News Nach Sicherheitsvorfall: Unfallkasse Thüringen setzt IT-Systeme wiederholt neu auf

[Cool Master]

Hey die Arbeiten an Silvester, dürfen die das?

Sind ja Freelancer die legen ihre Arbeitszeit selber fest

 

[jonderson]

In Privaten Firmen vielleicht, allerdings nicht bei Behoerden. Ist ja nicht der Erste Vorfall den man hat. Man hat also nichts dazu gelernt und den ihr eigenes Geld wird ja auch nicht Verbrannt. Das zahlt dann der Steuerzahler.

Gut IT-Experte. Was sollen die denn abseits von zu Linux wechseln tun?
Und selbst das hilft nur bedingt User-Daten zu schützen, sondern eher dazu die Auswirkungen nicht noch schlimmer zu machen. (Rechteerweiterung etc)

Ransomeware ist einfach eine verdammt schwierige Sache.
Man kann Notfallpläne bauen um nach Erkennung die infizierten Geräte möglichst schnell vom Netz zu nehmen. Backupplänemachen usw., aber besonders unter Windows gibt es meiner Meinung nach keine 100%ige Sicherheit.

Es hilft dir nicht wenn du 99 Angriffe abgewehrt hast, wenn der 100. Angriff durchkommt...

 

[andy_m4]

Ich will damit sagen, dass der kompromitterende eMail-Anhang und das damit kompromittierte Endgerät eben nicht die ganze Geschichte sind

Manchmal reicht es aber schon. Und wie gesagt. Es war ja jetzt auch nur ein Beispiel. Von daher weiß ich jetzt nicht, warum Du um eMail-Anhänge immer noch so viel Aufriss machst. Das war ja gar nicht die zentrale Aussage.

Nein, die Angreiferseite weiss doch vorher auch nicht, wie weit sie mit den initialen Angriffspunkten kommt.

Für Angreifer gilt letztlich ja auch das Gleiche, wie für jedes andere kapitalistische Unternehmen auch.
Was betreib' ich für ein Aufwand und was ist der zu erwartende Gewinn.
Und wie gesagt. Klar gibt es diese durchorganisierten Angriffe. Ist doch gar keine Frage. Aber das meiste wird eben nicht manuell betreut sein, sondern man wird vom Angriff so viel wie möglich wegautomatisieren. Gegen den Teil sich zu wehren, da hat man relativ gute Chancen.
Die gelebte Praxis sieht aber oft so aus, das nicht mal geschafft wird zeitnah Sicherheitspatches einzuspielen. Und solche Dinge sind es halt, die ich unter Baseline-Security packen würde. Klar. On-Top kann man noch viele andere Sachen machen. Und das zu haben schützt Dich auch nicht zu 100%
Aber das sind so Sachen die mindestens funktionieren sollten.

Und die Frage ist: Haben wir in der Fläche diese Baseline-Security oder haben wir sie nicht. Meine Einschätzung ist: Haben wir eher nicht.

Das einzig gute an der Sache ist, dass die Bewältigung der Schäden oft dazu führt, dass die Führungsebenen der getroffenen Unternehmen die Thematik endlich ernster nehmen. Vorher hat Sicherheit in deren Augen oft ja "nur Geld gekostet". Jetzt merken sie, dass das Aufräumen und Wiederaufbauen noch mehr Geld kostet.

Womit Du ja indirekt doch noch zugibst, das ich mit meinen Punkt - nämlich das die Security häufig sehr verbesserungswürdig ist - nicht Unrecht hab. ;-)

 

[ChinaOel]

Es gibt ein ungeschriebenes Gesetz im Top-Management:
"Warum in IT und Weiterbildung des Personals investieren, wenn doch alles läuft." Bis es nicht mehr läuft.

Never change a running system


Da fällt mir ein neues Urteil ein was hoch interessant sein dürfte was solche Vorfälle angeht.
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191de.pdf

 

[andy_m4]

Wenns denn mal ohne Probleme laufen würde.
In der Praxis ist es eher ein "Never change a halbwegs running system" :-)

 

[pseudopseudonym]

Never change a running system

Bei dem Satz kommt mir immer alles hoch.

 

[M@tze]

Ich hoffe, die UTK ist gegen so was versichert?!?

Na ja, Thüringen ist ja sowieso bald fest in AfD Hand, da werden dann solche Daten sicher wieder mit Schrrreibmaschine auf Papierrrrr gesichert und sowas kann dann nicht mehr passieren...

 

[knoxxi]

Von Bluebrixx kam nun auch ne Mail, das Daten abhanden gekommen sind. Scheint im Moment Konjunktur zu haben.

 

[Evil E-Lex]

Das einzig gute an der Sache ist, dass die Bewältigung der Schäden oft dazu führt, dass die Führungsebenen der getroffenen Unternehmen die Thematik endlich ernster nehmen.

Ich hab schon erlebt, dass man die hinterher gemachten Empfehlungen ignoriert oder nicht vollständig umgesetzt hat, weil das "für die Nutzer zu kompliziert wäre".

Und wie gesagt. Klar gibt es diese durchorganisierten Angriffe. Ist doch gar keine Frage. Aber das meiste wird eben nicht manuell betreut sein, sondern man wird vom Angriff so viel wie möglich wegautomatisieren.

Man darf nicht vergessen, dass es sich um organisierte Kriminalität handelt, die mutmaßlich durch staatliche Akteure gestützt wird. Fast alle Ransomware-Vorfälle der letzte 2-3 Jahre dürften exakt so ablaufen, wie @Atkatla es beschrieben hat. Es heißt nicht umsonst "Ransomware-as-a-service". Naturgemäß erfährt man über die Access-Broker, also die, die den initialen Zugriff auf IT-Systeme herstellen und verkaufen, nicht viel. Wobei dieser Teil natürlich tatsächlich weitgehend automatisiert abläuft.

Was dann groß aufgemacht wird ist der Fallout, den die Ransomware-Gruppierung durch die Verschlüsselung der Daten erzeugt, das gehört zu deren PR. Die eigentliche Verschlüsselungsroutine wird oftmals von Dritten eingekauft und dann nach eigenen Wünschen angepasst. Ganz am Schluss, wenn die Daten abgezogen und die Umgebung vollständig kompromittiert ist, werden Killskripte gestartet, die die Verschlüsselung und Löschung von Daten triggern. Die Skripte, die ich bislang gesehen hab, sahen alle erstaunlich manuell zusammengebaut aus. Bis hin zu individuellen Dateinamen, passend zur Umgebung.

 

[FreddyMercury]

Ransomeware ist einfach eine verdammt schwierige Sache.

Ist es, allerdings ist der User immer noch die groesste Schwachstelle. Man muss Leute halt regelmaessig trainieren keine Email anhaenge zu oeffnen.

 

[Piktogramm]

Sind ja Freelancer die legen ihre Arbeitszeit selber fest

*An der Stelle "freebooter" https://en.wikipedia.org/wiki/Freebooter

 

[Askat86]

Die deutschen können einfach keine IT.

Leider sonst auch so gut wie niemand. Sony, Facebook, Twitter, es gibt wahrscheinlich kaum noch ein großes Unternehmen bei dem nicht irgendwelche Daten geklaut oder verschlüsselt wurden.

Das ist keine Entschuldigung für die Versäumnisse hier, aber die anderen kochen auch nur mit Wasser.
Der überwiegende Teil von Firmen und Behörden spart an der IT.

 

[Piktogramm]

Wenns denn mal ohne Probleme laufen würde.
In der Praxis ist es eher ein "Never change a halbwegs running system" :-)

Schreib mir ne PN, wo arbeitest du, sucht ihr Leute? Dieses "halbwegs running system" klingt schon verdammt gut!

Von Bluebrixx kam nun auch ne Mail, das Daten abhanden gekommen sind. Scheint im Moment Konjunktur zu haben.

Konjunktur? Wenn bei einer öffentlichen IP nicht im Sekundentakt irgend ein Bot Standardressourcen, Standardlogins und -ports abklopft, dann ist das allenfalls ein Hinweis auf massive Verbindungsprobleme. Da gibt es keine Konjunktur, kein Schweinezyglus sondern nur reines Wachstum.
Sicherheitsbuden die übers Jahr nichts gerissen bekommen, können zum Jahresende daher auch immer mit Meldungen Glänzen, dass sie 20Fazilliarden mehr Angriffe als im Vorjahr abgewehrt haben. -.-

 

[Skellgon]

Wieso gehen hier fast alle davon aus, dass irgendwelche Schwachstellen im AD, Exchange oder andere Systeme ausgenutzt wurden? Reicht doch, wenn einer/eine vom schwächsten Glied (der User) auf eine Phishing Mail reinfällt und seine Nutzerdaten preisgibt. Muss nur ein User mit ausreichend Rechten sein und schon kracht es.

Als externer IT Dienstleister kann ich euch sagen, dass das gar nicht so selten vorkommt.

 

[Xorlosh]

Es ist leicht den betroffenen Firmen immer Inkompetenz oder Fahrlässigkeit vorzuwerfen. Sind wir mal ehrlich, passieren kann das jeder Firma. Wenn man es drauf anlegt findet man immer einen Weg. Alle Sicherheitssysteme dieser Welt verringern nur die Chance das die Auswirkungen allzu schlimm sind. Und ist ja toll was es alles so am Markt gibt, dass muss aber auch alles administriert und sinnvolle genutzt werden...

 

[Piktogramm]

Wieso gehen hier fast alle davon aus, dass irgendwelche Schwachstellen im AD, Exchange oder andere Systeme ausgenutzt wurden?
[...]

Cybervorfallbingo gibt "ungepatchtes Ms Ökosystem" als Pflichtfeld vor. Selbst bei erfolgreichem Phish, ist das ein häufiger Vektor, dass sich der Kram über weitere Clients verbreiten kann.