Ansichten eines Informatikers

180 virtuelle Server gelöscht

Hadmut
13.6.2024 22:00

Leser fragen …

Ein Leser fragt an:

Nach Kündigung: Wütender Ex-IT-Mitarbeiter löscht 180 virtuelle Server – Golem.de

https://www.golem.de/news/nach-kuendigung-wuetender-ex-it-mitarbeiter-loescht-180-virtuelle-server-2406-186041.html

Moin!

Was ist denn davon zu halten? Also fachlich?

Ich meine, wenn der zu doof ist Logfiles zu manipulieren, wurde ihm zu Recht gekündigt. :-))

Grüße

Ich halte die Bemerkung mit den Logfiles für Unfug. Nur weil einer in der Lage ist, virtuelle Maschinen zu löschen, heißt das nicht, dass er auch in der Lage ist, die zugehörigen Logfiles zu manipulieren. Wenn man irgendeiner Cloudsoftware, irgendeiner Virtualisierungsumgebung per API sagen kann, dass sie was löschen soll, heißt das nicht, dass man auch root-Zugriff darauf hat und die Log-Dateien ändern könnte. Es heißt auch nicht, dass die Logs überhaupt auf derselben Maschine sind. Und es heißt auch nicht, dass es überhaupt diese Logs waren. Es gibt auch Systeme, die ssh-Verbindungen mitlesen (indem sie Kopien der Schlüssel haben und sich MITM-mäßig zwischenschalten) und die Befehle mitprotokollieren, und die so gehärtet und gesichert sind, dass man da nicht reinkommt (z. B. Balabit).

Der Leser hat das offenbar nur aus Heim-PC-Erfahrung betrachtet, nicht aus Sicht einer DevOps-Umgebung.

Möglich erscheint mir das schon, und auch recht plausibel und glaubwürdig. Es gibt solche Leute. Was übrigens der Grund ist, warum in vielen – vor allem amerikanischen – Unternehmen man ab dem Augenblick, in dem man erfährt, dass man gefeuert ist, nicht mehr alleine bleibt, sondern einen Wachen an den Arbeitsplatz begleiten, man dort noch seine Privatsachen in einen Karton packen darf und an die Tür begleitet wird – eine Szene, die in vielen US-Spielfilmen zu sehen ist. Aus genau diesem Grund. Es gibt sogar Dienstleister, die das bei Massenentlassungen übernehmen.

Auch der Kommentar von Golem am Ende des Artikels ist völlig richtig:

Der Fall verdeutlicht, wie wichtig es ist, Ex-Mitarbeitern nach deren Ausscheiden aus einem Unternehmen umgehend sämtliche Zugänge zu sperren und alle Passwörter für administrative Konten zu ändern, die der Person bekannt waren.

Das ist genau der Punkt.

Und eines der größten Probleme. In einer normalen Firma nämlich hat keiner mehr den Überblick, wo überall Accounts eintragen sind, und noch weniger ein systematisches Verfahren, die auch alle zu aktualisieren und zu sperren. Da gibt es jede Menge Karteileichen. Zwar helfen zentrale Account-Datenbanken per LDAP oder AD eine Menge, sind aber nicht ganz ungefährlich, weil die Praxis zeigt, dass sich viele darauf verlassen und nicht bedenken, dass es doch noch viele Accounts gibt, die nicht daran hängen.

Ich hatte mal in einem Konzern darauf gedrängt, genau dieses Problem zu lösen, und hatte aus Sicht der IT-Sicherheit verlangt, dass die HR-Abteilung eine Datenbank führt, an der alle Abteilungen – automatisiert – prüfen können, ob Mitarbeiter noch Mitarbeiter sind. Die haben nämlich so typisch HR-mäßig unorganisiert drauflosgewurschtelt, und konnten selbst gar nicht so genau sagen, wer Mitarbeiter ist und wer nicht mehr. Der Laden voller Karteileichen. Kündigungen wurden nicht kommuniziert, und es gab für die einzelnen Abteilungen genau genommen gar keinen Weg, herauszufinden, ob jemand noch im Unternehmen ist, zumal sich viele Leute auf lange Zeit krank meldeten.

Meine Lieblingsfrage, die ich immer gerne gestellt habe, war: „Angenommen, ich schmeiße in meiner Abteilung die große Verabschiedung, war schön mit Euch, hier ist noch Kuchen, neue Herausforderungen, blablabla, macht’s gut, damit das für die plausibel erscheint, dass ich ab morgen nicht mehr komme, habe aber gar nicht gekündigt. Wie lange wird mein Gehalt weitergezahlt, bis es jemand merkt?“ Da wurde ich oft angeguckt, als wäre ich ein Außerirdischer, der gerade gelandet ist. Gab ja auch schon Firmen und Behörden, in denen Angstellte jahrelang nie am Arbeitsplatz waren, und keiner hat es gemerkt.

Ich hatte eigentlich einen Plan gemacht, wonach die HR eine Datenbank pflegen muss, an der jedes lokale System mit Accounts täglich prüfen muss, ob die noch stimmen.

Wurde von der Geschäftsleitung abgelehnt.

Brauche man nicht, zu teuer, zu kompliziert. Und überhaupt, das sei der HR gar nicht möglich und zuzumuten, genau zu wissen, wer alles im Unternehmen ist.

Das sei ja auch gar nicht feststellbar, weil es unheimlich viele Externe und Freie gäbe, die noch einen Rahmenvertrag hätten, aber gerade keinen aktuellen Auftrag. Das wisse man ja gar nicht, ob die noch zum Unternehmen gehörten oder nicht mehr. Man weiß ja nie, ob man denen nochmal einen Auftrag gebe. Deshalb müssten die Accounts für die bestehen bleiben.

Und dann heißt es, wir müssten für den Cyberkrieg gerüstet sein.

Leute, Ihr glaubt nicht, was ich alles für einen Scheiß erlebt habe. Dagegen ist die Meldung da bei Golem geradezu ein völlig normaler Mittwoch oder sowas.

Ich habe vor etwa 25 Jahren mal von einem Fall erfahren, in dem einer mit Insiderwissen eine riesige Datenbank eines Unternehmens gelöscht hat – zumindest teilweise, weil ein Admin außerplanmäßig in den Keller ging und ihm dort auffiel, dass die Bandroboter der Tape Library ungewöhnlich aktiv waren und die Bänder eines nach dem anderen ins Laufwerk steckten, und die Überprüfung zeigte, dass das System gerade alle seine Daten löscht.

Wie und warum?

Die Datenbank war so eingestellt, dass Daten, die älter als 4 Jahre waren, als veraltet gelöscht werden. Und jemand hatte es bewerkstelligt, die Systemzeit vier Jahre in die Zukunft zu verstellen, womit alle Daten plötzlich älter als vier Jahre waren.

Man hat es untersucht und überprüft, welche Systeme alle die falsche Uhrzeit hatten. Alle, die an einem bestimmten Zeitserver mit DCF77-Antenne hingen, dessen Antenne von außerhalb der Räume zugänglich waren. Da hatte jemand – erst hieß es, per starkem Sender, ich habe aber auch die Variante gehört, mit direktem Kabel – über die DCF77-Antenne ein falsches Datum eingegeben.

Möglichkeiten gibt es da viele. Es gibt auch die klassische Methode, den Laden einfach in Brand zu stecken. Siehe damals den Brand bei OVH.