Sicherheitsvorkehrungen bei Weggang von Mitarbeiter?

[mcdaniels 22]

Hoi Folks!

Was würdet ihr machen wenn ihr für die EDV eines Betriebes zuständig seid und ein Mitarbeiter (in dem Fall mein einziger) verlässt die Firma...

 

Adminpasswörter ändern , seinen Useraccount löschen ...

 

Oder gar das System komplett umstrukturieren?

 

 

Mal gespannt auf eure Varianten... ;)

[Damian 1.401]

Hi.

 

Im Grunde geht es darum, ihm jeden Zugang zum Netz und den Systemen zu verweigern. Das läuft bei jedem Netzwerk anders, immer in Abhängigkeit von dessen Struktur. Pauschaltips bringen da nicht viel.

 

Du kennst dein Netz, du weisst was zu tun ist. ;)

 

Damian

[mcdaniels 22]

Hi Damian!

Ja ist mir klar, aber meine Chefs sind halt mal am rotieren ggg.

 

Jeden Zugang verweigern - tja das hab ich schon gemacht indem ich die Passwörter geändert habe, seinen Account gelöscht habe ... ;)

[robotto7831a 10]

An Fernwartungsmöglichkeiten von zu Hause haste auch gedacht?

 

Frank

[mcdaniels 22]

Ja sicherlich ... Es sei denn er hätt mir irgendwo ein Ei ins System gelegt... Konnte bislang nix finden.. (naja Misstrauen ist hier wohl angebracht...)

[Damian 1.401]

Es kommt natürlich auch darauf an, worauf der MA alles Zugriff hatte. Also welche Möglichkeiten er hatte, für sich ein "Hintertürchen" einzurichten. ;) :D

 

Im Prinzip heisst das:

- alle User-Accounts checken

- Zugangspasswörter ändern

- Zertifikate zurück ziehen (falls nötig/vorhanden)

- installierte Software checken

- alles nach Trojanern und ähnlichem Kram absuchen, auch die Backups

 

Und dann eine verbindliche Richtlinie erstellen, was beim nächsten Mal in solchen Fällen zu tun ist. Jetzt geht deinen Chefs der A**** auf Grundeis, jetzt sind sie empfänglich für solche Themen. ;) :D

 

Damian

[schotte 10]

da muß ich meien vorrednern recht geben.

die frage ist war es ein user mit eingeschränkten rechten oder ein administrator?

 

quelle: http://www.die-wirtschaft.at/ireds-1091.html

 

Sicherheit nach innen

Grundfalsch sei es, wenn jeder im Betrieb mit der EDV alles machen dürfe, warnt der EDV-Experte. „So wird es gerade in kleineren Unternehmen zumeist gehandhabt“, weiß Feiler. „Jeder hat Zugriff auf sämtliche Daten, und wenn es Passwörter gibt, kleben die auf den Bildschirmen oder Rechnern, alle kennen sie. Wenn man den Chef auf die damit verbundenen Sicherheitsrisiken aufmerksam macht, kommt ein ´aber ich vertraue doch meinen Leuten‘ als Antwort.“

Mit diesem Vertrauen kann es schnell vorbei sein: Ein Mitarbeiter bekommt ein gutes Angebot on der Konkurrenz, ein anderer wird gekündigt, ein dritter hat Krach mit dem Chef… „Die Liste könnte man fast endlos fortsetzen“, sagt Josef Feiler. „Der abwandernde Mitarbeiter kopiert sich schnell die Kundendatenbank, der Gekündigte löscht vielleicht die Bestellverwaltung, und, und, und…“

Feiler nimmt die EDV-Abteilung keineswegs aus der Risikoliste aus. „Was, wenn ich meinen EDV-Betreuer aus irgendeinem Grund entlassen muss? Da heißt es blitzschnell reagieren und sein Passwort ändern. Andernfalls stehe ich vielleicht zehn Minuten, nachdem er das Haus verlassen hat, vor leeren Festplatten.“

Apropos Passwort: Die Idealregelung sieht so aus, dass jeder nur sein eigenes Passwort kennt. „Nicht einmal die EDV-Abteilung sollte die Passwörter der übrigen Mitarbeiter kennen“, meint Feiler. „Sie vergibt einmal jedem Mitarbeiter ein Passwort, das dieser beim ersten Einloggen * und dann immer wieder in regelmäßigen Abständen * ändern muss.“

Hält man das nicht so, kann passieren, was Feiler bei einem Firmenkunden erlebt hat: „Dort gab es einen Angestellten in einem sensiblen Bereich, der mit vertraulichen Unternehmensdaten zu tun hatte. Sein Passwort prangte weithin sichtbar auf seinem Bildschirm, er weigerte sich beharrlich, es zu ändern und dann geheim zu halten.“ Man beschloss, dem Mann einen Denkzettel zu verpassen. „Wir haben in seinem Namen von seinem E-Mail-Account an den * selbstverständlich informierten * Geschäftsführer die Kündigung geschickt, samt Verzicht auf alle Ansprüche und der Bitte, die Abgeltung für den Resturlaub an die Caritas zu überweisen. Der verrät niemandem mehr sein Passwort.“

 

mfg schotte

[Telek 10]

Hast du den überhaupt grund so misstrauisch zusein? ist er im zorn gegangen?

[CoolAce 17]

Hy,

 

also ich finde Account löschen generell eine schlechte Idee

- erstens man kommt nicht mehr in Verzeichnisse da selbst bei neuanlage des selben Accountnamens die SID anders ist.

- zweitens wenn man den Deaktiviert und von mir aus PW ändert dann spart man sich beim Nachfolger das anlegen in allen Gruppen, einfach Namen ändern und los gehts.

 

Ich denke 100% Sicherheits wird es nicht geben, wir ändern bei sowas immer alle PWs und machen den Rechner ohne Anschauen Platt.

 

Gruß

 

CoolAce

[mcse_killer76 10]

@mcdaniels:

 

je nach Anzahl der User lohnt es sich in der AD die Liste mal zu checken. Vielleicht taucht hier und da ein "unbekanntes" Benutzerkonto auf? Dann die Gruppen checken, vor allem die Domänen-Admins etc.

Dann würde ich noch die Anmeldeversuche überwachen und zwar die erfolgreichen UND die fehlgeschlagenen. Dies dann 1x die Woche kontrollieren.

[gordonF 10]

Hy,

 

also ich finde Account löschen generell eine schlechte Idee

- erstens man kommt nicht mehr in Verzeichnisse da selbst bei neuanlage des selben Accountnamens die SID anders ist.

- zweitens wenn man den Deaktiviert und von mir aus PW ändert dann spart man sich beim Nachfolger das anlegen in allen Gruppen, einfach Namen ändern und los gehts.

 

Ich denke 100% Sicherheits wird es nicht geben, wir ändern bei sowas immer alle PWs und machen den Rechner ohne Anschauen Platt.

 

Gruß

 

CoolAce

 

Genau das ("Account nie löschen") dachte ich beim Lesen des ersten Postings auch. Deaktivieren ist genauso effektiv, wenn er Admin-Rechte hatte, wird er wohl so schlau gewesen sein, sich noch eine "Hintertür" (evtl. einen anderen User mit Admin-Rechten) eingebaut haben, dann viel Spass mit Suchen.

 

Bevor man den Rechner platt macht. würde ich noch eine Vollsicherung machen, da ja vielleicht noch Daten auf dem Rechner sind, die er nicht auf dem Netzwerk gespeichert hat (die Erfahrung zeigt leider, dass das sehr oft der Fall ist).

 

Diesen Problemen geht man aus dem Weg, wenn man sich im vorfeld über solche Dinge Gedanken macht. Macht leider keiner, und leider lernen viel zu wenige aus diesen Erfahrungen ;-)

[mcse_killer76 10]

Bleibt anzumerken, dass die Delegierung von Rechten absolut ausreichend sein kann!

Leider wird sehr oft darauf wegen Bequemlichkeit verzichtet... lieber gleich die vollen Admin-Rechte, geht auch schneller!

[mcdaniels 22]

Hoi!

Also, es gibt bei uns keine Probleme mit eventuellen "Berechtigungen" bezogen aufs Löschen des Accounts... (der Admin war...)

 

Eine Richtlinie wäre sicher eine gute Idee -> für die Zukunft.

 

Die User und Gruppen bin ich schon durchgegangen -> nix drinnen was auffällig wäre ;)...

 

Bleibt trotzdem irgendwie das Gefühl -> "Hab ich alles gecheckt...."

 

Naja 100%ige Sicherheit gibts da wohl wirklich ned... Vor allem kennt er ja das System und das ist meiner MEinung nach schon mal ein Sicherheitsrisiko ...

 

Naja ich stell sowieso bald mal um ...

[micha42 29]

Du solltest an der Firewall mal gucken ob da ein Portforewarder ist. Ein Portscan am Server ist auch nicht schlecht (incl der "hohen" Ports"). Die Vorkonfigurierten Gruppen checken (man muß nicht immer Dom-Admin sein ist eine Erkenntniss, die auch Angreifer haben :) )

Wurde schon passwort der Firewall genannt - ich glaub schon.

Und wo Dein chef schon mal sensibilisiert ist. Lass Dir eine richtig schicke Fortbildung verpassen - irgendwas wo Sicherheit draufsteht. So wenig mußt Du nie wieder überzeugen, dass das wichtig ist.

Micha