News Nach weltweiter IT-Störung: Wie Unternehmen auf den Crowdstrike-Ausfall reagieren

[Cmdr_Michael]

Hirn einschalten bei der IT Planung. Sicherheitssoftware wird ja nicht zum Spaß als Schlangenöl bezeichnet.

Ja, von Ewig-Gestrigen, die maximal ein kleines Netz bei einer KMU betreiben. Man sollte sich schon mal fragen, warum alle großen Unternehmen, Konzerne und KRITIS auf Sicherheitssoftware setzen. ("Schau, 100te Geisterfahrer")

Aber auch die Sicherheitssoftware ist nur ein Teil der Lösung. Wenn ich ein flaches Netz hab und die meisten meiner Nutzer lokale Adminrechte, dann bekomme ich über kurz oder lang ein Problem.
Als jemand, der im Bereich Incident Response unterwegs ist, sehe ich immer das Gleiche. Bei den Unternehmen, die gut aufgestellt sind (und dazu reicht bereits ein EDR auf allen Systemen, strikte Rollentrennung (Admintätigkeiten mit extra Konten nur von PAWs, und Remote nur über VPN mit 2FA) sehe ich maximal mal einen einzelnen kompromittierten Client. Oft hat das EDR wie Crowdstrike dem Unternehmen den Arsch gerettet, weil die Ransomware-Angreifer schon früh entdeckt wurden.
Bei den anderen muss häufig das komplette Netz neu aufgebaut werden, weil entweder alles verschlüsselt oder der Angreifer bis zum AD-Controller kam und nicht mehr nachvollziehbar ist, was er gemacht hat und welche Backdoors er sich eingerichtet haben könnte.
Und dort wo alles fällt, ist immer einer der gleichen drei Gründe kausal, oder sogar eine Kombination daraus:
1) Sicherheitsrelevante Updates wurden nicht oder zu spät installiert.
2) Remoteeinwahlen / Remote-E-Mail-Zugriff ohne zweiten Faktor
3) Zu laxer Umgang mit Adminrechten.

Ergänzung (22. September 2024)

Es war ja auch der IT nicht vorbehalten, weil Bitlocker das Booten verhinderte, für die Umgebungen die auf Bitlocker setzten. Wenn man dann noch die Domaincontroller offline hatte und keinen Zugang zu Bitlocker Recovery Keys, dann war das Bein schon dicke.
Auch war es eine Zumutung die Keys zu verteilen und einzutippen, weil nur an Hardware mit einem Menschen davor, das halbwegs komfortabel ging.

Anekdote am Rande: Es gab noch den Trick, dass die Mitarbeiter ihre Rechner einfach wiederholt booten sollten. Es gab eine Race Condition, bei der in einem sehr seltenen Fall die Update-Funktion von Crowdstrike gewinnen konnte und die fehlerhafte Komponente vor Ausführung aktualisiert hat. Hat aber nur in einem Teil der Fälle zum Erfolg geführt.
Zu den Bitlocker-Keys: Da hat das Unternehmen dann jetzt hoffentlich den Notfallplan aktualisiert und wird ab jetzt alle Krypto-Schlüssel, wichtige Passwörter, etc. analog und ausgedruckt in einem Safe lagern, oder digital auf einem Offline-Rechner. Diese Vorsorge brauchst du alleine schon für den Fall, dass du dir Ransomare einfängst. Ich habe es selbst schon gesehen, dass der Admin vom Unternehmen nicht an die wichtigen Passwörter herankam, weil die nur zentral auf einem virtualisierten Server im Keepass lagen, der verschlüsselt war, und die Backups/Snapshots waren überschrieben.

 

[GR Supra]

@Cmdr_Michael Wie du schon Enigma entgegnest: Es kommt auch auf die Größe des Unterfangen an. auf die Art und Weise der IT...
Mal schnell ins RZ gehen mit nen Monitor unterm Arm oder zum umpatchen des KVM das ist das Eine, aber über zig Locations komplexe Systeme zu haben, in nennenswerter Anzahl, die nicht mehr booten ist eine Hausnummer.

 

[nazgul77]

Wie machen Buden mit 500-5000 Leute das mit E-Mail Signaturen?
Kann mir jemand das mal erklären?

In meiner Bude mit 5k Mitarbeitern muss jeder sich eine eigene Signatur mit kopieren und einfügen erstellen und als Standard einstellen. Absolut geiles Armutszeugnis.

Meine Frage an den IT Vorstand, ob man sich Mal Alternativen zum Sicherheitsalptraum Microsoft Office anschaut, hieß es, wir gingen immer und gehen auch in Zukunft mit Marktführern.
Wow, Agilität vom Feinsten.

 

[Cmdr_Michael]

@Cmdr_Michael Wie du schon Enigma entgegnest: Es kommt auch auf die Größe des Unterfangen an. auf die Art und Weise der IT...
Mal schnell ins RZ gehen mit nen Monitor unterm Arm oder zum umpatchen des KVM das ist das Eine, aber über zig Locations komplexe Systeme zu haben, in nennenswerter Anzahl, die nicht mehr booten ist eine Hausnummer.

Das mag ich gar nicht in Abrede stelle. Aber ich kenne viele Unternehmen, die gerne tauschen würden und liebend gerne "1* in 10 Jahren alle Rechner manuell hochfahren und eine Datei zu löschen" vs. "Alles komplett verschlüsselt und wir müssen Monatelang die IT wieder aufbauen müssen".

 

[GR Supra]

Ja, das würde jeder gern machen.
Für mich zeigt das aber erstmal nur, dass die Wiederanlaufpläne nicht ihren Namen verdienen oder nicht da waren.
Man kann natürlich auch grundlegen Sinnhaftigkeitsfragen stellen bei dem Thema. Aber BL abstellen ist für größere Infrastrukturen nur dann eine Option, wenn es eine andere managbare Verschlüsselung gibt. BL hat unterm Strich ja nur zusätzlich aufgezeigt, wie sensibel das alles sein kann.

Ergänzung (22. September 2024)

In meiner Bude mit 5k Mitarbeitern muss jeder sich eine eigene Signatur mit kopieren und einfügen erstellen und als Standard einstellen. Absolut geiles Armutszeugnis.

Meine Frage an den IT Vorstand, ob man sich Mal Alternativen zum Sicherheitsalptraum Microsoft Office anschaut, hieß es, wir gingen immer und gehen auch in Zukunft mit Marktführern.
Wow, Agilität vom Feinsten.

Das machen viele Buden so, ohne eine Bude zu sein. Leider.
Was soll denn die Alternative zu MS Office sein?

 

[Enigma]

Ja, von Ewig-Gestrigen, die maximal ein kleines Netz bei einer KMU betreiben. Man sollte sich schon mal fragen, warum alle großen Unternehmen, Konzerne und KRITIS auf Sicherheitssoftware setzen. ("Schau, 100te Geisterfahrer")

Ich geb dir recht. Ich will ja nicjt sagen, dass man einen derartigen Sicherheitslayer nicht braucht. Im Gegenteil.

Mir geht es eher darum, dass soetwas mit links stemmen kann, wenn man die richtigen Leute hält. Das ist ja alles keine Raketenwissenschaft. Aber sag mal du willst eine Varnish-Erweiterung programmieren, die IDS/IPS übernimmt. Da ist es wichtiger einen AB Test zu unterstützen ob ein Steuer-Textfeld für England zu weniger Kaufabbrüchen führt. Ne. Das kommt 3 Jahre später via Cloudflare für 250k im Jahr, wenn der Shop gehackt wurde, weil ein Weihnachtsgewinnspiel (kostengünstig entwickelt in Polen) für SQL injection offen war. Mit der Aktion hast du als Führungskraft dein Unternehmen hinsichtlich IT getötet.

 

[nazgul77]

Was soll denn die Alternative zu MS Office sein?

https://www.heise.de/tipps-tricks/5-Office-Alternativen-4665762.html
OpenOffice würde ich persönlich streichen, und stattdessen OnlyOffice aufnehmen.

 

[GR Supra]

@nazgul77 Und das soll auf Bundesebene funktionieren? Es hat auf Stadtebene und in manch Kreisverwaltung nicht mal intern funktioniert.

Jede Software im haus, die Textverarbeitung ansprechen können muss, muss damit kompatibel sein. Und da ist MS Office am weitesten.

 

[nazgul77]

Jede Software im haus, die Textverarbeitung ansprechen können muss, muss damit kompatibel sein.

Wer sagt denn das? Ein Gesetz? Nein, den Zwang gibt es nicht.
Zum Austausch sind andere, offene Formate wesentlich besser geeignet. Soweit ich mich erinnere unterstützt MS Office auch (wenige) solche Formate.

 

[Salamimander]

Anstatt man solchen Unfug bleiben lässt, (Ursachen entfernen), arbeitet man jetzt vorsorglich an den Folgen. Klasse …

 

[GR Supra]

Wer sagt denn das? Ein Gesetz? Nein, den Zwang gibt es nicht.
Zum Austausch sind andere, offene Formate wesentlich besser geeignet. Soweit ich mich erinnere unterstützt MS Office auch (wenige) solche Formate.

Das ist die Praxis. Ohne wird es keine Alternative geben.

 

[Blutschlumpf]

Ist doch total einfach. Windows auf zwei Partitionen ausführen. ...

Und wann genau wechselst bzw. synchronisierst du die Partition?
Hier geht es ja nicht um ein OS Update alle paar Wochen sondern um neue Signaturen, sowas kann ja durchaus auch mal alle paar Stunden wenn nicht sogar Minuten kommen.
Ich denke nicht, dass das so balan ist wie du denkst.

Man sollte sich schon mal fragen, warum alle großen Unternehmen, Konzerne und KRITIS auf Sicherheitssoftware setzen.

Unabhängig davon, dass ich nicht in Abrede stelle, dass solche Software auch funktioniert / hilft / sinnvoll ist (was ja im Grunde immer schwer bis unmöglich zu quantifizieren ist weils keine seriösen Informationen gibt was verhindert wurde):
Deine Argumentation ist keine.
Zum einen ist etwas nicht gut weil es viele machen und zum anderen kennst du die Antwort schlichtweg nicht.
Einige Dinge passieren durchaus nur deshalb weil irgendwo ne Checkbox (z.B. für ne Zertifizierung / Versicherung / Firmenpolicy / Kundenanforderung) abgehakt werden muss.

Ich hab durchaus schon Kunden gesehen, die ne Firewall gemietet haben und pauschal alles freigeschaltet haben weil die irgendwo ne Vorgabe hatten, dass das System xy hinter ner Firewall steht.

 

[ICHBINDA]

Ich hatte bisher immer Rootrechte. Nie Probleme. Privat nur Windows Virenschutz...nie Probleme

Was kann eigentlich Crowdstrike, dass das so viel eingesetzt wird...?

🤣🤣
Das sagt mir alles, System Rechte aber kein plan.

Das heißt du merktst gar nicht das dein System Kompromittiert ist.

Die IT die jemanden Admin Rechte gibt gehört verboten. Es gibt genug Möglichkeiten eine Anwendung explizit in einem Container auszuführen mit Admin Rechten, da braucht der nicht den ganzen PC Admin rechte das ist grob Fahrlässig keine Cyber Versicherung zahlt da.

Ein Klick auf einen falsche E-Mail oder Webseite reicht vollkommen.

Was Crowdstrike macht es erkennt mit einer KI ob dein System Angegriffen wird und trifft selbständig Maßnahmen das dieser sich nicht in der ganzen Firma Verbreitet, und ja dies kommt vermehrt wegen China und Russland vor und ja auch kleine Firmen. Sixt, Karten Dienstleister für kranken Karte, Snixdorf usw. . Viele gibt es danach nicht mehr.

 

[Piak]

🤣🤣
Das sagt mir alles, System Rechte aber kein plan.

Das heißt du merktst gar nicht das dein System Kompromittiert ist.

Ganz planlos bin ich nicht. Bei uns haben die guten Entwickler Root Rechte Wir haben fünf stellig Entwickler, also ganz kleiner Laden.

 

[GR Supra]

@Piak Dennoch ein Alarmzeichen und technisch unnötig bis maximal risikohaft.

 

[Salamimander]

Entwickler die Root brauchen, sind ein Zeichen von schlechter Architektur.

 

[Piak]

@Salamimander Bei wem schlechte Architektur? Weißt du was ich entwickel?

 

[Salamimander]

Sobald ein Entwickler Root braucht, ist die Architektur Mist. Da muss ich keine Details wissen.

 

[Blutschlumpf]

Da lehnst du dich aber weit aus dem Fenster.
Ohne lange zu überlegen: Programmier und teste mal Gerätetreiber oder Kernelbestandteile mit User-Rechten.
Zudem verschwimmen in Firmen/Abteilungen mit Devops-Ansatz zunehmend die Grenzen zwischen Entwicklung und Administration.

 

[Salamimander]

Auch dort braucht der Entwickler kein root! Es benötigt eine entsprechende Toolchain und vereinzelte privilegierte Rechte für genau diese. Nur weil du (bzw viele) es nicht anders kennen, ist es noch lange nicht richtig und erst recht nicht sicher…