IT-Insecurity = Naturkatastrophe?

[Shihatsu]

Moin, es kommt ja echt nicht so oft vor das wes was gibt über das ihr euch noch nicht die Köpfe eigneschlagen habt und das mich interesssiert, hier ist nun ein Thema von mir - keine ahnung wann ich das letzte mal eines im Com aufgemacht habe. Und zwar geht es als Aufhänger um das folgende Zitat (nuja, Zitat... Behauptung ohne Quelle, uU Fakenews, aber durchaus Glaubhaft und zum Muster der letzten Wochen passend):
Es handele sich beim Ausfall der IT der Uni Giessen um eine "digitale Naturkatastrophe" - laut dem Präsidenten der Uni. Digitale was? Ihr seid zu blöd/dum/unfähig zu scheissen und redet euch dann mit "zu kompliziert/schwierig/teuer" raus. Nehmt einfach Digitale Sec in den Leerplan auf, oder, abseits von dem Beispiel, stellt Leute ein die Ahnung von IT haben. Einen Server härten und mit Backupkonzept versehen ist unsexy as fuck, verstehe ich ja, aber das die Leute nicht raffen das IT wie Infrastruktur behandelt werden muss, fotzt mich massiv an. Und der Aufhänger ist "nur" eine Uni - das geht weiter mit Ärzten, ganzen Behörden und ähnlichem Scheiss, wird getoppt von Krankenhäusern und ist immanent: Die Mitarbeiter sind nicht geschult (alle technischen Sachen bringen wenig ohne Awareness), es gibt kein LoD-Zwiebelschalenmodell (Ja der Mitarbeiter hat Emotet aktiviert, was soll ich denn dagegen tun? Fuck, vieles, das nichtmal grossartig Zeit frisst?), die Zwänge des Datenschutzgesetzes und der DSGvO gehen komplett in die falsche Richtung oder sind viel zu lächerlich, und und und....
Und das ganze wird jetzt immer mehr zunehmen, Spearfishing ist out, wir bomben dank Emotet und "KI" jetzt. Wieso wird da nichts "vernünftiges" getan? Wenn man die Beisitzer des IT-Ausschusses der Regierung hört, wird einem Angst und Bange! Das wird in den nächsten 2-3 Jahren MASSIV weh tun - die einzigen die dagegen einigermassen gewappnet sind, sind witzigerweise die Banken, den ganz unten arbeitet bei denen der Host, und der hat Layer of Defense in Hardware gegossen an Board. Und da Cobol so kacke ist, wird vielleicht die Webseite der Bank gefickt, aber niemals das ganze System. Aber alles andere sehe ich unglaublich gefährdet. Und zwar so das es gefährlich für einzlne von uns wird. Wie seht ihr das? Macht euch das (keine) Angst? Kriegt ihr das so massiv nicht mit?

 

[Scorn4]

Dass Donald Trump meine Dickpics sieht, ist schlimm genug, aber langsam bekomme ich den Verdacht, dass die auch auf dem Schreibtisch von Xi Jingping landen.

Wäre ich Digitalisierungsberater der Regierung, würde ich dringend zu einem Umstieg auf UNIX-Systeme drängen. Weg von diesen Konzernen aus USA und China! Das muss einfach sein. Vor allem in den System von Verwaltung, Regierung und sonstigen Behörden. Sicherheitslücken tauchen bei denen nicht leider auf, die sind zu unserer Überwachung gezielt plaziert.

 

[ReVenger!]

Es ist ja nicht nur die Uni, das Uniklinikum hängt ja da auch mit drinnen und ein paar kleinere Außenstellen wie Bibliotheken auch. Es ist also durchaus für Leute sehr unangenehm geworden mal abseits des Lehr- und Forschungsbetriebs. Generell hat sich der Präsident aber keinen Gefallen getan, sich da selbst vorne hinzustellen, einfach weil er keine Ahnung von der ganzen Materie hat, und es so genug Aussagen gab, die ihm um die Ohren gehauen wurden. Es gibt ja Backups der ganzen Daten, aber ein paar Tausend Rechner neu aufsetzen, ist auch mal nicht auf die schnell getan. Die ganze Attacke war wohl eine Mischung aus dem offenen Uni-Netzwerk und einem Loophole in Windows 10. Zudem wurde relativ schnell mit dem Denial of service reagiert. In wie weit man das hätte verhindern können, weiß ich nicht, da habe ich selbst nicht genug beziehungsweise kaum Ahnung von der Materie. Aber du hast zumindest Recht, dass die Leute schlichtweg überhaupt nicht geschult sind. Obwohl verboten, werden Dienste wie Dropbox und Konsorten weiter munter benutzt. Weil die Leute natürlich weiter arbeiten wollen, haben sie dann ihren infizierten Recher mal schnell an den eignen HotSpot angeknüpft, obwohl das auch ausdrücklich untersagt wurde. Generell denke ich, dass das Problem zu abstrakt ist, als dass die Mehrheit sich darum wirklich kümmert. Dann geht der PC halt mal ein paar Tage nicht, man legt die Füße hoch und macht einen Gemütlichen. Dass man keine Angst um seine ganzen Daten hat, sieht man ja an Social Media wirklich genug
Persönlich hätte ich da gerne schon mehr Skills, gerade auch für meine privaten Sachen. Aber sich da durch den Wust an Informationen zu wühlen ist halt echte Arbeit.

 

[derduder]

Schon bisschen witzig das Rudel aufgescheuchter, kopfloser Hühner in Gießen. Ist halt auch eine geisteswissenschaftliche Uni, was willste erwarten. IT wächst an ihren Aufgaben, ist nur ein Tool und kein Selbstzweck. Ich hoffe dieses Ereignis dient Institutionen wo (Daten)Sicherheit noch etwas kritischer ist und system- bzw. gesellschaftsrelevante Prozesse dran hängen als warnendes Beispiel.

Für mich persönlich ist die Bank tatsächlich die einzige IT auf die ich irgendwie angewiesen bin privat. Da hofft man halt dass die schon wissen was sie tun (N26? ). Beruflich sind alles quasi-geschlossene Systeme, und die Mittelstandskunden sehe ich auch nicht als primäre Ziele von Hackerangriffen.

 

[YesNoCancel]

#Neuland - als ob Deutschland/Europa ein eigenes System hinbekommen würde, wir sind ja mittlerweile schon von einem Großflughafen und einer Alpen Transversale hoffnungslos überfordert, und das sind vergleichsweise gut handelbare, statische Projekte.

 

[Btah]

Ich glaub für die Chefs klingen Leute die was von IT-Sicherheit/Datenschutz halten oft eher wie irgendein extremer VTler oder einer dieser Generäle in nem First Contact Film.
Schulungen für alle Mitarbeiter sind denen dann eh ein viel zu großer Aufwand, gibt dann höchstens in Gießen und vielleicht ein paar anderen Unis "jetzt" (also irgendwann bis Ende 2021) eine und dann 5-10 Jahre nix, bis wieder richtig was passiert.
Stattdessen hat man dann halt einen Typen der offiziell für sowas zuständig ist, aber in Wirklichkeit sind die Belange der anderen dann wichtiger und wenn da irgendwer seit 10 Jahren mit irgendeiner bescheuerten Software arbeitet, werden dafür halt Lücken aufgemacht auch für Javascript o.ä. .
Ansonsten verschickt der Sicherheitst,p natürlich öfter mal Mails, die von 80% der Leute entweder gleich komplett ignoriert werden oder maximal halbgar gelesen werden, ggf auch mit schönen Ausreden wie "das ist IT das versteh ich ja nicht".

 

[parats']

Wie immer in der IT gilt, dass es erst eine Kernschmelze benötigt, bevor etwas passiert.
Das ist beim Backup im privaten Bereich, der USV im Kleinbetrieb und eben auch bei Sicherheitsstandards durch alle Ebenen so.
Schaut euch mal das Video vom CCC zur digitalen Krankenakte an, es ist einfach nur gruselig was in diesem Land als "sicher" verkauft wird.

 

[Benrath]

Moin, es kommt ja echt nicht so oft vor das wes was gibt über das ihr euch noch nicht die Köpfe eigneschlagen habt und das mich interesssiert, hier ist nun ein Thema von mir - keine ahnung wann ich das letzte mal eines im Com aufgemacht habe. Und zwar geht es als Aufhänger um das folgende Zitat (nuja, Zitat... Behauptung ohne Quelle, uU Fakenews, aber durchaus Glaubhaft und zum Muster der letzten Wochen passend):
Es handele sich beim Ausfall der IT der Uni Giessen um eine "digitale Naturkatastrophe" - laut dem Präsidenten der Uni. Digitale was? Ihr seid zu blöd/dum/unfähig zu scheissen und redet euch dann mit "zu kompliziert/schwierig/teuer" raus. Nehmt einfach Digitale Sec in den Leerplan auf, oder, abseits von dem Beispiel, stellt Leute ein die Ahnung von IT haben. Einen Server härten und mit Backupkonzept versehen ist unsexy as fuck, verstehe ich ja, aber das die Leute nicht raffen das IT wie Infrastruktur behandelt werden muss, fotzt mich massiv an. Und der Aufhänger ist "nur" eine Uni - das geht weiter mit Ärzten, ganzen Behörden und ähnlichem Scheiss, wird getoppt von Krankenhäusern und ist immanent: Die Mitarbeiter sind nicht geschult (alle technischen Sachen bringen wenig ohne Awareness), es gibt kein LoD-Zwiebelschalenmodell (Ja der Mitarbeiter hat Emotet aktiviert, was soll ich denn dagegen tun? Fuck, vieles, das nichtmal grossartig Zeit frisst?), die Zwänge des Datenschutzgesetzes und der DSGvO gehen komplett in die falsche Richtung oder sind viel zu lächerlich, und und und....
Und das ganze wird jetzt immer mehr zunehmen, Spearfishing ist out, wir bomben dank Emotet und "KI" jetzt. Wieso wird da nichts "vernünftiges" getan? Wenn man die Beisitzer des IT-Ausschusses der Regierung hört, wird einem Angst und Bange! Das wird in den nächsten 2-3 Jahren MASSIV weh tun - die einzigen die dagegen einigermassen gewappnet sind, sind witzigerweise die Banken, den ganz unten arbeitet bei denen der Host, und der hat Layer of Defense in Hardware gegossen an Board. Und da Cobol so kacke ist, wird vielleicht die Webseite der Bank gefickt, aber niemals das ganze System. Aber alles andere sehe ich unglaublich gefährdet. Und zwar so das es gefährlich für einzlne von uns wird. Wie seht ihr das? Macht euch das (keine) Angst? Kriegt ihr das so massiv nicht mit?

ka was du uns sagen willst. Ich kenn weder den Fall, noch gibt es einen Link dazu. Darüber hinaus nutzt du eine Reihe von Wörter, die ich nie gehört habe und wahrscheinlich gelte ich schon als IT affin im Bezug auf die Gesamtbevölkerung.
IT wird nicht genug gewürdigt? Haltet die Druckerpresse an.
So ein Post wie deiner ist einer der Gründe, warum das so ist. Eine halbe Seite und kein 0815 Mensch kann nachvollziehen was du ihm mitteilen möchtest.

 

[Shihatsu]

Komisch, außer dir haben 5 Leute was mit meinem Post anfangen können. Interessanterweise kannst du meine Posts ja lesen, wenn es dir passt - gilt das eigentlich auch für meine PMs? Das Thema interessiert dich nicht? Geh weiter. Du verstehst etwas nicht? Frag nach, was denn konkret unverständlich ist. Hier wird sehr oft zu vielen Themen in Fachsprache gesprochen, die manche Teilnehmer nicht verstehen? O shiiiiit, Sherlock, tell me more!
Und wenn du das mit der Uni Giessen nicht mit bekommen hast, dann solltest du mal über deine Informationsquellen nachdenken. Aber ich bin mal nicht so:
https://lmgtfy.com/?q=uni+giessen
Hint: Ab dem dritten link geht es los, du musst also etwas scrollen.

 

[Syzygy]

Wen genau kritisierst Du jetzt eigentlich? Die Chefs die dem Thema IT zu wenig Beachtung und damit Ressourcen schenken? Die IT'ler die ihren Job nicht vernünftig machen und Systeme aufsetzen bei denen die größten Löcher sicher und nachhaltig gestopft sind? Die User die sich benehmen wie DAUs und unbesorgt jeden Dreck ins Firmennetzwerk schleppen? Die Politik, die keine sinnvollen und zwingenden Vorgaben macht?

 

[Benrath]

Wenn du dich vier Tage vor Weihnachten öffentlich mit deinem Mod über einen völlig normalen Post streiten möchtest, be my guest.
Mein Post war ganz normal wie er für jeden anderen User auch gewesen wäre, der so einen Eingangspost geschrieben hätte

Spearfishing ist out, wir bomben dank Emotet und "KI" jetzt

LoD-Zwiebelschalenmodel

aha.

 

[Gelöschtes Mitglied 137386]

Schließe mich Benrath an. Verstehe nicht worum es geht und um mich vertieft damit zu beschäftigen ist der Schreibstil nicht spannend genug bzw. viel zu verwirrend.

Du verstehst etwas nicht? Frag nach, was denn konkret unverständlich ist.

Leider alles. Also ich habe den Post aufrichtig gelesen und könnte keinem erklären, um was es geht. Irgendwas mit IT Sicherheit und Probleme. Uni Gießen habe ich mitbekommen, aber kA was daran besonders war. Aus der gleichen Reihe ist ja auch der Internettotalausfall des Berliner Kammegerichts, was ehrlichgesagt etwas dramatischer ist als bei einer Uni, weil die Verjährungsfristen keine Rücksicht drauf nehmen, ob der Richter leider keinen Zugang zu Datenbanken hat, weil die IT auf Win 95 Basis läuft.

 

[Benrath]

Richtig, wir sind hier im Comm und nicht im Technik-Forum. Scheinbar gehts dir um die Geringschätzung von IT. Und da ist dein Post genau der Grund wieso.

Dein let my google that for you ist genau das gleiche. Als ob ich nicht Uni Gießen in google News eingeben kann. Du willst, dass die Welt jenseits von IT mit dir über etwas redet, daher dein Post im Comm. Dann tu was dafür.

 

[zimms]

@Benrath

Naja, KI sollte wohl noch gehen, auch Phishing sollte einem heutzutage ein Begriff sein. Falls du Details zu Emotet willst könnte es dir 2 Sekunden auf Google wert sein. Und das war jetzt wirklich der einzige Satz, der "besonderes" Vokabular benötigt. Ich kann nicht nachvollziehen wieso du meinst der gesamte OP ergibt keinen Sinn für einen Nicht-Fachmann.

Die Kernaussage ist einfach, dass Security massiv vernachlässigt wird, obwohl wir heutzutage sehr abhängig von allerlei Technik sind. Und anstatt ehrlich zu sein und zu sagen wir habens verkackt, redet man sich auf höhere Gewalt aus.

Security ist halt schon ein bisschen wie Klimawandel. Ist unangenehm, kostet Geld und "nervt". Das wollen natürlich die alteingesessen Herren in diversen Führungsriegen nicht. Die meisten verstehens nicht, wollen es nicht verstehen, oder leugnen es bewusst.

edit: Vielleicht hätte ein Link zum Vorfall auf der Uni in den Post gehört, anscheinend ist das für einige nicht klar. Dachte da wurde die letzten Tage eh viel darüber berichtet.

edit2: Ich glaube nicht, dass das ein Ego Trip von Shi ist und es ihm um Wertschätzung der IT geht. Vielmehr gehts einfach darum, dass so ein wichtiges Thema derart stiefmütterlich behandelt wird, obwohl es genau da ein riesiges Gefahrenpotential gibt.

 

[piko]

Bleibt mal beim Tehmer, das ist nämlich an sich durchaus relevant. Ich arbeite beim Staat (Lehrer) und habe mittlerweile echt genug gesehen, um sagen zu können, dass die IT-Systeme in Behörden erschreckend sind. Immerhin gibt es separate Netzwerke für Schulleitung, Verwaltung und "normale" Schul-PCs, aber das wars dann auch fast schon. Die Schutzvorkehrungen sind lachhaft, die Leute gehen maximal sorglos mit dem Thema Sicherheit um. (Nur ein Stichwort, um Shi den kalten Angstschweiß zu geben: private USB-Sticks)
Der eigentlich Skandal ist aber nun, dass es an Schulen keinen echten Fachmann für den Kram gibt. Es macht eigentlich immer der Lehrer, der sich am meisten auskennt. Aktuell ist das an meiner Schule immerhin jemand, der wirklich was kann, aber ich habe es auch schon erlebt, dass da komplette Trottel saßen, deren Wissenstand ca. bei Windows 98 endete. Das kann und darf imho nicht sein. Einerseits soll man jeden Furz wegen Datenschutz dreifach abklären, andererseits hat man netzwerktechnisch die Hosen unten. Ich denke, dass da erst eine Veränderung kommt, wenn die Boomer-Generation endlich aus politischen Ämtern draußen ist. Ist ja "Neuland" und so.

 

[Stirling]

Ist vielleicht eine Fehleinschätzung meinerseits, aber ich glaube, viele gehen zu Hause mit ihren Geräten deutlich sicherer um als an der Arbeit. Wissen also eigentlich schon, was sie da machen. Aber halt nach dem Motto: ist nicht mein Zeug, also wayne. Von daher würden Schulungen imo nicht wirklich was bringen.

 

[DaGGrrr]

Bleibt mal beim Tehmer, das ist nämlich an sich durchaus relevant. Ich arbeite beim Staat (Lehrer) und habe mittlerweile echt genug gesehen, um sagen zu können, dass die IT-Systeme in Behörden erschreckend sind. Immerhin gibt es separate Netzwerke für Schulleitung, Verwaltung und "normale" Schul-PCs, aber das wars dann auch fast schon. Die Schutzvorkehrungen sind lachhaft, die Leute gehen maximal sorglos mit dem Thema Sicherheit um. (Nur ein Stichwort, um Shi den kalten Angstschweiß zu geben: private USB-Sticks)
Der eigentlich Skandal ist aber nun, dass es an Schulen keinen echten Fachmann für den Kram gibt. Es macht eigentlich immer der Lehrer, der sich am meisten auskennt. Aktuell ist das an meiner Schule immerhin jemand, der wirklich was kann, aber ich habe es auch schon erlebt, dass da komplette Trottel saßen, deren Wissenstand ca. bei Windows 98 endete. Das kann und darf imho nicht sein. Einerseits soll man jeden Furz wegen Datenschutz dreifach abklären, andererseits hat man netzwerktechnisch die Hosen unten. Ich denke, dass da erst eine Veränderung kommt, wenn die Boomer-Generation endlich aus politischen Ämtern draußen ist. Ist ja "Neuland" und so.

Jo meine Erfahrungen gleichen sich damit komplett. Der "Depp" bin im Moment ich an unserer Schule - hab eben am meisten Ahnung aber bei weitem so wie nötig. Im Endeffekt soll ich das Schulnetz, Server und insgesamt knapp 300 Clients betreuen - dafür gibt es 1 Stunde Ermäßigung Gerade in den öffentlichen Einrichtungen ist es einfach der Wahnsinn - zumindest wird im Verwaltungsbereich bei uns mittlerweile per Terminal-Rechner per Remote gearbeitet (Laienmeinung - schon recht sicher). Im edukativen Bereich ist es aber insgesamt ein riesen Witz was Datensicherheit angeht. An ner Schule um die Ecke wurden die Woche alle Rechner auf Windows 7 "upgegradet" Einfach weil Bechtle keine Windows 10 Lösung bereitstellen kann/will. Viel Spaß, wenn da mal Daten abgegriffen werden.

 

[kritiker]

Und als sie meinten, dass du eine std weniger arbeiten brauchst hast du was geantwortet??

 

[DaGGrrr]

Und als sie meinten, dass du eine std weniger arbeiten brauchst hast du was geantwortet??

Dass ich genau eine Stunde die Woche für IT-Sachen aufwenden werde.

 

[kritiker]

Wenn man schon nen eindruck hat dass der job eher ne halbtagsstelle ist, sollte man das imo klar sagen und sich nicht als feigenblatt einspannen vlassen.

 

[kAiN!]

Die Diskussion hatte ich erst vor einer Weile mit Freunden. Fazit: Deutschland samt seiner Bevölkerung ist IT technisch noch absolutes Entwicklungsland. Es ist erschreckend. Security als Teilmenge sieht entsprechend desolat aus. Bin da ganz bei Shi. Wird sich nicht signifikant ändern solange die geistig behinderten Boomer am Drücker sind. Ich sag nur "56kb/s sind funktional"

So ein Post wie deiner ist einer der Gründe, warum das so ist. Eine halbe Seite und kein 0815 Mensch kann nachvollziehen was du ihm mitteilen möchtest.

Komisch, ich verstehe jedes einzelne Wort. Wie ich bereits sagte. Ganz hartes Entwicklungsland.

 

[piko]

Wenn man schon nen eindruck hat dass der job eher ne halbtagsstelle ist, sollte man das imo klar sagen und sich nicht als feigenblatt einspannen vlassen.

Das wird meist auch klar gesagt, aber beim Staat drehst du da einfach gar nichts dran. Du kannst natürlich sagen: "Hey, Zeit und Geld reichen nicht, und das Knowhow habe ich auch nicht wirklich." Interessiert halt keine Sau. Notfalls wird es dann eben von einem anderen, der noch weniger Plan hat, oder gar nicht gemacht.

Um die Effizienz unserer Bürokratie zu veranschaulichen:
Im Juli hat der Putzdienst nen Außenschlüssel verschlampt. Heißt: Schloss muss getauscht werden.
Das ist auch passiert. Im Dezember.

 

[tzui]

Die Diskussion hatte ich erst vor einer Weile mit Freunden. Fazit: Deutschland samt seiner Bevölkerung ist IT technisch noch absolutes Entwicklungsland.

Komisch, ich verstehe jedes einzelne Wort. Wie ich bereits sagte. Ganz hartes Entwicklungsland.

ich glaube nicht dass deutschland eine unsicherer it infrastruktur (Rechenzentren, backbone) hat als andere laender.
ich glaube auch nicht dass unis und krankenhaeuser per se unsicherer sind als in anderen laendern.
ich glaube auch nicht dass deutschland schlechter ausgebildete it entwickler hat, eher im gegenteil ist deutschland aus unix / linux / dev ops / system engineer Sicht mMn sogar relativ gut aufgestellt.

in deutschland arbeiten eher überdurchschnittlich viel red hat und kernel entwickler.

 

[wirki]

der durchschnitt/vergleich mit anderen ländern hat aber doch nichts damit zu tun wenn die derzeitige verfassung ungenügend/gefährlich ist



sry, mehr kann ich zu dem thema nicht sagen, wäre heuchlerisch, zu sehr nap

 

[Benrath]

Komisch, ich verstehe jedes einzelne Wort. Wie ich bereits sagte. Ganz hartes Entwicklungsland.

schön für dich und schön dass du deine Freunde mit Shi einer Meinung sind. Ändert nichts daran, dass der Opener für 95% der Bevölkerung voller Begriff ist, die ihnen wenig bis gar nix sagen. Schon so Dinge wie KI sind nicht jedem geläufig.

 

[saistaed]

Na komm, Benrath, jetzt übertreibst du aber etwas. Klar hätte der Eröffnungsbeitrag verständlicher sein können, aber hier ist immer noch ein Internetforum und keine Zeitung. Da darf man eine gesteigerte IT-Affinität durchaus voraussetzen und außerdem kann man fragen.

Aber alles andere sehe ich unglaublich gefährdet. Und zwar so das es gefährlich für einzlne von uns wird. Wie seht ihr das? Macht euch das (keine) Angst? Kriegt ihr das so massiv nicht mit?

Kannst du etwas konkreter schildern, welche Gefahren für den Einzelnen bestehen?
Für mich ist IT-Sicherheit ein Buch mit sieben Siegeln. Mir sind in etwa die wichtigsten Dinge bekannt, die man aus relativ trivialen Gründen nicht tun sollte, aber von technischen Feinheiten habe ich keine Ahnung.
Wenn ich hier die Diskussionen über exotische Smartphone-Betriebssysteme lese, frag ich mich gelegentlich, ob ich ignorant bin oder ihr paranoid seid.


Big picture: Ich glaube in der Tat, dass wir auf die digitale Zukunft derzeit nicht vorbereitet sind. Ich bin auch nicht sicher, ob sich das automatisch ändert, wenn irgendwann die digital natives in der politischen Verantwortung angekommen sind - durch ausgeprägtes Sicherheitsbewusstsein fallen die meisten davon auch nicht unbedingt auf, teils eher das Gegenteil. Da ist IT-Skepsis vielleicht noch das kleinere Übel gegenüber IT-Naivität.
Ein Teil der Lösung bestünde für mich darin, mehr Technokratie zu wagen und mehr Experten in Schlüsselpositionen unterzubringen - und zwar in solche, wo sie wirklich den Hut auf haben und nicht vom nächstbesten Beamten oder Politiker abgewatscht werden.
Das beruht aber auf Gegenseitigkeit: Die Gesellschaft muss diesen "Nerds" mehr zutrauen, die sich aber auch selbst bzw. sie müssen stärker ihre Verantwortung wahrnehmen.

 

[Shihatsu]

Genau, man kann fragen, anstatt gleich rumzufotzen. Muss schwer sein, so als Mod - vor allem wenn man selektiv liest und biased ist, aber dann nicht auf andere eingeht. Komisch, nicht war, Benrath? Raus aus meinem thread (betrachte das als Moderation meinerseits), danke fürs derailen, reicht.
Also im Moment hochaktiv sind einige Geschichte: Die KFZ-Zulassungsstelle der Stadt Frankfurt am Main ist handlungsunfähig. Stell dir vor du bist auf deinen Führerschein angewiesen. Und hast Punkte. Und willst den abgeben. ODer wieder kriegen. Darfst dich dann selber um die Fristen kümmern.
Die Uni Giessen ist ja nun nicht wirklich gefährlich, aber schon ziemlich eklig. Gefährlich wirds beim THW, beim Bezirksamt Berlin-Mitte (die haben ja mit funktionierender IT schon Probleme genug mit "Gefährdern"...) und natürlich bei Ärzten und Krankenhäusern - ein Zusammenhang zwischen Herzpatienten bzw. deren Sterblichekit und IT-Problemen wird schon hergestellt. Und das ist nur aus der dieser Woche. 5 Tage zum Angst kriegen.

 

[Zsasor]

der durchschnitt/vergleich mit anderen ländern hat aber doch nichts damit zu tun wenn die derzeitige verfassung ungenügend/gefährlich ist

sehr große #.

typisch deutsches argument: woanders ist es ja noch viel schlimmer also alles in ordnung.
nein. vorreitertum in allen bereichen ist kein schlechter anspruch.

zu mir: habe ja keinen plan von sowas aber frage dann einfach bei bedarf freunde die sich mit sowas auskennen. sollte man auch gesamtgesellschaftlich so handhaben.

und eine schöne anekdote zum thema it-sicherheit im öd:
vor kurzer zeit haben bei mir auf der arbeit die emotet angriffe sehr große teile der infrastruktur lahmgelegt weil jeder depp jede scheisse in einer email anklickt. und selbst weniger blöde exemplare sind manchen mails auf den leim gegangen weil sie tatsächlich irgendwelche word dokumente per mail erwartet haben, denn das ist eine ganz normale art und weise daten zu übermitteln hier.
dazu kommt, dass standardmäßig im outlook immer nur der absendername angezeigt wird und nicht etwa die emailadresse.
#neuland

 

[Steep]

Mein Passwart für die erste Anmeldung wenn ich Leuten mal wieder was einrichte ist inzwischen auch das Passwort für die Alarmanlage des Gebäudes.

 

[tzui]

Versteh die Absicht des Threads ehrlich gesagt nicht so ganz. Außer ein paar IT-Sec Buzzwords kam da mMn nicht viel.
Das die security der Innovation um Meilen hinterhinkt ist doch nix neues (IOT Botnetzwerke u.ä. gab es schon vor Jahren. Es wurden schon Länder angegriffen nicht nur Unis).

Das die IT- Sicherheit verbessert werden muss, ist doch schon ewig klar, der CCC mahnt das mindestens seit dem Millennium an, damit läuft man doch echt überall offene Türen ein, jeder wirklich JEDER der sich auch nur im entferntesten mit IT-Sec zu tun hat wird zustimmen!
Die Frage ist was konkret getan werden kann und muss und darauf können wohl nur absolute Experten frische innovative konzepte und Antworten geben.

Ein Unterthema was auch schon seit Jahren oder Jahrzehnten diskutiert wird:
Update Pflicht der Hersteller für Firmware für mindestens drei Jahre!
Frage, was passiert nach drei Jahren? Wer haftet wenn wirklich konkreter schaden entsteht? wer und wie will man das kontrollieren? wie will man z.B. kontrollieren ob wirklich upgedatet wurde, darf der Käufer als Eigentümer des Produktes überhaupt "gezwungen" werden zu updaten? wie würde ein Update technisch sichergestellt?.
Und das ist nur ein kleines Beispiel der IT Sicherheit, Ich finde das ist ein echt komplexes, schwieriges Thema und ich finde es wird sich zu leicht gemacht einfach nur zu meckern, gerade nach so einem Fall wie in Gießen ist das natürlich nochmal einfacherer, hinterher mahnen kann jeder.

Beispiel: Update pflicht für Client computer und Server. Was gab es für einen Aufschrei als Microsoft das "Zwangs update" bei Win10 eingeführte.
Microsoft geht hier endlich einmal den richtigen und einzigen gangbaren weg Sicherheitsupdates zu garantieren und ernten erstmal einen riesen Shitstorm. (auch und gerade von der Adminschaft bei MS Servern)

Ich denke der richtige weg könnte sein ganze Netze komplett vom Internet zu trennen. So wie es bei den Stromkonzernen schon immer gemacht wurde. (Atomkraftwerke haben soweit ich weiß keine Verbindung ins Internet.) Die neuralgischen Übergabepunkte müssen dann mit harten innovativen firewall Konzepten (untertützt durch KI?) überwacht werden. Hier könnten natürlich auch schon wieder Datenschützer auf den Plan gerufen werden. Stichwort wir werden überwacht. schwieriges Thema

 

[Metroid]

Finds komisch das noch keiner das finanzielle hier anspricht. Immer up-to-date sein? geht das? Klar geht das....aber das KOSTET! und wie siehts aus mit Einkommen? gerade zu 0. Es bringt eben nix mein ich sag jetzt mal "projekt whutever" upzudaten wenn ich nix daran verdiene. > hey staat tuh mal was! -> Huuuuuiiii das kostet aber nä. Zudem kommen nun auch die neuen Generationen die wir ja vor ~10-15 Jahren bei den PISA Jahren ja mies abgeschnitten haben eben jetzt zum Vorschein. Politisch gesehen kannst du es komplett knicken.....was waren die Piraten diesmal? ein 1% oderso? also die einzige partei die überhaupt sowas zum Programm mit aufnimmt? Die einzigen Fachkräfte hierfür kriegste nur von Menschen die sich von selber für Computer interressieren aber alleine da was zu erlernen ist schwer und mühselig. Wieviele Buben können tuben,twitchen,zwitschern,retrokonsole repairen und kiddoadmin spielen und wieviele können wirklich was von denen? Hardware? Wer macht die? Nennen Sie das deutsche Silicon Valley hierzulande! Die Zukunft sieht hier nicht gerade Rosig aus. Masterplan: Fachkräfte ausm Ausland (gerade ja mal aktuell) also sprich Dein baby in andere Hände geben. Viel Spass dabei....

 

[Saksa Poiss]

Hab bei der Oracle Code One dieses Jahr 2 Vorträge zu IT sicherheit besucht, super interessant UND beängsitgend. Bei einem Vortrag gabs dann ne live demo zum equifax hack (https://www.cnet.com/news/equifaxs-...ok-back-at-how-it-happened-and-whats-changed/). oh my god, war echt krass zu sehen wie jmd beliebige commands aufm server ausgührt, indem er "einfach" nen web request zu ner web anwendung ausführt. Ich glaube das fängt teilweise sogar schon bei uns Entwicklern an, fühle mich manchmal als ob ich der einzige im Team bin der Bescheid weiss wann neue java/spring/jackson updates rauskommen und welche CVE gepublished wurden.

Und ja, ständig updaten kostet Zeit&Geld, und birgt auch Risiken dass danach was nicht geht oder kaputt geht, aber lieber so nen IT Ausfall verantworten als "we run version 1.2 from 10 years ago and got hacked now, ooops"

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19604 it never stops, even git can hurt you

 

[drwilly]

Also meine Theorie ist, dass wir uns bzgl. IT grade da befinden wo die Ingenieurskunst so ca. um 1900 war: Überall unglaublicher Boom; auf den Baustellen sterben dauernd Leute und man findet das auch ganz schrecklich, aber naja, das ist halt so.
Man muss sich eingestehen, dass die IT nicht auf ihren eigenen Erfolg vorbereitet war, zumindest nicht in dem Maße. Viele der Technologien und Konzepte die heute im Einsatz sind wurden unter völlig anderen Annahmen entworfen als man sie heute vorfindet. C ist aus den 70ern und immer noch eine der am meisten verwendeten Programmiersprachen - und wenn man ehrlich ist, hat sich auf dem Gebiet seit dem auch nicht so schrecklich viel getan.

Ein bisschen Hoffnung habe ich ja was Passworte angeht. Mit etwas Glück wird sich FIDO2 durchsetzen und wir können zumindest den Scheiss hinter uns lassen.

Für mich persönlich ist die Bank tatsächlich die einzige IT auf die ich irgendwie angewiesen bin privat. Da hofft man halt dass die schon wissen was sie tun (N26? )

https://media.ccc.de/v/33c3-7969-shut_up_and_take_my_money
Gut, man braucht sich jetzt nicht einbilden, dass die anderen besser wären…

 

[derduder]

https://media.ccc.de/v/33c3-7969-shut_up_and_take_my_money
Gut, man braucht sich jetzt nicht einbilden, dass die anderen besser wären…

Ist mir bekannt, darum hab ich die ja genannt. Ich hab doch bei einer solchen Hipsterbude kein Konto.

 

[saistaed]

Die einzigen Fachkräfte hierfür kriegste nur von Menschen die sich von selber für Computer interressieren aber alleine da was zu erlernen ist schwer und mühselig. Wieviele Buben können tuben,twitchen,zwitschern,retrokonsole repairen und kiddoadmin spielen und wieviele können wirklich was von denen? Hardware? Wer macht die? Nennen Sie das deutsche Silicon Valley hierzulande! Die Zukunft sieht hier nicht gerade Rosig aus. Masterplan: Fachkräfte ausm Ausland (gerade ja mal aktuell) also sprich Dein baby in andere Hände geben. Viel Spass dabei....

Den Punkt finde ich ganz interessant. IT ist und war zwar nie mein Haupttätigkeitsbereich. Aber die Berührungspunkte sind (als Mathematiker) immer irgendwie da gewesen.
Ich hatte auch immer den Eindruck, dass die richtigen Cracks - oder die, die ich dafür hielt - Leute sind, die sich mit absoluter Passion seit Jahren selbst in solche Themen einarbeiten. Zu Mode-Themen wie ML/Data Science 1.0 gibt es ja zig Ressourcen online und unendlich viel an der Uni. Spezifisch zu "unter der Haube"-Themen, gerade mit Schwerpunkt Sicherheit, ist mir da bisher wenig untergekommen - könnte natürlich auch fehlender Aufmerksamkeit liegen.

Kann irgend jemand nütztliche oder interessante Ressourcen zu dem Thema empfehlen, wenn man einfach nebenbei ein bisschen was drüber lernen will? Mich persönlich wurmt es schon manchmal, dass ich so gar keine Ahnung hab, was im Hintergrund all der IT-Systeme passiert, mit denen man sich umgibt. Sobald ich irgendwas höre, wo "protocol" drin vorkommt, tanzen Fragezeichen um mich rum ...

 

[evacuate_the_dancefloor]

Das sollte jeder einmal gesehen haben:
https://youtu.be/7FeqF1-Z1g0

Kopierer, die spontan Zahlen im Dokument verändern: Im August 2013 kam heraus, dass so gut wie alle Xerox-Scankopierer beim Scannen Zahlen und Buchstaben einfach so durch andere ersetzen. Da man solche Fehler als Benutzer so gut wie nicht sehen kann, ist der Bug extrem gefährlich und blieb lange unentdeckt: Er existiert über acht Jahre in freier Wildbahn.

Es gab Institute und Behörden die haben alle ihre Dokumente eingescannt und die Originale danach vernichtet.

 

[kAiN!]

Es gab Institute und Behörden die haben alle ihre Dokumente eingescannt und die Originale danach vernichtet.

Das ist iwie witzig

 

[parats']

Das sollte jeder einmal gesehen haben:
https://youtu.be/7FeqF1-Z1g0

Kopierer, die spontan Zahlen im Dokument verändern: Im August 2013 kam heraus, dass so gut wie alle Xerox-Scankopierer beim Scannen Zahlen und Buchstaben einfach so durch andere ersetzen. Da man solche Fehler als Benutzer so gut wie nicht sehen kann, ist der Bug extrem gefährlich und blieb lange unentdeckt: Er existiert über acht Jahre in freier Wildbahn.

Es gab Institute und Behörden die haben alle ihre Dokumente eingescannt und die Originale danach vernichtet.

Patternmatching für eine Kompression is halt iwie kacke, aber gut. Interessanter ist der zweite Vortrag von Kriesel bzgl Spiegel Mining bei SPON.

 

[MegaVolt]

Ich kannte sie noch nicht, war durchaus interessant. Allerdings hätte man den Scanner-Sachverhalt nun wirklich auch in 5 Minuten zusammenfassen können, die Stunde ist einfach Zeitverschwendung. Die Spiegel-Sache hat mehr Inhalt, d.h. es wird nicht so viel Zeit verschwendet, dafür ist's imo auch uninteressanter da selbstverständlich und dass sowas geht ist doch bekannt. Mal eine Anwendung zu sehen ist schön, mehr aber auch nicht.

Zur IT-Insecurity: Metroid hat da imo das wichtigste Stichwort bereits genannt, nämlich die Kosten.
Selbstverständlich wäre es toll wenn wir alle IT-Systeme perfekt sicher machen könnten, insb. die in der Verwaltung. Und ja, wenn ich das könnte dann würde ich sehr gerne unseren lieben Shi einfach tausendfach klonen und jeder Furz-Behörde einen kleinen Shi zu Weihnachten auf den Schreibtisch setzten. Wir haben aber leider nur einen Shi und den brauchen wir nunmal hier als Mod.

Leute, die IT-Sicherheit wirklich gewährleisten können wachsen nicht auf Bäumen. Da reicht irgendein Bachelor-Informatiker, der keine gescheiten Job gefunden hat und deshalb mit Angestelltemgehalt im ÖD zufrieden ist nunmal nicht aus. Keine Furzbehörde kann einen echten IT-Sicherheitsexperten bezahlen. Und das sollte sie auch gar nicht müssen: Infrastruktur ist oft genug nicht wirklich kritisch. Die maximal abzusichern lohnt sich einfach nicht.
Vielleicht kennen hier einige die Daumenregel, dass man mit 20% Einsatz bereits 80% des Erfolgs erziehlt. Für die meisten Anwendungen ist das vollkommen ausreichend. Oder anders gesagt: Um die letzten 20% abzusichern müsste man den 5fachen Einsatz (und entsprechend grob die 5fachen Kosten) bringen. Wie in vielen Bereichen sollte also auch bei der IT-Sicherheit gelten: Nur so viel wie nötig. Im Zweifelsfall kann man natürlich eher auf der vorsichtigen Seite unterwegs sein aber man muss es halt auch nicht übertreiben.
Mal ehrlich: Bei irgendeinem Problem mal eben ein Backup zurück zu spielen (okay, die sollte es nun wirklich geben) ist einfacher und günstiger als alle Probleme antizipieren zu wollen.
Bei wirklich kritischer Infrastruktur, wenn Menschenleben davon abhängen, kann man in die 100%-Lösung investieren, bei allem anderen lohnt es sich wohl eher nicht.

Weiter oben wurden u.a. Behörden genannt, bei denen ggf. Fristen verpasst werden, wenn sie mal nicht funktionieren. Na und? Das ist doch ein menschliches Problem, dafür brauchen wir keine IT-Lösung. Auch vor 50 Jahren konnten schon mal alle 3 Angestellten auf der Kfz-Zulassungsstelle gleichzeitig krank sein. Falls das eine ernsthafte Sorge ist dann schafft man halt eine Regelung, dass zur Fristwahrung auch die Abgabe im Nachbarort hinreichend ist und schon ist das Problem gelöst.

Was ich mir vorstellen könnte wäre eine ITsec-Bundesbehörde, die dann auch vernünftige Gehälter zahlen und echte Kompetenz aufbauen kann. Naja, so gut wie man das von einer Behörde erwarten kann, in der Praxis würde es garantiert versaut werden aber in der Theorie gefällt mir der Gedanke. Eine solche könnte dann durchs Land fahren und Behörden etc. helfen, Sicherheitsstandards zu erfüllen, zugeschnitten auf ihre Sicherheitsanforderungen. Das ist auf jeden Fall praktikabler als von Furz-Behörden zu erwarten, ernsthaft etwas von IT zu verstehen. Sowas wäre sogar auf europäischer Ebene denkbar.

 

[Bootdiskette]

Du meinst eine Behörde die man z.B. "Bundesamt für Sicherheit in der Informationstechnik" nennen könnte? Oder alternativ "Bundesverwaltungsamt"? Das wäre in der Tat revolutionär.