criemo
Goto Top

Der IT Admin als Innentäter - wenn der Admin die Firma zerstören will

Hallo Zusammen,
habe einen sehr interessanten Artikel gelesen, der denke ich uns alle angeht.

Der Administrator als Innentäter


Sagt mir gerne was ihr davon haltet und was ihr dagegen tun würdet, um das Netzwerk zu schützen.

Meine Meinung:

Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.

Ein Tool was auf inaktive Benutzeraccounts hinweist. So das diese schnell erkannt und gelöscht werden können.

Viele Grüße
Criemo

Content-ID: 396700

Url: https://administrator.de/knowledge/der-it-admin-als-innentaeter-wenn-der-admin-die-firma-zerstoeren-will-396700.html

Ausgedruckt am: 26.12.2024 um 04:12 Uhr

brammer
brammer 24.12.2018 um 09:23:29 Uhr
Goto Top
Hallo,

Ich arbeite jetzt seit fast 20 Jahren im IT und Security Bereich.
Grundsätzlich gilt hier das jeder der etwas beschützt auch ein guter Eindringling sein sollte.. besser sein muss.
Sonst kann er seinen Job nach meinem Verständnis nicht richtig machen.
Entscheidend ist hier die kriminelle Energie und die Moralischen Grenzen.
Neben technischen Möglichkeiten ein Unternehmen bzw. die IT zu schützen gilt es das Verhalten der Mitarbeiter entsprechend zu beobachten, gerade wenn es um Mitarbeiter geht die blockiert werden oder nicht so gefördert oder gewürdigt werden. Und zwar auf der Basis was sich der Mitarbeiter erwartet.
Es nützt nichts wenn es der Firma gut geht, aber dabei die Mitarbeiter auf der Strecke bleiben.
Dann kommt es eher zu Problemen.
Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....

Brammer
Criemo
Criemo 24.12.2018 um 09:55:33 Uhr
Goto Top
Hallo Brammer,
Du hat recht der menschliche Aspekt spielt eine große Rolle, wenn nicht sogar die größte.
Das Problem ist aber bei uns Menschen wie der Kölner so schön sagt: Jeder Jeck, is anders.

Und es gibt leider Menschen die wirklich von Grund auf schlecht drauf sind, über alles murren egal was die Firma für einen macht und egal wie sehr sich die Firma um jeden einzelnen Mitarbeiter bemüht und diesen Wertschätzt.

Viele Grüße
Criemo
129580
129580 24.12.2018 aktualisiert um 10:09:44 Uhr
Goto Top
Guten Morgen,

Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....

Grundsätzlich gebe ich dir recht. Sabotage durch einen Mitarbeiter lässt sich technisch kaum verhindern. Hier muss man eben drauf achten, dass man die Mitarbeiter entsprechend nicht verärgert. Man kann allerdings mit einem ordentlichen Sicherheitskonzept den Schaden auf das absolute Minimum begrenzen. Und das war bei dem Fall, von dem Golem berichtet hat, nicht der Fall. Da fängt es ja schon beim Rechtemanagment an. Der Mitarbeiter musste ja auf allen Systemen Zugriff gehabt haben. So konnte er ein VPN anlegen und entsprechende Firewall Regeln anpassen, d.h. der musste Zugriff auf die Firewall gehabt haben. Ebenso hatte er offenbar administrativen Zugriff auf die anderen System, um Datenbanken und Webanwendungen löschen zu können. Ebenso ein großer Fehler, dass Accounts angelegt wurden, diese aber offenbar nie dokumentiert und auch nie verwendet wurden. Das nach der ersten Attacke nicht erstmals das System vollständig abgeschottet wurde und erstmals nach der Ursache analysiert wurde ist halt auch fahrlässig. Zumindest habe ich den Bericht so verstanden, dass die zweite Attacke auch per Remote über den Account über den VPN erfolgt ist.

Wenn man ein IT-Team hat, dann sollte man ein entsprechendes Rechtemanagment haben. Bei uns ist das beispielsweise so, dass nur Windows Admins administrativen Zugriff auf die Windows Kisten haben. Auf andere Systeme haben diese keinen Zugriff. Linux Admins sind die einzigstens die administrativen Zugriff auf Linux Kisten haben usw. Auf interne Systeme und Backups gibt es wiederum ein kleines spezielles Team. Was Accounts und Rechtemanagment angeht, darf nur der jeweilige Teamleiter Änderungen durchführen. So kann man die Infrastruktur schon mal relativ gut isolieren, sodass falls ein Mitarbeiter Amok läuft, dass der Schaden nur begrenzt ist.

Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.

Ein solches System verwenden wir auch. Dort werden Server Passwörter und SSH Keys intervallmäßig automatisch geändert. Es gibt eine Anbindung an den Remote Desktop Manager. So müssen die Mitarbeiter nicht die Passwörter der Systeme kennen. Ledglich müssen die Mitarbeiter für das Starten des RDMs eine MFA durchführen. Und für die AD Accounts gibt es Passwort Richtlinien.

Viele Grüße
Exception
certifiedit.net
certifiedit.net 24.12.2018 um 12:03:14 Uhr
Goto Top
Guten Morgen,

so einen ähnlichen Fall hatten wir doch erst letztens in NL mit dem Hoster.

Sicherlich auch hier ein ähnlicher Fall.

Ich stimme den Kollegen übrigens nur teilweise zu, technisch lässt sich auch hier bereits vieles verhindern, in dem man besonnen die Zugriffe verwaltet. Das Hauptproblem ist hierbei der Faktor Aufwand/Geld und dann eben die Zeit oder z.T sogar die Information über den Abgang div. Mitarbeiter oder ggf. sogar die Unwissenheit des restlichen IT-Personals. Offensichtlich war die Administrative Basis nicht in der Lage den Angriff zu prüfen und zu beheben. Über die genutzten technischen Möglichkeiten wird im weiteren nichts gesagt. Eine VPN kann man auf einer Fritzbox wie auf einer UTM einrichten und wie ich Agenturen kennen gelernt habe...

Natürlich kommt das, Jeder Jeck is anders, schwerer zu tragen, da der Text kaum hergibt, warum der Ex-Mitarbeiter offensichtlich so viel Hass hatte, dass er sich mit solcher krimineller Energie auf dem Firmenserver vergriff, ggf. lief hier bereits im Mitarbeiterbeschaffungsprozess etwas schief. (Wer billig kauft)

Zu guter letzt kommt hier der Faktor auf, wenn Mitarbeiter in der IT eingestellt werden, wie sonstige Mitarbeiter, ohne weitreichende Kenntnisse und vor allem ohne Berufsethos. Das treffen wir hier und da auch am Board des öfteren an, ich möchte diesem Personenkreis nun nicht in die Schuhe schieben, dass Sie mutwillig Dinge zerstören, aber durch die mutwillige Anbietung von nicht beherrschten Techniken ebenfalls ein (Sicherheits-)Risiko für die beauftragende Firma darstellen.

VG,

Christian

PS: Wenn ich das richtig lese geht die Verhandlung aber in die nächste Runde. Wer weiss, was dabei noch raus kommt, es bleibt spannend.
smich25890
smich25890 25.12.2018 um 21:35:19 Uhr
Goto Top
Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt
Criemo
Criemo 25.12.2018 um 22:27:58 Uhr
Goto Top
Zitat von @smich25890:

Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt


:-p
Penny.Cilin
Penny.Cilin 26.12.2018 um 11:50:51 Uhr
Goto Top
Hallo,

des öfteren habe ich schon erlebt, wenn ein Mitarbeiter der IT geht oder gegangen wird, dann anfängt in den Datenbereichen zu schnüffeln, wo er eigentlich nicht zu schnüffeln hat.

Es gibt eigentlich den Grundsatz:
Aufgrund seiner Berechtigungen kann ein Administrator sich Zugriff verschaffen, er sollte bzw. darf es nicht einfach so.

Was ich damit meine, ist man sich dessen bewusst sein sollte. Und wenn eine Person weitreichende Berechtigungen hat, diese auch zurückhaltend einsetzen.

Gruss Penny
it-fraggle
it-fraggle 27.12.2018 um 21:08:08 Uhr
Goto Top
Zitat von @smich25890:

Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt

4. Augen auf bei der Auswahl des Mitarbeiters. face-wink
ITgustel
ITgustel 29.12.2018 um 00:45:04 Uhr
Goto Top
Du erzählst was von einem "Teamleiter", das lässt auf eine größere Firma schließen. In größeren Organisationen geht das auch, in einem klassischen Mittelständler wo es vielleicht nur 3 oder 4 ITler gibt und jeder alles macht, ist das nicht durchsetzbar. Da braucht jeder alle Berechtigungen, weil mal einer krank und einer andere Urlaub haben kann und die Firma deswegen nicht "stehen" darf. Eine Backdoor kann sich da jeder selbst bauen. Traurig, dass es dazu aber überhaupt kommt/kommen muss...

Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.

Just my 2 Cent...
certifiedit.net
certifiedit.net 29.12.2018 um 00:51:47 Uhr
Goto Top
Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit.
Kann man nur unterschreiben. Leider
Criemo
Criemo 29.12.2018 um 00:56:21 Uhr
Goto Top
Zitat von @ITgustel:

Du erzählst was von einem "Teamleiter", das lässt auf eine größere Firma schließen. In größeren Organisationen geht das auch, in einem klassischen Mittelständler wo es vielleicht nur 3 oder 4 ITler gibt und jeder alles macht, ist das nicht durchsetzbar. Da braucht jeder alle Berechtigungen, weil mal einer krank und einer andere Urlaub haben kann und die Firma deswegen nicht "stehen" darf. Eine Backdoor kann sich da jeder selbst bauen. Traurig, dass es dazu aber überhaupt kommt/kommen muss...

Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.

Just my 2 Cent...

Und genau hier kommen technische Möglichkeiten ins Spiel. Nicht das man das nicht auch irgendwie umgehen kann, aber es macht die Sache durchaus schwerer und erfordert Unmengen an kriminelle Energie.

Eine PAM
Last Logon Status
Und ein vernünftiger employee leaving Prozess, würde hier wenigstens für grundlegende Prävention sorgen.

Viele Grüße
Criemo
certifiedit.net
certifiedit.net 29.12.2018 um 01:02:40 Uhr
Goto Top
Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit.

@Criemo, das ist aber das Problem dahinter. Du kennst die Themen bestimmt auch.
Criemo
Criemo 29.12.2018 aktualisiert um 01:14:32 Uhr
Goto Top
Logisch kenne ich die Themen.
Ich bin Teamleiter einer kleinen IT Abteilung mit 6 Mitarbeitern - wir Supporten aber 1500 User am Standort mit einer Serverlandschaft von ca 250 Servern auf 6 Blechen redundant auf 2 Rechencentren.
Ich hatte meinen Chef für ein oder zwei weitere Mitarbeiter gebeten als Antwort kam ne sorry der Headcount.
Stelle lieber 2-3 Fremdfirmen Mitarbeiter ein. (Zeitarbeit, etc.)

Toll hab dann zwei Mitarbeiter nach 6 Monaten suchen ( Weil der Arbeitsmarkt soviele gute Mitarbeiter hergibt im Moment) bekommen.

Nach 3 Monaten waren sie dann weg, weil sie in einer Firma einen Festvertrag bekommen haben.

Dann ging das suchen erneut los.. (hab noch keine gefunden) Vorallem wieder Zeit investieren und anlernen etc.

Sehr geil.

Viele Grüße
Criemo
GrueneSosseMitSpeck
GrueneSosseMitSpeck 30.12.2018 um 11:20:59 Uhr
Goto Top
prekär bezahlende Arbeitgeber gibts immer und die lernen das auch nicht.... ich hatte mal 2007 einen IT-Allround-Job in der Nähe von Nizza, mit Festanstlelung, bis mein (gut bezahlender) Arbeitgeber pleite ging. Ich bewarb mich also rauf und runter, hatte dann zwei Einladungen, beide nicht gerade vor der Haustür. Der eine in Marseille wollte mir 1600 Euro brutto bezahlen, für einen Job wo als Vorraussetzung Programmierkenntnisse, Datenbank und PHP und 7 Jahre Berufserfahrung gefordert wurden.

Ich hab den Typen dann gesagt, daß ich mal lieber von 2400 Euro Arbeitslosengeld leben würde... und wenn er für den Kurs einen einstellen würde dann müßte er sich bei dem Hungerlohn mal eher Sorgen um seine Daten machen... Selbst Mülmänner verdienen mehr... die Stadt Marseille suchte seinerzeit Müllwagenfahrer und wollte sogar für den LKW Führerschein aufkommen.

Den Standpunkt konnte der überaus geizige Chef denn garnicht verstehen. Die andere Firma hatte meine Bewerbung verschlampt, vergessen daß ich einen Termin hatte, gurk also die 280 km von Nizza nach Aix en Provence und wurde mit der Frage kontrontiert "was wollen SIE denn hier?" Sie hätten gerade was frei für die Vorortwartung von Fotokopierern, 2600 Euro brutto und ich sollte mir ne Bude in Aix suchen.

Dumm nur daß das ein Ferienort mit sauteuren Mieten ist, mit 2600 kommt man da nicht weit. Außerdem, wer will schon in die Provence wenn man an der Cote d'azure wohnt. Am Ende hab ich nen hochanständigen Job im Rheinland über eine Personalvermittlung gekriegt.... also die Bude mit Meerblick gegen eine mit Rheinblick getauscht. Was mich hier am meisten nervt, ist der Karneval und die Labertaschen unter den Rheinländern, aber erträgt man nicht alles, wenn man einen guten Job hat.
certifiedit.net
certifiedit.net 30.12.2018 um 11:59:47 Uhr
Goto Top
Moin Leute,

wollt Ihr nicht für die Gehaltsfragen und Lebenszu- und abträglichkeiten einen eigenen Beitrag starten?

Guten Rutsch