JHVEPhoto | shutterstock.com
Wenn unzufriedene Mitarbeitende sich digital an ihrem Arbeitgeber vergehen, kann das für beide Seiten weitreichende Konsequenzen haben – insbesondere, wenn der Mitarbeitende ein Softwareentwickler ist. So ist es dem US-amerikanischen Elektrokonzern Eaton Corporation ergangen, der 2018 im Zuge einer Umstrukturierung einen seiner Mitarbeitenden degradierte. Davis Lu, ein 55-jähriger chinesischer Staatsbürger, der bis dahin als Senior Developer beim Unternehmen gearbeitet hatte, nahm dies zum Anlass, sich an seinem Arbeitgeber zu rächen.
Ab 2019 begann er damit, die Eaton-Systeme von innen heraus mit schadhaften Routinen zu sabotieren. Den ersten Sabotageakt, einen „Infinite Loop“, startete er Anfang August 2019. Das führte dazu, dass Java-VMs kontinuierlich neue Threads erzeugten. Solange, bis die Produktionsserver nicht mehr antworteten oder aufgrund von Ressourcenüberlastung abstürzten. Zusätzlich sorgte Lu dafür, dass die Windows Active Directory (AD)-Datenbank des Unternehmens regelmäßig darauf hin überprüft wird, ob sein Kontoprofil noch aktiv ist. Für den Fall, dass das Profil entfernt wird, erstellte der Innentäter einen „Kill Switch“ in Codeform, der automatisch ausgeführt werden sollte, um auch die AD-Profile anderer Benutzer zu löschen und sie damit effektiv aus dem Netzwerk auszuschließen. Genau das geschah dann auch Anfang September 2019, als Lus Netzwerkzugang endgültig gesperrt und sein Beschäftigungsverhältnis beendet wurde.
Zum Verhängnis wurden Lu am Ende Protokolle, über die sich nachweisen ließ, dass die Störung mit seiner Benutzer-ID zusammenhing. „Der Angeklagte hat das Vertrauen seines Arbeitgebers missbraucht, indem er seine Zugänge und sein technisches Wissen dazu eingesetzt hat, das Unternehmensnetzwerk zu sabotieren. Dadurch ist der Firma ein Schaden in Höhe von mehreren tausend Dollar entstanden“, kommentiert Matthew R.Galeotti den Fall, seines Zeichens Assistant Attorney General der Criminal Division des US-Justizministeriums.
Dürftige Verschleierung
Seltsamerweise gab sich Lu keine größere Mühe, die Beweise für seine Schandtaten beiseitezuschaffen. Im Gegenteil: Es scheint fast so, als hätte er seine Machenschaften einfach aus Trotz offenlegen wollen – was ihm am Ende dann auch bei der gerichtlichen Aufarbeitung des Falls zum Verhängnis werden sollte. Deutlich wird das unter anderem beim Blick darauf, wie er seinen „AD-Kill-Switch“ benannte, nämlich mit „IsDLEnabledinAD“ – wobei DL seine Initialen darstellen.
Dabei hätte ihm auch bewusst sein müssen, dass die Strafverfolgungsbehörden zuerst seine Internetaktivitäten nach Beweisen durchforsten würden. Genau das trat dann auch ein. „Seine Internet-Suchhistorie zeigte, dass er nach Methoden gesucht hatte, Rechte auszuweiten, Prozesse zu verbergen und Dateien schnell zu löschen. Das deutet darauf hin, dass er die Bemühungen seiner Kollegen, um die Störung zu beheben, bewusst behindern wollte“, schreibt das US-Justizministerium in einer Pressemitteilung.
Als Lu dann im September 2019 aufgefordert wurde, seinen Firmenlaptop auszuhändigen, muss er bereits geahnt haben, was auf ihn zukommt, Deshalb löschte er die verschlüsselten Volumes seines Geräts und versuchte parallel auch zwei Projekte inklusive ihrer Linux-Verzeichnisse zu löschen. Laut der Anklageschrift gestand Lu die Sabotageakte bereits Anfang Oktober 2019. Im März 2025 wurde er schließlich von einer US-Jury für schuldig befunden und vom zuständigen Gericht in Ohio zu vier Jahren Haft verurteilt.
Unkontrollierte Admins – die Gefahr von innen
Wenn es etwas gibt, das Unternehmen noch mehr fürchten als Cyberangriffe oder Datenlecks, dann sind es Beschäftigte, die zum Innentäter werden – insbesondere, wenn diese über ausgeprägtes technisches Knowhow verfügen. Dass es überhaupt zu Vorfällen wie dem um Davis Lu kommen kann, liegt in der Natur der Sache: Developer und Administratoren müssen über bestimmte Berechtigungen verfügen, um ihre Arbeit verrichten zu können. Das erschwert es Unternehmen aber auch, legitime Zugriffe von digitalen „Amoktaten“ eines Einzelnen zu unterscheiden – und einzuschreiten, bevor Schaden entsteht.
Der Fall macht darüber hinaus deutlich, dass es notwendig ist, Administratorrechte zu beschränken und das Benutzerverhalten mithilfe von Protokollen zu überwachen. Alleine die Existenz solcher Kontrollmaßnahmen kann bereits abschreckend wirken. (tf/fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
No Responses