Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ransomware - Userperspektive

Mitglied: EndEndUser

EndEndUser (Level 1) - Jetzt verbinden

09.09.2019 um 14:08 Uhr, 1214 Aufrufe, 12 Kommentare, 8 Danke

Liebes Forum,

entschuldigt bitte eine Frage aus User-Sicht, für die ich in anderen Foren nichts Hilfreiches gefunden habe - und, soweit ich das über das Mitlesen herausfinden konnte, bei Euch auch vielleicht nicht immer Einigkeit besteht.

Bei uns in der Firma haben wir ein Netzwerk mit ca. 100 Windows-Arbeitsplätzen. Dort wurden vor ca. zwei Monaten alle Daten im Netzwerk verschlüsselt (Ryuk oder Ryk). Es gab zwar ein "sauberes" Backup, das aber älter als 48 Stunden war. Man hat Wochen gebraucht, das System wieder zum Laufen zu bekommen.

Nun stehen wir User im Mittelpunkt - wir hätten unbedacht Anhänge geöffnet, ungeprüfte USB-Sticks verwandt etc. Nur meine Frage aus Usersicht: wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern bzw. immer die Gefahr besteht, dass durch das Öffnen eines Anhanges, einen USB-Stick o.ä. das ganze Netzwerk zerschossen wird... und es Wochen braucht, um es wieder neu aufzusetzen... dann leben wir User ja weiter auf einem Pulverfass (auch wenn wir dies selber sind)? Es wird immer einen geben, der sich nicht an die Vorgaben hinsichtlich der Anhänge, Sticks usw. hält, egal, ob man dies nun als "dumm" oder sonstwie bezeichnen möchte...

Klar ist, dass es immer wieder unvorhergesehene Angriffe geben wird, die nur oder höchstens mit fähigen Usern zu überstehen sind. Aber wenn unser Netzwerk damit "steht und fällt", dass ein User einen falschen Anhang öffnet, möchte ich nicht weiter mit diesem Netzwerk arbeiten bzw. würde versuchen, selbst Backup-, Sicherungs- und Sicherheitslösungen vorzunehmen. Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können? Ist das heute "nach dem Stand der Technik" überhaupt möglich?

Nun, vielleicht findet ja auch diese Userperspektive bei Euch im Profiforum Platz.

Vielen Dank

Jens
Mitglied: Kraemer
09.09.2019 um 14:12 Uhr
Moin,

ist wie beim Autofahren: Passt du nicht auf ist einer tot.

Gruß
Bitte warten ..
Mitglied: VGem-e
09.09.2019 um 14:18 Uhr
Servus,

klar scheint doch aufgrund der bisherigen EDV-History, dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird (sonst wären doch NSA und Co. total erfolglos).

Es gibt bestimmte Schutzmechanismen, z.B. die Sperrung mutmaßlich gefährlicher Mailanhänge, die ein Admin durchführen kann.

Es ist halt immer ein Spiel Gut gegen Böse, einmal gewinnt der "Gute", andermal der "Böse"...

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
09.09.2019 um 14:18 Uhr
Zitat von Kraemer:

Moin,

ist wie beim Autofahren: Passt du nicht auf ist einer tot.

Gruß


Es können nucht alle Straßen mit Puffern wie bei Autoscootern ausgestattet werden


lks
Bitte warten ..
Mitglied: itisnapanto
09.09.2019 um 14:23 Uhr
Moin Jens,

natürlich kann man das Netz größtmöglich absicher , das sowas in der Form nicht noch einmal passiert.
Aber dazu braucht bracht einen fähigen Admin / externen Betreuer und Geld.

Zusätzlich braucht man auch den Support der GF, da man sonst gegen Mühlen arbeitet und man auch mit gewissen Einschränkungen leben muss.

Das sollte aber nicht deine Aufgabe sein. Das ist Sache der GF und dem Admin. Euch als Anwender muss man dann entsprechend Schulen und sensibiliseren.


Was mich interessiert , warum es Wochen dauert , wenn es ein 48 Stunden Backup gab ? Da scheint dann ja auch schon grundsätzlich was nicht zu passen.


Gruss
Bitte warten ..
Mitglied: Pjordorf
09.09.2019 um 14:28 Uhr
Hallo,

Zitat von EndEndUser:
Nur meine Frage aus Usersicht: wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern bzw. immer die Gefahr besteht, dass durch das Öffnen eines Anhanges, einen USB-Stick o.ä. das ganze Netzwerk zerschossen wird... und es Wochen braucht,
Das einzige sichere Internet ist kein Internet und das glt für euer LAN ebenso. Alles andere erfordert Fachwissen (auch der bösen Seite) und teils eine gehörige frei nachfliessende Geldmenge. Fragt sich nur wann euere IT die Firmenpleite besiegelt.

Gruß,
Peter
Bitte warten ..
Mitglied: Hubert.N
09.09.2019, aktualisiert um 14:29 Uhr
Moin

Es gab zwar ein "sauberes" Backup, das aber älter als 48 Stunden war. Man hat Wochen gebraucht, das System wieder zum Laufen zu bekommen.

Das sollte nicht Dein Problem sein. Backup älter als von gestern -> da hat doch eigentlich der Admin zuerst einmal ein Problem.

(...) wir hätten unbedacht Anhänge geöffnet, ungeprüfte USB-Sticks verwandt etc. (....) wenn es nicht möglich ist, dass Netzwerk gegen uns dumme User abzusichern (...) dann leben wir User ja weiter auf einem Pulverfass (auch wenn wir dies selber sind)? Es wird immer einen geben, der sich nicht an die Vorgaben hinsichtlich der Anhänge, Sticks usw. hält, egal, ob man dies nun als "dumm" oder sonstwie bezeichnen möchte...

Ja... Du hast es so langsam verstanden Es wird immer einen Virus geben, den der Scanner nicht erkennt und den irgendein User leichtsinnigerweise aktiviert.

Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können? Ist das heute "nach dem Stand der Technik" überhaupt möglich?

Na klar. Auf die Daten der Personalabteilung hast Du keinen Zugriff ? Dann wird es auch nicht zu einer Verschlüsselung dieser Daten kommen. Im Grunde genommen doch ganz einfach: Alle Daten, auf die Du schreibenden Zugriff hast, kannst Du auch verschlüsseln.

Eigentlich ist das doch am ehesten eine Frage, wie euer Admin das System backuptechnisch aufgesetzt hat. Bei meinen Kunden ist es schon ein paarmal vorgekommen, dass die sich Ihre Freigaben verschlüsselt hatten. Bis auf einmal ließ sich das dann direkt aus der Schattenkopie wiederherstellen. Also Ausfallzeit = ~30 Minuten und Datenverlust < 4 Stunden.

Fazit: User nerven, wenn man das Gefühl hat, sie haben kurzfristig den Kopf abgeschaltet. "Ich wollte mal wissen, was passiert" (Habe ich so original gehört...) "Irgendwie kam mir das komisch vor" (und deshalb wird das angeklickt???)
Ansonsten ist es aber in erster Linie ein Frage der administrativen Ebene, wie gut man sich auf diesen Fall der Fälle vorbereitet hat. Wiederherstellungszeiten im Wochenbereich sind indiskutabel...

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
09.09.2019 um 14:28 Uhr
Moin ,


Die User brauchen gewisse Zugriffsrechte und manchmal auch Freiheiten, um Ihre Arbeit zu erledigen. Wenn man das zu arg einschränkt, können Sie Ihre Arbeit nicht erledigen. Daher muß man einen Kompromiß finden, der nicht zu unbequem ist aber das Risiko minimiert, sich was einzufangen.


Ist wie z.B. in einer Gefängniswerkstatt:

wenn die Häflinge Ihre Arbeit machen sollen, müssen sie gefährliche Dinge wie Hammer, Messer, Schraubenzieher, Computer, etc. benutzen können. Man muß aber Vorkehrungen treffen, daß diese Freiheit nicht mißbraucht wird.

Leider kann man im vorhinein nicht immer feststellen, wer aus der Reihe tanzt.

lks
Bitte warten ..
Mitglied: EndEndUser
09.09.2019 um 14:41 Uhr
Vielen Dank schonmal für die so schnellen Rückmeldungen! Warum es "damals" so lange gedauert hat, wurde uns nie wirklich mitgeteilt. Aber die Ransomware hatte sich wohl wieder verbreitet und es wurde auch etwas am Netzwerk "angepasst". Vertrauensbildend war dies alles nicht. Ich hätte einfacher damit umgehen können, wenn es irgenwo Fehler gegeben hätte - denn die passieren auch mir ständig....

Danke!
Bitte warten ..
Mitglied: aqui
09.09.2019, aktualisiert 10.09.2019
dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird
Das ist sicher unbestreitbar. Klar ist aber auch das die IT Abteilung (und auch die Firmenleitung) des TO ihre Hausaufgaben nicht gemacht hat. Sei es durch Unkenntniss oder was auch immer.
Mit einem wasserdichten NAS Konzept im Netz und dem Verbieten von USB Sticks via GPO hätte man mit 2 popeligen Maßnahmen schon 80% abgedeckt. Bleibt noch das Restrisiko Email Attachment. Aber auch da hätte man mit entsprechender Mitarbeiter Schulung durch Externe Security Berater, wie es derzeit üblich ist, auch den Schutz auf ggf. 95% hochdrehen können.
Mit Winblows als OS und dem Faktor Mensch bleibt aber immer ein Restrisiko.
Die Frage: "Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können?" ist also durchaus zu Recht gestellt, denn hier hat die hauseigene IT ebenfalls in ganzer Länge versagt und ist zu großem Anteil mitschuldig.
Bitte warten ..
Mitglied: certifiedit.net
09.09.2019 um 15:51 Uhr
Zitat von aqui:

dass es fehlerfreie Betriebssysteme und Software wohl nie geben wird
Das ist sicher unbestreitbar. Klar ist aber auch das die IT Abteilung des TO ihre Hausaufgaben nicht gemacht hat. Sei es durch Unkenntniss oder was auch immer.

Korrekt, oder die Firmenleitung

Mit einem wasserdichten NAS Konzept

Wasserdicht ist erstmal nichts.
im Netz und dem Verbieten von USB Sticks via GPO hätte man mit 2 popeligen Maßnahmen schon 80% abgedeckt. Bleibt noch das Restrisiko Email Attachment.

Es ist immer das Zusammenspiel der gesamten Sicherheitsmechanismen.

Aber auch da hätte man mit entsprechender Mitarbeiter Schulung durch Externe Security Berater, wie es derzeit üblich ist, auch den Schutz auf ggf. 95% hochdrehen können.

Schulungen im üblichen Umfang sind leider oftmals vergebliche Liebesmüh, (eigene Erfahrung), bester Schutz ist immer dieses Momentum - ### das hätte in die Hose gehen können. Sprich "praktische Workshops". Die Kunden leisten sich dann auch effektive Schulungen.

Mit Winblows als OS und dem Faktor Mensch bleibt aber immer ein Restrisiko.

Mit jedem (IT-)System...

Die Frage: "Sollte die Netzwerkarchitektur nicht so designt oder strukturiert sein, sollten nicht die Zugriffsrechte so zugewiesen sein, dass wir dummen User dem Netzwerk nur bedingt Schaden zufügen können?" ist also durchaus zu Recht gestellt, denn hier hat die hauseigene IT ebenfalls in ganzer Länge versagt und ist zu großem Anteil mitschuldig.

Bitte zieh die GL mit hinzu. Erstens ggf. aufgrund der Auswahl der IT und zweitens aufgrund der Mittelaustattung. Dies ist nämlich, aus eigener Erfahrung, oftmals Hemmschuh Nummer 1, und das fängt weit früher an. (Fritzbox statt UTM etc...).

Aber um Details abzufragen müsste man Wissen, was intern umgesetzt wurde, und wie.

Ärgerlich ist es allemal, aber es ist schön, wenn die MA intern die Firma bereits aus interner Sicherheitsperspektive kritisch sehen, das könnte ein Motivator für bessere IT sein.
Bitte warten ..
Mitglied: SeaStorm
09.09.2019 um 16:05 Uhr
Hi

also Grundsätzlich verantwortlich muss hier die GF sein, denn diese hat offenbar nicht dafür gesorgt, das entsprechende Schutzmaßnahmen durch die IT\Dienstleister eingerichtet werden. Meistens erfolgt das ja sogar absichtlich, weil es ja ansonsten so unglaublich unbequem ist. Passwörter sind unnütz und "uns" will ja eh keiner hacken, etc etc

Als zweiter Schuldiger ist ganz klar die IT zu benennen. Diese muss einerseits ordentlich arbeiten und entsprechend dafür sorgen das sowas nicht vorkommt und natürlich die GF entsprechend über die gefahren aufklären.

ABER: Ganz oft sind die User indirekt die Hauptschuldigen. Denn jede Änderung die von der IT kommt, jede Einschränkung in den Userrechten etc führen zu einem maßlosen rumgeheule das man so ja nicht arbeiten kann, das man auf jeden fall Adminrechte braucht, weil sonst kann man ja nicht jede Rotzsoftware selbst installieren usw usw.
Auch wenn die IT gerne alles sicher machen würde, so scheitert es oft am Widerstand der User bzw derer Vorgesetzten.
Wie auch immer... Ab jetzt hat eure IT hoffentlich genug Budget und Freiheiten eingeräumt bekommen, um entsprechende Maßnahmen zu ergreifen!

Immerhin gab es ja ein Offlinebackup.
Man schaue sich mal die Messe Stuttgart an. Da gabs das nicht. Alles weg...
Bitte warten ..
Mitglied: certifiedit.net
09.09.2019 um 16:35 Uhr
Zitat von SeaStorm:

Hi

also Grundsätzlich verantwortlich muss hier die GF sein, denn diese hat offenbar nicht dafür gesorgt, das entsprechende Schutzmaßnahmen durch die IT\Dienstleister eingerichtet werden. Meistens erfolgt das ja sogar absichtlich, weil es ja ansonsten so unglaublich unbequem ist. Passwörter sind unnütz und "uns" will ja eh keiner hacken, etc etc

Als zweiter Schuldiger ist ganz klar die IT zu benennen. Diese muss einerseits ordentlich arbeiten und entsprechend dafür sorgen das sowas nicht vorkommt und natürlich die GF entsprechend über die gefahren aufklären.

ABER: Ganz oft sind die User indirekt die Hauptschuldigen. Denn jede Änderung die von der IT kommt, jede Einschränkung in den Userrechten etc führen zu einem maßlosen rumgeheule das man so ja nicht arbeiten kann, das man auf jeden fall Adminrechte braucht, weil sonst kann man ja nicht jede Rotzsoftware selbst installieren usw usw.
Auch wenn die IT gerne alles sicher machen würde, so scheitert es oft am Widerstand der User bzw derer Vorgesetzten.
Wie auch immer... Ab jetzt hat eure IT hoffentlich genug Budget und Freiheiten eingeräumt bekommen, um entsprechende Maßnahmen zu ergreifen!

Absolut korrekt.
Immerhin gab es ja ein Offlinebackup.

Bitte: Offsite: Offlinebackup ist meist die NAS um die Ecke und die hängt oft genug mit den gleichen Zugangsdaten im Netz. Was natürlich supereffektiv (für den Verschlüssler ist).
Man schaue sich mal die Messe Stuttgart an. Da gabs das nicht. Alles weg...

und viele mehr...
Bitte warten ..
Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 1 TagMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 1 TagVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 1 TagFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 2 TagenSicherheit3 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager Vorschläge
Frage von BelmontSicherheits-Tools17 Kommentare

Servus, Ich bin aktuell auf der Suche nach einem cloudbasiertem Passwortmanager mit bestimmten Features: 1. LDAP-Anbindung bzw. Azure AD ...

E-Business
Tipp oder Ansatz für ein Email-System gesucht
Frage von StefanKittelE-Business13 Kommentare

Hallo, ich habe einen Kunden der sehr viele Email-Postfächer (5-15) pro Benutzer in Outlook mit sehr großen Datenmenge hat. ...

Grafikkarten & Monitore
KVM-Switch-Monitor?
Frage von BadgerGrafikkarten & Monitore13 Kommentare

Hallo, ich möchte gerne zwei Geräte (1x Desktop, 1x Notebook) an einem Monitor anhängen. Zusätzlich sollen sich die Geräte ...

Monitoring
2 Nutzer gleichzeitig auf einem Server mit gleichem Screen-Programm arbeiten
Frage von FreelinerMonitoring12 Kommentare

Hallo in die Runde. Frage: Ist es möglich, dass 2 Nutzer gleichzeitig auf einem Server am gleichen Desktop angemeldet ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN