Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Der IT Admin als Innentäter - wenn der Admin die Firma zerstören will

Mitglied: Criemo

Criemo (Level 2) - Jetzt verbinden

24.12.2018 um 01:44 Uhr, 2591 Aufrufe, 15 Kommentare, 7 Danke

Hallo Zusammen,
habe einen sehr interessanten Artikel gelesen, der denke ich uns alle angeht.

Der Administrator als Innentäter


Sagt mir gerne was ihr davon haltet und was ihr dagegen tun würdet, um das Netzwerk zu schützen.

Meine Meinung:

Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.

Ein Tool was auf inaktive Benutzeraccounts hinweist. So das diese schnell erkannt und gelöscht werden können.

Viele Grüße
Criemo
Mitglied: brammer
24.12.2018 um 09:23 Uhr
Hallo,

Ich arbeite jetzt seit fast 20 Jahren im IT und Security Bereich.
Grundsätzlich gilt hier das jeder der etwas beschützt auch ein guter Eindringling sein sollte.. besser sein muss.
Sonst kann er seinen Job nach meinem Verständnis nicht richtig machen.
Entscheidend ist hier die kriminelle Energie und die Moralischen Grenzen.
Neben technischen Möglichkeiten ein Unternehmen bzw. die IT zu schützen gilt es das Verhalten der Mitarbeiter entsprechend zu beobachten, gerade wenn es um Mitarbeiter geht die blockiert werden oder nicht so gefördert oder gewürdigt werden. Und zwar auf der Basis was sich der Mitarbeiter erwartet.
Es nützt nichts wenn es der Firma gut geht, aber dabei die Mitarbeiter auf der Strecke bleiben.
Dann kommt es eher zu Problemen.
Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....

Brammer
Bitte warten ..
Mitglied: Criemo
24.12.2018 um 09:55 Uhr
Hallo Brammer,
Du hat recht der menschliche Aspekt spielt eine große Rolle, wenn nicht sogar die größte.
Das Problem ist aber bei uns Menschen wie der Kölner so schön sagt: Jeder Jeck, is anders.

Und es gibt leider Menschen die wirklich von Grund auf schlecht drauf sind, über alles murren egal was die Firma für einen macht und egal wie sehr sich die Firma um jeden einzelnen Mitarbeiter bemüht und diesen Wertschätzt.

Viele Grüße
Criemo
Bitte warten ..
Mitglied: Exception
24.12.2018, aktualisiert um 10:09 Uhr
Guten Morgen,

Deswegen ist jedes Security Konzept das sich nur auf die technische Seite stützt zum Scheitern verurteilt... es wird immer Menschen geben die ihren eigenen Weg finden. Ob es an Enttäuschung, Frustration oder unerfüllten Träumen liegt....

Grundsätzlich gebe ich dir recht. Sabotage durch einen Mitarbeiter lässt sich technisch kaum verhindern. Hier muss man eben drauf achten, dass man die Mitarbeiter entsprechend nicht verärgert. Man kann allerdings mit einem ordentlichen Sicherheitskonzept den Schaden auf das absolute Minimum begrenzen. Und das war bei dem Fall, von dem Golem berichtet hat, nicht der Fall. Da fängt es ja schon beim Rechtemanagment an. Der Mitarbeiter musste ja auf allen Systemen Zugriff gehabt haben. So konnte er ein VPN anlegen und entsprechende Firewall Regeln anpassen, d.h. der musste Zugriff auf die Firewall gehabt haben. Ebenso hatte er offenbar administrativen Zugriff auf die anderen System, um Datenbanken und Webanwendungen löschen zu können. Ebenso ein großer Fehler, dass Accounts angelegt wurden, diese aber offenbar nie dokumentiert und auch nie verwendet wurden. Das nach der ersten Attacke nicht erstmals das System vollständig abgeschottet wurde und erstmals nach der Ursache analysiert wurde ist halt auch fahrlässig. Zumindest habe ich den Bericht so verstanden, dass die zweite Attacke auch per Remote über den Account über den VPN erfolgt ist.

Wenn man ein IT-Team hat, dann sollte man ein entsprechendes Rechtemanagment haben. Bei uns ist das beispielsweise so, dass nur Windows Admins administrativen Zugriff auf die Windows Kisten haben. Auf andere Systeme haben diese keinen Zugriff. Linux Admins sind die einzigstens die administrativen Zugriff auf Linux Kisten haben usw. Auf interne Systeme und Backups gibt es wiederum ein kleines spezielles Team. Was Accounts und Rechtemanagment angeht, darf nur der jeweilige Teamleiter Änderungen durchführen. So kann man die Infrastruktur schon mal relativ gut isolieren, sodass falls ein Mitarbeiter Amok läuft, dass der Schaden nur begrenzt ist.

Eine PAM einsetzen so das alle administrativen Accounts nach 8 std. Ein neues PW bekommen und man dieses erst wieder auschecken muss.

Ein solches System verwenden wir auch. Dort werden Server Passwörter und SSH Keys intervallmäßig automatisch geändert. Es gibt eine Anbindung an den Remote Desktop Manager. So müssen die Mitarbeiter nicht die Passwörter der Systeme kennen. Ledglich müssen die Mitarbeiter für das Starten des RDMs eine MFA durchführen. Und für die AD Accounts gibt es Passwort Richtlinien.

Viele Grüße
Exception
Bitte warten ..
Mitglied: certifiedit.net
24.12.2018 um 12:03 Uhr
Guten Morgen,

so einen ähnlichen Fall hatten wir doch erst letztens in NL mit dem Hoster.

Sicherlich auch hier ein ähnlicher Fall.

Ich stimme den Kollegen übrigens nur teilweise zu, technisch lässt sich auch hier bereits vieles verhindern, in dem man besonnen die Zugriffe verwaltet. Das Hauptproblem ist hierbei der Faktor Aufwand/Geld und dann eben die Zeit oder z.T sogar die Information über den Abgang div. Mitarbeiter oder ggf. sogar die Unwissenheit des restlichen IT-Personals. Offensichtlich war die Administrative Basis nicht in der Lage den Angriff zu prüfen und zu beheben. Über die genutzten technischen Möglichkeiten wird im weiteren nichts gesagt. Eine VPN kann man auf einer Fritzbox wie auf einer UTM einrichten und wie ich Agenturen kennen gelernt habe...

Natürlich kommt das, Jeder Jeck is anders, schwerer zu tragen, da der Text kaum hergibt, warum der Ex-Mitarbeiter offensichtlich so viel Hass hatte, dass er sich mit solcher krimineller Energie auf dem Firmenserver vergriff, ggf. lief hier bereits im Mitarbeiterbeschaffungsprozess etwas schief. (Wer billig kauft)

Zu guter letzt kommt hier der Faktor auf, wenn Mitarbeiter in der IT eingestellt werden, wie sonstige Mitarbeiter, ohne weitreichende Kenntnisse und vor allem ohne Berufsethos. Das treffen wir hier und da auch am Board des öfteren an, ich möchte diesem Personenkreis nun nicht in die Schuhe schieben, dass Sie mutwillig Dinge zerstören, aber durch die mutwillige Anbietung von nicht beherrschten Techniken ebenfalls ein (Sicherheits-)Risiko für die beauftragende Firma darstellen.

VG,

Christian

PS: Wenn ich das richtig lese geht die Verhandlung aber in die nächste Runde. Wer weiss, was dabei noch raus kommt, es bleibt spannend.
Bitte warten ..
Mitglied: smich25890
25.12.2018 um 21:35 Uhr
Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt
Bitte warten ..
Mitglied: Criemo
25.12.2018 um 22:27 Uhr
Zitat von smich25890:

Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt


:-p
Bitte warten ..
Mitglied: Penny.Cilin
26.12.2018 um 11:50 Uhr
Hallo,

des öfteren habe ich schon erlebt, wenn ein Mitarbeiter der IT geht oder gegangen wird, dann anfängt in den Datenbereichen zu schnüffeln, wo er eigentlich nicht zu schnüffeln hat.

Es gibt eigentlich den Grundsatz:
Aufgrund seiner Berechtigungen kann ein Administrator sich Zugriff verschaffen, er sollte bzw. darf es nicht einfach so.

Was ich damit meine, ist man sich dessen bewusst sein sollte. Und wenn eine Person weitreichende Berechtigungen hat, diese auch zurückhaltend einsetzen.

Gruss Penny
Bitte warten ..
Mitglied: it-fraggle
27.12.2018 um 21:08 Uhr
Zitat von smich25890:

Oberster Grundsatz sollte sein:
1. Verärgere niemals Deinen Admin
2. Erfülle Deinem Admin jeden Wunsch
3. Bezahle ihm ein ansehliches Gehalt

4. Augen auf bei der Auswahl des Mitarbeiters.
Bitte warten ..
Mitglied: ITgustel
29.12.2018 um 00:45 Uhr
Du erzählst was von einem "Teamleiter", das lässt auf eine größere Firma schließen. In größeren Organisationen geht das auch, in einem klassischen Mittelständler wo es vielleicht nur 3 oder 4 ITler gibt und jeder alles macht, ist das nicht durchsetzbar. Da braucht jeder alle Berechtigungen, weil mal einer krank und einer andere Urlaub haben kann und die Firma deswegen nicht "stehen" darf. Eine Backdoor kann sich da jeder selbst bauen. Traurig, dass es dazu aber überhaupt kommt/kommen muss...

Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.

Just my 2 Cent...
Bitte warten ..
Mitglied: certifiedit.net
29.12.2018 um 00:51 Uhr
Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit.
Kann man nur unterschreiben. Leider
Bitte warten ..
Mitglied: Criemo
29.12.2018 um 00:56 Uhr
Zitat von ITgustel:

Du erzählst was von einem "Teamleiter", das lässt auf eine größere Firma schließen. In größeren Organisationen geht das auch, in einem klassischen Mittelständler wo es vielleicht nur 3 oder 4 ITler gibt und jeder alles macht, ist das nicht durchsetzbar. Da braucht jeder alle Berechtigungen, weil mal einer krank und einer andere Urlaub haben kann und die Firma deswegen nicht "stehen" darf. Eine Backdoor kann sich da jeder selbst bauen. Traurig, dass es dazu aber überhaupt kommt/kommen muss...

Das "beste" dazu habe ich mal selbst erlebt, da war jeder Praktikanten von der Berufsschule in der "Domänen-Administratoren"-Gruppe. Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit. Mich wundert das überhaupt nicht.

Just my 2 Cent...

Und genau hier kommen technische Möglichkeiten ins Spiel. Nicht das man das nicht auch irgendwie umgehen kann, aber es macht die Sache durchaus schwerer und erfordert Unmengen an kriminelle Energie.

Eine PAM
Last Logon Status
Und ein vernünftiger employee leaving Prozess, würde hier wenigstens für grundlegende Prävention sorgen.

Viele Grüße
Criemo
Bitte warten ..
Mitglied: certifiedit.net
29.12.2018 um 01:02 Uhr
Weil da so weniger Arbeit macht. Bei vielen kleineren IT-Abteilungen steht die Aufrechterhaltung des Betriebs (aus Personalmangel) weit vor der Sicherheit.

@Criemo, das ist aber das Problem dahinter. Du kennst die Themen bestimmt auch.
Bitte warten ..
Mitglied: Criemo
29.12.2018, aktualisiert um 01:14 Uhr
Logisch kenne ich die Themen.
Ich bin Teamleiter einer kleinen IT Abteilung mit 6 Mitarbeitern - wir Supporten aber 1500 User am Standort mit einer Serverlandschaft von ca 250 Servern auf 6 Blechen redundant auf 2 Rechencentren.
Ich hatte meinen Chef für ein oder zwei weitere Mitarbeiter gebeten als Antwort kam ne sorry der Headcount.
Stelle lieber 2-3 Fremdfirmen Mitarbeiter ein. (Zeitarbeit, etc.)

Toll hab dann zwei Mitarbeiter nach 6 Monaten suchen ( Weil der Arbeitsmarkt soviele gute Mitarbeiter hergibt im Moment) bekommen.

Nach 3 Monaten waren sie dann weg, weil sie in einer Firma einen Festvertrag bekommen haben.

Dann ging das suchen erneut los.. (hab noch keine gefunden) Vorallem wieder Zeit investieren und anlernen etc.

Sehr geil.

Viele Grüße
Criemo
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
30.12.2018 um 11:20 Uhr
prekär bezahlende Arbeitgeber gibts immer und die lernen das auch nicht.... ich hatte mal 2007 einen IT-Allround-Job in der Nähe von Nizza, mit Festanstlelung, bis mein (gut bezahlender) Arbeitgeber pleite ging. Ich bewarb mich also rauf und runter, hatte dann zwei Einladungen, beide nicht gerade vor der Haustür. Der eine in Marseille wollte mir 1600 Euro brutto bezahlen, für einen Job wo als Vorraussetzung Programmierkenntnisse, Datenbank und PHP und 7 Jahre Berufserfahrung gefordert wurden.

Ich hab den Typen dann gesagt, daß ich mal lieber von 2400 Euro Arbeitslosengeld leben würde... und wenn er für den Kurs einen einstellen würde dann müßte er sich bei dem Hungerlohn mal eher Sorgen um seine Daten machen... Selbst Mülmänner verdienen mehr... die Stadt Marseille suchte seinerzeit Müllwagenfahrer und wollte sogar für den LKW Führerschein aufkommen.

Den Standpunkt konnte der überaus geizige Chef denn garnicht verstehen. Die andere Firma hatte meine Bewerbung verschlampt, vergessen daß ich einen Termin hatte, gurk also die 280 km von Nizza nach Aix en Provence und wurde mit der Frage kontrontiert "was wollen SIE denn hier?" Sie hätten gerade was frei für die Vorortwartung von Fotokopierern, 2600 Euro brutto und ich sollte mir ne Bude in Aix suchen.

Dumm nur daß das ein Ferienort mit sauteuren Mieten ist, mit 2600 kommt man da nicht weit. Außerdem, wer will schon in die Provence wenn man an der Cote d'azure wohnt. Am Ende hab ich nen hochanständigen Job im Rheinland über eine Personalvermittlung gekriegt.... also die Bude mit Meerblick gegen eine mit Rheinblick getauscht. Was mich hier am meisten nervt, ist der Karneval und die Labertaschen unter den Rheinländern, aber erträgt man nicht alles, wenn man einen guten Job hat.
Bitte warten ..
Mitglied: certifiedit.net
30.12.2018 um 11:59 Uhr
Moin Leute,

wollt Ihr nicht für die Gehaltsfragen und Lebenszu- und abträglichkeiten einen eigenen Beitrag starten?

Guten Rutsch
Bitte warten ..
Ähnliche Inhalte
Hardware

Neue IT-Administrator Ausgabe - Mobile IT und Clientmanagement

Information von FrankHardware

Anwender mit nur einem mobilen Gerät dürften heute bereits die große Ausnahme sein. Zudem findet ein und dasselbe Smartphone ...

Sicherheit

IT-Administrator Magazin: Ausgabe "Sichere IT-Systeme" ab sofort verfügbar

Information von FrankSicherheit

Täglich prasseln verschiedenste Angriffe auf die IT-Systeme von Unternehmen ein. Die breite Masse lässt sich zwar mit Standardmitteln wie ...

Off Topic

IT Förderprogramm für Bayern

Tipp von XartorOff Topic5 Kommentare

Das bayrische Staatsministerium hat ein neues Förderprogramm. Für was bekomme ich die Förderung? Die Förderung erfolgt im Unternehmen für ...

Netzwerkmanagement

Angebotsmail: Docusnap X - Netzwerk-Inventarisierung, IT-Dokumentation, Lizenzmanagement und IT-Sicherheit

Information von FrankNetzwerkmanagement

In der heutigen Administrator.de Angebotsmail befindet sich die Demoversion von Docusnap. Diese Software inventarisiert und dokumentiert jede Komponente deiner ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 12 StundenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 2 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte32 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Off Topic
Darf ich ein Forum erstellen das Produkte eines Herstellers betrifft?
Frage von cyberwallOff Topic9 Kommentare

Hallo Community, ich habe da eine "rechtliche" bzw. allgemeine Frage zum erstellen von Foren. Darf ich als "normale Person" ...

DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
Frage von C.MorgensternDNS8 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...

Router & Routing
Unbekannte IPv4 Adresse im Routerprotokoll(Portweiterleitung)
gelöst Frage von tklustigRouter & Routing7 Kommentare

Hallo Leute, folgender Screenshot(ScanVersusPortForwarding.jpg) zeigt die im Routerprotokoll aufgezeigten Portweiterleitungen und alle von einem IPScanner eruierten IPv4 Adressen in ...