Sicherheitsvorkehrungen bei Weggang eines Systemadmins

RedMoon

RedMoon

Urgestein
Thread Starter
Mitglied seit
27.02.2005
Beiträge
1.474
Ort
50°48'49.1"N 2°28'29.1"W
Einer meiner MA hat gekündigt. Er verlässt in wenigen Wochen die Firma. So ganz glücklich geht er aber nicht. Trotzdem traue ich ihm keine bösen Absichten gegenüber unseren Systemen zu, aber ich muss mich absichern
Er hat in der Firma weitreichende Admin-Rechte. Mir fallen spontan folgende Punkte ein, die ich angehen muss:

AD Benutzer deaktivieren
Email Konto deaktivieren
VPN Zugang deaktivieren
Zugänge ohne AD-Abgleich sperren, vor allem auf der Firewall
WLAN Passwort ändern (das wird ein Spaß mit >100 Leuten :grrr: )
Passwörter für Backupserver und Sicherungsdaten ändern

Fällt euch noch was ein?
Wieso gibt es für so einen Fall keine best-practise Übersicht vom BSI, sonst haben die für jede Situation Empfehlungen :unsure:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Best Praxis wäre es, ihn ab Eingang der Kündigung sofort freizustellen.
Dann hat er keine Gelegenheit mehr, Daten abzugreifen oder andere schädliche Aktionen zu starten.
Denn als Admin hat er Zugriff auf nahezu alle Daten bzw. kann sich die verschaffen.

Dabei stellt sich dann das Problem, wer die administrativen Aufgaben übernimmt.
Wenn es mehrere Admins gibt, ist das kein Problem, aber bei einem einzelnen Admin sehr wohl.
Freistellung ab Kündigungseingang würde ich bei allen Mitarbeitern machen, die Zugriff auf sensible Daten haben.
Das ist natürlich auch eine Kosten-Sicherheitsabwägung, aber da sollte die Priorität bei der Sicherheit liegen.

Ansonsten wie bei jedem Mitarbeiter, der die Firma verlässt:
Alle Möglichkeiten des Zugangs deaktivieren und/oder Passwörter ändern.
Und was gerne vergessen wird:
Auch die Daten des Mitarbeiters sichern und zwar sofort!
Nicht, das evtl. später benötigte Daten vor dem Weggang des Mitarbeiters von ihm gelöscht werden.
Auch ein kritischer Punkt: Externe Datenträger.
Es kann gut sein, das sich Mitarbeiter Daten auf z.B. einem USB-Stick kopieren.
Daher ist ein Sicherheitssystem, das das entsprechend regelt, eigentlich in jeder Firma Pflicht.
Es gibt da diverse Sicherheitsmanagementsoftware, die AD-weit die Zugriffsrechte für externe Datenträger regelt.
Z.B, nur registrierte Datenträger sind zugelassen und die Daten darauf werden verschlüsselt.
 
Das mit der Freistellung habe ich mit der Personalabteilung besprochen und die Entscheidung wurde mir überlassen. Ich sehe keinen akuten Anlass zu einer Freistellung. Auch wenn ich doch etwas Bauchschmerzen habe.
Andere Admins habe ich, die die Arbeit übernehmen können.

passat3233 schrieb:
Es kann gut sein, das sich Mitarbeiter Daten auf z.B. einem USB-Stick kopieren.
Daher ist ein Sicherheitssystem, das das entsprechend regelt, eigentlich in jeder Firma Pflicht.
Es gibt da diverse Sicherheitsmanagementsoftware, die AD-weit die Zugriffsrechte für externe Datenträger regelt.
Zum Vergrößern anklicken....
kannst du mir da etwas nennen?
 
Überprüfung ob irgendwo externe Zugriff möglich sind ohne im Netz zu sein.

- Also z.B. Firewallregeln checken oder ein Backdoor oder sowas existiert. (also sowas wie nen Portforward auf nen Sprungrechner oder sowas)
- Zugänge zu externen Applikationen wie Cloudanwendungen, Serviceaccounts bei Lieferanten wo man ggf. Schindluder treiben könnte. (also z.B. VMware, Accounts bei Switchherstellern usw.)
- Remotesites auch betrachten, falls existent.

Also eigentlich den kompletten Workflow eines typischen Admins abklopfen und schauen wo er Rechte/Funktionen hat, die er a) nicht mehr braucht, b) wo Infos abfließen können und c) Schindluder getrieben werden kann (wie Geräte aus Verträgen löschen oder sowas).
Beitrag automatisch zusammengeführt:

passat3233 schrieb:
Auch die Daten des Mitarbeiters sichern und zwar sofort!
Zum Vergrößern anklicken....
Das gilt btw. auch für nicht eigene Daten.
Sprich er könnte auch ein Zentrallaufwerk killen, Dokus vernichten, Backups vernichten.
Kommt immer auf die Situation an.

Aber so nen Admin kann die ganze Bude auf Links drehen und das in nur einem Tag/Nacht.
 
Software zum Zugriff extern angeschlossener Geräte über USB usw. ist bei uns EgoSecure. Kannst du ja mal schauen, ob das was für euch ist. Wenn ich als Admin bei uns kündigen würde, dann wäre ich mit Zugang der Kündigung freigestellt bzw. werde versetzt und meine Adminrechte werden widerrufen. Noch dazu habe ich eine Erklärung unterschrieben die mit ordentlich rechtlichen Konsequenzen verbunden ist sollte ich Schmu betreiben.
 
Alashondra schrieb:
Wenn ich als Admin bei uns kündigen würde, dann wäre ich mit Zugang der Kündigung freigestellt
Zum Vergrößern anklicken....
ganz ehrlich: genau das wollte ich ursprünglich auch tun. Aber das setzt eine gewisse "Arschlochmentalität" voraus, die ich nicht habe. Und zwar auf beiden Seiten. Auch mein MA ist kein Arschloch, sondern eher überfordert von den Aufgaben, seitdem ich da bin und enttäuscht, dass er nicht mehr Maus-Schubs-Admin sein darf. Ja, ich sollte ihn sofort freistellen, aber wäre das nicht überzogen, bei einem MA, der seit 8 Jahren treu gewesen ist und mir im letzten Jahr, während der Pandemie, den Rücken freigehalten hat, als meine anderen Admins wegen Corona-Angst ihren Arsch nicht aus dem Home-Office bewegen wollten?

Vielleicht sehe ich das auch zu verblümt und mit der Rosa-Brille. Sag du es mir
 
RedMoon schrieb:
WLAN Passwort ändern (das wird ein Spaß mit >100 Leuten :grrr: )
Zum Vergrößern anklicken....
Aloha!
Ich würde die Gelegenheit nutzen und gleich das WLAN softwareseitig auf eine Enterprise-Lösung umstellen, die die WLAN-Zugänge im AD regelt. Ich habe das so implementiert, dass die Endgeräte mit den persönlichen Benutzerdaten aus dem AD ins WLAN eingebucht werden. der AP fragt per Radius den Domänencontroller, ob der User darf und wenn ja, in welches Netz Intern/Gast, also welcher VLAN-Tag vergeben werden soll. Dann bist du auch das Problem los, dass jemand den WLAN-Key weitergibt...ohne zu wissen, wers war ;)
 
Also ich kann da nur von mir sprechen - mir als Admin ist es klar was passiert, wenn ich kündige. Dieser Konsequenzen muss man sich bewusst sein und ganz ehrlich ... 3 Monate Urlaub für bezahltes Geld? :d kann man auch mal so sehen. Als Admin kann ich das ganze Unternehmen vor die Wand fahren - sofern genügend kriminelle Energie vorhanden ist und mir die Konsequenzen egal sind.

Such doch einfach das Gespräch mit ihm und evtl findet sich da eine Lösung.
 
freistellen ist echt nicht unbedingt eine strafe
 
RedMoon schrieb:
Vielleicht sehe ich das auch zu verblümt und mit der Rosa-Brille. Sag du es mir
Zum Vergrößern anklicken....
Das kommt zum einen auf die Situation und auch die Personen an.
Das kannst nur du bewerten. Es gibt da sowohl das eine Extrem und auch das Andere und viele Stufen dazwischen.

Letztendlich musst du dich im Zweifel auch verantworten, ganz ohne Vorwurf.

Fakt ist, dass so nen Admin Schindluder treiben kann. Das muss nicht passieren, kann aber, eben je nach Situation.
Freistellen heißt ja auch nicht, dass er kein Geld bekommt. Das ist letztendlich bezahlter Urlaub.
 
Mojo schrieb:
Aloha!
Ich würde die Gelegenheit nutzen und gleich das WLAN softwareseitig auf eine Enterprise-Lösung umstellen, die die WLAN-Zugänge im AD regelt. Ich habe das so implementiert, dass die Endgeräte mit den persönlichen Benutzerdaten aus dem AD ins WLAN eingebucht werden. der AP fragt per Radius den Domänencontroller, ob der User darf und wenn ja, in welches Netz Intern/Gast, also welcher VLAN-Tag vergeben werden soll. Dann bist du auch das Problem los, dass jemand den WLAN-Key weitergibt...ohne zu wissen, wers war ;)
Zum Vergrößern anklicken....
Ja, das ist bei uns eine große Schwachstelle. Das habe ich die Jahre vor mir hergeschoben. Aber jetzt kann ich das auch nicht übers Knie brechen in den wenigen Wochen. Da stehe ich echt auf dem Schlauch, was die Zeit angeht. Zudem betreiben wir kein RADIUS und somit kein WPA-Enterprise. Man ist das Mist, ich könnte mich Ohrfeigen jetzt :grrr:
Beitrag automatisch zusammengeführt:

Alashondra schrieb:
Such doch einfach das Gespräch mit ihm und evtl findet sich da eine Lösung.
Zum Vergrößern anklicken....
Wir haben bereits gesprochen. Ganz ruhig und sachlich. Wir sind ja auch per DU in der ganzen Firma. Es scheint also kein böses Blut zu geben. Er ist eben unzufrieden und möchte gehen, hat bereits eine andere Stelle. Seine Kündigungsfrist ist leider so ausgehandelt, dass er zu jedem 15. gehen kann, der AG ihm aber nur 6 Wochen zum Quartalsende kündigen kann. Das hat er recht ordentlich verhandelt bei seinem Eintritt, ich war damals nicht da und habe den Vertrag nicht gemacht!
 
Zuletzt bearbeitet:
Wenn das WLAN-System bereits zentral verwaltbar ist und Radius-Abfragen unterstützt, müssen auf dem Domänencontroller doch nur der Netzwerkrichtlinienserver installiert und die Regeln erstellt werden. Dann moch ein paar Sicherheitsgruppen ins AD und die User zuordnen. Sollte in einem Tag zu machen sein. Geht vermutlich schneller, als auf jedem Endgerät den WLAN-Key neu eingeben ;)
 
Mojo schrieb:
Wenn das WLAN-System bereits zentral verwaltbar ist und Radius-Abfragen unterstützt, müssen auf dem Domänencontroller doch nur der Netzwerkrichtlinienserver installiert und die Regeln erstellt werden. Dann moch ein paar Sicherheitsgruppen ins AD und die User zuordnen. Sollte in einem Tag zu machen sein. Geht vermutlich schneller, als auf jedem Endgerät den WLAN-Key neu eingeben ;)
Zum Vergrößern anklicken....
wir haben dieses vermaledeite Ubiquiti. Der einzige Vorteil ist, dass die Hardware gut und billig, die Software lizenzfrei ist und es zentral verwaltet werden kann. Sonst ist es für mich nicht Enterprise geeignet. Aber wir haben es nun mal und es funktionierte recht ordentlich.
Das was du sagst hört sich interessant an. Könntest du mir da einige Details zukommen lassen bitte, dann könnte ich mal prüfen, ob ich das mit unserem Ubiquiti in Betrieb nehmen kann. Ich meine natürlich keine step-by-step Anleitung, aber ein wenig mehr Details wären hilfreich. Wäre dir echt dankbar.
 
Auf einer Ubiquiti Dreammachine zusammen mit UAP AP Pro und Nanos habe ich das bereits an einem Server 2012R2 hinbekommen. Es gibt einige sehr gute Anleitungen im Web und auf Youtube. Ich schaue später mal, ob ich da noch Bookmarks habe. Die Stichworte zur Suche sind in jedem Fall Unifi/Ubiquiti und NPS (Network Policy Services). Wenn dein DHCP auf einem Unifi-Controller mitläuft, dann gehts echt gut. Tut er das nicht, dann kann das gutgehen oder auch gar nicht gehen (der berühmte DHCP-Timeout-Fehler bei Unifi).
 
Mojo schrieb:
Auf einer Ubiquiti Dreammachine zusammen mit UAP AP Pro und Nanos habe ich das bereits an einem Server 2012R2 hinbekommen. Es gibt einige sehr gute Anleitungen im Web und auf Youtube. Ich schaue später mal, ob ich da noch Bookmarks habe. Die Stichworte zur Suche sind in jedem Fall Unifi/Ubiquiti und NPS (Network Policy Services). Wenn dein DHCP auf einem Unifi-Controller mitläuft, dann gehts echt gut. Tut er das nicht, dann kann das gutgehen oder auch gar nicht gehen (der berühmte DHCP-Timeout-Fehler bei Unifi).
Zum Vergrößern anklicken....
Danke dir.
Unser DHCP läuft auf vier Windows Servern mit entsprechender Rolle und 4 Firewall-Systemen für das bring "your own device" und "Gäste" WLAN. Wir haben drei verteilte Standorte. Na, das kann ja spaßig werden
 
Nichts für ungut, aber sollte man sich nicht schon im Vorfeld Gedanken über MA-Zu- und Abgänge machen ? Da sollte es schon definierte Prozesse für geben, um genau so ein Chaos später zu vermeiden.
Am Besten macht man es aus technischer Sicht mit zentralem AD/IDM, wird bei uns auch so gemacht. Wenn ein MA kommt oder geht wird einfach im AD ein User angelegt oder der User gesperrt, schon hat er gar keinen Zugriff mehr auf irgendwelche Systeme.
 
Das ist aber auch nur die halbe Wahrheit. Es gibt in der Regel noch noch Accounts, die auch wichtig sind, und keinem AD folgen.
 
Was ist mit dem Domänenadmin? Ist ihm da das Passwort bekannt? Hoffentlich laufen in diesem Zusammenhang keine Services damit. Sonst knallt es in der Infrastruktur beim Passwortwechsel.
Prüfen, ob User auf einmal Adminrechte haben, die es nicht haben sollten. Prüfen, ob deaktivierte User plötzlich mit Admin-Rechten aktiv sind.
VPN-Zugänge checken. Entlegene oder auch nicht entlegene Winkel nach Fremdhardware absuchen.

Ich muss in Urlaub, mir fallen da zu viele Dinge ein, die ein Admin anstellen könnte. 😳
 
Frag Mal, alleine die fachverfahren die ich betreue kannste auf 8 Arten auf links drehen.... Und dann sind wir noch nicht Mal in der Domäne...

Getreu dem Motto drop database...
 
Andererseits:
Freistellen kann er auch in den falschen Hals bekommen, mit allen bereits genannten Konsequenzen.

Was ist überhaupt mit Übergabe seiner Zuständigkeiten? Was, wenn nur der komplett eingearbeitet war in gewissen Bereichen und ihr jetzt dasteht, wie der Hase vor der Schlange? Würde auch das nicht vergessen, dass er hier noch eine saubere Übergabe macht. Dokumentation hin oder her.
 
maxblank schrieb:
Prüfen, ob User auf einmal Adminrechte haben, die es nicht haben sollten. Prüfen, ob deaktivierte User plötzlich mit Admin-Rechten aktiv sind.
Zum Vergrößern anklicken....
Nicht nur User, sondern auch Gruppenzugehörigkeiten sollte man überprüfen.
Ist ein User plötzlich in einer Gruppe mit Adminrechten?
Und deaktivierte physische User sollte man nach einer gewissen Zeit eh löschen.
 
Der MA ist seit 8 Jahren im Unternehmen.
Laenger als der TE selbst.
Wenn's da leichen im Keller (Hintertüren) gibt, dann kennt der MA diese.

Es reicht auch n beschissener NUC oder RPI iwo in der Ecke auf den man von außen huepfen kann.
Ja so schrott wie Teamviewer geht auch durch ne FW.

Wenn der Kollege scheiße bauen will, dann wird er das tun. Das Kind ist bereits in den Brunnen gefallen, weil es keinen korrekten Off-boarding Prozess im Unternehmen gibt.
Darum: Keep cool, trennt euch im Guten und fertig ist die Laube.

Beim naechsten Mal dann besser machen.
 
passat3233 schrieb:
Und deaktivierte physische User sollte man nach einer gewissen Zeit eh löschen.
Zum Vergrößern anklicken....
Genau genommen ist man rechtlich sogar dazu verpflichtet, da es sich mit an Sicherheit grenzender Wahrscheinlichkeit um Personenbezogene Daten (oder solche welche sofortigen Personenbezug herstellbar machen) handelt - die meisten Usernamen lassen sehr einfachen Schluss auf tatsächliche Person zu. Selbst wenn dies nicht gegeben ist sollte im Sinne der Datensparsamkeit so oft wie möglich (eigentlich als fortlaufender automatischer Prozess) gelöscht werden.
 
Sollte...

Ich hab ne Datenbank mit 3500 Nutzern, die ich per Hand nach inaktiven durchforsten musste... Hab den Kram auch nur so übernehmen dürfen... Bin jetzt runter auf 650 aktive und habe 150 Anträge noch liegen. Inkl Datenschutzkonzept nach dsgvo... Wenn du das alleine machen darfst, kommt richtig Freude auf...
 
p4n0 schrieb:
Wenn der Kollege scheiße bauen will, dann wird er das tun. Das Kind ist bereits in den Brunnen gefallen, weil es keinen korrekten Off-boarding Prozess im Unternehmen gibt.
Darum: Keep cool, trennt euch im Guten und fertig ist die Laube.
Zum Vergrößern anklicken....
Welches "Kind"? Der MA hat doch selbst gekündigt, weil er nicht mehr zufrieden ist, und er hat schon eine neue Stelle. Vielleicht liegt es ja daran, daß ich mir Arschlöcher prinzipiell vom Hals halte, aber in dieser Konstellation sähe ich kein sonderlich hohes Risiko. Und ja, da würde ich als MA die Freistellung auch als bezahlten Urlaub sehen (was es ist).
 
dirk11 schrieb:
Welches "Kind"?
Zum Vergrößern anklicken....
Die Illusion jetzt noch alles sicher sperren zu koennen, damit der Kollege auf keinen Fall Schaden anrichten kann.

Ich sehe da jedoch auch kein Problem.
Nur braucht der TE jetzt nicht auf die Schnelle versuchen das Netz abzusichern. Das haette im Vorfeld passieren muessen. auch ist jetzt nicht die Zeit nen offboarding prozess fuer admins aus den Rippen zu schneiden.
 
sch4kal schrieb:
Nichts für ungut, aber sollte man sich nicht schon im Vorfeld Gedanken über MA-Zu- und Abgänge machen ? Da sollte es schon definierte Prozesse für geben, um genau so ein Chaos später zu vermeiden.
Am Besten macht man es aus technischer Sicht mit zentralem AD/IDM, wird bei uns auch so gemacht. Wenn ein MA kommt oder geht wird einfach im AD ein User angelegt oder der User gesperrt, schon hat er gar keinen Zugriff mehr auf irgendwelche Systeme.
Zum Vergrößern anklicken....
Zentrales AD mit Userverwaltung und Rechtevergabe und alledem haben wir natürlich auch. Aber trotzdem reicht das in vielen Fällen nicht aus. Niemand weiss, wann er mit dem Gedanken gespielt hat zu kündigen und nicht doch eine "Zeitbombe" hinterlassen hat
Beitrag automatisch zusammengeführt:

Gen8 Runner schrieb:
Andererseits:
Freistellen kann er auch in den falschen Hals bekommen, mit allen bereits genannten Konsequenzen.

Was ist überhaupt mit Übergabe seiner Zuständigkeiten? Was, wenn nur der komplett eingearbeitet war in gewissen Bereichen und ihr jetzt dasteht, wie der Hase vor der Schlange? Würde auch das nicht vergessen, dass er hier noch eine saubere Übergabe macht. Dokumentation hin oder her.
Zum Vergrößern anklicken....
da gibt es keine Probleme. Er war ein Low Performer
Beitrag automatisch zusammengeführt:

p4n0 schrieb:
Der MA ist seit 8 Jahren im Unternehmen.
Laenger als der TE selbst.
Wenn's da leichen im Keller (Hintertüren) gibt, dann kennt der MA diese.

Es reicht auch n beschissener NUC oder RPI iwo in der Ecke auf den man von außen huepfen kann.
Ja so schrott wie Teamviewer geht auch durch ne FW.

Wenn der Kollege scheiße bauen will, dann wird er das tun. Das Kind ist bereits in den Brunnen gefallen, weil es keinen korrekten Off-boarding Prozess im Unternehmen gibt.
Darum: Keep cool, trennt euch im Guten und fertig ist die Laube.

Beim naechsten Mal dann besser machen.
Zum Vergrößern anklicken....
ja genau, aber das Problem ist mir seit langem bekannt, nur bin ich nie dazu gekommen es zu beheben
Beitrag automatisch zusammengeführt:

maxblank schrieb:
Was ist mit dem Domänenadmin? Ist ihm da das Passwort bekannt? Hoffentlich laufen in diesem Zusammenhang keine Services damit. Sonst knallt es in der Infrastruktur beim Passwortwechsel.
Zum Vergrößern anklicken....
drei mal darfst du raten, was er vor meiner Zeit getrieben hat: genau solchen Unfug. Dienste in Produktivsystemen mit Domain-Adminrechten versehen, weil er stets den leichten Weg gegangen ist. Passwörter wie "1234" waren an der Tagesordnung. Erst vor wenigen Wochen ist mir aufgefallen, dass er seinen HomeOffice Zugang über VPN mit "1234" abgesichert und sein 2FA deaktiviert hat. Darum hat er eine Abmahnung von mir bekommen. Und weil er das nicht mehr tun durfte, war er stets unzufrieden. Leider weiß niemand so recht, wo überall er diesen Mist verzapft hat. Eigentlich sollte ich froh sein, dass ich so einen Anfänger los bin, aber komischerweise bin ich es nicht.
 
Zuletzt bearbeitet:
Jepp, ist mir in der Vergangenheit auch schon öfters begegnet. Knaller sind Dienstleister, die solche Dinge vollbringen.
 
Alles richtig gemacht würde ich sagen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh