IT-Insecurity = Naturkatastrophe?

Mitglied seit
10.08.2000
Beiträge
12.908
Reaktionen
1
Ja sowas, nur eben explizit mit dem Auftrag auch durch das Land zu fahren und mal was zu machen. Bin jetzt kein Experte auf dem Gebiet aber soweit ich weiß passiert das eher nicht oder?
D.h. dass das Amt (entweder als neues oder eingegliedert in die bestehenden) die Kompetenz bekommt, im Rahmen eines Audit (aber eher auf Support als auf Prüfung ausgelegt) die IT einer (auch Landes-)Behörde umzukrempeln und allgemein verpflichtende Mindeststandards zu definieren (idealerweise inkl. Bereitstellung der dafür notwendigen Software).
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Kann irgend jemand nütztliche oder interessante Ressourcen zu dem Thema empfehlen, wenn man einfach nebenbei ein bisschen was drüber lernen will? Mich persönlich wurmt es schon manchmal, dass ich so gar keine Ahnung hab, was im Hintergrund all der IT-Systeme passiert, mit denen man sich umgibt. Sobald ich irgendwas höre, wo "protocol" drin vorkommt, tanzen Fragezeichen um mich rum ...
Leider ist der Teil der IT der IT-Security heißt noch arg Elfenbeinturmig und vor allem wirtschaftlich interessant - viel freies gibt es nicht, und vorhandenes gutes ist nicht billig. Das deutsche Standardwerk ist das Buch "Informationssicherheit und Datenschutz", erschienen im Secorvo-Verlag. Dieses Buch wird regelmässig von wirklichen Freaks gegen gecheckt und ist dementsprechend gut - aber eben auch teuer. Zielgruppe sind aber eben nicht Cracks, sondern normale Menschen mit IT-Grundwissen, die einen ersten Überblick über IT-Sicherheit kriegen wollen. Etwas besseres kenne ich nicht, und auch nichts günstigeres - das Ding gebraucht / als B-Ware kommt aber immer noch auf 50 Steine... :8[:
 
Mitglied seit
04.08.2010
Beiträge
377
Reaktionen
0
Wie schnell wäre das veraltet, wenn man es sich denn holt?
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Also meines ist 10 Jahre alt, und der Gesetzes-Teil ist natürlich veraltet - DSGVO, BDSG und co sind halt relativ neu. Der Rest, vor allem der technische Teil, ist relativ aktuell. Hier wird auch nicht umbedingt auf die letzte technische Spezifikation eingegangen, sondern eher auf die Basics dahinter. Wie sehen Prozesse des Datenschutzes aus, was davon ist wirtschaftlich, wie misst man diese beiden Geschichten, wie ist das in Gesetze eingebettet (das ist der ganze Teil der in ein ITSM - IT Service Management - eingebettet ist, das am besten mal nachschlagen, das ist keine Technik), und erst dann kommt der technische Kram. Also an sowas wie sichere Entwicklung, Layers of Security, Security in Depth, synchrone und asynchrone Verschlüsselung, Quantencomputer und co wird man relativ gut herangeführt. Da gibt es natürlich im späteren Teil dann ne relativ steile Lernkurve, aber das ist mit IT-Grundwissen und etwas Willen und Wikipedia machbar. Und im allerschlimmsten Notfall fragt man halt hier, wenn man denn will.
 
Mitglied seit
29.12.2002
Beiträge
3.248
Reaktionen
3
kernproblem ist imo die stetig wachsende komplexität von software.
man kann nicht absichern was man nicht versteht. wenn selbst spezialisten probleme haben einen aktuellen windows (10) rechner zu durchblicken, dann ist beim laien jede hoffung verloren. weiß der geier was die 100e an services die im hintergrund laufen tatsächlich machen - hinter jedem prozess lauert im besten fall ein weiterer angriffsvektor und im schlimmsten fall ein backdoor.
man kann jetzt denken microsoft ist scheiße, bei linux ist alles besser, da sehen wir ja den quellcode.
aber so späße wie systemd, auf die alle gängigen linux distris setzen, kommen auf über 1 millionen zeilen code - das ist prinzipiell genau so undurchsichtig wie eine binäre .exe in windows.
klar, es gibt widerstand gegen den trend, z.B. mit der Go programmiersprache, die bewusst komplexität zurückschraubt und die hürde eine bestehende codebase zu verstehen massiv verringert. aber Go wurde dann auch dafür genutzt, um Docker und Kubernetes zu implementieren, und jetzt gibt es nicht mehr physische server für webanwendungen, sondern abstraktionen auf abstraktionen um das gleiche zu bewerkstelligen.
softwareentwickler würden uns allen einen riesigen gefallen damit tun, mal ein paar schritte zurückzugehen und komplexität zu vermeiden wo es nur geht. aber so wie es aktuell aussieht, ist das eher wunschdenken, und wir werden in ein paar jahrzenten richtig auf die schnauze fallen, wenn der letzte aufhört ein vollständiges verständnis über seinen softwarestack zu haben und es alles nur noch über vertrauensbasis läuft.
 
Mitglied seit
02.09.2002
Beiträge
3.249
Reaktionen
82
kernproblem ist imo die stetig wachsende komplexität von software.
man kann nicht absichern was man nicht versteht. wenn selbst spezialisten probleme haben einen aktuellen windows (10) rechner zu durchblicken, dann ist beim laien jede hoffung verloren. weiß der geier was die 100e an services die im hintergrund laufen tatsächlich machen - hinter jedem prozess lauert im besten fall ein weiterer angriffsvektor und im schlimmsten fall ein backdoor.
man kann jetzt denken microsoft ist scheiße, bei linux ist alles besser, da sehen wir ja den quellcode.
aber so späße wie systemd, auf die alle gängigen linux distris setzen, kommen auf über 1 millionen zeilen code - das ist prinzipiell genau so undurchsichtig wie eine binäre .exe in windows.
klar, es gibt widerstand gegen den trend, z.B. mit der Go programmiersprache, die bewusst komplexität zurückschraubt und die hürde eine bestehende codebase zu verstehen massiv verringert. aber Go wurde dann auch dafür genutzt, um Docker und Kubernetes zu implementieren, und jetzt gibt es nicht mehr physische server für webanwendungen, sondern abstraktionen auf abstraktionen um das gleiche zu bewerkstelligen.
softwareentwickler würden uns allen einen riesigen gefallen damit tun, mal ein paar schritte zurückzugehen und komplexität zu vermeiden wo es nur geht. aber so wie es aktuell aussieht, ist das eher wunschdenken, und wir werden in ein paar jahrzenten richtig auf die schnauze fallen, wenn der letzte aufhört ein vollständiges verständnis über seinen softwarestack zu haben und es alles nur noch über vertrauensbasis läuft.
Ah, so fühlt sich das also an, wenn Autobauer zu hören bekommen, dass sie doch kleinere Autos bauen sollen. Klar können sie; kauft dann blos kein Schwein.
Es ist ja nicht so als würden diese Programme nicht existieren. Aber der Großteil benutzt eben Windows und nicht Linux. Und der Großteil der Linux Distributionen setzt standardmäßig auf systemd und nicht … die vielen Programme, deren Funktionalität systemd versucht abzubilden.
Das Hauptproblem an simpler Software ist dass einiges an Verständnis benötigt wird um zu begreifen wie das Programm in das Restsystem passt. Das kann man aber vom Großteil der Nutzer nicht verlangen. Die Nutzer freuen sich halt, wenn sie das, was im Marketing-Sprech als "Lösung aus einer Hand" bezeichnet wird, geboten bekommen.
 
Mitglied seit
04.08.2010
Beiträge
377
Reaktionen
0
Also meines ist 10 Jahre alt, und der Gesetzes-Teil ist natürlich veraltet - DSGVO, BDSG und co sind halt relativ neu. Der Rest, vor allem der technische Teil, ist relativ aktuell. Hier wird auch nicht umbedingt auf die letzte technische Spezifikation eingegangen, sondern eher auf die Basics dahinter. Wie sehen Prozesse des Datenschutzes aus, was davon ist wirtschaftlich, wie misst man diese beiden Geschichten, wie ist das in Gesetze eingebettet (das ist der ganze Teil der in ein ITSM - IT Service Management - eingebettet ist, das am besten mal nachschlagen, das ist keine Technik), und erst dann kommt der technische Kram. Also an sowas wie sichere Entwicklung, Layers of Security, Security in Depth, synchrone und asynchrone Verschlüsselung, Quantencomputer und co wird man relativ gut herangeführt. Da gibt es natürlich im späteren Teil dann ne relativ steile Lernkurve, aber das ist mit IT-Grundwissen und etwas Willen und Wikipedia machbar. Und im allerschlimmsten Notfall fragt man halt hier, wenn man denn will.

Danke bereits dafür. Ich habe jetzt nur kurz in das Inhaltsverzeichnis geschaut, daher ist mir noch unklar, inwiefern das Buch bereits gut geeignet ist.
Evtl. zum Hintergrund: Aktuell arbeite ich an einem Projekt, das KMUs zum Thema Weiterbildung im Kontext der digitalen Transformation berät, entsprechend ist der Schwerpunkt klassische Personalentwicklung und Fachkräftesicherung. IT-Sicherheit und Datenschutz sind damit selbstverständlich Themen, allerdings für die meisten Branchen in Verbindung mit Industrie 4.0-Themen. Das rein rechtliche Set-Up ist für mich kein absolutes Neuland und bei Anfängerfragen stehe ich nicht planlos da. In puncto Technik bin ich aufgeschmissen, da ich weder Ingenieur / MINT-Absolvent bin, noch aus der IT komme: Hier scheint das Buch die "klassischen Felder" bereits gut zu behandeln, aber wie sieht es mit vernetzten Maschinen in der Produktion und Prozessen in bswp. der Logistik aus? Hört es da auf, oder ist das wieder so ein Punkt, das sowieso nicht mit einer Lektüre abfrühstückbar wäre? Bin über jeden Tipp dankbar.
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Diese beiden Themen werden garnicht behandelt, denn das ist dann schon implementierung bzw. Anwendungsfall - genau das will das Buch sogut wie garnicht behandeln, damit es eben bei dem fokus auf IT-Sicherheit möglichst lange aktuell bleibt - sobald du da auf eine Lösung oder Branche runtergehst verlierst du den Vorteil. Wobei ich glaube das der Teil mit den vernetzten Maschinen kommen wird, in irgendwiener Form, wegen IoT - alles was vernetzt und Maschine ist ist Stand heutiger Technik btw hochgradig insecure. Empfehle dazu den Kraftwerk-Beitrag vom CCC... da kriegt man schon wieder Angst. :8[:
Apropro Stand der Technik: Das ist ein juristische Begriff, bei dem allein der Wikipedia-Eintrag schon schlechte Laune macht - wer dazu mal was handfestes lesen will, dem empfehle ich die "Handreichung zum Stand der Technik" aus dem ITSiG (IT-Sicherheitsgesetz) oder die "Orientierungshilfe B3S" des BSI für KRITIS (Kritische Infrastrukturen, das sind z.B. auch die Krankenhäuser oder KRaftwerke, die gerade zeigen das sie es NICHT können). Anhand dieser Lektüre wird einem dann die Komplexität und Schwierigkeit des Ganzen bewusst - der aktuelle juristisch vorgeschriebene Stand der Technik ist der Realität nicht gewachsen.
 
Mitglied seit
03.08.2002
Beiträge
6.194
Reaktionen
0
Also ich sach dazu mal aus meiner beruflichen Perspektive (Krankenhaus & Vollzug):

1. So lange sich die Haltung des Gesetzgebers gegenüber den Behörden und Unternehmen (verbindliche Vorschriften, Kontrollen und Strafen) nicht ändert, wird sich da gar nix tun.

2. So lange sich die Haltung der Chefetage gegenüber der IT nicht ändert (Ressourcen und Kompetenzen), wird sich da gar nix tun.

3. So lange sich die Haltung der IT gegenüber den normalen Mitarbeitern nicht ändert die von all dem überhaupt keinen Schimmer haben (verständliche Kommunikation, Schulung und praktische Lösungen mit denen man auch noch arbeiten kann...)... na ihr wisst schon.

Was ich so seit meinem Berufseinstieg in verschiedensten Einrichtungen erlebt habe, würde Shi sofort einen spontanen Schlaganfall bescheren. Sry aber es ist eigentlich erstaunlich, dass da nicht viel mehr passiert bzw. an die Öffentlichkeit kommt. Eine "Naturkatastrophe" ist das aber alles nicht. Das ist 'ne elende Kombination aus mangelndem Expertenwissen auf allen Ebenen, langsam mahlender Bürokratie, Geiz oder Sparzwang bei den dafür eingesetzten Ressourcen, desaströser Kommunikation und völliger Ahnungslosigkeit beim mit diesen Daten arbeitenden Bodenpersonal. Mir fällt spontan gar nicht ein, wie man diesen Knoten überhaupt auflösen könnte, so viele Baustellen müssten parallel angegangen werden.
 
Mitglied seit
17.10.2006
Beiträge
6.779
Reaktionen
1.087
Ort
Köln
Ich habs glaub ich schonmal erzählt, aber meine Schwester arbeitet am Karolinska Institut in Stockholm. Eine der bekanntesten Universitäten der Welt, verleiht jedes Jahr den Nobelpreis. Dutzende wichtige Forschungsarbeiten werden da bearbeitet, alle Datenreihen lokal gespeichert.
Die IT-Abteilung? Besteht aus einer Person mit 3/4-Stelle. Diesen Sommer gab es nen Serverausfall, der ca. 1 Monat gedauert hat. Forscher sind verwirrt in den Gängen gesichtet worden, weil sie nicht wussten, was sie ohne Datenzugriff machen sollen. Viele Datenpakete waren unwiederbringlich verloren - russisches Roulette, wessen Daten es denn trifft.
Die Institutsleitung sieht weiterhin keinen Anlass, die IT-Abteilung aufzustocken. Keine Ahnung, wie unter solchen Umständen jemals eine IT-Sicherheit entstehen soll. Es muss einfach ein Verständnis her, dass es dafür fähiges Vollzeitpersonal braucht. Sehe ich auch bei mir in der Firma, und wir haben sogar einen kleinen IT-Bereich. Aber da wir mit IT-Sicherheit kein Geld verdienen, ist jeder ausgegebene Euro in Sicherheit aus Sicht der Zahlenschieber verschwendet. Unser IT-Chef fühlt sich da regelmäßig wie Don Quijote.
Von tatsächlichem Einhalten von Sicherheitsabläufen gar nicht erst zu sprechen, siehe Syzygys Post. Bevor es da nicht nochmal einen Paradigmenwechsel gibt, sehe ich nicht wie es sich gut auflösen kann.
 
Mitglied seit
18.08.2002
Beiträge
2.547
Reaktionen
179
Ja das ist das Hauptproblem auch in vielen Softwareschmieden: Sicherheit ist unsichtbar und bringt kein Geld. Im Gegenteil, es kostet welches genau wie Softwaretests. Wenn man schon Fehler unterhalb von Critical vernachlässigt und damit das Testing auf den Kunden verlagert, kümmern einen auch Sicherheitsaspekte nicht großartig, zumindest sofern nicht die Paymentsysteme betroffen sind.
 
Mitglied seit
27.06.2006
Beiträge
1.643
Reaktionen
85
Ich habe relativ viel mit dem IT Betrieb von Universitäten zu tun. Das Problem ist der TVL in Verbindung mit befristeten Verträgen. Es ist für Universitäten im Prinzip nicht möglich, IT Experten anzustellen. Um Shi mal ein Beispiel zu liefern: Würdest du an der Uni Gießen arbeiten, läge dein höchstmögliches Endgehalt bei ~50k im Jahr nach 15 Jahren, in denen du immer neu befristet angestellt wirst. Wer qualifiziert ist, die von dir genannten Arbeiten zu machen, arbeitet nicht an der Uni oder ist Doktorand (an einer technischen Uni) und macht das mal eben in ein paar Überstunden nebenher und ist nach wenigen Jahren wieder weg und übergibt das an den nächsten in der gleichen Situation.

Der Universitätsbetrieb baut auf ständig wechselndes Personal - überwiegend Berufsanfänger - und einen Haufen studentischer Hilfskräfte. Ständig wechselnde Budgets, ausufernde Bürokratie und Ausschreibungsverfahren machen die Zusammenarbeit mit externen Beratern auch schwierig, wobei das die derzeitige Lösung ist. Wie allgemein im öffentlichen Dienst. Wenn man wieder Horrormeldungen von enormen Beraterkosten liest, liegt das daran, dass Experten benötigt werden, die man nicht nach dem gültigen Tarifvertrag angestellt bekommt. Weiterqualifizierung der eigenen Mitarbeiter führt dann auch dazu, dass die für deutlich mehr Geld woanders arbeiten gehen.

Ein Praxisbeispiel aus dem Universitätsbetrieb: Eine der größten deutschen Universitäten findet derzeit keinen Linuxadmin. Seit über einem Jahr. Die haben jetzt halt Aufgrund von Krankheit keinen(!) und das macht nun mal eben irgendwer, der offensichtlich keine Ahnung hat mit zwei halbwegs brauchbaren Hiwis.
 
Zuletzt bearbeitet:
Mitglied seit
03.08.2002
Beiträge
6.194
Reaktionen
0
zum Thema auch ein Beitrag vom 36C3: "Hirne hacken"

Wieso Schulungen, Hinweise und Entscheidungsfreiheiten der Mitarbeiter bezüglich IT-Sicherheit (Passwörter, Anhänge, Makros...) kaum was bringen und man auf technische Lösungen setzen sollte (Makros digital signieren, externe Mails markieren, Passworteingaben vermeiden...).


https://www.youtube.com/watch?v=BreKdM7CKnY
 
Mitglied seit
21.08.2010
Beiträge
7.844
Reaktionen
1.021
"der öffentliche Dienst ist lol"
Kann ich so im Großen und Ganzen bestätigen. Häufig kommt zur Bürokratie noch dazu, dass die Profs keinen Bock auf technische Details haben, gerade wenn sie selbst nicht technikaffin sind. Dann wird einfach gemacht was die Verwaltung vorschlägt egal was eventuell engagierte Doktoranden (als die qualifiziertesten involvierten Personen) einwenden … und irgendein Teamleiter aus der Verwaltungslaufbahn darf sich mit irgendeinem Riesenprojekt verewigen. Dass dabei dann häufig mehrere 100k sehenden Auges verbrannt werden stört keinen, die Überweisungen vom Land kommen ja so oder so. Die Profs schauen weg weil sie nur ihre Ruhe haben wollen, die Engagierten werden weggemobbt, die Zeitelite/Verwaltung regiert und schafft sich dort neue Stellen wo die Chefs gut vernetzt sind. Pro-Tipp: nicht im Bereich ITO. Das Verhältnis Verwaltungsstellen zu tatsächlich wertschöpfende Stellen wird seit Jahrzehnten immer schlechter, die eingesetzte Software hat sich seit meinem ersten Semester kaum verbessert (die Produkte der HIS gGmbH … aufgrund des Preises konkurrenzlos, Usability bei weitem das schlimmste Stück Software auf der Welt … begründet fast alleine die Legitimität der Wiedereinführung von Körperstrafen), und letztlich geht es um Büropolitik wo jeder versucht die aufwendigen Verantwortungsbereiche zu anderen zu schieben, die lächerlichen Verantwortungsbereiche zu vereinnahmen, und dabei trotzdem mehr Vollzeitstellenäquivalente unter der eigenen Herrschaft zu akkumulieren.
Wer da nicht die Krise bekommt und Mitleid mit denen hat die ehrlich und ernsthaft ihre Arbeit in öffentlichen Forschung & Lehre machen … ist ein merkwürdiger Mensch.

Allerdings muss man fairerweise zur Vergütung sagen: Ja sie ist nicht megagut, aber ordentlich (VBL ist auch ein klares Plus). Und es ist ein sicherer Job bei dem man von der Intensität her weit unter dem liegt was in privatwirtschaftlichen Unternehmen gefordert wird an effektiven Stunden/Woche und Jobsicherheit und und und.
 
Mitglied seit
27.06.2006
Beiträge
1.643
Reaktionen
85
Allerdings muss man fairerweise zur Vergütung sagen: Ja sie ist nicht megagut, aber ordentlich (VBL ist auch ein klares Plus). Und es ist ein sicherer Job bei dem man von der Intensität her weit unter dem liegt was in privatwirtschaftlichen Unternehmen gefordert wird an effektiven Stunden/Woche und Jobsicherheit und und und.

Das stimmt schon, allerdings kenne ich das aus dem Unibetrieb so, dass die relativ schmerzfrei sind, was die mehrfache Befristung von Arbeitsverträgen angeht. Da wird jede Stelle (wobei ich kA von den Verwaltungsberufen habe) grundsätzlich nur befristet ausgeschrieben und dann auch gerne befristet verlängert. Ob bei der aktuellen Arbeitsmarktlage die Jobsicherheit bei einem Vertrag über 3-5 Jahre für einen qualifizierten IT Mitarbeiter so relevant ist, wage ich zu bezweifeln. Die Arbeitsbelastung ist natürlich echt nicht vergleichbar, wer viel Wert auf Work Life Balance legt ist im öffentlichen Dienst gut aufgehoben.

Bei der Bezahlung gibt es noch das Problem, dass vorherige Berufserfahrung bei der Einstufung nur schwer anerkannt wird. Jemand der 20 Jahre Berufserfahrung hat wird genau wie jemand mit 3 Jahren einfach in Stufe 3 gesteckt, was die Gewinnung von erfahrenen Mitarbeitern sehr erschwert.
Die Eingruppierung richtet sich imho auch viel zu sehr nach Formalitäten und bietet quasi keine Aufstiegsmöglichkeiten über bestimmte Grenzen hinaus.
Hast du nicht den richtigen Abschluss in der Hand, kannst du den ganzen Laden alleine schmeißen und hängst trotzdem in der selben Eingruppierung wie jemand, der den selben Abschluss hat, aber den halben morgen Kaffeepause macht und danach erstmal Minesweeper spielt, bevor er dann irgendeine Serverkonfiguration versaut.

Das ganze Verfahren muss dringend reformiert werden, sonst werden die Probleme wie an der Uni Gießen immer stärker zunehmen.
 
Zuletzt bearbeitet:
Mitglied seit
25.09.2014
Beiträge
5.102
Reaktionen
1.354
Auf die Gefahr hin, dass ich was Gravierendes übersehe, muss ich mal einwenden:
Ich habe relativ viel mit dem IT Betrieb von Universitäten zu tun. Das Problem ist der TVL in Verbindung mit befristeten Verträgen. Es ist für Universitäten im Prinzip nicht möglich, IT Experten anzustellen. Um Shi mal ein Beispiel zu liefern: Würdest du an der Uni Gießen arbeiten, läge dein höchstmögliches Endgehalt bei ~50k im Jahr nach 15 Jahren, in denen du immer neu befristet angestellt wirst. Wer qualifiziert ist, die von dir genannten Arbeiten zu machen, arbeitet nicht an der Uni oder ist Doktorand (an einer technischen Uni) und macht das mal eben in ein paar Überstunden nebenher und ist nach wenigen Jahren wieder weg und übergibt das an den nächsten in der gleichen Situation.
Kannst du erklären, was du mit "nicht möglich" meinst? Wer verbietet Unis denn Leute unbefristet einzustellen und die Stellen übertariflich zu vergüten?
 
Mitglied seit
27.06.2006
Beiträge
1.643
Reaktionen
85
Die eigene Verwaltung verhindert sowas sofort um keinen Präzedenzfall zu schaffen. Sonst könnte da ja jeder versuchen, sein Gehalt zu verhandeln. Sowas gibts im ÖD nicht, da wird unabhängig von der Leistung von jedem das gleiche verdient.
Wäre mir zumindestens nicht bekannt, dass man außerhalb des TVLs angestellt werden könnte.
Rechtlich spräche da wohl nichts gegen, aber soweit ich weiß müsste da je nach Bundesland sogar das Finanzministerium des Landes zustimmen, die aber wohl auch kein Interesse an Verhandlungsspielraum bei den Gehältern haben. Da wird eher ein Vertrag mit einem Dienstleister ausgeschrieben. Den Spießroutenlauf gegen die Verwaltung würde sich sowieso niemand freiwillig antun.

An den Unis läuft das dann mWn so, dass die einzelnen Fakultäten, Institute und Servicestellen ihre eigenen Tricks entwickeln um die Verwaltung zu umgehen und rauszuhalten. Für Professoren und hochrangige Angestellte umgeht man das durch Ausgründungen von Gmbhs, über die dann Drittmittelprojekte abgewickelt werden oder irgendwelche eigenen Projekte gewinnbringend umgesetzt werden. Da sind dann manche Mitarbeiter bei der Uni und mehreren Ausgründungen gleichzeitig angestellt oder haben noch ein Gewerbe und schreiben Rechnungen hin und her.
Über so ein Konstrukt ist z.B. Street scooter entstanden...
Bei normalen Mitarbeitern geht man eher so vor, dass man Sonderregelungen nutzt, um früheren Stufenaufstieg zu ermöglichen oder aber die Stelle künstlich aufbläht, um eine höhere Eingruppierung zu ermöglichen, das geht aber auch nur eingeschränkt.
 
Zuletzt bearbeitet:
Mitglied seit
02.09.2002
Beiträge
3.249
Reaktionen
82
Ein bisschen Hoffnung habe ich ja was Passworte angeht. Mit etwas Glück wird sich FIDO2 durchsetzen und wir können zumindest den Scheiss hinter uns lassen.
Wo wir grade beim Thema sind, wieso kann ingame eigentlich noch kein WebAuthn? @Shi
 
Mitglied seit
24.09.2007
Beiträge
4.537
Reaktionen
1
Ich war mal auf einer Sitzung meines Arbeitgebers (großer Klinikkonzern), wo jemand dem IT-Sicherheitschef die Abschaffung des Internet Explorers als Standardbrowser auf allen Konzernrechnern empfohlen hat.
Dieser hat dies mit der Begründung abgelehnt, dass andere Browser nicht sicher seien und daher ausnahmslos der Internet Explorer verwendet werden müsse.
 
Mitglied seit
21.10.2008
Beiträge
20.837
Reaktionen
3.747
Ort
München
Ich war mal auf einer Sitzung meines Arbeitgebers (großer Klinikkonzern), wo jemand dem IT-Sicherheitschef die Abschaffung des Internet Explorers als Standardbrowser auf allen Konzernrechnern empfohlen hat.
Dieser hat dies mit der Begründung abgelehnt, dass andere Browser nicht sicher seien und daher ausnahmslos der Internet Explorer verwendet werden müsse.

Kann man sich nicht ausdenken. :rofl2:
 

FORYOUITERRA

TROLL
Mitglied seit
22.07.2002
Beiträge
6.179
Reaktionen
689
wer nicht edge mit application guard laufen hat, der hat die sicherheitskontrolle über seinen internet browser ohnehin verloren.
 
Mitglied seit
03.08.2002
Beiträge
6.194
Reaktionen
0
Kann man sich nicht ausdenken. :rofl2:
Wir benutzen ebenfalls noch InternetExplorer, grad nicht geschaut welche Version (ka, als ich das letzte Mal geschaut habe, stand da was von (C)2007 oder so).

2/3 aller Webseiten sind unbenutzbar und die Werbeflut crasht den Browser nach spätestens 15 Minuten. IT lehnt andere Browser ebenfalls ab, obwohl es für FF/Chrome alle paar Wochen Sicherheitsupdates gibt. Kann mir keiner erklären.
 
Mitglied seit
21.10.2008
Beiträge
20.837
Reaktionen
3.747
Ort
München
da bin ich ja noch froh, dass es bei uns in der arbeit firefox incl. einiger nötiger plugins gibt.
 
Mitglied seit
21.07.2012
Beiträge
1.117
Reaktionen
410
https://www.golem.de/news/shitrix-das-citrix-desaster-2001-146047.html

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

https://www.sueddeutsche.de/digital/citrix-sicherheitsluecke-1.4755894
Eine kritische Sicherheitslücke in der Fernzugriffssoftware Citrix erlaubt es Angreifern unbemerkt in Systeme einzudringen. Betroffen ist die IT von Tausenden Firmen, darunter auch Betreiber kritischer Infrastruktur.
 
Mitglied seit
03.08.2002
Beiträge
6.194
Reaktionen
0
Yo, Citrix auch bei uns am Start. Pünktlich zur Meldung scheint die IT auch Tag und Nacht an den Systemen zu arbeiten (oder die Chinesen saugen grad all unsere Daten ab ^^), zumindest funktioniert aktuell fast nichts mehr, jeder Klick braucht Minuten bis 'ne Reaktion kommt, die Systeme hängen sich auf oder stürzen ab oder fahren gar nicht erst hoch. Hab jetzt ein paar Tage frei, bin mal gespannt ob dann irgendwas anders ist.

Ach ja, und ich hab nachgesehen: Unser InternetExplorer ist Stand 2007. :rofl:
 
Mitglied seit
21.02.2003
Beiträge
22.833
Reaktionen
255
Das man einheitlich irgendwelche microsoft produkte benutzen will kann ich schon verstehen aber dann doch bitte wenigstens edge. Als ich das nach der win10 installation benutzt hab um einen anderen browser runterzuladen kam mir das recht performant vor.

€: Wie ich gerade lese basiert edge inzwischen auch auf chromium. :rofl2:

€€: Und Internet Explorer 11 ist immer noch weiter verbreitet...
 
Mitglied seit
30.06.2007
Beiträge
6.203
Reaktionen
995
Keine Ahnung, ob dieser Fall hier schon irgendwo gedroppt wurde, vermutlicht schon: Gutachten zur Virus-Attacke: Möglicherweise gesamter Datenbestand des Berliner Kammergerichts geraubt

Die Aussagen des Gutachtens haben es in sich: So sei der Angreifer „höchstwahrscheinlich in der Lage gewesen“, den „gesamten Datenbestand des Kammergerichts zu exfiltrieren“, also aus dem System herauszuschleusen.

Davon betroffen wären neben Tätern und Opfern von am Kammergericht verhandelten Prozessen auch Zeugen und verdeckte Ermittler oder Informanten. Das Kammergericht ist unter anderem für Terrorprozesse zuständig. Die dort lagernden und möglicherweise gestohlenen Daten sind höchst sensibel.
Schöne neue Welt.
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Und derjenige der dafür Verantwortlich ist das dort Windows benutzt worden ist, das dort Anti-Virus-Software eingesetzt worden ist, das es keine abgeschlossenenen Netzte gab, das die User mit Adminrechten rumgerannt sind, das die Software hoffnungslos veraltet war und das die Mitarbeiter einfach so munter auf Anhänge klicken wären sie mit Adminrechten rumlaufen und mit den wichtigsten Servern direkt verbunden sind hat nichts zu befürchten. Das ist der eigentliche Skandal: Wir verkacken am laufenden Band, und es gibt kein Umdenken und keine Strafen.
Und das war das CERT der T-Systems. Nichts gegen die Jungs, aber ich weiß wie die arbeiten: Die haben nur an der Oberfläche gekratzt (zugegebenermassen reicht das hier auch völlig).
 
Mitglied seit
25.09.2014
Beiträge
5.102
Reaktionen
1.354
Wie ist das denn eigentlich bei Unternehmen, die zulassen, dass persönliche Daten kompromittiert werden? Erst neulich gab es doch diese große Sicherheitslücke (Name des Unternehmens vergessen) und ich hab irgendwo gelesen, dass das Unternehmen nun womöglich jeden einzelnen Nutzer informieren müsse. Wenn das wirklich das Schlimmste ist, was passieren kann, dann wundert mich nicht, dass die Unternehmen schludrig mit Daten umgehen. Ein konkreter Schaden lässt sich wohl in den aller wenigstens Fällen nachweisen - die Daten schwirren dann irgendwo herum und wenn mal ein Missbrauch stattfindet, kann niemand die Verbindung herstellen. Hier wären imo saftige pauschale Straf- und Schadenersatzzahlungen angebracht, um den Druck zu erhöhen.
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Meinten sie "DSGVO"? Die ist leider bisher ein Papiertiger...
 

ReVenger!

Community-Forum, Organisator ohne Grenzen OT-Turni
Mitglied seit
24.03.2007
Beiträge
3.466
Reaktionen
84
Und das war das CERT der T-Systems. Nichts gegen die Jungs, aber ich weiß wie die arbeiten: Die haben nur an der Oberfläche gekratzt (zugegebenermassen reicht das hier auch völlig).

Kannst du das noch weiter ausführen? Mich interessiert die technische Komponente druchaus.
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Kannst du deine Frage spezifizieren? Geht es darum warum die nur an der Oberfläche gekratzt haben, oder warum das ausreicht, oder?
 

ReVenger!

Community-Forum, Organisator ohne Grenzen OT-Turni
Mitglied seit
24.03.2007
Beiträge
3.466
Reaktionen
84
Im Prinzip beides, warum reicht das aus und warum wurde nicht mehr gemacht? Quasi den ganzen Absatz betreffend.
 

parats'

Tippspielmeister 2012, Tippspielmeister 2019
Mitglied seit
21.05.2003
Beiträge
19.838
Reaktionen
1.589
Ort
Hamburg
Weil Antiviren-Software oftmals die Angriffsfläche vergrößert.
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Normalerweise ist bei einem Befall folgendes Vorgehen Pflicht:
1. Stecker ziehen
2. Kaffee trinken / Spazieren gehen / eine Rauchen / whatever -> Kopf frei kriegen und Puls runter bringen
3. Anfangen zu überlegen was zu tun ist
Wenn davon in irgendeiner Form abgewichen wird, kann man das ganze eigentlich knicken. Hier wurde (wie fast immer) Punkt 1 nicht gemacht, statt dessen wurde im laufenden Betrieb erst einmal selber versucht zu retten was zu retten ist (dadurch wird es übrigens in 100% aller Fälle schlimmer, weil: Einloggen der Admins mit Adminaccount auf den befallen Maschinen! Während diese am Netz hängen! Während alles munter weiterarbeitet!), und erst als das CERT eintraf wurde der Stecker gezogen. Und nur weil die das dann wenigstens als erstes gemacht haben (afaik haben die das nichtmal selber gemacht sondern mit Beauftragung telefonisch angeordnet) wurde weiterer Datenabfluss und laut Medien eine Verschlüsselung verhindert. Zu dieser Verschlüsselung wäre es nie gekommen. Die hätten munter weiter abgesaugt, denn das war VIEL leckerer - das ergibt sich evidenz-basiert aus dem fehlenden log der betroffenen Maschinen - da hat jemand aktiv die angelaufenen "Wir lösen das selber" Massnahmen verhindert während die Jungs am stümpern waren. Das macht keine Schadroutine von Emotet oder der bekannten Trojs von selber, da das sofort auffällt - und Auffallen wollen die Dinger eigentlich nicht bis sie "YO GOT BUSTED!" auf den Bildschirm schmieren und die HDDs verschlüsselt haben.

So, jetzt kann man bei ner richtigen Forenseik nicht nur die betroffenen Systeme untersuchen (das haben sie ganz offensichtlich getan), sondern darüber hinaus gehend noch die betroffenen Transfersysteme und Entitäten untersuchen: Log-Dateien des Providers des Opfers, das selbe für den Angreifer - hierfür sind 1-x Rechtshilfebegehren notwendig, Betriebsräte müssen gehört werden, der Datenschutzbeauftragte muss gehört werden, (der Bundesdateschutzbeauftragte muss bei einer KRITIS mit ins Boot geholt werden), und und und - sowas kostet Zeit. Viel mehr Zeit als bisher vergangen ist. Wenn es jetzt eine ausgeklügelte "Cyberattacke" gewesen wäre, würde man das auch tun - ist hier aber aus 2 Gründen nicht sinnvoll:
1. Es war keine Cyberattacke, irgendjemand hat auf einen Link geklickt und alles vorher hat versagt - das hat das Niveau von "Ich leg einen Haufen Bargeld von der Straße sichtbar in der Wohnung aus und lass die Haustür auf, es wird schon keiner einbrechen und klauen weil das ist ja verboten11111!"
2. Man weiß das es manuelle "Eingriffe" während des Angriffs gegeben hat - die Jungs hatten alle Zeit der Welt die Exit-Nodes zu wechseln (Emotet versteckt sich ziemlich gut vor solcher Forensik), den Verkehr zu verschleiern und am Ende die lokalen Logs zu tilten - man müsste schiere Unmengen an Geld und vor allem politischen Druck aufwenden, und das sofort, binnen der nächsten Tage, um hier noch weitere Ergebnisse zu erzielen. Ich stelle in Frage das man das will.
 

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
47.024
Reaktionen
9.118
Anti-Virus-Software funktioniert nicht, vergrößert aber die Komplexität eines Systems und reißt damit neue Angriffsvektoren auf.
Beispiel Sophos Enpoint Security: eine Software die meine SSL-Koomunikation aufbricht, sich aber nicht selber gegen Diebstahl der SSL-Keys bei einer Man-in-the-Middle-Attack schützen kann UND meine Meta-Daten verkauft.
 

parats'

Tippspielmeister 2012, Tippspielmeister 2019
Mitglied seit
21.05.2003
Beiträge
19.838
Reaktionen
1.589
Ort
Hamburg
Nicht so abstrakt bitte.
Ich habe einen Rechner ohne PDF-Viewer -> kein PDF Renderer vorhanden. Mein AV Client hat aber einen Renderer für die Prüfung von PDF Dokumenten. Damit bin ich erst durch meine AV über PDF-Dokumente angreifbar gepaart mit 0-Days ist das dann gg no re.
 
Oben