was haltet Ihr davon: Ein Mitarbeiter im Homeoffice will nach der Mittagspause weiter auf seinem Dienst-PC arbeiten (per VPN auf einem Terminalserver in der Verwaltung) und bekommt den Hinweis: “Ihr Kennwort wurde zurückgesetzt, vergeben Sie hier ein Neues.” Es handelt sich also nicht um die turnusmäßige Aufforderung sein Kennwort zu wechseln, sondern offensichtlich um einen willkürlichen Akt des EDV-Administrators. Dazu muss man wissen, dass der EDV-Administrator dem Mitarbeiter unterstellt hat, dass dieser Zugangsdaten hätte, die der EDV-Admin bräuchte. Es ist also naheliegend, dass der EDV-Admin ohne den Mitarbeiter in Kenntnis zu setzen, dessen Passwort zurückgesetzt hat, ein neues vergeben hat und dann unter der Identität des Mitarbeiters dessen Useraccount nach Informationen durchsucht hat. Danach hat er einfach wieder das Passwort zurückgesetzt, damit der User sich erneut ein Passwort vergeben konnte.
Leider bleibt das “Warum” spekulativ. Allerdings bin ich der Meinung, dass der Administrator das Passwort nur mit einem speziellen Grund zurücksetzen darf und dann nicht ohne Benachrichtigung, bzw. die Einwilligung des Users.
Was ist Eure Meinung? Und wie würdet Ihr das ahnden wollen?
Vor dem Ahnden erst mal fragen. Den Administrator.
D., der empfehlen würde, solche Admin-Aktivitäten dokumentieren zu lassen. Gibt es keine nachvollziehbaren Gründe, müsste man dem Admin das Kennwort zurücksetzen…
Fakt scheint zu sein, dass das Passwort ohne ersichtlichen Grund zurückgesetzt wurde. Hier ist der Admin (bzw. die Administration) rechenschaftspflichtig. Wenn die Vermutung wahr wäre (Admin sucht in Anwender-Konten herum), wäre es sehr heikel und müsste wohl auch Folgen für den Admin haben. Und wenn in der Firma Privatnutzung erlaubt wäre, dann wird es nochmal heikler, weil da in der Regel für den absoluten Ausnahmefall meist nur ein Vieraugen-Zugriff erlaubt wäre.
Das geht gar nicht. Er kann es zurücksetzen und den User auffordern, ein neues zu vergeben, das war’s. Er selber kann es weder einsehen¹ noch ändern. So habe ich’s jedenfalls in Erinnerung aus meinen Zeiten als Admin - sollte mich sehr wundern, wenn die Datenschutzrichtlinien seitdem lockerer geworden wären, wohl eher im Gegenteil, oder?
Einwilligung ist garantiert nicht erforderlich, Benachrichtigung ist ja erfolgt. Und der spezielle Grund war vermutlich, dass es sicherer ist, das Passwort “mal irgendwann zwischendurch” unangekündigt zu ändern, nicht nur turnusmäßig zu bekannten Zeitpunkten.
[1] Nun gut, der Admin könnte das Passwort unter bestimmten Voraussetzungen schon einsehen. Wie die meisten “Hacker”, die vorgeben, ein Passwort geknackt zu haben: Die haben irgendwo den Zettel gefunden.
Wie die meisten “Hacker”, die vorgeben, ein Passwort geknackt zu haben: Die haben irgendwo den Zettel gefunden.