wir müssen leider unseren Administrator kündigen. Nun birgt dies natürlich einige Gefahren für das Unternehmen und deren IT-Landschaft...
Natürlich wird der gekündigte Admin sofort frei gestellt. Trotzdem hätte ich gerne eine Art 'Step-by-Step'-Guide, was man prüfen sollte und welche Passwörter erneuert werden sollen. Dass das Ganze sehr unternehmensspezifisch ist, ist klar. Trotzdem hat es mich erstaunt, dass ich bei Google keinerlei Informationen zu dem Thema finden konnte. Irgendeine Checkliste mit den wichtigsten Sofortmassnahmen usw. müsste doch auffindbar sein...?
Generell würde mich interessieren, ob hier jemand ein gutes Buch zum Thema IT-& Netzwerksicherheit empfehlen kann.
der Gekündigte hat zwar keinen direkten physischen Zugriff mehr, kann aber eventuell von draussen zugreifen, so er das eingerichtet hat, z.B. durch einen Tunnel per VPN, einem Teamviewer, Backdoor.
Da sowas von einem Laien - der ein Buch benötigt - sowas nicht einsehbar ist, rate ich als Sofortnassnahme zu externer hochqualifizierter Hilfe! Weiter ist es wohl ratsam, sofort das LAN vom Internet zu trennen, bis Sicherheit gewährleistet ist.
Nachdem er ja "noch" bei euch unter Vertrag steht würde ich Ihn auf jedenfall noch mal reinkommen lassen und die Benötigten Admin-Accounts mit ihm zusammen durchgehen und auch gleich auf ein (ihm nicht zugängliches/ersichtliches) Passwort ändern.
Das birgt die Gefahr, dass er Euch nicht alle Accounts nennt.
Ich habe schon Firmen gesehen, bei denen ich als externer Dienstleister einen Admin ersetzen durfte, der unglücklicherweise verstorben war.
Da habe ich allerlei Accounts in den Admin-Gruppen (ja, da gibt es mehrere relevante) gefunden, die letztendlich von ihm für den Fall der Kündigung angelegt wurden.
Und diese hatten allesamt VPN-Zugriff von außen, wenn auch nur mit einem Profil.
Ich würde zuallererst die einschlägigen Admin -Gruppen durchschauen, ob dort Benutzer enthalten sind, die zumindest vom Namen her nicht dorthin gehören.
Externe Hilfe in Anspruch zu nehmen, ist auf jeden Fall ratsam, gerade, wenn es um Security geht.
Und ggf. auf der Firewall nachschauen, eventuell sind dort noch Zugänge angelegt . . . . ebenfalls zu kontrollieren sind sämtliche System die dauerhaft in Betrieb sind . . .auch die Telfonanlage (Stichwort: D-Kanal). Sollte es Aussenstellen geben sind diese auch zu kontrollieren.
Schwieriges Thema, den besten Ratschlag hast Du schon bekommen: nimm externe Hilfe in Anspruch. Falls Euer Ex-Admin tatsächlich Zugänge für sich vorbereitet hat und auch nur halbwegs was drauf hat dann wirst Du wohl keine Chance haben die auch alle zu finden.
Möglicherweise machst Du beim suchen mehr kaputt als Du möchtest.
ciao, viel Erfolg und ein angenehmes Wochenende
M.
Jup, es gibt ja so viele Wege in ein Netzwerk zukommen. Und wenn er sich nur ueber ISDN in das Netz einwaehlt und die Karte steckt in irgendeinem Rechner, der zwingend ISDN benoetigt fuer eine Software oder so. Gibt so viele Wege.
Wuerde auch unbedingt dazu raten externe Hilfe in Anspruch zu nehmen..
Wenn ihr diesem Administrator erst jetzt die kriminelle Energie unterstellt, eure produktive IT-Umgebung zu korrumpieren und bis dato euch noch keine Gedanken gemacht habt, dann ist für eine technische Lösung der Zug längst abgefahren.
Ich würde mir als erstes Gedanken über die möglichen Schadenszenarien machen, zweitens nochmal ganz intensiv die Backups firmenkritischer Daten überprüfen und drittens mich an einen Rechtsanwalt wenden. (nicht nacheinander gemeint, sondern gleichzeitig)
Umgebungen, so abzusichern, daß auch einzelne Administratoren nicht unbegrenzten Schaden anrichten können, ist zwar möglich, aber da wirds dann schon teuer.
