1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Colonial Pipeline: Lösegeld-Zahlung…

Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: HabeHandy 14.05.21 - 10:41

    Da wird ein unzureichend geschulter Mitarbeiter auf einen Link in einer Mail geklickt haben. Zusammen mit zu hohen User-Rechten kann sich Schadsoftware im System einnisten.

    Bei meinen AG können nur Programme ausgeführt werden die auf einer Whitelist stehen und auch jegliche externen Speichermedien sind gesperrt. Fast alle Windows-Einstellungen sind gesperrt und die Nutzerrechte reiche geradeso aus um Office zu starten. Treiber selbstverständlich nur über Windows-Update.

  2. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: Howaner 14.05.21 - 10:55

    Die Clientsicherheit ist hier nichtmal das wichtigste. Wichtig ist, ordentliche Firewall Regeln zu besitzen, die den Zugriff der Clients auf das nötigste Beschränken und eine gute Netzwerkinfrastruktur zu bauen, womit nicht jeder Mitarbeiter Vollzugriff auf alles hat.

    Ideal wäre:
    - Netzwerkportisolation am Switch konfigurieren - LAN Ports der Client PC's dürfen nur mit der Firewall / Router sprechen und nicht mit anderen PC's
    - Ordentliche Aufteilung der Server in verschiedene VLANs
    - Standardmäßig in der Firewall alles blockieren und nur das benötigte freigeben
    - In den Firewall Regeln Portspezifisch freigeben und nicht z.B. RDP mit erlauben, obwohl der Nutzer eigentlich nur HTTP Zugriff benötigt.
    - Admin-Netz oder Admin-VPN zur Administration für die IT

    Dann kann sich ein Virus schon auf dem Client PC einnisten, aber er wird halt nicht sehr weit kommen. Verschlüsselt werden dann der PC und evtl. die Netzlaufwerke. Das wars dann aber schon (Außer es werden wiedermal schwerwiegende Exchange / AD Sicherheitsprobleme gefunden oder die Benutzer haben viel zu viele Rechte im AD)

    Leider macht das so gut wie keiner und stattdessen werden Firewalls zu total überteuerten Preisen gekauft und die Nutzer an Ihrem PC komplett eingeschränkt. Wer sagt denn, dass der Virus überhaupt unabsichtlich gestartet wird? Evtl. gibts auch mal Besuch oder einen Mitarbeiter, der absichtlich das Netzwerk infiziert und dafür nichtmal seinen Arbeits-PC benutzt.



    2 mal bearbeitet, zuletzt am 14.05.21 10:57 durch Howaner.

  3. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: gaym0r 14.05.21 - 11:06

    Howaner schrieb:
    --------------------------------------------------------------------------------
    > Die Clientsicherheit ist hier nichtmal das wichtigste. Wichtig ist,
    > ordentliche Firewall Regeln zu besitzen, die den Zugriff der Clients auf
    > das nötigste Beschränken

    Nein... Dann können die nicht mehr arbeiten. Oder willst du alles blockieren und dann haben die User im Zweifel Pech gehabt?

  4. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: Howaner 14.05.21 - 11:14

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Nein... Dann können die nicht mehr arbeiten. Oder willst du alles
    > blockieren und dann haben die User im Zweifel Pech gehabt?

    Was benötigt wird, wird freigeschaltet. Aber die Nutzer brauchen z.B. keinen Zugriff auf SSH / RDP von den Webservern, Domänencontroller oder Fileserver.

  5. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: Puschie 14.05.21 - 11:24

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Howaner schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Clientsicherheit ist hier nichtmal das wichtigste. Wichtig ist,
    > > ordentliche Firewall Regeln zu besitzen, die den Zugriff der Clients auf
    > > das nötigste Beschränken
    >
    > Nein... Dann können die nicht mehr arbeiten. Oder willst du alles
    > blockieren und dann haben die User im Zweifel Pech gehabt?

    Könnte mein Chef sein, die Einrichtung und Schulungen sind zu teuer - also hat jeder volle Rechte und überall wird das gleiche Passwort ( 5 stellig ) genutzt…

    Leider ist das in vielen Klein- und Mittelständische Unternehmen die Realität

  6. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: AllDayPiano 14.05.21 - 11:29

    Ja, das klingt in der Tat "super" aber funktioniert in der Praxis oftmals nicht.

    Klar, für den Standard-MA mag das gelten, aber wenn ich mir alleine unsere Abteilung ansehe, dann brauchen wir häufig administrative Rechte auf Produktionsrechnern. Und hier sitzen leider keine IT-Profis. Es reicht, dass hier einer einen Fehler macht, und legt weltweit die Fertigung lahm. Zwar nicht so, dass die Produktion komplett ausfällt, aber zumindest so, dass es spürbar ärger macht.

    Dabei versucht die IT dieses Problem schon so weit wie möglich einzugrenzen. Z.B. ist die Firma in zig Subnetze aufgeteilt. Ein Querzugriff ist nicht möglich. Ich komme von unserem Netz nicht in die Netze für Einkauf, Fertigungsplanung, Geschäftsleitung, IT oder Entwicklung. Selbst wenn ich direkt auf die (bekannten) IPs zugreife, geht das nicht. Über einen VPN vielleicht aber den bekommen wir grundsätzlich nicht, wenn wir nicht haarklein begründen können, warum. Selbst Adminrechte auf Mitarbeiter-PCs, die wir dann zugegeben nur sehr selten brauchen, bekommen wir nur für 10-Minuten-Intervalle und müssen durch den VG beantragt werden. Das steht unserer Arbeit zugegeben im Weg, aber IT Sicherheit hat sich noch nie mit Bequemlichkeit vertragen (und das ist auch der Grund, warum sie so selten konsequent durchgesetzt wird).

    Andererseits sind dann halt so Geschichten, wie Portforwarding auf unser lokales Subnetz aktiv für gewisse Ports, weil wir teilweise Fernzugriff auf Anlagen brauchen, die halt nur an bestimmten Ports zugreifbar sind. Über solche Wege fängt man sich natürlich auch einiges ein, wenn ein Angreifer davon weiß.

    Schlussendlich würde eine umfassende Mitarbeiterschulung oftmals helfen. Niemals Anhänge in Emails öffnen. Immer in einer Sandbox. Ausführbare Dateien werden mittlerweile komplett gelöscht von vielen Mailservern. Aber dann packe ich das in ein PW-geschütztes RAR und schreibe das PW in die Email und schon ist das umgangen. Dazu sollten Office-Makros grundsätzlich gesperrt sein, und der Nutzer gar nicht die Möglichkeit haben, diese zu aktivieren. Aber da sind dann oftmals Behörden und Excel-Power-User das Problem, die ganze Prozesse über Excel+Makros laufen lassen. Auch hier gibt es aber Hebel, um das Risiko drastisch zu minimieren.

    Aber ja: Das kostet alles viel Geld, das viele nicht willens sind, auszugeben.

    Alles, was oben steht, ist eine Meinung. Meine Meinung. Wenn ich eine absolute Aussage treffe, dann ist das ebenfalls eine Meinung. Meine Meinung. Wenn ich etwas mit Quellen belege, ist es entsprechend gekennzeichnet und damit keine Meinung, sondern eine Schlussfolgerung oder Tatsachendarstellung. Gut, dass wir das jetzt abschließend geklärt haben. Springen wird Golem.de trotzdem weiterhin.

  7. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: digitalnative 14.05.21 - 13:20

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Aber ja: Das kostet alles viel Geld, das viele nicht willens sind,
    > auszugeben.

    Ist in der Praxis oft der Fall. Sehr oft bei KMUs, die einfach nicht so viel Geld ausgeben können.

  8. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: us61170 14.05.21 - 18:41

    Probleme der IT müssen in der IT gelöst werden. Mitarbeiter einzuschränken führt eher dazu, dass einer von beiden geht. Beide müssen ihren Job machen. Nur ein Miteinander und Verständnis helfen dort.
    Wenn man darauf achten würde, dass ein Restore Job nicht länger dauert als das sichern, wäre schon viel geholfen. Aber da sind oft Welten zwischen und leider finden oft keine restore Tests statt.
    Die Aktivitäten einen Trojaners sind ja nun nicht so schwierig zu erkennen im Netz. Hier kann man in der Überwachung noch viel tun.
    Ein VLAN mit Firewall regeln hilft sicherlich. Nicht jeder muss auf alles zugreifen, aber üblicherweise kann er das über das Share-Management sowieso nicht.
    VLAN helfen dann eher bei Patch Problemen.
    Wenn jeder Rechner, der im lokalen Netz steht, so gesichert ist als wenn er im Internet steht, kann ein Trojaner nur begrenzten Schaden anrichten. Hier muss man sich als IT fokussieren.

  9. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: ldlx 14.05.21 - 22:30

    Dass durchschnittliche Benutzer keine Admin-Rechte brauchen, auch nicht lokal, da sind wir uns aber einig, oder?

  10. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: AllDayPiano 15.05.21 - 06:29

    Ich glaube das kann keiner bei Verstand behaupten

    Alles, was oben steht, ist eine Meinung. Meine Meinung. Wenn ich eine absolute Aussage treffe, dann ist das ebenfalls eine Meinung. Meine Meinung. Wenn ich etwas mit Quellen belege, ist es entsprechend gekennzeichnet und damit keine Meinung, sondern eine Schlussfolgerung oder Tatsachendarstellung. Gut, dass wir das jetzt abschließend geklärt haben. Springen wird Golem.de trotzdem weiterhin.

  11. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: HabeHandy 15.05.21 - 10:21

    us61170 schrieb:
    --------------------------------------------------------------------------------
    > Probleme der IT müssen in der IT gelöst werden. Mitarbeiter einzuschränken
    > führt eher dazu, dass einer von beiden geht. Beide müssen ihren Job machen.
    > Nur ein Miteinander und Verständnis helfen dort.
    Die Erfahrung zeigt das viele Mitarbeiter zu dumm sind um mit ihrer Verantwortung umzugehen. Die Beschränkungen helfen auch die Auswirkungen von Bedienfehler zu reduzieren.

    Fremde Software muss z.B. nicht nur wegen der Sicherheit geblockt werde, sondern schon um lizenzrechtliche Probleme zu vermeiden. Wenn eine Software benötigt wird muss der direkte Vorgesetzte diese beantragen damit sie gekauft wird. Es darf nicht sein das Raubkopien verwendet werden weil der Teamleiter zu dumm/faul ist die nötige Software mit paar Klicks zu beantragen.

  12. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: gaym0r 15.05.21 - 15:51

    Howaner schrieb:
    --------------------------------------------------------------------------------
    > gaym0r schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nein... Dann können die nicht mehr arbeiten. Oder willst du alles
    > > blockieren und dann haben die User im Zweifel Pech gehabt?
    >
    > Was benötigt wird, wird freigeschaltet.

    Bei 10.000 Mitarbeitern weltweit aus den verschiedensten Abteilungen soll man jede Webseite, die sie brauchen, einzeln freischalten?! :-D

    > Aber die Nutzer brauchen z.B.
    > keinen Zugriff auf SSH / RDP von den Webservern, Domänencontroller oder
    > Fileserver.

    Joa, aber was hat das mit Websurfing zu tun?

  13. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: us61170 15.05.21 - 18:15

    Ja sicher. Aber Software Entwickler zb haben lokale Admin Rechte. Sonst könnten sie nicht arbeiten.
    Aber für die Trojaner spielt das überhaupt keine Rolle. Die machen auch ihren Job mit den normalen User Rechten. Ein OS kann schnell wieder hergestellt werden. Die User Daten leider nicht. Und um die geht es im Business. Nicht um den IT Krams. Der generiert kein Geld.

  14. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: us61170 15.05.21 - 18:19

    Weißt du was unsere Software Entwickler von System Admins halten?
    Etwa so wie du eben normale Benutzer bezeichnet hast. Man sollte sehr aufpassen.
    Wenn unsere promovierten Physiker oder Chemiker auf solche Admins stoßen, bleibt vom Admin nicht viel übrig …

  15. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: elknipso 15.05.21 - 22:42

    Howaner schrieb:
    --------------------------------------------------------------------------------
    > gaym0r schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nein... Dann können die nicht mehr arbeiten. Oder willst du alles
    > > blockieren und dann haben die User im Zweifel Pech gehabt?
    >
    > Was benötigt wird, wird freigeschaltet. Aber die Nutzer brauchen z.B.
    > keinen Zugriff auf SSH / RDP von den Webservern, Domänencontroller oder
    > Fileserver.

    Viel Spaß bei, administrieren. Da reichen 100 Admins nicht in so einem großen Netzwerk, und daher wird es nicht gemacht, und natürlich nicht weil man nicht die Mitarbeiter frustrieren will.

  16. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: ldlx 16.05.21 - 00:09

    Musst du nicht glauben (Kirche, häh?), aber das glaube ich für dich mit. Probiers doch einfach mal. Wenn du 20x am Tag ein Kennwort eingeben musst für erhöhte Rechte, hat das vermutlich einen Grund - bringt dich aber nicht um! Unter Linux arbeitest du auch nicht permanent als root.

    Ich "arbeite" seit ungefähr zehn Jahren mit einem unprivilegierten Konto - wenn es nötig ist, fragt der Computer danach. Unter Windows XP gab es dazu zum Beispiel SuRun, was die UAC schon damals nachbildete.

  17. Re: Ahnungslose Mitarbeiter + schlechtes Sicherheitskonzept

    Autor: gaym0r 17.05.21 - 07:40

    us61170 schrieb:
    --------------------------------------------------------------------------------
    > Weißt du was unsere Software Entwickler von System Admins halten?

    Wen interessiert das? :-D

    > Etwa so wie du eben normale Benutzer bezeichnet hast. Man sollte sehr
    > aufpassen.
    > Wenn unsere promovierten Physiker oder Chemiker auf solche Admins stoßen,
    > bleibt vom Admin nicht viel übrig …

    Was machen die Physiker und Chemiker denn mit den Admins, dass nichts übrig bleibt? Klingt als könnte man das zur Anzeige bringen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Cloud Solution Architect - Google Cloud Platform (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  2. IT Netzwerk Administration - Schwerpunkt Cloud und Colocation (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Köln, Stuttgart
  3. Fachinformatiker (m/w/d) Systemintegration für den IT-Support
    Goldbeck GmbH, verschiedene Standorte
  4. Hochsprachenprogrammierer (m/w/d)
    Gebr. Heller Maschinenfabrik GmbH, Nürtingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Soulcalibur 6 Deluxe Edition für 11,75€, Tales of Berseria für 6,99€, Assassin's Creed...
  2. 25,99€
  3. Teilnahmeschluss 28.09., 19 Uhr


Haben wir etwas übersehen?

E-Mail an news@golem.de