News Nach Sicherheitsvorfall: Unfallkasse Thüringen setzt IT-Systeme wiederholt neu auf

[Crowbar]

Na hoffentlich ist mit "neu aufsetzen" nicht das Einspielen eines Backups (mit der selben Sicherheitslücke) gemeint.

Wieso? Sie hätten wieder 2 Jahre lang Ruhe.

Ergänzung (20. Dezember 2023)

Die deutschen können einfach keine IT. So einfach ist das. 😅

Das ist kein ausschließlich deutsches Manko...

 

[Simanova]

Nicht auszuschließen ist, dass die Admins vergessen haben alle Systeme zurückzusetzen.
Es muss sich also um keine neue Infektion, im klassischen Sinne, handeln.

Ransomware ist grundsätzlich netzwerkfähig und wird alle Lücken im lokalen Netzwerk nutzen.
Wer jetzt der Meinung ist, dass sich eine Ausbreitung im LAN nicht verhindern lässt, der liegt falsch.
Durch den Einsatz einer Hardware-Firewall mit VLANs und einem entsprechenden Ransomware Schutz auf der Firewall, lässt sich sowas stark eindämmen.

Moderne Endpoint Security Lösungen schützen sogar Angestellte davor schützen Links anzuklicken, Passwörter weiterzugeben und ermöglichen einen 2. Faktor auf allen Geräten.

 

[knoxxi]

Da sind welche offen, vertrau' mir ...

Du bist der arme Administrator und hast gerade gekündigt? 😁

 

[Crowbar]

Wenn Kriminelle mit höchskrimineller Energie ständig Emails mit Links zu Katzenbildern versenden, muss es ja immer wieder auf das gleiche hinaus laufen...

Stimmt, Ransomware-Erpresser rangieren auf dem Level von Falschparkern...

 

[Tux.]

Die deutschen können einfach keine IT. So einfach ist das. 😅

Als Österreicher der im technischen Support bei einem Security Provider arbeitet muss ich sagen .... was hat das mit Deutschland zu tun? Es gibt genug Idi ... Deppen die keine Ahnung haben was sie tun.
Das ist nicht auf gewisse Länder beschränkt. Tendenziell ist es sogar so, dass es mit den Skills schlimmer wird, je weiter man Richtung Osten geht. Middle East und Indien sind wohl die schlimmsten in dem Bereich.

 

[MikeLitoris]

Die IT kann man noch viel günstiger outsourcen. Wie wäre es mit St. Petersburg?

 

[knoxxi]

St. Petersburg

Ist im Moment etwas schwierig mit der Personalgestellung und den Zahlungsmodalitäten.

 

[=dantE=]

Ach, und der Landschaftsbauer setzt gerade die Systeme auf. Lach.

... das ist die einzig logische Schlussfolgerung.
Ich kenne jemand der dort arbeitet.
Aber lassen wir das ... das ist zu bissig.

Ergänzung (20. Dezember 2023)

Du bist der arme Administrator und hast gerade gekündigt?

Nein ... aber ich wuerde jetzt sogar aus deiner Signatur zitieren ...

 

[cubisticanus]

... das ist die einzig logische Schlussfolgerung.

Hehe. Landschaftsbauer passt nicht ins Umfeld, aber vielleicht jemand aus der Liegenschaftsverwaltung, der privat was mit PC macht. So was ist mir auch nicht fremd ... (aber daher drucken wir noch jeden Schitt zusätzlich aus & heften ihn ab).

 

[andy_m4]

Ist ja kein Problem, wenn man mit Computertechnik nicht umgehen kann. Ist ja zugegebenermaßen auch nicht ganz einfach. Aber dann sollte man sie halt auch nicht einsetzen.
Und das ist ja nicht nur bei dieser Unfallkasse so. Das ist ein weit verbreitetes Problem. Nämlich das oft gesagt wird: Aus Effizienzgründen digitalisieren wir alles durch. Aber Aspekte wie Datenschutz und Sicherheit sind so ein Anhängsel so nach dem Motto: "Das müssen wir halt auch machen". Und dann wird das irgendwie mit drangepappt, in dem irgendwie ein Virenscanner installiert wird und dann hat sich das.

Und eigentlich müsste der Ansatz umgekehrt sein. Sicherheit und Datenschutz müsste in vorderster Front liegen. Und erst wenn man die Probleme analysiert und konzeptionell mit ins Projekt festgeschrieben sind, dann kümmert man sich um alles andere.

Ich meine, das haben wir doch in anderen Bereichen auch. Bauvorschriften, Umweltvorschriften usw. Man kann ja (jetzt übertrieben gesagt) keine Hundehütte hinstellen ohne das man sich da durch einen Regulierungsdschungel durchgewühlt hat. Aber bei IT, die ja inzwischen so einen wichtigen Teil einnimmt, da kommt man mit "na wie gucken mal wie es läuft und wenn was schief geht, installieren wir neu" durch?

Da müsste man eigentlich ganz anders vorgehen. Wenn so ein Sicherheitsvorfall auftritt, der offensichtlich durch ne völlig marode und untaugliche Sicherheit begünstigt wurde, würde ich erst mal sagen: "Nee. Einfach nit neuaufsetzen und weiter machen ist nicht. Ihr implementiert jetzt erst mal ne grundlegende Sicherheitsarchitektur und dann gucken wir da drüber und wenn die ok ist, dann dürft ihr den Kram auch weiter betreiben"

Keine Ahnung, wer diese Stelle sein soll, die das überprüft. Das BSI wäre ein möglicher Kandidat. Aber in der augenblicklichen Konstellation ist das ja auch nicht wirklich das Richtige.

Und dann sind wir wieder beim Ausgangspunkt. Wenn solche Dinge wie Computersicherheit nicht sichergestellt werden können, dann darf deren Betrieb auch nicht erlaubt sein.

 

[Rubyurek]

Das schlimme wird ja sein: Da sind keine Stellen offen. Vermutlich wird es da nicht mal ein Problembewusstsein in der Führungsebene geben. Zumindest wäre das, aus meiner Erfahrung im ÖD in solchen eher kleinen Strukturen, sehr überraschend. Solche Sachen "passieren", das ist dann "Pech" und da müssen die "anderen" halt etwas warten, bis wir wieder arbeitsfähig für sie sind ... .

Kann ich bestätigen im ÖD wird keine sau für IT-Sicherheit oder Administration gesucht oder sehr selten. Stellenausschreibung sind kaum vorhanden für diese wichtigen bereichen.

 

[FeelsGoodManJPG]

Die deutschen können einfach keine IT. So einfach ist das. 😅

Können wir schon, nur gibt es da eine recht große Bevölkerungsgruppe, die sich vehement wehrt, sich damit auseinanderzusetzen.
Davon sitzen leider auch viele in Vorständen und politischen Ämtern.

 

[Cool Master]

Die deutschen können einfach keine IT. So einfach ist das. 😅

Eher das Gegenteil ist der Fall. Mit dem BSI haben wir sogar eine Einrichtung die genau vorgibt was gemacht werden kann und Empfehlungen ausspricht. Das Problem ist, dass es in deutschen Unternehmen noch nicht durchgedrungen ist, dass IT-Sicherheit kostet. Daraus folgt aber das noch größere Problem die Kosten die verursacht werden können nicht dargestellt werden. Du hast also außer einem Handbuch für div. Fälle nichts zu zeigen da die Sicherheit "nicht sichtbar" ist.

Das ist auch wieder hier der Fall. Ich würde wetten, dass die ITler gesagt haben wir brauchen mehr Budget und das Controlling gesagt hat nö.

Am Ende langt es bei diesen Angriffen aber wenn eine Person versagt. Du kannst IT und IT-Sicherheit haben wie du willst. Wenn ein Mitarbeiter ein Link drückt wars das solange mit Windows gearbeitet wird. Am Ende wird es wohl darauf hinauslaufen, dass die Mitarbeiter immer weniger Rechte bekommen dürfen oder alles im browser abläuft.

 

[Bohnenhans]

Nun man muss man halt auch sagen die Hacker und Ransomwaregruppen sind halt auch keine "Bastelscriptkiddies" mehr - solche Ransomwaregruppen sind doch sicher zum Teil inzwischen hochprofessionell.

Ich bin mir sicher dass man auch ständig versucht HW Firewalls zu hacken oder Schwachstellen zu finden - und sicher auch hin und wieder fündig wird - ohne dass das dann publiziert wird.

 

[FeelsGoodManJPG]

@Cool Master Pentests kann man in Auftrag geben und erhält ein Zertifikat. Das kann man, wem auch immer, vorzeigen.

 

[cubisticanus]

@Rubyurek Ich habe spaßeshalber bei Interamt mal geschaut -- klar, das ist nicht repräsentativ, aber man sieht schon dass in Behörden zwar Stellen frei sind (auch um Gotha herum ), aber häufig auf einfacher Sachbearbeiter-Ebene, Leitungsstellen sind seltener. Und wenn die da sind, sah zwei, zB Bundesamt für Immobilienaufgaben, dann werden die abartig schlecht bezahlt. Konkret war es da E14 für ein IT-Lab, das 7000 Kollegen betreuen sollte. Schon E15 ist extrem selten. Und ganz oben (B-Besoldung) werden solche Stellen dann meist politisch vergeben. Da kann dann die Staatssekretärin für Digitalisierung im Land Berlin (wäre sicher auch für Bill Gates eine Herkulesaufgabe) schon mal Null IT-Erfahrung haben und zuvor die Geschäftsstelle der Landesgruppe der CSU im Bundestag geleitet haben, Hauptsache man kennt sich ...

Zu dieser unflexiblen (okay, es gibt schon Möglichkeiten, Kompetenz auch im ÖD außerhalb der E-Besoldung zu belohnen, ist aber schwierig, muss begründet werden usf.) Stellenstruktur kommt, dass man im ÖD praktisch nicht zeitnah reagieren kann bzw. es doch sehr schwierig ist (unmöglich ist es nicht), unter dem Jahr eine zusätzliche Stelle in einen Haushaltsplan einzustellen, um Probleme personell anzugehen (und schon gar nicht mit einer unbefristeten Stelle). Also kauft man was ein, wenn man Sachmittel hat. Aber auch da ist man gehalten, 'wirtschaftlich' zu sein usf.

 

[Tamron]

Bestimmt die Traum Kombi Windows + AD + Office. Wie wird neu aufgesetzt? Genau! Wieder mit Windows + AD + Office.
Ist irgendwie genau so wenn man sich an einer heißen Herdplatte verbrennt und immer wieder drauf greift

Mit was willst du sonst neu aufsetzen? Linux? Laufen alle Anwendungen und Spezialanwendungen unter Linux? Ist ein schlecht administriertes und konfiguriertes Linux besser als ein schlecht administriertes und konfiguriertes Windows? Woher bekommst du die Admins, die das gleiche Szenario unter Linux umsetzen und administrieren können? Für den Hungerlohn wirst du nichts finden. Es gibt Phoenix, dass sich daran versucht, aber das kostet schon mehrere Milliarden aktuell. Das ist nicht so easy und günstig...
Man muss in beiden Welten genug tun, damit es sicher wird. OOTB ist beides offen, aber das will ja die Linux Fraktion ja nicht wahrhaben. Man muss sein AD schon härten und brauchbar konfigurieren, das liegt aber nicht an Windows oder am AD, sondern an unfähigen Admins.

Eher das Gegenteil ist der Fall. Mit dem BSI haben wir sogar eine Einrichtung die genau vorgibt was gemacht werden kann und Empfehlungen ausspricht.

Das BSI ist im Vergleich zu den Institutionen der anderen Länder nicht wirklich ein Highlight. Gerade im Bereich Windows und AD sind die Empfehlungen lächerlich und auf ein paar Seiten zusammengefasst. Da ist die CISA oder die ANSSI deutlich besser.

Wenn ein Mitarbeiter ein Link drückt wars das solange mit Windows gearbeitet wird.

Wieder mal kompletter Quark der Linux Fraktion.
Wenn du die gleichen Rechte unter Linux hast, ist es nicht besser.
Es liegt nicht an Windows, sondern an der Konfiguration.

 

[Krik]

Erst Digitalisierung verschlafen und dann sind anscheinend absolute Dilettanten am Werk...

Die IT wird schon um Technik gebettelt haben. Der oder die Chefs haben dann nein gesagt. Kostet ja Geld und bringt keines ein.

Da sind welche offen, vertrau' mir ...

Nur nicht da, wo wirklich neue Leute gebraucht werden: In der Chefetage.

Aber Aspekte wie Datenschutz und Sicherheit sind so ein Anhängsel so nach dem Motto: "Das müssen wir halt auch machen". Und dann wird das irgendwie mit drangepappt, in dem irgendwie ein Virenscanner installiert wird und dann hat sich das.

Leider ist das der Standard, da die Entscheider davon oft einfach keine Ahnung haben. Sie müssten sich hier eigentlich auf die Empfehlung ihrer (hoffentlich) fachkundigen Mitarbeiter stützen, das passiert für gewöhnlich nicht. "Kein Geld da."

Das ist auch wieder hier der Fall. Ich würde wetten, dass die ITler gesagt haben wir brauchen mehr Budget und das Controlling gesagt hat nö.

Jupp, ich wette 10€, dass genau dieser Fall hier vorliegt.

Man kann eigentlich nur hoffen, dass der Chef vom Chef hier mal auf den Tisch haut. Zwei Mal in zwei Jahren ist einfach lächerlich. Das sollte jetzt eigentlich personelle Konsequenzen haben.

 

[MalWiederIch]

Ich frage mich, ob es keine Backups gibt, wenn man alle Systeme neu aufsetzen muss...

Die sind vermutlich ebenfalls verschlüsselt worden bei der Meisterleistung …

 

[0x8100]

Laufen alle Anwendungen und Spezialanwendungen unter Linux?

dann sollte man vielleicht mal von lokalen anwendungen weg auf browser-basierte anwendungen umschwenken. dann ist man schon mal die betriebssystemproblematik los. das, was der typische sachbearbeiter macht, kann man auch web-basiert umsetzen.

Wieder mal kompletter Quark der Linux Fraktion.
Wenn du die gleichen Rechte unter Linux hast, ist es nicht besser.
Es liegt nicht an Windows, sondern an der Konfiguration.

wenn ich unter linux irgendeinen link oder anhang anklicke, dann ist da erstmal nichts ausführbar. unter windows geht es mit *.pdf.exe" und per default ausgeblendeten erweiterungen sofort los.