1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Gerichtsurteile: Wann fristlose…

Admins können und dürfen *alles*

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Admins können und dürfen *alles*

    Autor: Computer_Science 21.09.20 - 14:17

    Admins können und dürfen *alles*
    wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich einpacken
    wer Einsicht nimmt und dabei Spuren hinterlässt, sollte auch kein Admin sein, das zeugt von Dummheit
    damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen

    in manchen Systemen lassen sich die Adminrechte mit Bordmitteln auch nicht feingranular genug einschränken,
    "Emails mit brisantem Inhalt", sorry aber EMails sind "Postkarten", wer so etwas mit vertraulichen Daten verschickt gehört aus dem Vorstand entfernt

    das einzige was einen Admin davon abhält sich alles anzuschauen ist
    - die schiere Datenmenge
    - Desinteresse an Details des banalen Lebens seiner Kollegen

  2. Re: Admins dürfen längst nicht alles

    Autor: Marvin-42 21.09.20 - 14:30

    Nur weil sie es können oder auch real machen.

  3. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 14:30

    war auch mein erster Gedanke... wer zu blöd ist, um E-Mails auszulesen, ohne sich dabei erwischen zu lassen, der sollte vielleicht lieber Tellerwäscher werden

  4. Re: Admins können und dürfen *alles*

    Autor: s10 21.09.20 - 14:55

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine
    > vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen

    Der Vergleich hinkt. Da Buchhaltung per Design bereits Kontrollen und Revisionen zulassen und dies in so gut wie allen Buchhaltungssystemen auch technisch verankert ist. Dort zu bescheissen ist nur möglich, wenn mehrere Leute gemeinsame Sache machen oder es schlicht keine Kontrollen gibt. Aber selbst dann wäre es im Nachhinein noch nachvollziehbar, falls sich irgendwann jemand die Mühe macht den vorhandenen Brotkrumen zu folgen.

  5. Re: Admins können und dürfen *alles*

    Autor: Oktavian 21.09.20 - 15:02

    > Admins können und dürfen *alles*

    Sie dürfen alles (technische Berechtigung), aber deshalb dürfen sie noch nicht lange alles auch tun (organisatorische Berechtigung).

    > wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich
    > einpacken

    Oh, das sehen immer mehr gerade große Unternehmen und auch Aufsichtsbehörden anders. Die Erfahrung zeigt leider, dass man seinen IT-Mitarbeitern zu häufig nicht vertrauen kann. Deshalb werden auch die immer mehr Kontrollen unterworfen. Manipulationssichere Logs sind nur ein Teil davon.

    > damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine
    > vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen

    Auch hier gibt es für gewisse Tätigkeiten 4-Augen-Prinzip, oder Delegation auf einige wenige besonders vertrauenswürdige MA. Nicht umsonst ist traditionell die Buchhaltung von der Lohnbuchhaltung getrennt, und in die Buchhaltungsdaten, die die Gehälter der Vorstände betreffen, dürfen nur ganz wenige Personen reingucken.

    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Und in Zukunft immer mehr techische Schranken, die für solche Fälle eine weitere Freigabe erfordern. Dazu wird über jede Einsichtnahme zumindest der Vorgesetzte des Admins automatisch informiert. Das passiert nicht so bald in jeder kleinen Klitsche, aber je großer und regulierter das Unternehmen ist, desto schneller.

  6. Re: Admins können und dürfen *alles*

    Autor: chefin 21.09.20 - 15:32

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > Admins können und dürfen *alles*
    > wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich
    > einpacken
    > wer Einsicht nimmt und dabei Spuren hinterlässt, sollte auch kein Admin
    > sein, das zeugt von Dummheit
    > damit verhält es sich genauso wie mit der Buchhaltung, wer dort keine
    > vertrauenswürdigen Mitarbeiter hat kann sofort dicht machen
    >
    > in manchen Systemen lassen sich die Adminrechte mit Bordmitteln auch nicht
    > feingranular genug einschränken,
    > "Emails mit brisantem Inhalt", sorry aber EMails sind "Postkarten", wer so
    > etwas mit vertraulichen Daten verschickt gehört aus dem Vorstand entfernt
    >
    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Jeder Mensch kann einen anderen Menschen töten, aber er darf es nicht. Gemäss deiner Definition ist das allerdings NICHT so. Man darf alles was man kann.

    Admins können alles, das stimmt. Sie dürfen es aber nur, wenn sie abwägen und im Zweifel zumindest einen Dritten zu Rate ziehen. Das ist auch ein Grund warum zwar Bildungstechnisch sehr viele für den Job in Frage kommen, aber nur wenige ihn auch wirklich hinbekommen.

    Admins sind Vertrauenspersonen, daher wiegt es um so schwerer wenn sie dieses vertrauen missbrauchen. Und entsprechend harsch sind die Massnahmen dann. Völlig korrekt.

  7. Re: Admins können und dürfen *alles*

    Autor: Umdenker 21.09.20 - 15:36

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Oh, das sehen immer mehr gerade große Unternehmen und auch
    > Aufsichtsbehörden anders. Die Erfahrung zeigt leider, dass man seinen
    > IT-Mitarbeitern zu häufig nicht vertrauen kann. Deshalb werden auch die
    > immer mehr Kontrollen unterworfen. Manipulationssichere Logs sind nur ein
    > Teil davon.

    Das stimmt und teilweise geht diese Forderung sogar von mir als normaler Angestellter aus. Meine Vorgesetzten drängen mich teilweise dazu, dass ich noch mehr Befugnisse/Zugriffe habe um im Falle des Falles schneller und besser zu unterstützen. Das will ich aber nicht, weil ich mich dadurch in mögliche rechtliche Bredouille bringen kann. Viele Chefs und auch Mitarbeiter vertrauen uns IT-lern voll, also ist ihnen der Komfort lieber. Wir setzen uns jedoch selbst technische Hürden um nicht zur juristischen Zielscheibe zu werden.

  8. Re: Admins können und dürfen nicht alles

    Autor: Bouncy 21.09.20 - 15:45

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > Admins können und dürfen *alles*
    > wer seinen IT-Mitarbeitern nicht vertrauen kann, der kann auch gleich
    > einpacken
    > wer Einsicht nimmt und dabei Spuren hinterlässt, sollte auch kein Admin
    > sein, das zeugt von Dummheit
    Wer glaubt als Admin alle Spuren verwischen zu können hat wenig Ahnung von IT und sollte kein Admin sein...
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen
    Im Idealfall die Kontrollmechanismen durch andere, gewissenhaftere Admins. Klar hat es irgendwo seine Grenzen, falls sich alle Admins eines IT-Dienstleisters gegen eine Firma verschwören wird es extrem schwierig, aber a) trotzdem nicht unmöglich weil normalerweise der Auditor eine weitere Drittfirma ist und b) ist das sowieso eher unwahrscheinlich...



    1 mal bearbeitet, zuletzt am 21.09.20 15:46 durch Bouncy.

  9. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 15:47

    wieso sollte man als Admin nicht alle Spuren verwischen können?
    Im Zweifel ziehe ich mir ein Image der gesamten Maschine und untersuche sie in alle Ruhe offline - oder wenns ganz heiß ist, führe ich die Software im SMM aus

  10. Re: Admins können und dürfen *alles*

    Autor: Bouncy 21.09.20 - 16:00

    NeoChronos schrieb:
    --------------------------------------------------------------------------------
    > wieso sollte man als Admin nicht alle Spuren verwischen können?
    > Im Zweifel ziehe ich mir ein Image der gesamten Maschine und untersuche sie
    > in alle Ruhe offline - oder wenns ganz heiß ist, führe ich die Software im
    > SMM aus
    Und wie kommst du zum Image?

  11. Re: Admins können und dürfen *alles*

    Autor: chefin 21.09.20 - 16:01

    NeoChronos schrieb:
    --------------------------------------------------------------------------------
    > wieso sollte man als Admin nicht alle Spuren verwischen können?
    > Im Zweifel ziehe ich mir ein Image der gesamten Maschine und untersuche sie
    > in alle Ruhe offline - oder wenns ganz heiß ist, führe ich die Software im
    > SMM aus


    Und schon hast unlöschbare Spuren hinterlassen. Logdateien sind ähnlich wie Blockchains aufeinander aufbauend. Das Ziehen eines Image ist das lesen aller Dateien und das hinterlässt bereits ausreichend Spuren. Wer also seine Admins kontrolliert, wird passende Logprogramme haben. Und da kannst du nichts mehr rauslöschen. Weil zwischen Datei lesen und Logeintrag löschen eben noch mehr auf der Maschine passiert, was Einträge erzeugt.

    Wie weiter oben geschrieben, man kann Admins durchaus kontrollieren. Man müsste schon alle Kontrollen und extrene Kontrolleure mit ins Boot holen. Und natürlich ist der Aufwand höher, was bedeute das es nicht in jeder Betriebsumgebung auch so Bombensicher gemacht wird.

  12. Re: Admins können und dürfen *alles*

    Autor: Oktavian 21.09.20 - 16:08

    > Das stimmt und teilweise geht diese Forderung sogar von mir als normaler
    > Angestellter aus. Meine Vorgesetzten drängen mich teilweise dazu, dass ich
    > noch mehr Befugnisse/Zugriffe habe um im Falle des Falles schneller und
    > besser zu unterstützen.

    Auch hier gibt es schöne Lösungen für. Bei meinem Kunden beispielsweise haben die Admins gar keine Passwörter für ihre Admin-Accounts. Wenn sie Admin-Berechtigung brauchen, fordern sie die am System an und geben an wofür (Ticket-Nummer). Dann bekommen sie eine Shell/rdp-Session/db-Session/etc. in der der admin bereits angemeldet ist. Am Ende der Session sperrt das System den Admin-Account wieder. Alle Tätigkeiten in der administrativen Session werden geloggt.

    Man ist das elende Problem der admin-Accounts los, die alle zurückgezogen werden müssen, wenn ein Admin geht.

    Für bestimmte Admin-Tätigkeiten ist ein Workflow vorgesehen. Zugriffe müssen von einem Kollegen oder Vorgesetzten genehmigt werden. Natürlich ist nachts um 3 in der Rufbereitschaft ggf. keiner greifbar. Hier gibt es die sog. Breaking-Glass-Funktion, der Admin kann die Genehmigung umgehen und sich selbst ermächtigen. Das zieht aber immer einen Alarm an mehrere Kollegen und Vorgesetzt nach sich und ein Review am nächsten Morgen.

  13. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 16:11

    chefin schrieb:
    --------------------------------------------------------------------------------

    > Und schon hast unlöschbare Spuren hinterlassen. Logdateien sind ähnlich wie
    > Blockchains aufeinander aufbauend. Das Ziehen eines Image ist das lesen
    > aller Dateien und das hinterlässt bereits ausreichend Spuren. Wer also
    > seine Admins kontrolliert, wird passende Logprogramme haben. Und da kannst
    > du nichts mehr rauslöschen.
    Vorausgesetzt es werden Logs geschrieben und diese Logs sagen mehr aus, als das ich ein manuelles Backup angestoßen habe vor Changes. Es gibt so viele Stellen, an denen das Image dann unbemerkt abgegriffen werden kann, wenn es erst mal vorhanden ist - und wenn ich es mir ganz am Ende der Nahrungskette vom Tape hole

    > Weil zwischen Datei lesen und Logeintrag
    > löschen eben noch mehr auf der Maschine passiert, was Einträge erzeugt.
    Wenn du von reinen Textlogs sprichst, dann hau die Zeile einfach per sed raus

    > Wie weiter oben geschrieben, man kann Admins durchaus kontrollieren. Man
    > müsste schon alle Kontrollen und extrene Kontrolleure mit ins Boot holen.
    > Und natürlich ist der Aufwand höher, was bedeute das es nicht in jeder
    > Betriebsumgebung auch so Bombensicher gemacht wird.

    Selbst dann gibt es immer noch Lücken in Soft- und Hardware die man nutzen kann, das trifft dann aber wieder nicht auf die Fähigkeiten von 99,99% der Sysadmins zu, die gar kein Interesse an so etwas haben

  14. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 16:12

    du stößt ein manuelles Backup an oder verwendest ein bereits vorhandenes und schaust wo du es abgreifen kannst.
    Im schlimmsten Falle vom Tape

  15. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 16:17

    und irgendwer muss den Server, der dies alles steuert warten, die Keys anlegen und verteilen, usw. - der kann dann die Keys auch wieder abgreifen und ohne Ticket auf die Systeme zugreifen?

  16. Re: Admins können und dürfen *alles*

    Autor: s10 21.09.20 - 16:21

    NeoChronos schrieb:
    --------------------------------------------------------------------------------
    > Wenn du von reinen Textlogs sprichst, dann hau die Zeile einfach per sed
    > raus

    Stichworte: External Log Collector, revisionssicheres Logging, Audit Logging, etc.
    Da löschst du gar nichts mehr, weil du an diese Systeme und Logs gar nicht mehr rankommst. Gerade im Cloud Bereich braucht es dafür noch nicht mal mehr eine NW Verbindung...

    > Selbst dann gibt es immer noch Lücken in Soft- und Hardware die man nutzen
    > kann, das trifft dann aber wieder nicht auf die Fähigkeiten von 99,99% der
    > Sysadmins zu, die gar kein Interesse an so etwas haben

    Richtig gemacht, gibt es wohl eher 99.9999% aller Sys Admins die gar nicht mehr an die Logs rankommen. Ganz egal mit welchem Hacking Skills. Denn auch Spuren des Hacking Versuchs würden remote protokolliert werden und man könnte die Source dieser Angriffe nachvollziehen.

    Disclaimer: Je nach Soft- / Hardware Lücke, Konfiguration, Skills, etc. gäbe es vielleicht Hacker die solche Systeme erfolgreich kompromittieren könnten, aber nicht mal eben so und in den allermeisten Fällen auch nicht unbemerkt. Hat man dann noch ein entsprechendes SIEM durch ein eigenes Sicherheitsteam oder durch einen externen Security Dienstleister dann würde der Hackversuch wahrscheinlich sogar auffallen bevor er erfolgreich wäre.

  17. Re: Admins können und dürfen *alles*

    Autor: Oktavian 21.09.20 - 16:33

    > und irgendwer muss den Server, der dies alles steuert warten, die Keys
    > anlegen und verteilen, usw. - der kann dann die Keys auch wieder abgreifen
    > und ohne Ticket auf die Systeme zugreifen?

    Ist ne Appliance (bzw. min. zwei), die man so vom Hersteller bekommt. Direkter Zugriff darauf ist nicht vorgesehen, und bislang hat es da auch noch keinen solchen Fall gegeben.

    Grundlegende Administration derselben nur über zwei Kennwörter, den man natürlich verschiedenen Admins gibt. Basic-Administration (User einrichten, Gruppen zuordnen, Server anbinden, etc.) kann natürlich auch einer alleine, das wird aber alles mitgeloggt.

    Das ist jetzt kein System, was jede kleine IT-Butze braucht oder es auch nur nützlich wäre. Hier geht es meist um das Umfeld von Banken oder Versicherungen. Diese Geräte sind ziemlich teuer, und machen auch Arbeitsabläufe langsamer. Das muss man schon wollen (oder müssen).

    Aber aktuelle Regulierung wie BAIT/VAIT/KAIT verlangt eben, Admins in ihrer Tätigkeit einzuschränken und zu überwachen.

  18. Re: Admins können und dürfen *alles*

    Autor: menno 21.09.20 - 16:40

    Computer_Science schrieb:
    --------------------------------------------------------------------------------

    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Was mich abhält?
    Es ist Teil meiner Jobbeschreibung! PUNKT.
    Ich erteile niemanden eine "Gunst", wenn ich nicht rein schaue.
    Es ist meine PFLICHT, nicht hinein zu schauen.

    Wenn Du das anders siehst, bist Du schlichtweg nicht geeignet für den Job eines Admins.

  19. Re: Admins können und dürfen *alles*

    Autor: NeoChronos 21.09.20 - 17:14

    ja man kann viele tolle Sachen in Software machen, aber am Ende gibt es immer eine Stelle, wo die Hardware ungeschützt ist.
    Es gibt natürlich auch Leute, die parken sogar ihre Backups für viel Geld bei amazon, aber dann dort können eben andere Admins reinschauen anstatt die eigenen

    Wie gesagt, in den Fällen die ich so kenne, kann ich die Daten spätestens am Tape abgreifen, meist schon wesentlich früher

  20. Re: Admins können und dürfen *alles*

    Autor: Landorin 21.09.20 - 17:29

    Computer_Science schrieb:
    --------------------------------------------------------------------------------
    > Admins können und dürfen *alles*
    > das einzige was einen Admin davon abhält sich alles anzuschauen ist
    > - die schiere Datenmenge
    > - Desinteresse an Details des banalen Lebens seiner Kollegen

    Hm, echt? Erschreckend. Also ich wüsste da noch einen Grund, der mich davon abhält:
    ich bin mir meiner "Macht" und der daraus resultierenden Verantwortung bewusst und weiß, damit umzugehen. Es wird mir ein gewisses Vertrauen dadurch entgegen gebracht, das ich nicht missbrauchen möchte.

    Vermutlich liegt der Fehler eben auch im System: die nicht vorhandenen Regeln, was man darf und nicht darf im eigenen (kleinen) Unternehmen und deren Kunden. Sicherheitskonzept? Kaum bis gar nicht vorhanden.



    1 mal bearbeitet, zuletzt am 21.09.20 17:31 durch Landorin.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen
  2. Württembergische Gemeinde-Versicherung a.G., Stuttgart
  3. Landeswohlfahrtsverband Hessen (LWV), Kassel
  4. net services GmbH & Co. KG, Flensburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 8,99€
  2. 68,23€ (Release 03.12.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gemanagte Netzwerke: Was eine Quasi-Virtualisierung von WANs und LANs bringt
Gemanagte Netzwerke
Was eine Quasi-Virtualisierung von WANs und LANs bringt

Cloud Managed LAN, Managed WAN Optimization, SD-WAN oder SD-LAN versprechen mehr Durchsatz, mehr Ausfallsicherheit oder weniger Datenstau.
Von Boris Mayer


    Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
    Futuristische Schwebebahn im Testbetrieb
    Verkehrsmittel der Zukunft für die dritte Dimension

    Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
    Ein Bericht von Werner Pluta

    1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

    iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
    iPhone 12 Mini im Test
    Leistungsstark, hochwertig, winzig

    Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
    Ein Test von Tobias Költzsch

    1. Apple Bauteile des iPhone 12 kosten 313 Euro
    2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
    3. iPhone Magsafe ist nicht gleich Magsafe

    1. Aus dem Verlag: Golem-PCs mit Geforce RTX 3060 Ti
      Aus dem Verlag
      Golem-PCs mit Geforce RTX 3060 Ti

      Ein Viertel mehr Performance: Der Golem Allround wurde mit der Geforce RTX 3060 Ti ausgestattet und ist mit einem Ryzen 5000 aufrüstbar.

    2. Monitron und Panorama: Amazon will mit KI in die Fabriken
      Monitron und Panorama
      Amazon will mit KI in die Fabriken

      Dank KI in Sensoren oder Kameras will AWS auch in der Industrie Fuß fassen. Mit KI will Amazon aber auch seine Cloud-Dienste smarter machen.

    3. Banking: N26 führt Tagesgeldkonto ein
      Banking
      N26 führt Tagesgeldkonto ein

      Mit Easyflex Savings können N26-Kunden Geld beiseitelegen, das mit 0,17 Prozent pro Jahr verzinst wird.


    1. 15:00

    2. 12:24

    3. 12:06

    4. 12:05

    5. 11:47

    6. 11:19

    7. 10:36

    8. 10:20