Thomas Maggnussen 2 Geschrieben 19. Oktober 2022 Autor Melden Teilen Geschrieben 19. Oktober 2022 vor 3 Minuten schrieb cj_berlin: Weil Du die Schäden, die ohne Patches möglicherweise aufgetreten wären, nicht siehst. Diese Argumentation kennt man aus der Diskussion übers Impfen, und in den seltensten Fällen kommt man da auf den grünen Zweig Viel wichtiger wäre jedoch: Wie oft macht ihr eine Restore-Übung? Also von der letzten Stufe, wenn die beiden vorherigen gefallen sind? 2x im Jahr. Komplett in einer Testumgebung (also auf alten ausrangierten Server. Dauert zwar länger aber besser als gar nicht). Kunde siehts aber ein und zahlts auch. Hab das leider auch schonmal erlebt. Backup gut und schön - hatte ich. Also Datenbackup und die "damalige" Serverhardware neu aufgesetzt. Daten dann per Bakckup zurück "CRC"-Fehler... Obwohl die Logs ja immer behauptet haben dass alles okay war. Auch da weiß ich noch, wie ich geschwitzt habe und vorher (auf eigene "Kosten) ein extra Backup auf einen anderen Datenträger gemacht habe. Als ich das dann verwendete betete ich dass es da nicht auch geheißen hat CRC Fehler. Wenn ich nicht schon so alt wäre und IT nicht wirklich leidenschaftlich machen würde, würde ich einen anderen Job machen Aber welcher Job ist heute schon noch stressfrei ,-) LG Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 19. Oktober 2022 Melden Teilen Geschrieben 19. Oktober 2022 vor 1 Stunde schrieb Thomas Maggnussen: Also allgemein, seid ihr eher der Meinung, so große Schäden kommen zustande, wenn das Netz längere Zeit ausgespäht wird. Hab nur kleine Kunden (50-500 User). Denke nicht, dass es das Wert ist da gezielt Zeit zu investieren. Sehe ich anders. Denn im Zweifel wird auch das weitgehend automatisiert durchgeführt. Und selbst wenn es _nicht gezielt_ stattfindet ist der Schaden ja trotzdem da. vor 1 Stunde schrieb Thomas Maggnussen: Das dass bei Heise damals passiert ist, hat mich schon ein wenig gewundert, immerhin nehme ich an, dass die Sicherheitstechnisch sehr fitt sind. Das war nicht die c't oder ix sondern die andere Abteilung. Und die hielten sich vermutlich auch für "klein genug". :/ vor 1 Stunde schrieb Thomas Maggnussen: Bis jetzt hatte ich eigentlich nur Schäden eben wegen Patches. Das die Anmeldung am DC nicht geht, dass die Drucker nicht mehr angesprochen werden (Windows) usw. Wartet man, hat man die Gefahr dass die Lücke ausgenützt wird. Patch man sofort, kann es auch zu Problemen kommen. Das letzte mal, wars ein Update des Virenscanners und auf einen Schlag waren 10 Rechner "tot". Also nach der Anmeldung kam nichts mehr. Blieb nur der Abgesicherte Modus und Virendienst deaktiveren. Ich hab lieber ein Problem durch einen Patch, also durch keinen Patch. Aber das will ja niemand hören. Denn wenns einen Patch gibt, sind die Probleme die dann funktional ggf. zu lösen sind ja "bekannt". Das ist auch nervig, aber da kann man dann immer noch entscheiden, ob einem das Risiko das "nicht patchen" wert ist. vor 1 Stunde schrieb Thomas Maggnussen: Für mich ist es das Beste wenn halt gar kein System mehr von außen erreichbar ist oder halt nur per VPN. Tjo, weil du vermutlich auch der Meinung bist, dass Hacker immer von außen kommen und auf keinen Fall von innen? Ja man reduziert Angriffsfläche auf Kosten von Funktion. vor 1 Stunde schrieb Thomas Maggnussen: Einmal wurde ich extern dazu gerufen, diese Firma war nicht mehr zu retten und um die 50 Leute verloren ihren Job. Was schrubst du gleich nochmal? ;) vor 1 Stunde schrieb Thomas Maggnussen: große Schäden kommen zustande, wenn das Netz längere Zeit ausgespäht wird. Hab nur kleine Kunden (50-500 User). Denke nicht, dass es das Wert ist da gezielt Zeit zu investieren. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 19. Oktober 2022 Melden Teilen Geschrieben 19. Oktober 2022 Moin, das hat mit großen oder kleinen Netzwerken nichts zu tun. Schadsoftware ist heutzutage technisch gesehen richtig geile Software. Die ist so clever gebaut, dass sie ihren Weg automatisiert findet. In realen Netzwerken gibt es so viele Punkte, an denen man ansetzen kann, dass die Wahrscheinlichkeit sehr groß ist, schnell Schwachstellen zu finden, mit denen man das Netzwerk ruck-zuck übernimmt. Genauso ist es mit den Einfallstoren - da gibt es nicht nur eins. Das längerfristige Ausspähen ist nur eine Option, die ein Angreifer wählen kann. Das setzt meist auf denselben Vorbereitungen auf wie ein vollautomatisierter Angriff. Wenn das Opfer attraktiv genug erscheint, da manuell mehr zu machen, dann tut man das. Hat man die Zeit oder die Fähigkeiten nicht, dann lässt man die Software einfach machen - dann erpresst sie eben auf Basis wahllos (und umfassend) verschlüsselter Daten. (Fun Fact: Was kaum ein Admin weiß, ist, dass mit EFS ein Verschlüsselungstool in Windows enthalten ist, das man nicht erst nachladen muss und das wunderbare Schäden anrichten kann.) Was Heise betrifft: Die haben großes Glück im Unglück gehabt. Natürlich sind die nur ein mittelständisches Unternehmen wie die meisten anderen auch, und damit prima angreifbar. Sie haben es rechtzeitig gemerkt, und sie hatten sich offenbar einen Angreifer eingefangen, der es nicht richtig ernst meinte, sondern einfach den automatisierten Weg ging. Das konnten sie ausbremsen. Ein paar Tage Einschränkung, aber kein echter Schaden. Aufgrund ihrer Position in der Öffentlichkeit ist Heise aber natürlich ein hoch attraktives Ziel - die richtig bloßzustellen, könnte für böse Buben sehr interessant sein. Mit etwas Mühe hätte man da echt was anrichten können, und Heise wäre weg vom Fenster gewesen. Genau das ist übrigens jetzt deren erhöhtes Risiko: Stellt euch vor, Heise wird jetzt zum zweiten Mal Opfer ... Gruß, Nils PS. VPN ist kein Problemlöser, sondern erzeugt zunächst zusätzliche Risiken - man lässt damit unkontrollierbare Clients direkt in sein Netzwerk ... 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 19. Oktober 2022 Melden Teilen Geschrieben 19. Oktober 2022 1 4 Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 19. Oktober 2022 Melden Teilen Geschrieben 19. Oktober 2022 Moin, du machtest meinen Tag! Gruß, Ni"romani ite domum"ls Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 19. Oktober 2022 Melden Teilen Geschrieben 19. Oktober 2022 vor 12 Minuten schrieb NilsK: romani ite domum Immer wieder schön. Gut, dass es yt gibt. 1 Zitieren Link zu diesem Kommentar
Thomas Maggnussen 2 Geschrieben 20. Oktober 2022 Autor Melden Teilen Geschrieben 20. Oktober 2022 Am 19.10.2022 um 13:02 schrieb NorbertFe: Tjo, weil du vermutlich auch der Meinung bist, dass Hacker immer von außen kommen und auf keinen Fall von innen? Ja man reduziert Angriffsfläche auf Kosten von Funktion. Nein. Bin ich nicht. Das größte Risiko ist, vor allem hier bei Ransome, immer der User "Risiko" möglichst klein halten. Und bsp. den OWA braucht meiner Meinung nach eh kein Mensch mehr. Am 19.10.2022 um 13:02 schrieb NorbertFe: Was schrubst du gleich nochmal? ;) Ja ne. Das war ja nicht mein Kunde sondern der von einer anderen Firma Ich wurde um meine Einschätzung/Hilfe gebeten weil ich eben bereits 2016 einen Ransomefall bearbeitet hatte und man erhoffte sich, dass ich noch irgendwas retten könnte. War aber nicht der Fall. Es war also nicht mein "Problem" und nicht einmal mein Kunde. Mitgenommen hat es mich trotzdem. Wie gesagt, ich glaube dass kann man nur verstehen wenn man das mal erlebt. Obwohl Konkurrenz waren die "Kollegen" kreidebleich und dann stand ich dabei, vor 50 Leuten in einer Halle. Da siehst du dann Mitarbeiter weinen und heulen die seit 20 Jahren dort beschäftigt waren. Klar war das Backup Konzept von den IT´lern haarsträubend und solche Methoden unverantwortlich. Aber ich bin nun einmal kein Schadenfreudiger Mensch. Die IT Firma die diesen Kunden betreute, gab es nach dem Vorfall auch nicht mehr. Die "Cyberversicherung" zahlte auch nichts, weil es grob fahrlässig war. Naja, immerhin bestätigt sich ja aktuell meine Bedenken, wenn ich hunderte von Firmen bei einem Anbieter in der Cloud habe. Siehe: https://www.computerbase.de/2022-10/microsoft-datenschutz-kundendaten-65000-unternehmen/ Ein fehlerhafter Azure Server: Daten von 65.000 Kunden in 111 Ländern mit einem Schlag. Und wie oft habe ich gehört, dass eine Cloud bei einem großen Anbieter sicherer ist, weil die ja viel mehr Leute für die Sicherheit abstellen können. Und die Mähr bei den ganzen Exchange Exploits die ja nur die On-Premise Lösungen betreffen... Jaja... LG Thomas Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 1.805 Geschrieben 20. Oktober 2022 Beste Lösung Melden Teilen Geschrieben 20. Oktober 2022 Du hast trotzdem einige „e“ Zuviel. ;) vor 14 Minuten schrieb Thomas Maggnussen: Und bsp. den OWA braucht meiner Meinung nach eh kein Mensch mehr. So ist das mit Meinungen. Jeder hat eine. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.