News Südwestfalen IT: Deutsche Verwaltungen durch Ransomware-Angriff gestört

[Dr. MaRV]

@xxMuahdibxx
Sicher war es das, nach dem Abgang von Ude als OB hat die SPD-CSU-Koalition ganz schnell die Weichen umgestellt. Ballmer hat auch nichts ausgelassen und reichlich Seelenmassage betrieben.

 

[Evil E-Lex]

Bei solchen Anwendern ist es völlig egal, ob die vor einem Windows, einem SuSE Linux, einem Haiku, BSD oder sonst was sitzen, es ist in jedem Fall eine Katastrophe und das Argument, dass die Anwender ja Windows soooooo gewohnt sind, zieht bei MIR persönlich nicht. Die wissen nicht mal, was der Desktop ist.

Das stimmt und ist ein großes Problem. Ich sag immer: "Die User klicken bunte Bildchen an." Wehe, an den Bildchen ändert sich was, da bricht die Welt zusammen. Ich erinnere mich noch an die Dramen, die sich abgespielt haben als das Outlook-Icon plötzlich blau war und nicht mehr gelb.

Daher sehe ich das Betriebssystem gar nicht als das größte Problem an. Das kann man den Usern beibringen. Viel schlimmer sind Fachanwendungen, die ausschließlich auf Windows laufen und für die es keine Alternativen gibt. Davon gibt es unzählige.

 

[bart1983]

Kommunen klagen schon eh und je über zu wenig Geld, aber schön in Zierpflanzen investieren statt in neu Softwarestrukturen zeigt jetzt einfach falsche Prioritäten gesetzt wurde leider.
Was auch die Bürger spüren, wenn online anliegen einfach nicht funktionieren.

Aber die Vorhöfen sind schön mit Tulpen, Primeln und Narzissen bepflanzt worden wenigstens... 😉

Habe für eine IT-Abteilung einer Verwaltung gearbeitet. Deshalb triggert mich dieser Vorwurf etwas.
Das Bepflanzen des Stadtgebiets macht eine andere Abteilung. Das hat keine Auwirkungen auf die IT .


Es liegt echt NICHT an den Leuten in der IT-Abteilungen, sondern an der POLITIK (Gremien).
Ewig lange Entscheidungsprozesse, Bedenkenträgerei, Vorgaben (von Land oder Bund).
Die ausführenden Leute in den Kommunen können selbst wenig verbessern. Denn die sind selbst in einem Korsett. Du kannst nicht einfach eine neue Software anschaffen. Das muss abgestimmt sein, teilweise mit Bundesbehörden, aber beinahe immer mit dem Land.

Was aber richtig ist, das eben das Geld fehlt.
Meine Kommune hatte einen recht soliden Haushalt. Dann sind die Sozialausgaben regelrecht explodiert.

Die Kosten der Flüchtlingsaufnahme & -versorgung (Bau und unterhalt von UFG, Asylbewerberleistungen, dann Bürgergeld, teilweise ärztliche Behandlungen, etc) müssen die Kommunen tragen.

Ausländerbehörden und der Sozialsektor (wie Sozialarbeiter in Schulen) wurden sehr stark ausgebaut. Auch das kostet zusätzlich und fehlt eben an anderer Stelle.

Die Bürger sollten sich deshalb nicht beschweren, wenn an anderer Stelle gespart wird, die kommunalen Gebühren dramatisch erhöht werden müssen oder wenn es an Kapazitäten fehlt.

Die Bürger wollten diese Politik und das sind eben die effektiven Folgen, wie übrigens in vielen "nicht-IT "-Gebieten auch.
Merkels "Niemand wird was weggenommen" war eben nur eine weitere Politiker-Lüge.
Die Kosten muss Jemand (also der Bürger) aufbringen oder sie müssen irgendwo eingespart werden. Anders geht es nicht.

vielleicht sollten langsam mal die Leute lernen, weniger auf Politik-Phrasen und mehr auf Logik zu hören. Damit wäre schon viel gewonnen.

 

[UhrenPeter]

...macht eine andere Abteilung. Das hat keine Auwirkungen auf die IT .

Staatsgelder werden einfach in verschiedenen Töpfen verteilt und wenn ein Topf zu klein ist, liegt es nicht an der Abteilung mit diesem kleinen Topf, sondern am Staat, der diesen Topf so klein gemacht hat. (und andere unnötig groß)

Die Bürger wollten diese Politik und das sind eben die effektiven Folgen...

Was die Bürger wollen und die Politik macht, kann man in verschiedensten Umfragen der letzten Jahrzehnte sehen. Das sind zwei verschiedene Welten...

Ja ok, aber dann wäre immer noch das Problem der Hardware. Drucker, Scanner, Netzwerkhardware etc. zicken ja schon mit Windows ständig rum. Aber bei Linux wird das ja noch weiter eingeschränkt, weil manche Geräte gar nicht funktionieren. Also da müsste man zwingend "standardisierte" Hardware nehmen, die auch unter Linux voll funktionsfähig ist.

WENN sich der Staat dazu entscheiden sollte, nur noch auf OpenSource bzw. Linux zu setzen, werden die großen Zulieferer und Anbieter für den Staat ganz schnell Linux-Treiber erstellen.

Es wird alles für Windows programmiert, weil alle Windows nutzen. Ganz simpel...
Kein Anbieter will sich Staatsaufträge entgehen lassen, weil der Staat immer zahlt. Und oft genug sogar Wucher-Preise, die kein normales Unternehmen zahlen würde.
Ich kenne genügend Beispiele, wo der Staat mehr als das Dreifache für Produkte zahlt. Und tolle Verträge verbieten es den staatlichen Stellen, den Normalpreis bspw. im Handel ohne Rabatt und ohne Steuerabzüge zu bezahlen.
Oder wenn neuwertige Drucker (weniger als 1 Jahr) bei einem Umzug vernichtet werden müssen, um dieselben Drucker im neuen Gebäude nochmal neu zu kaufen.
Oder wenn Umzug von 2 PCs, 4 Monitoren, 2 Tischen und 2 Schränken in den 2 Meter entfernen Nebenraum ca. 500 Euro kostet und man vertraglich bedingt den Dienstleister dafür beauftragen muss und es nicht selbst machen darf.

Dann darf man sich wundern, warum kein Geld für ordentliche IT übrig bleibt.
Der Topf für ordentliche IT-Ausstattung und Software ist eben kleiner als der Topf für IT-Dienstleistungen wie Umzüge, Passwort zurücksetzen, etc.

 

[MR2007]

Ja ok, aber dann wäre immer noch das Problem der Hardware. Drucker, Scanner, Netzwerkhardware etc. zicken ja schon mit Windows ständig rum. Aber bei Linux wird das ja noch weiter eingeschränkt[..]

Also in Universitätsumgebungen ist das häufig Standard das alles übers Netzwerk OS unabhängig läuft, egal ob Linux, Windows oder Apple. Hexerei ist das heutzutage nicht mehr und gerade Business Geräte oft auch schon dafür ausgelegt.

 

[McMoneysack91]

die ausschließlich auf Windows laufen

Allerdings muss ich sagen, dass die meisten unserer Anwendungen extra auf Bestellung geschrieben wurden. Ist nicht so, dass die schon für Windows in einer Schublade existierten und wir die gekauft haben.

Wenn es eine öffentliche Ausschreibung für eine Software-Firma gäbe, etwas für Linux zu schreiben, hätten wir genauso ein Linux-natives System haben können. Das wäre nicht das Ding gewesen.

Dieses Windows-Only Problem ist eigentlich ein Henne/Ei-Spiel oder eine self fulfilling prophecy. Die meisten schreiben für Windows, weil die meisten Windows benutzen und die meisten benutzen Windows weil die meisten für Windows schreiben.

Ich kenne aus dem privaten Umfeld eine Enterprise-Umgebung im Bereich Bildungswesen, die von Windows zu Ubuntu umgestellt hat. 2 große Herausforderunge hatten die:

1) alle ihre Zeugnisse und Zertifikate waren in Excel vorgefertigt. Wurde nach LibreOffice "übersetzt".
2) Die Dongle-Chips für den Drucker mussten alle neu eingelesen und ins System "angelernt" werden.

 

[marcel151]

Liest sich eher als hätte das der Dienstleister verbockt, sonst wäre ja nur die jeweilige Kommune betroffen.

Ist doch auch so, die Südwestfalen-IT ist dieser Dienstleister für die Kommunen.

Ich wohne in so einer Kommune. Natürlich gerade jetzt will meine Frau ein Auto anmelden. Aktuell nicht möglich weil das Straßenverkehrsamt natürlich auch davon betroffen ist. Bisher nicht klar wie lange das noch so geht.

 

[Whistleblower]

Die perfekte Ausrede, noch langsamer zu arbeiten als sie es eh schon tun (Bei deutschen Behörden muss ich immer zwangsweise an das Faultier aus Zoomania denken).

Aber natürlich wird nur langsam gearbeitet, wenn man als Bürger was von denen will. Wollen die was vom Bürger (vor allem Geld), werden die plötzlich vom Faultier zum Duracellhasen.

 

[Teranas]

Interessant wie die Reaktionen hier scheinbar vor allem "Mit Linux wäre das nicht passiert" ist. Als sei Ransomware ein rein auf Windows Maschinen auftretendes Ding. Hier geben sich einige scheinbar der Illusion hin, dass ein Wechsel des Betriebssystems plötzlich alle Probleme löst, statt jeder Menge neuer Probleme zu erzeugen und die alten vermutlich ebenso wenig löst.

Die deutsche IT Verwaltung ist in den Medien, also müssen wir erst mal wieder das ausgeleierte Thema Open Source vs. Proprietär im öffentlichen Dienst wieder in den Stammtisch holen.

Die Diskussion dreht sich im Kreis. Welche Software eingesetzt wird, ist letztlich zweitrangig. Derjenige der sie wartet, einrichtet und bedient muss die entsprechende Kompetenzen haben um sie abzusichern und die Systeme zu schützen. Hast du dieses Wissen nicht, spielt es keine Rolle welche du einsetzt. Ein schlecht konfigurierter Linux Server ist ebenso ein Sicherheitsrisiko wie eine schlecht konfigurierte Windows Maschine.

 

[Gnarfoz]

In erster Näherung richtig, aber ist es überhaupt möglich, das unheilige Trio Outlook+Windows+Active Directory sicher zu betreiben? Scheint eher nicht so.

 

[Red_Bull]

Aber die Vorhöfen sind schön mit Tulpen, Primeln und Narzissen bepflanzt worden wenigstens... 😉

wenigstens können die nicht online gehackt werden, also eine gute investition

 

[Evil E-Lex]

Die deutsche IT Verwaltung ist in den Medien, also müssen wir erst mal wieder das ausgeleierte Thema Open Source vs. Proprietär im öffentlichen Dienst wieder in den Stammtisch holen.

Die Anwendungen sind gar nicht das Problem. Viel schlimmer ist, dass nicht auf offene Standards gesetzt wird, obwohl diese existieren. Mir ist völlig unklar, warum in meiner Behörde Vorlagen ausschließlich in den MS-Dateiformaten erstellt werden, anstatt OpenDocument zu benutzen.

Ergänzung (9. November 2023)

In erster Näherung richtig, aber ist es überhaupt möglich, das unheilige Trio Outlook+Windows+Active Directory sicher zu betreiben? Scheint eher nicht so.

Ich sage, doch das geht. Das bedeutet allerdings immensen Aufwand, weil MS das Ganze schlecht dokumentiert und schlecht implementiert hat. Wenn ich zum Beispiel LAPS nehme (wo schon die Namensgebung quatsch ist, wegen der Unterschiede von Windows LAPS und Legacy-Microsoft LAPS), dann ist für mich nicht zu erklären, warum das immer noch ein optionaler Aufsatz ist und nicht fester Bestandteil, dessen Nutzung zumindest auf Neuinstallationen forciert wird.

 

[Renegade334]

Ich sage, doch das geht. Das bedeutet allerdings immensen Aufwand, weil MS das Ganze schlecht dokumentiert und schlecht implementiert hat. Wenn ich zum Beispiel LAPS nehme (wo schon die Namensgebung quatsch ist, wegen der Unterschiede von Windows LAPS und Legacy-Microsoft LAPS), dann ist für mich nicht zu erklären, warum das immer noch ein optionaler Aufsatz ist und nicht fester Bestandteil, dessen Nutzung zumindest auf Neuinstallationen forciert wird.

Die Dokumentation ist eigntlich sogar ziemlich gut, aber ein großes Problem sind die Altlasten.
Viele Domänen sind noch aus NT oder 2000 Zeiten und da sind einige sehr fiese Voreinstellungen, die bei Upgrades nicht alle geändert werden.
Dazu kommen dann zusätzliche Einstellungen zur Abschaltung unsicherer Protokolle und Algorithmen, die nicht automatisch genutzt werden können, weil immer irgendwo noch wichtige Altgeräte stehen, die das nicht können. Teils sind das auch nicht gepatchte Linux Server an die sich nach X Jahren auch keiner rantraut, weil ja bei neuen Versionen nicht mehr alles kompatibel ist und die Configs an anderen Stellen angepasst werden müssen (so viel zu "mit Linux wäre das nicht passiert").
Das sieht man eigentlich ständig in Firmen. Wer seine Systeme nicht ordentlich pflegt ist leichter angreifbar.

Es gibt von MS und auch vom BSI fertige Richtlinien zur Härtung (Security Baselines, Sicherheitspaket), aber die muss man natürlich noch etwas anpassen. Es ist z.B. sinnvoll NTLM komplett zu deaktivieren (nicht nur v1), aber dann müssen einem die Konsequenzen klar sein. Einige der Einstellungen können ganz schnell dazu führen, dass eine Firma steht.

 

[Gnarfoz]

Also ein Fall von "wenn man weiß wie, geht es". Wenn man dafür nicht Trial & Error machen will, um zu erlernen, "wie es geht", und somit zum "Experten" zu werden, braucht man also Experten. Security-Experten. Das kann man dann weiter in Richtung "Fachkräftemangel" oder "Kein tatsächliches Interesse, die Systeme abzusichern" übersetzen...

 

[nemix]

In erster Näherung richtig, aber ist es überhaupt möglich, das unheilige Trio Outlook+Windows+Active Directory sicher zu betreiben? Scheint eher nicht so.

Schön von Fefe abgeschrieben der es sich in seiner "Wolke" als KMU Firma auch sehr einfach macht.

Natürlich kann man das ganze sicher betreiben, MS liefert dafür diverse Anleitungen. Es scheitert doch schon bei den meisten Firmen ein vernünftigen Least Privilege Ansatz zu fahren. Lieber mit 200+ Dom Admins Accounts (teilweise Service Accounts) arbeiten, damit Helpdesk Vendor X aus Indien "mal eben schnell" Passwörter zurücksetzen kann. Admin Workstations, noch nie gehört und kostet eh nur Geld.
Das ist leider die Realität die man bei größeren Kunden antrifft.
Wir hatten erst vor ein paar Wochen den Fall das ein abschalten von NTLMv1 (eine Altlast aus NT Zeiten...) bei einem DAX Konzern dazu geführt hat das ein großes Archivsystem nicht mehr funktioniert hat. Herstellersupport? Gibt es für die EoL Lösung seit mehreren Jahren nicht mehr. Also wird auch das ausgesessen und mit Verweis auf "Wir haben doch ein managed SIEM, das wird da schon auffallen" weggeschoben.
Schriftlich aufs Risiko hingewiesen, das AD Team in einer Therapiesitzung gut zugesprochen und weiter gehts....

 

[Evil E-Lex]

Es gibt von MS und auch vom BSI fertige Richtlinien zur Härtung (Security Baselines, Sicherheitspaket), aber die muss man natürlich noch etwas anpassen. Es ist z.B. sinnvoll NTLM komplett zu deaktivieren (nicht nur v1), aber dann müssen einem die Konsequenzen klar sein. Einige der Einstellungen können ganz schnell dazu führen, dass eine Firma steht.

Das sind so Dinge, die gehören ins Betriebssystem. Inklusive vollständiger Dokumentation, die auch offline verfügbar ist. Vieles ist über Gruppenrichtlinien einstellbar, die sind aber mittlerweile so unübersichtlich, dass deren Konfiguration eine Herausforderung ist. Die UI ist an vielen Stellen seit Windows 2000 nicht mehr angefasst worden, aber die Systeme deutlich komplexer. Stattdessen hat MS diese neue halbgare Server-Verwaltungsoberfläche namens Admin Center eingeführt. Aber statt alle Tools darin zu vereinen, haben sie in bester MS-Manier einen unsäglichen Mischmasch geschaffen.
Dann die Dokumentation: Es ist ja schön, dass das jetzt alles online Verfügbar ist. Aber gefühlt, sind die Webseiten ein "moving target", ständig ändert sich was uns sei es nur die URL. Dazu kommen die schlechten deutschen Übersetzungen, die man umständlich abstellen muss. Früher gab es die Technische Referenz als mehrbändige Buchreihe, da stand alles drin, was man wissen musste. Warum wird sowas nicht mehr gepflegt, (gerne auch als offline herunter ladbare Website oder PDF)?

Ergänzung (9. November 2023)

Natürlich kann man das ganze sicher betreiben, MS liefert dafür diverse Anleitungen.

Das ist doch genau das Problem! Sie schreiben lieber Anleitungen, anstatt solche Einstellungen ab Punkt X hart durchzusetzen. Die Leute lernen nur durch Schmerzen. Solange man die sichere Konfiguration nur optional anbietet, wird sich nichts ändern.

 

[nemix]

Würde dir direkt zustimmen, aber aus Kundenerfahrung wird das zu so großen Eskalationen führen das es einfach nicht umsetzbar ist. Betrifft übrigens nicht nur MS, ähnliche Probleme gibt es bei Oracle, SAP usw. mit uralt Legacy Themen die als technical debt mitgeschlürrt werden müssen. Selbst Schmerz durch hohe Kosten (siehe ESU bei MS) hilft absolut gar nicht.

Was das Thema Doku angeht bin ich da bei dir, hab letzte Woche erst ein DR Konzept gegengelesen das mit diversen technet.microsoft.com Artikel verlinkt war die alle ins Niemandsland führten....

 

[Gnarfoz]

Schön von Fefe abgeschrieben der es sich in seiner "Wolke" als KMU Firma auch sehr einfach macht.

Covfefe? Gesundheit!

Natürlich kann man das ganze sicher betreiben, MS liefert dafür diverse Anleitungen. [...]

Du scheinst die Frage eigentlich mit "ja" beantworten zu wollen, der Rest deines Posts ist aber ein Paradebeispiel für "nein". 🤷🏻‍♂️

 

[Renegade334]

Das sind so Dinge, die gehören ins Betriebssystem. Inklusive vollständiger Dokumentation, die auch offline verfügbar ist. Vieles ist über Gruppenrichtlinien einstellbar, die sind aber mittlerweile so unübersichtlich, dass deren Konfiguration eine Herausforderung ist.

Jaja der allgegenwärtige Fachkräftemangel. Der Benutzer soll ja auch nicht an den Einstellungen herumfummeln und die Gruppenrichtlinien sind, wenn man regelmäßig damit zu tun hat, eigentlich schon übersichtlich sortiert. Admin ist halt nicht gleich Admin. Ein Datenbank Administrator oder Netzwerker hat sicher auch grundlegend Ahnung von der Materie, aber halt einen komplett anderen Schwerpunkt.

Um es mit den allseits geliebten Autovergleichen zu beschreiben: Du lässt ja auch nicht einen KFZ Meister für Motorinstandsetzung dein Auto lackieren oder die Elektrik vom Entertainment System prüfen.

Eine vollständige Dokumentation gibt es, auch als Download für die offline Nutzung.
Es wäre natürlich schön, wenn die Grundeinstellugnen von vorne herein gesetzt wären, aber dann wäre das Geschrei groß, weil auf einmal nichts mehr geht. Außer du ersetzt alle Systeme älter als Windows 10/Server 2019 und alle Linux Systeme die noch nicht die neuen Standards unterstützen. Und das dann alle 3-4 Jahre wenn der Stand der Technik sich wieder ändert. Was Microsoft da anbietet ist halt auch nur ein Kompromiss.

 

[Evil E-Lex]

Eine vollständige Dokumentation gibt es, auch als Download für die offline Nutzung.

Ich müsste mir learn.microsoft.com also komplett herunterladen? Und was die Vollständigkeit angeht: Mal eine meiner Fragestellungen aus dem letzten Wochen (zugegeben betrifft die ausschließlich die Clientversionen von Windows): Wie groß dürfen die thumbcache_*.db Dateien maximal werden. Wann werden Elemete aus dem Cache entfent? Und wie entscheidet Windows, ob stattdessen thumbs.db Dateien in den Verzeichnissen angelegt werden? Das habe ich nirgendwo in der offiziellen Doku gefunden. Und den Support kann man heutzutage für solche Fragen vergessen.

Ansonsten stehe ich zu meiner Kritik an den Gruppenrichtlinien. Wobei die auch nur ein Beispiel waren. Das Geschriebene trifft auf alle MMC-Snapins zu. Da sieht man, abgesehen von den Icons, keinen Unterschied zwischen Windows 2000 Server und Windows Server 2022. Ich weiß, auch das hat Gründe. MS findet OnPrem mittlerweile doof und ansonsten soll man alles mit der PowerShell machen, daher bekommen die GUI-Tools keine Liebe mehr. Aber dann sollen sie es doch bitte konsequent machen und die GUI gleich ganz weglassen.