The Office of Personnel Management is trying to address what it says are concerns from some managers and supervisors who worry they may be held personally liable for disciplining federal employees deemed poor performers.

In response to those concerns, a Nov. 21 memo from OPM clarified that managers and supervisors are generally acting on behalf of an agency when they “manage employees’ job performance and address unacceptable performance.” There is an “extremely limited scope” where managers or supervisors would be held individually responsible for those actions, OPM said.

When a manager puts an employee on a performance improvement plan, demotes an employee or removes an employee from their job for poor performance, that’s technically considered the action of the agency, OPM said, and not the individual manager’s responsibility. If an employee challenges one of those actions, OPM said that the agency, not the manager, would be responsible for responding.

“In the unusual event that a manager or supervisor is sued personally for actions within the scope of their employment, the Department of Justice (DOJ) typically provides representation,” the memo reads.

But if a supervisor or manager misuses their authority — for example through discrimination, harassment or whistleblower-related prohibited personnel practices — OPM said the individual can then be held personally accountable for their actions.

In its memo, OPM also reminded supervisors and managers of the availability of professional liability insurance, which may help protect them in the rare cases where they may be held liable. Supervisors and managers are usually eligible for a government reimbursement amounting to up to half the cost of the insurance.

“But even in these situations Congress did not give employees the right to hold their managers or supervisors personally liable for any performance or conduct-related adverse action,” OPM said.

OPM’s clarification comes after the Trump administration earlier this year set new expectations for measuring federal employees’ job performance. In June, OPM told agencies they don’t have to use “progressive discipline” and that they should not substitute a suspension when a full removal of an employee from their job “would be appropriate.”

The administration’s new performance management standards also attempt to more strictly delineate between different levels of employee performance and encourage agencies to rate fewer employees as high performers.

OPM Director Scott Kupor has repeatedly argued that the government has inflated performance ratings, and has targeted the rating system as a key area for OPM to update.

“In the real world we are not all equally successful and differences in performance from one person to the next are in fact real,” Kupor wrote in a Sept. 15 blog post. “We simply can’t all get A’s because not everyone’s contributions to the success of the organization are the same. Some people simply perform better than others — whether by luck or skill.”

More recently, OPM also announced a new mandatory training program for all federal supervisors, intended to educate supervisors on how to better manage performance of federal employees. The one-hour online course will cover topics including recognition, awards, hiring, firing and discipline of federal employees, according to a memo OPM sent to agencies Wednesday.

“At the end of the training, supervisors will be ready to set clear expectations, deliver quality feedback, document fairly, reward excellence, and take timely action when needed—all while building an engaged, high-performing team through transparency, accountability, and collaboration,” the memo stated.

Federal supervisors are required to complete the training by Feb. 9, 2026, OPM said.

The required supervisor training comes shortly after OPM also launched two optional training programs, designed to educate senior executives in the federal workforce, while incorporating common themes from the Trump administration on “accountability,” performance management and adherence to the president’s priorities.

The post OPM attempts to ease manager concerns in addressing federal employees’ performance first appeared on Federal News Network.

The House Oversight and Government Reform Committee is convening Tuesday morning to mark up a slew of bills, many of which would impact the federal workforce in one way or another.

Tuesday’s meeting will be the first legislative markup session the committee has held in nearly two months, with the last being prior to the 43-day government shutdown. Any bills that the committee approves during the markup will advance to the full House for further consideration.

Lawmakers are expected to consider bills covering everything from whistleblower protections and skills-based hiring for federal contractors, to relocation incentives for federal employees.

Several other legislative changes may be on the horizon as well. Here are three key bills up for the committee’s consideration that may bring significant changes for the federal workforce:

Probationary period, federal workforce changes

One Republican-led bill, introduced by Rep. Brandon Gill (R-Texas) in October, aims to cement many of the changes the Trump administration has made to the government’s rules for the probationary period in the federal workforce.

If enacted, the so-called EQUALS Act would require most new federal employees to serve a two-year probationary period — a time in which employees have limited appeal rights and are easier to remove, before their employment in the federal workforce can be solidified.

Part of the bill would compel agencies to evaluate their employees regularly throughout the federal probationary period. And in the last 30 days of that two-year period, agencies would have to certify — and get the Office of Personnel Management to approve — that the probationary employee “advances the public interest,” before the employee can become tenured.

Any probationary employees who are not actively certified by their agency would be terminated, according to the GOP-led legislation.

The bill also states that when making a decision on whether to keep a probationary employee, agencies can additionally consider performance and conduct; the “needs and interests” of the agency; and whether the employee would advance “organizational goals” or “efficiency.”

The EQUALS Act aligns with efforts from the Trump administration earlier this year to overhaul the rules for the government’s probationary period. In April, President Donald Trump called for the creation of “Civil Service Rule XI,” which similarly required agencies to review and actively sign off on probationary workers’ continued employment before they can be moved out of a probationary period.

Trump’s executive order also expanded the reasons that probationary period employees can be fired. In June, OPM further clarified that probationary employees can be terminated based on broader reasons than the previous limitations set only to performance or conduct.

The House bill also comes after the Trump administration fired tens of thousands of probationary employees earlier this year, stating that the removals were due to “poor performance.” But in September, a federal judge found that OPM unlawfully directed the mass probationary firings. The judge ordered agencies to update employees’ personnel files to reflect that their firings were not due to performance or misconduct.

An eye on official time

A separate bill teed up by Republicans would compel agencies to provide much more detail on federal union representatives’ use of official time to both Congress and the public on an annual basis.

The Official Time Reporting Act from Rep. Virginia Foxx (R-N.C.) would require all agencies to submit reports on how much official time is used in each fiscal year, and justify any potential increases in official time that may occur.

The legislation would then require OPM and the Office of Management and Budget to create and send a joint report to Congress, and make publicly available online, the details of official time governmentwide. Those reports would have to cover how much official time each federal employee used, as well as provide data on official time hours calculated against the total number of bargaining unit employees for an “official time rate.”

Under the GOP-led legislation, those annual reports would additionally have to detail the specific purpose of all official time, the amount of money withheld for union dues, the cost of pay and benefits for all employees while they are on official time, and the office space and resources union representatives use while on official time.

Generally, official time refers to on-the-clock hours that go toward work such as negotiating union contracts, meeting with management, filing complaints or grievances against an agency, or representing employees who are dealing with disciplinary actions or other management disputes. Federal unions are allotted, by law, specific and limited amounts of agency time and resources to conduct activities on official time.

Official time by union representatives has been a major target of the Trump administration this year. Some agencies have either reduced or fully removed official time options, in response to executive orders from Trump calling for the termination of collective bargaining at the majority of executive branch agencies.

The administration’s actions have received major pushback from federal unions such as the American Federation of Government Employees, which said OPM’s characterization of official time as “taxpayer-funded union time” is false and stigmatizing.

Mandatory executive training

During Tuesday’s markup, Oversight committee lawmakers also plan to consider legislation that would require a mandatory training program all managers and supervisors across the federal workforce would have to take.

Under the Federal Supervisor Education Act, which Rep. William Timmons (R-S.C.) introduced in October, agencies would have to work with OPM to create training programs for agency managers, with at least some modules focused on goals like performance management, employee engagement and productivity.

The bill would also require the training programs to cover how supervisors should manage employees who have “unacceptable performance,” as well as how to make use of the probationary period. The bill also mandates that managers and supervisors receive training on how to address reports of harassment, prohibited personnel practices, employee rights, and more.

The legislation emphasizes that agencies should use “instructor-based” training as much as practicable. If enacted, supervisors would have to complete the training within one year of being appointed to a supervisory role, and would have to retake the trainings at least once every three years following that.

The Republican-led effort comes after OPM launched two federal workforce training programs for senior executives in November, incorporating common themes from the Trump administration on “accountability,” performance management and adherence to the president’s priorities.

Although both new programs are optional, OPM still told agencies to “set the expectation” that all career Senior Executive Service members should at least complete training modules on “returning to founding principles” and “implementing administration priorities” within the next year.

In the Oversight committee meeting Tuesday, all three federal workforce bills, along with many others, will be up for consideration and potential advancement in the House.

The post 3 federal workforce bills to watch in House Oversight Committee markup first appeared on Federal News Network.

Die IT-Welt verändert sich rasant, und Container und Kubernetes (K8s) erfreuen sich immer größerer Beliebtheit. Der Wechsel von virtuellen Maschinen zu Containern und später zu Container-Koordinierungsplattformen (die erste Version von Docker wurde 2013 veröffentlicht) vollzog sich innerhalb von nur sieben Jahren. Während einige Startups noch Erfahrungen damit sammeln, wie sie von diesen neuen Ressourcen profitieren können, suchen einige etablierte Unternehmen nach Möglichkeiten, ihre veralteten Systeme zu effizienteren Infrastrukturen zu migrieren.

Die schnelle Einführung von Containern und Kubernetes zeigt die disruptive Wirkung dieser Technologien. Sie haben jedoch auch zu neuen Sicherheitsproblemen geführt. Da Container und Kubernetes so beliebt sind und von vielen Unternehmen ohne angemessene Sicherheitsmaßnahmen eingesetzt werden, sind sie perfekte Ziele für Angreifer.

Ein K8s-Cluster besteht aus mehreren Maschinen, die in einem Master-Node (und seinen Kopien) verwaltet werden. Dieser Cluster kann aus tausenden Maschinen und Services bestehen und ist daher ein hervorragender Angriffsvektor. Daher ist es wichtig, strikte Sicherheitspraktiken zu implementieren.

Absicherung Ihres Clusters

Der Kubernetes-Cluster enthält zahlreiche dynamische Elemente, die angemessen geschützt werden müssen. Die Absicherung des Clusters ist jedoch keine einmalige Angelegenheit, sondern erfordert Best Practices und ein kompetentes Sicherheitsteam.

Wir erläutern verschiedene Kubernetes-Angriffsvektoren sowie Best Practices zum Schutz Ihres K8s-Clusters.

Gewährleisten, dass Kubernetes und die Nodes auf dem neuesten Stand sind

K8s ist ein Open-Source-System, das kontinuierlich aktualisiert wird. Das GitHub-Repository gehört zu den aktivsten Repositorys der Plattform. Kontinuierlich werden neue Funktionen, Verbesserungen und Sicherheits-Updates hinzugefügt.

Alle vier Monate wird eine neue Hauptversion von Kubernetes mit neuen Funktionen zur Verbesserung des Services veröffentlicht. Gleichzeitig kommen wie bei jeder Software – und ganz besonders bei häufig aktualisierten Programmen – neue Sicherheitsprobleme und Fehler hinzu.

Doch auch in älteren Versionen werden Sicherheitsverletzungen gefunden. Es ist daher wichtig zu verstehen, wie das Kubernetes-Team in diesen Fällen mit Sicherheitsupdates umgeht. Im Gegensatz zu Linux-Distributionen und anderen Plattformen verfügt Kubernetes nicht über eine LTS-Version. Stattdessen versucht Kubernetes ein Backporting von Sicherheitsproblemen für die drei zuletzt veröffentlichten Hauptversionen.

Daher ist es wichtig, dass Ihr Cluster eine der drei zuletzt veröffentlichten Hauptversionen verwendet und Sicherheitspatches zügig implementiert werden. Außerdem sollten Sie die Aktualisierung auf die neueste Hauptversion zumindest einmal innerhalb von zwölf Monaten durchführen.

Zusätzlich zu den Hauptkomponenten verwendet Kubernetes auch Nodes, auf denen die Workloads ausgeführt werden, die dem Cluster zugewiesen sind. Bei diesen Nodes kann es sich um physische oder virtuelle Maschinen handeln, auf denen ein Betriebssystem ausgeführt wird. Dabei ist jeder Node ein potenzieller Angriffsvektor, der zur Vermeidung von Sicherheitsproblemen aktualisiert werden muss. Zur Verringerung der Angriffsfläche müssen die Nodes daher so sauber wie möglich sein.

Einschränkung der Zugriffsrechte

Rollenbasierte Zugangskontrolle (Role-based Access Control, RBAC) ist einer der besten Ansätze, um zu kontrollieren, welche Benutzer wie auf den Cluster zugreifen können. Er bietet die Möglichkeit, die Zugriffsrechte für jeden einzelnen Benutzer detailliert festzulegen. Die Regeln gelten jeweils additiv, sodass jede Berechtigung explizit gewährt werden muss. Mithilfe von RBAC können Sie die Zugriffsrechte (Anzeigen, Lesen oder Schreiben) für jedes Kubernetes-Objekt – von Pods (der kleinsten K8s-Recheneinheit) bis zu Namespaces – beschränken.

RBAC kann auch per OpenID Connect-Token auf einen weiteren Verzeichnisdienst angewendet werden, sodass die Benutzer- und Gruppenverwaltung zentral erfolgen und im Unternehmen auf breiterer Ebene umgesetzt werden kann.

Die Zugriffsrechte sind nicht nur auf Kubernetes beschränkt. Wenn Benutzer zum Beispiel Zugriff auf einen Cluster-Node benötigen, um Probleme identifizieren zu können, ist es sinnvoll, temporäre Benutzer zu erstellen und nach der Behebung der Probleme wieder zu löschen.

Best Practices für Container

Docker, die am häufigsten eingesetzte Container-Technologie, besteht aus Layern: Das innerste Layer ist die einfachste Struktur und das äußere Layer ist die spezifischste. Daher beginnen alle Docker-Images mit einer Form von Distributions- oder Sprach-Support, wobei jedes neue Layer eine Funktion hinzufügt oder die vorherige Funktion modifiziert. Der Container enthält alles, was zum Hochfahren der Anwendung erforderlich ist.

Diese Layer (auch als Images bezeichnet) können öffentlich im Docker Hub oder privat in einer anderen Image-Registry verfügbar sein. Das Image kann zum Zeitpunkt der Image-Erstellung in zwei Formen ausgedrückt werden: als Name plus Bezeichnung (z. B. Node:aktuell) oder mit einer unveränderlichen SHA-ID (z. B. sha256:d64072a554283e64e1bfeb1bb457b7b293b6cd5bb61504afaa3bdd5da2a7bc4b).

Das Image, das der Bezeichnung zugeordnet ist, kann vom Repository-Inhaber jederzeit geändert werden, d. h. das Tag aktuell weist darauf hin, dass es sich um die neueste verfügbare Version handelt. Das heißt aber auch, dass sich das innere Layer bei der Erstellung eines neuen Images oder beim Ausführen eines Images mit diesem Tag plötzlich und ohne Benachrichtigung ändern kann.

Diese Vorgehensweise verursacht einige Probleme: (1) Sie verlieren die Kontrolle darüber, was in Ihrer Kubernetes-Instanz ausgeführt wird, wenn ein äußeres Layer aktualisiert wird und einen Konflikt verursacht, oder (2) das Image wird absichtlich modifiziert, um eine Sicherheitsschwachstelle hinzuzufügen.

Um das erste Problem zu umgehen, vermeiden Sie das Tag aktuell und wählen ein konkretes Tag, das die Version beschreibt (z. B. Node:14.5.0). Und um das zweite Problem zu vermeiden, wählen Sie offizielle Images und klonen Sie das Image in Ihr privates Repository oder verwenden Sie den SHA-Wert.

Ein weiterer Ansatz besteht darin, ein Tool zur Schwachstellenerkennung einzusetzen und die Images kontinuierlich zu prüfen. Diese Tools können mit kontinuierlichen Integrations-Pipelines parallel ausgeführt werden und das Image-Repository überwachen, um zuvor unerkannte Probleme zu identifizieren.

Bei der Erstellung eines neuen Images müssen Sie beachten, dass jedes Image immer nur einen Dienst enthalten sollte. Außerdem sollte die Zahl der Abhängigkeiten auf ein Minimum beschränkt werden, um die Angriffsfläche auf die Komponenten zu reduzieren, die für den Dienst unerlässlich sind. Wenn jedes Image nur eine Anwendung enthält, lässt es sich zudem leichter für neuere Versionen aktualisieren. Es wird auch einfacher, Ressourcen zuzuweisen.

Netzwerksicherheit

Im vorherigen Abschnitt ging es um die Reduzierung der Angriffsfläche. Das gilt auch für die Netzwerkfunktionen. Kubernetes enthält virtuelle Netzwerke innerhalb des Clusters, die den Zugriff zwischen Pods beschränken und externe Zugriffe erlauben können, sodass nur der Zugriff auf genehmigte Dienste möglich ist. Das ist eine primitive Lösung, die nur in kleinen Clustern funktioniert.

Größere Cluster, die mehrere, von verschiedenen Teams entwickelte Dienste enthalten, sind jedoch deutlich komplexer. In diesen Fällen ist ein zentraler Ansatz eventuell nicht umsetzbar, stattdessen gelten Service Meshes als bestmögliche Methode. Das Service Mesh erstellt eine Netzwerkverschlüsselungsebene, über die Dienste sicher miteinander kommunizieren können. Sie fungieren meist als Sidecar-Agent, d. h. sie werden wie ein Beiwagen an jeden Pod angefügt und ermöglichen die Kommunikation zwischen den Diensten. Service-Meshes übernehmen nicht nur Sicherheitsfunktionen, sondern ermöglichen zudem Erkennung, Überwachung/Nachverfolgung/Protokollierung und vermeiden Dienstunterbrechungen, indem sie zum Beispiel ein als Circuit Breaking (Sicherung) bezeichnetes Entwurfsmuster verwenden.

Festlegen von Ressourcenkontingenten

Da Anwendungen quasi permanent aktualisiert werden, genügt es nicht, für die Absicherung Ihres Clusters einfach die oben beschriebenen Methoden zu implementieren. Das Risiko einer Sicherheitsverletzung bleibt weiterhin bestehen.

Ein weiterer wichtiger Schritt ist die Verwendung von Ressourcenkontingenten, bei denen Kubernetes die Ausfallabdeckung auf die festgelegten Grenzen beschränkt. Wenn diese Grenzen gut definiert sind, wird verhindert, dass im Falle einer Ressourcenerschöpfung alle Cluster-Dienste ausfallen.

Außerdem wird verhindert, dass zum Ende des Monats massive Kosten für die Cloud-Bereitstellung anfallen.

Überwachung und Protokollierung

Die Überwachung des Clusters (vom Cluster bis zu den Pods) ist für die Erkennung von Ausfällen und Identifizierung von Ursachen unerlässlich. Dabei geht es vor allem um die Erkennung von ungewöhnlichen Verhaltensweisen. Wenn der Netzwerkverkehr zugenommen hat oder sich die CPU der Nodes anders verhält, sind weitere Untersuchungen zur Problemsuche erforderlich. Während es bei der Überwachung mehr um Kennzahlen wie CPU, Arbeitsspeicher und Netzwerkleistung geht, kann die Protokollierung zusätzliche (historische) Informationen liefern, mit denen sich ungewöhnliche Muster oder die Quelle des Problems schnell identifizieren lassen.

Die Tools Prometheus und Graphana sind in Kombination für die effektive Überwachung von Kubernetes geeignet. Prometheus ist eine hochleistungsfähige Zeitreihen-Datenbank, während Graphana die Daten aus Prometheus lesen und in übersichtlichen grafischen Dashboards darstellen kann.

ElasticSearch ist ein weiteres nützliches Tool und gehört zu den beliebtesten Tools für die zentrale Protokollierung von Anwendungen, Nodes und Kubernetes selbst fast in Echtzeit.

Cloud oder lokal – die Sicherheitsaspekte

Eine Kubernetes-Installation kann lokal oder über einen Cloud-Management-Dienst erfolgen. Bei einer lokalen Bereitstellung muss jede Konfiguration (Hochfahren neuer Maschinen, Einrichtung des Netzwerks und Absicherung der Anwendung) manuell durchgeführt werden. Bei Cloud-basierten Diensten wie Google GKE, AWS EKS oder Azure AKS kann K8s mit minimalem Konfigurationsaufwand installiert werden. Sie sind dann automatisch mit anderen Diensten dieses Dienstanbieters kompatibel.

In Bezug auf die Sicherheit benötigen lokale Lösungen erheblich mehr Aufmerksamkeit. Wie bereits erwähnt, muss jedes neue Update heruntergeladen und vom System konfiguriert werden, und die Nodes müssen ebenfalls aktualisiert werden. Es wird daher empfohlen, dass lokale Kubernetes-Umgebungen nur von einem erfahrenen Team bereitgestellt werden.

Bei Diensten, die über die Cloud verwaltet werden, ist der Prozess hingegen deutlich einfacher: Kubernetes ist bereits installiert und der Cloud-Anbieter sorgt dafür, dass alle Nodes auf dem aktuellen Stand sind und über die neuesten Sicherheitsfunktionen verfügen. In Bezug auf die Cluster bieten die meisten Cloud-Anbieter Benutzern die Option, eine von mehreren K8s-Versionen zu wählen. Außerdem stellen sie Möglichkeiten zur Aktualisierung auf eine neue Version zur Verfügung. Somit ist diese Vorgehensweise einfacher, aber weniger flexibel.

Abschließende Anmerkungen

In Anbetracht ständiger Updates und der Flut an Tools, die auf den Markt gelangen, bedeuten Aktualisierungen und das Schließen von Sicherheitslücken einen erheblichen Aufwand. Dadurch sind Breaches praktisch unvermeidbar. Bei Kubernetes ist die Herausforderung noch größer, da es sich nicht nur um ein Tool handelt. Vielmehr besteht Kubernetes aus mehreren Tools, die wiederum weitere Tools, Maschinen und Netzwerke verwalten. Die Sicherheit spielt daher eine zentrale Rolle.

Angesichts dieser dynamischen Umgebung ist die Absicherung von Kubernetes alles andere als einfach. Berücksichtigen Sie daher diese Tipps:

• Überprüfen Sie Anwendungen, die auf K8s laufen, auf Sicherheitsprobleme.
• Beschränken und kontrollieren Sie den Zugriff.
• Stellen Sie sicher, dass alle Komponenten die neuesten Sicherheitsupdates enthalten, und überwachen Sie den Cluster kontinuierlich, um Ausfälle sofort beheben und so Schaden zu vermeiden.

Die Herausforderung ist bei lokalen Bereitstellungen noch größer, da hier echte Hardware verwaltet, Automatisierungen eingerichtet und mehr Software-Programme aktualisiert werden müssen. Wenn Sie die hier beschriebenen Best Practices befolgen, profitieren Sie von einem großen Sicherheitsvorteil und können den sicheren und zuverlässigen Betrieb Ihrer Kubernetes-Umgebung gewährleisten.

Die SentinelOne-Plattform unterstützt physische und virtuelle Maschinen, Docker, selbstverwaltete Kubernetes-Instanzen und über Cloud-Dienstanbieter verwaltete Kubernetes-Implementierungen wie AWS EKS. Wenn Sie mehr erfahren möchten, fordern Sie noch heute eine kostenlose Demo an.

The post Kubernetes – Sicherheitsprobleme, Risiken und Angriffsvektoren appeared first on SentinelOne DE.

The post IT Security FAQ 3: What password-managers are good? Why should you use one? appeared first on Detectify Blog.