Security - QSECOFR

[holgerscherer]

Bei uns in der IT sitze seit Jahren ein externer Mitarbeiter, der u.a. mit dem QSECOFR-Passwort arbeitet. Gegenüber dem IT-Leiter behauptet er dies zu benötigen, da er u.a. für die
Niederlassung in Frankreich arbeitet.

Hallo Stefan,

ich schliesse mich den Vorrednern äh Vorschreibern an. Generell gilt in der Kombination "Sicherheit" und "ext. Berater" die erste Regel: Vertrauen!

Wenn das Vertrauen nicht vorhanden ist (oder beschädigt wurde), wird jeder weitere Prozess schwer. Wenn bei Euch im Haus niemand die Implikationen einer reduzierten Sicherheit beurteilen kann, sollte man sich nie auf denjenigen verlassen, der die erweiterten Rechte fordert. Da man davon ausgehen sollte, dass Ihr wichtige Daten auf dem System habt, solltet Ihr diese auch schützen. Dazu gehört: Rechtebeschneidung bis zum Anschlag.

Gut, der Anschlag kann weh tun, deswegen macht man das auch mit einer gewissen Vorsicht und nicht komplett auf einen Schlag. Und ganz ehrlich - jemand, der behauptet, er braucht *SECOFR, seine Joblogs versteckt und sich (ohne die Kompetenz dazu) erweiterte Rechte wieder holt, ist verdächtig. Das muss jetzt nicht soweit gehen, dass er sich was abgreifen will; vielleicht kennt er sich auch nur nicht aus und will, um Probleme zu vermeiden, einfach alle Rechte haben.
Sowas sehe ich öfters bei Kundschaft, die, um Probleme zu vermeiden, sogar noch mit SECLVL 20 fahren; manchmal sogar auf Anraten des Softwarehauses. Da platzt mir nicht nur die Hutschnur!

Tip: Schau, wer sich im Haus mit Security auskennt. Schau dann, welche Software überhaupt läuft und was die entsprechenden Anbieter empfehlen (meist nichts gutes). Und dann - wenn es wirklich ein Thema ist, hole jemanden, der sich damit auskennt.
Und letztlich: gerade von externen eine Geheimhaltungsvereinbarung unterschreiben lassen!

-h