Keine Immunität für Administratoren

Ein Administrator hat viel gemeinsam mit einem Bibliothekar. Er bereitet Informationen auf und stellt sie technisch zur Verfügung. Seine Aufgabe ist es zwar, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Hierzu zählt jedoch nicht, diese unbedingt zu konsumieren, geschweige denn auszuwerten. Besteht ein solcher begründeter Verdacht, sollte dieser nicht vom Tisch gefegt werden, weil es sich bei dem Verdächtigen um „den Administrator“ handelt. Auch Admins geraten wie andere Menschen in Gewissenskonflikte.

Ein Fallbeispiel: Herr H. und seine Frau arbeiten in der gleichen Firma; er als Administrator, sie als Sekretärin. In letzter Zeit läuft es nicht so gut zwischen den beiden. Herr H. vermutet, dass seine Gattin einer Affäre mit einem anderen Kollegen nachgeht.

Was liegt näher, als dass Herr H. die Kommunikation zwischen dem Arbeitsplatz seiner Frau und dem ihres vermutlichen Verehrers aufzeichnet und auswertet? Diverse frei verfügbare Tools aus dem Internet machen dies auch unerfahrenen Administratoren möglich – vorausgesetzt, die Admin-Rechte von Herrn H. gelten uneingeschränkt im ganzen Unternehmen.

Ein Weg aus der Vertrauensseligkeit: die Trennung von Admin-Rollen

Beschäftigt ein Unternehmen mehrere Administratoren, sollte die Unternehmensleitung die Admin-Rollen trennen. Gäbe es neben Herrn H. noch einen zweiten Administrator, der sich beispielsweise um die E-Mails kümmert, käme Herr H. nicht an diesem vorbei, wenn er wie in obigem Beispiel die Kommunikation uneingeschränkt überwachen wollte.

Typischer Konfliktherd: Zugriffsrechte

Das Passwort zu folgenden Bereichen sollte ausschließlich den mit der Bearbeitung betrauten bzw. neutralen Mitarbeitern wie dem Datenschutzbeauftragten vorliegen:

• E-Mail-Archive
• Log-Dateien (insbesondere solche, die Admin-Aktivitäten aufzeichnen)
• fremde Benutzerkonten
• Dateien/Datenbanken mit religiösen, ethnischen, politischen, gesundheitlichen, sexuellen und ähnlich sensiblen Informationen zu einer Person (vgl. § 3 Abs. 9 BDSG)
• Dateien/Datenbanken, die den Admin in einer Gruppe mit anderen Kollegen vergleichen (z.B. Mitarbeiterbeurteilungen und Gehaltsentwicklungen)

Für den Notfall vorsorgen

Achten Sie bei der Trennung von Admin-Rollen darauf, dass alle Rollen zur Not auf andere Administratoren übertragbar sind. Hierfür eignet sich zum Beispiel ein Safe mit Notfall-Passwörtern. Dessen Benutzung sollte protokolliert und durch den Datenschutzbeauftragten nachvollziehbar sein.

Vorsicht beim Windows-Passwort

Jeder Mitarbeiter sollte sein Windows-Passwort selbst ändern können. Kein Administrator muss das Windows-Passwort aller Kollegen wissen. Fast alle Einstellungen in den Benutzerkonten der Kollegen kann der Administrator vornehmen, ohne sich unter deren Namen anzumelden.

Zur Not das Passwort ändern

Führt kein Weg daran vorbei, dass der Administrator sich unter dem Benutzerkonto eines Kollegen anmeldet, sollte der betroffene Mitarbeiter sein Passwort anschließend auf einen Wert ändern, der dem Administrator unbekannt ist. Andernfalls gehen Datenschutz und Nachvollziehbarkeit verloren. Alle Informationen und Handlungen unter dem betroffenen Benutzerkonto wären immer zwei Personen zugänglich bzw. zuordenbar: dem Benutzer – und dem Administrator.

Kein Freibrief für Passwörter

Administratoren sollten genau die Passwörter kennen, die zur Erfüllung ihrer routinemäßigen Aufgaben nötig sind. Der E-Mail-Administrator beispielsweise benötigt keine Kenntnis des Windows-Universal-Passworts. Werden neue Benutzerkonten angelegt, sollten diese ein Initial-Passwort besitzen, das der eigentliche Benutzer bei seiner ersten Anmeldung ändert. 

Fazit

Als Faustregel sollte für alle Administratoren gelten: So viel Informationen wie nötig, so wenig wie möglich. Admin-Rollen sollten wenn irgend möglich getrennt sein. Jeder Benutzer sollte sein eigenes, nur ihm bekanntes Passwort besitzen.