#17 DIN SPEC 27076 Part 3

[René]

Herr Korn­mann, guten Tag.

[Michael]

Herr Gep­pert, salve, servus. Na, ich hoffe, alles ste­ht wun­der­bar, Tech­nik ste­ht, die Laune ist oben und mein Knochen­brech­er hat mir bestätigt, dass mein Beck­en jet­zt auch wieder ger­ade ste­ht. Das heißt, meine Kopf­schmerzen, die ich let­zte Woche hat­te, sind auch wieder weg.

Alles ist im grü­nen Bere­ich.

[René]

Das hört sich doch wun­der­bar an.

[Michael]

Ja, klar.

[René]

Wir sind beim let­zten Mal ges­tartet mit der DIN-SPEC 27076, beziehungsweise schon beim vor­let­zten Mal. Beim let­zten Mal sind wir schon in die erste Kat­e­gorie reinge­gan­gen.

[René]

Da waren wir beim The­ma Organ­i­sa­tion und Sen­si­bil­isierung.

Das haben wir dort ja aus­ge­führt. Und heute geht es dann eigentlich direkt weit­er, und zwar mit der Kat­e­gorie Iden­titäts- und Berech­ti­gungs­man­age­ment.

[Michael]

Richtig.

[René]

Und ich glaube, dazu haben wir einiges zu erzählen. Da gibt es näm­lich sehr viele Punk­te.

[Michael]

Ja, wird span­nend. Das näch­ste Kapi­tel von der DIN SPEC, wo wir ein­fach mal drüber reden kön­nen und auch mal reden soll­ten. Ich finde, das ist ein super wichtiges und span­nen­des Kapi­tel, weil es halt da ins Grundle­gende Eingemachte geht.

Also da geht es halt wirk­lich darum, wer hat wie Zugriff auf die Dat­en und wie sichere ich mein Unternehmen ab, um ein­fach diese Dat­en sicherzuhal­ten und die Zugriffe so zu regeln, dass da halt nicht jed­er draufkommt. Und das ist so das Kapi­tel, was da betrof­fen wird, genau. Geht los, geht los, geht los.

Wie wir es auch schon mal in so einem Pod­cast davor unge­fähr hat­ten, aber wir gehen es nochmal anders. Es geht los mit den tech­nis­chen, greift auch so ein biss­chen in die Toms rein von der DSGVO. Es geht halt ein­fach damit los, dass man sich­er­stellen muss, dass der Zutritt ins Unternehmen schon mal so sichergestellt ist, dass halt ein­fach nicht jed­er rein­laufen kann, sodass es schon mal damit anfängt, dass ich sage, mein Unternehmen, meine vier Wände und ich stelle sich­er, dass halt eben nicht gle­ich das Neg­a­tivbeispiel der UPS-Bote auf ein­mal im Büro von der Geschäft­sleitung ste­ht und fragt, wo er denn hier sein Päckchen abgeben kann, son­dern dass es entsprechende Schritte gibt, die halt sich­er­stellen, dass nur die, die ins Gebäude reinkom­men, auch die sind, die dazu berechtigt sind.

[René]

Ja, so ein Beispiel hast du ja ger­ade schon gebracht, ger­ade mit so einem UPS-Boten oder keine Ahnung von welch­er Unternehmung der­jenige ist. Das ken­nt man aber. Das kenne ich auch aus der Kund­schaft, dass es immer mal wieder so ist.

Man sitzt im Meet­ing, Meet­ing ist immer ein ganz gutes Beispiel, da kriege ich es näm­lich mit. Wenn ich dann da bin und wir sind in Gesprächen und diese Gespräche führt man ja dann oft­mals auch mit mehreren Per­so­n­en, dann hat man es dann nach­her so, dass irgend­wann dann so, hal­lo, hal­lo, so fängt das dann an und plöt­zlich ste­ht jemand in der Tür, weil er halt vorne einen Emp­fang oder son­st wo eben nie­man­den angetrof­fen hat. Und der Meet­ingraum ist ja oft­mals dann auch ein­er der let­zten Räume, wo er dann ankommt.

Er hat schon die ersten drei Büros durch­forstet so unge­fähr. Ja, das gestal­tet sich natür­lich dann ein biss­chen schwierig.

[Michael]

Ich merke das auch immer in der Beratung. Bei Neukun­den ist es so ein Run­ning Gag und ich merke es halt auch bei vie­len Kol­le­gen, wenn die so aus dem Doing erzählen, dass sie sagen, sie stellen sich dann ein­fach mal mit­ten in die Raucherecke und huschdi­wusch sind sie halt über den Ein­gang dann im Gebäude drin und am Emp­fang sich dran vor­bei­huschen. Oder es gibt immer so diese Sto­rys.

Das habe ich noch nicht gemacht. Das ist auch nicht mein Ansatz. Ein­fach mal mit der Latzhose und mit dem Handw­erk­erkof­fer am Emp­fang zu ste­hen und zu sagen, ich muss mal nach irgendwelchen Rohren, Heizun­gen etc. pp guck­en. Also von der Sache her ist, wo sich die Unternehmen Gedanken machen soll­ten, sie soll­ten halt ein­fach einen geregel­ten Zutritt ins Unternehmen haben. Also es sollte sich­er sein, dass ich weiß, wer in meinem Unternehmen ist und ich weiß über welche Zugänge Betrieb­s­fremde und auch betrieb­sin­terne Per­so­n­en in mein Unternehmen reinkom­men.

Also klas­sisch ist es halt wirk­lich, entwed­er habe ich bei der Nebenein­gangstür einen Emp­fang, der beset­zt ist oder die Tür ist zu und die, die rein wollen, mögen bitte klin­geln. Und dann sollte das Unternehmen jeman­den haben, nicht einen haben, der auf den Sum­mer drückt, dass die Tür aufge­ht, son­dern dann sollte halt ein­er run­terge­hen und diese betrieb­s­fremde Per­son in Emp­fang nehmen. Und das sind halt so absolute Basics, wo ich schon bei vie­len Unternehmen gese­hen habe und du hast das sicher­lich auch gle­ich ein paar Sto­rys zu erzählen, wo das halt ein­fach nicht der Fall ist, wo du halt ein­fach als Dien­stleis­ter durch­laufen kannst.

[René]

Ja, also da gibt es unter­schiedliche Beispiele. Ein Beispiel ist, da bin ich auch zum Kun­den gekom­men und da war das so, ich habe mich gemeldet, wie du ger­ade sagst, mit so einem Sum­mer. Ich habe mich da gemeldet, da war Gegen­sprechan­lage, da ging jemand dran, da habe ich nur kurz gesagt, ja hier, Fir­ma Serve­Com, bla bla bla, und dann, ja, kom­men Sie mal rein.

So, dann bin ich reinge­gan­gen und dann kam erst­mal der Ein­gangs­bere­ich, der ist erst­mal leer, da war eh keine Per­son. Da hätte ich schon mal in die andere Rich­tung abbiegen kön­nen, weil da waren die ersten Büros, aber da bin ich richtig abge­bo­gen, habe dann auch diese Per­son getrof­fen, die eben an der Gegen­sprechan­lage war und diese hat mich dann ein­fach drei Räume weit­ergeschickt. Während ich diese drei Räume weit­erge­gan­gen bin, habe ich aber schon gese­hen, okay, auf mein­er linken, also in der Meet­ingraum­lage auf der recht­en Seite, auf mein­er linken war es aber so, dass dort der Server­raum war.

Also das war so, ich glaube, das war der zweite Ter­min, glaube ich, beim Kun­den. Beim ersten Mal war es halt wirk­lich, dass wir uns draußen getrof­fen haben, da ging es näm­lich um Videoüberwachung, da haben wir uns nur den Außen­bere­ich angeschaut und im Innen­bere­ich war es dann eben so, dass ich dann das erste Mal da durchge­laufen bin und dann kon­nte ich halt sehen, okay, linke Seite, da ist der Server­raum. Dieser Server­raum war offen.

Und auch der Net­zw­erkschrank war offen, denn dort waren die Kabel so, wie so ein Ball halt davor, das heißt, die Tür ging gar nicht mehr zu. Ich hätte ein­fach da rein­laufen kön­nen und hätte da Kabel ziehen, steck­en, was weiß ich, ich hätte tun kön­nen, was ich will. Son­dern ich sollte halt alleine zu diesem Meet­ingraum gehen und dort war, jet­zt mal ganz unab­hängig davon, ob es gast­fre­undlich ist oder nicht, ist es halt trotz­dem, also es ist ja schon ein kri­tis­ches The­ma und das dann so laufen zu lassen, ist dann nicht sehr opti­mal.

[Michael]

Ja, also mein Ding ist immer, das ist immer das, was ich ver­suche, den Unternehmen reinzu­ployen und was ich dann auch ins Mind­set rein­drück­en will, aus reg­u­la­torisch­er Sicht, aber mein­er Mei­n­ung auch aus Kun­den­fre­undlichkeitssicht etc. pp. Ein­er klin­gelt an der Tür und er wird an der Tür abge­holt und er wird durchs Unternehmen begleit­et.

Der wird nicht alleine gelassen. Das hat den großen, char­man­ten Vorteil, dass ich reg­u­la­torisch sich­er­stellen kann, dass es keinen Flitzer gibt, dass er mir nicht abhaut, dass er nicht die Videokam­era aus­packt, dass er nicht mit Fotos anfängt, dass er nicht irgen­deinen Schind­lud­er treibt und hat aber auf der men­schlichen Seite sich­er, dass der Kunde bzw. der Besuch­er sich ein­fach betreut fühlt an dieser Stelle.

Es ist ein­er da, der küm­mert sich um mich, ich werde hier durchs Unternehmen geführt, ich bin neu in der Sache, ich kenne mich nicht aus, vielle­icht der erste Besuch­er etc. Und dann bin ich der Mei­n­ung, dass die Kom­bi­na­tion aus reg­u­la­torisch und dem Besuch­er ent­ge­genkom­men, das hat ein­fach notwendig gemacht und gebührt, dass ich ihn vernün­ftig emp­fange und im Unternehmen begleite, mein Mind­set an der Stelle.

[René]

Man fühlt sich auch anders abge­holt. Man arbeit­et ja zusam­men. Es ist egal, ob ich jet­zt ein Dien­stleis­ter bin oder was weiß ich wer bin.

Am Ende des Tages ver­sucht man ja gemein­sam ein Ziel zu erre­ichen und da ist es immer schön­er, wenn der­jenige dann auch da ist und sich zeigt und von sein­er besten Seite präsen­tiert, finde ich. Das ist mein Anspruch hin­ten raus. Und das ist jet­zt natür­lich nur der Teil, wo ich sage, okay, das ist jet­zt gast­fre­undlich in Anführungsstrichen.

Die Sicher­heitssachen kom­men ja ein­fach noch dazu.

[Michael]

Ja, aber die müssen aber sein, René. Es muss super sein. Es muss halt ein­fach sichergestellt sein, dass ich weiß, wer da rum­ren­nt.

Es kann nicht sein, dass mir nicht klar ist, wer in meinem Unternehmen drin ist, dass ich die Zutrittskon­trollen so lock­er habe, dass ich da halt ein­fach keine Kon­trolle darüber habe. Ich muss das kon­trol­lieren in meinem Unternehmen. In der Regel kann man immer sagen, ja, welch­es Unternehmen, Pub­likumsverkehr, alles gut.

Aber in meinem Unternehmen werde ich in der Regel irgend­wo daten­ver­ar­bei­t­ende Sys­teme ste­hen haben. Auf gut Deutsch, irgend­wo wird ein Com­put­er ste­hen, irgend­wo wird ein Schred­der ste­hen, irgend­wo ist ein Akten­schrank, irgend­wo ist ein Druck­er, ist ein Kopier­er, ist ein Papier­mülleimer etc. Und ich möchte ein­fach ver­mei­den, dass externe Besuch­er und externe Leute in die Ver­suchung kom­men, da in irgend­was zu mauscheln oder sich da irgend­wie reinzuguck­en.

Und da gebi­etet es halt ein­fach, da ist es halt wichtig Rich­tung Infor­ma­tion­ssicher­heit. Und Dien­st­beck, gehen wir wieder rüber auf Dien­st­beck, die fragt das halt ein­fach ab. Die fragt halt ein­fach, haben Sie Maß­nah­men getrof­fen?

Wie stellen Sie sich das sich­er? Beschreiben Sie mal. Und dann guckt man halt, ob das, was man von dem Gegenüber hört, zufrieden­stel­lend ist und das aus­re­ichend ist und das in Ord­nung ist.

[René]

Also bei der Dien­st­beck würde ich nicht unter­brechen.

[Michael]

Nee, und Zutritt, nur um das kurz rund zu machen, wenn wir über Zutritte reden, reden wir ja nicht nur über den Zutritt ins Unternehmen generell, son­dern halt auch, und das ist der näch­ste Schritt, was DIN SPEC halt auch fragt, vielle­icht woll­test du da auch drin­nen, logis­cher­weise nochmal in Zutrittsregelun­gen zu extra gesicherten Bere­ichen.

[Michael]

Also wenn wir in die ISO gehen und gehen in die 27 oder gehen in die T‑Sachs rein etc., da habe ich über­all Sicher­heit­szo­nen. Da sage ich, hier pass auf, das ist so mein äußer­er Bere­ich, da kann jed­er Besuch­er unter Begleitung noch rum­laufen, dann habe ich meinen inneren Cir­cle, da muss er auf jeden Fall nochmal eine Ver­schwiegen­heit­serk­lärung unter­schreiben, da muss er das Handy abgeben etc.

Und im drit­ten Cir­cle habe ich zum Beispiel eine Entwick­lungsabteilung. Da ist Ver­bot für Besuch­er jeglich­er Art, da geht halt kein­er rein, weil da the­o­retisch Pro­to­typen liegen kön­nen oder da mein Server­raum ist zum Beispiel. Also ich habe ver­schiedene Sicher­heit­szo­nen, die ich mir anlege in meinem Unternehmen und die ich mir angucke und dann sauber definiere und ich ein­fach sage, welch­er Mitar­beit­er kommt mit welch­er Berech­ti­gung und welch­er externe, welche Grund­ver­an­las­sung, mit welchen Sicher­heit­szo­nen, in entsprechende Zonen rein.

Und diese Gedanken sollte man sich machen.

[René]

Genau. Ja, ich wollte genau das Beispiel nehmen, was ich ger­ade genan­nt hat­te, wo der Server­raum halt offen stand. Das ist ja nicht nur ein externes Ding.

Die inter­nen Mitar­beit­er soll­ten natür­lich auch nicht an einem Net­zw­erkschrank da irgend­wo rum­steck­en kön­nen und darüber hin­aus, das fragt zwar die Dienst­werk jet­zt nicht genau ab, also so in die Tiefe, aber was ich auch immer wieder mal gese­hen habe, ist, dass in den Lager, im Lager­bere­ich oder egal, auch in Pro­duk­tion­sstät­ten und so, wenn jet­zt die einzel­nen Gebäude­teile miteinan­der verk­a­belt wer­den, dann gibt es ja logis­cher­weise Unter­verteilun­gen mit Switch­es und Patch­pan­el und was weiß ich was da drin. Und diese müssen natür­lich auch gesichert sein, also sprich abgeschlossen, so dass nie­mand da rankommt.

Und da sehe ich halt auch teil­weise, okay, die sind halt warm, das lassen wir offen ste­hen, ist ja unter der Decke. Ja, aber mein Mitar­beit­er oder wer auch immer dann da rum­läuft, ich meine, wenn er da ran will, besorgt er sich eine Leit­er und klet­tert da hoch. Und diese Möglichkeit sollte man ja auch schon nicht bere­it­stellen.

[Michael]

Richtig. Und dann aber auch bitte so kon­se­quent sein und nicht Rit­ter­schlüs­sel 438 im Schloss haben, weißt du, den, den es so über­all gibt, wom­it du, wenn du den irgend­wo mal 98 Prozent aller Schaltschränke, Server­schränke und Net­zw­erk­felder mit auf­machen kannst, son­dern über­legt euch was. Ja, steckt halt 5 Euro in irgend­was rein, macht es halt nicht ganz so ein­fach.

[René]

Aber ist es schon mal bess­er, ein Stan­dard­schloss zu haben, als gar keinen Schloss.

[Michael]

Bess­er das Stan­dard­schloss wie der Drück­er. Es gibt ja auch nur den Knopf, wo du drauf drückst, bis der vorne auf­macht. Richtig.

Ja, und dann muss man es sich halt ein­fach anguck­en als Berater. Also dann ist es wirk­lich die Sache, der Run­ning Gag mit dem offe­nen Server­raum hat in der Regel einen Grund. Also ja, ein Server­raum, der offen ist, ist in der Regel ein­er, der keine Kli­maan­lage hat, weil deswe­gen wird er zu warm da drin und deswe­gen machen sie die Türen auf, dass sie für Luftzirku­la­tion sor­gen.

Wohinge­gen ein Server­raum, der zu ist, auch gerne mal fürs Getränke­lagern genutzt wird, weil da näm­lich das Wass­er angenehm kalt ste­hen bleibt. Also das sind alles so Dinge, man muss es sich ein­fach anguck­en, man muss es anpassen, aber man muss sich als Unternehmen dazu Gedanken machen und ein Händ­chen dafür haben, um eben Zutritte in Räum­lichkeit­en und ins Unternehmen entsprechend sauber zu definieren. Und auch so zu überwachen, dass es halt ein­fach gelebte Prax­is ist.

[René]

Ich finde auch, man sollte die Schwelle sog­ar noch höher leg­en. Das waren natür­lich so krasse Neg­a­tivbeispiele. Ich finde, viele Unternehmen sind ja in der Dig­i­tal­isierung noch gar nicht so weit.

Das bedeutet aus mein­er Sicht, dass ja häu­fig noch irgend­wo Papi­er auf dem Tisch liegt. Da wird jet­zt eine Rech­nung bear­beit­et, keine Ahnung, ob es eine Aus­gangsrech­nung oder eine Ein­gangsrech­nung ist, spielt ja an sich erst­mal keine Rolle. Oder was weiß ich, Papi­er, also irgendwelche Briefe oder son­st irgend­was liegen dann da auf dem Tisch.

Nehmen wir mal an, das macht jet­zt auch die Per­son am Emp­fang. Dann sollte ich ja tun­lichst darauf acht­en, dass kein­er von extern ein­fach reinkommt und qua­si ein­mal so vorne über den Tre­sen guck­en kann und diese Doku­mente da liegen sieht. Ich finde, das ist ja alleine schon, das sollte man als Unternehmen als Anspruch an sich selb­st haben.

Also es geht ja gar nicht ein­fach darum, dass wir jet­zt ger­ade nur den Daten­schutz erfüllen, in Anführungsstrichen nur den Daten­schutz erfüllen, son­dern das ist ja ein­fach, ich kann es nur immer wieder­holen, so wie du es gesagt hast, das ist ja gesun­der Men­schen­ver­stand. Das sind meine Doku­mente und die sind für mein Unternehmen und nicht für irgendwen anders.

[Michael]

Ja, aber wenn du das Festchen mit Doku­menten am Emp­fang auf­machst, dann mache ich das Festchen nochmal am Emp­fang auf, wo ich immer, immer Schmun­zeln kriege und das ist, wenn am Emp­fang immer noch so ein Besucher­buch liegt. Also so eine dicke Klat­te, also wirk­lich ein Buch, wo drin ste­ht Besuch­er 2024 oder irgend so ein Kram und du da munter drin blät­tern kannst, wann welch­er Externe am besten zu welchem Ansprech­part­ner im Unternehmen, von wann bis wann im Unternehmen drin war. Wo du dann halt ein­fach durch­blät­terst, ich habe das früher, bin noch in meinem Angestell­tenver­hält­nis, wo du da gese­hen hast, dann kam der Wirtvertreter und hat gesagt, ach, ich guck mal, hier vorgestern war Hanu Kolb da oder wenn wir Mit­be­wer­ber gegen­seit­ig ein­ge­laden haben, um irgendwelche Ange­bote uns einzu­holen, dem haben wir im Meet­ing nicht gesagt, um wem es sich han­delt, der son­st noch Ange­bote abgegeben hat.

Da stand im Besucher­buch drei Zahlen weit oben, weil er zwei Stun­den eher da war. Also das sind so Dinge, wo ich ein­fach sage, warum, für was, welchen Zweck dahin­ter etc. Das ist genau die gle­iche Schiene.

[René]

Das kann ich auch bestäti­gen. Also auch da, das war zwar Coro­na-Zeit, aber an sich war es ja genau das Gle­iche. Da war es so, ein Kunde, kann ich aus dem Milchkästchen plaud­ern, ein Kunde von uns hat sein Unternehmen verkauft.

Und dieses Unternehmen ging dann in die ganze Gruppe über­all. War ein großer Mod­ean­bi­eter oder ist es immer noch. Und die haben halt diesen Teil, dieses Fran­chise wieder aufgekauft und haben das wieder in ihre eigene IT über­nom­men.

Und weil die das über­nom­men haben, sind wir bei denen dann qua­si raus­ge­flo­gen als Dien­stleis­ter. Aber dann dauerte das nicht lange und dann haben die uns angerufen und gefragt, ob wir nicht für die noch einige Sup­port­fälle übernehmen kön­nen. Son­dern war es natür­lich total span­nend mal zu wis­sen, wer ist denn eigentlich der Dien­stleis­ter, der es jet­zt macht.

Und dann war ich, ich in Per­son war auch tat­säch­lich da und dann tra­gen sie sich immer einen in die Liste und dann guckst du halt, wie du ger­ade gesagt hast, ein paar Zeilen drüber. Hätte ich jet­zt nicht mit­gerech­net, dass dies waren, aber dann weiß ich schon mal, dass wir in unseren Ken­nt­nis­sen da weit­er sind. Das ist halt span­nend.

Und selb­st wenn man jet­zt sagt, das ist eine Laparie, das ist halt wirk­lich eine Kleinigkeit, da liegt halt eine Liste, da ste­hen Namen drauf. Ja, nee. Jed­er zieht seine Schlüsse daraus, wenn er was Inter­es­santes sieht.

Und es ist ja auch nicht so, dass jemand immer gezielt danach sucht. Das war ja bei mir auch nicht der Fall. Aber wenn ich die Möglichkeit habe, nein, auch falsch aus­ge­drückt, aber wenn es mir so leicht gemacht wird und ich gar nicht suchen muss, die Sachen ste­hen da, dann sehe ich sie.

Da brauchen wir uns nichts vor­ma­chen. Und das wird bei jedem anderen auch so sein. Das heißt, da sollte man entsprechend auch schon, selb­st bei diesen kleinen Din­gen sollte man eigentlich schon die Mess­lat­te recht hoch leg­en oder hän­gen, dass man da nicht in die Ver­suchung kommt und dass es einem vor allem auch nicht so leicht gemacht wird.

[Michael]

Ja, ist aber, guck mal ein biss­chen auf die Uhr, ist eine super Über­leitung vom Zutritt zum Zugriff. Das ist näm­lich das zweite The­ma, wo sich die DIN SPEC mit beschäftigt.

[Michael]

Näm­lich jet­zt haben wir ganz kurz über Zutritt gesprochen.

Das heißt, wir passen auf, dass wir wis­sen, wer bei uns drin ist, dass nicht jed­er rein kann, ohne unter Kon­trolle liegt. Aber jet­zt geht es ja darum, wie kriege ich denn den Zugriff auf die Dat­en geregelt? Und da sind wir, um so zwei Schlag­worte ein­fach mal in den Raum zu sprin­gen.

Ich glaube, da kön­nten wir wahrschein­lich alleine über die zwei Schlag­worte drei Stun­den disku­tieren. Das eine Schlag­wort ist rechte Rol­lenkonzept auf Server­struk­tur und das andere ist halt ganz ein­fach Pass­wort­man­age­ment bzw. Zugriff­s­man­age­ment für irgendwelche Soft­ware­di­en­stleis­tun­gen.

Und das sind die anderen The­men, wo sich die SPEC halt mit beschäftigt, die halt im Zuge von so ein­er Über­prü­fung eben abge­fragt wer­den und wo sich Unternehmen darüber Gedanken machen soll­ten.

[René]

Also ger­ade was die die Zugriffe auf Datenord­ner und so weit­er bet­rifft, da ist es schon so, also da muss man sich wirk­lich Gedanken drum machen. Viele kleinere Unternehmen, die ger­ade so ein biss­chen mit IT starten oder die eben gewach­sene Struk­turen und so, da kann man das beobacht­en. Bei größeren natür­lich auch, wenn die einen sehr großen Datenbe­stand haben, dass da wohl jemand irgend­wann mal die Über­sicht ver­loren hat und das dann ein­fach so laufen lässt.

Ja, passiert häu­fig genug. Aber da ist es halt so, dass man wirk­lich sich Gedanken drum machen muss. Es gibt ein Active Direc­to­ry.

Das sollte man defin­i­tiv haben. Das heißt, das ist eine zen­trale Benutzerver­wal­tung. In dieser Benutzerver­wal­tung lege ich Grup­pen an, da schiebe ich meine entsprechen­den Benutzer rein.

So, und anhand dieser Grup­pen oder dann auch spezielle Dinge für einzelne Benutzer kann ich halt sagen, auf welche Ord­ner und Dateien halt wirk­lich über­haupt die Per­so­n­en Zugriff bekom­men sollen. Es ist ähn­lich wie ger­ade mit dem mit dem Buch, mit dem Gäste­buch qua­si oder Besucherliste, dass man sollte es nie­mand, also wenn man wirk­lich Dat­en hat, auf die man schauen soll, dann sollte ich das auch nicht über­haupt nicht ermöglichen. Also das lässt sich dann über die Berech­ti­gung wirk­lich ein­schränken.

Und was halt in dieser Benutzerver­wal­tung auch wichtig ist, ist, dass wir Zugriffe und so weit­er dann auch nachvol­lziehen kön­nen. Sollte jet­zt jemand wirk­lich irgend­wie in Dateien reingeschaut haben, dann kann ich das nach­her auch nachvol­lziehen oder hat jemand Änderun­gen vorgenom­men und so weit­er. Also dafür ist diese zen­trale Benutzerver­wal­tung, ob es in der Cloud ist oder auf dem On-Premise-Serv­er, also bei mir im Haus, das spielt keine Rolle.

Die Möglichkeit­en gibt es an jed­er Stelle. Es muss halt nur wirk­lich gelebt wer­den, also wirk­lich auch immer wieder aktuell gehal­ten wer­den die Lis­ten, dass man auch immer wieder hin­ter­fragt, braucht diese Per­son oder diese Gruppe dann eben wirk­lich den Zugriff auf diese Dat­en? Ich finde auch, was mir immer wieder auf­fällt, ist, dass teil­weise Berech­ti­gun­gen vergeben wer­den, die Benutzer kön­nen aber den­noch sehen, dass diese Ord­ner existieren oder die Dateien meinetwe­gen auch.

Also auch da die Sicht­barkeit bitte direkt mit abschal­ten, weil auch da, ich wecke ja eine Begierde, wenn da jet­zt, was weiß ich, irgen­dein Ord­ner liegt, Bonus-Sys­tem oder so. Nenne mir mal ein Bonus-Sys­tem.

[Michael]

Wei­h­nachts­geld 2023, genau.

[René]

Genau. Und das sind so Sachen, ich wecke ja irgend­wie eine gewisse Begierde, dass der­jenige diese Dat­en sehen will. So und am besten stelle ich ihn gar nicht erst so bere­it, dass er sie sehen kann, son­dern er kriegt im besten Fall gar nichts davon mit.

Das heißt, die Sicht­barkeit schalte ich für diesen Ord­ner auch kom­plett ab.

[René]

So lässt sich das bei Soft­ware halt genau­so lösen. Also es geht ja nicht allein nur um Dat­en und Ord­ner, son­dern auch in jed­er Soft­ware habe ich ja eine Benutzerver­wal­tung, wo ich eben genau das gle­iche steuern kann.

Auf welchen Bere­ichen hat der Zugriff? Welche Infor­ma­tio­nen kann er aus dem Sys­tem ziehen? Selb­st Exporte kön­nte ich zumin­d­est ein­schränken.

Das heißt, dass ich jet­zt meinetwe­gen zwar die Dat­en, ich meine, am Ende des Tages jed­er hat die Möglichkeit, per Screen­shots noch Dat­en rauszuziehen, aber er zieht sich halt keine ganze CSV da raus, wo eben schon alle Zahlen und was weiß ich was enthal­ten sind. Und ja, also das sollte man wirk­lich in jedem Bere­ich im Net­zw­erk oder in den Anwen­dun­gen und Dat­en sollte man das berück­sichti­gen.

[Michael]

Ja, und ich finde halt wichtig, dass was du jet­zt auch so durch die Blume gesagt hast, ist, jed­er Mitar­beit­er hat halt nur Zugriff auf die Dat­en, die er braucht zum Arbeit­en. Ein Fer­ti­gungsmi­tar­beit­er oder ein IT-Leit­er oder ein IT-Sup­port­ler braucht halt keinen Zugriff auf Per­son­al oder auf Geschäft­sleitung oder etc. Wir kom­men immer wieder so ein biss­chen auf den gesun­den Men­schen­ver­stand zurück und auf das Mind­set im Unternehmen.

Und da ist halt nicht die Maß­gabe, ich gebe erst­mal alles frei und mache dann das nach und nach zu, was er nicht braucht, son­dern ich gebe ihm erst­mal nichts und warte, bis er sich beschw­ert, weil er auf irgend­was nicht draufkommt und er weit­ere sukzes­sive seine Rechte. Beziehungsweise der Ide­alzu­s­tand ist, ich habe auf die Rolle, die der Mitar­beit­er im Unternehmen beset­zt, angepasste Rollen im AD mit zugewiese­nen fer­ti­gen Recht­en, sodass ich die Mitar­beit­er im AD nur noch auf die Rolle set­zen kann und hat aus direkt die Rechte, die er so braucht, um diese Rolle halt eben zu erfüllen.

[René]

Ja, ich finde halt wichtig, wir sprechen zwar sehr, sehr viel über Daten­schutz oder in die Rich­tung Daten­schutz, aber aus mein­er Sicht fängt das ja viel früher an, hat ja mit dem Daten­schutz erst­mal gar nichts zu tun. Ich schütze ja ein­fach nur mein Unternehmen. Aus der Brille sollte man das sehen, da ergibt sich der Rest dann von alleine.

Also es ist reines Selb­stver­ständ­nis irgend­wie, dass ich sage, okay, hier sind meine Dat­en, die sind für mein Unternehmen wichtig und ich möchte nicht, dass die irgend­wo anders lan­den. Punkt.

[Michael]

Das ist bei mir in der Beratung das Mind­set auch immer, ich sage immer, wir Daten­schützer, wenn ich als Daten­schützer angekom­men bin, wir reden über per­so­n­en­be­zo­gene Dat­en, rein for­mal, aber wie willst du das denn tren­nen? Also lass uns doch, primär machen wir die Geset­ze beziehungsweise die Richtlin­ien schon so für per­so­n­en­be­zo­gene Dat­en, dass wir Ver­schwiegen­heit­en und solchen ganzen Kram fer­tig machen oder dass wir Ein­willi­gungserk­lärun­gen für irgend­was machen, das über per­so­n­en­be­zo­gene Dat­en, aber was so tech­nis­che und organ­isatorische Maß­nah­men sind, Zugriff­s­regelun­gen, dass wir entsprechende Pass­wortlev­el, das alles, das kriegst du ja nicht raus­ge­tren­nt, dass du sagen kannst, das ist nur für per­so­n­en­be­zo­gene Dat­en, son­dern das sind für Unternehmens­dat­en und da sind wir halt ein­fach an der Stelle richtig schön in der Infor­ma­tion­ssicher­heit drin und das gucke ich mir als Daten­schutzbeauf­tragter ein­fach mit an, weil ich finde, das gehört zum guten Ton.

Als DSB sagen würde, es sind keine per­so­n­en­be­zo­ge­nen Dat­en, inter­essiert mich nicht, ist der abso­lut falsche Beratungsansatz.

[René]

Nehmen wir mal an, ich hätte jet­zt wirk­lich gar keine Berech­ti­gungsstruk­tur für mich erar­beit­et, dann komme ich ja spätestens über den Daten­schutz dann dahin, dass ich diese Berech­ti­gungsstruk­tur oder auch diese Richtlin­ien, die ich für mich dann erar­beite, dass ich die dann auch mal ausar­beite oder eben genau aus ein­er anderen Rich­tung. Aber am Ende des Tages habe ich, wenn ich eine Sache erledigt habe, habe ich die andere gle­ich mit erledigt. Und deswe­gen finde ich das an, also vor allem an der Stelle oder an diesem, wo wir sehr viel tech­nisch dann auch umset­zen, finde ich es dann eigentlich Quatsch, wenn man sich dann über einen Daten­schutz beschw­ert, weil es ist ein­fach ganz nor­mal, das ist etwas, das sollte ich auch ohne Daten­schutzrichtlin­ien haben und von daher, ja, ist das halt nicht so nervig zu sehen oder so aufz­u­fassen.

[Michael]

Das ist ein Trig­ger für dich. Also es ist ein Trig­ger für dich, dich mal mit der Sache anzunehmen. Ja, genau.

[Michael]

Lass uns bitte noch mal kurz das The­ma Pass­wörter anschnei­den, weil das ist auch ein The­ma, was in Aspekt mit betra­chtet wird, hat auch mit Begrif­f­en zu tun. Also wenn du über Server­struk­tur redest, haben wir ja ger­ade über Active Direc­to­ry gesagt, du gib­st Ord­nern, Sichtrechte, Leserechte, Schreibrechte, du kannst nachvol­lziehen, wer auf welche Ord­ner zuge­grif­f­en hat. Aber du hast ja inzwis­chen auch viele Soft­ware, Ser­vice-Dien­ste, Cloud-Dien­ste, Zugänge zu anderen Soft­ware-Sys­te­men, die eben nicht mehr klas­sisch bei dir auf dem Serv­er liegen und wo du halt ein­fach sagen musst, ich brauche oder ein Mitar­beit­er muss sich dort mit einem Benutzer­na­men und mit einem Pass­wort anmelden.

Und da ist halt ein­fach Pass­wort-Han­dling mit Pass­wörtern und Umgang mit Pass­wörtern ein­fach so essen­tiell wichtig, dass man das richtig geregelt und definiert hat, dass ich das ein­fach mit dir nochmal auf­greifen möchte.

[René]

Pass­wörter ist immer ein The­ma. Ich glaube, jet­zt so langsam kriegen wir auch sys­temisch von den Her­stellern her immer mehr Unter­stützung. Also wir, ich meine klar, außer IT, wenn wir die Sachen vorschla­gen, dann wer­den sie oft­mals angenom­men, aber es gibt dur­chaus noch welche, die sagen, nee, machen wir nicht.

Die Richtlin­ie für die Pass­wörter, wie sie zusam­menge­set­zt sind. Also grund­sät­zlich muss es ein Pass­wort geben und es ist auch indi­vidu­ell, keine Frage. Aber wie ist es denn aufge­baut?

Gibt es dafür Muster? Darf es keine Muster geben? Darf ich Teile des alten Ken­nwortes für ein neues ver­wen­den, wenn ich es denn ändere?

Und so weit­er und so fort. Und ich glaube, da haben wir jet­zt wirk­lich ein biss­chen Unter­stützung bekom­men, weil alle Her­steller oder sehr, sehr viele namhafte Her­steller jet­zt begonnen haben, ger­ade den zweit­en Fak­tor verpflich­t­end zu machen. Das heißt, jet­zt zum Som­mer hin fol­gen wieder einige Her­steller, Ubiq­ui­ti ist ein­er von denen, wo man dann eben sagen muss, okay, hast du keinen zweit­en Fak­tor, hast du keinen Zugriff auf deinen Account und du hast auch keine Wahl.

Du musst das machen, anson­sten kannst du damit nicht mehr arbeit­en. Und das sind so Sachen, die unter­stützen das. Ich finde, grund­sät­zlich ist es natür­lich wichtig, dass man nicht anfängt, Muster zu ver­wen­den.

Ich habe Unternehmen gese­hen, die dann sagen, okay, wir nehmen ein Kürzel für unser Unternehmen, set­zen eine Raute dahin­ter, eine Jahreszahl und ein Punkt. Nein, gar nicht. Und dann kam irgend­wo noch, zum Beispiel, Surf­bomben­raute, was weiß ich, 2024, Punkt RG für René.

Also das sind so Sachen, die habe ich tat­säch­lich schon gese­hen. Und dann kon­nte man auch, ich war zum Sup­port da und der Kunde nen­nt mir dann das Ken­nwort für den einen Rech­n­er. Dann kon­nte ich am näch­sten gehen und kon­nte mich da genau­so gut anmelden.

Man sollte vielle­icht nicht auf Muster gehen. Und da sollte das Unternehmen auch zuse­hen, dass es halt wirk­lich keine Muster vorgibt. Und vor allem auch sagt, okay, nehmt, egal welch­es Ken­nwort ihr habt, nehmt es bitte, lasst mich aber nichts davon wis­sen.

So, dann kommt man gar nicht erst in die Gefahr, dass man irgend­wie sagt, okay, wir machen einiger­maßen was Ein­heitlich­es. Bitte nicht.

[Michael]

Also wir haben ja zum The­ma Pass­wort auch schon mal einen Pod­cast beziehungsweise eine Audio-Folge mal aufgeze­ich­net. Und da waren wir ja auch schon bei dem Punkt, dass wir gesagt haben, die Zeit­en sind halt ein­fach rum, wo man als Mitar­beit­er sein Pass­wort auf ein Stück Papi­er schreibt, macht es in einen Briefum­schlag, klebt den zu und da schreibt auf der Naht­stelle vom Briefum­schlag und der Chef legt einen Inter­es­sor rein, dass er mal drankommt, wenn mal was ist. Die Zeit­en sind halt ein­fach durch.

Und bei mir in der Beratung und wenn ich berate Unternehmen, ich berate in let­zter Zeit, also in let­zter Zeit seit einem Jahr, anderthalb Jahren, immer in die Rich­tung Pass­wort­man­ag­er, weil ich immer sehe, Pass­wörter müssen kom­plex­er wer­den. Pass­wörter brauchen, also immer mehr set­zt sich der zweite Fak­tor, eine Mul­ti­fak­tor-Authen­tifizierung durch mit SMS, mit QR-Code, mit einem fort­laufend­en Code, der sich regelmäßig wieder­holt. Und du musst es in irgen­dein­er Art und Weise man­a­gen und den Mitar­beit­ern so ein­fach machen, dass es halt ein­fach ein easy going ist.

Ich will noch gar nicht mit Passkeys anfan­gen und Fido-Sticks. Passkeys kommt jet­zt immer mehr, das finde ich auch eine coole Num­mer, das ist aber alles aufs Gerät gebran­det. Und ich bin halt ein Fre­und in der Beratung von einem Pass­wort­man­ag­er, der den zweit­en Fak­tor auch kann und eine Ein­bindung hat in den Brows­er, dass wenn du dich irgend­wo online ein­log­gst, der Brows­er oder der Pass­wort­man­ag­er halt erken­nt, ey cool, der will sich jet­zt bei Google ein­loggen.

Also fülle ich Benutzer­na­men und Pass­wort gle­ich schon für ihn voraus­ge­füllt aus, ich wäh­le das aus, ich mache das aus, sodass die User Expe­ri­ence für den Mitar­beit­er an sich eine Erle­ichterung ist und er sich eigentlich gar keine Gedanken mehr darüber machen muss, wie lang ist denn jet­zt das Pass­wort und kenne ich mein Pass­wort über­haupt noch, weil ich habe einen Man­ag­er und mit dem funk­tion­iert es. Und das ist so die Beratung, wo ich in let­zter Zeit immer mehr hinge­he.

[René]

Brows­er-Inte­gra­tion möchte ich nur ganz kurz was dazu sagen, weil ich glaube, da haben wir bish­er noch gar nicht drüber gesprochen. Da hast du einen guten Punkt genom­men. Ich bin der Mei­n­ung, dass wir wirk­lich so eine Inte­gra­tion haben soll­ten, das heißt, dass in dem Augen­blick das Plug-in, was ich ja in meinem Brows­er dann instal­liert habe mit dem Pass­wort­man­ag­er, dass das eben dieses Voraus­füllen, so Aut­ofill qua­si machen sollte.

Weil das Prob­lem ist ja auch, nehmen wir an, ich habe meinen Edge, ich habe meinen Fire­fox, ich habe meinen Opera oder wie auch immer die ganzen Brows­er heißen, meinetwe­gen auch von Apple in der Safari, ich habe ja dahin­ter immer noch einen Account. Das ist ja ganz häu­fig so. Und dann, wenn ich jet­zt anfan­gen würde, meine Pass­wörter wirk­lich in den Pass­wort­man­ag­er dieses Browsers zu schreiben, aber nicht in ein gesichertes Sys­tem, dann set­zen wir uns wieder ein­er gewis­sen Gefahr aus.

Das heißt, dieses Plug-in sollte das Aut­ofill übernehmen und nicht mein Brows­er selb­st. Also da wichtig und deswe­gen ist halt auch genau dieses Plug-in eine extrem gute Ergänzung oder eine extrem gute Hil­fe, weil es dann halt wirk­lich ein­fach ist. Und ich glaube, du sagst ger­ade der zweite Fak­tor, ja, ich finde, auch da sollte man nochmal dif­feren­zieren.

Den zweit­en Fak­tor sehe ich als Grund­lage für alle. Und wenn es dann so sein sollte, dass wir so gewisse gesicherte Bere­iche haben. Nehmen wir mal an, wir zum Beispiel, wir haben Kun­den­doku­men­ta­tion bei uns natür­lich im Sys­tem und die müssen wir ja nochmal geson­dert sich­ern.

[René]

Das heißt, wir arbeit­en darüber hin­aus noch mit weit­eren Fak­toren. Das heißt, bei uns gibt es keine SMS, bei uns gibt es keine E‑Mail und bei uns gibt es auch genau­so wenig Anruf. Son­dern bei uns ist es so, dass wir die Codes, die E‑Mail-Codes, die da gener­iert wer­den, die wer­den grund­sät­zlich auf, wir machen das mit YubiKeys, die haben eine NFC-Schnittstelle.

Das heißt, wir haben bei uns auf dem Smart­phone haben wir die Soft­ware, also das heißt, der Code wird bei uns auch nicht auf dem Note­book gener­iert oder auf dem Rech­n­er, son­dern auf dem Handy. Und um diesen Code über­haupt anzeigen zu kön­nen, brauche ich eben meinen YubiKey, also das ist so ein Hard­ware-Don­gle. Der wird da drange­hal­ten, der wird per NFC gele­sen.

Das heißt, ich habe darüber hin­aus noch einen weit­eren Fak­tor. Nicht ein­fach nur der Code, son­dern ich habe zwei weit­ere Geräte, die dazu führen, dass ich eben erst dann an diese sehr sen­si­blen Dat­en rankomme. Und auch da sollte jedes Unternehmen für sich sel­ber ja wirk­lich mal durch­denken, wie sen­si­bel meine Dat­en sind und auf wen diese alle Auswirkun­gen haben.

Ich meine, ich glaube nicht, dass ich das mit so einem zweit­en und drit­ten Fak­tor da durch­set­zen würde in ein­er Buch­hal­tung oder so, weil da ist es dann nicht ganz so prak­tik­a­bel. Also da ist die, so wie du ger­ade sagtest, mit der Inte­gra­tion und so und dann vielle­icht im zweit­en Fak­tor sofort über den Pass­wort­man­ag­er. Ja, das ist alles mach­bar, aber sobald man noch weit­ere Geräte haben muss, wird es natür­lich schwierig.

Aber den­noch, also man sollte für sich immer durch­denken, macht das an der einen oder anderen Stelle wirk­lich Sinn? Ich kön­nte mir niemals verzei­hen, ich mir per­sön­lich, und es ist auch ein­fach ein The­ma, wenn wir jet­zt davon sprechen, dass jet­zt ein Unternehmen halt einen Schaden davon hat. Also da geht es ja jet­zt nicht, ich bin natür­lich sehr, sehr ehrgeizig so per­sön­lich, aber wenn ich jet­zt sage, okay, da ist jet­zt ein Unternehmen und das hat wirk­lich einen wirtschaftlichen Schaden dadurch, dass ich diese Dat­en nicht geschützt habe.

Das ist ja in so viele Rich­tun­gen ein­fach dann schlecht. Schlecht ist ganz vor­sichtig aus­ge­drückt.

[Michael]

Schlecht ist ganz vor­sichtig. Das ist, ich sage mal, in unser­er Branche oder bei unseren Unternehmen ist, glaube ich, der Fokus auf Pass­wort­sicher­heit und Fido-Keys und ein drit­ter Fak­tor oben­drauf und Bio­me­trie vielle­icht noch mit dabei. Der ist, glaube ich, noch mal sen­si­bler und noch mal anders wie in einem anderen Unternehmen, was nur seine eige­nen Dat­en hat, was sich sich­ern muss und nur die Zugriffe auf ihre unternehmensin­ter­nen Dat­en hat.

Aber von der The­matik her ist es genau das Gle­iche von der Sichtweise her. Du musst halt ein­fach sich­er sein. Du musst aber, das ist so meins, obwohl ich Daten­schützer bin, du musst das halt auch prak­tik­a­bel han­deln.

Also du musst es den Mitar­beit­ern so an die Hand geben, dass die Lust haben, damit zu arbeit­en, dass es eine wirk­liche Erle­ichterung gibt, dass die Mitar­beit­er sich nicht ver­suchen, irgendwelche anderen Wege zu erschle­ichen, um es wieder ein­fach­er und leichter zu haben.

[René]

Das ist auch ein guter Ein­wand, weil auch da, man erwis­cht sich ja sel­ber auch immer dabei. Jet­zt nicht, dass man deswe­gen Sicher­heit­srichtlin­ien ein­reißt, aber grund­sät­zlich, jed­er ver­sucht es sich natür­lich so ein­fach wie möglich zu machen.

[Michael]

Also ich kenne viele, die den Pass­wort­man­ag­er zum Beispiel lös­lich über einen Fido-Key öff­nen lassen oder über eine Bio­me­trie öff­nen lassen. Da bist du ein­mal in den Pass­wort­man­ag­er drin und wenn der Pass­wort­man­ag­er ein­mal auf ist, dann hast du an dieser Stelle die Möglichkeit, eben den zweit­en Fak­tor mit einem Out­code, der run­ter­läuft, eben mit­laufen zu lassen oder ein paar SKIs einzuricht­en an der Stelle und dann man­agt der Pass­wort­man­ag­er diese Zugriffe. Und auch da nochmal, das ist für mich nochmal ein ganz wichtiger Punkt, wenn du den Blick über den Teller­rand wagst, das ist halt ein Riesen­vorteil zum Brows­er, weil wir alle, wie wir unter­wegs sind und viele Fir­men, die unter­wegs sind, eben nicht mehr nur den einen PC haben mit dem einen Brows­er und den einen Pass­wörtern, die in dem Brows­er drin sind, son­dern wir haben vielle­icht einen Desk­top auf der Arbeit, einen Lap­top für mobiles Arbeit­en, ein Tablet für mal eben schnell und vielle­icht noch ein Dien­sthandy, wo wir nochmal drauf guck­en müssen.

Und die Pass­wörter untere­inan­der müssen sich ja schon ver­ste­hen, vere­ini­gen und erst recht, wenn ich einen zweit­en Fak­tor habe, muss das ja homogen durch­laufen in irgendwelchen Sachen. Das heißt, du musst schon einen guten, einen guten, hochver­schlüs­sel­ten Pass­wort­man­ag­er haben, der schon diese ganze Sache auch mal über irgen­deine Cloud laufen kann und auch mal das so haben kann, dass du es geräteüber­greifend benutzen kannst. Und auch ganz wichtig, und das ist bei mir immer so eine Sache, die dafür spricht, ist, wenn du es auf einem Gerät hast und dir raucht das Gerät ab, dann bist du, gelinde gesagt, im Hin­tern geknif­f­en.

Du musst diese Pass­wort­dat­en auf irgen­deine Art und Weise hochver­schlüs­selt, sich­er, ganz klar, nicht als Excel dabei, son­dern sich­er in irgen­dein­er Art und Weise gerä­te­un­ab­hängig liegen haben, dass du ein­fach drankommst, weil das ist ja am Ende deine Lebensver­sicherung, weil du ja eben kein Pass­wort mehr im Kopf hast, was du dir merken kannst. Früher hast du dir gesagt, mein Pass­wort ist Elefant37 und hast das bei 20 Dingern einge­set­zt. Und wenn dein Rech­n­er kaputt war, wusstest du, dein Pass­wort war halt Elefant37.

Und das ist ja heute, wenn man über 25-stel­lige Pass­wörter, Pass­wort­man­ag­er redet, zweit­er Fak­tor, du hast das nicht mehr im Kopf und du kannst das nicht mehr im Kopf hal­ten, das Pass­wort. Das heißt, du musst Sys­teme haben, die eben sich­er­stellen, dass auch bei einem Aus­fall von einem Sys­tem du noch Zugriff auf die Pass­wörter hast, dass du eben Zugriff auf deine Sys­teme hast.

[René]

Ja, genau. Und in diesem Pass­wort­man­ag­er noch darüber hin­aus sollte man auch schauen, dass auch da eine Benutzerver­wal­tung hin­ter­legt ist, damit wir halt dort auch geteilte Pass­wörter ver­wal­ten kön­nen und eben halt auch die per­sön­lichen. Also das finde ich auch ganz wichtig.

Die per­sön­lichen müssen dann auch in Unternehmens, also wieder in die Hand der Unternehmung kom­men, sollte ein Mitar­beit­er das Unternehmen ver­lassen. Das kann ja dur­chaus mal passieren. Dann darf es aber nicht bedeuten, okay, in dem Augen­blick haben wir gar keinen Zugriff mehr auf die Sys­teme, die von ihm genutzt wur­den.

Es gibt ja dur­chaus mal hier und da Zuständigkeit­en, die dazu führen, dass es eben diesen einen Online-Account gibt, worüber alles Mögliche ges­teuert wird.

[René]

Das will ich gar nicht auss­chließen, gibt es oft genug. Und damit eben da der Zugriff so bleibt, kann man dann beim Auss­chei­den qua­si sagen, so hier, das ist das Mas­ter-Ken­nwort, wir übernehmen jet­zt den ganzen Bere­ich des Mitar­beit­ers und haben eben dann die Dat­en da vor­liegen.

[Michael]

Ja, und auch das, auch wenn es viele Unternehmen, es gibt geteilte Pass­wörter, müssen wir uns nichts vor­ma­chen. Und so Klas­sik­er sind, ich nenne jet­zt ein­fach mal der Ama­zon-Account, der Otto-Office-Account, also solche Accounts, wo ein­fach mehrere Mitar­beit­er, wenn du drei Leute im Einkauf sitzen hast, die haben nicht alle drei einen Account bei Ama­zon, um mal was zu bestellen oder bei Otto-Office, son­dern logis­cher­weise haben die ein Info-Ad oder ein Order-Ad oder ein Sales-Ad oder was auch immer Ad, E‑Mail-Adresse da ein­gerichtet und natür­lich müssen die sich ein Pass­wort teilen.

Und da ist natür­lich der Pass­wort­man­ag­er, wie du schon gesagt hast, mit den geteil­ten Tre­soren und denen ich Zugriffe geben kann auf die Tre­sore von den entsprechen­den Mitar­beit­ern, das ist das absolute Mit­tel der Wahl. Weil son­st ändert ein­er das Pass­wort und dann heißt es, juhu, jet­zt muss ich allen drei anderen, die ja auch mitar­beit­en, eine E‑Mail schick­en, dass ich jet­zt das Pass­wort geän­dert habe, damit es wieder jed­er in sein­er per­sön­lichen Excel-Tabelle abspe­ich­ern kann. Das will sicher­lich kein­er.

[René]

Ist auch dazu bei uns in der Prax­is, ich habe es ger­ade schon gesagt, wir haben Kun­den­doku­men­ta­tion, in dieser Doku­men­ta­tion ste­hen dann natür­lich nicht ein­fach die Ken­nwörter drin. Das heißt, im besten Fall ist es so, dass ich geteilte Ken­nwörter habe, mein Pass­wort­man­ag­er bietet die Möglichkeit, zwar zu kopieren, aber nicht die Ken­nwörter an sich einzuse­hen, damit sich eben auch kein­er irgend­wie die Dat­en was weiß ich wohin spe­ichert. Und wir haben ja nicht bei jedem Kun­den qua­si, nehmen wir mal an, das ist jet­zt ein Serv­er, den wir für den Kun­den ver­wal­ten, da haben wir ja nicht 20 Accounts für jeden Mitar­beit­er von uns ein, son­dern wir haben halt wirk­lich einen admin­is­tra­tiv­en Zugriff und dieser ist geteilt.

Und da ist es halt deut­lich bess­er, wenn meine Soft­ware eben nicht das Ken­nwort im Klar­text anzeigt, son­dern dass ich es im Pass­wort­man­ag­er drin habe und eben entsprechend von dort nur noch kopiere und dann ver­wen­den kann. Und dann muss es eben geteilt sein, damit alle anderen das im Bedarfs­fall eben genau­so tun kön­nen.

[Michael]

Ja, genau so. Schönes The­ma Pass­wörter. Wir haben uns schon wieder ein biss­chen ver­sprochen von der Zeit her, aber ich denke, es ist ein­fach wichtig und je häu­figer man es wieder­holt, je eher man es spricht, je eher kriegen wir das Mind­set in die Unternehmen rein und das Gedanken dafür.

Und da nochmal abschließend, ein Pass­wort­man­ag­er, das ist jet­zt auch kein Invest, wo man einen Busi­ness-Antrag für stellen muss. Gute Pass­wort­man­ag­er, du wirst mir gle­ich, du bist der ITler, du bist der Ver­triebler, ich behaupte jet­zt mal, einen brauch­baren, guten Pass­wort­man­ag­er kriegst du für 5 Euro, 3 Euro im Monat pro User und das soll einem der Kom­fort und der Sicher­heits­gewinn ein­fach wert sein im Unternehmen.

[René]

Ja, kann ich genau so bestäti­gen. Ja, also preis­lich ist es in dem Rah­men, ist immer je nach­dem, was man möchte, aber ja, grund­sät­zlich ist es in dem Rah­men. Und ja, ich sehe das auch so, dass es dann, wenn man das nicht nutzt, ist es an der falschen Stelle ges­part, weil dadurch mache ich es natür­lich jedem Mitar­beit­er sehr, sehr ein­fach, dann auch wirk­lich auf sichere und auch ein­ma­lige Ken­nwörter umzusteigen und nicht über­all das Gle­iche zu ver­wen­den.

Also als Unternehmen erhöhe ich hier ganz klar meine Schutz­maß­nah­men und das sollte man dementsprechend auch unter­stützen.

[Michael]

Super, dann würde ich sagen, dem ist nichts mehr hinzuzufü­gen. Vie­len Dank und wir hören uns beim näch­sten Mal und ich glaube, wir machen noch weit­er in der Dien­st­bag und am näch­sten Mal guck­en wir uns das The­ma Daten­sicherung und Back­up an, wenn ich es richtig im Kopf habe. Ist das so richtig?

Ganz genau so ist es, ja. Super, dann vie­len Dank und bis zum näch­sten Mal. Immer gerne wieder.

Macht’s gut und tschüss.

[René]

Ja, von mir auch. Bis zum näch­sten Mal. Bis dahin, also soll­tet ihr zu diesem The­ma noch Fra­gen haben, immer gerne melden, entwed­er per LinkedIn, per Mail, per, keine Ahnung, Rauchze­ichen.

Haupt­sache es erre­icht uns, sodass wir darauf reagieren kön­nen. Wir ste­hen für alle Fra­gen offen, auch wenn ihr The­men haben soll­tet, die wir nochmal genauer besprechen soll­ten, falls ihr da irgend­wie noch weit­er ins Detail möchtet oder da generell Inter­esse beste­ht. Und anson­sten fol­gt uns gerne auf allen Social Media Plat­tfor­men, hört uns bei allen Pod­cast Plat­tfor­men und ja, dann würde ich sagen, bis zum näch­sten Mal und habt ein schönes Woch­enende.

Bis dann. Tschüss.