News Umfangreicher Datendiebstahl?: AMD untersucht mutmaßlich großen Hack des Unternehmens

[orlof]

Vielleicht sollte man da eher mal in den Unternehmen Mindeststandards für Passwörter festlegen. Wer dann immer noch 123456 benutzt, sollte halt rechtlich belangt werden können. So ein PW ist halt fast schon grob fahrlässig.

 

[Anti-Monitor]

Schwachstelle Mensch - ist es eigentlich immer. Man müsste Biometrie oder Passkeys erzwingen aber hey. Das CIA-Prinzip ist allen bekannt aber es hapert leider immer an der Akzeptanz durch die User.

 

[Syrato]

Bei dem KMU mit 10-150 Mitarbeiter sehe ich das ja noch ein, aber nicht bei einem Unternehmen welches aktuell knapp 250 Milliarden USD wert ist. Da sollte das C-Level halt mal auf etwas Gehalt verzichten und das in die IT-Sicherheit stecken.

Egal ob 10, 100 oder 10000 Mitarbeiter, an der Sicherheit sollte nie gespart werden. Ist aber leider sehr oft der Fall!
Als ob DIE auf ihr Gehalt verzichten 🤢.

 

[NEO83]

Ach die Firmen sind oft selber Schuld ...
Wenn ich es bei mir sehe ... ich habe aktuell 8 Passwörter und man darf, logischerweise, nicht überall das gleiche nutzen.
Dann müssen die aber alle einen großen und einen kleinen Buchstaben, eine Zahl und ein Sonderzeichen haben sowie 12 zeichen lang sein. Zudem muss es alle 3 Monate gewechselt werden!

Na nu überlegt euch doch mal wie viele Leute sich sowas merken können, also werden die aufgeschrieben und liegen dann unter der Tastatur ... Wenn man alles mit einem Kennwort absichert das solche Anforderungen hat kann man sich das vllt noch merken aber dann ist eben schluss.
Ich habe die Kennwörter in meinem iPhone abgespeichert im Passwortmanager ... das ist aber eben auch umständlicher als ein Zettel ... dauert zum nachgucken halt auch länger ...

 

[Cool Master]

@Syrato

Keine Frage, dass sollte nie passieren die Realität vor allem bei deutschen KMU sieht halt leider anders aus. Als ich 2FA verbindlich eingeführt habe war das Geheule auch groß und mittlerweile juckt es kein mehr. Da müssen die MA halt durch. Aber ja, das C-Level wird das im Westen nie einsehen. In Japan könnte ich mir das durchaus vorstellen, da es eine Frage der Ehre ist.

 

[sNo0k]

Tja, es geht eben nur sicher oder bequem. In einem Unternehmen sollten die Prioritäten allerdings klar sein...

 

[ComputerJunge]

dass Sicherheitsschulungen für Mitarbeiter und auch dementsprechende Maßnahmen

Ich halte das weiterhin für eine (allerdings harmlose) Art von Schlangenöl, insbesondere da ja genau ein Breach-Event ausreicht. Als begleitende Informationsmaßnahme ja, aber nicht als wesentlicher Aspekt des Sicherheitskonzepts.

 

[Donnidonis]

Wer dann immer noch 123456 benutzt, sollte halt rechtlich belangt werden können.

Eher die IT Abteilung, die keine Passwort Richtlinie setzen. Es darf gar nicht erst möglich sein, solch ein Passwort zu setzen.

 

[Maggus-Desire]

Unterschiedliche Netze, sei es physikalisch oder logisch und entsprechende Berechtigungen so wie 2FA für alles sollte doch heute Standard sein...

Beeindruckend naive Ansicht. Ich arbeite im IT Security Bereich und nein, das ist leider alles andere als Standard. Würde Microsoft für M365 nicht MFA inzwischen erzwingen, hätte das heute noch keine Sau, weil es "so unbequem ist".
Insbesondere GFs meinen, sie brauchen den schnellen Zugang, weil nur so schnelle Entscheidungen getroffen werden können. Dass das alles grob fahrlässig und selten dämlich ist, ist da schon fast egal.

Netztrennung ist ein ähnliches Thema. Wenn du auf einem Greenfield neu baust, hast du das. Klar. Aber viele ältere Umgebungen sind gerne mal Clients und Server in einem /16. "Netztrennung" bedeutet dann die .1 im dritten Oktet sind Server und die .2 sind Drucker und die .3-.10 sind Clients.
Und wenn du dann ankommst mit: "ist ja super, lässt sich leicht trennen, da braucht ihr ja nur eine aktuelle, leistungsstarke Firewall dazwischen und zack ist mit wenig Aufwand die Sicherheit massiv gesteigert", kommt unter Garantie "wasch desch koschd".
Es gibt wenige IT Bereiche, die frustriender sind, wie initial Firmen/GFs davon zu überzeugen, dass Security wichtig ist. Meist muss es erst den Vorfall geben und selbst dann habe ich schon einmal gehört: "naja, dann wurden die Daten halt gestohlen. Wir können ja weiter arbeiten." - "Sollen wir wenigstens die Passwörter ändern?" - "Nein, das erregt nur Aufsehen" - "Bekommen wir das schriftlich?" - "Hier bitte." (oder ab da wird einfach jedwede Kommunikation seitens des Kunden eingestellt. auch schon erlebt.

Auch VPNs haben heute so viel neues mit Zero-Trust und Access-Controll über MACs etc.

Da muss sich aber jemand mit auskennen. Und jetzt rate mal, wie viel Zeit für Fortbildung bei interner IT vorhanden ist und was wir Dienstleister dafür bekommen, um das anzubieten und zu implementieren. Mal von den Schulungen für die Mitarbeiter für die neuen Vorgehensweisen ganz abgesehen.

 

[Syrato]

@Syrato

Keine Frage, dass sollte nie passieren die Realität vor allem bei deutschen KMU sieht halt leider anders aus. Als ich 2FA verbindlich eingeführt habe war das Geheule auch groß und mittlerweile juckt es kein mehr. Da müssen die MA halt durch. Aber ja, das C-Level wird das im Westen nie einsehen. In Japan könnte ich mir das durchaus vorstellen, da es eine Frage der Ehre ist.

1. Nicht nur im Westen
2. In Asiatischen Ländern wird es dann zu tode geschwiegen, weil es ja unerenhaft ist. In der europäischen Kultur ist man direkter, ist nicht immer besser, aber in dieser Hinsicht sehr gut. Ist wie beim Pflaster, mit einem Ruck, weg damit!
3. Je nach Arbeitslevel sind wir aktuell bei 2FA mit MFA kombiniert.

Wenn doch mal etwas passiert, will ich mir sagen können, dass ich keine fahrlässige oder überhaupt Schuld daran trage. Aber das heisst nicht, dass Mitarbeiter schuld sind, wenn ich sie nicht richtig und genug geschult habe.

Ergänzung (19. Juni 2024)

Tja, es geht eben nur sicher oder bequem. In einem Unternehmen sollten die Prioritäten allerdings klar sein...

SOLLTEN, sind sie aber meistens nicht.

Der klare Menschenverstand sagt dir, beim Radfahren = Helm!, hat aber nicht jede/r auf und da gehts ums eigene Leben!

IT Sicherheit kostet und wirft kein Gewinn ab, solange nichts passiert denken die wenigsten daran, einfach Unwissenheit.

@Maggus-Desire ach es ist schön, wenn man nicht die einzige Person mit den Problemen ist 👍.
Wahre Worte!

 

[ElliotAlderson]

Eher die IT Abteilung, die keine Passwort Richtlinie setzen.

Ich bin mir ziemlich sicher, dass die IT Abteilung da nicht schuld dran ist. Wenn der Vorgesetzte sagt, dass er es so will, dann ist es egal, was die IT sagt.
Selbst so schon erlebt. Dem Kunden waren die Passwörter zu komplex, also musste ich die Komplexität runterschrauben. Da war es allen beteiligten egal, ob das unsicherer ist.

 

[Ranayna]

Das eine ist, wenn z.B. der beste Tresor offen steht und du einfach rein kannst.

Schon richtig.
Aber die allerwenigsten hier duerften in einer Position sein den Tresor auch zumachen zu koennen. Ausser den eigenen natuerlich, was aber nicht hilft wenn ein dicker Brocken wie AMD gehackt wurde.

Tja, es geht eben nur sicher oder bequem.

Hmm, sehe ich etwas anders. Schon richtig das Sicherheit und Bequemlichkeit sich oft zumindest teilweise wiedersprechen. Aber man kann sichere Systeme mit relativ geringer Reduktion der Bequemlichkeit aufbauen. Das ist aber dann nicht billig, sowohl hinsichtlich der direkten Kosten, als auch hinsichtlich des Zeitaufwandes.
Das ist eher das klassische dreieck, etwas abgewandelt: "Billig, sicher, bequem - waehle zwei"


Die Krux an sowas, und deswegen finde ich es schwach das so viele erstmal pauschal dem betroffenen Unternehmen die Schuld geben, ist das es letztendlich aber keinen hundertprozentigen Schutz gibt. Den kann es nicht geben. Stuxnet zeigt dass nichtmal offline zu sein reicht um sicher zu sein.
Wenn da zB ein 10.0 CVE bei Palo Alto Firewalls die Runden macht, mit auf Twitter veroeffentlichten (Teil-) Exploitcodes, wo es noch keinen Patch gibt und die von PA veroeffentlichten Mitigations nicht helfen...
Was soll man dann tun? Bliebe nur den Stecker ziehen, was womoeglich genausoviel oder mehr Schaden als ein Hack verursacht.
Oder die Check Point Luecke ueber die die CDU erwischt worden ist.
Oder einer der Exchange Zero Days.
Oder, oder, oder...

Und grade fuer einen Big Player wie AMD duerfte es sich lohnen einen Zero Day zu verbrennen.

 

[Cool Master]

Beeindruckend naive Ansicht. Ich arbeite im IT Security Bereich und nein, das ist leider alles andere als Standard.

Ja, wie gesagt bei einem Unternehmen wie AMD, MS und co. kann man das schon erwarten, dass es Standard ist. Das wir in Deutschland hinten dran sind ist ja nichts neues insbesondere die GF, die auch von dir angesprochen wurden.

Da bin ich froh die Entscheidungskraft zu haben wenn es um Security geht. Wir setzen auch abgesehen von Office/Win (Clients; ich Mac) nichts von MS ein. Läuft alles auf Linux Systemen entweder direkt als Distro oder Unterbau, wobei es da auch nur eine Frage der Zeit ist bis es die erste Ransomware gibt. Das größte Problem für KMU sind halt, wie du schon erwähnt hast, Kosten.

Das größte Problem an IT-Sicherheit ist aber, dass man sie nicht sieht. Stelle ich ein Tresor mit einer 1-Tonnen Tür hin sieht man davon etwas weil es groß und schwer ist. Baue ich ein Zaun sieht man etwas. Mache ich das im Übertragenen Sinn in der IT-Sicherheit sieht man bis auf ein paar Server/FW/etc. nichts. Man muss aber klar sagen, habe ich auch so vom letzen BSI IT-Sicherheitskongress mitgenommen, dass es langsam ein Erwachen gibt. Es ist also nicht mehr alles misst nur noch etwas, aber ja die fehlende Einsicht bei den GF/C-Level ist nach wie vor da weil es halt viel kostet und nichts direkt bringt.

 

[sNo0k]

Man muss den Leuten halt deutlich machen, dass die Investition in IT-Sicherheit als eine Art Versicherung zu sehen ist. Laufende Kosten im Rahmen sind halt besser als ab und an hohe Kosten, wenn es passiert ist...
Aber es wird ja nach wie vor mit dem Motto "Wird schon nichts passieren" gefahren, bis eben doch etwas passiert. Und das ist bzgl. IT-Sicherheit heute genauso nur noch eine Frage des "Wann" und nicht des "Ob", wie bzgl. Naturkatastrophen durch Klimakrise.

 

[Cool Master]

In der Tat viele Unternehmen kennen das Wort Disaster Recovery bzw. Business Continuity Management (BSI 200-4) nicht. Die sind halt noch in den 90er und sagen wird schon nichts passieren.

 

[Tulol]

Das eine ist, wenn z.B. der beste Tresor offen steht und du einfach rein kannst. Wenn er zu ist und gesichert wurde, aber der Angreifer es dennoch geschaft hat, analysiert man es und lernt daraus mit Gegenmassnahmen.

Stell dir vor es gibt den besagten Tresor der verschlossen ist, in einem Gebäude mit dicken Türen die mit verschiedenen hochsicheren Methoden verschlossen sind aber ein Fenster sperrangelweit offen ist und der Zahlencode des Tresors auf einem Schreibtisch offen rumliegt.

 

[M@tze]

Ich werde mich ganz sicher nicht daran gewöhnen, dass solche großen Unternehmen Passwörter wie "password" verwenden.

Nicht "das Unternehmen" verwendet diese Passwörter. Das sind die User dahinter und wieder dahinter stecken teils faule Menschen. 🤷‍♂️

Diese Leute sollte AMD ganz einfach schnellstmöglich entfernen und dem Arbeitsmarkt freigeben (entsprechende Beurteilungen gleich mit).

Ich sehe die Verantwortung nicht alleine bei den Angestellten. Dass so etwas gemacht wird ist auch dem Unternehmen bekannt, deswegen muss die Verwendung solcher Passwörter wiederum von geeigneten Maßnahmen abgefangen werden. Es ist ja nicht so, dass man die Komplexität von Passwörtern nicht über (technische) Richtlinien vorgeben kann.

 

[pioneer3001]

@Volker Im Artikel steht was von "die gleichen Leute". Das muss heißen "die selben Leute".

Die Taliban sind alles die gleichen Leute, weil sie alle Taliban sind. Aber wenn einer von denen immer und immer wieder was verbrochen hat, dann ist es der selbe Taliban und nicht der gleiche Taliban.

Wenn zwei Ferraris identisch aussehen und nebeneinander stehen, dann sind es die gleichen Ferraris. Es sei denn es ist der selbe, weil einer von denen hat eine Zeitreise gemacht um neben sich selbst zu stehen.

Diesen Fehler Gleiches und Selbes zu verwechseln sieht man oft in (heute) synchronisierten Streaming-Serien. Ob eine Serie schlecht synchronisiert wurde erkennt man daran ob der Fehler darin zu hören ist.

 

[Ranayna]

Ich sehe die Verantwortung nicht alleine bei den Angestellten. Dass so etwas gemacht wird ist auch dem Unternehmen bekannt, deswegen muss die Verwendung solcher Passwörter wiederum von geeigneten Maßnahmen abgefangen werden.

Idealerweise werden keine separaten Passwoerter fuer verschiedene Systeme gebraucht.
Single-Sign-On ist eins der besten Sachen die man machen kann.
Denn wenn die User sich etliche Passwoerter merken muessen, am schlimmsten dann noch mit unterschiedlichen Komplexizitaetsregeln mit unterschiedlichen Ablaufdaten...
Wenn ich mich an ein paar Berichte aus anderen Firmen erinnere... Windows, Email, ERP, Ticketsystem, Telefonsystem... Alles getrennt, keinerlei SSO. Grauselig. Und das war ein global Player, ein sehr bekanntes US Unternehmen.
Dann passiert naemlich sowas: Die User denken sich simple Passwoerter aus die leicht zu merken sind, aber den Buchstaben der Sicherheitsrichtlinien entsprechen.

Passwortsicherheit ist auch generell so ein Konfliktfeld zwischen Usern und IT.
Mit vernuenftigen SingleSignOn, kombiniert mit einer Hardware 2FA Loesung (YubiKey zB) muessen die User sich nur ein Passwort merken (das des Keys) und sind in allen anderen Systemen auf Knopfdruck angemeldet.

 

[Cool Master]

Denn wenn die User sich etliche Passwoerter merken muessen, am schlimmsten dann noch mit unterschiedlichen Komplexizitaetsregeln mit unterschiedlichen Ablaufdaten...

Dafür gibt es PW-Manager. Da müssen sie sich nur eins merken und das wars. Dank Passkey wird das in Zukunft aber auch besser.