Jump to content

Emotet Trojaner - Vorgangsweise im Ernstfall / aktuelle Bedrohungslage


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Solange die private Nutzung bei uns geduldet ist machen wir Deepinspection ausgehend nicht an. An ist das alles nur eingehend für unsere Server in der DMZ. 

Die cisco firepower könnte noch viel mehr, aber privat ist privat. Da lass ich dann auch nicht mit mir reden. 

 

Dazu kommt das "besondere" bei uns. Der Wissenschaftsbetrieb muss halt laufen. Im dümmsten Fall haben wir ein Projekt "Malware aus Deutschland und der soziokulturelle Hintergrund" oder "Hitler und seine Computerviren". 

Ich würde gerne Verwaltung und Wissenschaft trennen, das ist aber ein langer steiniger Weg. 

 

Das mit dem Bewusstsein ist halt so eine Sache. Mein Beispiel sind immer unsere Nachbarn. Denen hat man vor einiger Zeit, die älteren unter uns werden sich erinnern", eine 100Kg-Goldmünze geklaut. Trotzdem läuft der Betrieb weiter und es hatte keine, von außen sichtbaren Konsequenzen. 

Die Frage die sich daraus ergibt: welche Risiken haben wir eigentlich und was darf uns die Beseitigung kosten. Die klassische Einteilung und niedrig, mittel und hoch mit hoch=firmenpleite funktioniert halt bei einer Behörde nicht. 

Link zu diesem Kommentar

Richtig. Private Daten dürfen nunmal nur sehr eingeschränkt gefiltert werden.

Erlaubt oder duldet man die private Nutzung von Internet, E-Mail etc wird man zum Zugangsprovider und fällt unter das Telemediengesetz. Hier gelten dann so Dinge wie das Fernmeldegeheimnis etc. 

Das läßt sich auch nicht so einfach per Dienst-/Betriebsvereinbarung umgehen. 

Link zu diesem Kommentar

Ist es aber nicht im Interesse des “Firmennetzwerkes“ gewisse Sicherheitsmechanismen zu aktivieren? 

 

Wenn ich da u.a. an die DSGVO denke, muss man dem Anwender, sofern man Firmengeräte zur Verfügung stellt, entsprechend abgesicherte Geräte zur Verfügung stellen.  Security by design.

 

Im Zeiten wie diesen eher wenig angenehm, wenn du quasi nicht reagieren darfst.

Link zu diesem Kommentar

tja, was soll ich dazu sagen?

Man sichert sich selbst durch Aktennotizen und anderes schriftliches Zeug ab und das war's dann.

 

In Sachen IT-Sicherheit allgemein gab es eine deutliche E-Mail von mir an die Geschäftsleitung. Im zweifel sind die jetzt verantwortlich. Ich passe nur noch auf keine "illegalen" Anweisungen umzusetzen. Im Zweifelsfall lege ich einen Fall dem Justiziar vor. 

 

Für die DSGVO ist der Datenschutzbeauftragte zuständig. Den Schuh ziehe ich mir nicht an. Ich weise da einmal, per E-Mail zum Nachweis, auf einen Mißststand hin und warte dann ob etwas passiert. Solange ich nicht aktiv an dem Verstoss mitarbeiten muss ist mir dass dann egal. Sollte ich einmal zu einen klaren Verstoss "gezwungen" werden, läut das auf einen Showdown heraus den ich in erster Instanz verliere. Zum Glück werden ITler gesucht.

Ich hoffe nur ich würde in so einem Fall erfahren was dann die Aufsichtsbehörde dazu gesagt hat. Bisher konnte ich mich aber immer durchsetzen. Dann sind halt Anweisungen von weiter oben nicht umgesetzt worden.

 

 

Link zu diesem Kommentar

Sehr interessantes Thema.

 

Ich denke, dass man sich auch intern (Domäne) absichern sollte. Nur das ist dann ein großes Fass. 

Das andere ist, wie findet man heraus, ob das AD kompromittiert ist... und wenn, nisten die sich dann gezielt ein und lauschen sehr lange mit, um möglichst an viele Daten zu kommen. Die Zeit zu zerstören ist vorbei...

 

Das Problem ist nur, dass die Chefs durchweg kein Ohr dafür haben. Selbst wenn man DSGVO sagt...

Link zu diesem Kommentar
Am 25.12.2018 um 20:58 schrieb RolfW:

Das Problem ist nur, dass die Chefs durchweg kein Ohr dafür haben. Selbst wenn man DSGVO sagt...

Absolut korrekt!

 

Am 25.12.2018 um 20:58 schrieb RolfW:

Ich denke, dass man sich auch intern (Domäne) absichern sollte. Nur das ist dann ein großes Fass. 

Das andere ist, wie findet man heraus, ob das AD kompromittiert ist... und wenn, nisten die sich dann gezielt ein und lauschen sehr lange mit, um möglichst an viele Daten zu kommen. Die Zeit zu zerstören ist vorbei...

Ja und nein, denke ich. Es kommt ganz darauf an, was dieses "Ding" nachlädt. Wie man so liest, kann die nachgeladene Software individuell sein. Für eine Domäne vermutlich ein Supergau?

 

Dies bestätigen Artikel, in denen es heißt: "In mehreren dem BSI bekannten Fällen hatte die Infektion große Produktionsausfälle zur Folge, sodass ganze Unternehmensnetzwerke neu aufgebaut werden mussten."

 

Uns ist allen klar, dass es keinen 100% Schutz gibt. Panik ist natürlich auch fehl am Platze. Ich für meinen Teil setze aber -im Rahmen meiner Möglichkeiten- alle Hebel in Bewegung, um möglichst gut geschützt zu sein.

 

Betreffend Windowsupdates,  sehe ich da auch ein Problem. Aufgrund diverser Vorkommnisse mit fehlerhaften Updates seitens MS, sind viele Admins beim Einspielen von Updates sehr vorsichtig geworden. Will heißen, sie spielen die Updates nicht zeitnah ein, sondern warten mal ab. Dass dies zu einem Boomerang werden kann, versteht sich.

 

Es sollte also gar nicht erst soweit kommen, dass ein Script / Schadcode etc. die Möglichkeit bekommt, eine Sicherheitslücke auszunutzen.

bearbeitet von mcdaniels
Link zu diesem Kommentar
vor 30 Minuten schrieb mcdaniels:

Dies bestätigen Artikel, in denen es heißt: "In mehreren dem BSI bekannten Fällen hatte die Infektion große Produktionsausfälle zur Folge, sodass ganze Unternehmensnetzwerke neu aufgebaut werden mussten."

Naja wenn man manche "Unternehmensnetzwerke" kennt, dann wundert einen das wenig bis gar nicht.

 

vor 31 Minuten schrieb mcdaniels:

Betreffend Windowsupdates,  sehe ich da auch ein Problem. Aufgrund diverser Vorkommnisse mit fehlerhaften Updates seitens MS, sind viele Admins beim Einspielen von Updates sehr vorsichtig geworden. Will heißen, sie spielen die Updates nicht zeitnah ein, sondern warten mal ab. Dass dies zu einem Boomerang werden kann, versteht sich.

Die die sowas als "Ausrede" verwenden haben auch vorher schon nicht gepatcht. Auch wenn die Qualitätsprüfung bei MS in letzter Zeit eher suboptimal arbeitet, läßt sich vieles eben mit einem vernünftigen Patchmanagement regeln.

vor 32 Minuten schrieb mcdaniels:

Es sollte also gar nicht erst soweit kommen, dass ein Script / Schadcode etc. die Möglichkeit bekommt, eine Sicherheitslücke auszunutzen.

Ja und Weltfrieden sollte ebenfalls herrschen und Milch und Honig fließen.

 

Bye

Norbert

Link zu diesem Kommentar
vor 3 Minuten schrieb NorbertFe:

Ja und Weltfrieden sollte ebenfalls herrschen und Milch und Honig fließen.

das hast du gut erkannt :-P (ich meinte natürlich im Optimalfall).

 

vor 3 Minuten schrieb NorbertFe:

Die die sowas als "Ausrede" verwenden haben auch vorher schon nicht gepatcht. Auch wenn die Qualitätsprüfung bei MS in letzter Zeit eher suboptimal arbeitet, läßt sich vieles eben mit einem vernünftigen Patchmanagement regeln.

kenne ich genug!

 

vor 3 Minuten schrieb NorbertFe:

Naja wenn man manche "Unternehmensnetzwerke" kennt, dann wundert einen das wenig bis gar nicht.

Die meisten Netzwerke sind ganz sicher nicht "perfekt" aufgebaut. Manche eben zwangsläufig nicht...

 

U.a. deshalb ist ja div. Schadsoftware so erfolgreich.

bearbeitet von mcdaniels
Link zu diesem Kommentar
Am 27.12.2018 um 09:55 schrieb RolfW:

Was sind denn für die simpelste Sicherheitsmaßnahmen?

Damit meine ich, dass es etliche Umgebungen gibt, in denen das Bewußtsein noch nicht mal bis zu Kennwortrichtlinie, SSL und Dateiberechtigungen vorgedrungen ist. Und das ist natürlich nur eine Auswahl, denn wir reden hier von absoluten Grundlagen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...