Benutzeraccounts im Geoportal (und auch im Geoportal für Anwender) müssen aus nachfolgenden Gründen persönlich sein und dürfen nicht weiter gegeben werden:
- Beide Portale erlauben Benutzer-individuelle Einstellungen. Verwenden mehrere Benutzer den gleichen Account, dann kann ein Benutzer die Einstellungen eines anderen Benutzers verändern.
- Verwenden mehrere Benutzer den gleichen Account, kann kaum sichergestellt werden, dass bei einem Austritt eines Benutzers aus der Organisation, der Zugang für diesen Benutzer gesperrt wird. Es müsste allen restlichen Benutzern auf dem gleichen Account zeitnah ein neues Passwort mitgeteilt werden.
- Werden Benutzeraccounts eines verwaltungs-internen Benutzers an eine verwaltungs-externe Person weitergegeben, dann hat diese Person Zugang zu allen V-klassierten Daten aller Gemeinden und kantonalen Verwaltungen.
Die Weitergabe von verwaltungsinternen Zugangsrechten an verwaltungsexterne Personen verletzt klar die vertraglichen Vertraulichkeitsbestimmungen.
Die IG GIS AG behält sich vor, den Umgang mit Passwörtern künftig strengeren Regeln zu unterwerfen:
- Erzwingen einer minimalen Passwortkomplexität
- Erzwingen von periodischen Passwortwechseln
Die allermeisten Datenbestände sind hinsichtlich Vertraulichkeit nicht wirklich hochkritisch. Ein Nutzungsverbund funktioniert jedoch nur, wenn sich alle an die vertraglich vereinbarten Bestimmungen halten. Ein verwaltungs-intern offener Zugang zu Daten ist dann möglich, wenn sich jede zuständige Stelle darauf verlassen kann, dass sich alle Beteiligten an die Vorgaben halten.
Die Massnahmen gegen Missbräuche sind einfach: Enge Beschränkung der Datenbestandsnutzung nur innerhalb der eigenen Organisationseinheit. Damit entsteht aber ein erheblicher „Schaden“ im Nutzungsverbund.
Ich bitte Sie um einen verantwortungsbewussten Umgang mit Accountdaten und Passwörtern.