Jump to content
mcdaniels

Emotet Trojaner - Vorgangsweise im Ernstfall / aktuelle Bedrohungslage

Recommended Posts

Solange die private Nutzung bei uns geduldet ist machen wir Deepinspection ausgehend nicht an. An ist das alles nur eingehend für unsere Server in der DMZ. 

Die cisco firepower könnte noch viel mehr, aber privat ist privat. Da lass ich dann auch nicht mit mir reden. 

 

Dazu kommt das "besondere" bei uns. Der Wissenschaftsbetrieb muss halt laufen. Im dümmsten Fall haben wir ein Projekt "Malware aus Deutschland und der soziokulturelle Hintergrund" oder "Hitler und seine Computerviren". 

Ich würde gerne Verwaltung und Wissenschaft trennen, das ist aber ein langer steiniger Weg. 

 

Das mit dem Bewusstsein ist halt so eine Sache. Mein Beispiel sind immer unsere Nachbarn. Denen hat man vor einiger Zeit, die älteren unter uns werden sich erinnern", eine 100Kg-Goldmünze geklaut. Trotzdem läuft der Betrieb weiter und es hatte keine, von außen sichtbaren Konsequenzen. 

Die Frage die sich daraus ergibt: welche Risiken haben wir eigentlich und was darf uns die Beseitigung kosten. Die klassische Einteilung und niedrig, mittel und hoch mit hoch=firmenpleite funktioniert halt bei einer Behörde nicht. 

Share this post


Link to post
Share on other sites

Richtig. Private Daten dürfen nunmal nur sehr eingeschränkt gefiltert werden.

Erlaubt oder duldet man die private Nutzung von Internet, E-Mail etc wird man zum Zugangsprovider und fällt unter das Telemediengesetz. Hier gelten dann so Dinge wie das Fernmeldegeheimnis etc. 

Das läßt sich auch nicht so einfach per Dienst-/Betriebsvereinbarung umgehen. 

Share this post


Link to post
Share on other sites

Ist es aber nicht im Interesse des “Firmennetzwerkes“ gewisse Sicherheitsmechanismen zu aktivieren? 

 

Wenn ich da u.a. an die DSGVO denke, muss man dem Anwender, sofern man Firmengeräte zur Verfügung stellt, entsprechend abgesicherte Geräte zur Verfügung stellen.  Security by design.

 

Im Zeiten wie diesen eher wenig angenehm, wenn du quasi nicht reagieren darfst.

Share this post


Link to post
Share on other sites

tja, was soll ich dazu sagen?

Man sichert sich selbst durch Aktennotizen und anderes schriftliches Zeug ab und das war's dann.

 

In Sachen IT-Sicherheit allgemein gab es eine deutliche E-Mail von mir an die Geschäftsleitung. Im zweifel sind die jetzt verantwortlich. Ich passe nur noch auf keine "illegalen" Anweisungen umzusetzen. Im Zweifelsfall lege ich einen Fall dem Justiziar vor. 

 

Für die DSGVO ist der Datenschutzbeauftragte zuständig. Den Schuh ziehe ich mir nicht an. Ich weise da einmal, per E-Mail zum Nachweis, auf einen Mißststand hin und warte dann ob etwas passiert. Solange ich nicht aktiv an dem Verstoss mitarbeiten muss ist mir dass dann egal. Sollte ich einmal zu einen klaren Verstoss "gezwungen" werden, läut das auf einen Showdown heraus den ich in erster Instanz verliere. Zum Glück werden ITler gesucht.

Ich hoffe nur ich würde in so einem Fall erfahren was dann die Aufsichtsbehörde dazu gesagt hat. Bisher konnte ich mich aber immer durchsetzen. Dann sind halt Anweisungen von weiter oben nicht umgesetzt worden.

 

 

Share this post


Link to post
Share on other sites

Sehr interessantes Thema.

 

Ich denke, dass man sich auch intern (Domäne) absichern sollte. Nur das ist dann ein großes Fass. 

Das andere ist, wie findet man heraus, ob das AD kompromittiert ist... und wenn, nisten die sich dann gezielt ein und lauschen sehr lange mit, um möglichst an viele Daten zu kommen. Die Zeit zu zerstören ist vorbei...

 

Das Problem ist nur, dass die Chefs durchweg kein Ohr dafür haben. Selbst wenn man DSGVO sagt...

Share this post


Link to post
Share on other sites
Am 25.12.2018 um 20:58 schrieb RolfW:

Das Problem ist nur, dass die Chefs durchweg kein Ohr dafür haben. Selbst wenn man DSGVO sagt...

Absolut korrekt!

 

Am 25.12.2018 um 20:58 schrieb RolfW:

Ich denke, dass man sich auch intern (Domäne) absichern sollte. Nur das ist dann ein großes Fass. 

Das andere ist, wie findet man heraus, ob das AD kompromittiert ist... und wenn, nisten die sich dann gezielt ein und lauschen sehr lange mit, um möglichst an viele Daten zu kommen. Die Zeit zu zerstören ist vorbei...

Ja und nein, denke ich. Es kommt ganz darauf an, was dieses "Ding" nachlädt. Wie man so liest, kann die nachgeladene Software individuell sein. Für eine Domäne vermutlich ein Supergau?

 

Dies bestätigen Artikel, in denen es heißt: "In mehreren dem BSI bekannten Fällen hatte die Infektion große Produktionsausfälle zur Folge, sodass ganze Unternehmensnetzwerke neu aufgebaut werden mussten."

 

Uns ist allen klar, dass es keinen 100% Schutz gibt. Panik ist natürlich auch fehl am Platze. Ich für meinen Teil setze aber -im Rahmen meiner Möglichkeiten- alle Hebel in Bewegung, um möglichst gut geschützt zu sein.

 

Betreffend Windowsupdates,  sehe ich da auch ein Problem. Aufgrund diverser Vorkommnisse mit fehlerhaften Updates seitens MS, sind viele Admins beim Einspielen von Updates sehr vorsichtig geworden. Will heißen, sie spielen die Updates nicht zeitnah ein, sondern warten mal ab. Dass dies zu einem Boomerang werden kann, versteht sich.

 

Es sollte also gar nicht erst soweit kommen, dass ein Script / Schadcode etc. die Möglichkeit bekommt, eine Sicherheitslücke auszunutzen.

Edited by mcdaniels

Share this post


Link to post
Share on other sites
vor 30 Minuten schrieb mcdaniels:

Dies bestätigen Artikel, in denen es heißt: "In mehreren dem BSI bekannten Fällen hatte die Infektion große Produktionsausfälle zur Folge, sodass ganze Unternehmensnetzwerke neu aufgebaut werden mussten."

Naja wenn man manche "Unternehmensnetzwerke" kennt, dann wundert einen das wenig bis gar nicht.

 

vor 31 Minuten schrieb mcdaniels:

Betreffend Windowsupdates,  sehe ich da auch ein Problem. Aufgrund diverser Vorkommnisse mit fehlerhaften Updates seitens MS, sind viele Admins beim Einspielen von Updates sehr vorsichtig geworden. Will heißen, sie spielen die Updates nicht zeitnah ein, sondern warten mal ab. Dass dies zu einem Boomerang werden kann, versteht sich.

Die die sowas als "Ausrede" verwenden haben auch vorher schon nicht gepatcht. Auch wenn die Qualitätsprüfung bei MS in letzter Zeit eher suboptimal arbeitet, läßt sich vieles eben mit einem vernünftigen Patchmanagement regeln.

vor 32 Minuten schrieb mcdaniels:

Es sollte also gar nicht erst soweit kommen, dass ein Script / Schadcode etc. die Möglichkeit bekommt, eine Sicherheitslücke auszunutzen.

Ja und Weltfrieden sollte ebenfalls herrschen und Milch und Honig fließen.

 

Bye

Norbert

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb NorbertFe:

Ja und Weltfrieden sollte ebenfalls herrschen und Milch und Honig fließen.

das hast du gut erkannt :-P (ich meinte natürlich im Optimalfall).

 

vor 3 Minuten schrieb NorbertFe:

Die die sowas als "Ausrede" verwenden haben auch vorher schon nicht gepatcht. Auch wenn die Qualitätsprüfung bei MS in letzter Zeit eher suboptimal arbeitet, läßt sich vieles eben mit einem vernünftigen Patchmanagement regeln.

kenne ich genug!

 

vor 3 Minuten schrieb NorbertFe:

Naja wenn man manche "Unternehmensnetzwerke" kennt, dann wundert einen das wenig bis gar nicht.

Die meisten Netzwerke sind ganz sicher nicht "perfekt" aufgebaut. Manche eben zwangsläufig nicht...

 

U.a. deshalb ist ja div. Schadsoftware so erfolgreich.

Edited by mcdaniels

Share this post


Link to post
Share on other sites
vor 33 Minuten schrieb mcdaniels:

Die meisten Netzwerke sind ganz sicher nicht "perfekt" aufgebaut. Manche eben zwangsläufig nicht...

die meisten ignorieren simpelste Sicherheitsmaßnahmen mit der Begründung der Nutzbarkeit. :)

Share this post


Link to post
Share on other sites
vor 3 Minuten schrieb NorbertFe:

die meisten ignorieren simpelste Sicherheitsmaßnahmen mit der Begründung der Nutzbarkeit. :)

stimmt.

 

Wie siehst du die Problematik eigentlich?

Share this post


Link to post
Share on other sites

Dass simpelste Sicherheitsmaßnahmen nicht ergriffen werden? Ich verdiene zum Glück mein Geld u.a. mit Beratung. Wären alle schon "sicher", gäbs ja nix mehr zu tun und wir hätten schon fast Weltfrieden.

Oder worauf genau bezog sich deine Frage?:)

Share this post


Link to post
Share on other sites
Am 27.12.2018 um 09:55 schrieb RolfW:

Was sind denn für die simpelste Sicherheitsmaßnahmen?

Damit meine ich, dass es etliche Umgebungen gibt, in denen das Bewußtsein noch nicht mal bis zu Kennwortrichtlinie, SSL und Dateiberechtigungen vorgedrungen ist. Und das ist natürlich nur eine Auswahl, denn wir reden hier von absoluten Grundlagen.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...