ComputerBase Menü
Aktuelles

Welche Bedrohungen und Schwachstellen seht ihr aktuell für IT-Unternehmen?

V

vilbel

Lt. Junior Grade
Registriert
Mai 2014
Beiträge
296
Hallo,

meine Frage steht schon oben im Titel des Threads. Ich frage das aus reinem Interesse, weil unser Dozent für Datenschutz beiläufig meinte, dass die deutsche IT-Industrie in einem katastrophalen Zustand sei was Sicherheit angehe. Näher wollte er darauf nicht eingehen, deshalb frage ich hier, was er z. B. damit gemeint haben könnte.
 
Hat er vollkommen recht, selbst große Händler fahren z.B. weiterhin XP (wenn auch meist virtualisiert) aber mit Passwörtern zum aus der Hose fahren. Kleine wie teils recht große Unternehmen scheren sich ebenso nen Dreck um Sicherheit; liegt besonders daran, dass die Leitungsposten der IT/EDV-Abteilungen mit unfähigen Leuten besetzt sind sowie schlichtweg das Personal fehlt das alles in vernünftige Zustände zu bringen. Updates werden häufig zu spät gefahren weswegen die Anwender das größte Sicherheitsrisiko sind (bezüglich Mail-Anhängen, privaten USB-Sticks oder sonst was). Ich könnt dir jetzt Lieder singen wie schnell du allein mit nem modifizierten USB-Stick sonst wo massiven Schaden anrichten könntest, das lass ich aber. Weil einfach jeder denkt: "Ach uns passiert das schon nicht". Aber wenns kracht, dann richtig. Das fängt beim Supermarkt an, geht übern Hausarzt, über große Kliniken bis sonst wo hin
 
naja, die aktuelln, mitarbeiter die auf alles mögliche anklicken, admins die die usb slots nicht sperren, ddos attacken, phishing mails, passwortverwaltung von vielen usern/admins....
 
mit IT wird kein Geld verdient, deshalb darf sie nichts kosten!

mir wird ganz schlecht wenn ich an dieses Thema denke. Erst letztens wieder hat ein "Verantwortlicher" in einem anderen Forum gefragt, wie er es schafft seinen Laptop im Arztpraxis Netz mit medizinischen Geräten und auch zuhause mit denselben Netzwerkeinstellungen zu betreiben.
anhand der Fragestellung konnte man sofort erkennen, dass der keine Ahnung hat und er WESENTLICH mehr Angst hatte, dass seine "Untergebenen" während der Arbeitszeit surfen als es um Sicherheit geht.
auch die "zuständige" "EDV-Firma" war wohl so eine typische: ich war mal Bäcker (sorry nichts gegen Bäcker!), habe mich jetzt aber zum IT-Experten umschulen lassen und die Schule sagt, ich bin jetzt nach 1 Jahr der absolute Profi und kann von Assembler über C++, Java usw. alles programmieren, mit Netzwerken kenne ich mich voll aus, Ich-AG...
trotzdem war es ihm zu teuer die zu beauftragen (wobei, ob das geholfen hätte...) und fragt lieber in einem öffentlichen Forum, das ist für lau.
 
Wir brauchen doch so dringend IT Fachkräfte in Deutschland.

Für Business Intelligence, Big Data und AI. Natürlich nur, wenn genau die aktuellen Spezialkenntnisse, die im eigenen Unternehmen gerade hip sind, zuvor bei einem anderen Unternehmen erworben und mehrere Jahre geübt wurden. Eigene Aus- oder Fortbildung? Ha-Ha.

Security? Kann man ja outsourcen. So lange man ein SLA mit Ticketsystem hat, liegt die Verantwortung schließlich beim Dienstleister, wenn's kracht. Und, oh, ich vergaß - kosten darf das natürlich alles nichts, weil man schließlich auch keinen Produktivitätsgewinn gegenrechnen kann. Betonung auf *kann* - das hat was mit Können zu tun.

Hey - wir IT'ler arbeiten am Nervensystem des Unternehmens. Wenn wir schlecht ausgebildet sind oder nicht richtig darauf achten was wir tun, geht u.U. die ganze Firma den Bach runter. Und das soll nichts kosten dürfen? Es gibt anscheinend genügend Fozzies, die für'n Mindestlohn einen IT Job machen. Dann darf man auf der Unternehmerseite aber auch nicht über dauernde Pannen maulen, und auf der Mitarbeiterseite nicht über schlechten Lebensstandard mit Aussicht auf eine Mickerrente.

Manchmal ist es echt zum .... ich wollte es ward Nacht und die Preußen kämen.
 
Die Bedrohung/Schwachstelle ist der Kostenfaktor des wir wollen sparen bis zum Tod und die Klickomanie der Nutzer die alles machen ohne nachzudenken.
 
mit IT wird kein Geld verdient, deshalb darf sie nichts kosten!
Zum Vergrößern anklicken....
dass würde ich nicht so sagen, wenn ich jetzt mal an die onlinebörsen, finanzdienstleister.... nenne, also es wird sehr wohl mit der it geld verdient, aber nicht mit der it der user XD
 
den User, datenschutz, nsa
 
Wenn jeder Rechner ins Internet darf und dann noch alle vernetzt sind kann das nicht immer gut gehen. Dann noch die Leute die davor sitzen und auch nur den An und Aus Knopf kennen.
Von der Software ganz zu schweigen. Also ja, es gibt genug Schwachstellen. Ps.: und kosten darf es im Regelfall auch nichts, also die IT Sicherheit.
 
  1. IT in einem Unternehmen ist nur ein Kostenpunkt der nix zum Gewinn beisteuert. Deshalb wird da gerne gespart.
  2. Zu wenig Admins für zu viel IT. Mailserver, AD, Firewall, WLAN, Backups, Drucker, Laptops/PCs, Smartphones. Alles soll am besten von einem Admin allein perfekt beherrscht werden aber wehe dieser Admin ist mal krank oder will Urlaub. Von bezahlten Fortbildungen brauchen wir nicht erst anfangen zu reden wobei es da auch gute Unternehmen gibt.
  3. in 2/3 der Unternehmen ist die Geschäftsführung nicht für IT-Security sensibilisiert. Aus Sicht des Chefs muss da schnell gearbeitet werden und das bedeutet dann für den Chef: Er und jeder andere muss auch mal eben den sonstwo beschafften USB-Stick anschließen dürfen. Oft dürfen Admins einfach gewisse Sachen gar nicht umsetzen selbst wenn sie es wollten. Oder die Admins sind überfordert bzw bekommen von oben die Ansage: Wenn der User $Lieblingsbrowser installieren will dann soll er dies auch dürfen. Ergo Admin-Rechte für User am Client. Jeder Virus/Trojaner freut sich enorm über so etwas... Der Admin ist dann natürlich der böse wenn er es nicht verhindert hat
  4. Infrastrukturpflege und Patchmechanismen sind aufwendig und kompliziert sowohl Zeit- als auch Kostenintensiv. Daher wird bei Windows und Office ggf. noch auf auto-update gesetzt aber die restliche Software wird nur sporadisch mal aktualisiert.
  5. Viele Admins, gerade die etwas älteren Semester, wissen leider nicht allzu viel über IT-Sicherheit. Entweder weil früher(tm) das Internet noch nicht so "böse" war und Security nicht wichtig war oder weil man sich mit gewissen Dingen nicht wirklich auskennt (Na, wer von den Admins hier weiß aus dem Stehgreif wie eine Firmen-interne CA sauber funktioniert und wie man Webserver mit Zertifikaten versorgt und die auch keine alten und geknackten Ciphers unterstützen?)
  6. "Es läuft doch auch so". Wozu die Firmenwebseite per SSL absichern, da ist doch kein Webshop. Um nur ein Beispiel zu nennen. IT-Security ist immer aufwendiger als der 0815 Standardweg
  7. Es erhöht (angeblich) den Aufwand bei der Fehlersuche. Ping muss im Firmennetz mit VLANs nicht funktionieren. Gut der umgeschulte "Superadmin" sagt: Ich kann nix pingen = Gerät kaputt. Ein einfacher Test per Telnet auf den Port eines Dienstes oder Wireshark ist vielen leider fremd.
  8. Mischung aus den o.g. Punkten. Die Admins wissen im besten Fall, dass man bei Unternehmensnetzen im best-practice jeden Dienst/Service redundant vorhält und dass jeder dieser Dienste/Services in ein eigenes VLAN gehört und man diese untereinander per Firewall trennt. Auch werden Backups oft nur einmal eingerichtet und der Restore nicht regelmäßig getestet. Denn will man dies tun erfordert dies Zeit, Wissen das ggf. erst angeeignet oder aufgefrischt werden muss und Geld für entsprechende Hardware/Software/Redundanzen. Damit schließt sich der Kreis zum ersten Punkt denn wenn der Admin oder IT-Verantwortliche das nicht überzeugend gegenüber der Geschäftsführung darlegen kann gibt es kein Geld und alles bleibt beim alten was bedeutet:
    Nix funktioniert in der IT: Wofür bezahle ich die Admins überhaupt?
    Alles funktioniert in der IT: Wofür bezahle ich die Admins überhaupt?
 
Zuletzt bearbeitet:
ich erzähle mal einen Schwank von vor ca. 10 Jahren zum Thema Schulung und Fortbildung.
damals wollte ich an einem Security Training für SuSE Linux Enterprise Server teilnehmen.
das hat sich übe mehrere Monate verschoben, weil immer wenn ich mich zu einem Kurs angemeldet hatte, der kurz vor dem Stattfinden wegen Mangel an Beteiligung gestrichen wurde.
aus Verzweiflung habe ich mich dann Ende des Jahres für alle Kurse in D-Land angemeldet, damit das freigegebene Budget nicht verfällt. Ich hätte Schwierigkeiten gehabt erstens zu erklären warum es nicht geklappt hat und warum ich das Budget für nächstes Jahr neu beantrage.
Und es hat dann tatsächlich in Nürnberg geklappt, sind ja nur 500km und im Dezember zum Christkindlesmarkt sind die Hotels natürlich auch besonders günstig. Zu den (wenn ich es richtig in Erinnerung habe) 3500€ Kurs Gebühren kamen dann noch die Fahrtkosten und 5 Übernachtungen a' 200€ dazu.

und was war das dann für ein Kindergarten?
es waren ausschließlich Umschüler dort, denen das Arbeitsamt die Kurse bezahlt hat. Erst da habe ich geschnallt, dass das einer der letzten Bausteine zu irgend einem "Novell/SuSE Certified Irgendwas" ist und die meisten Leute die Tests der vorgehenden Kurse nicht bestehen und deshalb diese Security Kurse immer mangels Beteiligung abgesagt wurden.
Dementsprechend bestand das Lern Pensum in dieser Woche darin, Kommandos und Parameter auswendig zu lernen, nicht verstehen! Der Depp von Trainingsleiter hätte das auch nicht erklären können, der konnte auch nur die Bücher auswendig. Am Ende habe ich ihm mehr beigebracht als er mir...

Ok, das war komplett zum Fenster heraus geschmissenes Geld aber ich war jetzt auch mal auf dem Christkindlesmarkt ;)
das wirklich Schlimme daran ist aber: die anderen Deppen die den Auswendig-Lern-Test bestanden haben, glauben tatsächlich, dass sie sich jetzt mit IT-Security auskennen! Und noch schlimmer: die Deppen die diese Leute engagieren glauben anhand des Zertifikats auch, dass sie da jetzt einen Experten einstellen!

und ob man es glaubt oder nicht, so ein SANS Kurs ist zwar sicherlich etwas anspruchsvoller, aber auch nicht wirklich der Hit, kostet dafür aber auch über 5500€ für eine Woche...
 
Ich habe mir eure interessanten Beiträge durchgelesen. Ich hätte da noch zwei bisher nicht genannte Punkte: W-LAN und Social Engineering. Nahezu alle Unternehmen haben W-LAN und sind sich anscheinend darüber nicht im Klaren was das für Möglichkeiten von Außen eröffnet. Bestes Beispiel: Die sehr leicht durchzuführende Evil-Twin-Attacke.

Was meint ihr? Ist es auch möglich, dass die Firmware des W-LAN-Routers von Angreifern modifiziert werden kann? Wie schwierig schätzt ihr den Aufwand in Zeit und Kosten?
 
da ist halt wieder die Frage, ob wir von einer "Frickelbude" reden, bei der ein Praktikant die Fritzbox als AP installiert, oder eine halbwegs seriöse Firma, bei der z.B. noch eine Radius Authentifizierung läuft.
so etwas sollte eigentlich in einer Firma selbstverständlich sein, ist es aber leider nicht...
 
snaxilian schrieb:
[*] Es erhöht (angeblich) den Aufwand bei der Fehlersuche. Ping muss im Firmennetz mit VLANs nicht funktionieren. Gut der umgeschulte "Superadmin" sagt: Ich kann nix pingen = Gerät kaputt. Ein einfacher Test per Telnet auf den Port eines Dienstes oder Wireshark ist vielen leider fremd.
Zum Vergrößern anklicken....
Du weißt mittlerweile schon, das Telnet tabu ist?

@Topic

Im Prinzip stimmt das, was snaxilian sagt. Was noch dazukommt, daß die Projektplanung bis heute in vielen Firmen schlichtweg versagt, ebenso Budgetplanung, Zeitplanung in aller Art IT-Projekten. Als Externer stelle ich immer wieder erstaunlich eine gewisse Lernresistenz fest. Von verhärteten Strukturen, daß Vorgesetzte nach wie vor IT nicht verstehen, aber meinen Entscheidungen zu treffen, man ganz zu schweigen.

Zum Thema WLAN kann ich nur folgendens sagen, daß wird von vielen mittelständischen Unternehmen aufwärts ganz ridige gehandhabt, es gibt meistens keines.

Ansonste sind im Pro-Bereich doch einiges an Sicherheitsvorkehrungen vorranden, die teilweise sehr gut sind (z.B. VPN-Zugang über RSA-Token oder andere Authentifizierungsverfahren). Aber Nachteil, sie sind auch so rigide, daß normales Arbeiten schwierig wird.
 
Zuletzt bearbeitet:
Naja, Telnet als Serverdienst ja aber ob ich jetzt telnet oder netcat oder sonst etwas als Client nehme zu Testzwecken ist gehopst wie gesprungen. Wenn ich fix testen will ob von $Server_A aus der Mailserver erreichbar ist dann funktioniert ein "telnet mailserver 25" wunderbar. Damit weiß ich dann, dass Routing, Firewall etc usw korrekt konfiguriert sind und auch der Dienst läuft.
Das Telnet als Serverdienst verbannt gehört da bin ich absolut bei dir, da braucht man nicht drüber zu diskutieren.

@Topic/vilbel: Naja.. ein WLAN im Firmennetz ist im besten Fall ein separates VLAN, unterstützt nur RADIUS zur Authentifizierung und ist ebenfalls entsprechend per Firewall reglementiert. Für Gäste/Kunden/Externe hat man dann eben ein weiteres WLAN, wieder in einem extra Netz und mit noch weniger Berechtigungen.
Gegen Social-Engineering hilft 2FA mit richtigen Tokens (Yubikey, SecurID, etc und nicht so einen leicht zu knackenden Müll wie SMS...) und massiv die Sensibilisierung und Schulung der Mitarbeiter was wie schon erwähnt leider viel zu selten passiert.
Ansonsten: minimal-rights-principle und für ganz sensible Dinge dann eben ein 4-Augen-Prinzip.
 
snaxilian schrieb:
Naja, Telnet als Serverdienst ja aber ob ich jetzt telnet oder netcat oder sonst etwas als Client nehme zu Testzwecken ist gehopst wie gesprungen.
Zum Vergrößern anklicken....
Du verstehst Das Grundproblem nicht. In einigen Firmen wird sowas mittlerweile verboten, Du findest diese Tools nicht mehr bzw. werden blockiert und auch nicht mehr installiert.
 
Danke ich weiß, ich arbeite in so einem Unternehmen aber wenn 1st-Level oder ein User sagt, dass $Dienst nicht erreichbar sei oder läuft kann man so schnell und einfach testen ob die Verbindung durchgehend bis zum Server/Loadbalancer/was-auch-immer funktioniert und zumindest ein Dienst auf dem Port lauscht.
Habe ich eine Linux/Mac Workstation vor mir dann halt nc und bei nem Windows-Client eben zum Beispiel putty.
Telnet als Server-Anwendung ist hier auch tabu, ähnlich wie die meisten anderen unverschlüsselten Verbindungen und Dienste.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MasterMaso
Lebensaufgabe IT-Unternehmen (Soziales Netzwerk)
2
Antworten
39
Aufrufe
3.695
Lunke
L
Benni90
GmbH richtige Rechtsform für IT-Unternehmen
Antworten
15
Aufrufe
2.382
Holt
H
B
Neues Unterforum für Aktien von IT-Unternehmen
Antworten
4
Aufrufe
1.269
MusicJunkie666
MusicJunkie666
nedim89
Bewerbung in einem IT-Unternehmen
Antworten
5
Aufrufe
1.665
pizza4ever
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz