Neuer Benutzer als Sicherheitsrisiko

Vorsichtsmaßnahmen
Der gesamte Vorfall wurde dokumentiert und der Unternehmensleitung übergeben. Die IT-Abteilung musste nun entscheiden, welche Maßnahmen ergriffen werden sollten. Man beschloss, den PC des neuen Mitarbeiters besser zu sichern, wobei der Rechner sowie der neue Kollege sorgfältig überwacht werden sollten. Das Administrator-Passwort wurde mithilfe des Winternals System Commander 2002 wiederhergestellt. Anschließend entfernte Debra die Option zum Systemstart von Diskette oder CD-ROM aus und fügte im BIOS ein Passwort ein. Dabei war ihr bewusst, dass das BIOS mithilfe eines Jumpers oder durch Entfernen der Systembatterie wieder in den Ausgangszustand versetzt werden konnte. Um dies zu verhindern oder zumindest das Öffnen des Systems zu erschweren, versah sie das Rechnergehäuse mit einem Schloss.




In der Software aktivierte Debra die Audit-Funktionen für den PC, wobei sie nun täglich die Protokolldateien kontrollierte. Einige Tage später fiel ihr schließlich ein TechRepublic-Artikel ein, in dem ein Tool namens SELM (Security Event Log Monitor) erwähnt worden war. Sie installierte also das SELM-Produkt, das sowohl E-Mail-Warnungen gibt als auch Berichte für eine spätere Überprüfung erstellt, um nicht jeden Tag manuell die Protokolle durchsehen zu müssen. Darüber hinaus überwachte sie nun den PCAnywhere-Dienst auf dem PC.

In einer Besprechung entschuldigte sich der neue Mitarbeiter erneut für sein Vorgehen. Als Begründung führte er an, dass er mitunter sehr spät arbeite und um diese Uhrzeit niemand mehr stören wolle. Er müsse außerdem bestimmte Software-Anwendungen für sein Projekt installieren, weshalb er Zugriff als Administrator benötige. Der IT-Leiter erläuterte daraufhin dem Mitarbeiter die Richtlinien des Unternehmens, die das Installieren von Software ohne Zustimmung der IT-Abteilung untersagen. Außerdem wies er darauf hin, dass ein Bereitschaftsdienst des IT-Bereichs bestehe, den man bei Problemen oder Fragen jederzeit anrufen könne. Der neue Mitarbeiter erklärte nun, nicht länger an dem Projekt mitarbeiten zu wollen.

Weitere Probleme
Während einer am folgenden Tag durchgeführten Routinekontrolle erschien der PC des neuen Kollegen als nicht im Netzwerk angemeldet. Ein Anruf in seinem Büro ergab, dass der Mitarbeiter noch nicht zur Arbeit gekommen war. Debra ging daraufhin in sein Büro und entdeckte, dass er seinen PC von dessen Netzwerkbuchse getrennt hatte um stattdessen den Linux-Rechner dort anzuschließen. Debra unterbrach die Verbindung des Linux-Rechners und steckte wieder den PC ein.

Am Folgetag dann das gleiche Spiel: Der PC war aus dem Netzwerk verschwunden. Debra gelang es diesmal nicht, das Büro des Mitarbeiters zu betreten. Also ging sie in den Kabelraum, in den die Netzwerkanschlüsse aus dem Büro mündeten und überprüfte dort den Status der Switch-Ports. Ein Port wies eine aktive Verbindung auf. Da Debra wusste, dass der PC nicht im Netz war, konnte nur der Linux-Rechner angemeldet sein. Das Verbindungskabel wurde gelöst und der gesamte Vorfall ging erneut an die Unternehmensleitung. Der Mitarbeiter wurde aufgeordert, den Linux-Rechner aus dem Gebäude zu entfernen. Dem stimmte er zu, worauf sein PC wieder an das Netzwerk angeschlossen wurde.

Debra war klar, dass sie in irgendeiner Weise sicherstellen musste, dass der Linux-Rechner auch wirklich nicht mehr im Netzwerk war. Auch hierbei erinnerte sie sich an einen bei TechRepublic veröffentlichten Artikel über Tools zur Netzwerk-Verwaltung. Eines dieser Tools war der kostenlose Netzwerk-Scanner von GFI mit dem Namen LANguard. Debra installierte LANguard und überprüfte das gesamte Netzwerk damit. Das Programm identifizierte den Typ der gefundenen Systeme recht präzise. So stufte es ein Red Hat Linux-System als „wahrscheinlich UNIX“ ein und erkannte einen von Debras Mandrake-Rechnern als „Linux Mandrake“. Nach der Durchführung eines Suchlaufs kann LANguard die Ergebnisse nach Betriebssystemen sortieren, so dass sich diese übersichtlich anzeigen lassen. Außerdem führt das Programm sämtliche offenen Ports in einem System auf und weist auf bekannte Schwachstellen hin. Debra führt seitdem täglich Suchläufe durch um festzustellen, ob neue Systeme auftauchen. Die Vollversion von LANguard bietet zusätzlich eine Vergleichsfunktion, mit der Abweichungen zwischen zwei durchgeführten Suchläufen ermittelt werden können.

 

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neuer Benutzer als Sicherheitsrisiko

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *