12
Ransomware - Userperspektive
Liebes Forum,
entschuldigt bitte eine Frage aus User-Sicht, für die ich in anderen Foren nichts Hilfreiches gefunden habe - und, soweit ich das über das Mitlesen herausfinden konnte, bei Euch auch vielleicht nicht immer Einigkeit besteht.
Bei uns in der Firma haben wir ein Netzwerk mit ca. 100 Windows-Arbeitsplätzen. Dort wurden vor ca. zwei Monaten alle Daten im Netzwerk verschlüsselt (Ryuk oder Ryk). Es gab zwar ein "sauberes" Backup, das aber älter als 48 Stunden war. Man hat Wochen gebraucht, das System wieder zum Laufen zu bekommen.
Nun stehen wir User im Mittelpunkt - wir hätten unbedacht Anhänge geöffnet, ungeprüfte USB-Sticks verwandt etc. Nur meine Frage aus Usersicht: wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern bzw. immer die Gefahr besteht, dass durch das Öffnen eines Anhanges, einen USB-Stick o.ä. das ganze Netzwerk zerschossen wird... und es Wochen braucht, um es wieder neu aufzusetzen... dann leben wir User ja weiter auf einem Pulverfass (auch wenn wir dies selber sind)? Es wird immer einen geben, der sich nicht an die Vorgaben hinsichtlich der Anhänge, Sticks usw. hält, egal, ob man dies nun als "dumm" oder sonstwie bezeichnen möchte...
Klar ist, dass es immer wieder unvorhergesehene Angriffe geben wird, die nur oder höchstens mit fähigen Usern zu überstehen sind. Aber wenn unser Netzwerk damit "steht und fällt", dass ein User einen falschen Anhang öffnet, möchte ich nicht weiter mit diesem Netzwerk arbeiten bzw. würde versuchen, selbst Backup-, Sicherungs- und Sicherheitslösungen vorzunehmen. Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können? Ist das heute "nach dem Stand der Technik" überhaupt möglich?
Nun, vielleicht findet ja auch diese Userperspektive bei Euch im Profiforum Platz.
Vielen Dank
Jens
entschuldigt bitte eine Frage aus User-Sicht, für die ich in anderen Foren nichts Hilfreiches gefunden habe - und, soweit ich das über das Mitlesen herausfinden konnte, bei Euch auch vielleicht nicht immer Einigkeit besteht.
Bei uns in der Firma haben wir ein Netzwerk mit ca. 100 Windows-Arbeitsplätzen. Dort wurden vor ca. zwei Monaten alle Daten im Netzwerk verschlüsselt (Ryuk oder Ryk). Es gab zwar ein "sauberes" Backup, das aber älter als 48 Stunden war. Man hat Wochen gebraucht, das System wieder zum Laufen zu bekommen.
Nun stehen wir User im Mittelpunkt - wir hätten unbedacht Anhänge geöffnet, ungeprüfte USB-Sticks verwandt etc. Nur meine Frage aus Usersicht: wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern bzw. immer die Gefahr besteht, dass durch das Öffnen eines Anhanges, einen USB-Stick o.ä. das ganze Netzwerk zerschossen wird... und es Wochen braucht, um es wieder neu aufzusetzen... dann leben wir User ja weiter auf einem Pulverfass (auch wenn wir dies selber sind)? Es wird immer einen geben, der sich nicht an die Vorgaben hinsichtlich der Anhänge, Sticks usw. hält, egal, ob man dies nun als "dumm" oder sonstwie bezeichnen möchte...
Klar ist, dass es immer wieder unvorhergesehene Angriffe geben wird, die nur oder höchstens mit fähigen Usern zu überstehen sind. Aber wenn unser Netzwerk damit "steht und fällt", dass ein User einen falschen Anhang öffnet, möchte ich nicht weiter mit diesem Netzwerk arbeiten bzw. würde versuchen, selbst Backup-, Sicherungs- und Sicherheitslösungen vorzunehmen. Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können? Ist das heute "nach dem Stand der Technik" überhaupt möglich?
Nun, vielleicht findet ja auch diese Userperspektive bei Euch im Profiforum Platz.
Vielen Dank
Jens
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 493272
Url: https://administrator.de/contentid/493272
Printed on: April 26, 2024 at 18:04 o'clock
12 Comments
Latest comment
Moin,
ist wie beim Autofahren: Passt du nicht auf ist einer tot.
Gruß
ist wie beim Autofahren: Passt du nicht auf ist einer tot.
Gruß
Servus,
klar scheint doch aufgrund der bisherigen EDV-History, dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird (sonst wären doch NSA und Co. total erfolglos).
Es gibt bestimmte Schutzmechanismen, z.B. die Sperrung mutmaßlich gefährlicher Mailanhänge, die ein Admin durchführen kann.
Es ist halt immer ein Spiel Gut gegen Böse, einmal gewinnt der "Gute", andermal der "Böse"...
Gruß
klar scheint doch aufgrund der bisherigen EDV-History, dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird (sonst wären doch NSA und Co. total erfolglos).
Es gibt bestimmte Schutzmechanismen, z.B. die Sperrung mutmaßlich gefährlicher Mailanhänge, die ein Admin durchführen kann.
Es ist halt immer ein Spiel Gut gegen Böse, einmal gewinnt der "Gute", andermal der "Böse"...
Gruß
Es können nucht alle Straßen mit Puffern wie bei Autoscootern ausgestattet werden
lks
Moin Jens,
natürlich kann man das Netz größtmöglich absicher , das sowas in der Form nicht noch einmal passiert.
Aber dazu braucht bracht einen fähigen Admin / externen Betreuer und Geld.
Zusätzlich braucht man auch den Support der GF, da man sonst gegen Mühlen arbeitet und man auch mit gewissen Einschränkungen leben muss.
Das sollte aber nicht deine Aufgabe sein. Das ist Sache der GF und dem Admin. Euch als Anwender muss man dann entsprechend Schulen und sensibiliseren.
Was mich interessiert , warum es Wochen dauert , wenn es ein 48 Stunden Backup gab ? Da scheint dann ja auch schon grundsätzlich was nicht zu passen.
Gruss
natürlich kann man das Netz größtmöglich absicher , das sowas in der Form nicht noch einmal passiert.
Aber dazu braucht bracht einen fähigen Admin / externen Betreuer und Geld.
Zusätzlich braucht man auch den Support der GF, da man sonst gegen Mühlen arbeitet und man auch mit gewissen Einschränkungen leben muss.
Das sollte aber nicht deine Aufgabe sein. Das ist Sache der GF und dem Admin. Euch als Anwender muss man dann entsprechend Schulen und sensibiliseren.
Was mich interessiert , warum es Wochen dauert , wenn es ein 48 Stunden Backup gab ? Da scheint dann ja auch schon grundsätzlich was nicht zu passen.
Gruss
1
Hallo,
Gruß,
Peter
Zitat von @EndEndUser:
Nur meine Frage aus Usersicht: wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern bzw. immer die Gefahr besteht, dass durch das Öffnen eines Anhanges, einen USB-Stick o.ä. das ganze Netzwerk zerschossen wird... und es Wochen braucht,
Das einzige sichere Internet ist kein Internet und das glt für euer LAN ebenso. Alles andere erfordert Fachwissen (auch der bösen Seite) und teils eine gehörige frei nachfliessende Geldmenge. Fragt sich nur wann euere IT die Firmenpleite besiegelt.Nur meine Frage aus Usersicht: wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern bzw. immer die Gefahr besteht, dass durch das Öffnen eines Anhanges, einen USB-Stick o.ä. das ganze Netzwerk zerschossen wird... und es Wochen braucht,
Gruß,
Peter
Moin 
Das sollte nicht Dein Problem sein. Backup älter als von gestern -> da hat doch eigentlich der Admin zuerst einmal ein Problem.
Ja... Du hast es so langsam verstanden Es wird immer einen Virus geben, den der Scanner nicht erkennt und den irgendein User leichtsinnigerweise aktiviert.
Na klar. Auf die Daten der Personalabteilung hast Du keinen Zugriff ? Dann wird es auch nicht zu einer Verschlüsselung dieser Daten kommen. Im Grunde genommen doch ganz einfach: Alle Daten, auf die Du schreibenden Zugriff hast, kannst Du auch verschlüsseln.
Eigentlich ist das doch am ehesten eine Frage, wie euer Admin das System backuptechnisch aufgesetzt hat. Bei meinen Kunden ist es schon ein paarmal vorgekommen, dass die sich Ihre Freigaben verschlüsselt hatten. Bis auf einmal ließ sich das dann direkt aus der Schattenkopie wiederherstellen. Also Ausfallzeit = ~30 Minuten und Datenverlust < 4 Stunden.
Fazit: User nerven, wenn man das Gefühl hat, sie haben kurzfristig den Kopf abgeschaltet. "Ich wollte mal wissen, was passiert" (Habe ich so original gehört...) "Irgendwie kam mir das komisch vor" (und deshalb wird das angeklickt???)
Ansonsten ist es aber in erster Linie ein Frage der administrativen Ebene, wie gut man sich auf diesen Fall der Fälle vorbereitet hat. Wiederherstellungszeiten im Wochenbereich sind indiskutabel...
Gruß
Es gab zwar ein "sauberes" Backup, das aber älter als 48 Stunden war. Man hat Wochen gebraucht, das System wieder zum Laufen zu bekommen.
Das sollte nicht Dein Problem sein. Backup älter als von gestern -> da hat doch eigentlich der Admin zuerst einmal ein Problem.
(...) wir hätten unbedacht Anhänge geöffnet, ungeprüfte USB-Sticks verwandt etc. (....) wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern (...) dann leben wir User ja weiter auf einem Pulverfass (auch wenn wir dies selber sind)? Es wird immer einen geben, der sich nicht an die Vorgaben hinsichtlich der Anhänge, Sticks usw. hält, egal, ob man dies nun als "dumm" oder sonstwie bezeichnen möchte...
Ja... Du hast es so langsam verstanden
Es wird immer einen Virus geben, den der Scanner nicht erkennt und den irgendein User leichtsinnigerweise aktiviert.Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können? Ist das heute "nach dem Stand der Technik" überhaupt möglich?
Na klar. Auf die Daten der Personalabteilung hast Du keinen Zugriff ? Dann wird es auch nicht zu einer Verschlüsselung dieser Daten kommen. Im Grunde genommen doch ganz einfach: Alle Daten, auf die Du schreibenden Zugriff hast, kannst Du auch verschlüsseln.
Eigentlich ist das doch am ehesten eine Frage, wie euer Admin das System backuptechnisch aufgesetzt hat. Bei meinen Kunden ist es schon ein paarmal vorgekommen, dass die sich Ihre Freigaben verschlüsselt hatten. Bis auf einmal ließ sich das dann direkt aus der Schattenkopie wiederherstellen. Also Ausfallzeit = ~30 Minuten und Datenverlust < 4 Stunden.
Fazit: User nerven, wenn man das Gefühl hat, sie haben kurzfristig den Kopf abgeschaltet. "Ich wollte mal wissen, was passiert" (Habe ich so original gehört...) "Irgendwie kam mir das komisch vor" (und deshalb wird das angeklickt???)
Ansonsten ist es aber in erster Linie ein Frage der administrativen Ebene, wie gut man sich auf diesen Fall der Fälle vorbereitet hat. Wiederherstellungszeiten im Wochenbereich sind indiskutabel...
Gruß
1
Moin ,
Die User brauchen gewisse Zugriffsrechte und manchmal auch Freiheiten, um Ihre Arbeit zu erledigen. Wenn man das zu arg einschränkt, können Sie Ihre Arbeit nicht erledigen. Daher muß man einen Kompromiß finden, der nicht zu unbequem ist aber das Risiko minimiert, sich was einzufangen.
Ist wie z.B. in einer Gefängniswerkstatt:
wenn die Häflinge Ihre Arbeit machen sollen, müssen sie gefährliche Dinge wie Hammer, Messer, Schraubenzieher, Computer, etc. benutzen können. Man muß aber Vorkehrungen treffen, daß diese Freiheit nicht mißbraucht wird.
Leider kann man im vorhinein nicht immer feststellen, wer aus der Reihe tanzt.
lks
Die User brauchen gewisse Zugriffsrechte und manchmal auch Freiheiten, um Ihre Arbeit zu erledigen. Wenn man das zu arg einschränkt, können Sie Ihre Arbeit nicht erledigen. Daher muß man einen Kompromiß finden, der nicht zu unbequem ist aber das Risiko minimiert, sich was einzufangen.
Ist wie z.B. in einer Gefängniswerkstatt:
wenn die Häflinge Ihre Arbeit machen sollen, müssen sie gefährliche Dinge wie Hammer, Messer, Schraubenzieher, Computer, etc. benutzen können. Man muß aber Vorkehrungen treffen, daß diese Freiheit nicht mißbraucht wird.
Leider kann man im vorhinein nicht immer feststellen, wer aus der Reihe tanzt.
lks
1
Vielen Dank schonmal für die so schnellen Rückmeldungen! Warum es "damals" so lange gedauert hat, wurde uns nie wirklich mitgeteilt. Aber die Ransomware hatte sich wohl wieder verbreitet und es wurde auch etwas am Netzwerk "angepasst". Vertrauensbildend war dies alles nicht. Ich hätte einfacher damit umgehen können, wenn es irgenwo Fehler gegeben hätte - denn die passieren auch mir ständig....
Danke!
Danke!
dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird
Das ist sicher unbestreitbar. Klar ist aber auch das die IT Abteilung (und auch die Firmenleitung) des TO ihre Hausaufgaben nicht gemacht hat. Sei es durch Unkenntniss oder was auch immer.Mit einem wasserdichten NAS Konzept im Netz und dem Verbieten von USB Sticks via GPO hätte man mit 2 popeligen Maßnahmen schon 80% abgedeckt. Bleibt noch das Restrisiko Email Attachment. Aber auch da hätte man mit entsprechender Mitarbeiter Schulung durch Externe Security Berater, wie es derzeit üblich ist, auch den Schutz auf ggf. 95% hochdrehen können.
Mit Winblows als OS und dem Faktor Mensch bleibt aber immer ein Restrisiko.
Die Frage: "Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können?" ist also durchaus zu Recht gestellt, denn hier hat die hauseigene IT ebenfalls in ganzer Länge versagt und ist zu großem Anteil mitschuldig.
1Zitat von @aqui:
dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird
Das ist sicher unbestreitbar. Klar ist aber auch das die IT Abteilung des TO ihre Hausaufgaben nicht gemacht hat. Sei es durch Unkenntniss oder was auch immer.Korrekt, oder die Firmenleitung
Mit einem wasserdichten NAS Konzept
Wasserdicht ist erstmal nichts.
im Netz und dem Verbieten von USB Sticks via GPO hätte man mit 2 popeligen Maßnahmen schon 80% abgedeckt. Bleibt noch das Restrisiko Email Attachment.
Es ist immer das Zusammenspiel der gesamten Sicherheitsmechanismen.
Aber auch da hätte man mit entsprechender Mitarbeiter Schulung durch Externe Security Berater, wie es derzeit üblich ist, auch den Schutz auf ggf. 95% hochdrehen können.
Schulungen im üblichen Umfang sind leider oftmals vergebliche Liebesmüh, (eigene Erfahrung), bester Schutz ist immer dieses Momentum - ###e das hätte in die Hose gehen können. Sprich "praktische Workshops". Die Kunden leisten sich dann auch effektive Schulungen.
Mit Winblows als OS und dem Faktor Mensch bleibt aber immer ein Restrisiko.
Mit jedem (IT-)System...
Die Frage: "Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können?" ist also durchaus zu Recht gestellt, denn hier hat die hauseigene IT ebenfalls in ganzer Länge versagt und ist zu großem Anteil mitschuldig.
Bitte zieh die GL mit hinzu. Erstens ggf. aufgrund der Auswahl der IT und zweitens aufgrund der Mittelaustattung. Dies ist nämlich, aus eigener Erfahrung, oftmals Hemmschuh Nummer 1, und das fängt weit früher an. (Fritzbox statt UTM etc...).
Aber um Details abzufragen müsste man Wissen, was intern umgesetzt wurde, und wie.
Ärgerlich ist es allemal, aber es ist schön, wenn die MA intern die Firma bereits aus interner Sicherheitsperspektive kritisch sehen, das könnte ein Motivator für bessere IT sein.
1
Hi
also Grundsätzlich verantwortlich muss hier die GF sein, denn diese hat offenbar nicht dafür gesorgt, das entsprechende Schutzmaßnahmen durch die IT\Dienstleister eingerichtet werden. Meistens erfolgt das ja sogar absichtlich, weil es ja ansonsten so unglaublich unbequem ist. Passwörter sind unnütz und "uns" will ja eh keiner hacken, etc etc
Als zweiter Schuldiger ist ganz klar die IT zu benennen. Diese muss einerseits ordentlich arbeiten und entsprechend dafür sorgen das sowas nicht vorkommt und natürlich die GF entsprechend über die gefahren aufklären.
ABER: Ganz oft sind die User indirekt die Hauptschuldigen. Denn jede Änderung die von der IT kommt, jede Einschränkung in den Userrechten etc führen zu einem maßlosen rumgeheule das man so ja nicht arbeiten kann, das man auf jeden fall Adminrechte braucht, weil sonst kann man ja nicht jede Rotzsoftware selbst installieren usw usw.
Auch wenn die IT gerne alles sicher machen würde, so scheitert es oft am Widerstand der User bzw derer Vorgesetzten.
Wie auch immer... Ab jetzt hat eure IT hoffentlich genug Budget und Freiheiten eingeräumt bekommen, um entsprechende Maßnahmen zu ergreifen!
Immerhin gab es ja ein Offlinebackup.
Man schaue sich mal die Messe Stuttgart an. Da gabs das nicht. Alles weg...
also Grundsätzlich verantwortlich muss hier die GF sein, denn diese hat offenbar nicht dafür gesorgt, das entsprechende Schutzmaßnahmen durch die IT\Dienstleister eingerichtet werden. Meistens erfolgt das ja sogar absichtlich, weil es ja ansonsten so unglaublich unbequem ist. Passwörter sind unnütz und "uns" will ja eh keiner hacken, etc etc
Als zweiter Schuldiger ist ganz klar die IT zu benennen. Diese muss einerseits ordentlich arbeiten und entsprechend dafür sorgen das sowas nicht vorkommt und natürlich die GF entsprechend über die gefahren aufklären.
ABER: Ganz oft sind die User indirekt die Hauptschuldigen. Denn jede Änderung die von der IT kommt, jede Einschränkung in den Userrechten etc führen zu einem maßlosen rumgeheule das man so ja nicht arbeiten kann, das man auf jeden fall Adminrechte braucht, weil sonst kann man ja nicht jede Rotzsoftware selbst installieren usw usw.
Auch wenn die IT gerne alles sicher machen würde, so scheitert es oft am Widerstand der User bzw derer Vorgesetzten.
Wie auch immer... Ab jetzt hat eure IT hoffentlich genug Budget und Freiheiten eingeräumt bekommen, um entsprechende Maßnahmen zu ergreifen!
Immerhin gab es ja ein Offlinebackup.
Man schaue sich mal die Messe Stuttgart an. Da gabs das nicht. Alles weg...
2Zitat von @SeaStorm:
Hi
also Grundsätzlich verantwortlich muss hier die GF sein, denn diese hat offenbar nicht dafür gesorgt, das entsprechende Schutzmaßnahmen durch die IT\Dienstleister eingerichtet werden. Meistens erfolgt das ja sogar absichtlich, weil es ja ansonsten so unglaublich unbequem ist. Passwörter sind unnütz und "uns" will ja eh keiner hacken, etc etc
Als zweiter Schuldiger ist ganz klar die IT zu benennen. Diese muss einerseits ordentlich arbeiten und entsprechend dafür sorgen das sowas nicht vorkommt und natürlich die GF entsprechend über die gefahren aufklären.
ABER: Ganz oft sind die User indirekt die Hauptschuldigen. Denn jede Änderung die von der IT kommt, jede Einschränkung in den Userrechten etc führen zu einem maßlosen rumgeheule das man so ja nicht arbeiten kann, das man auf jeden fall Adminrechte braucht, weil sonst kann man ja nicht jede Rotzsoftware selbst installieren usw usw.
Auch wenn die IT gerne alles sicher machen würde, so scheitert es oft am Widerstand der User bzw derer Vorgesetzten.
Wie auch immer... Ab jetzt hat eure IT hoffentlich genug Budget und Freiheiten eingeräumt bekommen, um entsprechende Maßnahmen zu ergreifen!
Hi
also Grundsätzlich verantwortlich muss hier die GF sein, denn diese hat offenbar nicht dafür gesorgt, das entsprechende Schutzmaßnahmen durch die IT\Dienstleister eingerichtet werden. Meistens erfolgt das ja sogar absichtlich, weil es ja ansonsten so unglaublich unbequem ist. Passwörter sind unnütz und "uns" will ja eh keiner hacken, etc etc
Als zweiter Schuldiger ist ganz klar die IT zu benennen. Diese muss einerseits ordentlich arbeiten und entsprechend dafür sorgen das sowas nicht vorkommt und natürlich die GF entsprechend über die gefahren aufklären.
ABER: Ganz oft sind die User indirekt die Hauptschuldigen. Denn jede Änderung die von der IT kommt, jede Einschränkung in den Userrechten etc führen zu einem maßlosen rumgeheule das man so ja nicht arbeiten kann, das man auf jeden fall Adminrechte braucht, weil sonst kann man ja nicht jede Rotzsoftware selbst installieren usw usw.
Auch wenn die IT gerne alles sicher machen würde, so scheitert es oft am Widerstand der User bzw derer Vorgesetzten.
Wie auch immer... Ab jetzt hat eure IT hoffentlich genug Budget und Freiheiten eingeräumt bekommen, um entsprechende Maßnahmen zu ergreifen!
Absolut korrekt.
Immerhin gab es ja ein Offlinebackup.
Bitte: Offsite: Offlinebackup ist meist die NAS um die Ecke und die hängt oft genug mit den gleichen Zugangsdaten im Netz. Was natürlich supereffektiv (für den Verschlüssler ist).
Man schaue sich mal die Messe Stuttgart an. Da gabs das nicht. Alles weg...
und viele mehr...
1