!!! Cyber-Security !!!

Es gibt 95 Antworten in diesem Thema, welches 14.811 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

    Bei mir mach ich das auch.

    Und setzt ggfs auch Geld ein.

    Beim Kunde kannst du die Kohle meist nicht argumentieren. Leider…

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Neue Malware „HeadCrab“ sorgt für Unruhe
    (Bild: DM7 - stock.adobe.com) Keine Ruhe in der Malware-Landschaft. Nachdem die Wiper-Malware „SwiftSlicer“ jüngst für Aufsehen sorgte, macht sich nun…
    www.security-insider.de

    CyberCompare Cybersecurity Benchmarkreport 2023
    Unternehmen scheitern oft
    an den eigenen Security-Anforderungen



    https://www.security-insider.d…30548af3f6a46dd9db7bf3c5/

    Tja...

    Zitat von Grendelbox

    Tja...

    Komplett falscher Ansatz. Den Anwender (egal welcher Größenordnung) für die IT-Sicherheit verantwortlich zu machen und unter der Verwendung von wunderschön klingenden Anglizismen diesbzgl. ein Bündel von Sicherheitsvorkehrungen von diesen zu verlangen, ist in etwa so, als von Kraftfahrzeughaltern zu verlangen, bei wg. konstruktiver Mängel versagender Lenk- und Bremsanlagen eigene Werkstätten zu unterhalten, damit dies nicht passiert.

    Es tut mir leid, aber n.m.E. hat die gesammte IT-Branche (gern auch weltweit) selbst dafür zu sorgen, dass der Anwender einfach und ohne Affenaufstände machen zu müssen, sicher mit dem Kram arbeiten kann - schließlich hat er i.d.R. auch dafür bezahlt.

    Vielleicht sollte man die ITler mal für ein paar Jahre in die Bauwirtschaft verpflichten, da ist die Haftung eindeutig geklärt und kaum ein Häusle- oder Wolkenkratzerbauer käme auf die Idee, einen persönlichen Statiker zu beschäftigen und eine Sammlung an Schraubstützen im Keller zu haben, damit ihm seine Hütte nicht zusammenbricht.

    Unsere IT in der Firma (ÖPNV in BW) hat ca. 100 IT`ler bei ca. 3000 Mitarbeiter.


    Wenn die o.g. Meldungen lesen, müssen die sicherlich pauschal 10 Leute einstellen, damit man monatelang Projekte machen kann undundund...


    Ja, ich finde Sicherheit in der IT auch wichtig. Ja, wir werden durch KRITIS auch anders gesehen und müssen hier auch andere Dinge unternehmen, als ein reiner Wirtschaftsbetrieb.

    Aber trotzdem muss ich schon dem guten bic zustimmen.


    Wir setzen es ein und sind dann für alles weitere Zuständig? :face_with_open_mouth:


    Wir müssen für unsere TK-Anlage (2 "Anlagen", 2 getrennte Netze) jährlich Updates für mehrere 10k Euronen pro Jahr auf uns nehmen (je Anlage), damit wir beim französischen Hersteller nicht "3 Softwareversionen" Versatz haben um unseren (vertraglich erkauften) Support zu erhalten... Der natürlich jährlich auch nicht wenig kostet...



    Es ist eine unvorstellbare Gelddruckmaschinerie geworden. z.B. Alles in die Cloud. Dann zahlst Du immer mehr, immer mehr...

    Vor Jahren wurde MS Cloud noch überall verteufelt.


    Mittlerweile "das Geilste vom Geilen": Massig Speicherplatz, MS ist es quasi egal, wieviel GB jedes Postfach bekommt.

    Immer ruff in die Wolke.... :thinking_face::thinking_face::thinking_face:


    Und final kommen Meldungen von Sicherheitslücken und der Kunde muss wieder die Kohle in die Hand nehmen...


    Alles für den :service_dog: Dackel..... :smiling_face_with_sunglasses:

    Mir egal, wer Dein Vater ist! Wenn ich hier angel`, wird nicht übers Wasser gelaufen!!

    Amazon Ring angeblich Opfer der Cybergang Alphv
    Die Cybergang Alphv behauptet, bei Amazons Sicherheitstochter Ring eingebrochen zu sein. Konkrete Belege fehlen zum jetzigen Zeitpunkt jedoch noch.
    www.heise.de

    Zitat von kleinp

    Also bei meinen „K“ Kunden (ohne „MU“) :winking_face_with_tongue: gibt es max. 1-2 Chefs und 2-4 Mitarbeiter.


    Wir reden hier von Einzelhandel mit Werkstatt (Fahrradladen) bzw. aus der Gesundheitsbranche.


    Beim Wort Projektleiter sind die schon weg.

    Thema Gesundheitsbrache !!!!
    Da wären die Arztpraxis, tausende 2,3 4 Arztbetriebe mit ca. 10 Angestellte. IT ausgelagert an kleine örtliche Anbieter, die den Laden am Laufen halten und der Schwerpunkt bei der Hardware liegt. SiKo Fehlanzeige.

    Meine Frau arbeite bei einer Diakonie. Arbeitgeber von ca. 3500 Menschen. Betrieb von 2 Khs, 5 Pflegeheime und div. Pflegestationen.

    Die IT hat 8 Mitarbeiter. Die Bezahlung ist im unteren Bereich, viel Fluktuation. Software auf dem Level von 2010 (Word etc. bis hin zu Outlook). Ich weiß, dass die IT seit 2 Jahren aktualisieren will, Leitung des Stifts weigert sich. Meine Frau hat dauernd Probleme mit den Formaten von Word 2010 und externe Dokumenten.
    Über Monate funktioniert für das mobile Arbeiten die 2FA nicht.
    In beiden Bereichen reden wir hier von besonders schützenswerten Daten aus dem Gesundheitsbereich. Und so sieht es in den meisten Unternehmen aus, in dem Bereich.
    Und da regen sich die Leute auf, dass Daten an die Industrie weitergegeben werden. Da sind sie wenigstens sicher, weil die Pharmaindustrie will bestimmt nicht das ihre Entwicklungen abhandenkommen. Freundin arbeitet bei Faisal, da wird IT-Sicherheit deutlich anders betrieben.

    Zitat von phino

    Entschuldigung. Es ging um den Beitrag aus Post #17 Disaster-Recovery-Plan,

    und dass selbst Unternehmen mit 3.500 Mitarbeiter und sensiblen Daten davon noch meilenweit entfernt sind, wenn sie noch nicht mal aktuelle Software nutzen und eine viel zu kleine IT-Abteilung unterbezahlte haben.

    in/an der IT wird doch immer gespart....
    aber die zwei IT-Hanseln sollen dann immer alles - am Besten gestern - richten....hehe

    Zitat von Grendelbox

    in/an der IT wird doch immer gespart....
    aber die zwei IT-Hanseln sollen dann immer alles - am Besten gestern - richten....hehe

    Der Witz ist, dass mein Sohn für einen IT-Dienstleister arbeitet, die solche Firmen unterstützen sollen.
    Dort verdient er mehr, als wenn er sich auf eine vakanten Stelle bei der Diakonie beworben hätte.
    Outsourcing wird besser bezahlt als die eigenen Leute. Geschäftsleitungen mit großer Ahnungslosigkeit wissen da gar nicht, was sie ihren Betrieben antun, insbesondere den Mitarbeiter, die dann bei irgendeinen Externen "Bittsteller" sind.

    Zitat von phino

    Geschäftsleitungen mit großer Ahnungslosigkeit wissen da gar nicht, was sie ihren Betrieben antun

    Und das ist genau der Irrtum - die muss das nämlich überhaupt nicht wissen, es sei denn, es würde zum Geschäft gehören (das wäre an sonst so wie in Ungarn, da meinen auch die Angestellten, der Chef müsste ihnen alles vormachen können).

    Ganz im Gegenteil, genau so, wie bei allen anderen Leistungen, welche man für die Geschäfttätigkeit zukauft, mietet, least, etc. die Haftung und Gewährleistung üblicher Weise klar geregelt ist, sollte es dies auch bei der IT sein. Kauft (mietet, least) man also eine IT-Leistung, würde in einer normalen Welt der Leistungserbringer für seine Leistungen auch haften und nicht wie derzeit üblich, jedes hieraus enstehende Risiko dem Leistungsempfänger umhängen.

    Zitat von bic

    Und das ist genau der Irrtum - die muss das nämlich überhaupt nicht wissen, es sei denn, es würde zum Geschäft gehören (das wäre an sonst so wie in Ungarn, da meinen auch die Angestellten, der Chef müsste ihnen alles vormachen können).

    Ganz im Gegenteil, genau so, wie bei allen anderen Leistungen, welche man für die Geschäfttätigkeit zukauft, mietet, least, etc. die Haftung und Gewährleistung üblicher Weise klar geregelt ist, sollte es dies auch bei der IT sein. Kauft (mietet, least) man also eine IT-Leistung, würde in einer normalen Welt der Leistungserbringer für seine Leistungen auch haften und nicht wie derzeit üblich, jedes hieraus enstehende Risiko dem Leistungsempfänger umhängen.

    Die liegt aber an den Datenschutzgesetzen, im Falle von Gesundheitsdaten steht dies so im Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz -

    Aber dies meinte ich gar nicht, sondern mehr diesem Satzteil.....insbesondere den Mitarbeiter, die dann bei irgendeinen Externen "Bittsteller" sind.

    Ich sehe dann ja immer wieder, wenn dann wechselte Dienstleister in den Filialen auftauchen und sich immer wieder neu einarbeiten müssen in die Besonderheiten. So ist die Filiale meiner Frau in einem Gebäude des Bezirksamtes. Was bedeutet, dass immer auch die IT des Bezirksamtes involviert, vorwiegend beim Netzwerk, ist. Da hilft es extrem, wenn sich die IT-Leute kennen und nicht jedesmal andere auftauchen.

    Man braucht sich doch nur die Struktur vieler Unternehmen an sich anschauen!

    Die allermeisten haben eine recht gute Firewall. Im Normalfall läuft das System "Firma" auch recht gut, wenns von "Außen" nicht gestört wird.


    Das Einfallstor sind e-Mails und die "ich hab einen USB Stick auf dem Parkplatz gefunden" Szenarios.


    Das mit den USB-Sticks lässt sich (wenn gewollt) regeln. Das mit den e-Mails ist da schon ne größere Nummer: Schaut man sich so in der e-Mailserverlandschaft um, graust es da einem...

    Da wird über Phishing und Spam gejammert! Mitarbeiter verrückt gemacht, wie sie solche Mails erkennen sollen (Im zweifel prüfen sie den e-Mail Header! ja genau...) und es werden für irgendwelche Gateways Unsummen ausgegeben, die dann nach wilden Kriterien meinen, filtern zu müssen.


    Aber die einfachsten Basics im Standard fehlen bei vielen!

    Passender PTR zum Hostnamen? braucht keiner!

    Passendes Zertifikat zum Hostnamen? vielleicht, je nach Tageslage, gerne auch selbst signiert mit 10 Jahren Laufzeit!

    Aktuelle TLS Transportverschlüsselung? nee, e-Mail ist eh ne Postkarte...

    DANE und MTA-STS? Am ende wären noch alle Mails Transport-verschlüsselt?

    SPF Eintrag? ja, kommt schon eher vor, weil sonst Google und Microsoft Stress machen...

    DKIM? Warum sollte man seinen Mailheader denn signieren? Könnte am ende noch der richtige Server die Mail versendet haben?

    DMARC? Was interessiert es mich ob die angegebene Absenderadresse und Server IP zur verwendeten Domain passt? Am ende könnte man noch elegant Phishing, Spam und Maleware aussortieren?! Evtl würde man noch lästige Reports bekommen, wenn die eigene Domain missbraucht werden würde!

    Konsequentes 2FA? ne kostet Geld!


    Ich hab bei unserer IT nachgefragt, warum viele der oben genannten Punkte nicht vorhanden sind und 1000 Ausreden bekommen.

    Ne, ich habe kein Mitleid mit Firmen, die im Bereich IT-Sicherheit nicht alles mögliche ziehen und meinen, mit einer Mitarbeiterschulung wäre es getan!


    Wenn ich mir so anschaue, wer da alles an meinen privaten Mailservern versucht, etwas abzuladen, fallen zwei Dinge auf:

    i.d.R. sind es immer die selben IPs --> Ausgiebige Blockliste / Fail2Ban mit extremer Bannzeit: nach der ersten Welle: ruhe...

    i.d.R. sind es IPv4 Adressen (hatte eine IPv6 in der Bannliste). Warum haben die wenigsten Mailserver also IPv6?

    Schaut man sich die "Versuche" an, kommen immer wieder die selben Benutzernamen und Passwörter zum austesten an:

    root / 12345678 ist halt keine gute Kombi...


    PS: Den Vogel abgeschossen hat ein Mitglied im Gemeindeausschuss für Digitales und Wirtschaft! e-Mailserver so ohne alles (wie in den 90ern / 2000ern. Auch hatte kein Mitglied in diesem Ausschuss alle oben genannten Punkte komplett umgesetzt.

    @awmst4 - nun ja, auch Du verschiebst die Verantwortung auf die Anwender, aber so wird man das Problem nie lösen können. Die gesamte EDV-/IT-Branche leidet unter dem Geburtsfehler der Verlagerung jeden Risikos auf den Anwender und dieser Fehler wirkt sich nicht nur bis heute aus, sondern hat sich mehrfach potenziert und wird weiter wachsen, bis das ganze System einmal kpl. crasht (oder zumindest große Teile davon). Ich bemühe noch einmal den Vergleich mit der Baubranche - würde da genau so ein Wildwuchs wie in der IT herrschen, würden jeden Tag Häuser einstürzen. Dies tun sie aber gerade nicht - warum wohl?

    bic Wo habe ich etwas auf Anwender abgeschoben? ich habe kritisiert, dass das Haupt-Einfallstor für Angriffe, also die e-Mail am wenigsten geschützt wird, weil nur ganz ganz selten e-Mail Server auf dem aktuellen Stand sind! Ich habe die Standards ja aufgelistet (unterhaltsam sarkastisch untermalt). Wir reden hier über Techniken, die über DNS abfragbar sind! Ich habe in 2 min geprüft, ob ich mit "gefälschten" Mailheadern auf Phishingtour gehen kann, oder ob ich sofort auffalle, weil bereits der Mailserver prüft, ob die Signatur und die verwendeten e-Mail Adressen und Server IPs zur Domain passen und ich sogar gemeldet werde.

    Ich mach mir da mittlerweile einen Spaß daraus, wenn ich Werbung von Dienstleistern für IT-Sicherheit bekomme, denen die eigenen Defizite um die Ohren zu hauen. Anstatt die Defizite zu beheben, verschicken sie (zumindest an mich) keine Werbung mehr.


    Würden sich alle e-Mailserver (= IT Admins) an diese Standards halten, würden etliche 08/15 Angriffe und viel Spam wegfallen, weil es Aufwand ist, einen Server so aufzubauen und man im zweifel über den Provider so was unterbinden kann, weil man sich nicht hinter einem VPN oder Tor-Netzwerk verstecken kann. Ich hab das selbst mit einer meiner Domains durch: e-Mail für die Domain eingerichtet --> Plötzlich trudeln DMARC Reports auf, wo sich ein Server In Tschechien beschwert, das im Namen meiner Domain Mails verschickt werden. Aber! die Mails gemäß meiner Richtlinie nicht zugestellt werden und ich erhalte die IPs der Spam Server. Also IP zum Besitzer = Hosting-betreiber in den Niederlanden zurück verfolgt und den Admin gebeten, die betreffenden Server zu überprüfen. --> Und schon hören die negativen Reports auf!


    phino hat da ganz recht: Man muss Mitarbeiter abholen, aber vorher muss die IT alle anderen Hausaufgaben erledigt haben!

    Wir können ja den Mailserver von ubiquiti-networks-forum.de als Beispiel nehmen:

    Der SPF Eintrag ist fehlerhaft: v=spf1 +a +mx +a:mail.my-servers.ch +ptr _all

    korrekt wäre: v=spf1 +a +mx +a:mail.my-servers.ch +ptr -all

    Damit ist SPF wirkungslos (zulässig wäre nur -, ~, ?).


    dmarc ist zwar eingerichtet, wird die Domain missbraucht, erhält der Domaininhaber aber keine Reports darüber (Der SPF Konfigurationsfehler hätte ebenfalls etliche Reports erzeugt).

    weitere Sicherheits-Punkte:

    Reconfigure server to use forward secrecy and authenticated encryption

    Insecure key exchange detected

    Insecure anonymous suites supported

    Server doesn't enforce cipher suite preferences


    Es fehlen auch sämtliche Standards um eine Transportverschlüsselung zu erzwingen!

    Sicherheitslücke bei Switche's von Aruba !!!!

    Quelle Heise.de

    Sicherheitslücke: Angreifer können Switches von Aruba kompromittieren
    Aufgrund einer Schwachstelle sind bestimmte Switches von Aruba verwundbar. Admins sollten Geräte jetzt absichern.
    www.heise.de


    Switche von Aruba haben eine nicht näher beschrieben Sicherheitslücke. Angreifer können Schadcode ausführen und das Gerät vollständig kompromittieren.

    CVE-2023-1168 Einstufung "Hoch"


    Betroffen sind:

    Aruba CX 10000 Switch Series

    Aruba CX 9300 Switch Series

    Aruba CX 8400 Switch Series

    Aruba CX 8360 Switch Series

    Aruba CX 8325 Switch Series

    Aruba CX 8320 Switch Series

    Aruba CX 6400 Switch Series

    Aruba CX 6300 Switch Series

    Aruba CX 6200F Switch Series


    vermutlich sind auch EOL Geräte betroffen, diese bekommen aber kein Update.

    Patches stehen bereit.