Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gefahr durch Innentäter: Wenn der…

Strategie

  1. Thema

Neues Thema Ansicht wechseln


  1. Strategie

    Autor: mxcd 21.12.18 - 16:08

    Ich wäre interessiert an ein paar Ideen zu präemtiven Strategien dazu.

    Grundgedanke: alle Passwörter wechseln bei jeder Personalfluktuation im IT-Department ist nicht wirklich realistisch. Es ist schon ein ziemlicher Aufwand, den User von allen Systemen und Kundensystemen zu entfernen.

    Vielleicht ein generelles 2fA System, das von Zugang auf Firmeneigentum (Hardwarekey oder Telefon abhängt?)

    Gibt es Möglichkeiten, ssh u.Ä. mit 2fA zu sichern?

  2. Re: Strategie

    Autor: Profi_in_allem 21.12.18 - 16:20

    Es kommt immer auf das System an. Aber den User zu entfernen ist wohl noch die beste Lösung, man will ja ein sauberes System haben ohne Altlasten. Und wer auf Nummer sicher gehen will ändert die (bekannten) Passwörter am Tag der Entlassung.

  3. Re: Strategie

    Autor: mxcd 21.12.18 - 16:27

    Das ist genau, was nur funktioniert, wenn man sicher ein kann, dass es keine weiteren Accounts gibt, auf deren Credentials Ex-Angestellte Zugriff hatten.

    Alle Passwörter auf allen Systemen zu ändern ist spätestens bei 50+ echt nervig.

  4. Re: Strategie

    Autor: HorkheimerAnders 21.12.18 - 16:53

    Wenn ein Admin geht sind alle Schlösser auszutauschen.

  5. Re: Strategie

    Autor: schueppi 21.12.18 - 17:05

    Das kommt darauf an wie viele Accounts es gibt. Grundsätzlich hätte der "Hacker" ja einen User Printer oder Backup anlegen können und als Serviceaccount deklarieren können. Je nach Fluktuation geht man ja nach einer Kündigung nicht sämtliche Serviceaccs anpassen. Deshalb sind es ja Serviceaccounts...

  6. Re: Strategie

    Autor: Hawk321 21.12.18 - 18:18

    Wenn man etwas Ahnung hat, ist das kein Problem.

  7. Re: Strategie

    Autor: Profi_in_allem 21.12.18 - 21:24

    Davon ab kann jeder einen selbst gebastelten Trojaner installieren, der ein paar Jahre undetected bleibt. Admin Rechte. Ich schätze ein fähiger Admin kann sich nebenher in sowas innerhalb 1-2 Wochen einlesen und mehr oder weniger gut umsetzen.

  8. Re: Strategie

    Autor: Avarion 21.12.18 - 21:44

    Deswegen kann man die Admin-Rechte auch einschränken. Es gibt Tools die überwachen jede Dateiänderung auf dem System und müssen durch eine definierte Person abgesegnet werden. Teile die Angestellten die Dateien anlegen dürfen und die die das im Tool abnicken müssen und schon muss der Admin erst einmal eine zweite Person überzeugen. Kombiniert mit Dokumentation was die Dateien machen und schon wird es schwer ein Skript zu hinterlegen das irgendwann Ärger macht.

  9. Re: Strategie

    Autor: Jolla 21.12.18 - 22:44

    Es bleibt natürlich immer ein Restrisiko wenn man mal von 'normalen' Firmen spricht, aber ein personenbezogener Account und ein funktionierendes Ein/Austrittsmanagement sollten schon Standard sein. Wenn es sowas nicht gibt, dann scheint IT nicht gerade eine hohe Priorität zu haben. Und dann....tja, selbst schuld würde ich sagen.

  10. Re: Strategie

    Autor: Agina 21.12.18 - 23:13

    Theoretisch kann man seine Systeme so sicher bekommen und bei Personalwechsel alles ändern was da ist. Praktisch schränkt das allerdings extrem ein weshalb man es im Alltag dann doch etwas vereinfacht.

    Zudem verzögert sowas im "Worst Case Szenario" alles. Sicherer wäre es beispielsweise, für jeden Server eigene Logins ohne Remotezugriff zu haben statt sich mit dem Adminaccount auf jeden Server aufschalten zu können. Da man diese Kennwörter dann aber auch regelmäßig ändern muss, hätte die wohl kein Admin alle im Kopf und man müsste es für jeden Server irgendwo notieren und entsprechend nachgucken. Mal eben auf Server 1 den Fehler suche und dann auf Server 2 ist aber nicht weil man die Server dann erstmal im RZ suchen müsste und hinlaufen.

    Daher gehen die meisten Firmen einen Weg der irgendwo dazwischen liegt. Ein Interner der sowas länger plant hat aber in keiner Firma wirkliche Probleme das System zu schädigen.

  11. Re: Strategie

    Autor: FalschesEnde 21.12.18 - 23:25

    Da gibts jede Menge Möglichkeiten. In Windows eingebautes Auditing, extra Software, z. B. von Quest, Zwei-Faktor / MultiFaktor-Authentifizierung, Empfehlungen vom BSI. Alles nur eine Frage des Wollens und des Geldes. Noch ein Tipp: das bringt aber alles erst dann was, wenn man die Aufgaben tatsächlich auch auf verschiedene Schultern fix verteilen kann. Es bringt nichts, wenn jeder Mitarbeiter dennoch "alles" machen darf. Das heißt, gegenseitige Vertretungen während der Urlaubszeit sind auch nur mit den jeweils Fachmitarbeitern machbar. Wenn die IT nur eine einstellige Mitarbeiteranzahl hat, kann man das eigentlich alles getrost vergessen. Da kommt zum Urlaub noch die Grippeweile - das war es dann.

  12. Re: Strategie

    Autor: flogol 28.12.18 - 19:24

    Du kannst es noch so sicher machen, wenn der entlassene Admin die Strategie kennt, mit der man sich gegen Admins, von denen man sich unfriedlich getrennt hat, absichert - dann kann er vorher Maßnahmen treffen, die es ihm am Ende doch ermöglichen, ins System zu kommen, weil Du von den Maßnahmen nichts weis.

    Wie immer hilft nur, dass es niemanden gibt, der alle Bereiche kennt, d.h. z.Bsp. 4 Bereiche, VPN, Firewall, Intranet, Daten-Server. Und die müssen alle unabhängige Admins bzw. Admin-Teams haben und dürfen sich nur über Schnittstellen austauschen, aber keine Details. Auf garkeinen Fall dürfen sie die Passwörter gegenundseitig kennen.

    Und sie müssen sich alle mißtrauen. Niemand darf ne Portfreigabe oder einen VPN-Account beantragen können, nur weil er Admin für Intranet oder für Daten-Server ist.

    Naja, ihr wißt wohl alle, dass das seeeehr unrealistisch ist. Klar, gibt es Bereiche (Banken) wo sicherheit so wichtig ist, das das alles durchgesetzt werden kann. Da ist auch genug Geld da. Aber es gibt so viele 1000 kleine Firmen hier in Deutschland. Die können das alle nicht.

    Und ich bin ehrlichgesagt relativ sicher, dass selbst manche Banken einige Mitarbeiter besitzen, von denen sie sich auf gar keinen Fall unfriedlich trennen möchten.

  13. Re: Strategie

    Autor: Urbautz 07.01.19 - 12:09

    Ich würde sogar sagen "alle Banken". Naja, bis auf die Deutsche Bank, die haben ja selbst keine IT mehr, die sitzen ja alle bei IBM.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. WEMAG AG, Schwerin
  2. GKV-Spitzenverband, Berlin
  3. Wolters Kluwer, Hürth bei Köln
  4. AKDB, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...
  2. 99,00€
  3. (u. a. Acer KG241QP FHD/144 Hz für 169€ und Samsung GQ55Q70 QLED-TV für 999€)
  4. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Noise Cancelling Headphones 700 im Test: Boses bester ANC-Kopfhörer sticht Sony vielfach aus
Noise Cancelling Headphones 700 im Test
Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Bose schafft mit seinen neuen Noise Cancelling Headphones 700 eine fast so gute Geräuschreduzierung wie Sony und ist in manchen Punkten sogar besser. Die Kopfhörer haben uns beim Testen aber auch mal genervt.
Ein Test von Ingo Pakalski

  1. Bose Frames im Test Sonnenbrille mit Musik
  2. Noise Cancelling Headphones 700 ANC-Kopfhörer von Bose versprechen tollen Klang
  3. Frames Boses Audio-Sonnenbrille kommt für 230 Euro nach Deutschland

  1. Spielestreaming: Cyberpunk 2077 erscheint für Stadia
    Spielestreaming
    Cyberpunk 2077 erscheint für Stadia

    Gamescom 2019 Google hat das Rollenspiel Cyberpunk 2077 für Stadia eingekauft - leider ohne zu verraten, ob die Raytracing-Version gestreamt wird. Auch der Landwirtschaft-Simulator 2019 und Borderlands 3 sollen über die neue Plattform erscheinen.

  2. Magentagaming: Auch die Telekom startet einen Cloud-Gaming-Dienst
    Magentagaming
    Auch die Telekom startet einen Cloud-Gaming-Dienst

    Google Stadia, Blade Shadow und jetzt Magentagaming: Die Deutsche Telekom macht beim derzeit viel diskutierten Cloud-Gaming-Geschäft mit. Das Angebot der Telekom umfasst zum Beginn 100 Spiele und soll in Full-HD und später in 4K funktionieren. Die Beta startet noch auf der Gamescom 2019.

  3. Streaming: Disney+ kommt zunächst nicht für Amazon-Geräte
    Streaming
    Disney+ kommt zunächst nicht für Amazon-Geräte

    Disneys Streamingdienst Disney+ wird auf einer Reihe von Geräten als App verfügbar sein - nicht jedoch auf Amazons Tablets und TV-Sticks. Außerdem hat Disney die ersten Länder bekanntgegeben, in denen der Dienst im November 2019 starten wird.


  1. 20:01

  2. 17:39

  3. 16:45

  4. 15:43

  5. 13:30

  6. 13:00

  7. 12:30

  8. 12:02