1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Gerichtsurteile: Wann fristlose…

Admins können und dürfen *alles*

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Admins können und dürfen *alles*

    Autor: Computer_Science 21.09.20 - 14:17

    Admins können und dürfen *alles*
    wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich einpacken
    wer Einsicht nimmt und dabei Spuren hinterlässt, sollte auch kein Admin sein, das zeugt von Dummheit
    damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen

    in manchen Systemen lassen sich die Adminrechte mit Bordmitteln auch nicht feingranular genug einschränken,
    "Emails mit brisantem Inhalt", sorry aber EMails sind "Postkarten", wer so etwas mit vertraulichen Daten verschickt gehört aus dem Vorstand entfernt

    das einzige was einen Admin davon abhält sich alles anzuschauen ist
    - die schiere Datenmenge
    - Desinteresse an Details des banalen Lebens seiner Kollegen

  2. Re: Admins dürfen längst nicht alles

    Autor: Marvin-42 21.09.20 - 14:30

    Nur weil sie es können oder auch real machen.

  3. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 14:30

    war auch mein erster Gedanke... wer zu blöd ist, um E-Mails auszulesen, ohne sich dabei erwischen zu lassen, der sollte vielleicht lieber Tellerwäscher werden

  4. Re: Admins können und dürfen *alles*

    Autor: s10 21.09.20 - 14:55

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine
    > vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen

    Der Vergleich hinkt. Da Buchhaltung per Design bereits Kontrollen und Revisionen zulassen und dies in so gut wie allen Buchhaltungssystemen auch technisch verankert ist. Dort zu bescheissen ist nur möglich, wenn mehrere Leute gemeinsame Sache machen oder es schlicht keine Kontrollen gibt. Aber selbst dann wäre es im Nachhinein noch nachvollziehbar, falls sich irgendwann jemand die Mühe macht den vorhandenen Brotkrumen zu folgen.

  5. Re: Admins können und dürfen *alles*

    Autor: Oktavian 21.09.20 - 15:02

    > Admins können und dürfen *alles*

    Sie dürfen alles (technische Berechtigung), aber deshalb dürfen sie noch nicht lange alles auch tun (organisatorische Berechtigung).

    > wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich
    > einpacken

    Oh, das sehen immer mehr gerade große Unternehmen und auch Aufsichtsbehörden anders. Die Erfahrung zeigt leider, dass man seinen IT-Mitarbeitern zu häufig nicht vertrauen kann. Deshalb werden auch die immer mehr Kontrollen unterworfen. Manipulationssichere Logs sind nur ein Teil davon.

    > damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine
    > vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen

    Auch hier gibt es für gewisse Tätigkeiten 4-Augen-Prinzip, oder Delegation auf einige wenige besonders vertrauenswürdige MA. Nicht umsonst ist traditionell die Buchhaltung von der Lohnbuchhaltung getrennt, und in die Buchhaltungsdaten, die die Gehälter der Vorstände betreffen, dürfen nur ganz wenige Personen reingucken.

    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Und in Zukunft immer mehr techische Schranken, die für solche Fälle eine weitere Freigabe erfordern. Dazu wird über jede Einsichtnahme zumindest der Vorgesetzte des Admins automatisch informiert. Das passiert nicht so bald in jeder kleinen Klitsche, aber je großer und regulierter das Unternehmen ist, desto schneller.

  6. Re: Admins können und dürfen *alles*

    Autor: chefin 21.09.20 - 15:32

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > Admins können und dürfen *alles*
    > wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich
    > einpacken
    > wer Einsicht nimmt und dabei Spuren hinterlässt, sollte auch kein Admin
    > sein, das zeugt von Dummheit
    > damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine
    > vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen
    >
    > in manchen Systemen lassen sich die Adminrechte mit Bordmitteln auch nicht
    > feingranular genug einschränken,
    > "Emails mit brisantem Inhalt", sorry aber EMails sind "Postkarten", wer so
    > etwas mit vertraulichen Daten verschickt gehört aus dem Vorstand entfernt
    >
    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Jeder Mensch kann einen anderen Menschen töten, aber er darf es nicht. Gemäss deiner Definition ist das allerdings NICHT so. Man darf alles was man kann.

    Admins können alles, das stimmt. Sie dürfen es aber nur, wenn sie abwägen und im Zweifel zumindest einen Dritten zu Rate ziehen. Das ist auch ein Grund warum zwar Bildungstechnisch sehr viele für den Job in Frage kommen, aber nur wenige ihn auch wirklich hinbekommen.

    Admins sind Vertrauenspersonen, daher wiegt es um so schwerer wenn sie dieses vertrauen missbrauchen. Und entsprechend harsch sind die Massnahmen dann. Völlig korrekt.

  7. Re: Admins können und dürfen *alles*

    Autor: Umdenker 21.09.20 - 15:36

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Oh, das sehen immer mehr gerade große Unternehmen und auch
    > Aufsichtsbehörden anders. Die Erfahrung zeigt leider, dass man seinen
    > IT-Mitarbeitern zu häufig nicht vertrauen kann. Deshalb werden auch die
    > immer mehr Kontrollen unterworfen. Manipulationssichere Logs sind nur ein
    > Teil davon.

    Das stimmt und teilweise geht diese Forderung sogar von mir als normaler Angestellter aus. Meine Vorgesetzten drängen mich teilweise dazu, dass ich noch mehr Befugnisse/Zugriffe habe um im Falle des Falles schneller und besser zu unterstützen. Das will ich aber nicht, weil ich mich dadurch in mögliche rechtliche Bredouille bringen kann. Viele Chefs und auch Mitarbeiter vertrauen uns IT-lern voll, also ist ihnen der Komfort lieber. Wir setzen uns jedoch selbst technische Hürden um nicht zur juristischen Zielscheibe zu werden.

  8. Re: Admins können und dürfen nicht alles

    Autor: Bouncy 21.09.20 - 15:45

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > Admins können und dürfen *alles*
    > wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich
    > einpacken
    > wer Einsicht nimmt und dabei Spuren hinterlässt, sollte auch kein Admin
    > sein, das zeugt von Dummheit
    Wer glaubt als Admin alle Spuren verwischen zu können hat wenig Ahnung von IT und sollte kein Admin sein...
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen
    Im Idealfall die Kontrollmechanismen durch andere, gewissenhaftere Admins. Klar hat es irgendwo seine Grenzen, falls sich alle Admins eines IT-Dienstleisters gegen eine Firma verschwören wird es extrem schwierig, aber a) trotzdem nicht unmöglich weil normalerweise der Auditor eine weitere Drittfirma ist und b) ist das sowieso eher unwahrscheinlich...



    1 mal bearbeitet, zuletzt am 21.09.20 15:46 durch Bouncy.

  9. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 15:47

    wieso sollte man als Admin nicht alle Spuren verwischen können?
    Im Zweifel ziehe ich mir ein Image der gesamten Maschine und untersuche sie in alle Ruhe offline - oder wenns ganz heiß ist, führe ich die Software im SMM aus

  10. Re: Admins können und dürfen *alles*

    Autor: Bouncy 21.09.20 - 16:00

    NeoChronos schrieb:
    --------------------------------------------------------------------------------
    > wieso sollte man als Admin nicht alle Spuren verwischen können?
    > Im Zweifel ziehe ich mir ein Image der gesamten Maschine und untersuche sie
    > in alle Ruhe offline - oder wenns ganz heiß ist, führe ich die Software im
    > SMM aus
    Und wie kommst du zum Image?

  11. Re: Admins können und dürfen *alles*

    Autor: chefin 21.09.20 - 16:01

    NeoChronos schrieb:
    --------------------------------------------------------------------------------
    > wieso sollte man als Admin nicht alle Spuren verwischen können?
    > Im Zweifel ziehe ich mir ein Image der gesamten Maschine und untersuche sie
    > in alle Ruhe offline - oder wenns ganz heiß ist, führe ich die Software im
    > SMM aus


    Und schon hast unlöschbare Spuren hinterlassen. Logdateien sind ähnlich wie Blockchains aufeinander aufbauend. Das Ziehen eines Image ist das lesen aller Dateien und das hinterlässt bereits ausreichend Spuren. Wer also seine Admins kontrolliert, wird passende Logprogramme haben. Und da kannst du nichts mehr rauslöschen. Weil zwischen Datei lesen und Logeintrag löschen eben noch mehr auf der Maschine passiert, was Einträge erzeugt.

    Wie weiter oben geschrieben, man kann Admins durchaus kontrollieren. Man müsste schon alle Kontrollen und extrene Kontrolleure mit ins Boot holen. Und natürlich ist der Aufwand höher, was bedeute das es nicht in jeder Betriebsumgebung auch so Bombensicher gemacht wird.

  12. Re: Admins können und dürfen *alles*

    Autor: Oktavian 21.09.20 - 16:08

    > Das stimmt und teilweise geht diese Forderung sogar von mir als normaler
    > Angestellter aus. Meine Vorgesetzten drängen mich teilweise dazu, dass ich
    > noch mehr Befugnisse/Zugriffe habe um im Falle des Falles schneller und
    > besser zu unterstützen.

    Auch hier gibt es schöne Lösungen für. Bei meinem Kunden beispielsweise haben die Admins gar keine Passwörter für ihre Admin-Accounts. Wenn sie Admin-Berechtigung brauchen, fordern sie die am System an und geben an wofür (Ticket-Nummer). Dann bekommen sie eine Shell/rdp-Session/db-Session/etc. in der der admin bereits angemeldet ist. Am Ende der Session sperrt das System den Admin-Account wieder. Alle Tätigkeiten in der administrativen Session werden geloggt.

    Man ist das elende Problem der admin-Accounts los, die alle zurückgezogen werden müssen, wenn ein Admin geht.

    Für bestimmte Admin-Tätigkeiten ist ein Workflow vorgesehen. Zugriffe müssen von einem Kollegen oder Vorgesetzten genehmigt werden. Natürlich ist nachts um 3 in der Rufbereitschaft ggf. keiner greifbar. Hier gibt es die sog. Breaking-Glass-Funktion, der Admin kann die Genehmigung umgehen und sich selbst ermächtigen. Das zieht aber immer einen Alarm an mehrere Kollegen und Vorgesetzt nach sich und ein Review am nächsten Morgen.

  13. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 16:11

    chefin schrieb:
    --------------------------------------------------------------------------------

    > Und schon hast unlöschbare Spuren hinterlassen. Logdateien sind ähnlich wie
    > Blockchains aufeinander aufbauend. Das Ziehen eines Image ist das lesen
    > aller Dateien und das hinterlässt bereits ausreichend Spuren. Wer also
    > seine Admins kontrolliert, wird passende Logprogramme haben. Und da kannst
    > du nichts mehr rauslöschen.
    Vorausgesetzt es werden Logs geschrieben und diese Logs sagen mehr aus, als das ich ein manuelles Backup angestoßen habe vor Changes. Es gibt so viele Stellen, an denen das Image dann unbemerkt abgegriffen werden kann, wenn es erst mal vorhanden ist - und wenn ich es mir ganz am Ende der Nahrungskette vom Tape hole

    > Weil zwischen Datei lesen und Logeintrag
    > löschen eben noch mehr auf der Maschine passiert, was Einträge erzeugt.
    Wenn du von reinen Textlogs sprichst, dann hau die Zeile einfach per sed raus

    > Wie weiter oben geschrieben, man kann Admins durchaus kontrollieren. Man
    > müsste schon alle Kontrollen und extrene Kontrolleure mit ins Boot holen.
    > Und natürlich ist der Aufwand höher, was bedeute das es nicht in jeder
    > Betriebsumgebung auch so Bombensicher gemacht wird.

    Selbst dann gibt es immer noch Lücken in Soft- und Hardware die man nutzen kann, das trifft dann aber wieder nicht auf die Fähigkeiten von 99,99% der Sysadmins zu, die gar kein Interesse an so etwas haben

  14. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 16:12

    du stößt ein manuelles Backup an oder verwendest ein bereits vorhandenes und schaust wo du es abgreifen kannst.
    Im schlimmsten Falle vom Tape

  15. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 16:17

    und irgendwer muss den Server, der dies alles steuert warten, die Keys anlegen und verteilen, usw. - der kann dann die Keys auch wieder abgreifen und ohne Ticket auf die Systeme zugreifen?

  16. Re: Admins können und dürfen *alles*

    Autor: s10 21.09.20 - 16:21

    NeoChronos schrieb:
    --------------------------------------------------------------------------------
    > Wenn du von reinen Textlogs sprichst, dann hau die Zeile einfach per sed
    > raus

    Stichworte: External Log Collector, revisionssicheres Logging, Audit Logging, etc.
    Da löschst du gar nichts mehr, weil du an diese Systeme und Logs gar nicht mehr rankommst. Gerade im Cloud Bereich braucht es dafür noch nicht mal mehr eine NW Verbindung...

    > Selbst dann gibt es immer noch Lücken in Soft- und Hardware die man nutzen
    > kann, das trifft dann aber wieder nicht auf die Fähigkeiten von 99,99% der
    > Sysadmins zu, die gar kein Interesse an so etwas haben

    Richtig gemacht, gibt es wohl eher 99.9999% aller Sys Admins die gar nicht mehr an die Logs rankommen. Ganz egal mit welchem Hacking Skills. Denn auch Spuren des Hacking Versuchs würden remote protokolliert werden und man könnte die Source dieser Angriffe nachvollziehen.

    Disclaimer: Je nach Soft- / Hardware Lücke, Konfiguration, Skills, etc. gäbe es vielleicht Hacker die solche Systeme erfolgreich kompromittieren könnten, aber nicht mal eben so und in den allermeisten Fällen auch nicht unbemerkt. Hat man dann noch ein entsprechendes SIEM durch ein eigenes Sicherheitsteam oder durch einen externen Security Dienstleister dann würde der Hackversuch wahrscheinlich sogar auffallen bevor er erfolgreich wäre.

  17. Re: Admins können und dürfen *alles*

    Autor: Oktavian 21.09.20 - 16:33

    > und irgendwer muss den Server, der dies alles steuert warten, die Keys
    > anlegen und verteilen, usw. - der kann dann die Keys auch wieder abgreifen
    > und ohne Ticket auf die Systeme zugreifen?

    Ist ne Appliance (bzw. min. zwei), die man so vom Hersteller bekommt. Direkter Zugriff darauf ist nicht vorgesehen, und bislang hat es da auch noch keinen solchen Fall gegeben.

    Grundlegende Administration derselben nur über zwei Kennwörter, den man natürlich verschiedenen Admins gibt. Basic-Administration (User einrichten, Gruppen zuordnen, Server anbinden, etc.) kann natürlich auch einer alleine, das wird aber alles mitgeloggt.

    Das ist jetzt kein System, was jede kleine IT-Butze braucht oder es auch nur nützlich wäre. Hier geht es meist um das Umfeld von Banken oder Versicherungen. Diese Geräte sind ziemlich teuer, und machen auch Arbeitsabläufe langsamer. Das muss man schon wollen (oder müssen).

    Aber aktuelle Regulierung wie BAIT/VAIT/KAIT verlangt eben, Admins in ihrer Tätigkeit einzuschränken und zu überwachen.

  18. Re: Admins können und dürfen *alles*

    Autor: menno 21.09.20 - 16:40

    Computer_Science schrieb:
    --------------------------------------------------------------------------------

    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Was mich abhält?
    Es ist Teil meiner Jobbeschreibung! PUNKT.
    Ich erteile niemanden eine "Gunst", wenn ich nicht rein schaue.
    Es ist meine PFLICHT, nicht hinein zu schauen.

    Wenn Du das anders siehst, bist Du schlichtweg nicht geeignet für den Job eines Admins.

  19. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 17:14

    ja man kann viele tolle Sachen in Software machen, aber am Ende gibt es immer eine Stelle, wo die Hardware ungeschützt ist.
    Es gibt natürlich auch Leute, die parken sogar ihre Backups für viel Geld bei amazon, aber dann dort können eben andere Admins reinschauen anstatt die eigenen

    Wie gesagt, in den Fällen die ich so kenne, kann ich die Daten spätestens am Tape abgreifen, meist schon wesentlich früher

  20. Re: Admins können und dürfen *alles*

    Autor: Landorin 21.09.20 - 17:29

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > Admins können und dürfen *alles*
    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Hm, echt? Erschreckend. Also ich wüsste da noch einen Grund, der mich davon abhält:
    ich bin mir meiner "Macht" und der daraus resultierenden Verantwortung bewusst und weiß, damit umzugehen. Es wird mir ein gewisses Vertrauen dadurch entgegen gebracht, das ich nicht missbrauchen möchte.

    Vermutlich liegt der Fehler eben auch im System: die nicht vorhandenen Regeln, was man darf und nicht darf im eigenen (kleinen) Unternehmen und deren Kunden. Sicherheitskonzept? Kaum bis gar nicht vorhanden.



    1 mal bearbeitet, zuletzt am 21.09.20 17:31 durch Landorin.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über 3C - Career Consulting Company GmbH, deutschlandweit (Home-Office)
  2. CodeMonks GmbH, Nürnberg (Home-Office möglich)
  3. Universität Stuttgart, Stuttgart
  4. Zentrum Bayern Familie und Soziales, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 17,99
  2. 5,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mario Kart Live im Test: Ein Klempner, der um Konsolen kurvt
Mario Kart Live im Test
Ein Klempner, der um Konsolen kurvt

In Mario Kart Live (Nintendo Switch) fährt ein Klempner durchs Wohnzimmer. Golem.de hat das Spiel mit einem Konsolen-Rennkurs ausprobiert.
Von Peter Steinlechner

  1. Nintendo Entwickler arbeiten offenbar an 4K-Updates für Switch Pro
  2. Nintendo Switch Mario Kart Live schickt Spielzeugauto auf VR-Rennstecke
  3. 8bitdo Controller macht die Nintendo Switch zum Arcade-Kabinett

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
    CalyxOS im Test
    Ein komfortables Android mit einer Extraportion Privacy

    Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
    Ein Test von Moritz Tremmel

    1. Alternatives Android im Test /e/ will Google ersetzen

    1. LG OLED48CX9LB im Test: Der OLED-Fernseher, der ein 120-Hz-Monitor sein will
      LG OLED48CX9LB im Test
      Der OLED-Fernseher, der ein 120-Hz-Monitor sein will

      LGs 48 Zoll großer 48CX9LB passt knapp auf den Tisch. Mit HDMI 2.1 und schnellem OLED stellt er sich als überraschend guter Monitor heraus.

    2. Backdoor: NSA-Hintertür von anderem Staat missbraucht
      Backdoor
      NSA-Hintertür von anderem Staat missbraucht

      Eine NSA-Hintertür in Netzwerkgeräten von Juniper soll von einem anderen Staat genutzt worden sein. Die NSA will daraus gelernt haben.

    3. Schifffahrt: P&O lässt Kanalfähren mit Hybridantrieb bauen
      Schifffahrt
      P&O lässt Kanalfähren mit Hybridantrieb bauen

      Durch den Hybridantrieb sowie ihre Bauweise sollen die Schiffe deutlich weniger Treibstoff verbrauchen als konventionelle, wenn sie 2023 ihren regulären Betrieb aufnehmen.


    1. 12:21

    2. 12:04

    3. 11:38

    4. 11:26

    5. 10:51

    6. 10:04

    7. 08:47

    8. 08:21