Re: [Sg-webseite] FW: Wir haben noch einen Interessenten fuer die SG-Webseite

[Borys Sobieski <mail AT derborys.net>]

Hi,

> From: sg-webseite-bounces AT lists.piratenpartei.de 
> [mailto:sg-webseite-bounces AT lists.piratenpartei.de] On Behalf Of Kola Colman
> Sent: Thursday, January 12, 2012 10:06 AM
> To: Mailliste sg-webseite
> Cc: Sebastian Krone
> Subject: Re: [Sg-webseite] FW: Wir haben noch einen Interessenten fuer die 
> SG-Webseite
> Importance: High

> Ahoi Borys, Ahoi Gefion,
> Ahoi @all.

> Borys das ist soweit korrekt. Aber die oberste Admin Regel ist nun mal 
> "Admins vertrauen sich!" Das ist ein ungeschriebenes 
> Gesetz. Du wirst das nicht einmal online finden..

Sag mal willst Du mich hier verarschen???? Ich habe als Administrator eines 
Systemes eine Verantwortung gegenüber
dessen Besitzer also der Firma für die oder in deren Auftrag ich arbeite. 
Oder eben einer sonstigen Organisation für die ich
als Administrator tätig bin. Ich vertraue meinen Kollegen, unter anderem 
anderen Administratoren, hierbei weil ich sie und
die Qualität ihrer Arbeit kennengelernt habe. Oder ich vertraue ihnen aus den 
gleichen Gründen eben nicht. Nur weil eine
Nase von sich behaupte die Tätigkeit des "Administration" zu beherrschen aka 
Administrator zu sein ist dies Person nicht
qua Regel vertrauenswürdig. Das ist mitunter der größte Bullshit den ich bei 
den Piraten bis jetzt lesen durfte.

> wer gut ausgebildet wird, bekommt das eingehaemmert. 

Ich weiß nicht von welchen Ausbildungen du redest, aber genau DAS wird nie 
und nimmer gelehrt oder eingehämmert.

> Denn nur so funktioniert das mit der hohen Verantwortung fuer ein > Sytem.

Falsch, durch 4 und mehr Augen, welche sich gegenseitig kontrollieren und 
Mißtände und Fehler aufdecken
funktioniert die Administration von System. Und eben nicht durck 
Klüngelvereine in denen jeder den Arsch des
anderen schützt falls Fehler auftreten.

> Die 2. Regel, die auch bei Piratens oft verletzt wird ist: "Zugriff haben 
> immer nur 2 Superadmins."

2 und mehr je nach Personalausstattung, Verantwortlichkeiten und SLA Zeiten. 
Zusätzlich können
Zugangsdaten versiegelt abgelegt werden um im Zweifel einen Zugang zu haben 
falls die x vertrauenswürdigen
Personen eben doch nicht so Vertrauenswürdig sind. Dies wird u.a. in der 
BundesIT auch so umgesetzt.

> Das soll ausgleichen wenn Regel 1 gebrochen wird. Aber ich kann dir 
> versichern, wer in der Branche Regel 1 verletzt, 
> bekommt nirgends mehr einen Job. 

Argh.. wieder so ein Bullshit, wenn dies so wäre müsste ich und viele der 
Leute die ich kenne seit Jahren
arbeitslos sein

> Auch dass wirst Du nicht oeffentlich finden. Von der schwarzen Liste kommst 
> Du trotzdem nie wieder runter. 

Verschwörungstheoretiker dieser Welt vereinigt euch. In Roswell ist wirklich 
ein Ufo abgestürzt und auf dem
Mond waren wir auch nicht. Ach ja wozu an sich der Scheiß hier, am 21.12.2012 
ist ja eh alles vorbei! 

> Dazu gibt es dann noch eine Best Practic. Ein uebergeordneter Manager hat 
> volle Einsicht aber keine Rechte.

doch auhc rechte bis hin zu den versiegelten Umschlägen. Rechtesysteme in IT 
Umgebungen sind sehr viel
Komplexer als du es hier darstellst.

> Das soll folgendes bewirken: Es war einer von Beiden! (Daher kommt dieses, 
> sie vertrauen sich nicht.)

Siehe meine Ausführungen oben.

> Somit kann ein Unternehmen auch reagieren wenn ein Admin abgeworben wird 
> und er sich sogar ein Backdoor eingerichtet hat.

Siehe oben.

> * Ein Risiko wird bekannt.
> * Der Manager weist den nicht betroffenen Admin an, sofort alle Rechte zu 
> entziehen.

Also den Admin, welcher dem anderen Vertraut, einfach so und umgekehrt?

> * Dann wird der betroffene Admin informiert und danach kuemmert sich die 
> Forensik um die Aufklaerung.

Dem man nach deinen Ausfühungen aber auch nicht vertrauen kann da zu nah am 
Kollegen.

> Nur so kannst Du die Allmacht eines Admin, fuer eine Unternehmung, relativ 
> risikolos handle'n

Ein Administrator hat Tätigkeitsbedingt immer eine gewisse Allmacht auf den 
von ihm betreuten
Systemen. Daher wird nach Möglcihkeit auhc nie einer die Zugriffe auf alles 
bekommen. Wieder etwas das
in der BundesIT mehr als nur gelebt wird. Transparenz und so ;-)

> http://www.dict.cc/englisch-deutsch/Handle+with+care.html

Ich bin der englischen Sprache sehr wohl in Wort und Schrift mächtig.

> Wir stehen also alle, immer mit einem Bein im Knast!

Auch dem wiederspreche ich energisch. Arbeite sauber und halte dich an die
Regeln. Im Zweifel gegen die Kollegen und auch gegen den Arbeitgeber.

> Jetzt zu Gefion ihrer Frage. Die DSV (es ist eine Verpflichtung) bewirkt 
> "nur", dass im Falle eines Verstosses 
> die Bestrafung hoeher ist. Haftbar bist Du schon automatisch durch das 
> Datenschutzgesetz.

Richtig, dennoch allein die Tätigkeit des Ausfüllens und Abgebens ein netter 
psychologischer Reminder
um auf die Verantwortung welche man übernommen hat hinzuweisen.

> Ich persoenlich habe am Dienstag an der einmal jaehrlich vorgeschriebenen 
> Schulung
> bei unserem BDSB teilgenommen (Belehrung der mit der Datenverarbeitung 
> befassten Mitglieder und Mitarbeiter (mit DSV)).

Das ehrt dich, erhöht aber nicht automatisch deine Vertrauenswürdigkeit.

> Heute fahre ich in die BGS um dort auf kurzem Weg das Form zu 
> unterschreiben und es
> ablegen zu lassen. (Meine unterschriebene ist veraltet.) 

> Ich kann dann hier berichten wie die BGS das handhabt. Vielleicht hat unser 
> BDSB noch einen Hinweis an uns.
> Deswegen an ihn auch in CC.

Sie packt das Ding in den Tresor und benachrichtig die Notwendigen Stellen. 
Im Falle der BGS über das OTRS ;-)

> Korrigiere mich bitte Bastian wenn etwas nicht richtig ausformuliert ist!

> Ausserdem kannst Du ja auch gleich noch eine Bemerkung dazu machen, wie 
> eine Synchronisation durch die
> einzelnen Laender stattfinden wird. Da ich vermute, dass wir noch nicht 
> bundeseinheitlich sind.

Ist für uns an dieser Stelle vollkommen egal, da wir für den Bund arbeiten, 
und daher an dessen Vorgaben
z.B. DSVs werden in der BGS gesammelt gebunden sind. Was die Länder hier 
machen ist deren Ding.

Attachment: PGP.sig
Description: PGP signature