1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gefahr durch Innentäter: Wenn der…

Strategie

  1. Thema

Neues Thema Ansicht wechseln


  1. Strategie

    Autor: mxcd 21.12.18 - 16:08

    Ich wäre interessiert an ein paar Ideen zu präemtiven Strategien dazu.

    Grundgedanke: alle Passwörter wechseln bei jeder Personalfluktuation im IT-Department ist nicht wirklich realistisch. Es ist schon ein ziemlicher Aufwand, den User von allen Systemen und Kundensystemen zu entfernen.

    Vielleicht ein generelles 2fA System, das von Zugang auf Firmeneigentum (Hardwarekey oder Telefon abhängt?)

    Gibt es Möglichkeiten, ssh u.Ä. mit 2fA zu sichern?

  2. Re: Strategie

    Autor: Profi_in_allem 21.12.18 - 16:20

    Es kommt immer auf das System an. Aber den User zu entfernen ist wohl noch die beste Lösung, man will ja ein sauberes System haben ohne Altlasten. Und wer auf Nummer sicher gehen will ändert die (bekannten) Passwörter am Tag der Entlassung.

  3. Re: Strategie

    Autor: mxcd 21.12.18 - 16:27

    Das ist genau, was nur funktioniert, wenn man sicher ein kann, dass es keine weiteren Accounts gibt, auf deren Credentials Ex-Angestellte Zugriff hatten.

    Alle Passwörter auf allen Systemen zu ändern ist spätestens bei 50+ echt nervig.

  4. Re: Strategie

    Autor: HorkheimerAnders 21.12.18 - 16:53

    Wenn ein Admin geht sind alle Schlösser auszutauschen.

  5. Re: Strategie

    Autor: schueppi 21.12.18 - 17:05

    Das kommt darauf an wie viele Accounts es gibt. Grundsätzlich hätte der "Hacker" ja einen User Printer oder Backup anlegen können und als Serviceaccount deklarieren können. Je nach Fluktuation geht man ja nach einer Kündigung nicht sämtliche Serviceaccs anpassen. Deshalb sind es ja Serviceaccounts...

  6. Re: Strategie

    Autor: Hawk321 21.12.18 - 18:18

    Wenn man etwas Ahnung hat, ist das kein Problem.

  7. Re: Strategie

    Autor: Profi_in_allem 21.12.18 - 21:24

    Davon ab kann jeder einen selbst gebastelten Trojaner installieren, der ein paar Jahre undetected bleibt. Admin Rechte. Ich schätze ein fähiger Admin kann sich nebenher in sowas innerhalb 1-2 Wochen einlesen und mehr oder weniger gut umsetzen.

  8. Re: Strategie

    Autor: Avarion 21.12.18 - 21:44

    Deswegen kann man die Admin-Rechte auch einschränken. Es gibt Tools die überwachen jede Dateiänderung auf dem System und müssen durch eine definierte Person abgesegnet werden. Teile die Angestellten die Dateien anlegen dürfen und die die das im Tool abnicken müssen und schon muss der Admin erst einmal eine zweite Person überzeugen. Kombiniert mit Dokumentation was die Dateien machen und schon wird es schwer ein Skript zu hinterlegen das irgendwann Ärger macht.

  9. Re: Strategie

    Autor: Jolla 21.12.18 - 22:44

    Es bleibt natürlich immer ein Restrisiko wenn man mal von 'normalen' Firmen spricht, aber ein personenbezogener Account und ein funktionierendes Ein/Austrittsmanagement sollten schon Standard sein. Wenn es sowas nicht gibt, dann scheint IT nicht gerade eine hohe Priorität zu haben. Und dann....tja, selbst schuld würde ich sagen.

  10. Re: Strategie

    Autor: Anonymer Nutzer 21.12.18 - 23:13

    Theoretisch kann man seine Systeme so sicher bekommen und bei Personalwechsel alles ändern was da ist. Praktisch schränkt das allerdings extrem ein weshalb man es im Alltag dann doch etwas vereinfacht.

    Zudem verzögert sowas im "Worst Case Szenario" alles. Sicherer wäre es beispielsweise, für jeden Server eigene Logins ohne Remotezugriff zu haben statt sich mit dem Adminaccount auf jeden Server aufschalten zu können. Da man diese Kennwörter dann aber auch regelmäßig ändern muss, hätte die wohl kein Admin alle im Kopf und man müsste es für jeden Server irgendwo notieren und entsprechend nachgucken. Mal eben auf Server 1 den Fehler suche und dann auf Server 2 ist aber nicht weil man die Server dann erstmal im RZ suchen müsste und hinlaufen.

    Daher gehen die meisten Firmen einen Weg der irgendwo dazwischen liegt. Ein Interner der sowas länger plant hat aber in keiner Firma wirkliche Probleme das System zu schädigen.

  11. Re: Strategie

    Autor: Anonymer Nutzer 21.12.18 - 23:25

    Da gibts jede Menge Möglichkeiten. In Windows eingebautes Auditing, extra Software, z. B. von Quest, Zwei-Faktor / MultiFaktor-Authentifizierung, Empfehlungen vom BSI. Alles nur eine Frage des Wollens und des Geldes. Noch ein Tipp: das bringt aber alles erst dann was, wenn man die Aufgaben tatsächlich auch auf verschiedene Schultern fix verteilen kann. Es bringt nichts, wenn jeder Mitarbeiter dennoch "alles" machen darf. Das heißt, gegenseitige Vertretungen während der Urlaubszeit sind auch nur mit den jeweils Fachmitarbeitern machbar. Wenn die IT nur eine einstellige Mitarbeiteranzahl hat, kann man das eigentlich alles getrost vergessen. Da kommt zum Urlaub noch die Grippeweile - das war es dann.

  12. Re: Strategie

    Autor: flogol 28.12.18 - 19:24

    Du kannst es noch so sicher machen, wenn der entlassene Admin die Strategie kennt, mit der man sich gegen Admins, von denen man sich unfriedlich getrennt hat, absichert - dann kann er vorher Maßnahmen treffen, die es ihm am Ende doch ermöglichen, ins System zu kommen, weil Du von den Maßnahmen nichts weis.

    Wie immer hilft nur, dass es niemanden gibt, der alle Bereiche kennt, d.h. z.Bsp. 4 Bereiche, VPN, Firewall, Intranet, Daten-Server. Und die müssen alle unabhängige Admins bzw. Admin-Teams haben und dürfen sich nur über Schnittstellen austauschen, aber keine Details. Auf garkeinen Fall dürfen sie die Passwörter gegenundseitig kennen.

    Und sie müssen sich alle mißtrauen. Niemand darf ne Portfreigabe oder einen VPN-Account beantragen können, nur weil er Admin für Intranet oder für Daten-Server ist.

    Naja, ihr wißt wohl alle, dass das seeeehr unrealistisch ist. Klar, gibt es Bereiche (Banken) wo sicherheit so wichtig ist, das das alles durchgesetzt werden kann. Da ist auch genug Geld da. Aber es gibt so viele 1000 kleine Firmen hier in Deutschland. Die können das alle nicht.

    Und ich bin ehrlichgesagt relativ sicher, dass selbst manche Banken einige Mitarbeiter besitzen, von denen sie sich auf gar keinen Fall unfriedlich trennen möchten.

  13. Re: Strategie

    Autor: Urbautz 07.01.19 - 12:09

    Ich würde sogar sagen "alle Banken". Naja, bis auf die Deutsche Bank, die haben ja selbst keine IT mehr, die sitzen ja alle bei IBM.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Infrastruktur-Systembetre- uer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. Windows und Security Administrator (m/w/d)
    NOVENTI Health SE, Bietigheim-Bissingen, Gefrees, Mannheim, München, Oberhausen
  3. IT Systemadministrator / Junior Projektleitung (m/w/d)
    DS Smith Packaging Deutschland Stiftung & Co. KG, Erlensee
  4. (Junior) IT-Anforderungsmanager (m/w/x) Warenwirtschaftssysteme / Filialhandel - International
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de