Das sollten selbst bei 100k MA nicht mehr als 5 Leute sein.
Oder im idealfall gar keinen und alles nur per vorgeschalteter SW mit genehmigungsprozessen machen. Den eigentlichen Notfall admin hat man dann im Umschlag im Safe.
Ein Programmierer hat normal niemals diese weitreichende Rechte im Unternehmen damit er alles lahmlegen kann. Es sollten am Ende auch alles im SIEM landen und wenn das SIEM bei "whoami" schon anschlägt, erwarte ich das es bei "IsDLEnabledinAD" auch ein KI prozess das merkt und es dem SOC als "suspicious" markiert.
Also ich würde mal sagen, da sind grundlegende Fehler in der Security bei der Infrastruktur gemacht worden, dass ein einzelner so einen Schaden anrichten kann. Da müssten am ende noch ein paar weitere Köpfe rollen.