Der IT Admin als Innentäter - wenn der Admin die Firma zerstören will

Guten Morgen,


Grundsätzlich gebe ich dir recht. Sabotage durch einen Mitarbeiter lässt sich technisch kaum verhindern. Hier muss man eben drauf achten, dass man die Mitarbeiter entsprechend nicht verärgert. Man kann allerdings mit einem ordentlichen Sicherheitskonzept den Schaden auf das absolute Minimum begrenzen. Und das war bei dem Fall, von dem Golem berichtet hat, nicht der Fall. Da fängt es ja schon beim Rechtemanagment an. Der Mitarbeiter musste ja auf allen Systemen Zugriff gehabt haben. So konnte er ein VPN anlegen und entsprechende Firewall Regeln anpassen, d.h. der musste Zugriff auf die Firewall gehabt haben. Ebenso hatte er offenbar administrativen Zugriff auf die anderen System, um Datenbanken und Webanwendungen löschen zu können. Ebenso ein großer Fehler, dass Accounts angelegt wurden, diese aber offenbar nie dokumentiert und auch nie verwendet wurden. Das nach der ersten Attacke nicht erstmals das System vollständig abgeschottet wurde und erstmals nach der Ursache analysiert wurde ist halt auch fahrlässig. Zumindest habe ich den Bericht so verstanden, dass die zweite Attacke auch per Remote über den Account über den VPN erfolgt ist.

Wenn man ein IT-Team hat, dann sollte man ein entsprechendes Rechtemanagment haben. Bei uns ist das beispielsweise so, dass nur Windows Admins administrativen Zugriff auf die Windows Kisten haben. Auf andere Systeme haben diese keinen Zugriff. Linux Admins sind die einzigstens die administrativen Zugriff auf Linux Kisten haben usw. Auf interne Systeme und Backups gibt es wiederum ein kleines spezielles Team. Was Accounts und Rechtemanagment angeht, darf nur der jeweilige Teamleiter Änderungen durchführen. So kann man die Infrastruktur schon mal relativ gut isolieren, sodass falls ein Mitarbeiter Amok läuft, dass der Schaden nur begrenzt ist.


Ein solches System verwenden wir auch. Dort werden Server Passwörter und SSH Keys intervallmäßig automatisch geändert. Es gibt eine Anbindung an den Remote Desktop Manager. So müssen die Mitarbeiter nicht die Passwörter der Systeme kennen. Ledglich müssen die Mitarbeiter für das Starten des RDMs eine MFA durchführen. Und für die AD Accounts gibt es Passwort Richtlinien.

Viele Grüße
Exception

Guten Morgen,

so einen ähnlichen Fall hatten wir doch erst letztens in NL mit dem Hoster.

Sicherlich auch hier ein ähnlicher Fall.

Ich stimme den Kollegen übrigens nur teilweise zu, technisch lässt sich auch hier bereits vieles verhindern, in dem man besonnen die Zugriffe verwaltet. Das Hauptproblem ist hierbei der Faktor Aufwand/Geld und dann eben die Zeit oder z.T sogar die Information über den Abgang div. Mitarbeiter oder ggf. sogar die Unwissenheit des restlichen IT-Personals. Offensichtlich war die Administrative Basis nicht in der Lage den Angriff zu prüfen und zu beheben. Über die genutzten technischen Möglichkeiten wird im weiteren nichts gesagt. Eine VPN kann man auf einer Fritzbox wie auf einer UTM einrichten und wie ich Agenturen kennen gelernt habe...

Natürlich kommt das, Jeder Jeck is anders, schwerer zu tragen, da der Text kaum hergibt, warum der Ex-Mitarbeiter offensichtlich so viel Hass hatte, dass er sich mit solcher krimineller Energie auf dem Firmenserver vergriff, ggf. lief hier bereits im Mitarbeiterbeschaffungsprozess etwas schief. (Wer billig kauft)

Zu guter letzt kommt hier der Faktor auf, wenn Mitarbeiter in der IT eingestellt werden, wie sonstige Mitarbeiter, ohne weitreichende Kenntnisse und vor allem ohne Berufsethos. Das treffen wir hier und da auch am Board des öfteren an, ich möchte diesem Personenkreis nun nicht in die Schuhe schieben, dass Sie mutwillig Dinge zerstören, aber durch die mutwillige Anbietung von nicht beherrschten Techniken ebenfalls ein (Sicherheits-)Risiko für die beauftragende Firma darstellen.

VG,

Christian

PS: Wenn ich das richtig lese geht die Verhandlung aber in die nächste Runde. Wer weiss, was dabei noch raus kommt, es bleibt spannend.

Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt

Hallo,

des öfteren habe ich schon erlebt, wenn ein Mitarbeiter der IT geht oder gegangen wird, dann anfängt in den Datenbereichen zu schnüffeln, wo er eigentlich nicht zu schnüffeln hat.

Es gibt eigentlich den Grundsatz:
Aufgrund seiner Berechtigungen kann ein Administrator sich Zugriff verschaffen, er sollte bzw. darf es nicht einfach so.

Was ich damit meine, ist man sich dessen bewusst sein sollte. Und wenn eine Person weitreichende Berechtigungen hat, diese auch zurückhaltend einsetzen.

Gruss Penny

4. Augen auf bei der Auswahl des Mitarbeiters.

Du erzählst was von einem "Teamleiter", das lässt auf eine größere Firma schließen. In größeren Organisationen geht das auch, in einem klassischen Mittelständler wo es vielleicht nur 3 oder 4 ITler gibt und jeder alles macht, ist das nicht durchsetzbar. Da braucht jeder alle Berechtigungen, weil mal einer krank und einer andere Urlaub haben kann und die Firma deswegen nicht "stehen" darf. Eine Backdoor kann sich da jeder selbst bauen. Traurig, dass es dazu aber überhaupt kommt/kommen muss...

Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.

Just my 2 Cent...

Kann man nur unterschreiben. Leider

@Criemo, das ist aber das Problem dahinter. Du kennst die Themen bestimmt auch.

prekär bezahlende Arbeitgeber gibts immer und die lernen das auch nicht.... ich hatte mal 2007 einen IT-Allround-Job in der Nähe von Nizza, mit Festanstlelung, bis mein (gut bezahlender) Arbeitgeber pleite ging. Ich bewarb mich also rauf und runter, hatte dann zwei Einladungen, beide nicht gerade vor der Haustür. Der eine in Marseille wollte mir 1600 Euro brutto bezahlen, für einen Job wo als Vorraussetzung Programmierkenntnisse, Datenbank und PHP und 7 Jahre Berufserfahrung gefordert wurden.

Ich hab den Typen dann gesagt, daß ich mal lieber von 2400 Euro Arbeitslosengeld leben würde... und wenn er für den Kurs einen einstellen würde dann müßte er sich bei dem Hungerlohn mal eher Sorgen um seine Daten machen... Selbst Mülmänner verdienen mehr... die Stadt Marseille suchte seinerzeit Müllwagenfahrer und wollte sogar für den LKW Führerschein aufkommen.

Den Standpunkt konnte der überaus geizige Chef denn garnicht verstehen. Die andere Firma hatte meine Bewerbung verschlampt, vergessen daß ich einen Termin hatte, gurk also die 280 km von Nizza nach Aix en Provence und wurde mit der Frage kontrontiert "was wollen SIE denn hier?" Sie hätten gerade was frei für die Vorortwartung von Fotokopierern, 2600 Euro brutto und ich sollte mir ne Bude in Aix suchen.

Dumm nur daß das ein Ferienort mit sauteuren Mieten ist, mit 2600 kommt man da nicht weit. Außerdem, wer will schon in die Provence wenn man an der Cote d'azure wohnt. Am Ende hab ich nen hochanständigen Job im Rheinland über eine Personalvermittlung gekriegt.... also die Bude mit Meerblick gegen eine mit Rheinblick getauscht. Was mich hier am meisten nervt, ist der Karneval und die Labertaschen unter den Rheinländern, aber erträgt man nicht alles, wenn man einen guten Job hat.