jonas48
Goto Top

Rechner nach Virenbefall entsorgen?

Hallo zusammen,

in Berichten erfolgreicher Cyberangriffe ist immer wieder die Rede davon, dass alle betroffenen Client-Rechner entsorgt werden müssen.

Z.B. "Die alten Rechner wurden vollständig entsorgt, wie der CDU-Politiker schildert - zu groß die Gefahr, dass sich dort noch irgendwo Schadsoftware versteckt.",
https://www.tagesschau.de/inland/gesellschaft/cyberangriffe-verwaltung-1 ...

Meines mangelhaften Wissens nach, sollte eine vollständige Neuinstallation des Betriebssystems ausreichend sein. Gleichzeitig habe ich in Erinnerung, dass es in der Vergangenheit gelegentlich Vorfälle mit Virenbefall des UEFI/BIOS gab. Ist das aktuell noch gängig?

Warum sollten also betroffene Rechner entsorgen werden müssen? Oder ist das nur ein Vorwand, damit der öffentliche Dienst neue Hardware beschaffen darf? Das kann ja auch durchaus wirtschaftlich sinnvoll sein.


Danke im Voraus,
Jonas

Content-ID: 6851692832

Url: https://administrator.de/contentid/6851692832

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

SWISSMANN
SWISSMANN 20.04.2023 um 15:42:03 Uhr
Goto Top
Hallo Jonas,

mir persönlich ist kein Fall bekannt in dem einer meiner Kunden die Hardware auf den Schrott geworfen hat.

Saubere Neuinstallation der Software unter Ausschluss alter daten Funktionierte bei mir zu 99% immer.
ukulele-7
ukulele-7 20.04.2023 um 15:52:07 Uhr
Goto Top
Es gibt in jedem Einzelfall mehrere denkbare Erklärungen. Ich denke mal oft ist es eine wirtschaftliche Abwägung die alte Hardware nicht neu zu installieren und nicht in alte Hardware zu "investieren" sondern die Hardware zu erneuern um das Investment in die Arbeitszeit für einen längeren Zeitraum zu tätigen. Natürlich gibt es auch Root-Kits in der Welt der Schadsoftware und dann gibt es da den Grundsatz das ein "einmal befallenes System grundsätzlich nicht mehr vertrauenswürdig ist". Das ist natürlich meistens Quatsch, dann muss ich wirklich das ganze Netzwerk niederbrennen aber es gibt so Bereiche die den Anspruch "Absolute Sicherheit > Hardware Kosten" haben. Unwissenheit würde ich als Ursache eher ausschließen.
Crusher79
Crusher79 20.04.2023 um 15:57:33 Uhr
Goto Top
Naja geht mehr in Richtung Bootsektor oder BIOS Viren. In der Praxis so zum Glück nicht gesehen.

So kam ich aber zu einem Laptop mal! Böser Virus hat immer "dfssfsddfds" oder "cxxxxxxxxxxxv" geschrieben. Hab die Tastatur ausgebaut - Kabel gezogen - und USB Tastatur angeschlossen. Zack ging wieder! Hab da bei ebay neue bestellt.

Aber im Vorfeld auch bei dieser Privatperson genau das: GEFAHR. Todesvirus. Nie wieder einschalten. Vernichten....

Lappi war auch kein guter. Aber so hatte ich für meinen Sohn einen netten zum daddeln.
Remotedesktopverbindung
Remotedesktopverbindung 20.04.2023 um 16:25:44 Uhr
Goto Top
Servus,

Hardwareviren kann es geben, war aber früher typischer/gefährlicher (zumindest von was ich so im Internet gelesen habe). Siehe den guten alten CIH der viel Schaden angerichtet hatte.
C.R.S.
C.R.S. 20.04.2023 um 20:59:44 Uhr
Goto Top
Hallo,

grundsätzlich trifft das nicht auf jeden Vorfall zu, sondern ist ein Vorgehen bei entsprechender Indikation. Als solches betrifft es nicht nur Behörden, sondern alle Organisationen, die einem fachgerechten Risikomanagement unterworfen sind.

Eine Risikobetrachtung kann nicht auf Fragen wie "Ist das gängig?" beruhen, denn das ist grob lückenhaft. Nach dieser Vorstellung ist die Organisation allenfalls zufälliges Opfer eines "gängigen" Massenphänomens. Wichtiger ist ihre Bewertung als potenzielles Ziel von Angriffen, denn die daraus folgenden Maßnahmen decken die Risiken der Massenphänomene in der Regel mit ab.

Wenn ein Ziel einen hinreichenden Wert hat, findet sich ein Kreis von Angreifern, der alle angemessenen technischen Möglichkeiten ausschöpft, um in das Ziel einzudringen. Die Möglichkeiten sind auf einem normalen Laptop mit mindestens einem halben Dutzend Firmwares endlos. Der forensische Nachweis, dass der Laptop sauber ist, kostet daher erheblich mehr als die Hardware, oder ist praktisch unmöglich (etwa wenn der Angreifer ausgenutzte Schwachstellen "hinter sich" schließt).

Ein Einwand kann sein, dass dieser hypothetische Nachweis, dessen Ausbleiben dann die Entsorgung begründet, gerade anlässlich eines erkannten Vorfalls gefordert wird - zu keinem Zeitpunkt vorher und vor allem auch nicht für die neu angeschaffte Hardware. Also die vorhandenen Maßnahmen zur Erkennung und zur Sicherung der Lieferkette müssen ein solches Vorgehen stützen.

Grüße
Richard
jsysde
jsysde 20.04.2023 um 23:51:23 Uhr
Goto Top
N'Abend.

Clients zu verschrotten, weil "Security Product XY" mal gemault hat... naja, das halte ich für etwas arg krass.
Clients sind aber generell jederzeit ersetzbar, d.h. wenn die Endpoint Security auf nem Client etwas gefunden hat, wird der Client (per SCCM, MDT, whatever) einmal sauber neu "deployed". Und gut isses.

Theoretisch kann natürlich das BIOS infiziert sein, aber das merkst du direkt nach der Neu-Installation und kanns die Möhre dann ja tatsächlich erst aussondern.

Cheers,
jsysde
kpunkt
kpunkt 21.04.2023 um 06:48:58 Uhr
Goto Top
In diesem Fall halte ich es für absolut schwachsinnig, die gesamten Clients auszutauschen und auch noch zu verschrotten. Ich vermute da eher eine Geschäftsbeziehung. Wäre ja nix ungewöhnliches, dass da ein Händler mit einem der Mitarbeiter liiert ist.

Generell sollte man wohl unterscheiden, was und wo. Ich meine, es ist ein Landkreis und keine streng geheime Nachrichtendiensteinrichtung. Je sensitiver die Inhalte sind, die sich auf den Systemen befinden, desto vorsichtiger wäre ich. Da wars ein 0815-Ransomware-Angriff. Wahrscheinlich, weil ein Dulli dann doch mal auf die mitgesendete .EXE in der "Bewerbung-Mail" geklickt hat.

Im Hintergrund zu diesem "Artikel" wollte sich da eher jemand wichtiger machen, als er ist und ein kleiner Reibach wurde da auch noch gemacht.
Ich denke, das ist sogar ein Fall für den Bundesrechnungshof. Wenn der da zuständig ist bei Landkreisen.
StefanKittel
StefanKittel 21.04.2023 um 13:07:35 Uhr
Goto Top
Moin,

das ist eine meist theoretische Bedrohung.
Es ist durchaus möglich Schadsoftware ins BIOS/UEFI oder die Firmware von Geräten wie SSD, HDD, Netzwerkkarte oder anderen Geräten einzubetten.

Das ist sehr aufwendig und muss genau auf die Situation und Geräte abgestimmt sein.
Und hier kommt es darauf an mit wem man es zu tun hat und in welcher Situation man sich befindet.

Wenn auf dem PC von Olaf Scholz Jemand verdächtigen Traffic zu einer unfreundlichen Großmacht feststellt, würde ich anders reagieren als wenn Dr. Martin Mustermann auf seinem PC etwas hat.

Stichwort auch Bundestag gehackt...

Stefan
C.R.S.
C.R.S. 21.04.2023 um 14:30:22 Uhr
Goto Top
Zitat von @kpunkt:

Ich meine, es ist ein Landkreis und keine streng geheime Nachrichtendiensteinrichtung. Je sensitiver die Inhalte sind, die sich auf den Systemen befinden, desto vorsichtiger wäre ich.

Die Verwaltung eines Landkreises hat Meldedaten, Verkehrsüberwachung, Luftbilder, unterschiedlichste Informationen zu KRITIS/Wasser/Energie/Landwirtschaft etc.
Die Tools sind für Angreifer über verschiedene Kampagnen hinweg eh verfügbar, da ist die Grenze des vertretbaren Aufwands schnell überschritten.

Da wars ein 0815-Ransomware-Angriff.

Woher willst du das denn wissen? Und wenn: Hat der Urheber der Ransomware seine IT-Sicherheit im Griff, oder ist er längst selbst kompromittiert und liefert zusammen mit der Ransomware Dinge aus, die Leute, die nur die Ransomware entfernen, nicht mehr los werden?
geraldxx
geraldxx 22.04.2023 um 00:19:18 Uhr
Goto Top
Es kommt natürlich immer ganz darauf an. Auf den Sysadmin, auf die Firma, auf die Daten an sich, auf die Mitarbeiter, das Budget, auf das Sicherheitskonzept (Zero Trust oder Admin für alle), auf den Standard. Es gibt Firmen, da ist jeder Mitarbeiter Admin und darf alles mit ner Fritzbox als FW und Firmen mit redundanten Systemen, hohen Sicherheitsstandards, Adminrechte nur für 2-3 Leute. Es gibt Firmen, da wird bei einem Malware-Incident der Virenscanner laufen gelassen und das Thema ist erledigt. Dann gibts Sysadmins, die nach einem Vorfall jeden Stein umdrehen und prüfen.

Es gibt hier auch keinen Mittelweg. Entweder man nimmt das Thema Security ernst oder nicht, mit allem was dazugehört. UEFI Viren sind eine reale Bedrohung.
sklchris
sklchris 24.04.2023 um 12:20:19 Uhr
Goto Top
Ich darf gar nicht sagen, was ich in den meisten Fällen mache. Die meisten Fälle bei Kunden mache ich die Viren und Schadsoftware sogar per Fernwartung runter. I.d.R. siehst Du und merkst Du ob ein PC sauber ist.
Die Schadsoftware wo in Bootsektoren oder im Bios was hinterlegt hat, sind m.A.n. eher selten. ´

Aber wenn Du auf Nr. sicher gehen willst, dann würde ich halt die Firmware von einem Bootmedium neu machen, und die Festplatte komplett neu formatieren. Oder die Sicherheitsfetischisten würden dann die Festplatte entsorgen und eine neue einbauen. Ist immer noch besser als den ganzen PC.

Und was die die Daten Sicherheit angeht - da sehe ich die Verbindung Microsoft / NSA als größeres Problem. Also wenn man da wirklich sicher sein wollte oder falls Du auf dem PC Terroranschläge planen willst, solltest Du besser kein Windows System benützen face-smile Da sind auch Bundestrojaner usw. anspruchsvoller als die Viren die mir bei Kunden jetzt so die le. 30 Jahre untergekommen sind.
sklchris
sklchris 24.04.2023 um 12:32:20 Uhr
Goto Top
Ich finde schon dass es da auch einen Mittelweg gibt. Also dass man die Sicherheit an den Kunden anpasst. Aber dann gibts halt auch sofort jemand, der dann ruft "wie kannst Du bloß". Bei uns im Ort ist eine Firma, die macht sogar jedem kleinen Handwerksbetrieb eine IDF rein, mit monatlichen Lizenz Kosten und allem.

Ich muss halt unterscheiden ob ich eine Bankfiliale habe, oder ein Handwerker oder was halt die jeweiligen Gefahren sind.
Und wenn ich ein Schadsoftware Befall habe, dann weiß ich in der Regel ja welche Schadsoftware das ist. Und vor ca. 2 - 3 Jahren, hatte ich einen Fall einer Schadsoftware bei einem Kunden, wo man irgendwo in Deutschland im öffentlichen Dienst 800 PCs entsorgt hat - dabei konnte man den in wenigen Minuten per Fernwartung entfernen.

Aber so hat der Kunde halt max. eine Arbeitsstunde bei mir bezahlt, und andere IT Firmen haben da gleich den ganzen PC (oder in dem einen Fall sogar 800 davon) neu verkauft. Also da wird halt leider auch viel Geld mit der Angst verdient.
ukulele-7
ukulele-7 24.04.2023 um 16:20:58 Uhr
Goto Top
Zitat von @sklchris:

Ich darf gar nicht sagen, was ich in den meisten Fällen mache. Die meisten Fälle bei Kunden mache ich die Viren und Schadsoftware sogar per Fernwartung runter.
Das machen die netten Herren vom indischen Microsoft Call Center auch immer so, sogar hinter einem schwarzen Bildschirm!
Hr-Schmidt
Hr-Schmidt 24.04.2023 um 17:27:41 Uhr
Goto Top
Naja.. wenn das die Rechner sind, die eh schon auf der Abschussliste standen, dürfte es unnötig Ressourcen (Geld) kosten, die wieder sauber neu aufzusetzen. Da ist es wahrscheinlich besser das Geld sinnvoll für die bereits in Planung befindliche neu-Anschaffung zu verwenden.

Kann ich mir auf dem Amt gut vorstellen...