[Gelöst] Welche persönlichen Risiken ergeben sich bei der Nutzung dieser Plattform BeNe

@heimschulekind Du bist echt der Hammer! Sollten wir uns irgendwann vielleicht mal persönlich kennenlernen, dann geht das erste Bier (wahlweise Kaffee, Tee, Sekt usw.) auf mich!

Ich habe noch eine Verständnisfrage: Was ist mit BEITRÄGE gemeint?

@heimschulekind Und bei der Gelegenheit möchte ich auch noch einmal an diese Situation bei dem Landeskirchenamt in Hannover erinnern...

https://www.youtube.com/watch?v=N50ytgzt_bk

@heimschulekind

Waoh! Die sollten mal lieber Sie beauftragen! Aber nur für ein adäquates Honorar!

Wetten, ich ahne wer Moderation 3 ist?

Nein, wir wollen hier immer noch keine schönen Gedichte oder Psalme austauschen - aber das ist natürlich nur meine persönliche Einzelmeinung. Die Bedürfnisse sind ja so verschieden.

Wenn das stimmen sollte... tief durchatmen. Es gab ja ein paar 'Namensänderungen' im Winter.

Ich fühle mich ziemlich an der Nase herumgeführt.

Gut, dass wir hier Zeit haben, um die langjährigen "Versprechen" zu überprüfen...., Über aktuelles werden ja noch noch nichtmal die URAK Menschen adäquat informiert ( höre Podcast von heute)

Das sollen also gute " Voraussetzungen " für Vernetzung sein, also gute "Arbeitsgrundlagen", sorry, das ist jetzt schon hinlänglich bekannt, dass es die braucht! Wohl nur für Auserwählte - oder eben die 'Besseren'?

Vielen Dank!

Durch dieses "Ignorieren" dieses Forums verdeutlicht sich, wie konträr die Ziele/ Inhalte/ Bedarfe und wie mangelhaft die Kommunikation und der Kommunikationsbedarf mancher sind.

Aus der hiesigen Erfahrung mit der Landeskirche:

Es gibt hier auf BeNe bestimmt auch viele Zuschauer/ Mitlesende, die beobachten, ob sie sich wagen sollten/ wollten/ das Risiko eingehen zu wollen, wieder "herabgewürdigt" zu werden und eben vorsichtig beobachten:

Denn das Erleben ja die "Lauten", wenn Fragen ins Leere gehen, oder wieder und wieder basics erklärt werden müssen (Rolle der Moderation - die ja hier professionell für "Sicherheit" sorgen sollte? Vermeintlicher Datenschutz ... und die anderen Mitlesenden müssen es "mitaushalten" und lernen: besser nicht involvieren. Besser ruhig und vorsichtig bleiben.

Das ist unterschwellig eine Machtgeschichte. Bzw eine Form von Trigger.

Die auch dazu führen kann (jedenfalls war/ist) es bei uns in der Landeskirche geschehen: Spaltung! Sei nicht laut, tu was die wollen, sei nett zur sogenannten Fachstellenleitung/ Kirchenleitenden damit sie sich für deine Interessen einsetzen mag/ mögen. Nur weil DU laut bist, tun sie nichts.

Kurz gesagt: sei leise und provoziere nicht!

Ja.

Täteropferumkehr auch unter 'Betroffenen'.

Denn, wenn wir tun, was die wollen - machen die (Kirche/Diakonie - ja, ich könnte viele Namen benennen) trotzdem nur, was sie wollen und was ihren Bedürfnissen entspricht!

Genau diese Prozesse müssen klar angeschaut werden - allerdings nicht nur von Betroffenen - sondern gerade von Kirche- und Diakoniezuständigen.

Wieviel Expertise müssen wir noch einbringen?

Damit irgendwelche Pressestellen und andere irgendeinen Mist nach aussen manifestieren (siehe Zeit Aussage! Oder die Aktion staatliche Deligierte in Hannover)

@bienchen730

Guten Morgen und vielen Dank für das Angebot, auf das ich - falls es sich ergibt - gerne zurückkommen würde - wäre dann ja auch eine konkrete Vernetzung 🙂

Zu Deiner Frage:

Meistens sind mit dem Begriff "Beitrag" ein erster Eintrag und die Antworten/Kommentare innerhalb eines Forums bei #BeNe gemeint.

Ansonsten kommt es auf den Kontext an. So bezeichne ich auch Radio Meldungen oder TV Sendungen manchmal als Beitrag.

Hilft Dir das weiter?

@heimschulekind Guten Morgen zurück. Ja, das hilft mir, danke.

Könntest du vielleicht kurz erklären, welche Rechte man als Admin hat, also was das konkret in der Anwendung bedeutet?

@heimschulekind Meine Frage reflektiert auf deine Frage: warum eine NutzerID "BeNe AG" hier Admin-Rechte braucht?

Nachsatz zu den gefunden Berechtigungen:

Es gibt noch zwei weitere Accounts (Nutzerkennungen) von Software-Entwickler*innen die wohl (noch) Admin-Rechte haben, aber im öffentlichen Profil als #Mitglieder geführt werden!?

Good News

Korrekterweise sind beide Accounts personalisiert und laut öffentlicher Informationen des Dienstleisters auch noch dort beschäftigt.

Frage

Bleibt offen, warum nach Inbetriebnahme der Plattform Entwickler*innen (noch) diese Berechtigungen (in einer Produktionsumgebung) benötigen?

P.S.: Danke für den Hinweis zur Ergänzung und Komplettierung 🙂

*************************************

Anlage - Hinweise für Entwickler*innen und Auftraggeber*innen

E gibt Best Practices und Sicherheitsrichtlinien, die empfehlen, dass Entwickler in Produktionsumgebungen (PROD) keine Admin-Rechte haben sollten.

Hier sind die wichtigsten Gründe und Empfehlungen:

1. Prinzip der minimalen Rechte (Least Privilege Principle)

• Entwickler sollten nur auf Entwicklungs- (DEV) und Testumgebungen (TEST) Zugriff haben.
• PROD-Zugriff nur für dedizierte Admins oder SREs (Site Reliability Engineers).

2. Trennung von Entwicklung und Betrieb

• DevOps-Trennung: Entwickler schreiben Code, Admins/SREs verwalten PROD.
• Änderungen in PROD sollten nur über CI/CD-Pipelines (Continuous Deployment) erfolgen, nicht manuell.

3. Sicherheits- und Compliance-Vorgaben

• ISO 27001, NIST und DSGVO empfehlen eine strikte Trennung von Rollen.
• Direkter PROD-Zugriff erhöht das #Risiko von Fehlern, Datenlecks(!) oder Sicherheitslücken.

#KlugscheissermodusAus

@bienchen730

OK, dass bezieht sich auf das Prinzip, dass jede Nutzerkennung die Rechte bekommt, die sie braucht, um ihre definierte Aufgabe zu erledigen.

Im Falle der BeNe AG sehe ich keinen konkreten Aufgaben für den operativen Betrieb der Plattform, die solche hohen Rechte benötigen,

da die AG keinen #Beitrag zum operativen(!) IT-Betrieb von BeNe leistet (also z. B. Nutzerkennungen anlegen oder löschen).

Um ein System zu konzipieren, zu testen (oder zu prüfen) braucht es i.d.R. keine Admin-Rechte!

@heimschulekind Ich weiß nicht, ob es in diesem Zusammenhang relevant ist (aber da ich in diesem Forum wohl der Einzige bin, der die ranghöchste EKD-Repräsentantin angezeigt hat, ist vielleicht alles relevant).

Meine Frage ist: Was bedeutet neben meinem Themenstarter-Beitrag „Strategisch missbrauchte Personalunionen und Verantwortungsdiffusion. EKD-Strategie salonfähig“ im Öffentlichen Forum der Hinweis mit dem grünen Haken-Feld „Gelöst“? Klickt man drauf, wechselt er in „Ungelöst“. Wer außer mir, als Themenstarter, kann den Hinweis noch sehen? Und warum. Und wenn dieser neue Thread „Gelöst“ oder „Ungelöst“ ist, von wem und für wen ist der betreffende Status eine Nachricht, was es zu wissen oder zu tun gibt?

Sehe gerade: Unter Foren dieses Thema angeklickt, heißt die Überschrift:

[Gelöst] Welche persönlichen Risiken ergeben sich bei der Nutzung dieser Plattform BeNe

Was ist für wen, warum und in welcher Weise "gelöst"?

@bienchen730

Ein #Admin hat in einem IT-System die höchsten Berechtigungen, d.h. er kann meistens "ALLES" im System machen.

Was wir bei BeNe schon verstanden haben, bedeutet das, dass mit der Admin-Rolle

- Das System gestartet und gestoppt werden

- Weitere Admins angelegt werden können

- Nutzerkennungen gelöscht oder geändert werden können

- Zugriff auf "nicht allgemein zugängliche" Informationen, wie Mailadressen oder den Aktivitäten der Nutzenden (Protokolldaten)

- last but not least die Änderung von Inhalten, also z. B. auch diesem Beitrag 🙁

Das ist nur ein Auszug und generell ist diese Rolle in der IT sinnvoll und sogar notwendig.

Das setzt aber organisatorisch recht hohe Anforderungen an die Personen, die dieses Privileg innehaben und die für sich selbst sprechen:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt im IT-Grundschutz-Kompendium spezifische Anforderungen an IT-Administratoren fest, um die Informationssicherheit in Organisationen sicherzustellen.

Anforderungen an IT-Administratoren laut BSI:

1. Fachliche Qualifikation:

   • Administratoren sollten über fundiertes Fachwissen in den Bereichen IT-Systeme, Netzwerke und Sicherheitsmaßnahmen verfügen.

2. Verantwortungsbewusstsein:

   • Ein hohes Maß an Verantwortungsbewusstsein ist erforderlich, da Administratoren Zugriff auf kritische Systeme und Daten haben.

3. Zuverlässigkeit:

   • Die Zuverlässigkeit der Administratoren ist essenziell, um das Vertrauen in die Sicherheit der IT-Infrastruktur zu gewährleisten.

4. Kontinuierliche Weiterbildung:

   • Regelmäßige Schulungen und Weiterbildungen sind notwendig, um mit den sich ständig ändernden Technologien und Bedrohungen Schritt zu halten.

5. Kenntnis der Sicherheitsrichtlinien:

   • Administratoren müssen mit den geltenden Sicherheitsrichtlinien und -standards vertraut sein und diese konsequent umsetzen.

Diese Anforderungen betonen die Notwendigkeit einer sorgfältigen Auswahl und kontinuierlichen Qualifizierung von IT-Administratoren, um die Sicherheit und Integrität der IT-Systeme zu gewährleisten.

P.S.: Ich bin dann erstmal off, auch wenn es bei BeNe sicher noch einiges zu prüfen und zu testen gibt.

Aber im Gegensatz zu anderen Akteur*innen tragen wir als Nutzende mit Kritik am System und konkreten Hinweisen ohne Auftrag und Bezahlung bei, also im wahrsten Sinne "ehrenamtlich".

Und dazu sagt die AG ja selbst richtigerweise:

BeNe wächst durch alle Nutzer*Innen, denn Viele können viel Wissen(!) zusammentragen.

@thies-stahl

Das ist mir auch schon aufgefallen, habe mich aber (noch) nicht weiter damit befasst.

Da es offensichtlich keine ausführliche Bedienungsanleitung/Beschreibung für BeNe gibt ist das eine der vielen Fragen, die die Moderation (in der Rolle als #HelpDesk) beantworten sollte.

@heimschulekind Danke für die Beantwortung meiner Frage! Wenn ich das hier alles lese (wovon ich ehrlich gesagt nicht mal die Hälfte verstehe, wenn überhaupt), dann drängt sich mir der Eindruck auf, dass BeNe gerade ziemlich viel (aus Datenschutzsicht) um die Ohren fliegt, und sei es nur, die vielen Fragen zu beantworten. Normal Sterbliche wie ich komme da inhaltlich nicht mehr mit, aber ich merke, dass das alles etwas mit mir macht. Solange wir aber keine Antworten bekommen (und zwar von Fachleuten), stellt sich bei mir ein Gefühl der stetig steigenden Verunsicherung ein und das ist kein gutes Gefühl.

Als einfache Userin frage ich mich z.B. auch, wie das alles erst wird, wenn wir doch irgendwann einmal die privaten Foren nutzen können? (Ich meine, wir wollen da schließlich keine Kochrezepte, sondern wahrscheinlich auch sehr sensible Daten, Fakten und sehr persönliche Erlebnisse austauschen). Streng genommen bräuchte die EKD sich gar nicht die Mühe zu machen (vorausgesetzt sie wollte das überhaupt) über Umwege an unsere persönlichen Daten usw. zu kommen. Sie müsste nur sogenannte Fake-Profile einsetzen und könnte sich so "hintenherum" in die privaten Foren einschleichen. (Natürlich besteht diese Gefahr immer in Foren, in denen keine Authentifizierung via Personalausweis erforderlich ist). Und somit beißt sich die Katze an der Stelle selbst in den Schwanz: Wir alle genießen durch das Nicknamemodell höchstmögliche Anonymität, laufen aber gleichzeitig Gefahr, TäternInnen oder anderen "Betrügern" in die Arme zu laufen.) Ich habe nicht den Hauch einer Idee, wie man das Dilemma lösen könnte.

@heimschulekind "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt im IT-Grundschutz-Kompendium spezifische Anforderungen an IT-Administratoren fest, um die Informationssicherheit in Organisationen sicherzustellen..."

Aber diese Anforderungen erfüllen z.B. die Mitglieder der AG BeNe doch gar nicht!

@heimschulekind Und wenn ich mir den Anforderungskatalog anschaue und ihn z.B. auf die Mitglieder der AG BeNe übertrage (die ja auch im Befo vertreten sind...), dann frage ich mich, ob da nicht ein klarer Macht-und Vertrauensmissbrauch an der Stelle stattfindet, zu Lasten des Datenschutzes der User???