ComputerBase Menü
Aktuelles

News Cyberangriff auf Tietoevry: Großer IT-Dienstleister verliert Kundendaten dauerhaft

Hier kam ja die Frage auf warum man als Kunde überhaupt die Daten auslagert. Da wir das gerade selbst auch tun, kann ich dazu eine Antwort geben:

Es geht den Verantwortlichen schlicht um Minimierung des eigenen Risikos, sowohl der einzelnen Mitarbeiter als auch der Gesamtfirma. Dazu gehört auch das einhalten der gesetzlichen Anforderungen. Holt man sich dafür einen Dienstleister, ist man selbst (grösstenteils) aus der Verantwortung raus. Das spart auch Mannstunden ein, sprich Personal…

—-
Davon abgesehen glaube ich ebenfalls, das die Leute welche den Kram administrieren fähig sind. Nur oft lässt man die nicht machen, sondern setzt anderweitige Prioritäten…
 
  • Gefällt mir
Reaktionen: Naturtrüb, Skysnake, sh. und eine weitere Person
Ranayna schrieb:
Aber wenn du deine Logfiles verlierst, wie willst du dann wissen wie der Angriff abgelaufen ist? Den Aspekt kann ich also nachvollziehen.
Zum Vergrößern anklicken....
Ja klar, ich fand nur die Aussage etwas seltsam, man hätte keine Probleme mit der Sicherheit, wenn so etwas passiert. Ich meine selbst ohne Logs lässt sich ja zurückverfolgen, an welchen Stellen ein Bruch möglich war, ohne den bspw. ein Verlust der Logs gar nicht möglich gewesen wäre.
 
Tzk schrieb:
Davon abgesehen glaube ich ebenfalls, das die Leute welche den Kram administrieren fähig sind. Nur oft lässt man die nicht machen, sondern setzt anderweitige Prioritäten…
Zum Vergrößern anklicken....
Da ist was dran und betrifft leider bei weitem nicht nur dieses Thema...
Es bringt nun mal nichts wenn Fehler und Problem in der Technik erkannt werden und anschliessend von den Vorgesetzten ignoriert werden weil deren Behebung "unnötig" etwas kosten würde.
 
  • Gefällt mir
Reaktionen: Skysnake und sh.
Da wird immer von LOG Dateien gesprochen, welche Log Dateien?
 
User7777 schrieb:
welche Log Dateien?
Zum Vergrößern anklicken....
Naja, Logdateien halt.
IT Systeme loggen, und loggen, und loggen noch mehr.
Schau einfach mal unter Windows in die Ereignisanzeige und klappe ein paar der erweiterten Ansichten auf, und du bekommst einen kleinen Einblick wieviel schon ein einzelner Rechner dauernd mitloggt.
Idealerweise hat man ein SIEM, welches konstant diese Logs sammelt und prueft, und so Anomalien erkennen kann.
Nimmt man es nicht so ernst, hat man vielleicht "nur" einen Syslogserver, welcher auf bestimmte Ereignisse alarmieren kann.

Grundlegend bewahrt man Logfiles generell eine Weile auf, um eben solche Faelle wie diesen hier anschliessend analysieren zu koennen.
Hier hats halt auch den Logserver auch erwischt.

Aehnlich wie Backups, sollte idealerweise ein solcher Server vom Rest des Netzes insofern abgeschirmt werden, das wirklich nur Logfiles geschrieben werden koennen, und sonst nichts.
 
floTTes schrieb:
Die ganzen "Experten" mit ihrem offline-Backup. Wenn der Angreifer sich genügend Zeit lässt, kannst dir das auch in die Haare schmieren. Du müsstest Backups nach Inhalt und Medium aufsplitten. Und selbst das schützt dich nicht zu 100%.
Zum Vergrößern anklicken....
Sorry, aber wer ein RZ in der Größenordnung betreibt, sogar vertragliche Verpflichtungen hat und keine wirklichen Offline Backups hat, hat einfach seinen Job nicht drauf. Selbst wenn die offline Backups 1 Monat alt wären, wäre es nicht schlimm. Aber hier wurde vollkommen versagt.
 
Ich verstehe nicht wie so große Firmen solche groben Patzer machen.
 
Ranayna schrieb:
Naja, Logdateien halt.
IT Systeme loggen, und loggen, und loggen noch mehr.
Schau einfach mal unter Windows in die Ereignisanzeige und klappe ein paar der erweiterten Ansichten auf, und du bekommst einen kleinen Einblick wieviel schon ein einzelner Rechner dauernd mitloggt.
Idealerweise hat man ein SIEM, welches konstant diese Logs sammelt und prueft, und so Anomalien erkennen kann.
Nimmt man es nicht so ernst, hat man vielleicht "nur" einen Syslogserver, welcher auf bestimmte Ereignisse alarmieren kann.

Grundlegend bewahrt man Logfiles generell eine Weile auf, um eben solche Faelle wie diesen hier anschliessend analysieren zu koennen.
Hier hats halt auch den Logserver auch erwischt.

Aehnlich wie Backups, sollte idealerweise ein solcher Server vom Rest des Netzes insofern abgeschirmt werden, das wirklich nur Logfiles geschrieben werden koennen, und sonst nichts.
Zum Vergrößern anklicken....
Ja das ist mir klar, aber welche LOG Dateien wurden verschlüsselt? Firewall? Linux, WIndows Logs, Backup Logs...
 
Skudrinka schrieb:
Es wurde alles verschlüsselt.
Zum Vergrößern anklicken....
Davon gehe ich auch aus.

Ok, sowas wie die Firewall, als hoffentlich Hardware Appliance, wurde, davon wuerde ich ausgehen, selber nicht verschluesselt. Aber die haelt lokal in der Regel nicht viele Logs vor, weils einfach viel zu viel wird. Da kannst du dann ein paar Stunden zurueckschauen, was vielleicht Command and Control Traffic zeigen koennte, aber nicht mehr wie die Angreifer reingekommen sind.

Aber bei allen betroffenen Servern sind die Logs weg, da das ganze System ja verschluesselt wurde.
Und den Logsammler, sei's nun ein SIEM, Syslog, Splunk, oder was auch immer, scheint es halt auch erwischt zu haben.
 
Die Frage ist nicht ob etwas gehackt werden kann sondern wann.

Die Backupstrategie war die falsche. Tja, der Steuerzahler darf wiedermal alles ausbaden.
 
Informant777 schrieb:
Tja, der Steuerzahler darf wiedermal alles ausbaden.
Zum Vergrößern anklicken....
Es wäre zumindest mal zu überlegen, ob jemand IT betreiben darf ohne bestimmte Voraussetzungen zu erfüllen. Wir haben das ja auch in anderen Bereichen. Man darf ja auch keine Bäckerei betreiben ohne das z.B. Hygienemaßnahmen umgesetzt sind. Vergleichsweise Regelungen könnte man ja auch im IT-Bereich schaffen.

Zweitens wäre ne Abdeckung des Schadens. Man muss also Rückstellungen für den Schadensfall bilden oder eine Versicherung abschließen. Damit nicht wie hier die Kunden dumm da stehen, wenn doch mal was passiert. Auch hier gibts Vorbilder in der "normalen" Welt. Man darf z.B. kein Fahrzeug fahren ohne das dies haftpflichtversichert ist
 
  • Gefällt mir
Reaktionen: konkretor und Skysnake
andy_m4 schrieb:
Vergleichsweise Regelungen könnte man ja auch im IT-Bereich schaffen.
Zum Vergrößern anklicken....
Gibt es doch schon längst, unter anderem die ISO 27001, aber auch weitere Zertifikate. Es gibt aber meines Wissens keine Verpflichtung die Daten nur solchen Unternehmen anvertrauen zu dürfen. Es gibt aber durchaus bei Ausschreibungen des Bundes Anforderungen an die Firmen und die ISO Zertifizierung ist meist eine davon.
 
xexex schrieb:
Gibt es doch schon längst, unter anderem die ISO 27001, aber auch weitere Zertifikate. Es gibt aber meines Wissens keine Verpflichtung die Daten nur solchen Unternehmen anvertrauen zu dürfen.
Zum Vergrößern anklicken....
Damit hast Du das Problem erkannt und ich hab auch nix anderes behauptet. Insofern verstehe ich jetzt Deinen Einwand nicht, falls das überhaupt ein Einwand war.
 
Dr. McCoy schrieb:
Ja, ganz genau, weil, wenn das vernünftig gemacht worden wäre, gäbe es jetzt auch Backups, und die Kunden würden sich nicht beschweren, dass ihre Daten nicht mehr da sind.
Zum Vergrößern anklicken....
Ist doch nur die Frage seit wann die Systeme infiltriert waren. Wenn das lang genug geht dann hilft dir auch die beste Backupstrategie nichts.
 
Tobi-S. schrieb:
Wenn man Daten in der Cloud hat, dann hält man auch eine lokale Kopie und eine offline Kopie bereit. Zumindest wenn die Daten wichtig sind.
Zum Vergrößern anklicken....
Nennt sich immutable backups. Ist Industrie-Standard (MSP Industrie). Wer es nicht einsetzt sollte auch alle seine mit Backups generierten Umsätze zurückzahlen müssen.
 
Dr. McCoy schrieb:
Ferner sind es grobe Fehler, dass die entsprechenden Unternehmen und Institutionen, die zu Schaden gekommen sind, nicht selbst auch für entsprechende Backups gesorgt haben bzw. sich diese vom Dienstleister nicht im Laufe der Zeit regelmäßig zur Verfügung stellen ließen, um sie in einer eigenen Infrastruktur noch mal separat vorzuhalten und zu sichern.
Zum Vergrößern anklicken....
Das kostet aber Geld und erfordert Sachverstand. Gerade wenn es in die Cloud geht ist aber der Kostendruck so groß, das Bedenkenträger übergangen werden. Und sobald man in der Cloud ist können die teuren Bedenkenträger mit Sachverstand freigestellt werden. Tjo und in der nächsten Iteration wird halt dann so richtig an den Kosten optimiert. Die lästigen Bedenkenträger sind ja weg....

Fujiyama schrieb:
Würde mich nicht wundern das nach der Aktion die Firma nicht mehr lange ein großer IT Dienstleister ist.
Die Kunden dürften weglaufen.
Zum Vergrößern anklicken....
Du meinst so wie bei Microsoft?

Oh wait.. hmm...

Ne, da sind wahrscheinlich zu viele Firmen anhängig, das man sich einfach in die Tasche lüften und einfach weiter macht...
floTTes schrieb:
Die ganzen "Experten" mit ihrem offline-Backup. Wenn der Angreifer sich genügend Zeit lässt, kannst dir das auch in die Haare schmieren. Du müsstest Backups nach Inhalt und Medium aufsplitten. Und selbst das schützt dich nicht zu 100%.
Zum Vergrößern anklicken....
Naja, man kann mit WORM zumindest dafür sorgen das alles was mal gut war auch gut bleibt. Es ist halt immer wie Frage wie wichtig einem die Daten sind. Wenn man aber ehrlich ist, sind halt kaum irgendwelche Daten die Kosten Wert die echte Sicherheit erfordert. Sprich wir sind alle große gambler die damit ihren Wohlstand finanzieren, das es früher oder später völlig den Bach runter geht...

XCPTNL schrieb:
Also wenn Angreifer es schaffen, dass neben den Daten aus dem "Normalbetrieb" auch noch sämtliche Backups verschlüsselt werden, dann muss da schon RICHTIG was schief gelaufen sein.
Zum Vergrößern anklicken....
Es ist ja noch viel schlimmer! Die Auditinfrastruktur hat es auch erwischt. Also wirklich alles. Produktiv ist schlimm. BACKUP ist ne Katastrophe aber das Auditsystem ist quasi das Armageddon. Schlimmer geht es nicht mehr. Das hätte auch einfach alles abbrennen können, wäre aus selbe rausgelaufen
M@tze schrieb:
Zero Day Exploit, Insiderjob, ... es gibt so viele Möglichkeiten und ohne Logfiles ist das nur extrem schwer bis gar nicht nachzuvollziehen
Zum Vergrößern anklicken....
Richtig und damit ist das auch wirklich der Supergau.

Und genau sowas hofft man bei solche einem Anbieter nicht zu erleben, weil er eben durch die vielen Kunden in der Lage ist die ganzen extremen Investitionen zu stemmen um das wirklich sicher zu machen.

Also z.b. für das Auditsystem
  • kein online Zugriff
  • Zugriff nur mit geteilten Keys und MFA
  • anderes OS als die zu überwachenden Systeme
  • andere HW als die zu überwachenden Systeme
  • Redundantes Logging um komprimitierung eines Auditsystems zu erkennen
  • WORM Speicher für die Auditlogs

Und dazu halt noch Intrusion detection und Intrusion prevention Systeme sowie anomaly detection. Und nich Ganz Ganz Ganz wichtig jemand der sich den ganzen Scheiß auch anschaut und informiert wird Wenn's klingelt und zwar bei jedem Klingeln und nicht einfach krj auf "bestätigen" klickt damit Ruhe ist.....
M@tze schrieb:
Ich will damit nicht sagen, dass der Dienstleister ganz sicher keine Schuld dabei hatte, aber solange nichts Genaues bekannt ist, sollte man doch einfach den Ball flach halten und sich mal selber fragen, ob man nicht auch schon mal im Job Fehler gemacht hat.
Zum Vergrößern anklicken....
Naja, es gibt Stellen da willst du einfach nicht da jemand Fehler machen kann, selbst wenn er sich anstrengt. Ich sage mal Piloten und Kernkraftwerksbetreiber. Man kann schon Prozesse failsafe machen. Man muss aber halt auch wollen und daran hapert es halt.
.Sentinel. schrieb:
Sicherheitsthemen sind extrem komplex. Viele Kommentare hier kratzen an der Oberfläche und werden dem ganzen nicht gerecht....
Die, die da in den betroffenen Rechenzentren arbeiten, sind keine Idioten.
Zum Vergrößern anklicken....
Ja da hast du Recht. Danke auch für die Ausführung bezüglich transparenter Verschlüsselung. Das ist ein Punkt den hatte ich so nicht auf dem Schirm. Wobei man sagen muss, das so ein Eindringen eigentlich auffallen muss bei so einem Dienstleister.

Ansonsten muss auch an sich das Backup auch wieder real eingespielt werden auf Testsystemen bevor man durch solch ein transparentes Verschlüsseln die ältesten Full Backups verlieren kann. Oder meinst du nicht? Klar macht man das nicht für jeden Kunden, aber überhaupt nicht als solch ein Dienstleister? Hmmm.. schwierig. Ich würde jetzt an sich auch erwarten das man sich so was leistet. Tut man aber nicht wie es scheint. Es hat ja wirklich alles erwischt und nicht nur einen geissw unglücklichen Teil der Kunden bevor man es bemerkt hat. Das sind ja auch alles Dinge Die Zeit brauchen. Also eher Monate bis ein Jahr würde ich sagen. Das in der ganzen Zeit niemand auch nur irgendwas gemerkt hat ist schon bedenklich..

Aber klar ist halt wie immer the Race to the bottom. Wer traut sich noch mehr an der Sicherheit zu sparen und damit eben auf Risiko zu setzen. Wird sich ja schon nicht realisieren und wenn doch, wäre man dann nicht eh dran? Sprich ist es nicht wirklich sinnvoll das Geld zu sparen und somit ein gutes Geschäft zu machen und Wenn's knallt im Zweifel halt den Laden dicht zu machen und einen neuen zu starten?
Ranayna schrieb:
Aehnlich wie Backups, sollte idealerweise ein solcher Server vom Rest des Netzes insofern abgeschirmt werden, das wirklich nur Logfiles geschrieben werden koennen, und sonst nichts
Zum Vergrößern anklicken....
Naja, das sollte ein Pull und kein Push sein.
Donnidonis schrieb:
Sorry, aber wer ein RZ in der Größenordnung betreibt, sogar vertragliche Verpflichtungen hat und keine wirklichen Offline Backups hat, hat einfach seinen Job nicht drauf. Selbst wenn die offline Backups 1 Monat alt wären, wäre es nicht schlimm. Aber hier wurde vollkommen versagt.
Zum Vergrößern anklicken....
Ja, es wäre schon gut wenn es mehr harte gesetzliche Vorgaben mit Freiheitsstrafen für das obere Management gäben würde, denn aktuell gibt es ja schon recht viele Regeln, die dann aber schön umgangen, ausgehöhlt und ignoriert werden, damit die Kasse stimmt. BWLer sind da auch ganz stark drin...
User7777 schrieb:
Ja das ist mir klar, aber welche LOG Dateien wurden verschlüsselt? Firewall? Linux, WIndows Logs, Backup Logs...
Zum Vergrößern anklicken....
Die Antwort ist JA.

Egal was du fragst, die Antwort ist wohl ja. Die stehen wohl komplett nackt da. Die haben denen sogar noch den Kopf und die Schambehaaerung abrasiert...
andy_m4 schrieb:
Es wäre zumindest mal zu überlegen, ob jemand IT betreiben darf ohne bestimmte Voraussetzungen zu erfüllen. Wir haben das ja auch in anderen Bereichen. Man darf ja auch keine Bäckerei betreiben ohne das z.B. Hygienemaßnahmen umgesetzt sind. Vergleichsweise Regelungen könnte man ja auch im IT-Bereich schaffen.

Zweitens wäre ne Abdeckung des Schadens. Man muss also Rückstellungen für den Schadensfall bilden oder eine Versicherung abschließen. Damit nicht wie hier die Kunden dumm da stehen, wenn doch mal was passiert. Auch hier gibts Vorbilder in der "normalen" Welt. Man darf z.B. kein Fahrzeug fahren ohne das dies haftpflichtversichert ist
Zum Vergrößern anklicken....
oft. Das gibt es doch, hilft aber kaum was weil jeder wieder sein Risiko abschätzt und hofft das es ihn nicht trifft. Ein Depp wird schon sie Eier dazu haben. Sprich wenn man es selbst nicht macht ist man draußen und wenn es doch alle machen sollten spart der Kunde nichts mehr. Sprich man ist auch raus... das ganze System ist also darauf ausgelegt das jemand beschließt und am Ende dafür den Kopf auf das Schafott dafür legt das er vorher Geld bekommen hat.

Das wird dir auch keiner Versichern. Genau wie kein AKW versichert werden kann. Das Risiko ist zu groß. Daher wird vom Gesetzgeber ne Ausnahme gemacht, damit man es trotzdem betreiben kann. Wird ja schon gut gehen. Und wenn nicht ist auch kack egal dann müssen wir halt damit leben oder sterben. Pech gehabt....
xexex schrieb:
Gibt es doch schon längst, unter anderem die ISO 27001, aber auch weitere Zertifikate. Es gibt aber meines Wissens keine Verpflichtung die Daten nur solchen Unternehmen anvertrauen zu dürfen. Es gibt aber durchaus bei Ausschreibungen des Bundes Anforderungen an die Firmen und die ISO Zertifizierung ist meist eine davon.
Zum Vergrößern anklicken....
Supi. Ein Stück Papier....
 
  • Gefällt mir
Reaktionen: andy_m4 und chaopanda
You get what you pay for. Es gibt so viele Backup-Strategien. Hier war wohl das Problem, dass der Angriff längere Zeit nicht erkannt wurde. Eventuell wurden erst die Backups "unschädlich" gemacht und dann das Hauptsystem angegriffen. Ich denke ein offline-Backup oder unveränderliches Bachup werden sich die wenigsten leisten...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
  • Gesperrt
Der größte IT Dienstleister
Antworten
1
Aufrufe
1.337
_killy_
K
12042007
Empfehlungen für eine Abrechnungssoftware für selbstständige IT-Dienstleister
Antworten
3
Aufrufe
1.354
GunMum
G
P
Rechtlicher Rahmen als selbstständiger IT-Dienstleister
2
Antworten
33
Aufrufe
5.079
Cpt. Subtext
Cpt. Subtext
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz