http://www.heise.de/newsticker/meldung/Webhoster-1blu-gehackt-und-erpresst-2777957.html
Direkt von 1blu: http://www.1blu.de/sicherheit/
Ich mach den Thread in diesem Unterforum auf, weil hier wohl eklatante Sicherheitsmängel vorlagen.
1blu fiel mir durch die penetrante Werbung als Billighoster auf, in der ct und auch sonstwo.

Ich bin nun versucht, den Schluss zu ziehen, dass da an der Qualität des Personals und/oder noch an anderen Dingen gespart wurde.
(der Verdacht erhärtet sich natürlich aus der offiziellen Stellungnahme: "Erleichtert wurde der Zugriff dadurch, dass die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern leider nicht, wie verpflichtend vorgesehen, eingehalten wurden.")

Was ich mich nun aber frage, ist das zu kurz gedacht? Theoretisch kann ein ehemaliger Sysadmin einer x-beliebigen IT-Firma immer seine Ex-Firma angreifen, das lässt sich nur schwer verhindern, da man nach jedem Weggang unmöglich alle Passwörter ändern kann. (oder man hätte ein automatisiertes System dafür, sowas ist mir aber nicht bekannt)

Was sind eure Gedanken dazu?

... da man nach jedem Weggang unmöglich alle Passwörter ändern kann.

Kann man nicht? Welche Passwörter hat denn so ein Admin? Doch nur die für die administrativen Dinge? Und so viele sollten das doch nicht sein, dass man die nicht ändern könnte zumal man die Passwörter ja sowieso regelmäßig ändern sollte.

Also bei uns werden nach einem Weggang eines Admin, die systemkritischen Passwörter (Firewalls etc.) geändert. Sein VPN-Konto und Account wird auch relativ kurzfristig gelöscht und administrative Anmeldungen außerhalb des Netzwerks sind in der Regel eh nicht möglich.

http://www.heise.de/newsticker/meldung/Webhoster-1blu-gehackt-und-erpresst-2777957.html
Direkt von 1blu: http://www.1blu.de/sicherheit/
Was ich mich nun aber frage, ist das zu kurz gedacht? Theoretisch kann ein ehemaliger Sysadmin einer x-beliebigen IT-Firma immer seine Ex-Firma angreifen, das lässt sich nur schwer verhindern, da man nach jedem Weggang unmöglich alle Passwörter ändern kann. (oder man hätte ein automatisiertes System dafür, sowas ist mir aber nicht bekannt)

Was sind eure Gedanken dazu?
Doch, es gibt sogar solche Systeme die jeden Tag das PW ändern und sich das Sysadmin frühs erst einmal einmal das aktuelle PW besorgen muss.
Ändert aber nicht viel dran, dass ein Sysadmin während seiner Dienstzeit noch seine Firma angreifen kann (weil er z. B. Sauer ist und weiß, dass es eh sein letzter Tag ist). Irgend ne Möglichkeit gibts immer, siehe auch Snowden. Was nur extrem schwierig ist, ist dabei Anonym zu sein. Und solche Datenklau und Schädigung der Ex-Firma ist nicht gerade ein kleines Delikt... Daher denke ich, dass die meisten Ex-Arbeiter sich doch ans Gesetz halten und den Frust mit Alkohol wegsaufen :biggrin:

Kann man nicht? Welche Passwörter hat denn so ein Admin? Doch nur die für die administrativen Dinge? Und so viele sollten das doch nicht sein, dass man die nicht ändern könnte zumal man die Passwörter ja sowieso regelmäßig ändern sollte.
Süß :D

Ok, der Thread funktioniert nicht, weil wir aus unterschiedlichen Welten kommen..

Süß :D

Ok, der Thread funktioniert nicht, weil wir aus unterschiedlichen Welten kommen..

Ja, in meiner Welt ist sowas unmöglich. Aber wir sind auch keine Billigbude wie 1blu. Da kommst du ohne personalisierte Zugriffskontrolle (in welcher Form auch immer) sowieso nie an irgendwas kritisches ran.

Das ist halt das Problem, dass gerade in kleineren (und jungen) Firmen das Sicherheitsbudget einfach nicht gross genug ist und man mit "Passwort ändern" eine Scheinsicherheit schafft.

Ich will nicht sagen, dass sich so etwas zu 100% vermeiden last, aber wenn ich sowas lese wie "Passwortvorgaben nicht eingehalten" dann lach ich innerlich nur über die Bude. Alleine schon, dass sowas nicht systematisch verhindert wird und dabei lasse ich ausser acht, dass ein Passwort keine Sicherheit ist. Aber eben, es gibt verschiedene Welten und die moisten haben ihre Daseinsberechtigung.

Süß :D

Ok, der Thread funktioniert nicht, weil wir aus unterschiedlichen Welten kommen..

Was ist denn an meiner Aussage süß?
Ok ich bin kein ausgebildeter Admin und arbeite momentan in nem Unternehmen mit <20 MAs als "Teilzeitadmin" und als ich hier anfing war die Sicherheit ein graus. Jeder hatte das selbe sehr einfache Passwort + Adminrechte + Zugriff auf alles. Die Rechner liefen durch und zwar ohne Bildschirmsperre so dass jede Putzfrau Zugriff auf den Server und die Daten darauf hatte wenn sie denn nur wollte. Zugriff von aussen hatten Mitarbeiter, die seit Jahren nicht mehr im Unternehmen sind u.s.w.

Jetzt gibt es zumindest Adminzugänge zu den Rechnern, die Benutzer haben keine Adminrechte mehr, dafür Benutzgruppen für die Zugriffsrechte und individuelle Passwörter die niemand ausser ihnen selbst kennt. Die Zugangsmöglichkeiten von aussen wurden auch aufgeräumt und abgesichert. Ich hab jetzt also noch ein halbes dutzend Systempasswörter, die auch beim Chef im Tresor liegen. Sollte ich irgendwann gehen können diese schnell geändert werden und ich würde nichts mehr anstellen können.
Ich weiss nicht wie das in Firmen mit > 100 MAs ist aber soviel mehr sollte da auch nicht gemacht werden (Kenne nur 1, 2. Bei dem einen waren die Restriktionen für die Passwörter so scharf (jeden Monat ein neues), dass die MA nur noch einfache genommen haben damit sie es sich noch merken konnten)

Seien wir mal ehrlich: Datensicherheit und -schutz sind bei den meisten Unternehmen in Deutschland Fremdwörter.

https://en.m.wikipedia.org/wiki/Single_sign-on
Und dann in Verbindung mit RSA oder SmartCards. Dual-Authentifizierung (also keycard und Passwort) ist das Minimum. Für hoch sensitive Server hab ich dann noch einen eigenen User mit nochmal einen Passwort.

Bezüglich dem „ehemaliger Mitarbeiter“, in meiner ‚Welt‘ werden Mitarbeiter freigestellt mit vollem Lohn und Gebäude- sowie Systemzugriff wird unverzüglich entfernt.