ComputerBase Menü
Aktuelles

News Cyberangriff auf Tietoevry: Großer IT-Dienstleister verliert Kundendaten dauerhaft

Ich kenne mich da nicht aus. Kann mir mal jemand vereinfacht erklären warum es für so eine Verschlüsselung keine Lösung gibt? Wenn ich jetzt n Virus auf dem PC habe, erkennt z.B. das Schutzprogramm das. Aber auch nachträglich kann die Ursache noch gefunden und entfernt werden. Wie genau unterscheidet sich jetzt so eine Verschlüsselung von Daten und warum kann man da nichts machen? Wenn jemand so etwas entwickelt hat, muss man ja auch eine Gegenmaßnahme entwickeln können, auch wenn es vielleicht sehr lange dauert. Warum kann NIEMAND diese Verschlüsselung aufheben? Wenn ich es richtig verstehe, sind die Daten ja nicht gelöscht.
 
MasterWinne schrieb:
Und wieder stellt sich die Frage, warum man solche Daten überhaupt auslagert, also praktisch in fremde Hände gibt. Um so mehr bin ich darin bestätigt, das ich den Kunden immer wieder das gleiche prädige ihre Daten, besonders Buchhaltungen usw stets Firmenintern local und mit Backups vor zu halten.
Zum Vergrößern anklicken....
Genau deshalb! Deine Predigt fällt nämlich in 90% aller Fälle nur auf taube Ohren und für deine Kunden oft schon eine "Firewall" genug Sicherheit bietet. Zwar zeigt der Angriff, dass auch solche Dienstleister scheinbar das Thema Sicherheit auf eine leichte Schulter nehmen, es ist aber davon auszugehen, dass kein betroffenes Unternehmen fähig gewesen wäre eine bessere Lösung intern zu schaffen.

Die Auslagerung der Daten und der Server in die Cloud, befreit einen nicht davon zusätzlich selbst Sicherungen anzulegen oder sich um die Sicherheit dessen zu kümmern.
 
Kloin schrieb:
oder dass es diese Sicherheit überhaupt nicht geben kann
Zum Vergrößern anklicken....
Die gibt es auch nicht. Erste Regel des Fightclubs der Security: 100% Sicherheit existiert nicht

Ich finde es ja wieder sehr bezeichnend für das Forum hier, wie wieder alle 3 Millionen Fußballtrainer Sicherheitsexperten aus der Deckung gesprungen kommen und das Ganze natürlich viel besser gemacht hätten... :freak:

Dr. McCoy schrieb:
Nein, "Backups", die in der gleichen Infrastruktur liegen wie die Original-Daten und nicht entsprechend separiert sind, sind keine Backups. Das sind grobe strukturelle Fehler.
Zum Vergrößern anklicken....
Und dass das nicht der Fall war weisst Du woher? Der betroffene Dienstleister weiss immer noch nicht wie das geschehen konnte und hat auch keine weiteren Infos veröffentlicht, aber Du weisst, dass nichts separiert war? Gratulation...

Zero Day Exploit, Insiderjob, ... es gibt so viele Möglichkeiten und ohne Logfiles ist das nur extrem schwer bis gar nicht nachzuvollziehen.

Ich will damit nicht sagen, dass der Dienstleister ganz sicher keine Schuld dabei hatte, aber solange nichts Genaues bekannt ist, sollte man doch einfach den Ball flach halten und sich mal selber fragen, ob man nicht auch schon mal im Job Fehler gemacht hat.
 
  • Gefällt mir
Reaktionen: Avero, maikwars, Naturtrüb und 12 andere
Flunkiii schrieb:
Warum kann NIEMAND diese Verschlüsselung aufheben?
Zum Vergrößern anklicken....
Weil die Schlüssel heutzutage sicher genug sind, dass sie selbst mit den schnellsten Rechensystemen nicht geknackt werden können. Wäre es anders, dürftest du keine Zahlungen oder Bestellungen im Internet durchführen, könnte doch jemand mit genug Rechenleistung und Interesse sich daran bedienen.
 
  • Gefällt mir
Reaktionen: MalWiederIch, Flunkiii, tomgit und eine weitere Person
M@tze schrieb:
aber Du weisst, dass nichts separiert war? Gratulation...
Zum Vergrößern anklicken....
Ja, ganz genau, weil, wenn das vernünftig gemacht worden wäre, gäbe es jetzt auch Backups, und die Kunden würden sich nicht beschweren, dass ihre Daten nicht mehr da sind.
 
  • Gefällt mir
Reaktionen: MalWiederIch
Flunkiii schrieb:
Kann mir mal jemand vereinfacht erklären warum es für so eine Verschlüsselung keine Lösung gibt?
Zum Vergrößern anklicken....
Keine Lösung ist auch falsch. Theoretisch lässt sich jede Verschlüsselung knacken - nur hat man da entweder Glück und findet den passenden Schlüssel direkt, oder man wartet halt mal Dekaden, Jahrhunderte, Ewigkeiten.


Kunden des IT-Dienstleisters reagierten empört auf Bordals Aussagen. „Ich war, gelinde gesagt, überrascht. Wie kann Tietoevry behaupten, eine hohe Sicherheit zu haben, ohne die Schwachstelle zu kennen? Als Kunde gehen wir davon aus, dass das, was wir gekauft haben, auch geliefert wird“, erklärte etwa der IT-Leiter der ebenfalls betroffenen Gemeindeverwaltung des schwedischen Ortes Vellinge.
Zum Vergrößern anklicken....
AAAAAAAH, wie mich solche Aussagen aufregen. Natürlich sollte analysiert werden, woher der Angriff kommt - nur kann das eben Ewigkeiten dauern. Wäre es dem IT-Leiter lieber, wenn der Dienstleister gleich wüsste, durch welches unsichere Loch des Systems der Angreifer kommen wird? :freak:
 
  • Gefällt mir
Reaktionen: Flunkiii
Flunkiii schrieb:
Kann mir mal jemand vereinfacht erklären warum es für so eine Verschlüsselung keine Lösung gibt?
Zum Vergrößern anklicken....
Ganz einfach deswegen, weil diese Daten mit aktuell sicheren Verschlüsselungsverfahren verschlüsselt wurden, die man nicht einfach knacken kann. Eine Verschlüsselung ist ja per se nicht böse, sie wird ja auch zu guten Zwecken eingesetzt, man kann sie aber natürlich auch aus niederen Beweggründen einsetzen.

Flunkiii schrieb:
Wenn ich jetzt n Virus auf dem PC habe, erkennt z.B. das Schutzprogramm das.
Zum Vergrößern anklicken....
Nein, eben nicht zwangsläufig, nicht zuverlässig und wenn, dann mit Glück, und auch nur mit Glück rechtzeitig.

Flunkiii schrieb:
Aber auch nachträglich kann die Ursache noch gefunden und entfernt werden.
Zum Vergrößern anklicken....
Nein, eine bereits erfolgte Verschlüsselung kann eben nicht einfach so entfernt werden. Das würde nach heutigem Stand hunderte Jahre Rechenleistung brauchen, um das zu knacken.

Nachtrag: Hier entsprechend zu diesem Thema Detailinformationen zur verwendeten Verschlüsselung der eingesetzten Akira Ransomware:

https://www.trendmicro.com/de_de/research/23/k/akira-unter-der-lupe.html
Die Ransomware verschlüsselt die betroffenen Systeme mit einem hybriden Verschlüsselungsalgorithmus, der Chacha20 und RSA kombiniert. Darüber hinaus verfügt die Binärdatei, wie die meisten modernen Ransomware-Binärdateien, über eine Funktion, mit der sie die Systemwiederherstellung verhindern kann, indem sie Schattenkopien vom betroffenen System löscht.
Zum Vergrößern anklicken....

Für eine zurückliegende Version der Akira Ransomware war es einmal Avast gelungen, ein Entschlüsselungstool bereitzustellen.

https://www.bleepingcomputer.com/ne...ansomware-decryptor-helps-recover-your-files/

Das ist jedoch keine Garantie für folgende Varianten, wenn die Verbreiter der Malware ihre Fehler ausmerzen, die in der Folge das Knacken der Verschlüsselung ermöglicht hatten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: MalWiederIch, bad_sign, xexex und eine weitere Person
Als externer schimpft es sich echt immer unglaublich schnell, dem Betroffenen die Schuld, oft sogar die alleinige Schuld, zu geben ist halt echt einfach.
Ich will hier nicht behaupten das hier vom Dienstleister alles richtig gemacht wurde, die
Aber das kostet alles Geld, viel Geld. Dann muessten ggf. die Preise steigen, und dann ist das geschimpfe auch gross, wenn nicht groesser.

Rickmer schrieb:
Dazu fällt mir eine Geschichte aus dem Veeam Forum ein wo einer davon berichtet hatte, dass ein abgeschottetes Backup-System kompromittiert wurde indem der Angreifer geduldig abgewartet hatte, bis er per Mimikatz bei einem Backup-Admin das Admin-PW für die Backup-Systeme abgreifen konnte als dieser sich dort eingeloggt hatte...
Zum Vergrößern anklicken....
Deswegen laesst sich ja auch oft garnicht sagen was da letztendlich ausgenutzt wurde.

Es gab oft genug kritische Luecken mit Remote Code Execution in den letzen Jahren. Exchange, Cisco, Fortigate, das sind nur die drei Namen die mir sofort einfallen, es gibt garantiert mehr.
Das geht dann meistens erst durch die Medien wenn ein Patch verfuegbar ist, aber leider gibt es des oefteren auch die Faelle wo zum Zeitpunkt der Veroeffentlichung die Luecke schon laengst ausgenutzt wird.

Damit sind Angreifer dann erstmal drin. Und wenn sie schlau sind, machen die Angreifer erstmal garnichts. Dann wird gewartet und Informationen gesammelt.

Boimler schrieb:
Zu einer funktionierenden Sicherheitsstruktur gehört doch wenigstens, dass man die Schwachstelle identifizieren kann.
Zum Vergrößern anklicken....
Es deutet auf eine unzureichende Segmentierung hin, das sowohl Backups als auch Logfiles verschluesselt werden konnte.
Aber wenn du deine Logfiles verlierst, wie willst du dann wissen wie der Angriff abgelaufen ist? Den Aspekt kann ich also nachvollziehen.

NJay schrieb:
Wenn du dann das Backup einspielst und merkst, dass direkt wieder Schadcode da ist, dann spielst du das Backup halt nochmal ein und lässt die entsprechenden Teile weg.
Zum Vergrößern anklicken....
Wenn ich ein Angreifer waere, wuerde ich den Backupserver kompromittieren und alles transparent verschluesseln. Davon merkt der arglose Admin erstmal nichts, alles ist lesbar. Bis zum Tag X, wo der Backupserver aufeinmal nicht mehr funktioniert.
Dann setzt du den Backupserver neu auf, laedst dein Tape, und erlebst die boese Ueberraschung das nur Muell drauf ist.
 
  • Gefällt mir
Reaktionen: chaopanda, jotecklen und .Sentinel.
Das soll bedeuten: "Wir haben gegenwärtig gängige Verfahren genutzt, um IT-Sicherheit herzustellen". Die Schuld von sich zu weisen ist aber kühn, denn irgendwo wird irgendwer bei der Umsetzung dieser "gängigen Verfahren" geschlampt haben (müssen). 🤦‍♂️
 
Kloin schrieb:
oder dass es diese Sicherheit überhaupt nicht geben kann und das imho jeglich Daten in Richtung externe Dienstleister potentiell verloren sind und diese Dienstleister demzufolge keine Daseinsberechtigung haben.
Zum Vergrößern anklicken....
Es kann in jedes System eingedrungen werden, ist nur eine Frage der Zeit und vor allem des Geldes.
 
  • Gefällt mir
Reaktionen: Tzk
Cr4y schrieb:
Wenn Angreifer den größtmöglichen Schaden anrichten wollen, könnte man doch fast jegliche Art von Backup kompromittieren, und wenn der Schadcode im Backup schlummert, um dann beim Zurückspielen wieder aktiviert zu werden. Man muss die Verschlüsselung der Live-System nur ein paar Tage / Wochen nicht ausführen. Dann wird es schnell fast egal,ob man alles verliert oder einen Datenstand von vor 4 Wochen hat.
Zum Vergrößern anklicken....
So sieht es aus. Unsere Sicherheitssparte hat diverse Ransomware analysiert.

Die kann sich auch lange Zeit entspannt im Hintergrund aufhalten. In einem speziellen Fall wurde ein Realtime- Treiber installiert, der die Daten "on demand" und on the Fly ent- und verschlüsselt hat. Somit konnte das Backup und überhaupt alle Systeme laufen, als ob nichts wäre. Logfiles sind OK usw. usf.
Wurde in einem Beitrag genau so oben schonmal erwähnt. Transparenter Treiber.

Da die Backups im Normalfall mit zeitlichem Abstand in ihrer Dichte abnehmen, muss man nur so lange im Hintergrund den Systemen vorgaukeln, dass alles passen würde und die Daten lesbar halten, bis ein gewisser Schaden angerichtet ist (3 Monate). Danach Schlüssel wegwerfen, Filtertreiber entfernen und schon sind die Daten, die vorher sauber gesichert, lesbar und wiederherstellbar waren im Eimer. Eben gerade auch die vermeintlich sauberen Backups bis vor 3 Monaten.

Zudem müsste man das Monitoring so eng zurren, dass jede kleine Abweichung von Betriebsparametern wie (durchschnittlich höhere CPU Last durch Verschlüsselung, ungewöhnlich hohe Reads/Writes usw.) erfasst wird und eine entsprechende Warnmeldung rausschickt.
Das ist dann wieder die Frage, wer die Parametrierung abstimmt, so dass die Administration nicht erschlagen wird. Es muss ja auch alles noch verwaltbar und ökonomisch tragbar bleiben.

Und man muss die Sicherungssätze regelmäßig auch auf "externen Systemen" überprüfen. Und da muss man auch hoffen, dass nicht diese auch von der Schadsoftware befallen wurden.

Sicherheitsthemen sind extrem komplex. Viele Kommentare hier kratzen an der Oberfläche und werden dem ganzen nicht gerecht....
Die, die da in den betroffenen Rechenzentren arbeiten, sind keine Idioten.

Just my 2 cents
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Avero, Naturtrüb, cosh und 10 andere
Dr. McCoy schrieb:
Nein, eine bereits erfolgte Verschlüsselung kann eben nicht einfach so entfernt werden. Das würde nach heutigem Stand hunderte Jahre Rechenleistung brauchen, um das zu knacken.
Zum Vergrößern anklicken....
Ich meinte das jetzt in Bezug auf Viren. Ich erinnere mich dass ich irgendwann vor 15 Jahren oder so mal diesen Bundestrojaner hatte. Da ging quasi garnix mehr. Der PC wurde dann im abgesicherten Modus gestartet und dann n Virenschutzprogramm per CD aktiviert. Das hat geholfen. Ich meine ja nur, dass die Leute die sowas selbst entwickeln, auch ne Gegenmaßnahme haben müssten. Aber wie gesagt, ich kenn mich nich aus und versuche nur dazuzulernen.
 
Pics or it didnt happen. :D
 
  • Gefällt mir
Reaktionen: Snoop7676 und Boimler
konkretor schrieb:
Die Frage lautet einfach nur: wer ist der nächste.
Zum Vergrößern anklicken....
Vermutlich derjenige, der behauptet „es kann jeden treffen“ :rolleyes:

Die Kommentare, die meinen den Dienstleister würde keine Schuld treffen, sind wohl auch nicht ganz ernst gemeint oder welche Drogen muss man nehmen um der Meinung zu sein?

Es geht hier doch garnicht um den direkten Schutz vor Ransomware - sondern um die Verhinderung des Verschüsseln von Backups.
Und hier hat der Dienstleister auf voller Linie versagt.

Ranayna schrieb:
Als externer schimpft es sich echt immer unglaublich schnell, dem Betroffenen die Schuld, oft sogar die alleinige Schuld, zu geben ist halt echt einfach.
Zum Vergrößern anklicken....
Stimmt, wir sollten nicht vergessen, dass den Angreifer auch eine Teilschuld trifft …

Ob da Gerlinde mal vergessen hat die Kaffemaschine freitags zu reinigen ist doch im Verhältnis völlig irrelevant - das hier wäre mit einer vernünftigen Backup-Struktur zu verhindern gewesen.
Diese war offensichtlich nicht vorhanden - wo willst du jetzt die Schuld suchen? Bei den „naiven“ Kunden?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: floTTes, tomgit und andi_sco
Ich nehme diese Nachricht mal zum Anlass, mein Offline Backup zu aktualisieren. Dann hat es wenigstens etwas gutes :D
 
  • Gefällt mir
Reaktionen: Skysnake, Skysurfa und Dr. McCoy
MalWiederIch schrieb:
Die Kommentare, die meinen den Dienstleister würde keine Schuld treffen, sind wohl auch nicht ganz ernst gemeint oder welche Drogen muss man nehmen um der Meinung zu sein?
Zum Vergrößern anklicken....
Wer hat denn hier gesagt das den Dienstleister keine Schuld treffen?
Ob das so ist, kann hier von aussen niemand beurteilen, denn keiner hier weiss wie der Laden arbeitet.

MalWiederIch schrieb:
Es geht hier doch garnicht um den direkten Schutz vor Ransomware - sondern um die Verhinderung des Verschüsseln von Backups.
Und hier hat der Dienstleister auf voller Linie versagt.
Zum Vergrößern anklicken....
Man muesste wissen was genau in den Kundenvertraegen steht, aber auch fuer die Kunden kann man in gewissen Grenzen von einer Mitschuld sprechen. Denn genauso wie es ungeschickt ist seine Backups auf den Produktivsystemen zu lassen, ist es ungeschickt bei einem Cloudanbieter die Backups beim selben Cloudanbieter zu lassen.
Das Prinzip der mehreren Medientypen laesst sich ganz genau so auch auf Dienstleister anwenden.

Will halt nur wieder keiner bezahlen.
 
...gab es eine Lösegeldförderung?
 
Einfach nur gruselig. Bei jeder so ner erneuten Meldung bekomme ich einfach harte Mr Robot Vibes. Ich bin relativ sicher so ein Angriff wird der Auslöser für einen Bürgerkrieg in Westeuropa werden. Irgendjemand hackt einfach irgendwas kaputt und die Welt fällt ins Chaos.

Egal obs Staudämme werden die geöffnet werden oder gehackte Atomkraftwerke a la Stuxnet.

Es dauert nicht mehr lange bis hier das Chaos losgeht ich sags euch. Puh. Gruselig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
  • Gesperrt
Der größte IT Dienstleister
Antworten
1
Aufrufe
1.337
_killy_
K
12042007
Empfehlungen für eine Abrechnungssoftware für selbstständige IT-Dienstleister
Antworten
3
Aufrufe
1.354
GunMum
G
P
Rechtlicher Rahmen als selbstständiger IT-Dienstleister
2
Antworten
33
Aufrufe
5.079
Cpt. Subtext
Cpt. Subtext
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz