{"id":4543,"date":"2025-08-26T13:33:00","date_gmt":"2025-08-26T13:33:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4543"},"modified":"2025-08-26T13:33:00","modified_gmt":"2025-08-26T13:33:00","slug":"rache-am-arbeitgeber-bringt-entwickler-vier-jahre-in-den-knast","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4543","title":{"rendered":"Rache am Arbeitgeber bringt Entwickler vier Jahre in den Knast"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Welche Konsequenzen es haben kann, wenn technisch versierte IT-Fachkr\u00e4fte zum Innent\u00e4ter werden, hat die Eaton Corporation am eigenen Leib erfahren.\n

JHVEPhoto | shutterstock.com<\/p>\n<\/div>\n

Wenn unzufriedene Mitarbeitende sich digital an ihrem Arbeitgeber vergehen<\/a>, kann das f\u00fcr beide Seiten weitreichende Konsequenzen haben \u2013 insbesondere, wenn der Mitarbeitende ein Softwareentwickler ist. So ist es dem US-amerikanischen Elektrokonzern Eaton Corporation ergangen, der 2018 im Zuge einer Umstrukturierung einen seiner Mitarbeitenden degradierte. Davis Lu<\/a>, ein 55-j\u00e4hriger chinesischer Staatsb\u00fcrger, der bis dahin als Senior Developer beim Unternehmen gearbeitet hatte, nahm dies zum Anlass, sich an seinem Arbeitgeber zu r\u00e4chen.<\/p>\n

Ab 2019 begann er damit, die Eaton-Systeme von innen heraus mit schadhaften Routinen zu sabotieren. Den ersten Sabotageakt, einen \u201eInfinite Loop\u201c, startete er Anfang August 2019. Das f\u00fchrte dazu, dass Java-VMs<\/a> kontinuierlich neue Threads erzeugten. Solange, bis die Produktionsserver nicht mehr antworteten oder aufgrund von Ressourcen\u00fcberlastung abst\u00fcrzten. Zus\u00e4tzlich sorgte Lu daf\u00fcr, dass die Windows Active Directory (AD<\/a>)-Datenbank des Unternehmens regelm\u00e4\u00dfig darauf hin \u00fcberpr\u00fcft wird, ob sein Kontoprofil noch aktiv ist. F\u00fcr den Fall, dass das Profil entfernt wird, erstellte der Innent\u00e4ter einen \u201eKill Switch\u201c in Codeform, der automatisch ausgef\u00fchrt werden sollte, um auch die AD-Profile anderer Benutzer zu l\u00f6schen und sie damit effektiv aus dem Netzwerk auszuschlie\u00dfen. Genau das geschah dann auch Anfang September 2019, als Lus Netzwerkzugang endg\u00fcltig gesperrt und sein Besch\u00e4ftigungsverh\u00e4ltnis beendet wurde.<\/p>\n

Zum Verh\u00e4ngnis wurden Lu am Ende Protokolle, \u00fcber die sich nachweisen lie\u00df, dass die St\u00f6rung mit seiner Benutzer-ID zusammenhing. \u201eDer Angeklagte hat das Vertrauen seines Arbeitgebers missbraucht, indem er seine Zug\u00e4nge und sein technisches Wissen dazu eingesetzt hat, das Unternehmensnetzwerk zu sabotieren. Dadurch ist der Firma ein Schaden in H\u00f6he von mehreren tausend Dollar entstanden\u201c, kommentiert Matthew R.Galeotti den Fall, seines Zeichens Assistant Attorney General der Criminal Division des US-Justizministeriums.<\/p>\n

D\u00fcrftige Verschleierung<\/h2>\n

Seltsamerweise gab sich Lu keine gr\u00f6\u00dfere M\u00fche, die Beweise f\u00fcr seine Schandtaten beiseitezuschaffen. Im Gegenteil: Es scheint fast so, als h\u00e4tte er seine Machenschaften einfach aus Trotz offenlegen wollen \u2013 was ihm am Ende dann auch bei der gerichtlichen Aufarbeitung des Falls zum Verh\u00e4ngnis werden sollte. Deutlich wird das unter anderem beim Blick darauf, wie er seinen \u201eAD-Kill-Switch\u201c benannte, n\u00e4mlich mit \u201eIsDLEnabledinAD\u201c \u2013 wobei DL seine Initialen darstellen.<\/p>\n

Dabei h\u00e4tte ihm auch bewusst sein m\u00fcssen, dass die Strafverfolgungsbeh\u00f6rden zuerst seine Internetaktivit\u00e4ten nach Beweisen durchforsten w\u00fcrden. Genau das trat dann auch ein. \u201eSeine Internet-Suchhistorie zeigte, dass er nach Methoden gesucht hatte, Rechte auszuweiten, Prozesse zu verbergen und Dateien schnell zu l\u00f6schen. Das deutet darauf hin, dass er die Bem\u00fchungen seiner Kollegen, um die St\u00f6rung zu beheben, bewusst behindern wollte\u201c, schreibt das US-Justizministerium in einer Pressemitteilung<\/a>. <\/p>\n

Als Lu dann im September 2019 aufgefordert wurde, seinen Firmenlaptop auszuh\u00e4ndigen, muss er bereits geahnt haben, was auf ihn zukommt, Deshalb l\u00f6schte er die verschl\u00fcsselten Volumes seines Ger\u00e4ts und versuchte parallel auch zwei Projekte inklusive ihrer Linux-Verzeichnisse zu l\u00f6schen. Laut der Anklageschrift gestand Lu die Sabotageakte bereits Anfang Oktober 2019. Im M\u00e4rz 2025<\/a> wurde er schlie\u00dflich von einer US-Jury f\u00fcr schuldig befunden und vom zust\u00e4ndigen Gericht in Ohio zu vier Jahren Haft verurteilt.<\/p>\n

Unkontrollierte Admins \u2013 die Gefahr von innen<\/h2>\n

Wenn es etwas gibt, das Unternehmen noch mehr f\u00fcrchten als Cyberangriffe oder Datenlecks, dann sind es Besch\u00e4ftigte, die zum Innent\u00e4ter werden<\/a> \u2013 insbesondere, wenn diese \u00fcber ausgepr\u00e4gtes technisches Knowhow verf\u00fcgen. Dass es \u00fcberhaupt zu Vorf\u00e4llen wie dem um Davis Lu kommen kann, liegt in der Natur der Sache: Developer und Administratoren m\u00fcssen \u00fcber bestimmte Berechtigungen verf\u00fcgen, um ihre Arbeit verrichten zu k\u00f6nnen. Das erschwert es Unternehmen aber auch, legitime Zugriffe von digitalen \u201eAmoktaten\u201c eines Einzelnen zu unterscheiden \u2013 und einzuschreiten, bevor Schaden entsteht.<\/p>\n

Der Fall macht dar\u00fcber hinaus deutlich, dass es notwendig ist, Administratorrechte zu beschr\u00e4nken<\/a> und das Benutzerverhalten mithilfe von Protokollen zu \u00fcberwachen. Alleine die Existenz solcher Kontrollma\u00dfnahmen kann bereits abschreckend wirken. (tf\/fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Welche Konsequenzen es haben kann, wenn technisch versierte IT-Fachkr\u00e4fte zum Innent\u00e4ter werden, hat die Eaton Corporation am eigenen Leib erfahren. JHVEPhoto | shutterstock.com Wenn unzufriedene Mitarbeitende sich digital an ihrem Arbeitgeber vergehen, kann das f\u00fcr beide Seiten weitreichende Konsequenzen haben \u2013 insbesondere, wenn der Mitarbeitende ein Softwareentwickler ist. So ist es dem US-amerikanischen Elektrokonzern Eaton […]<\/p>\n","protected":false},"author":0,"featured_media":4544,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4543","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4543"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4543"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4543\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4544"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}