Zugangsdaten in Dokumentation?

Dobbs_8b7acd · 11. November 2019 um 09:57

Hallo,
folgende Fragestellung:

Es soll eine Installations- und Konfigurationsdokumentation durch einen externen Dienstleister für dessen Arbeit erstellt werden.
Zugangsdaten werden von Auftraggeber vorgegeben.
Dürfen / müssen diese Zugangsdaten in der Dokumentation auftauchen?

Hintergrund der Frage:
Meinungsdifferenzen zwischen AG und AN - AN ist der Meinung da die Daten ja vom AG kamen gehören sie nicht in eine Doku. Auch der Sicherheitsaspekt könnte eine Rolle spielen.

Gibt es Regeln die dies festlegen?

Danke D.

drambeldier · 11. November 2019 um 09:58

Moin, Dobbs,

jede anständige Zugangskontrolle bietet einen Erstzugang, der nur einmal benutzt werden kann und vom Berechtigten sofort neu gesetzt werden muss, bevor er loslegen kann. Voraussetzung ist natürlich ein Admin, der die Berechtigung vergibt. Dann spricht auch nichts dagegen, den Erstzugang in der Doku zu beschreiben.

Gruß Ralf

Reinhard_Kern_4bc529 · 11. November 2019 um 09:58

Dürfen / müssen diese Zugangsdaten in der Dokumentation
auftauchen?

Nein, in der Dokumentation auf keinen Fall, sondern auf einem extra Blatt, dass dem Zuständigen ausgehändigt wird mit dem Hinweis darauf, dass diese Daten vertraulich sind und sicher aufbewahrt werden müssen (das gilt natürlich auch für den Auftragnehmer! Sowas gehört nicht in die Ablage Kunden-Korrespondenz).

Wenn der Kunde sie dann an die Eingangstür zum Serverraum nagelt ist er selbst schuld.

Gruss Reinhard

Little_H · 11. November 2019 um 10:02

Hy,

Zugangsdaten werden von Auftraggeber vorgegeben.
Dürfen / müssen diese Zugangsdaten in der Dokumentation
auftauchen?

Dürfen ist eine Sache. Sollten sollte man sowas NIEMALS NICHT! Wenn die dem Auftraggeber eh bekannt sind dann kann man durch ein einfaches „Zugangsdaten bekannt“ kenntlich machen und gut.

Hintergrund der Frage:
Meinungsdifferenzen zwischen AG und AN - AN ist der Meinung da
die Daten ja vom AG kamen gehören sie nicht in eine Doku. Auch
der Sicherheitsaspekt könnte eine Rolle spielen.

Richtig. Wenn anders von einem der Seiten gewünscht ist das auch VORHER klar festzuhalten und die Übermittlung des Dokumentes mit Sicherheitsrelevanten Informationen entsprechend einzurichten, das keiner sonst rankommt. Ansonsten kann man sich das sparen und lässt Adminpasswörter weg (

Safrael · 11. November 2019 um 10:03

Also Standartpasswörter können in der Dokumentation auftauchen, jedoch mit dem Hinweis, dass dieses Passwort nach Lieferung umgehend geändert werden sollte.

Auch ist es manchmal sinnvoll zu dokumentieren wie sich ein System im Falle eins Resets verhält, damit man das Standartpasswort wieder findet.

Wer nach Auslieferung eines sicherheitskritischen Systems die Passwörter nicht ändert ist eh selber schuld. Wer weiß schon wie viele Personen Kenntnis davon haben.