Kann ein "Monteur" einfach schädliche Hardware einbringen?

[Crimson_Sabbath]

Welche?

• Backups komplett auf Servern (keine richtigen Offlinebackups
• einfach Passwörter die nicht geändert werden musste (u.a. war auch"Hallo" möglich)
• USB-Ports komplett offen (anschließen externe Medien, ggfs. auch Kopieren von Internata auf Festplatten möglich)
• kein Sperren verlorengegangener Stempelkarten
• ... sind nur ein paar einfache Beispiele

dazu halt noch gerne ein paar Sicherheitsaspekte außerhalb der IT-Landschaft

• Diebstahl von Material (vermutlich aufgrund nicht begleiteter ext. Dienstleister)
• offene Notfalltüren (die ebenfalls zum Diebstahl führten)
• ...

ist nur ein kleiner Auszug den ich hier mit Amateurwissen weitergebe

 

[SpamBot]

Zu viele Krimis und agentenfilme angekuckt?

Nein? Kommt drauf an was du in dem Laden machst, wir dürfen dank diverser Zertifizierungen keinen Besucher, Handwerker oder sonstiges unüberwacht am Firmengelände arbeiten, walten oder herumlaufen lassen.

Selbst Fensterscheiben im 10 Stock müssen verspiegelt sein damit man nicht mit einer Drohne Firmengeheimnisse abfilmt. Und nein wir sind kein super interessantes High Tech Unternehmen, das sind einfach Zertifizierungen die diverse Kunden verlangen.

Edit: bevor jemand fragt: auch wenn man solche Zertifikate nicht hat/ benötigt macht es ja durchaus Sinn sich hier Sicherheitsaspekte abzuschauen.

 

[Lawnmower]

Ich würde mit deiner Auflistung deiner Punkte zu deinem Vorgesetzten oder wenn möglich direkt zur Geschäftsleitung, das sind weitgehend alles Punkte die von da oben koordiniert und angegangen werden müssen.
Wenn Du das plaziert hast, bist Du erstmal sauber raus da Du die "Mängel" gemeldet hast.
Womöglich sind auch einige Punkte bereits zur Behebung aufgegleist, aber gerade so Sachen wie offene Notfalltüren sollten mEn sofort behoben bzw der Verantwortliche informiert werden.

 

[Crimson_Sabbath]

Alles klar, danke für die Informationen.
Das ganze war eigentlich nur als "fixe Frage" gedacht ob es abwegig ist oder nicht.
Das nun so viel Input kam finde ich höchst spannend . Ich verfolge das Thema mal weiter und spreche ggfs. mal ein paar Themen an.

Gerade was die IT-Sicherheit angeht sieht man vieles ja auch erst mal nicht. Da ist die Frage wie es im Detail geregelt ist. Ggfs. ist schon viel implementiert.

 

[Tom345]

Wenn dich solche Themen interessieren hol dir Lektüre von Bruce Schneier oder Kevin Mitnick. Da kannst du viel erfahren über Cybersicherheit oder "nicht" Cybersicherheit oder Social Engineering.

 

[Darknesss]

ist nur ein kleiner Auszug den ich hier mit Amateurwissen weitergebe

Umso größer die Wasserköpfe im Büro ...

IT-Sicherheit und vieles andere steht und fällt mit der Geschäftsführung.
Gibt genügend Betriebe die sind im Managment auf dem Niveau eines 2-3 Mann Betriebes stehen geblieben, wo sich die Geschäftsführung/Inhaber in jedes Thema einmischt und nicht viel sagen lässt.

Da kümmert sich dann der Junior Chef (der mit IT nichts am Hut hat) um die IT damit der etwas zu tun hat, weil der fachlich/menschlich nicht zur Unternehmensführung geeignet ist.
Rechner und Netzwerk dann offen wie ein Scheunentor und die Lagerhalter surfen/bestellen noch mit Windows XP und Internetexplorer, weil etwas neues Geld kosten würde ....

Gibt Betriebe die sind 1A und dann gibts Betriebe ...
Aber das steht und fällt mit der Geschäftsführung. Wenn die Dauerprovisorien/Murks/Pfusch duldet oder sogar die Mitarbeiter dazu anstiftet ...

Mir ist es manchmal ein Wunder wie manche Betriebe Jahrzehnte überleben können.
Man kann es mit der Gründlichkeit zwar auch deutlich übertreiben und selbst fürs Treppensteigen oder Schraubenzieher, Akkuschrauber, Kabelmesser etc Unterweisungen machen die auch vom Teilnehmer unterschrieben werden müssen.
Aber Mitarbeiter ohne die passende Ausbildung und Unterweisung auf sündteure Maschinen/Anlagen nach dem Motto "Learning bei Doing" loszulassen ...
Und noch besser, wenn die dann noch neue Mitarbeiter anlernen sollen ...

 

[smashcb]

Empfehlung Folge 11 : https://www.netzsicher.net/podcast

Social Engineer ist das Stichwort hier.

Kann man sich nie 100% absichern.

 

[brettler]

Ich bin selbst u A als „Druckermonteur“ in vielen Unternehmen tätig,

Firmenfremde lässt man generell nicht unbeaufsichtigt durch das Gebäude laufen.

Manche sollten mal aus ihrer "Bubble" rausschauen. Es sollte so laufen tut es aber weitem nicht immer.
Ich war auch fast 10 Jahre als Druckermonteur tätig und in vielen Betrieben von der kleinen Bude bis zum Groß Konzern.

Und in 90% der Firmen hätte man problemlos das eigene Gerät an eine LAN Dose anstecken können und noch vieles mehr.

Eine richtige NAC gab es nur in sehr wenigen Fällen.

Und alleine war man auch oft und hätte locker Fotos usw. machen können. Die Herren vom IT-Olymp haben sich kaum aus dem selbigen bewegt, wenn man vor Ort war. Sofern sie überhaupt da und nicht im Home Office waren.

Manchmal hat seinen sogar der Bediener alleine gelassen , und man konnte die Druckaufträge erzeugen wie man wollte.

Von den vielen hundert Kunden die ich über die Jahre besucht habe, ist mir nur 1 bekannt wo man sich wirklich anmelden musste, Handy abgeben und wo den ganzen Tag ein MA abgestellt war, der einen selbst bis vor das WC begleitet hat und das Werkzeug usw. durchsucht hat.

Das höchste der Gefühle war sonst nur anmelden und Ausweis abholen. In 90% der Firmen interessiert es keinen der Werker wenn man mit einem entsprechenden Besucherausweis rumläuft.

Sollte natürlich alles nicht so sein, aber es ist de Realität und vor allem auch viel Bequemlichkeit der Firmen.