Bad practices (Sicherheit) beim Arbeitsplatz

[PapaSchlumpf01]

Grüezi,

mein Sohn hat letztes Jahr eine Ausbildung zum FiSi angefangen und ich (und er) zweifel gerade etwas, ob das ein wirklich geeigneter Ausbildungsbetrieb ist und bin etwas überfragt.
Zur Sache: nach seiner Lehre will er unbedingt in den Sicherheitssektor, daher ist ihm eine ordentliche Ausbildung natürlich sehr wichtig. Jetzt beschwert er sich aber schon seit einem guten halben Jahr, dass der Betrieb die simpelsten Sicherheitsstandards nicht erfüllen kann und ich kann einfach nicht bewerten, ob er damit Recht hat oder nicht und kann ihm daher auch keinen Rat geben, daher frage ich hier mal ganz unverblümt.
Er arbeitet bei einem Dienstleister, der die IT Infrastruktur für Kunden vor Ort bereitstellt. Er berichtet, dass es eine Windows-umgebung ist und unglaublich viel virtualisiert wird.
Was er die ganze Zeit jedoch bemängelt sind die Sicherheitsstandards des Betriebs. Als Beispiel gibt er an, dass kein Mensch mehr( ? Der Junge ist erst 18) ein nur 6 Zeichen langes Passwort für Firmenumgebungen als Regel behalten hat und, und das ist sein größter Kritikpunkt den ich auch etwas fragwürdig finde, dass ALLE Adminpasswörter ALLER Kunden in EINEM Klartext-File innerhalb des Dienstleisters auf einem Netzwerklaufwerk liegen, das ohne Adminrechte einsehbar ist.

Nun kenne ich mich nicht ganz aus, daher frage ich hier und will dazu fragen: sollte sowas nicht eigentlich strafbar sein? Ist sowas die Regel? Geht sowas klar? Oder ist der Laden im puncto Sicherheitsstandards eine Lachnummer? Er überlegt halt den Betrieb zu wechseln und ich kann ihm keinen Rat geben.

Vielen Dank für eure Zeit und antworten,
PapaSchlumpf

 

[DBJ]

Am besten ist es immer so normal wie möglich zu sein und auch mal temporär nicht hinzusehen was man so alles besser machen könnte. Einfach anderen Betrieb suchen NACH der Ausbildung. Es sind nur etwa drei Jahre, da hat er dann ja genug Zeit bis zur nie vorhandenen Rente woanders zu arbeiten ohne sich beim nächsten Betrieb erstmal für den Wechsel innerhalb der Ausbildung rechtfertigen zu müssen. Wer sagt denn das der nächste Betrieb besser ist oder ob es überhaupt einen anderen Betrieb gibt der ihn nimmt?

 

[konkretor]

Den Ausbildungsbetrieb wechseln geht, mußte ich damals auch tun. Da der damalige Betrieb aufgeben mußte.
Es war nicht einfach einen Anschluss Betrieb zu finden. Zumindest in D, hand des Grüezi würd ich dich jetzt mal in der Schweiz verorten.
Ich würde dazu raten die Ausbildung im Betrieb fertig zu machen. Nach den Ausbildung ist es völlig normal den Betrieb zu wechseln.
Passwörter in Text Dateien zu speichern entspricht ganz und gar nicht Best Pratices.
Vielleicht kann er diesen Misstand einfach ein Projekt für ihn raus springen, das er als Azubi umsetzen kann.
Es muss ja nicht immer Negativ bleiben. Es ist nur die Frage wie so etwas angesprochen wird ohne das es Negativ von den jeweiligen Personen angenommen wird.

Vielleicht mit dem Klassenlehrer sprechen der das mal als Stoff durch spricht = Passwordmanager, dann könnte man das ja als Idee in den Betrieb tragen und vorstellen. Beim Thema Passwordmanager gibt es einen ganzen Zoo was es da alles gibt. Das Thema wird nicht langweilig :-)

 

[brettler]

Den Ausbildungsbetrieb wechseln geht, mußte ich damals auch tun

Das geht halt nicht so einfach wenn der Betrieb weiterhin besteht. Da müssen schon große Mängel sein und es einige Gespräche mit der IHK gegeben haben, die steht auch immer auf der Seite ihre Zwangsmitglieder.

Einen Ausbildungsvertrag darf man nur kündigen wenn man eine andere Ausbildung angehen möchte oder diese Ausbildung aufgeben muss. Ein Betriebswechsel ist (außer bei Insolvenz) nicht vorgesehen.

Hatte das Thema selbst durch und dann aufgegeben und zu Ende gemacht.

*Natürlich kann man kündigen und wo anders anfangen, aber dann fängt man eben bei "0" an also wieder im Ausbildungsjahr 1.

 

[act_]

Und wenn man im gleichen Ausbildungsberuf bleibt und den Betrieb wechselt (gegen den Willen des bisherigen Ausbildungsbetriebs) ist man ggf. schadensersatzpflichtig.

 

[brettler]

Es geht sowieso nicht gegen den Willen der zuständigen Stelle, die weißt auch auf sowas hin, aber ja es stimmt.

 

[Piktogramm]

dass ALLE Adminpasswörter ALLER Kunden in EINEM Klartext-File innerhalb des Dienstleisters auf einem Netzwerklaufwerk liegen, das ohne Adminrechte einsehbar ist.

Die Fehlannahme von dir, deinem Sohn ist, dass auf seiten des Ausbildungsbetrieb irgendwer Adminrechte brauchen sollte um an irgendwas heranzukommen. NIEMAND sollte mit Adminrechten produktiv arbeiten. Was jedoch unerlässlich ist, ist dass es eine solide Rechteverwaltung gibt, die genau festlegt, "wann wer auf was und wie" zugreifen darf. Das muss(!) aber über reguläre Accounts ohne eskalierte Rechte laufen!

Ansonsten Passwörter von Kunden im Klartext. Je nachdem in welchem Bereich der Dienstleister bzw. vor allem die Kunden unterwegs sind, sind an der Stelle mehrere gesetzliche Anforderungen und BSI Richtlinien verletzt. Das simpelste ist dabei noch die DSGVO, die einen ja dazu verdonnert die Zugänglichkeit von persönlichen Daten zu minimieren. Die Generalschlüssel zu etwaigen Daten im Klartext, ohne nennenswerte Kontrolle von Berechtigung und Protokollierung herumliegen zu haben, verletzt dies grob. Wenn unter den Kunden eine Behöre, Dienstleister kritischer Infrastruktur oder Ähnliches dabei ist, wird die ganze Sache noch eine ganze Ecke schärfer..

Und an der Stelle beginnen dann die Probleme. Es gibt das erst vor kurzem wirksam gewordene Hinweisgeberschutzgesetz[1]. Das würde an der Stelle greifen, wie man das Ding rechtssicher anwendet, benötigt Imho die Beratung vom Rechtsanwalt. Etwaige Recherche im Internet würde ich nicht empfehlen, was mir die Suchmaschine ausspuckt scheint zu großen Teilen Mist zu sein[2].
[1] https://www.gesetze-im-internet.de/hinschg/BJNR08C0B0023.html
[2]Verschwörungstheorie, ACHTUNG: Teils schaut mir das aus wie SEO optimierte Kampagnen :/

Das geht halt nicht so einfach wenn der Betrieb weiterhin besteht. Da müssen schon große Mängel sein und es einige Gespräche mit der IHK gegeben haben, die steht auch immer auf der Seite ihre Zwangsmitglieder.

Je nach Branche der Kunden ist bei so groben Verstößen bald keine Firma mehr da..
Also zumindest theoretisch. Praktisch sind Behörden und Kunden in der Verfolgung und Sanktionierung gröbster IT-Schlamperei derart nachlässig, dass IT-Schlamperei ein tragendes Geschäftsmodell ist :/

 

[brettler]

Ja aber aktuell gibt es die Firma noch und damit sind das ungelegte Eier und der IHK wird das auch egal sein, solange die Beiträge kommen.

Wenn es die Firma nicht mehr gibt ist der Wechsel ja eh keine große Sache.

 

[c-mate]

Was er die ganze Zeit jedoch bemängelt sind die Sicherheitsstandards des Betriebs. Als Beispiel gibt er an, dass kein Mensch mehr( ? Der Junge ist erst 18) ein nur 6 Zeichen langes Passwort für Firmenumgebungen als Regel behalten hat...

Was bedeutet dieser Satz?
Ist damit gemeint, dass die Passwörter nur mind. 6 Stellen haben müssen und damit unsicher sind?
Als Regel behalten hat? Was für eine Regel?
Mhm sorry ich verstehe die Aussage einfach nicht.

 

[rezzler]

und ich kann einfach nicht bewerten, ob er damit Recht hat oder nicht und kann ihm daher auch keinen Rat geben, daher frage ich hier mal ganz unverblümt.

Warum aber lässt du deinen Sohn nicht selber fragen?

 

[IlluminatusUnus]

Was er die ganze Zeit jedoch bemängelt sind die Sicherheitsstandards des Betriebs. Als Beispiel gibt er an, dass kein Mensch mehr( ? Der Junge ist erst 18) ein nur 6 Zeichen langes Passwort für Firmenumgebungen als Regel behalten hat und, und das ist sein größter Kritikpunkt den ich auch etwas fragwürdig finde, dass ALLE Adminpasswörter ALLER Kunden in EINEM Klartext-File innerhalb des Dienstleisters auf einem Netzwerklaufwerk liegen, das ohne Adminrechte einsehbar ist.

Das klingt grob fahrlässig und nicht fachgerecht.

sollte sowas nicht eigentlich strafbar sein? Ist sowas die Regel? Geht sowas klar? Oder ist der Laden im puncto Sicherheitsstandards eine Lachnummer? Er überlegt halt den Betrieb zu wechseln und ich kann ihm keinen Rat geben.

Soweit ich weiß ist das ein privatrechtliches Problem. Das Problem entsteht bei der Gefährdung von Kundendaten. Wie schludrig ein Unternehmen intern geführt wird hat erstmal keine direkte strafrechtliche Relevanz.

Ob die Qualität der Ausbildung davon abhängt, ob die Datensicherheit intern korrekt umgesetzt wird, ist schwer zu beurteilen. Ich denke das man diese anekdotische Erfahrung der Kammer mitteilen kann, aber ich würde hier kein allzu großes Fass aufmachen.

Passwortsicherheit nicht einzuhalten ist unschön, die Frage ist aber viel mehr wie die Firma dazu steht und wie die Kommunikation zu dem Thema stattfindet. Gab es Diskussionen darum? Warum wird das so gemacht? Wird behauptet, das sei alles so in Ordnung?

Bei solchen Firmeninterna wäre ich auch vorsichtig. Wenn Kunden das mitbekommen, laufen die im Zweifel Amok.

Mein Rat wäre das firmenintern mit dem Ausbilder zu besprechen und den richtigen Weg zu wählen, der wäre erst mit dem Ausbilder reden und dann mit dem Vorgesetzten, ganz am Ende steht erst eine Beschwerde bei der Kammer. Man kann sich hier viel verscherzen, schließlich wird dein Sohn im Zweifel dort noch einige Zeit verbringen müssen.

Da stellt sich eher die Frage nach dem Betriebsklima und der generellen Qualität der Ausbildung in der Firma. Passwortsicherheit ist nur eine Marginalie in Bezug auf den Umfang der gesamten Ausbildung, ich würde das nicht überbewerten.

Ich möchte auch ergänzen, dass es auch Argumente für die Nutzung von einfachen Passwörter gibt.

 

[Piktogramm]

Soweit ich weiß ist das ein privatrechtliches Problem.

BSI-Gesetz (BSIG) § 8c bzw §8 ff
DGSVO Art 25 und Weitere
Imho sind die Regelungen noch sehr Sanft und solang das Unternehmen keine Kunden im Bereich Kritis hat, könnte es als Kleinstunternehmen nicht vom BSIG berührt sein, aber grundlegend hat die Gesetzeslage in den Jahren da so angezogen, dass es eben nicht mehr nur privatrechtlich relevant ist.

Ob die Qualität der Ausbildung davon abhängt, ob die Datensicherheit intern korrekt umgesetzt wird, ist schwer zu beurteilen.

Das Minimum an Rechtemanagement und sicherem Handhaben von Daten mit Lösungen mit "Stand der Technik" nicht umzusetzen ist das Musterbeispiel an absoluter Scheiße. Beim nachgewiesenem Desinteresse allein das Minimum an Anspruch und Kompetenz zu zeigen, wie soll da eine Ausbildung auch nur im Entferntesten zu irgendwas taugen? Bzw. muss ein Azubi bei jedem im Betrieb vermitteltem Wissen/Vorgehen davon ausgehen, dass es tendenziell absoluter Bockmist ist.

 

[Quade]

ein nur 6 Zeichen langes Passwort für Firmenumgebungen als Regel behalten hat und, und das ist sein größter Kritikpunkt den ich auch etwas fragwürdig finde, dass ALLE Adminpasswörter ALLER Kunden in EINEM Klartext-File innerhalb des Dienstleisters auf einem Netzwerklaufwerk liegen, das ohne Adminrechte einsehbar ist.

So etwas zu knacken geht sehr schnell vor allem da alle Passwörter identisch sind. Ich würde alles unter 10 Zeichen Kritisch ansehen, vor allem für eine Unternehmen das in diesem Bereich verkehrt.

 

[IlluminatusUnus]

BSI-Gesetz (BSIG) § 8c bzw §8 ff
DGSVO Art 25 und Weitere

Die Frage war nach strafrechtlicher Relevanz, also StGB. In Frage kommen zum Beispiel §§ 202a und 303a. Daraus könnte man zusammen mit der groben Fahrlässigkeit was konstruieren.
Ich habe das sehr eng interpretiert, bin mir auch nicht ganz sicher, da es fachlich grob fahrlässig ist.

Es gibt bestimmt x Bestimmungen und Regelungen, denen das beschriebene Verhalten zuwider läuft. Selbst die GoB könnten verletzt sein, wenn sich eventuell jeder als jeder andere in die Buchhaltung einloggen kann.

Bzw. muss ein Azubi bei jedem im Betrieb vermitteltem Wissen/Vorgehen davon ausgehen, dass es tendenziell absoluter Bockmist ist.

Meine Frage ist, ob man als Azubi dagegen vorgehen sollte und wie man das am sinnvollsten anstellt. Das Problem fällt im Zweifel selbst der gebildeten Reinigungskraft auf, also wird das Vorgehen in der Firma einen Hintergrund haben.

 

[Recruit]

Klare antwort: Nein. Man erntet nur Nachteile.
Was man stattdessen machen kann, Vorschläge in den raum bringen die zur Verbesserung beitragen.
Z.b. den Vorschlag zu einer Passwortverwaltungssoftware.

Zum ausbildungsvertrag.. bei den meisten azubiverträgen steht drin, dass man bei eigenem Abbruch 1 jahr lang nicht die selbe Ausbildung noch einmal starten darf.
Das hab ich bei anderen Ausbildungsbetrieben in anderen Sektoren auch schon gelesen. Ergo begeht man bei einem "Betriebswechsel" ohne Zustimmung des eigenen Betriebes sogar vertragsbruch und kann dafür haftbar gemacht werden.
Ist vermutlich ne Standardklausel


Notfalls sieht oder findet man baustellen, für das Abschlussprojekt im 3. Jahr.


Man muss der IHK halt zeigen, dass man ein Projekt stemmen kann von Planung bis Abschlüssen, es möglichst gut und den Vorgaben nach strukturieren und verschriftlichen kann und das man bock auf den Beruf hat. Man muss sich halt einfach gut verkaufen. Dann paar Fragen zu Ports oder DaSi beantworten und viel mehr kommt da nicht.

Bis zu dem Punkt kann man sich und die Kollegen durchaus mit Vorschlägen nach vorn bringen... Aber Kritik wird von dem kleinen azubi... vermutlich nicht sehr nett beantwortet..

Später hat er doch die freie Wahl wo er hingeht.
LG

 

[IlluminatusUnus]

Ich möchte ergänzen, dass alles, was ich gesagt habe, auf die Speicherung von Passwörtern im Klartext an einem ungeschützten Ort bezogen ist.

Was er die ganze Zeit jedoch bemängelt sind die Sicherheitsstandards des Betriebs. Als Beispiel gibt er an, dass kein Mensch mehr( ? Der Junge ist erst 18) ein nur 6 Zeichen langes Passwort für Firmenumgebungen als Regel behalten hat und, und das ist sein größter Kritikpunkt den ich auch etwas fragwürdig finde, dass ALLE Adminpasswörter ALLER Kunden in EINEM Klartext-File innerhalb des Dienstleisters auf einem Netzwerklaufwerk liegen, das ohne Adminrechte einsehbar ist.

Die Diskussion, ob 6 Stellen bei einem Passwort reichen, ist sehr kritisch. Dazu kann man legitim anderer Meinung sein, insbesondere bei einem ausreichend großen Alphabet. Manche benutzen sogar nur 4 stellige PINs, und die reichen in der Regel auch aus. Das ist bei korrekter Umsetzung fachlich und rechtlich nicht belangbar.
Dieses Diskussion würde ich als Azubi auf keinen Fall führen, insbesondere nicht, wenn der Ausbildungsplatz davon abhängt.

Wenn andere Dinge, die er bemängelt, ähnlich kleinkariert und strittig sind wie die minimale Passwortlänge, würde ich raten erstmal die Ausbildung abzuschließen, Augen zu und durch.

Es geht vor allem um konstruktive Kritik und wie man sie angemessen anbringt. "Ich zeig euch an und beschwere mich bei der Kammer" kommt nie so gut an.

 

[brettler]

Zum ausbildungsvertrag.. bei den meisten azubiverträgen steht drin, dass man bei eigenem Abbruch 1 jahr lang nicht die selbe Ausbildung noch einmal starten darf.

Das ist irrelevant weil:

https://www.gesetze-im-internet.de/bbig_2005/__22.html

Man kann natürlich jederzeit die Ausbildung woanders "neu" anfangen man verliert dann eben die bisherige Zeit und fängt im Jahr 1 an.

Und die Ausbildungsverträge sind eigentlich alle einheitlich von daher hätten solche Absprachen vermutlich keine Relevanz.

rgo begeht man bei einem "Betriebswechsel" ohne Zustimmung des eigenen Betriebes sogar vertragsbruch un

Den Betrieb interessiert das nicht. Es geht immer um die zuständige Stelle, die führt eine Stammrolle über alle Ausbildungsverhältnisse. Und die IHK, HWK oder was auch immer muss bei jedem Wechsel informiert werden und zustimmen..

Aber man kann IMMER bei einem Betrieb im nächsten Ausbildungsjahr bei 0 anfangen, weil mit der Kündigung das Verhältnis aus der Stammrolle gelöscht wird.

 

[Recruit]

Ja, du hast recht.

https://karrierebibel.de/ausbildungsvertrag/#:~:text=Das Berufsbildungsgesetz erklärt jede Vereinbarung,Sie keine Angst zu haben.

Aber: Als erstes wird der Lebenslauf betrachtet und sowas ist ohne Insolvenz u.Ä. ein sehr schlechter Eintrag. Ähnlich wie ne Lücke.
Kann man, aber sollte man nicht machen..
Nicht alles was geht, ist sinnvoll und praktikabel
Doof ist dann z.b. wenn der neue Betrieb beim alten nachfragt. Ist gängige Praxis beim abbrechen und wenigen Bewerbern.
Man will ja Nachwuchs haben und später ggf. Übernehmen.
Sowas wird nur getoppt wenn der Betrieb den Azubi gekündigt hat und dann dort nachgefragt wird.

 

[brettler]

Aber: Als erstes wird der Lebenslauf betrachtet und sowas ist ohne Insolvenz u.Ä. ein sehr schlechter Eintrag. Ähnlich wie ne Lücke.
Kann man, aber sollte man nicht machen..

Weil man ja im Lebenslauf auch 100% die Wahrheit sagen muss

Und beim heutigen Mangel auch an Azubis fragt keiner nach bzw. ist es egal. Wäre vor 10 Jahren noch anderes gwesen.

Ist gängige Praxis beim abbrechen und wenigen Bewerbern.

Das ist Unsinn und verstößt auch gegen den Datenschutz. Und je größer der Betrieb desto schwerer ist das "nachfragen".

Keiner wird sich bei einem Azubi heute in 2023 die Arbeit machen und nachfragen.

 

[mykoma]

Solange sich der TE nicht zu Wort meldet, schließe ich hier, da das Thema immer weiter abdriftet.

Sollte noch Diskussionsbedarf bestehen, so kann @PapaSchlumpf01 diesen Beitrag melden.