News Kritische Infrastruktur: Deutsche Flugsicherung von Hacker-Angriff betroffen

[Simonte]

Wer so argumentiert macht halt seinen Job ggf. schlecht. Bei IT-Sicherheit gehts nie darum Gewinn zu erwirtschaften, sondern darum den erwirtschafteten Gewinn nicht mittels einer dämlichen Lücke für Jahre zu vernichten.

Ich bringe kein Argument sondern eine Meinung.
Ich spreche von Erfahrungswerten, die ich gehört und selbst erfahren habe. Meine GF habe ich überzeugt das IT-Sicherheit einen hohen Stellenwert hat.
Ich kenne aber auch Kollegen, die mit egal welchen Argumenten die GF nicht davon überzeugt kriegen zu investieren. Einige lassen sich sogar schriftlich bestätigen, dass die GF das Risiko eingeht....
Es ist ja noch nie was passiert -.-

 

[Unnu]

Bin gespannt ob NIS-2 überhaupt irgendwann von irgendwem geprüft wird.
GFs von IT-Sicherheit zu überzeugen ist in vielen Firmen schwer

Jo, wird's. Ob das staatliche Stellen prüfen werden ist eigentlich Nebensache. Viel "witziger" werden wohl die 3rd Party Audits, die Dir dann von der Regelung unterliegenden Großkonzernen oder auch KRITIS-Betreibern reingedrückt werden.

Dann kommen noch Cybersecurity-Act und der Data-Act. Damit ist eigentlich jede Firma in der EU restlos bedient.

Zuguterletzt haben auch die Wirtschaftsprüfer diesbezüglich natürlich Audit-Fragen. Und spätestens um die kommst Du nicht herum.

So Späße wie NIS2 etc. machen "das Verkaufen" von IT-Sicherheit, oder InfoSec allgemein eigentlich SEHR einfach.

Teilweise muss man auch so ehrlich sein, dass manche IT-Strukturen eigentlich komplett eingerissen gehören. Ich seh das bei uns. Wir machen tatsächlich sehr viel für Security, schaffen Produkte an, schulen Mitarbeiter und das zeigt auch alles Wirkung, aber so einen Moloch aus Active Directory, Office 365, dutzenden weiteren Programmen und zig Onlinediensten, wann ist der wirklich abgesichert? Da kann man Firewall, Antivirenlösung, NDR-Software, Pentests und alles drüber schichten bis man umfällt, aber irgendwo gibt's immer Löcher.

Joah, gewachsene ShitShow halt.
Da hilft wirklich nur konsequentes, ausdauerndes und unnachgiebiges Aufräumen.
Erstmal Observability herstellen, ... ja das dauert an sich schon ewig, egal, und alle generellen Schwachstellen gnadenlos wegräumen.

IT-Sec ist halt hauptsächlich Hausmeister, Gärtner und Erkärbär in Personalunion.
... Und Business muss ich meist weit weniger erklären als der IT. XD

Ja, da wird ab und an auch Business ein wenig quietschen, allerdings kann man denen zur Not eben auch ein Dokument unter die Nase halten, dass sie über die Risiken und Gefahren aufgeklärt wurden, wenn a,b, ..x,y nicht gemacht werden.

Und man sucht sich ein gutes mSOC. Selbst kannst Du sowas nicht mehr betreiben, wenn Du kein globaler Konzern bist.

Wieso werden eigentlich solche Angriffe wie diese und auf Gemeinden, Krankenhäuser und andere Öffentliche Einrichtungen nicht als Terrorangriff gewertet und dementsprechend geahndet?

Wie genau soll das gehen? Wie soll denn eine Attributierung überhaupt zuverlässig stattfinden?
Vor allem, wenn man die NICHT live beobachten kann?

Frage an die Experten hier, müssen solche Abteilungen überhaupt Zugang haben an das öffentliche Netz?

Nein.
Und so wie's aussieht, war deren kritischer Bereich - aka die Flugsicherungssysteme - eh von der Verwaltung abgekoppelt. Klassische Netzwerksegmentierung würde ich vermuten.

Letzt habe ich den CISO von EnBW getroffen, dessen echte Kritische Infra ist komplett airgapped!
Selbst wenn da ein Wurm oder was auch immer reinkommen sollte, raus kann das Ding nicht telefonieren und irgendwann wird's mal gefunden und gelöscht.

Dann noch diverse Sub-Netze, um den Blasradius zu verkleinern, und ab und an halt IT für Erwachsene und kein Klicki-Bunti, welches ja von vielen mit IT verwechselt wird.

Was willst du machen? Die eingesetzten Proxyserver bombardieren?

Ja, klar, und dann noch die Proxies dieser Proxies und alle Onions sowieso!

 

[7hyrael]

Ich kenne aber auch Kollegen, die mit egal welchen Argumenten die GF nicht davon überzeugt kriegen zu investieren.

Da wäre ich tatsächlich sogar geneigt zu sagen, wer so unbelehrbar ist, hats verdient. Da sollten deine Kollegen ihre Chance erkennen. Ich rede nicht von aktivem Schaden anrichten. Sondern von einem Breach, bei dem die Daten nirgends landen, der aber den AG Gesetzlich dazu verpflichtet das zu melden.

Wäre ein Dienst ggü. dem Kunden.

Ich kenne die Situation selbst, wenn die Geschäftsleitung das immer weiter unterminiert.
Bei mir hatte das tatsächlich sogar zu Burnout-Ähnlichen Symptomen geführt als ich dafür die Verantwortung haben sollte. Ich hab nach unzähligen Versuchen das zu lösen damals dann gemeinsam mit den Logs die den Breach verifiziert haben (wo ich natürlich nicht weiß, wer das war) meine Kündigung und die Deadline bis ich die Infos an die entsprechenden Stellen weitergebe, eingereicht, mit dem Hinweis auf die drohenden Strafen wenn es nicht pünktlich (binnen 72h) gemeldet wird.

Da ist dann jemandem mal ganz schnell der Hintern auf Grundeis gelaufen.

 

[Dr. MaRV]

Und deine Reaktion ist dann genau so überheblich und besserwisserisch zu antworten? :-D

Nein, ich habe auch erklärt, dass wir die halbe Stunde AUF dem Pusher verbracht haben, weiter, dass der Kapitän als Grund den Umstand angeführt hat, das die Flugsicherung, an diesem Tag weniger Flugzeuge als gewöhnlich akzeptiert(e) und das auf den BER begrenzt sei (wörtlich alle Abflüge des BER). Es halt also weder etwas mit der Abfertigung, dem Bodenpersonal oder dem Flughafen selbst zu tun. Pünktlich waren wir auch, der Timeslot also nicht abgelaufen.
Ist auch Wurscht, wenn es mit der News zu tun hat, wird man es vermutlich nicht erfahren. Wenn es nur die Verwaltung war, warum dann so eine Geheimhaltung? Runterspielen ist bei solchen Ereignissen der normale Prozess.

 

[Simonte]

Da wäre ich tatsächlich sogar geneigt zu sagen, wer so unbelehrbar ist, hats verdient. Da sollten deine Kollegen ihre Chance erkennen. Ich rede nicht von aktivem Schaden anrichten.

Ist auch immer der erste Gedanke aber ist ein Ritt auf messers Schneide :/
Weil man einerseits in der Verantwortung ist und andererseits auch ^^

Ergänzung (2. September 2024)

Was sollen diese Staaten deiner Meinung nach tun? sich dem Westen unterwerfen? Russland wurde die Jahre von der Nato regelrecht umzingelt, wie würde die USA reagieren wenn China oder Russland das machen würden?
Ach ja richtig, haben wir in der Kuba Kriese gesehen, der amerikanische Daumen lag schon auf dem Atomkriegknopf..wir sind nicht besser als die China, Iran, Russland u.s.w im Gegenteil..

Najaaa....
Also Putin hätte auch einfach mal eine demokratische Wahl durchführen lassen
Aber er wollte unbedingt Macht behalten...
Aber das ist off-Topic.
Ich glaube auch man sollte solche Vermutungen und Behauptungen einfach lassen, wenn man nicht weiß woher der Angriff kommt.

 

[Atnam]

Es halt also weder etwas mit der Abfertigung, dem Bodenpersonal oder dem Flughafen selbst zu tun. Der ist nur für Rollfeld und Startbahn zuständig alles was die Bahn verlässt oder darauf zusteuert unterliegt der DFS.

Mal davon abgesehen das Kapitäne gerne mal irgendwas erfinden um die Passagiere bei Laune zu halten gibt es unzählige Gründe warum die Flugsicherung in bestimmten Zeiten weniger Starts oder Landung zulässt. Verzögerte Ankünfte andere Maschinen, überfüllter Flugraum am Abflugflughafen, überfüllter Flugraum am Zielflughafen, Unwetter, Probleme beim Flughafen Leitsystem (damit hat die DFS z.B. auch nichts am Hut), kein Landeslot am Zielflughafen und so weiter und so fort.
Ich hab mir mal die Abflugzeiten und Verspätungen vom BER letzten Freitag angeschaut. Das sieht aus wieder jeder andere Tag. Zudem war letzten Freitag Ferienende in Berlin, hilft wahrscheinlich auch nicht.

Auf deine Kommentare wurde patzig reagiert weil du direkt mit einem "wieso? arbeitest du bei der Flugsicherung" gekommen bist als man dir erklärt hat das du nicht betroffen warst weil die System der Flugsicherung die für den Flugbetrieb benötigt werden überhaupt nicht betroffen waren.

 

[7hyrael]

Weil man einerseits in der Verantwortung ist und andererseits auch ^^

Stimmt schon, allerdings kann man das ja auch anders lösen. Ein Hilferuf an den CCC und man kommt vielleicht in Kontakt mit einem findigen Whitehat der da rein haut. Sind wir ehrlich, für einen Grossteil gravierender, bekannter Sicherheitslücken die wir (ich bin kein Security Spezialist) identifizieren können, brauchts nichtmal besondere Skills sie auszunutzen, lediglich etwas Motivation.

Ist in meinen Augen ein adäquates und völlig legitimes Mittel. Wer als Koch in einem Restaurant arbeitet, steht genauso in der Verantwortung zu verhindern dass einem Gast die Austern die seit 2 Wochen in der Sonne liegen serviert werden. Wenn dieser Koch den Restaurantbetreiber anschwärzt/anzeigt weil dieser darauf besteht dass die Dinger noch serviert werden, bin ich mir sicher dass dem Koch keine Folgen drohen. Eine vergleichbare Gesetzeslage müsste halt mal in der IT geschaffen werden bzgl. Fahrlässigem Umgang mit Kundendaten und Kundensicherheit.

 

[Whitehorse1979]

Naja es ist sicherlich kein großer Aufwand sich von irgendeinem deutschen Bunker Zugang zu kritischer Infrastruktur im Namen Russlands zu verschaffen. Obs nun wirklich Russen waren, weiss natürlich niemand. Aber ja wenn ich sowas machen würde, würde ich mich auch als Russe tarnen. Ich hatte mal das US-Militär auf einem Rechner, arin mit Wireshark hats verraten. Also schwer ist das jetzt nicht IT zu kompromittieren. Vielleicht steckt ja auch der Chinese dahinter und versteckt sich in den Niederlanden im RZ. Aber Terror und Bündnisfall also bitte. Vielleicht waren es auch einfach die Nachbarskinder.

 

[interesTED]

Das ist dann aber keine kritische Infrastruktur. Es ist überhaupt keine Infrastruktur.

Dann hast du den Artikel nicht verstanden. Kritische Infrastruktur ist ein feststehender Begriff für eine Reihe spezifischer Unternehmen. Es geht nicht um die kritische Infrastrukur eines einzelnen Unternehmens im Sinne von „besonders wichtige Systeme“. Es geht darum, dass die IT der DFS betroffen war. Das sind die genau die Systeme, die ich beispielhaft dargestellt habe. Wenn die OT betroffen gewesen wäre, wäre bestimmt kein Flugzeug mehr im deutschen Luftraum gewesen.

 

[k0ntr]

Mehr als die absoluten Basics hat man damit aber nicht erreicht. Da schickt man als Angreifer irgendein Powershell-Script per Mail rüber und der Keylogger fühlt sich gleich heimisch und schiebt sich am besten noch übers Netzwerk auf andere Geräte.

das sollte der defender for endpoint schon checken... zumindest sollte man MDR haben?

 

[Ice =A=]

Die Russen...
Nicht das erste Mal.

Das sollten auch einige mal merken!

 

[Conqi]

das sollte der defender for endpoint schon checken... zumindest sollte man MDR haben?

"Der Antivirus wirds schon erkennen" sollte immer die letzte Hoffnung sein, weil das mehr als unzuverlässig ist. Bei sowas gilt aus meiner Sicht eher, dass man Anhänge wie Scripte, verschlüsselte zip-Dateien, ausführbare Dateien und all solche Späße überhaupt nicht zulassen sollte.

 

[E1M1:Hangar]

Einfach mal anschauen - nette Doku zu APT usw. ...

https://www.ardmediathek.de/film/putins-baeren/Y3JpZDovL3N3ci5kZS9zZGIvc3RJZC8xNTg4

In Sachen IT ist Deutschland immernoch im Neuland gefangen.

 

[Unnu]

Bei sowas gilt aus meiner Sicht eher, dass man Anhänge wie Scripte, verschlüsselte zip-Dateien, ausführbare Dateien und all solche Späße überhaupt nicht zulassen sollte.

Ähm, ja. Soweit die Theorie. Da gebe ich Dir recht.

Praktisch musst Du das anders lösen, denn irgendwer will immer irgendwo eine Extrawurst haben. Und das ist meist eher weiter oben angesiedelt.
Und die wirklich beschissensten Dateien überhaupt sind immer noch Office-Docs mit Funktionalität, die "nun wirklich jeder braucht" ... !
Seufz.

Andererseits checkt der Defender ja auch genau solche Sachen.
Wenn er auch nicht unbedingt immer der Schnellste ist. Kommt bei dem halt ganz auf die Qualität der Hashes an.
Wir testen halt gerade diverse EDR, die ohne Hashes, verhaltensbasiert arbeiten, damit wir unsere ggf. mehrere Wochen offline IT/OT halt auch noch schützen können.

Es ist durchaus beeindruckend, wie gut KI sein kann, wenn man mal den Fokus weg von diesen komplett overhypten LLMs nimmt.

 

[AI-Nadja]

Ich kenne persönlich mehrere Fälle, in denen die IT-Sicherheit am seidenen Faden hängt. Dort werden gesetzliche Vorgaben so kostengünstig wie möglich interpretiert und nur das Nötigste umgesetzt. Es geht buchstäblich nur darum, dass man auf dem Papier sagen kann, dass man "etwas" dafür getan hat. Es nimmt aber so gut wie niemand ernst.

Und die meisten Hacks sind überhaupt keine Hacks, sondern pure Blödheit.

Beispiel:
Da kommt eine E-Mail mit der Information, dass die Cloud neu eingerichtet werden muss und die Angestellten klicken auf den Link und bestätigen anschließend einen Download und eine ausführbare Datei. Am nächsten Tag sind sämtliche Systeme verschlüsselt und Lösegeld in Bitcoins wird verlangt.

Und das beratungsresistente Management hat zuvor die Entscheidung getroffen, um ein wenig Kosten zu sparen, die Backups direkt mit den Systemen zu verbinden, anstatt - wie von der IT mehrmals gewarnt - extern zu halten. Tja... damit waren auch die Backups verschlüsselt. Von einem Tag auf den anderen gingen Daten aus zwei Jahren verloren und mussten fast ein Jahr lang mit zusätzlichem Personal und vielen Überstunden neu erstellt werden.
Und das Beste: Für die schnelle Reaktion und Aufarbeitung hat sich das Management einen Bonus auszahlen lassen. 🤡
Der "Tipp" der IT wird nun befolgt und die Backups werden etwas teurer, dafür sicher erstellt. Und der IT-Leiter ist zu Konkurrenz gewechselt. (natürlich nach der Auszahlung der Überstunden und abgelehnten Gehaltserhöhung)

Solange es so einfach ist, behaupten zu können, dass man gehackt wurde und straffrei davonkommt, wird sich auch nichts ändern.

 

[JensG]

Wieso werden eigentlich solche Angriffe wie diese und auf Gemeinden, Krankenhäuser und andere Öffentliche Einrichtungen nicht als Terrorangriff gewertet und dementsprechend geahndet?

Ohne Security ist es ja nicht wirklich ein Angriff. Eher Selbstsabotage.

Und das Märchen vom Hackerangriff bestätigt sich eher selten.

Vielleicht doch mal in IT und Sicherheitskonzepte investieren.
Könnte helfen.

 

[Mysterion]

Da ein Großteil der IT-Sicherheit von US-Unternehmen kommt, bin ich mir nicht ganz sicher, wieso Russland dahinterstecken sollte. Dadurch würde man dem Feind doch in die Hände spielen?

 

[Hornblower]

Also wenn man das sowieso nicht rausfinden und beweisen kann, dann sollten unsere Boys vielleicht auch mal ein wenig trainieren. Kann ja nicht schaden ;-).

 

[ripa]

Bin gespannt ob NIS-2 überhaupt irgendwann von irgendwem geprüft wird.
GFs von IT-Sicherheit zu überzeugen ist in vielen Firmen schwer weil man damit kein Geld verdient :/

Ich meine mit NIS2 haften die GF persönlich und können es nicht mehr auf andere schieben.

 

[k0ntr]

"Der Antivirus wirds schon erkennen" sollte immer die letzte Hoffnung sein, weil das mehr als unzuverlässig ist. Bei sowas gilt aus meiner Sicht eher, dass man Anhänge wie Scripte, verschlüsselte zip-Dateien, ausführbare Dateien und all solche Späße überhaupt nicht zulassen sollte.

ja das ist so. erst recht in einem unternehmen wo die leute ihre passwörter in einer excel datei auf dem desktop haben... ich liebs