was der Admin darf. Begebe ich mich schon auf rechtlich gesehen dünnes Eis, wenn ich /var/log/mail nach z.B. Empfänger von Mails greppe und Absender, die an Adressen wie "BlutUndGewalt@..." (nicht erfunden, real!) schreiben, der Geschäftsleitung zu einem erklärendem Gespräch vorschlage?
Was ja wohl inhaltlich nichts mit den oben von dir vorgebrachten "Schäden durch Viren" zu tun hat.
Zu bedenkende Punkte ohen Anspruch auf Vollständigkeit ... :
Gezielt Suchen würde ich nicht. Wenn man im Rahmen seiner Administrationstätigkeit über bestimmte Dinge stolpert, kann sich daraus natürlich die Notwendigkeit zum Handeln ergeben.
Private Nutzung: Da muß innerhalb der Firma geklärt werden, was erlaubt ist und wie die Kostenfrage geklärt ist. Ich glaube gelesen zu haben, daß ohne explizites Verbot heutzutage ein stillschweigendes Einverständnis des Arbeitgebers für begrenzte nichtdienstliche Internet-Nutzung angenommen wird. Äquivalent zum Telefonieren.
Wenn einzelne Nutzer durch ihre Internet-Nutzung unbeabsichtigt (was per se anzunehmen ist) signifikante Kosten verursachen, sollte man sie persönlich ansprechen. Das hat erstmal nix bei der Führungsetage zu suchen.
Wenn man rein zufällig darüber stolpert, daß Nutzer Dinge tun, die geeignet sind, das Ansehen der Firma in der Öffentlichkeit zu beeinträchtigen, wird es delikat. In einer größeren Firma ist ein Verfahren definiert, daß dann gegebenenfalls Datenschutzbeauftragten, Betriebsrat oder Dienstvorgesetzten einschaltet. Bei Abwesenheit solcher Instanzen hängt es wohl sehr vom Einzelfall ab, ob man dem Delinquenten noch eine "letzte Chance" unter Umgehung des Dienstvorgesetzten gibt. Ich weiß nicht. Aber in der Praxis ist es eher so, daß man auch dann, wenn die Papierform die große Kanone erlauben könnte, das Ganze lieber etwas tiefer hängt.
Theoretisch könnte noch die Beeinträchtigung des Betriebsfriedens eine Rolle spielen.
Sven
am Thu, dem 13.12.2001, um 19:14:57 +0100 mailte Sven Rudolph folgendes:
Andreas Kretschmer kretschmer@wug-glas.de writes: Was ja wohl inhaltlich nichts mit den oben von dir vorgebrachten "Schäden durch Viren" zu tun hat.
Ja, klar. Es geht allgemein eben um Sicherheit, Internet, Mail, Firewall, ... Es fehlen Konzepte.
Zu bedenkende Punkte ohen Anspruch auf Vollständigkeit ... :
Gezielt Suchen würde ich nicht. Wenn man im Rahmen seiner Administrationstätigkeit über bestimmte Dinge stolpert, kann sich daraus natürlich die Notwendigkeit zum Handeln ergeben.
Ja. Zum gezielten suchen habe ich momentan auch eigentlich keine Zeit. Ich will es auch nicht. Nur leider stolpert man oft genug darüber. Und dann steht man als Admin da und hat ein Problem, wenn man weiß, die die Führung sich mit solchen Themen nicht beschäftigt. Wenn ich zu $USER gehe und sage: mein Freund, Du hast gestern Pornoseite X gesehen und dann gleich 'ne fette Mail an Freund Y mit 'nem MPEG dran geschickt, dann kann das voll gegen mich gehen.
Private Nutzung: Da muß innerhalb der Firma geklärt werden, was erlaubt ist und wie die Kostenfrage geklärt ist. Ich glaube gelesen zu haben, daß ohne explizites Verbot heutzutage ein stillschweigendes Einverständnis des Arbeitgebers für begrenzte nichtdienstliche Internet-Nutzung angenommen wird. Äquivalent zum Telefonieren.
Das ist der Knackpunkt: mir schwebt eine schriftliche Belehrung vor, daß alle wissen: eMail ist ein Ding der Firma. Begrenzte private Dinge können erfolgen, aber es gibt Logs, und ab und an werden diese kontrolliert. Und wenn Mails mit zig Megabyte an einen *.gmx - Account z.B. gehen, besteht Verdacht einer übermäßigen privaten Nutzung. Oder gar der Verdacht, daß Interna der Firma abfließt.
Wenn man rein zufällig darüber stolpert, daß Nutzer Dinge tun, die geeignet sind, das Ansehen der Firma in der Öffentlichkeit zu beeinträchtigen, wird es delikat. In einer größeren Firma ist ein Verfahren definiert, daß dann gegebenenfalls Datenschutzbeauftragten, Betriebsrat oder Dienstvorgesetzten einschaltet. Bei Abwesenheit
Leider fehlt sowas, aber darum wird es wohl nächste Woche auch gehen.
solcher Instanzen hängt es wohl sehr vom Einzelfall ab, ob man dem Delinquenten noch eine "letzte Chance" unter Umgehung des Dienstvorgesetzten gibt. Ich weiß nicht. Aber in der Praxis ist es
Hab ich auch schon gemacht. Motto: passe auf, es fällt auf. Unter 4 Augen. Hilft oft. Aber das ist schon an sich für mich nicht ungefährlich, solange keine klare Regelung dazu besteht.
Danke Dir erst einmal. Ich habe auch im LinuxMagazin Heft 6 dazu was gefunden, deckt sich mit Deinen Worten und dem, was ich eigentlich will.
Andreas
Andreas Kretschmer kretschmer@kaufbach.delug.de writes:
Ja, klar. Es geht allgemein eben um Sicherheit, Internet, Mail, Firewall, ... Es fehlen Konzepte.
Man sollte sehr klar zwischen Security, Traffic-Kosten und Überwachung von Mitarbeitern trennen. Letzteres ist definitiv nicht deine Aufgabe.
Wenn ich zu $USER gehe und sage: mein Freund, Du hast gestern Pornoseite X gesehen und dann gleich 'ne fette Mail an Freund Y mit 'nem MPEG dran geschickt, dann kann das voll gegen mich gehen.
"Ich habe letztens bei der Fehlersuche gesehen, daß sie eine reichlich große E-Mail-Nachricht verschickt haben. So große Nachrichten verursachen bei unserer Internet-Anbindung richtige Kosten. Bitte nutzen Sie in Zukunft ein Pack-Programm wie z.B. Zip und vermeiden Sie den Versand von großen Bildern oder gar Filmen."
Im Sinne der Nutzer-Schulung kann man ja auch öffentlich Hinweise zum kostensparenden E-Mail-Versand bereitstellen ...
Das ist der Knackpunkt: mir schwebt eine schriftliche Belehrung vor, daß alle wissen: eMail ist ein Ding der Firma. Begrenzte private Dinge können erfolgen, aber es gibt Logs, und ab und an werden diese kontrolliert.
Verdachtsunabhängig wird gar nicht in die Logs geschaut. Du kannst notfalls eine Volumen-Aufschlüsselung pro Person machen. Aber mehr solltest du wirklich nicht wissen wollen.
Und wenn Mails mit zig Megabyte an einen *.gmx - Account z.B. gehen, besteht Verdacht einer übermäßigen privaten Nutzung.
Was weiß ich, wo eure Kunden ihr Postfach haben ? ;-)
Oder gar der Verdacht, daß Interna der Firma abfließt.
Was jeder Mitarbeiter genausogut per Diskette oder Papier kann. Das kannst du nicht technisch unterbinden.
(Genauso kann sich jeder Mitarbeiter die Zeitung mitbringen, statt die Bilder aus dem Internet zu saugen. Alles, was in dem Szenario gleich ist (Zeitverschwendung, potentielle moralische Bedenklichkeit), geht dich nix an.)
Hab ich auch schon gemacht. Motto: passe auf, es fällt auf. Unter 4 Augen. Hilft oft. Aber das ist schon an sich für mich nicht ungefährlich, solange keine klare Regelung dazu besteht.
Es ist für dich einfacher, wenn du dich auf die technischen Dinge beschränkst. Laß deine Vorstellungen über die Arbeitsmoral der Kollegen und die bevorzugten Inhalte von MPEG-Files außen vor. Dafür ist dann auch einfacher Rückendeckung zu bekommen.
Sven
Am Sonntag, 16. Dezember 2001 19:28 schrieb Sven Rudolph:
Man sollte sehr klar zwischen Security, Traffic-Kosten und Überwachung von Mitarbeitern trennen. Letzteres ist definitiv nicht deine Aufgabe.
Wobei erstes und letztes doch eine Menge miteinander zu tun haben...
"Ich habe letztens bei der Fehlersuche gesehen, daß sie eine reichlich große E-Mail-Nachricht verschickt haben. So große Nachrichten verursachen bei unserer Internet-Anbindung richtige Kosten. Bitte nutzen Sie in Zukunft ein Pack-Programm wie z.B. Zip und vermeiden Sie den Versand von großen Bildern oder gar Filmen."
Das kommt natürlich auf das Feingefühl und die Rethorik des einzelnen an - darin ist nicht jeder Meister ...
Verdachtsunabhängig wird gar nicht in die Logs geschaut. Du kannst notfalls eine Volumen-Aufschlüsselung pro Person machen. Aber mehr solltest du wirklich nicht wissen wollen.
....
Was jeder Mitarbeiter genausogut per Diskette oder Papier kann. Das kannst du nicht technisch unterbinden.
(Genauso kann sich jeder Mitarbeiter die Zeitung mitbringen, statt die Bilder aus dem Internet zu saugen. Alles, was in dem Szenario gleich ist (Zeitverschwendung, potentielle moralische Bedenklichkeit), geht dich nix an.)
....
Es ist für dich einfacher, wenn du dich auf die technischen Dinge beschränkst. Laß deine Vorstellungen über die Arbeitsmoral der Kollegen und die bevorzugten Inhalte von MPEG-Files außen vor. Dafür ist dann auch einfacher Rückendeckung zu bekommen.
Diese 'ich bin nur der Administrator, der Rest geht mich nichts an'-Haltung mag in einer großem Firma mit klaren Aufgabengebieten wohl gut funktionieren. In einer 10-20 Mann Firma sieht die Realität wohl aber doch anders aus. Würde ich nur das machen, wofür mich mein Chef beauftragt, hätten wir immer noch kein funktionierendes Netzwerk|Backup|USV etc. Denn für gewöhnlich hat der Chef von solchen Dingen keine Ahnung. Das ich die Server überwache, habe ich nicht einem Auftrag von ihm zu verdanken, sondern weil ich es von mir aus mache. Und wenn z.B. wieder mal knapp die 6GB-Grenze voll ist, was so auf's Band passt, dann halt ich nicht still oder sage, wir brauchen einen größeren Streamer. Schaun wie mal ins $Home von den Herrn Praktikanten rein, da finden sich tolle Sachen. Na klar wurde denen das nicht vorher verboten - eine Firmenpolicy gibt es (noch) nicht. Die wird auch erst auf mein Betreiben hin in Angriff genommen - mit niedriger Priorität.
Ich habe nun die Möglichkeit, das Kind in den Brunnen fallen zu lassen, um hinterher einen Batzen Arbeit zu haben, dann vielleicht mit Segnung vom Chef. Oder ich mache gleich was ich für notwendig halte, die IT-Struktur der Firma am Leben zu erhalten und tue dafür auch Dinge, die mir keiner sagt. Der Chef wird von meinen Aktionen unterrichtet und ist froh, das ihm jemand mit mehr Know-how die Entscheidungen abnimmt. Die Dinge mit schlüprigen Videos, die auch schon bei uns vorgekommen sind, spreche natürlich mit ihm ab - bisher sind wie so sehr gut gefahren.
Mit freundlichen Grüßen
Jens Puruckherr
Am Donnerstag, 13. Dezember 2001 08:58 schrieb Andreas Kretschmer:
Moin,
aufgescheucht durch diverse Meldungen über Schäden durch Viren, wird es in den nächsten Tagen zu einem Gespräch zwischen uns (Admin's) und der obersten Führungsetage geben. Thema: was tun?
...
Ich stecke in einer ganz ähnlichen Situation. Als FreizeitAdmin einer 20-Mann Firma sind existierende verbindliche Regeln die Nutzung der IT natürlich Utopie. Glücklicherweise kann ich $Chef dafür sensibilisieren, allerdings stehen wie so oft, seine Prioritäten anders. Aber langsam wirds.
Ohne klare Firmenrichtlinien stehst du auf verlorenem Posten, die technische Seite kommt erst an 2. Stelle. Wie so oft ist es auch bei uns umgedreht, also ich versuche techn. Schon mal zu unterstützen, was ich $chef vorschlage, als verbindlich zu erklären. (Virenscanner, Downloadbeschränkungen etc)
Der Fall, das $Kollege sich auch einen dicken 6.mpg in sein ~ gezogen hat hatte ich schon. Ich hab ihm das auch erste mal persönlich erklärt, ganz lieb. Ich denke, in der Regel wird es keine Konsequenzen haben, wenn man die Leute erst mal persönlich anspricht. Wenn er sich wirklich stur stellt und anfängt zu schreien, dann bist du es nicht eben nicht gewesen .... ;-) In diesem Falle ist der Kollege jedoch eh auf der Abschußliste, denk ich mal.
Durch Zufall (wenn die Leute Ihre eigenen Mailadresse falsch schreiben), kam ich dahinter, das sich Kollegen von aussen die neuesten, virenverseuchten Bildschirmschoner in die Firma zuschicken. Hm, da bin ich dann doch mal zu $Chef gegangen und habe ihm das übertragen.
Nun bin ich aber am feilen einer Firmenpolicy, vielleicht kann man sich da mal austauschen. Wer hat sowas schon mal gemacht? Gibt es da Vorlagen, auf denen man aufbauen kann. Das das Ganze hinterher noch zum Anwalt muß ist klar. Wenn der das gleich schreibt, verstehe ichs nur dann nicht mehr....
Mit freundlichen Grüßen
Jens Puruckherr
lug-dd@mailman.schlittermann.de