Mit anderen Worten: Wenn Sie für Ihre geschäftliche und Ihre private E-Mail-Adresse dasselbe Kennwort verwenden, hat Ihr Arbeitgeber dann das Recht, 1) das Kennwort für Ihre geschäftliche E-Mail-Adresse abzurufen und 2) für Ihr privates Konto zu verwenden?
Und schließlich: 3) Was passiert, wenn sie die von ihnen an Sie gesendete E-Mail-Adresse und Ihr Kennwort verwenden, um sich bei einem Drittanbieterdienst anzumelden, für den Sie sich mit der von ihnen gesendeten E-Mail-Adresse angemeldet haben?
Wenn ich beispielsweise mit meiner Arbeits-E-Mail-Adresse ein Instagram-Konto eingerichtet habe, hat mein Arbeitgeber dann das Recht, von der IT mein Passwort abzurufen, um an diese Bilder zu kommen oder überhaupt auf das Konto zuzugreifen?
Antwort1
Nicht in den Vereinigten Staaten. Dies würde gegen Bundesgesetze verstoßen, insbesondere gegen 18 USC 1030(a)(2)(C):
„Wer … vorsätzlich unberechtigt auf einen Rechner zugreift oder die autorisierten Zugriffsrechte überschreitet und dadurch … Informationen von einem geschützten Rechner erlangt … wird bestraft[.]“
Sie verfügen nicht über die Berechtigung, auf das E-Mail-Konto oder auf Dienste von Drittanbietern zuzugreifen (es sei denn, der Anbieter hat ihnen diese Berechtigung erteilt, was äußerst unwahrscheinlich ist).
Dies wäre ein geschützter Computer, da in 18 USC 1030(e)(2)(B) steht:
„Im Sinne dieses Abschnitts ... bezeichnet der Begriff ‚geschützter Computer‘ einen Computer ... der im zwischenstaatlichen oder ausländischen Handel oder in der Kommunikation verwendet wird oder diese beeinflusst, einschließlich eines Computers außerhalb der Vereinigten Staaten, der auf eine Weise verwendet wird, die den zwischenstaatlichen oder ausländischen Handel oder die Kommunikation der Vereinigten Staaten beeinflusst[.]“
Dies würde praktisch jeden E-Mail-Dienst oder Drittanbieterdienst im Internet abdecken.
Antwort2
Erstens: Verwenden Sie Passwörter niemals wieder. Tun Sie es einfach nicht! Es gibt so viele bessere Optionen – ich empfehle dringend eine Anwendung zur Passwortspeicherung wie LastPass oder ähnliches – und die Wiederverwendung von Passwörtern ist eine großartige Möglichkeit, selbst nach Jahren noch Opfer von Hackern zu werden. Vielleicht haben Sie die Nachrichten über Mark Zuckerbergs Konten gesehen, die kürzlich „gehackt“ wurden? Das passiert, wenn Sie Passwörter wiederverwenden (so haben sie ihn erwischt).
Nun zu Ihren eigentlichen Fragen:
1) Ja, die IT-Mitarbeiter Ihres Unternehmens können das absolut tun. Theoretisch können sie das wahrscheinlich nicht so einfach tun - Ihre Passwörter sollten so sicher gespeichert werden, dass sie nicht auf das ursprüngliche Passwort zurückgesetzt werden können (eine Einwegfunktion, wie z. B. ein kryptografischer Hash, wird normalerweise als Teil eines Passwortspeichersystems verwendet) - aber sie können es tun, wenn sie einen Grund dafür haben. In der Praxis ist es wahrscheinlich einfach. Sie haben auch das Recht dazu (es sei denn, Sie haben einen Vertrag, der etwas anderes besagt; das ist unwahrscheinlich); Ihr Konto und tatsächlich Ihr gesamter Zugriff aufihreComputer, ist eingeschaltetihreBedingungen. In einigen Arbeitsverträgen heißt es grundsätzlich, dass die IT-Infrastruktur des Unternehmens und alle darauf befindlichen oder darüber gesendeten Daten – einschließlich Passwörter – Eigentum Ihres Arbeitgebers sind und von diesem überprüft werden können. Es kann Ausnahmen für Daten persönlicher Natur, genehmigte Nebenprojekte unter Verwendung von Unternehmensressourcen usw. geben, aber Sie sollten nicht davon ausgehen.
2) Das wäre illegal, zumindest in den USA. Der Zugriff auf ein Computersystem, das ihnen nicht gehört und für das sie keine Zugriffsberechtigung haben, ist strengstens gesetzeswidrig. Strafverfolgungsbehörden können dies (legal) tun, wenn sie einen Haftbefehl haben, oder möglicherweise auch ohne, wenn es sich um jemanden wie die NSA handelt, aber ein nichtstaatliches Unternehmen kann dies (legal) nicht tun, es sei denn, es wird von einer Regierungsbehörde dazu gezwungen. Die Antwort von David Schwartz enthält hier gute Einzelheiten.
3) Dasselbe wie Nr. 2, allerdings ist es dort etwas unklarer. Sie besitzen diese E-Mail-Adresse (undnichtverlangen Ihr Passwort, um darauf zuzugreifen, es sei denn, ihre Sicherheit ist viel stärker als ich erwarte; normalerweise kann ein Serveradministrator alle E-Mails auf diesem Server problemlos lesen), wenn Sie es also verwenden, um ein Passwort zurückzusetzen, das an Ihre Arbeits-E-Mail geht, könnten sie die resultierende zurückgesetzte E-Mail lesen. Die Verwendung (für eine Website/einen Dienst eines Drittanbieters, ohne Ihre Erlaubnis) wäre wiederum illegal (dieselben Vorbehalte wie oben), aber vielleicht könnte ein ausreichend guter Anwalt die Leute davon überzeugen, dass es aus irgendeinem Grund zulässig ist.In der Praxis sollten Sie Ihr geschäftliches E-Mail-Konto nicht für Dinge verwenden, auf die Ihr Arbeitgeber keinen vollständigen Zugriff haben soll.