Richtig.
Allerdings zeugt es m. E. von einem schlechten Systemadmin, wenn Einzelarbeitsplätze entsprechend frei gegeben sind. Für Updates ist einzig und allein der Sysadmin zuständig. Kein anderer darf irgend welche Updates machen können.
Zwar habe ich nie in einer großen Firma als Admin gearbeitet, war aber in zwei kleinen Firmen aufgrund von Fähigkeiten und Interesse bald der "Admin".
Die Problematik ist komplex. Updates und Wartungen von Rechnern kann man im Grunde nur dann vernünftig durchführen, wenn an den Arbeitsplätzen gerade nicht gearbeitet wird, und zwar für mehrere Stunden nicht. Ein Admin sollte dies also idealerweise außerhalb der gewöhnlichen Arbeitszeiten durchführen. Dazu ist der Admin vielleicht noch bereit, dann macht man eben an ein bis zwei Tagen die Woche eine Art "Spätschicht" - nur den Zugang zu den Arbeitsplätzen, den erhält man leider nicht.
Total erschwert bis zur völligen Unmöglichkeit ist der Zugang zu den Rechnern der "Chefs", denn die haben immer Angst um ihre achso vertraulichen und geheimen Daten. Auf diesen Rechnern laufen dann oft die ältesten Versionen, und darüber kommen die Angreifer dann prädestiniert herein.
Zwar Aufwand, aber die Rechteverwaltung gibt da im Grunde alles dafür her, das Risiko gering zu halten. Der Internetzugang muss z. B. ebenfalls beschränkt werden auf bestimmte Seiten. Das mögen die Mitarbeiter nur nicht so gerne
Auch das ist schwierig. Das Internet ist heutzutage das Rechercheinstrument schlechthin. Ein Mitarbeiter soll etwas herausfinden, und dann kann er auf diese Seite nicht zugreifen und auf jene nicht. Oder: Mein neues VPN bietet eine DNS-Filterung an ("blockiert Werbung und schädliche Webseiten, bevor sie Dein Gerät erreichen") - nur wird auch die Informationsseite und Fahrplanauskunft des örtlichen ÖPNVs blockiert, weiß der Geier, warum. Denn mit Sicherheit ist das eine harmlose und nützliche Seite.
Das A&O ist aber Aufklärung der Mitarbeiter, denn die sind die größte Schwachstelle.
Und wie soll diese im Alltag vonstatten gehen?
In einer kleinen Firma fielen mir bei der Serverbetreuung ein paar Dinge auf, lästige Kleinigkeiten im Grunde. In meiner Naivität dachte ich mir, ich könnte, vllt. so ein- bis zweimal im Monat eine Rundmail schicken, mit vielleicht fünf Zeilen Inhalt.
Bewirkt hat dies: Nichts, und zwar gar Nichts. Es wird einfach nicht gelesen.
Besser: Man geht von einem zum anderen, persönlich, und setzt sich ihm/ihr 20 Minuten auf den Schoß. Dann wird es verstanden, akzeptiert und auch umgesetzt. Nur: Die Zeit muss man erst einmal haben, man selbst und die Kollegen.
Ich bin da nicht sehr firm. Aber von der Logik her müsste es doch möglich sein, den Internetzugriff der Einzelplatzrechner auf einen separaten Server umzuleiten, der nur für den Netzzugang bereit steht, aber vom eigentlichen Intranet getrennt ist?
So kann es laufen und läuft es in ordentlichen Firmen auch. Ein Angreifer hat dann erst einmal den Router zu überwinden, dann den Server, und schließlich den Arbeitsplatzrechner.
Solche Systeme lassen sich auch in soweit bis ins Kleinste konfigurieren, dass nur noch die betriebenen Rechner zugreifen dürfen und nur noch die CIA von außen hereinkommt. Nur: Das funktioniert allerdings nur solange gut, bis der Geschäftsfreund vom Chef zu Besuch kommt, ein Meeting mit einem Dutzend geladener Gäste abgehalten wird oder sich die Tochter vom Chef beschwert, dass sie keinen WLAN-Zugriff für ihre Tiktok-Plattitüden hat.
Menschen sind keine Computer und absolute Sicherheit und lauter Ausnahmen für diesen und jenen: Das geht eben nicht zusammen.
wien.orf.at
www.wienerzeitung.at
