Lernt die IT noch dazu?

[imac2012]

Hallo zusammen,

Konnte neulich folgendes beobachten:

Ein Rechner mit Windows 7 wurde in einer Maschine (die jeder bedienen kann / darf der gerade da ist ohne Schulung etc.) letzte Woche getauscht, weil die Angst vor Hackerangriffen über LTE bestand.

Der neue Rechner mal die grobe Übersicht:

Windows 11, LTE Verbindung, kein Virenscanner oder Defender oder Updates, UltraVNC, USB Port zugänglich, lokaler Benutzer ist Administrator ohne Benutzerkontensteuerung, Win + R startet jeden Task sofort mit höchsten Rechten, Passwort unter 5 Zeichen in Kleinbuchstaben, voller Zugriff auf System und Sicherungslaufwerke und Systemsteuerung, Hauptanwendung kann einfach minimiert werden, usw. und so fort.

Leichter kann man es doch einem doch gar nicht mehr machen?! Hacker braucht da keiner mehr sein.

[Gary]

Den Bildschirm Hintergrund ändern - Heino in Lederjacke - das sorgt auch für Gesprächsstoff in der Firma.

Gibt es noch Bildschirmschoner mit der Laufschrift? Dann könnte man ja "Anweisungen" geben.

Vielleicht ein Honigtopf - oder der PC wird jede Nacht neu aufgesetzt.

Vielleicht wird ein Sicherheitsfachmann gesucht, wer das Leck meldet hat sich indirekt beworben.

[Anse]

Was sagt die IT dazu?
Es ist nicht wirklich zielführend so was hier öffentlich zu fragen.

Es ist schon richtig, dass man den Usern nach Möglichkeit keinerlei Admin-Berechtigungen gibt. Bei uns gilt der Grundsatz je mehr User einen PC benutzen dürfen, desto mehr wird zugenagelt. Heißt also dass die Zugriffe auf Netzwerklaufwerke stark eingeschränkt wird aufs nötigste und selbstverständlich Null Admin-Rechte.

[Nello]

Klingt für mich nach Absicht. So doof sind nicht mal Anfänger, im Gegenteil: Es gehört ja schon Wissen dazu, die Schachtel so aufzumachen. Wenn was passiert, würde ich den Täter in der Belegschaft suchen.

[uxlaxel]

was meinte unser admin in der firma: den fachkräftemangel gibts auch in der IT!

ein servicemitarbeiter eines namenhaften großen internationalen unternehmens hat nämlich beim update einer maschine uns auch mal per usb-stick einen schadsoftware eingeschleppt.
es wurde dann bei uns ganz schnell gefunden (div. virenscanner auch im internen netz, offline)

[imac2012]

Mittlerweile bin ich schon der Meinung, das es denen einfach egal ist. Wer will macht es sowieso, warum noch alles unnötig schwerer machen. Einfache GPO kennt ja jeder, Support ist Mangelware. Das Gute Stück ist Gottseidank nicht mit dem Firmennetzwerk verbunden, sowas würde ich nicht gedulden.

Die Rechner bei denen jeder ran kann, sind bei uns auch weitgehend beschränkt wie möglich. Ich unterstelle niemanden böse Absichten, aber bei mehreren Usern ist die Fehlersuche usw. immer schwierig, wenn keiner es war und nicht immer jeder da ist. Freie USB Ports sind per Efi tot gemacht. Eher aus den Grund, damit nicht diverse Händys den Saft absaugen.

[Chemnitzsurfer]

Der Benutzeraccount unseres Werkstatt-PCs hat auch Adminrechte, einfach weil da ne fast 20 Jahre alte Graviermaschine dran hängt, deren Treiber und Software offensichtlich noch aus Win NT Zeiten stammen und sonst crashen. Und ja ich kann mich mit diesem Account an jedem Rechner der im Firmennetzwerk hängt als lokaler Admin anmelden. Und ja, wir nutzen den PC auch um nach Datenblättern etc. zu googeln . Und nein, es gibt kein Benutzerpasswort (Dafür aber russisches Schlangenöl)

[Chefbastler]

Konnte neulich folgendes beobachten:

Windows 11, LTE Verbindung, kein Virenscanner oder Defender oder Updates, UltraVNC, USB Port zugänglich, lokaler Benutzer ist Administrator ohne Benutzerkontensteuerung, Win + R startet jeden Task sofort mit höchsten Rechten, Passwort unter 5 Zeichen in Kleinbuchstaben, voller Zugriff auf System und Sicherungslaufwerke und Systemsteuerung, Hauptanwendung kann einfach minimiert werden, usw. und so fort.

Klingt als könnte man mit dem Rechner sogar Arbeiten

Für nen Angriff müsstest da auch schon vor ort sein, die misten Hacker sind es Vermutlich nicht. Über LTE von außen Angreifen? Da müssen schon ne menge Ports offen sein

[nero]

nicht mit dem Firmennetzwerk verbunden

Wo ist also das Problem?

Ein Fenster kann auch eingeworfen werden. Wird es aber meistens nicht. Wenn doch repariert man es.

[zauberkopf]

Leichter kann man es doch einem doch gar nicht mehr machen?! Hacker braucht da keiner mehr sein.

Die IT hat einen grund gegenüber der Buchhaltung gefunden, um den geschätzten Kollegen mal einen ordentlichen Rechner hinzustellen.
Mit irgendwelchen übertriebenen Sicherheitsgedöhns fängt man heutzutage paradoxerweise Mäuse..

Konnte man früher(tm) noch die DAU's verarschen mit "Einfluss von Erdmagnetfeld.. etc.." geht das heute viel leichter mit einem einzigen Begriff : Sicherheit.

Nur das mit dem LTE habe ich nicht verstanden.. ich würde so einen Rechner stumpf ins Gast-WLAN stecken.

[Bastelbruder]

Fürs Gast WLAN könnte man einen Verantwortlichen/Schuldigen finden.

[Marsupilami72]

Für mich hört sich das an, als ob die Kiste nie die interne IT gesehen hat... Ist ja nicht im Netzwerk, also who cares

Ich habe letzte Woche erst einen Windows 11 Rechner für meinen Vater eingerichtet - der stand "ab Werk" auch sperrangelweit offen...

[Hauspapa]

In einer 200 Mann Bude selbst erlebt:
Firma plant Versionumstellung vom Notes.

Mail vom IT Leiter an alle: bitte schickt uns Eure Passwörter per Mail. Wir haben sie nur auf Papier und das wird sonst zu aufwändig. Ca. 1/3 der Leute hat‘s gemacht.

Passwörter per Mail verschicken?
Da kannst nur den Kopf schütteln.

Zur lernen Frage: Manchmal, in kleinen Schritten. Und manchmal schiessen Sie wahnsinnig übers Ziel hinaus.

[MatthiasK]

Wir haben im Labor uch noch einen Rechner mit Windows NT 4.0 SP3, als User gibt es - soweit ich weiß - auch nur den Administrator, aber mit automatischer Anmeldung ohne Passwort.

Die Kiste ist nicht mit dem Netzwerk verbunden. Per USB-Stick kann man sie auch nicht angreifen, den weder Mainboard noch OS unterstützen USB. Der Datenaustausch erfolgt per Diskette.

Die IT weiß auch nichts von dem Gerät, ist auch besser so. Die könnten das höchstens kaputt spielen, wenn sie irgendwas drauf installieren. Das ist ein R&S-Messgerät.

Irgendwelche Sicherheits-Software kann die Sicherheit erhöhen, muss sie aber nicht. Es kamen in letzter Zeit einige Remote-Code-Execution-Lücken in Sicherheitssoftware ans Tageslicht. Da war es ohne diese Software deutlich sicherer.

[Hightech]

Ich denke, Konzern-IT ist umso schlimmer je größer der Laden. Die IT soll alles können, in allen Abteilungen möglichst die gleiche Software und bei maximaler Sicherheit bei gleichzeitiger minimaler Administration.
Also alles verbieten.
So schafft man sich als Firma einen Molloch aus Walkarounds, illegalen Hilfmitteln und extern genutzter Hardware, da das Arbeiten für nicht MS-Office Nutzer nich möglich ist.

[imac2012]

Ich muss euch wohl allen zustimmen, am schlechtesten wird es wohl bei zu starker Übertreibung.

Das Gast-WLAN wäre sogar verfügbar.

Das mit den Passwörtern per Mail finde ich klasse, am Besten noch die von den persönlichen Mail-Account, auf deren Inhalt man gerne verzichten möchte (oder Screenshots davon als Firmen-Bildschirmschoner einstellen)

[ferdimh]

So schafft man sich als Firma einen Molloch aus Walkarounds, illegalen Hilfmitteln und extern genutzter Hardware, da das Arbeiten für nicht MS-Office Nutzer nich möglich ist.

Und das schöne ist: Wenn es dan schief geht, ist der Admin nicht schuld! ER hat ja strenge Regeln gemacht...

[Julez]

Unsere IT ist ganz gut auf Zack.
Wir werden z.B. regelmäßig gewarnt, nicht auf komische Links in komischen Mails zu klicken.
Im letzten Jahr kamen dann tatsächlich ein paar Spams durch.
Es stellte sich heraus: Das war absicht von einer beauftragten, externen Firma, um uns zu testen.
Unser ITler war froh, uns mitzuteilen, dass keiner draufgeklickt hat.
Und dann gab's noch so eine Web-Schulung mit kurzen Filmen und Fragebögen nachher für Passwortsicherheit, Rechner sperren vorm Weggehen und so.
Ich kann nicht klagen. Ich hab aber auch nicht wirklich Ahnung.

[b0n3]

Was hatten eine Entwicklungsmaschine/WerkstattPC im Gast WLAN verloren?
Antwort: Absolut nichts!!
Ins GASTwlan kommen nur Gäst, keine FirmenPC, nix Mitarbeitergeräten.
Wenn ein lokaler Angreifer anpackt, nimmt er als erstes das GastWLAN auseinander.

Entwicklungsnezte wo halt lokal administrierte Maschienen und uralte Geräte rumlaufen muss man halt entsprechend absichern und die leute die daran Arbeiten sehr gut Schulen.
Da gibts keine guten Antworten, ausser segmentierung, segmentierung und Inderned wegnehmen
macht nix einfacher, die kunst ist den richtigen Kompromiss zu finden, dazu muss man halt auch genau mit denen reden die den Mist bedienen müssen.
Einseitig Regeln machen und alles zunageln ist einfaach nur Faul.
Passwortlose Adminaccounts sind extrem doof, User mit Adminrechten auch.
Entwickler die zu doof sind Firewalls korrekt zu bedienen, sollten zu Bäckern oder Friseuren umschulen.
Servicetechniker die das selbe Problem haben genauso, das ist kein Hexenwerk.

[phettsack]

Grämt euch nicht!
Die Eierköpfe machen auch nur ihren Job. Mal so mal so.

[imac2012]

Oh Mann, da hab ich ja was los getreten!

Das ganze zu segmentieren, ist halt auch nicht überall aus Kostengründen oder was auch immer gewünscht. Hauptsache 1x angestöpselt und irgendwie geht das dann schon dank Google. Wahrscheinlich geht das alles ins unendliche, richtig machen kann man das für alle nicht.

Zuhause habe ich auch nicht das ganze Netz auf einen „Haufen“. Smarthome braucht sich nicht mit dem Drucker zu unterhalten, und beide brauchen nicht auf Switch usw. Zugriff haben, kostet einmal Zeit und spart später unnötigen Ärger.

[xanakind]

Was hatten eine Entwicklungsmaschine/WerkstattPC im Gast WLAN verloren?
Antwort: Absolut nichts!!

Ich habe das auch so: Mein Bastel & Werkstattlaptop (also bei dem ich Admin bin) ist auch in diesem W-LAN bzw nutzt einen eigenen Port am Switch.
Der Port ist so eingestellt, dass hier nur Internet, aber nicht unsere internen Server erreichbar sind. Und ich kann an diesem Port beliebig Geräte mit einer fremden MAC-Adresse anstecken, ohne dass er gesperrt wird.
Alle anderen "normalen" Ports sperren sich nach kurzer Zeit wenn eine "fremde" MAC-Adresse in´s Netz will.

Ich finde das eigentlich einen brauchbaren Kompromiss mit dem ich und auch die IT zufrieden sind.

[b0n3]

Grämt euch nicht!
Die Eierköpfe machen auch nur ihren Job. Mal so mal so.

Meist eher auf Faul, dann macht man das schlecht. Das is aber immer so eine Sache und Pauschal eigentlich nie richtig zu beantworten.
Security und laufender Betrieb sind keine Ziele sondern ein Weg auf dem man konstant arbeiten muss.
Wenn man sich anschaut wie das bei kleinen Betrieben vor 10-15 Jahren war und jetz bei uns aussieht.
Wir Segmentieren Netzwerke mitlerweile als wärs ein Hobby, man überlegt sogar Drucker ein eigenes Netz zu spendieren, nur diese Handy App seuche macht einen das Leben schwer.

Bei uns hats Werkstatt Netz eigene Hardware und einen eigenen Router/Firewall WLAN APs mit eigenenWLANs, 2 Davon ändern SSID und Key automatisch.
Eigene Server, Das ganze ist mit einem Kabel mit dem Standart Office Netzwerk verbunden wo nur Verkehr in richtung Werkstatt möglich.

Wenn du Netze zustark zunagelst und Arbeiten zu kompliziert wird, erreichst du nur das die Arbeiter anfangen dein Sicherheitskonzept zu unterminieren
Damit gewinnt man garnix.

MAC Addressen sperrerei oder Radius kann man in Office Netzen machen, In Werkstatt, Entwicklungsnetzen sehe ich den Gewinn nicht.
Das kann man machen wenn Militärisch oder so unterwegs ist, dann sollte ein freier Admin auch keine 15min entfernt sein, aber das Geld will man auch nicht ausgeben.

[ProgBernie]

Unsere IT ist ganz gut auf Zack.

Unsere eher nicht... Obwohl wir im "kontrollierten Bereich" arbeiten und Audits bestehen müssen.
Der Knaller war mal, als ich eine wirklich sehr gut gemachte Phishing-Mailvon außerhalb bekam. Die ich dann der IT gemeldet habe. Reaktion darauf war: Sie können meine weitergeleitete Mail nicht öffnen, weil die im Filter aussortiert worden ist. Also war die interne eMail besser gefiltert als die von/nach außen...

Wir werden z.B. regelmäßig gewarnt, nicht auf komische Links in komischen Mails zu klicken.

Das auch, aber man bekommt nur schräge schlecht automatisch übersetzte Videos aus USAnien vorgesetzt. Leider ist das mit den Audits ziemlich dämlich: Man muß u.A. zertifizierte Schulungen benutzen, auch wenn eigene Schulungen, wie wir sie früher hatten, viel besser aufgenommen werden.