Der IT Admin als Innentäter - wenn der Admin die Firma zerstören will
Hallo Zusammen,
habe einen sehr interessanten Artikel gelesen, der denke ich uns alle angeht.
Der Administrator als Innentäter
Sagt mir gerne was ihr davon haltet und was ihr dagegen tun würdet, um das Netzwerk zu schützen.
Meine Meinung:
Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.
Ein Tool was auf inaktive Benutzeraccounts hinweist. So das diese schnell erkannt und gelöscht werden können.
Viele Grüße
Criemo
habe einen sehr interessanten Artikel gelesen, der denke ich uns alle angeht.
Der Administrator als Innentäter
Sagt mir gerne was ihr davon haltet und was ihr dagegen tun würdet, um das Netzwerk zu schützen.
Meine Meinung:
Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.
Ein Tool was auf inaktive Benutzeraccounts hinweist. So das diese schnell erkannt und gelöscht werden können.
Viele Grüße
Criemo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 396700
Url: https://administrator.de/knowledge/der-it-admin-als-innentaeter-wenn-der-admin-die-firma-zerstoeren-will-396700.html
Ausgedruckt am: 26.12.2024 um 04:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
Ich arbeite jetzt seit fast 20 Jahren im IT und Security Bereich.
Grundsätzlich gilt hier das jeder der etwas beschützt auch ein guter Eindringling sein sollte.. besser sein muss.
Sonst kann er seinen Job nach meinem Verständnis nicht richtig machen.
Entscheidend ist hier die kriminelle Energie und die Moralischen Grenzen.
Neben technischen Möglichkeiten ein Unternehmen bzw. die IT zu schützen gilt es das Verhalten der Mitarbeiter entsprechend zu beobachten, gerade wenn es um Mitarbeiter geht die blockiert werden oder nicht so gefördert oder gewürdigt werden. Und zwar auf der Basis was sich der Mitarbeiter erwartet.
Es nützt nichts wenn es der Firma gut geht, aber dabei die Mitarbeiter auf der Strecke bleiben.
Dann kommt es eher zu Problemen.
Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....
Brammer
Ich arbeite jetzt seit fast 20 Jahren im IT und Security Bereich.
Grundsätzlich gilt hier das jeder der etwas beschützt auch ein guter Eindringling sein sollte.. besser sein muss.
Sonst kann er seinen Job nach meinem Verständnis nicht richtig machen.
Entscheidend ist hier die kriminelle Energie und die Moralischen Grenzen.
Neben technischen Möglichkeiten ein Unternehmen bzw. die IT zu schützen gilt es das Verhalten der Mitarbeiter entsprechend zu beobachten, gerade wenn es um Mitarbeiter geht die blockiert werden oder nicht so gefördert oder gewürdigt werden. Und zwar auf der Basis was sich der Mitarbeiter erwartet.
Es nützt nichts wenn es der Firma gut geht, aber dabei die Mitarbeiter auf der Strecke bleiben.
Dann kommt es eher zu Problemen.
Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....
Brammer
Guten Morgen,
Grundsätzlich gebe ich dir recht. Sabotage durch einen Mitarbeiter lässt sich technisch kaum verhindern. Hier muss man eben drauf achten, dass man die Mitarbeiter entsprechend nicht verärgert. Man kann allerdings mit einem ordentlichen Sicherheitskonzept den Schaden auf das absolute Minimum begrenzen. Und das war bei dem Fall, von dem Golem berichtet hat, nicht der Fall. Da fängt es ja schon beim Rechtemanagment an. Der Mitarbeiter musste ja auf allen Systemen Zugriff gehabt haben. So konnte er ein VPN anlegen und entsprechende Firewall Regeln anpassen, d.h. der musste Zugriff auf die Firewall gehabt haben. Ebenso hatte er offenbar administrativen Zugriff auf die anderen System, um Datenbanken und Webanwendungen löschen zu können. Ebenso ein großer Fehler, dass Accounts angelegt wurden, diese aber offenbar nie dokumentiert und auch nie verwendet wurden. Das nach der ersten Attacke nicht erstmals das System vollständig abgeschottet wurde und erstmals nach der Ursache analysiert wurde ist halt auch fahrlässig. Zumindest habe ich den Bericht so verstanden, dass die zweite Attacke auch per Remote über den Account über den VPN erfolgt ist.
Wenn man ein IT-Team hat, dann sollte man ein entsprechendes Rechtemanagment haben. Bei uns ist das beispielsweise so, dass nur Windows Admins administrativen Zugriff auf die Windows Kisten haben. Auf andere Systeme haben diese keinen Zugriff. Linux Admins sind die einzigstens die administrativen Zugriff auf Linux Kisten haben usw. Auf interne Systeme und Backups gibt es wiederum ein kleines spezielles Team. Was Accounts und Rechtemanagment angeht, darf nur der jeweilige Teamleiter Änderungen durchführen. So kann man die Infrastruktur schon mal relativ gut isolieren, sodass falls ein Mitarbeiter Amok läuft, dass der Schaden nur begrenzt ist.
Ein solches System verwenden wir auch. Dort werden Server Passwörter und SSH Keys intervallmäßig automatisch geändert. Es gibt eine Anbindung an den Remote Desktop Manager. So müssen die Mitarbeiter nicht die Passwörter der Systeme kennen. Ledglich müssen die Mitarbeiter für das Starten des RDMs eine MFA durchführen. Und für die AD Accounts gibt es Passwort Richtlinien.
Viele Grüße
Exception
Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....
Grundsätzlich gebe ich dir recht. Sabotage durch einen Mitarbeiter lässt sich technisch kaum verhindern. Hier muss man eben drauf achten, dass man die Mitarbeiter entsprechend nicht verärgert. Man kann allerdings mit einem ordentlichen Sicherheitskonzept den Schaden auf das absolute Minimum begrenzen. Und das war bei dem Fall, von dem Golem berichtet hat, nicht der Fall. Da fängt es ja schon beim Rechtemanagment an. Der Mitarbeiter musste ja auf allen Systemen Zugriff gehabt haben. So konnte er ein VPN anlegen und entsprechende Firewall Regeln anpassen, d.h. der musste Zugriff auf die Firewall gehabt haben. Ebenso hatte er offenbar administrativen Zugriff auf die anderen System, um Datenbanken und Webanwendungen löschen zu können. Ebenso ein großer Fehler, dass Accounts angelegt wurden, diese aber offenbar nie dokumentiert und auch nie verwendet wurden. Das nach der ersten Attacke nicht erstmals das System vollständig abgeschottet wurde und erstmals nach der Ursache analysiert wurde ist halt auch fahrlässig. Zumindest habe ich den Bericht so verstanden, dass die zweite Attacke auch per Remote über den Account über den VPN erfolgt ist.
Wenn man ein IT-Team hat, dann sollte man ein entsprechendes Rechtemanagment haben. Bei uns ist das beispielsweise so, dass nur Windows Admins administrativen Zugriff auf die Windows Kisten haben. Auf andere Systeme haben diese keinen Zugriff. Linux Admins sind die einzigstens die administrativen Zugriff auf Linux Kisten haben usw. Auf interne Systeme und Backups gibt es wiederum ein kleines spezielles Team. Was Accounts und Rechtemanagment angeht, darf nur der jeweilige Teamleiter Änderungen durchführen. So kann man die Infrastruktur schon mal relativ gut isolieren, sodass falls ein Mitarbeiter Amok läuft, dass der Schaden nur begrenzt ist.
Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.
Ein solches System verwenden wir auch. Dort werden Server Passwörter und SSH Keys intervallmäßig automatisch geändert. Es gibt eine Anbindung an den Remote Desktop Manager. So müssen die Mitarbeiter nicht die Passwörter der Systeme kennen. Ledglich müssen die Mitarbeiter für das Starten des RDMs eine MFA durchführen. Und für die AD Accounts gibt es Passwort Richtlinien.
Viele Grüße
Exception
Guten Morgen,
so einen ähnlichen Fall hatten wir doch erst letztens in NL mit dem Hoster.
Sicherlich auch hier ein ähnlicher Fall.
Ich stimme den Kollegen übrigens nur teilweise zu, technisch lässt sich auch hier bereits vieles verhindern, in dem man besonnen die Zugriffe verwaltet. Das Hauptproblem ist hierbei der Faktor Aufwand/Geld und dann eben die Zeit oder z.T sogar die Information über den Abgang div. Mitarbeiter oder ggf. sogar die Unwissenheit des restlichen IT-Personals. Offensichtlich war die Administrative Basis nicht in der Lage den Angriff zu prüfen und zu beheben. Über die genutzten technischen Möglichkeiten wird im weiteren nichts gesagt. Eine VPN kann man auf einer Fritzbox wie auf einer UTM einrichten und wie ich Agenturen kennen gelernt habe...
Natürlich kommt das, Jeder Jeck is anders, schwerer zu tragen, da der Text kaum hergibt, warum der Ex-Mitarbeiter offensichtlich so viel Hass hatte, dass er sich mit solcher krimineller Energie auf dem Firmenserver vergriff, ggf. lief hier bereits im Mitarbeiterbeschaffungsprozess etwas schief. (Wer billig kauft)
Zu guter letzt kommt hier der Faktor auf, wenn Mitarbeiter in der IT eingestellt werden, wie sonstige Mitarbeiter, ohne weitreichende Kenntnisse und vor allem ohne Berufsethos. Das treffen wir hier und da auch am Board des öfteren an, ich möchte diesem Personenkreis nun nicht in die Schuhe schieben, dass Sie mutwillig Dinge zerstören, aber durch die mutwillige Anbietung von nicht beherrschten Techniken ebenfalls ein (Sicherheits-)Risiko für die beauftragende Firma darstellen.
VG,
Christian
PS: Wenn ich das richtig lese geht die Verhandlung aber in die nächste Runde. Wer weiss, was dabei noch raus kommt, es bleibt spannend.
so einen ähnlichen Fall hatten wir doch erst letztens in NL mit dem Hoster.
Sicherlich auch hier ein ähnlicher Fall.
Ich stimme den Kollegen übrigens nur teilweise zu, technisch lässt sich auch hier bereits vieles verhindern, in dem man besonnen die Zugriffe verwaltet. Das Hauptproblem ist hierbei der Faktor Aufwand/Geld und dann eben die Zeit oder z.T sogar die Information über den Abgang div. Mitarbeiter oder ggf. sogar die Unwissenheit des restlichen IT-Personals. Offensichtlich war die Administrative Basis nicht in der Lage den Angriff zu prüfen und zu beheben. Über die genutzten technischen Möglichkeiten wird im weiteren nichts gesagt. Eine VPN kann man auf einer Fritzbox wie auf einer UTM einrichten und wie ich Agenturen kennen gelernt habe...
Natürlich kommt das, Jeder Jeck is anders, schwerer zu tragen, da der Text kaum hergibt, warum der Ex-Mitarbeiter offensichtlich so viel Hass hatte, dass er sich mit solcher krimineller Energie auf dem Firmenserver vergriff, ggf. lief hier bereits im Mitarbeiterbeschaffungsprozess etwas schief. (Wer billig kauft)
Zu guter letzt kommt hier der Faktor auf, wenn Mitarbeiter in der IT eingestellt werden, wie sonstige Mitarbeiter, ohne weitreichende Kenntnisse und vor allem ohne Berufsethos. Das treffen wir hier und da auch am Board des öfteren an, ich möchte diesem Personenkreis nun nicht in die Schuhe schieben, dass Sie mutwillig Dinge zerstören, aber durch die mutwillige Anbietung von nicht beherrschten Techniken ebenfalls ein (Sicherheits-)Risiko für die beauftragende Firma darstellen.
VG,
Christian
PS: Wenn ich das richtig lese geht die Verhandlung aber in die nächste Runde. Wer weiss, was dabei noch raus kommt, es bleibt spannend.
Hallo,
des öfteren habe ich schon erlebt, wenn ein Mitarbeiter der IT geht oder gegangen wird, dann anfängt in den Datenbereichen zu schnüffeln, wo er eigentlich nicht zu schnüffeln hat.
Es gibt eigentlich den Grundsatz:
Aufgrund seiner Berechtigungen kann ein Administrator sich Zugriff verschaffen, er sollte bzw. darf es nicht einfach so.
Was ich damit meine, ist man sich dessen bewusst sein sollte. Und wenn eine Person weitreichende Berechtigungen hat, diese auch zurückhaltend einsetzen.
Gruss Penny
des öfteren habe ich schon erlebt, wenn ein Mitarbeiter der IT geht oder gegangen wird, dann anfängt in den Datenbereichen zu schnüffeln, wo er eigentlich nicht zu schnüffeln hat.
Es gibt eigentlich den Grundsatz:
Aufgrund seiner Berechtigungen kann ein Administrator sich Zugriff verschaffen, er sollte bzw. darf es nicht einfach so.
Was ich damit meine, ist man sich dessen bewusst sein sollte. Und wenn eine Person weitreichende Berechtigungen hat, diese auch zurückhaltend einsetzen.
Gruss Penny
Zitat von @smich25890:
Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt
Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt
4. Augen auf bei der Auswahl des Mitarbeiters.
Du erzählst was von einem "Teamleiter", das lässt auf eine größere Firma schließen. In größeren Organisationen geht das auch, in einem klassischen Mittelständler wo es vielleicht nur 3 oder 4 ITler gibt und jeder alles macht, ist das nicht durchsetzbar. Da braucht jeder alle Berechtigungen, weil mal einer krank und einer andere Urlaub haben kann und die Firma deswegen nicht "stehen" darf. Eine Backdoor kann sich da jeder selbst bauen. Traurig, dass es dazu aber überhaupt kommt/kommen muss...
Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.
Just my 2 Cent...
Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.
Just my 2 Cent...
Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit.
@Criemo, das ist aber das Problem dahinter. Du kennst die Themen bestimmt auch.
prekär bezahlende Arbeitgeber gibts immer und die lernen das auch nicht.... ich hatte mal 2007 einen IT-Allround-Job in der Nähe von Nizza, mit Festanstlelung, bis mein (gut bezahlender) Arbeitgeber pleite ging. Ich bewarb mich also rauf und runter, hatte dann zwei Einladungen, beide nicht gerade vor der Haustür. Der eine in Marseille wollte mir 1600 Euro brutto bezahlen, für einen Job wo als Vorraussetzung Programmierkenntnisse, Datenbank und PHP und 7 Jahre Berufserfahrung gefordert wurden.
Ich hab den Typen dann gesagt, daß ich mal lieber von 2400 Euro Arbeitslosengeld leben würde... und wenn er für den Kurs einen einstellen würde dann müßte er sich bei dem Hungerlohn mal eher Sorgen um seine Daten machen... Selbst Mülmänner verdienen mehr... die Stadt Marseille suchte seinerzeit Müllwagenfahrer und wollte sogar für den LKW Führerschein aufkommen.
Den Standpunkt konnte der überaus geizige Chef denn garnicht verstehen. Die andere Firma hatte meine Bewerbung verschlampt, vergessen daß ich einen Termin hatte, gurk also die 280 km von Nizza nach Aix en Provence und wurde mit der Frage kontrontiert "was wollen SIE denn hier?" Sie hätten gerade was frei für die Vorortwartung von Fotokopierern, 2600 Euro brutto und ich sollte mir ne Bude in Aix suchen.
Dumm nur daß das ein Ferienort mit sauteuren Mieten ist, mit 2600 kommt man da nicht weit. Außerdem, wer will schon in die Provence wenn man an der Cote d'azure wohnt. Am Ende hab ich nen hochanständigen Job im Rheinland über eine Personalvermittlung gekriegt.... also die Bude mit Meerblick gegen eine mit Rheinblick getauscht. Was mich hier am meisten nervt, ist der Karneval und die Labertaschen unter den Rheinländern, aber erträgt man nicht alles, wenn man einen guten Job hat.
Ich hab den Typen dann gesagt, daß ich mal lieber von 2400 Euro Arbeitslosengeld leben würde... und wenn er für den Kurs einen einstellen würde dann müßte er sich bei dem Hungerlohn mal eher Sorgen um seine Daten machen... Selbst Mülmänner verdienen mehr... die Stadt Marseille suchte seinerzeit Müllwagenfahrer und wollte sogar für den LKW Führerschein aufkommen.
Den Standpunkt konnte der überaus geizige Chef denn garnicht verstehen. Die andere Firma hatte meine Bewerbung verschlampt, vergessen daß ich einen Termin hatte, gurk also die 280 km von Nizza nach Aix en Provence und wurde mit der Frage kontrontiert "was wollen SIE denn hier?" Sie hätten gerade was frei für die Vorortwartung von Fotokopierern, 2600 Euro brutto und ich sollte mir ne Bude in Aix suchen.
Dumm nur daß das ein Ferienort mit sauteuren Mieten ist, mit 2600 kommt man da nicht weit. Außerdem, wer will schon in die Provence wenn man an der Cote d'azure wohnt. Am Ende hab ich nen hochanständigen Job im Rheinland über eine Personalvermittlung gekriegt.... also die Bude mit Meerblick gegen eine mit Rheinblick getauscht. Was mich hier am meisten nervt, ist der Karneval und die Labertaschen unter den Rheinländern, aber erträgt man nicht alles, wenn man einen guten Job hat.