Kann ein Chef von der IT verlangen, Ihr Passwort zu ändern und sich als Sie an Ihrem PC anzumelden? [abgeschlossen]

Mein Chef hat die IT gebeten, mein Firmenkennwort zu ändern, während ich nicht im Büro war, ohne es mir mitzuteilen. Er benutzte das neue Passwort, um sich als ich an meinem PC anzumelden, und kopierte mein Projekt (ich weiß nicht, was er sonst noch gemacht hat).

Als ich wieder im Büro war, lag ein gelber Stick mit dem neuen Passwort auf meinem Desktop. Er sagte mir, das sei mein neues Passwort, als er mich im Büro sah. Ist das eine Sicherheitsverletzung? Eine Verletzung der Privatsphäre?

War die Anmeldung an Ihrem PC die einzige Möglichkeit, auf die Projektdateien zuzugreifen? Gab es noch etwas, das Ihr Vorgesetzter hätte tun können/sollte, um eine Kopie des Projekts zu erhalten?
Ethisch? Nein. Gute IT-Richtlinie? Nein. Kann er das? Ja. Und es gibt nicht viel, was Sie dagegen tun können.
Wo bist du? Dies variiert je nach Standort.
Für Sicherheitsfragen siehe Informationssicherheit . Für rechtliche Fragen siehe Recht . Ich sehe in diesem Beitrag keine beantwortbare/praktische Frage, also stelle ich diese auf Eis. Bitte sehen Sie in der Hilfe nach, wenn Sie eine Frage zu dieser Situation stellen möchten, die wir beantworten können .
„Ist das eine Verletzung der Sicherheit? Eine Verletzung der Privatsphäre?“ Nein und nein, höchstwahrscheinlich. Dies ist nicht ungewöhnlich in Notsituationen (Mitarbeiter MIA oder krank) und hat kein Projekt auf Netzwerkfreigaben oder in der Versionskontrolle gespeichert.
Sie haben Glück, dass der Chef verlangt, Ihr Passwort zu ändern , sodass Ihr ursprüngliches Passwort niemandem bekannt wird.

Antworten (3)

Sie sollten nicht erwarten, auf einem firmeneigenen Rechner Privatsphäre zu haben. In einer gesunden IT-Umgebung würde Ihr Manager dies jedoch tun, indem er die IT auffordert, ihm die gesuchten Dateien zu senden, die er abrufen kann, indem er mit seinen eigenen Administratorkonten auf den Computer zugreift, nicht mit Ihrem Konto. Wenn sie es auf diese Weise tun, gibt es nie eine Prüfungsfrage, wer auf die Dateien zugegriffen hat oder ob eine von Ihrem Konto durchgeführte Aktion tatsächlich eine Aktion von Ihnen ist. Ihre IT-Abteilung sollte auch alle Richtlinien befolgen, die ihr gegeben wurden, um den Zugriff zu erleichtern – dies kann das Einholen der Erlaubnis des Rechtsbeistands Ihres Unternehmens, das Bereitstellen von Begründungsdokumenten usw. umfassen.

Ob dies eine Sicherheitsverletzung darstellt oder nicht, hängt von der Unternehmensrichtlinie und den geltenden Gesetzen/vertraglichen Verpflichtungen ab. Sie können dies mit Ihrem Vorgesetzten besprechen, wenn Sie möchten, und Ihre Bedenken äußern, und es gibt einige berechtigte. Wie bereits erwähnt, vereitelt die Anmeldung bei Ihrem Konto direkt die Prüfung – Ihr Sicherheitsteam kann nicht mehr hinreichend sicher sein, dass die von Ihrem Konto vorgenommenen Aktionen von Ihnen ausgeführt wurden, wenn sich andere Personen bei dem Konto anmelden. Abhängig von Ihrem Job haben Sie möglicherweise auch Zugriff auf Informationen, die Ihr Chef nicht hat – dies können HR-bezogene Informationen, Kundendaten für Verträge, die Ihr Chef nicht hat, und so weiter umfassen. Die Änderung des Systems, um diese Art des Zugriffs zu ermöglichen, ist jedoch möglicherweise keine lohnende Investition für ein kleines Unternehmen, das nicht mit sensiblen Informationen umgeht.

Wie Edgar erwähnte, verschlimmert das Weglassen Ihres Passworts auf einer Haftnotiz das Auditing-Problem, da jetzt jeder in Ihrem Unternehmen auf Ihr Konto zugreifen könnte, während Sie weg waren. Wenn das Unternehmen nicht bereit ist, seine Richtlinie zum Zurücksetzen von Konten zu ändern, sollten Sie zumindest Ihren Vorgesetzten bitten, Ihnen das Passwort persönlich mitzuteilen, wenn Sie in Zukunft zurückkommen, oder es von der IT erneut auf etwas zurücksetzen lassen, das von einem sicheren Konto generiert wurde Zufallspasswortgenerator und notieren Sie es nicht, setzen Sie es dann zurück und lassen Sie sich ein neues Passwort aussuchen, wenn Sie zurückkommen.

Das ist kulturell bedingt. Die Kultur hier (Belgien) ist, dass Sie, obwohl Sie natürlich keine Freikarte erhalten, um alles, was Sie wollen, auf dem Computer zu speichern, immer noch eine Erwartung an die Privatsphäre haben. Es wurde ein Gerichtsurteil erlassen, das ein persönliches E-Mail-Archiv und ein Buch, das der Mitarbeiter (außerhalb der Bürozeiten) geschrieben hatte, als privat erklärte . Vergleichen Sie es mit der Anschaffung eines Firmenschließfachs. Ein Schließfach (= gesichertes Konto) bedeutet Privatsphäre. Man bekommt zwar keine Freikarte, um irgendetwas darin zu lagern (z. B. kein CP oder abgereichertes Uran), aber das bedeutet nicht, dass Menschen ohne vernünftigen Grund gewaltsam eindringen können.
@flater: kannst du ein paar Meta-Infos zu diesem Urteil geben (Link?)? Ich würde gerne mehr darüber erfahren!
@ user189035 Hier (auf Niederländisch). (1) Arbeitgeber können ohne ausdrückliche Zustimmung des Arbeitnehmers das Verhalten des Arbeitnehmers am Computer nicht überwachen. (2) Bei der Überwachung kann nur die Aktivität überwacht werden, nicht der Inhalt der Aktivität. Wenn Sie beispielsweise beruflich im Internet surfen, kann die Überwachung nicht unterscheiden, ob Sie während oder außerhalb der Arbeit surfen, sondern nur , dass Sie surfen. (3) Datenschutzbeschränkungen gelten für alle Dateien, die vom Mitarbeiter auf der Festplatte abgelegt werden. (4) Es ist verboten, nachzuverfolgen, welche Seiten besucht wurden.
@ user189035: Es wird auch erwähnt, dass es hier eine Lücke mit "höherer Wichtigkeit" gibt. Gerichte betrachten die Nutzung von Facebook als Datenschutzverletzung und akzeptieren dies nicht als triftigen Grund für die Beendigung des Arbeitsverhältnisses; Das Surfen nach Kinderpornografie wird jedoch aufgrund der höheren Bedeutung der Straftat gegenüber dem Arbeitsvertrag nicht als Datenschutzverletzung angesehen. Mit anderen Worten, diese Regeln können für Angelegenheiten aufgehoben werden, die über vertragliche Arbeitsrechtsverletzungen hinausgehen und in den Bereich einer Straftat abdriften. ("Das Risiko von Malware von schlechten Seiten" wird ausdrücklich als "höhere Bedeutung" verneint, übrigens)
@Flater: Danke für all diese Informationen! Aber haben Sie einen Hinweis auf das Urteil selbst? Ich hätte auch gerne eine Referenz.
@ user189035: Ich nicht. Es war vor einigen Jahren ein heißes Nachrichtenthema. Ich habe eine Weile danach gesucht, und diese Anwaltsseite enthält eine anständige Auflistung mehrerer Gerichtsverfahren, die entweder Anträge oder Präzedenzfälle für die aktuelle belgische Gesetzgebung im Zusammenhang mit dem Datenschutz am Arbeitsplatz waren. Aus den unten stehenden Artikeln sollte dies ein Beispiel für "Privatsphäre beim Surfen" sein. Aber mein juristisches Englisch ist nicht sehr gut, also bin ich vielleicht hier.
@Flater Als ich dies ursprünglich schrieb, hatte ich einen Satz, in dem erwähnt wurde, dass die Erwartung zwischen den USA und der EU unterschiedlich ist, aber ich habe ihn herausgenommen, da ich dachte, dass dies nicht wirklich notwendig sei. Wenn der Standort des OP einen Präzedenzfall wie den in Belgien hat, kann er das auch ansprechen, wenn er möchte, aber ich denke, es ist überall ein vernünftiger Ratschlag, niemals anzunehmen, dass das, was Sie auf Ihrem Arbeitscomputer tun, immer privat ist.
@IllusiveBrian: Ich denke, es hängt davon ab, was Sie meinen, wenn Sie privat meinen. Wenn Sie nicht wollen, dass irgendjemand jemals etwas herausfindet; Du hast Recht. Aber wenn Sie einfach nicht wollen, dass irgendjemand etwas legal gegen Sie verwendet, ist dies einer der Gründe, warum es Datenschutzgesetze gibt (damit Verstöße im rechtlichen Kontext unzulässig sind).
@IllusiveBrian: Tut mir leid, dass ich das Gespräch von der Frage des OP wegbewegt habe. Ich lebe zufällig in Belgien und Flaters Kommentar (der dazu gedacht war, seinen früheren Punkt zu veranschaulichen) hat mein Interesse geweckt! Ich wollte mehr wissen (Danke Flater!)
Wollte hinzufügen, dass Deutschland auch ähnliche Regelungen wie Belgien hat, siehe diesen Artikel

Der „gelbe Notizblock mit dem neuen Passwort auf meinem Desktop“ ist definitiv eine Verletzung der Sicherheit und der Chef eines jeden Unternehmens sollte das wissen.

Er könnte einen Grund haben, warum er auf Ihren PC zugreifen muss, und er könnte einen Grund haben, die IT zu bitten, Ihr Passwort zurückzusetzen. Aber es ist unverzeihlich, dass er dieses neue Passwort offengelegt hat. Er hätte Ihnen mitteilen müssen, dass er das Passwort zurücksetzen musste, und dann hätte die IT es erneut zurücksetzen und Ihnen ein neues Passwort geben können – was Ihr Chef nicht kennt.

Bearbeiten: Über die Verwendung des Benutzerkontos oder eines anderen Kontos: Ja, die IT sollte in der Lage sein, Daten von diesem PC mit einem anderen Konto abzurufen. Aber im wirklichen Leben ist es oft einfach viel einfacher, sich mit dem "normalen" Benutzerkonto anzumelden. Ich denke, das ist eine Frage der Firmenpolitik und der Umstände und nicht einfach zu beantworten.

Ich frage mich, warum die Ablehnung? (Ich stimme dem tatsächlich zu, weil ich denke, dass die Antwort richtig ist).
Besser noch, die IT hätte sich mit einem anderen Konto anmelden können.
Diese Antwort geht davon aus, dass Passwörter in diesem Unternehmen strikt eingehalten werden. In meiner alten Firma waren die Computer im Grunde genommen Teil einer gemeinsam genutzten Infrastruktur, und die Kennwörter dienten nur dazu, Managern dabei zu helfen, festzustellen, wer welchen Computer gerade benutzte (damit sie mit PCAnywhere Konten anzeigen konnten, die Probleme aufwarfen). Es gab keine Erwartungen an den Datenschutz des Computers, und Auditing war kein Problem.
@Richard Hat das Passwort in Ihrer alten Firma es jedem ermöglicht, sich am Computer anzumelden? Wenn ein Hausmeister am Abend die gelbe Plakette gesehen hat, kann der Hausmeister damit in die Firmeninfrastruktur gelangen?
@scaaahu - Ernsthafte Infrastruktursachen (Personalakten und dergleichen) wurden durch einen zweiten passwortgeschützten Ordner weiter eingeschränkt (auf Firmenälteste).

Die rechtlichen Auswirkungen hängen vom jeweiligen Land ab. In Frankreich zum Beispiel wäre das eine schreckliche Sache, da es Ihnen gesetzlich erlaubt ist , persönliche Daten auf Ihrem Computer zu haben. Bitte beachten Sie, dass ich schreckliche Dinge schreibe und keine illegalen Dinge, da er möglicherweise immer noch auf Ihre beruflichen Daten zugreifen kann, wenn er fit erscheint.

Dann kommt die Frage der Rückverfolgbarkeit. Von dem Moment an, in dem er Ihr Passwort erhalten hat, bis zu dem Moment, in dem Sie es geändert haben, ist er für alles verantwortlich, was mit Ihrem Konto passiert ist. Insbesondere wenn Sie Ihr Passwort nicht ändern, bleibt er immer noch Sie. Vielleicht möchten Sie dies ausdrücklich dokumentieren.

Aus Sicht der Informationssicherheit (was ich aus erster Hand kommentieren kann) zeigt eine solche Aktion, dass Ihr Unternehmen keine soliden Sicherheitsrichtlinien hat. Je nach Branche, in der Sie arbeiten, kann dies ein Problem sein oder auch nicht.

Kann ein Chef von der IT verlangen, Ihr Passwort zu ändern und sich als Sie an Ihrem PC anzumelden? [abgeschlossen]
AntwortenHierDatenschutz-Bestimmungen1y, 0v