Mir wurden zwei Papiere zur Unterschrift vorgelegt, die mich fast zum Explodieren bringen.

Aus Pamphlet 1 (EDV-Passwort):

Zitat:

Alle passwörter müssen klein geschrieben werden.

Der Ausschluss von Großbuchstaben reduziert unnötig die Sicherheit. Ob die Verwendung von Sonderzeichen gestattet sein soll ist noch unklar.

Zitat:

Das Passwort ist in einem verschlossenen Umschlag (namentlich gekennzeichnet) im Safe der Firma zu hinterlegen.

What for? Bei betriebsrelvanten PW lass ich mir das einreden, aber nicht bei Standardbenutzerpasswörtern. Das ist intransparent im Gegensatz zum Zurücksetzen durch den Administrator.

Aus Pamphlet 2 (Dienstanweisung bez. E-Mail- und Internetnutzung):

Zitat:

Als Spam erkennbare E-Mails dürfen nicht beantwortet, sondern müssen direkt und ungeöffnet gelöscht werden.

Wer bestimmt was als Spam erkennbar ist? Die Idioten aus der GL klicken auf jede Mail. Kann ich da eine Abmahnung einfordern?
Ich traue mir zu Spam zu erkennen, aber bei den Kollegen sieht es eher düster aus.

Zitat:

Zweifelhafte Links in unverlangt zugesandten E-Mails sollten nicht angeklickt werden.

Und wieder Wischi-Waschi.

Mein Liebling:

Zitat:

Es ist generell untersagt, ausführbare Programme aus dem Internet herunterzuladen und zu installieren. Ausnahmen sind Informationsquellen, z.B. PDF Dokumente.

Keine ausführbaren Programme aus dem Internet herunterladen
Gut ich lade keine Patches und Updates für die von mir betreute Anwendungssoftware herunter. Den SQL-Server lasse ich zur Not auch absaufen. Tools für die tägliche Arbeit ... (nein ich habe nichts Schriftliches was mir zusagt im Rahmen meiner Tätigkeit dies doch zu tun).
Und was zum Geier hat ein PDF Dokument mit ausführbaren Dateien zu tun?

Zitat:

Schützen Sie sich vor Mailbomben.

Aha. Danke für den Hinweis.

Zitat:

...dürfen auf Arbeitsplatzrechern selbstextrahierende Archive, also solche mit endungen wie *.EXE, niemals aufgerufen werden, da vor dem Auspacken der Inhalt nicht geprüft werden kann.

Ich will so etwas gar nicht mehr kommentieren.

Da steht noch ein ganzer Haufen anderer ziemlicher fragwürdiger Dinge drinnen. Was mache ich damit? Betriebsrat gibt es keinen und der DSB ist erst seit einem Monat im Amt und hat weder Ahnung noch kann er sich durchsetzen (hab ihn in der Sache schon ergebnislos losgeschickt).

Ich hoffe auf erhellende Kommentare.

Marc

PS: Anfangs wollten die doch allen ernstes, dass jeder sein Passwort beim Admin abgibbt, der es dann in eine Liste hätte übertragen sollen

Zitat:

PDF Dokument

Besonders lustig, weil ich mir damals beim Öffnen eines PDF-Dokumentes den Silent Banker geholt habe^^

Zitat:

Gut ich lade keine Patches und Updates für die von mir betreute Anwendungssoftware herunter. Den SQL-Server lasse ich zur Not auch absaufen. Tools für die tägliche Arbeit

rofl, was ein "genialer" Gedanke von denen.
Keine Patches keine Updates, das wird ein Schuss in den Ofen

Ohjehhh ohjehhh.
Was soll man dazu noch sagen?
seufz

Zitat:

Das Passwort ist in einem verschlossenen Umschlag (namentlich gekennzeichnet) im Safe der Firma zu hinterlegen.

Ist auch rechtlich nicht vertretbar, sofern dieses Zugangspasswort für deinen (persönlichen) Login zutreffend ist!
d.h. bei uns dürfte nicht mal jemand meinen Arbeitsrechner bzw. Festplatten durchsuchen, ohne meine vorherige Zusage.
(oder durch beisein des Betriebsrates!)

Zitat:

Schützen Sie sich vor Mailbomben.

Ist nicht deine Aufgabe, sondern die des Servers bzw. dessen Software.

Zitat:

...dürfen auf Arbeitsplatzrechern selbstextrahierende Archive, also solche mit endungen wie *.EXE, niemals aufgerufen werden, da vor dem Auspacken der Inhalt nicht geprüft werden kann.

Wenn du dich wirklich daran hälst, solltest du den Vorschlag machen das man alle "Tools" aus den Microsoftsystemen (ich gehe davon aus das ihr diese habt) entfernt. Sie stellen eine zu große Gefahr für die globale Systemsicherheit dar!
(kein netstat mehr, kein defrag mehr, kein explorer mehr, kein IE mehr...)

Armer Marc...

Zitat:

Zitat von [GC]Sunny

Ist auch rechtlich nicht vertretbar, sofern dieses Zugangspasswort für deinen (persönlichen) Login zutreffend ist!

Hast Du da eine zitierfähige Quelle? Ich bin da nicht wirklich fündig geworden.

Zitat:

Armer Marc...

Selten habe ich Hanlon's razor so häufig zitieren müssen wie in diesen Tagen. Es nervt bestialisch.

Gruß

Marc

Ich kann Dich ja mal eine Runde in den Arm nehmen, wenn dir das besser geht dann?

Wie gesagt mein Angebot steht schon einmal Tempos bereithalte

Schimpf, lass die Wut raus!

@Marc. vielleicht das?
Was darf der Administrator wissen?

Ich fühle auch mit Dir, liebe Grüße, Heike

Danke Heike. Inhaltlich ok, aber der Admin ist gar nicht das Problem. Die User-PW sollen in den Tresor. Ich als Nutzer habe keine Garantie, dass ich im Falle einer Kontrolle meines Accounts auch wirklich darüber benachrichtigt werde.
Ich traue meiner GL einen Haufen Scheisse zu. Vor allem sehe ich keine Notwendigkeit im Abliefern der User-PW. PW zurücksetzen, Account kontrollieren und gut ist. Beim nächsten Login bekomme ich als User die Info, dass mein PW einem Reset unterzogen wurde. Das ist transparent. Soll ich denn jede Woche überprüfen, ob der Umschlag mit dem PW noch in Ordnung ist? Die PW sollen alle 90 bis 180 Tage geändert werden. Ja, dann müssen auch alle 90 - 180 Tage die Umschläge gewechselt werden.
Wenn jemand mein PW sieht, kann er Rückschlüsse ziehen, wie ich meine PW zusammensetze. Ich habe nen Hals. Ich könnte die sowas von

Gruß und Danke

Marc

diese 'dienstanweisung' ist ja echt der brüller...

... ich würde das mit den passwörtern so machen: entweder ein falsches angeben oder handynummer draufschreiben

Zitat:

Es ist generell untersagt, ausführbare Programme aus dem Internet herunterzuladen und zu installieren. Ausnahmen sind Informationsquellen, z.B. PDF Dokumente.

Das ist doch eindeutig. Keine ausführbaren Programme herunterladen, es sei denn du brauchst sie. Etwa für PDF-Dokumente, Flash-seiten, Codecs zum abspielen, ....

Mein Beileid für den Rest. Das klingt als würdest du wieder ne Menge Spass haben in der nächsten Zeit.

lg myrtille

Danke @ Heike

@Marc

Ich würde dieses Passwort nicht im safe aufbewahren lassen. Jedes Passwort sollte der Admin zurücksetzen können wenn es Bedarf gibt.
Alles andere würde ich nicht dulden.

Ich habe oftmals schon "gemunkelt", das man bei uns in der GL auch die Mails kontrolliert, ich konnte leider noch nie jemandem etwas nachweisen.
Auch wenn es schon sehr merkwürdig woher mein nächster Vorgesetzter gewisse Details/Infos kennt...

Doch noch was gefunden:

Zitat:

Ein Passwort muss geheim gehalten werden. Es darf nirgendwo aufgeschrieben und keiner anderen Person - auch nicht dem Systemverwalter oder dem dienstlichen Stellvertreter - mitgeteilt werden (R2).

Ansonsten könnten Systemverwalter oder Stellvertreter beispielsweise unter fremder Kennung Daten verändern wobei das Protokoll der Datenänderung den Inhaber der persönlichen Kennung als Urheber der Änderung ausweist. Ebenso könnten unter fremdem Namen E-Mails versandt werden, die beim Empfänger den Eindruck hinterlassen, sie seien von dem Inhaber der persönlichen Kennung versandt worden.

Eine Ausnahme gilt lediglich für betriebswichtige Passwörter wie Administrator-Passwörter; diese können in einem verschlossenen Umschlag in einem Tresor aufbewahrt werden.

Der Landesbeauftragte für den Datenschutz Baden-Württemberg

Das wird ein Tanz werden. Und der DSB kann sich am Montag auf etwas gefasst machen.

Marc

Zur Info:

Nach Rücksprache mit einem Bekannten (Jurist, spezialisiert auf Arbeitsrecht) werde ich die Dienstanweisungen unterzeichnen. Jedoch werde ich für jeden Punkt der mich in meiner Arbeit einschränkt, einen Vorbehalt formulieren. So behalte ich mir auch vor, das Passwort für meinen normalen Userlogin nicht im Tresor zu hinterlegen (administraive Passwörter ausgenommen). Mal schauen wie die GL reagiert.

Marc