Neuer Benutzer als Sicherheitsrisiko

Fehler Nummer eins
Debra erhielt die Aufgabe, mit dem neuen Mitarbeiter an dem Projekt zu arbeiten. Sie besaß Kenntnisse in Linux und war auf der Suche nach Bereichen, in denen es für das Unternehmensnetzwerk eingesetzt werden konnte. Debra war zwar von dem Projekt begeistert, doch hatte sie genau wie ihr IT-Leiter gewisse Zweifel an dem Konzept des neuen Kollegen, da dieses fast zu gut klang, um wahr zu sein.

Das Büro des neuen Mitarbeiters war mit zwei Netzwerkverbindungen ausgestattet: einer zu seinem von dem Unternehmen gestellten Windows NT-PC und eine zu seinem Linux-Rechner. Ihm waren keine speziellen Zugangsrechte erteilt worden. Er war wie alle anderen gewöhnlichen Benutzer auch als einfacher Domänenbenutzer angemeldet. Außerdem war er angewiesen worden, sich an Debra zu wenden, falls er weitere Zugriffsrechte benötigen sollte.

Ungefähr eine Woche später bemerkte ein IT-Mitarbeiter beim Vorbeigehen an dem Büro des neuen Kollegen etwas Ungewöhnliches. So war ein herkömmlicher kleiner Netzwerk-Hub in eine in der Nähe befindliche Netzwerkbuchse eingesteckt und diente als Überbrückung für den Anschluss. Ein Netzwerkkabel war mit einem ebenfalls in der Nähe positionierten Server verbunden. Dieser war Teil des Projekts, mit dem der neue Mitarbeiter beschäftigt war.

Das Hub wurde entfernt und der Vorfall gemeldet. Als man den Mitarbeiter zur Rede stellte, entschuldigte er sich und gab an, lediglich an dem Projekt zu arbeiten, ohne dabei seine IT-Kollegen belästigen zu wollen. Er wurde also nochmals darauf hingewiesen, dass er bei dem Projekt mit der IT-Abteilung kooperieren solle. Außerdem wurde am folgenden Tag ein entsprechendes Kabel verlegt.

Der Einbruch
Ein paar Tage danach sollte Debra schließlich einen E-Mail-Account für den neuen Kollegen einrichten. Sie versuchte über PCAnywhere auf dessen PC zuzugreifen und erhielt dabei eine Fehlermeldung, dass der Rechner nicht vorhanden sei. Also überprüfte Sie dies im Server Manager, wobei sie feststellte, dass der PC im Netzwerk aktiv war. Eine Kontrolle der auf dem PC des Kollegen eingesetzten Dienste ergab, dass PCAnywhere unterbrochen war. Debra gelang es auf Anhieb, den Dienst wieder zu starten. Dies erschien ihr sofort verdächtig.

Der PCAnywhere-Dienst wird normalerweise nur dann unterbrochen, wenn in seinem Startvorgang Probleme auftreten. Also überprüfte Debra das Ereignisprotokoll des PCs, in dem sich keinerlei Anzeichen für Probleme beim Hochfahren des Dienstes fanden. Sie fuhr mit dem Verbindungsaufbau fort und startete den Setup-Vorgang für Outlook. Am Ende dieses Vorgangs erschien ein Dialogfeld zur Authentifizierung. Da stimmte etwas nicht. Die IT-Abteilung hatte Outlook so eingerichtet, dass der NT-Logon verwendet wurde. Dieser wird nur dann angezeigt, wenn NT den Account nicht erkennt, mit dem ein Zugriff auf die Mailbox versucht wird.

Debra klickte nun auf die Start-Schaltfläche um festzustellen, wer mit dem PC angemeldet war, und fand dort zu ihrem Entsetzen die Angabe „Administrator“. Sie sagte zu ihrem IT-Leiter, der hinter ihr stand: „Er hat das Administrator-Passwort auf seinem Rechner geändert.“ Um dies zu überprüfen, meldete sie sich ab und versuchte dann ein Login mit dem Administrator-Passwort. Dieses war tatsächlich geändert worden.