Sysadmin:Sicherheitsrisiken in Firmen
Hallo zusammen,
ich brauch mal ein paar Kollegen zum Reden. Heute ist ja Freitag...
Ich konnte in den letzten Jahren in die IT aller möglichen Branchen und Firmengrößen reinschnuppern.
Was mir ständig den Kopf zerbricht, sind die Sicherheitsrisiken, vorallem im KMU Bereich. Gerade, aber nicht nur, bei Umgebungen, bei denen kein eigener Admin angestellt ist.
Wenn man hier im Forum so ließt, denkt man, man lebt in einer anderen Welt, denn die eigentliche Praxis sieht (zumindest von dem was ich bisher gesehen habe) so gut wie immer anders als ein Wunschkonzert aus. Und ich war beim Einzelkämpfer, in verschiedenen medizinischen Praxen, bei dem 5 Mann Handwerksbetrieb sowie bei 20 Mann Bauunternehmen und beim 50-200 Mann Industriebetrieb sowie einigen Konzernen.
Die allermeisten Firmen davon haben flache Netzwerke ohne Segmentierung, ggf. mit Windows AD. Wenn man viel Glück hat gibt es gerade so noch eine DMZ für einen Exchange. Ok Datensicherung und AV sind meist vorhanden. Hilfe gibts wenn Hilfe angefordert wird. Hier und da auch regelmäßige Wartungen/Überprüfungen laut Wartungsvertrag, Aber ein 3 Mann Unternehmen muss ja auch aufs Geld schauen. Da ist das einfach nicht möglich, wochenlang einen Admin einzusetzen. GPOs pflegen für kleine Firmen? Noch nie gesehen. Netzwerk-Access-Controll? Nur im Konzern bisher gesehen, ansonsten kannste Dich an jeder Netzwerkdose anschließen. WLAN-Radius? Auch nur im Konzern, ansonsten ganz normales WPA2 weil zu aufwendig. Internet wird nicht gefiltert da Proxy zu aufwendig ist, die meisten Endgeräte bzw. deren Software (auch Arztsoftware) setzt Internet vorraus. Als Router von außen zwar alles geblockt, aber von innen alles offen. Weil die Pflege dafür viel zu aufwendig ist.
Laptops und Smartphones der Chefs und höheren Angestellten werden mit nach Hause genommen und hängen da dann zusammen mit dem ganzen Privatkram im heimischen WLAN, wo dann ggf. noch Jugendliche mit im Netzwerk fleißig Ihre Katzenvideos anschauen. Oft werden auch Privathandys mit den Firmenemails ausgestattet. VPN vom Firmenlaptop im Heimnetz? Für mich gedanklich ein Albtraum. Was willste aber machen bei den kleinen. Den ihr Heimnetzwerk segmentieren? Wer macht sowas mit.
Zumal oft die Branchenprogramme mit allen Daten der Firma auf den selben PC laufen wie das Mailprogramm zb ein Outlook. Ein falscher Klick auf einen falschen Anhang - und potentiell wird der ganze Datenbestand abgezogen , wenn man Glück hat "nur" verschlüsselt. Keiner würde es gleich mitbekommen (ok das tritt auch auf viele Firmen zu). Das ist auch oft bei sensiblen Daten der Fall (Berufsbetreuer, Ärzte, Physiotherapeuten). Die Programme setzen aber zwingend Internet vorraus.
Meiner Meinung nach ist es potentiell möglich, jede kleinere Firma zu infizieren oder manipulieren, wenn man den Weg z.B.: über social Engineering geht. Anderseits könnte man (wenn man es nun wirklich will) bei den Buden auch einfach reinwandern, geht bei vielen mit Leiter und Warnweste ohne dass dich jemand fragt, (oftmals ungesperrte PCs) oder einbrechen und das Zeugs rausholen. Netzwerkports sind immer frei zugänglich, ich kenne nur eine Firma mit Access Controll bei den Netzwerkdosen (und das ist ein Riesenkonzern).
Ok, hundertprozentige Sicherheit gibt es nicht. Ich weiß. Und ich denke, wenn man Schaden anrichten will, kann man es. Ich könnte auch eine Ampel in der Stadt manipulieren. Oder ein Auto was irgendwo rumsteht. Da sitzt auch niemand und kontrolliert ständig.
Wie geht Ihr mit solchen Risiken um? Bin ich zu paranoid, dass es mir die IT versaut hat? Könnte auch an meiner Zwangsstörung (OCD) liegen, dass ich es perfekt haben will und ich zu viel über Risiken nachdenke, aber ich habe die eigentlich mittlerweile ganz gut im Griff.
Ich finde, die Systeme wie MS Windows geben einen auch nicht das richtige Werkzeug in die Hand, sowas ordentlich zu managen.
Ich wüsste auch nicht, was man da anders machen könnte. Vielleicht denke ich auch zu viel, denn es passiert vergleichsweise wenig. Mir ist noch kein Fall aus der (edit: meiner) Praxis bekannt, bei denen ein Client (zb W10) rein durch das Verbinden mit einem anderen Netzwerk infiziert wurde. Aber mittlerweile ist es doch kaum noch möglich, eine sichere IT zu machen weil man so viele Faktoren nicht ausschließen kann. Alles ist so wahnsinnig risikobehaftet. Alles ist wie ein Kartenhaus was ganz schnell zusammen fallen kann.
Danke und schönen Freitag
Burnout
ich brauch mal ein paar Kollegen zum Reden. Heute ist ja Freitag...
Ich konnte in den letzten Jahren in die IT aller möglichen Branchen und Firmengrößen reinschnuppern.
Was mir ständig den Kopf zerbricht, sind die Sicherheitsrisiken, vorallem im KMU Bereich. Gerade, aber nicht nur, bei Umgebungen, bei denen kein eigener Admin angestellt ist.
Wenn man hier im Forum so ließt, denkt man, man lebt in einer anderen Welt, denn die eigentliche Praxis sieht (zumindest von dem was ich bisher gesehen habe) so gut wie immer anders als ein Wunschkonzert aus. Und ich war beim Einzelkämpfer, in verschiedenen medizinischen Praxen, bei dem 5 Mann Handwerksbetrieb sowie bei 20 Mann Bauunternehmen und beim 50-200 Mann Industriebetrieb sowie einigen Konzernen.
Die allermeisten Firmen davon haben flache Netzwerke ohne Segmentierung, ggf. mit Windows AD. Wenn man viel Glück hat gibt es gerade so noch eine DMZ für einen Exchange. Ok Datensicherung und AV sind meist vorhanden. Hilfe gibts wenn Hilfe angefordert wird. Hier und da auch regelmäßige Wartungen/Überprüfungen laut Wartungsvertrag, Aber ein 3 Mann Unternehmen muss ja auch aufs Geld schauen. Da ist das einfach nicht möglich, wochenlang einen Admin einzusetzen. GPOs pflegen für kleine Firmen? Noch nie gesehen. Netzwerk-Access-Controll? Nur im Konzern bisher gesehen, ansonsten kannste Dich an jeder Netzwerkdose anschließen. WLAN-Radius? Auch nur im Konzern, ansonsten ganz normales WPA2 weil zu aufwendig. Internet wird nicht gefiltert da Proxy zu aufwendig ist, die meisten Endgeräte bzw. deren Software (auch Arztsoftware) setzt Internet vorraus. Als Router von außen zwar alles geblockt, aber von innen alles offen. Weil die Pflege dafür viel zu aufwendig ist.
Laptops und Smartphones der Chefs und höheren Angestellten werden mit nach Hause genommen und hängen da dann zusammen mit dem ganzen Privatkram im heimischen WLAN, wo dann ggf. noch Jugendliche mit im Netzwerk fleißig Ihre Katzenvideos anschauen. Oft werden auch Privathandys mit den Firmenemails ausgestattet. VPN vom Firmenlaptop im Heimnetz? Für mich gedanklich ein Albtraum. Was willste aber machen bei den kleinen. Den ihr Heimnetzwerk segmentieren? Wer macht sowas mit.
Zumal oft die Branchenprogramme mit allen Daten der Firma auf den selben PC laufen wie das Mailprogramm zb ein Outlook. Ein falscher Klick auf einen falschen Anhang - und potentiell wird der ganze Datenbestand abgezogen , wenn man Glück hat "nur" verschlüsselt. Keiner würde es gleich mitbekommen (ok das tritt auch auf viele Firmen zu). Das ist auch oft bei sensiblen Daten der Fall (Berufsbetreuer, Ärzte, Physiotherapeuten). Die Programme setzen aber zwingend Internet vorraus.
Meiner Meinung nach ist es potentiell möglich, jede kleinere Firma zu infizieren oder manipulieren, wenn man den Weg z.B.: über social Engineering geht. Anderseits könnte man (wenn man es nun wirklich will) bei den Buden auch einfach reinwandern, geht bei vielen mit Leiter und Warnweste ohne dass dich jemand fragt, (oftmals ungesperrte PCs) oder einbrechen und das Zeugs rausholen. Netzwerkports sind immer frei zugänglich, ich kenne nur eine Firma mit Access Controll bei den Netzwerkdosen (und das ist ein Riesenkonzern).
Ok, hundertprozentige Sicherheit gibt es nicht. Ich weiß. Und ich denke, wenn man Schaden anrichten will, kann man es. Ich könnte auch eine Ampel in der Stadt manipulieren. Oder ein Auto was irgendwo rumsteht. Da sitzt auch niemand und kontrolliert ständig.
Wie geht Ihr mit solchen Risiken um? Bin ich zu paranoid, dass es mir die IT versaut hat? Könnte auch an meiner Zwangsstörung (OCD) liegen, dass ich es perfekt haben will und ich zu viel über Risiken nachdenke, aber ich habe die eigentlich mittlerweile ganz gut im Griff.
Ich finde, die Systeme wie MS Windows geben einen auch nicht das richtige Werkzeug in die Hand, sowas ordentlich zu managen.
Ich wüsste auch nicht, was man da anders machen könnte. Vielleicht denke ich auch zu viel, denn es passiert vergleichsweise wenig. Mir ist noch kein Fall aus der (edit: meiner) Praxis bekannt, bei denen ein Client (zb W10) rein durch das Verbinden mit einem anderen Netzwerk infiziert wurde. Aber mittlerweile ist es doch kaum noch möglich, eine sichere IT zu machen weil man so viele Faktoren nicht ausschließen kann. Alles ist so wahnsinnig risikobehaftet. Alles ist wie ein Kartenhaus was ganz schnell zusammen fallen kann.
Danke und schönen Freitag
Burnout
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7124594821
Url: https://administrator.de/contentid/7124594821
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
16 Kommentare
Neuester Kommentar
Wie geht Ihr mit solchen Risiken um?
Die Verantwortlichen (schriftlich) auf die Risiken hinweisen. Alles an Sicherheitsmaßnahmen umsetzen, was die Verantwortlichen möchten. Was sie nicht möchten (2FA ist zu anstrengend, neue Switche für VLANS kosten Geld etc.) schriftlich festhalten.Wenn es kracht, den Verantwortlichen diese Niederschriften unter die Nase halten.
Mir ist noch kein Fall aus der Praxis bekannt, bei denen ein Client (zb W10) rein durch das Verbinden mit einem anderen Netzwerk infiziert wurde.
Lies dich mal zum Thema EternalBlue, NotPetya etc. ein. Du wirst erstaunt sein, was alles möglich ist
-Thomas
Hi,
ich kenne das alles auch aus erster Hand, was du beschreibst.
Du hast völlig recht, IT-Sicherheit ist, vor allem bei kleineren Firmen, quasi nicht vorhanden.
Man kann nur darauf hinweisen.
Letztlich ist es aber auch einfach eine Kosten-Risiko-Rechnung: Einen gezielten Angriff auf genau diese eine KMU ist kaum zu verhindern. Social Engineering kann quasi nicht verhindert werden, denn es ist ja alles aus IT-Sicht legitim.
Andererseits: Es gibt so gut wie keine gezielten Angriffe auf diese kleinen KMUs, weil es überhaupt nicht lohnend ist. Von denen kann ich keine 10 Millionen erpressen und für 10.000€ lohnt es nicht, so viel Aufwand zu betreiben.
Gegen die üblichen Massenangriff wie z.B. Ransomware kann man sehr einfach günstige Backupsysteme einrichten. Das ist im laufenden Betrieb weit weniger störend als z.B. Access Control an den Netzwerkdosen, wenn es keinen Admin vor Ort gibt.
Die Daten auf den Computern? Nutzlos. Du kannst damit nichts anfangen und niemand im Darkweb würde einen Cent bezahlen, um Daten einer 10-Mann Butze in Deutschland zu bekommen.
Zu deinem Beispiel mit der Ampel: Ja du hast recht, da kannst du jederzeit dran. Aber wozu? Es gibt sehr viele ziemlich ungeschützte Teile der Gesellschaft, aber hey: Wenn es quasi nichts zu holen gibt, warum es schützen?
Beispiel von einem guten Bekannten aus Norwegen:
Bei dem steckt der Schlüssel im Auto. Immer. Das kommt nie weg, weil der Aufwand dorthin zu fahren, das Auto zu klauen und weg zu fahren viel zu groß ist.
Also ja, du hast völlig recht. IT-Sicherheit könnte sehr leicht verbessert werden, vor allem durch Mitarbeiterschulung.
Da die Schäden aber so gering sind, interessiert das die meisten kleinen Unternehmen schlicht nicht. Höchstens wenn sie mal betroffen sind (und ich kann dir aus Erfahrung sagen: Nein, die meisten lernen daraus nichts).
Mein Rat an dich: Wenn dir das persönlich so ein Anliegen ist und es dich so stresst, dann such dir eine Firma wo Sicherheit wichtig ist. Das sind vor allem die Konzerne, die ganzen Abteilungen dafür bezahlen.
Andernfalls wirst du bei diesem Kampf gegen Windmühlen einfach nur verzweifeln und das schadet nur dir selbst aber bringt niemandem was.
Gruß
Drohnald
ich kenne das alles auch aus erster Hand, was du beschreibst.
Du hast völlig recht, IT-Sicherheit ist, vor allem bei kleineren Firmen, quasi nicht vorhanden.
Wie geht Ihr mit solchen Risiken um?
Nicht drüber nachdenken. Wenn du dir wirklich bewusst machst, welche Verantwortung du als Admin theoretisch hast und was du alles NICHT verhindern kannst (meistens weil die Führung kein Geld geben will oder das Problem nicht sieht), dann wirst du vermutlich depressiv, irre oder beides.Man kann nur darauf hinweisen.
Letztlich ist es aber auch einfach eine Kosten-Risiko-Rechnung: Einen gezielten Angriff auf genau diese eine KMU ist kaum zu verhindern. Social Engineering kann quasi nicht verhindert werden, denn es ist ja alles aus IT-Sicht legitim.
Andererseits: Es gibt so gut wie keine gezielten Angriffe auf diese kleinen KMUs, weil es überhaupt nicht lohnend ist. Von denen kann ich keine 10 Millionen erpressen und für 10.000€ lohnt es nicht, so viel Aufwand zu betreiben.
Gegen die üblichen Massenangriff wie z.B. Ransomware kann man sehr einfach günstige Backupsysteme einrichten. Das ist im laufenden Betrieb weit weniger störend als z.B. Access Control an den Netzwerkdosen, wenn es keinen Admin vor Ort gibt.
Leiter und Warnweste ohne dass dich jemand fragt, (oftmals ungesperrte PCs) oder einbrechen und das Zeugs rausholen
Ja ok, und was wird dann erbeutet? Hardware mit Wert von vll. 3000€. Dafür musst du ja pro Person 2 so Dinger pro Monat machen um zu überleben. Viel zu uninteressant.Die Daten auf den Computern? Nutzlos. Du kannst damit nichts anfangen und niemand im Darkweb würde einen Cent bezahlen, um Daten einer 10-Mann Butze in Deutschland zu bekommen.
Zu deinem Beispiel mit der Ampel: Ja du hast recht, da kannst du jederzeit dran. Aber wozu? Es gibt sehr viele ziemlich ungeschützte Teile der Gesellschaft, aber hey: Wenn es quasi nichts zu holen gibt, warum es schützen?
Beispiel von einem guten Bekannten aus Norwegen:
Bei dem steckt der Schlüssel im Auto. Immer. Das kommt nie weg, weil der Aufwand dorthin zu fahren, das Auto zu klauen und weg zu fahren viel zu groß ist.
Also ja, du hast völlig recht. IT-Sicherheit könnte sehr leicht verbessert werden, vor allem durch Mitarbeiterschulung.
Da die Schäden aber so gering sind, interessiert das die meisten kleinen Unternehmen schlicht nicht. Höchstens wenn sie mal betroffen sind (und ich kann dir aus Erfahrung sagen: Nein, die meisten lernen daraus nichts).
Mein Rat an dich: Wenn dir das persönlich so ein Anliegen ist und es dich so stresst, dann such dir eine Firma wo Sicherheit wichtig ist. Das sind vor allem die Konzerne, die ganzen Abteilungen dafür bezahlen.
Andernfalls wirst du bei diesem Kampf gegen Windmühlen einfach nur verzweifeln und das schadet nur dir selbst aber bringt niemandem was.
Gruß
Drohnald
Hi.
@BurnoutIT
Ja, du hast völlig Recht.
2010 bin ich als ITler in der Dienstleistung (DSL und KMU) in ein Burnout rein gerast - zum Glück fuhr gerade an dem Morgen der geplante Zug nicht.
Die Verantwortung, oder besser die dauerhaften Gedanken, was man alles Beachten muss - besonders. wenn du eigentlich einschlafen willst - haben mich an den Rand gebracht .. .
Und habe mir geschworen, das mich nichts mehr soweit bringt!
Bin dann "zurück" in die Industrieelektrik .. .
.. . nur leider brachten Sarkoidose/COPD den Rest .. . hab jetzt GDB50 und EMRente.. .
.. . aktuell nutze ich fast nur noch mein Smarthone, mein PC ist 99% Offline und ich helfe nur ab und an Bekannte bei der IT - in sehr geringem Umfang .. . einfach kaum noch Energie :-$
.. . es klingt blöde aber was du beschreibst, solltest du nicht unterschätzen!
Insbensondere wenn es dir [fast] schlaflose Nächte bringt, wenn du über Probleme anderer oder deine vermeintlich anstehenden Aufgaben und auch Kosten nachdenken musst!!
.
@BurnoutIT
Ja, du hast völlig Recht.
2010 bin ich als ITler in der Dienstleistung (DSL und KMU) in ein Burnout rein gerast - zum Glück fuhr gerade an dem Morgen der geplante Zug nicht.
Die Verantwortung, oder besser die dauerhaften Gedanken, was man alles Beachten muss - besonders. wenn du eigentlich einschlafen willst - haben mich an den Rand gebracht .. .
Und habe mir geschworen, das mich nichts mehr soweit bringt!
Bin dann "zurück" in die Industrieelektrik .. .
.. . nur leider brachten Sarkoidose/COPD den Rest .. . hab jetzt GDB50 und EMRente.. .
.. . aktuell nutze ich fast nur noch mein Smarthone, mein PC ist 99% Offline und ich helfe nur ab und an Bekannte bei der IT - in sehr geringem Umfang .. . einfach kaum noch Energie :-$
.. . es klingt blöde aber was du beschreibst, solltest du nicht unterschätzen!
Insbensondere wenn es dir [fast] schlaflose Nächte bringt, wenn du über Probleme anderer oder deine vermeintlich anstehenden Aufgaben und auch Kosten nachdenken musst!!
.
Ich fühle mit bzw. gleich...
Je mehr man weiss und je mehr man liest je höher ist die Belastung.
Aber beides ist wiederum zwingend, um die Aufgabe bzw. Arbeit zu erfüllen.
Unternehmen, 200 MA:
- Wir halten die User immer über aktuelle Spam- Mails auf dem "laufenden".
- Firewall, AV, Netzsegmentierung, Berechtigungsmanagement, MFA, Backup und Offline- Backup etc.
- Tägliches Newslesen bezüglich eventueller Schwachstellen.
Falls vorhanden zeitnah darauf reagieren.
- Extern gelagertes Notfallkonzept.
Persönlich:
- Keine permanenten Schwachstellen- News ala Born, Heise etc.
- Im Wissen das besten (oben) getan zu haben mich darauf abstützen.
- Abgrenzung zur Firma, wenn es soweit ist, ist es halt soweit (klappt bei weitem nicht immer). ; )
Ein Patentrezept gibt es wohl nicht, ausser die Branche oder zumindest den Bereich wechseln.
Wünsche ein schönes Wochenende.
Retace
Je mehr man weiss und je mehr man liest je höher ist die Belastung.
Aber beides ist wiederum zwingend, um die Aufgabe bzw. Arbeit zu erfüllen.
Unternehmen, 200 MA:
- Wir halten die User immer über aktuelle Spam- Mails auf dem "laufenden".
- Firewall, AV, Netzsegmentierung, Berechtigungsmanagement, MFA, Backup und Offline- Backup etc.
- Tägliches Newslesen bezüglich eventueller Schwachstellen.
Falls vorhanden zeitnah darauf reagieren.
- Extern gelagertes Notfallkonzept.
Persönlich:
- Keine permanenten Schwachstellen- News ala Born, Heise etc.
- Im Wissen das besten (oben) getan zu haben mich darauf abstützen.
- Abgrenzung zur Firma, wenn es soweit ist, ist es halt soweit (klappt bei weitem nicht immer). ; )
Ein Patentrezept gibt es wohl nicht, ausser die Branche oder zumindest den Bereich wechseln.
Wünsche ein schönes Wochenende.
Retace
Hi,
wir haben eigentlich die meisten Probleme mit externen ITlern bzw Dienstleistern.
Dss sind die ersten die vollmundig über security reden, aber dann Teamviewer, UAC deaktivieren, alles mit einem Admin, Vollzugriff, ...
So laufen ihre Projekte dann halt schneller.
Aktuelles Backup und regelmäßige auslagern, dann steht man schon ganz gut da.
Uns hat es letztes Jahr erwischt und die Backups waren das hilfreichste.
Seitdem ist auch etwas mehr Geld für IT da. Qualys Scanner zb. Damit kann ma schon einige Dinge gerade ziehen.
Schnelleres Internet ist auch so eine Sache. Fällt halt nicht mehr auf, wenn paar TB abfließen. Ja, sicher Monitoring... haben wir aber auch erst Global seit dem Angriff. Bin schon gespannt, wann der Service zu teuer wird...
Ums Backup kümmern und Hobbies abseits der IT, dann läufts schon irgendwie.
Sg Dirm
wir haben eigentlich die meisten Probleme mit externen ITlern bzw Dienstleistern.
Dss sind die ersten die vollmundig über security reden, aber dann Teamviewer, UAC deaktivieren, alles mit einem Admin, Vollzugriff, ...
So laufen ihre Projekte dann halt schneller.
Aktuelles Backup und regelmäßige auslagern, dann steht man schon ganz gut da.
Uns hat es letztes Jahr erwischt und die Backups waren das hilfreichste.
Seitdem ist auch etwas mehr Geld für IT da. Qualys Scanner zb. Damit kann ma schon einige Dinge gerade ziehen.
Schnelleres Internet ist auch so eine Sache. Fällt halt nicht mehr auf, wenn paar TB abfließen. Ja, sicher Monitoring... haben wir aber auch erst Global seit dem Angriff. Bin schon gespannt, wann der Service zu teuer wird...
Ums Backup kümmern und Hobbies abseits der IT, dann läufts schon irgendwie.
Sg Dirm
Ist eigentlich ganz einfach: Wenn man für das Thema Sicherheit verantwortlich sein will, muss man sich eine Firma suchen wo man das auch umsetzen kann. Wenn nicht: Renn, so schnell du kannst, es gibt genug Stellen wo man ohne Herzinfarkt alt werden kann (und nur darauf kommt es am Ende an). Wenn man nicht für das Thema Verantwortung hat ist es auch völlig egal, denn man hat dafür ja keine Verantwortung und kann das Schauspiel im Fall der Fälle aus der Ferne betrachten.
Zitat von @Retace:
Ich fühle mit bzw. gleich...
Je mehr man weiss und je mehr man liest je höher ist die Belastung.
Aber beides ist wiederum zwingend, um die Aufgabe bzw. Arbeit zu erfüllen.
Unternehmen, 200 MA:
- Wir halten die User immer über aktuelle Spam- Mails auf dem "laufenden".
- Firewall, AV, Netzsegmentierung, Berechtigungsmanagement, MFA, Backup und Offline- Backup etc.
- Tägliches Newslesen bezüglich eventueller Schwachstellen.
Falls vorhanden zeitnah darauf reagieren.
- Extern gelagertes Notfallkonzept.
[...]
Ich fühle mit bzw. gleich...
Je mehr man weiss und je mehr man liest je höher ist die Belastung.
Aber beides ist wiederum zwingend, um die Aufgabe bzw. Arbeit zu erfüllen.
Unternehmen, 200 MA:
- Wir halten die User immer über aktuelle Spam- Mails auf dem "laufenden".
- Firewall, AV, Netzsegmentierung, Berechtigungsmanagement, MFA, Backup und Offline- Backup etc.
- Tägliches Newslesen bezüglich eventueller Schwachstellen.
Falls vorhanden zeitnah darauf reagieren.
- Extern gelagertes Notfallkonzept.
[...]
Mir fehlt hier noch patchen, patchen, patchen bzw. regelmäßig prüfen, ob alle Betriebssysteme (inkl. Netzwerkhardware, NAS, Drucker), Browser (am besten autoupdat), Dateiviewer, Office-Programme usw. aktuell sind.
Moin,
Bei meinem aktuellen Arbeitgeber haben wir in den letzten 6 Jahren eine solche Abteilung aufgebaut und organisatorisch und technisch in den Konzern integriert. Wichtig ist hierbei die Weisungsbefugnis. Wenn das nicht klappt, kann das ein zahnloser Tiger werden. Initial braucht es Fachleute die nicht nur technisch sondern auch die Thematik nach oben verkaufen, präsentieren und die Vorteile hervorheben können. Wenn es diese nicht gibt, kommst du als Einzelkämpfer nicht weit.
Gruß,
Dani
Wenn man hier im Forum so ließt, denkt man, man lebt in einer anderen Welt, denn die eigentliche Praxis sieht (zumindest von dem was ich bisher gesehen habe) so gut wie immer anders als ein Wunschkonzert aus
kommt drauf an in welchen Hashtags du in unserem Forum unterwegs bist. Den ihr Heimnetzwerk segmentieren? Wer macht sowas mit.
Daher dreht man in der Regel den Spieß um. Stichwort ZeroTrust.Wie geht Ihr mit solchen Risiken um?
Ich hatte bisher recht viel Glück. Bei meinen beiden bisherigen Arbeitgebern gab es immer Abteilungen, die sich nur mit dem Thema Sicherheit beschäftigen. Für die verschiedenen Bereiche (Clients, Server, Netzwerk, Internet, etc.) gab es dedizierte Teams.Bei meinem aktuellen Arbeitgeber haben wir in den letzten 6 Jahren eine solche Abteilung aufgebaut und organisatorisch und technisch in den Konzern integriert. Wichtig ist hierbei die Weisungsbefugnis. Wenn das nicht klappt, kann das ein zahnloser Tiger werden. Initial braucht es Fachleute die nicht nur technisch sondern auch die Thematik nach oben verkaufen, präsentieren und die Vorteile hervorheben können. Wenn es diese nicht gibt, kommst du als Einzelkämpfer nicht weit.
Gruß,
Dani
Hallo,
Erstens: Ja, du hast Recht, kennt jeder in der Branche.
Zweitens, mach mal einen Schritt zurück, leg dir ein dickeres Fell zu. Manche Perspektive verliert sich in Details.
Es ist generell möglich, in Organisationen einzudringen. Die genannten infrastrukturellen Unterschiede gibt es, aber große Unternehmen haben wieder andere Probleme. Sie bilden ein interessantes Umfeld und einen Erfahrungsbaustein, aber Konzerne als Hort der IT-Sicherheit oder als idealen Ort für den Enthusiasten zu betrachten, scheint mir eine Illusion. Im Allgemeinen ist dort IT-Sicherheit ein Verwaltungsgegenstand, der als Bündel von MSPs, Tools und Audits eingekauft und koordiniert wird. Der hierfür betriebene Aufwand und auch das erreichbare Niveau von "Checkbox-Security" mögen auf den ersten Blick beeindrucken. Aber er fließt in eine Ineffizienz und delegierte Verantwortung, die das Sicherheitsniveau letztlich hinter der proportional wachsenden Angriffsfläche zurückbleiben lässt.
Die Kommunikation über IT-Sicherheit ist in Konzernen organisatorisch bedingt sehr eloquent. Wenn in PowerPoint von "Security Engineering" und "Technology" die Rede ist, oder ganze Abteilungen das im Namen tragen, dient das aber mehr der Selbstbehauptung als Kostenstelle, als dass es etwas mit den eigentlichen Begriffsbedeutungen zu tun hat. "Wir installieren ein Tool und lassen es vom Hersteller so konfigurieren, dass es auf zehntausenden Endpunkten nicht all zu viele Probleme aufwirft" würde als Tätigkeitsbeschreibung weniger zünden.
Die Lieferantenseite hat das Know-How, aber die interessanten Unternehmen und Positionen dort sind durch diese marktwirtschaftliche Zentralisierung begrenzt.
Effektive und interessante IT-Sicherheit im Sinne von Eigensicherung findet man in Organisationen aus sehr wenigen Bereichen. Und ich würde sagen, auch nur bis zu einer mittleren Größe, die Konzernsymptome im Zaum hält: Sicherheitsbehörden, -dienstleister und Rüstungsindustrie, Finanzbranche.
Das trifft auf alle Aspekte menschlicher Gesellschaften zu. Ich empfehle das Buch "Why Intelligence Fails". Die Parallelen nachrichtendienstlicher Politikberatung zur IT-Sicherheit, sowohl bezüglich immanenter Fehlerquellen als auch im Sinne der Management-Beratung, sind augenfällig.
Ich habe über Jahre einen geheimschutzbetreuten Behördendienstleister aufgebaut. Der Wechsel zur IT-Sicherheitspraxis in der Wirtschaft war trotz aller vorherigen Einblicke ein kleiner Kulturschock. Wenn ich heute die Zeitung lese, stimmt das aber nachsichtig gegenüber jedem Scheitern von IT-Sicherheit.
Grüße
Richard
Erstens: Ja, du hast Recht, kennt jeder in der Branche.
Zweitens, mach mal einen Schritt zurück, leg dir ein dickeres Fell zu. Manche Perspektive verliert sich in Details.
Meiner Meinung nach ist es potentiell möglich, jede kleinere Firma zu infizieren oder manipulieren
Es ist generell möglich, in Organisationen einzudringen. Die genannten infrastrukturellen Unterschiede gibt es, aber große Unternehmen haben wieder andere Probleme. Sie bilden ein interessantes Umfeld und einen Erfahrungsbaustein, aber Konzerne als Hort der IT-Sicherheit oder als idealen Ort für den Enthusiasten zu betrachten, scheint mir eine Illusion. Im Allgemeinen ist dort IT-Sicherheit ein Verwaltungsgegenstand, der als Bündel von MSPs, Tools und Audits eingekauft und koordiniert wird. Der hierfür betriebene Aufwand und auch das erreichbare Niveau von "Checkbox-Security" mögen auf den ersten Blick beeindrucken. Aber er fließt in eine Ineffizienz und delegierte Verantwortung, die das Sicherheitsniveau letztlich hinter der proportional wachsenden Angriffsfläche zurückbleiben lässt.
Die Kommunikation über IT-Sicherheit ist in Konzernen organisatorisch bedingt sehr eloquent. Wenn in PowerPoint von "Security Engineering" und "Technology" die Rede ist, oder ganze Abteilungen das im Namen tragen, dient das aber mehr der Selbstbehauptung als Kostenstelle, als dass es etwas mit den eigentlichen Begriffsbedeutungen zu tun hat. "Wir installieren ein Tool und lassen es vom Hersteller so konfigurieren, dass es auf zehntausenden Endpunkten nicht all zu viele Probleme aufwirft" würde als Tätigkeitsbeschreibung weniger zünden.
Die Lieferantenseite hat das Know-How, aber die interessanten Unternehmen und Positionen dort sind durch diese marktwirtschaftliche Zentralisierung begrenzt.
Effektive und interessante IT-Sicherheit im Sinne von Eigensicherung findet man in Organisationen aus sehr wenigen Bereichen. Und ich würde sagen, auch nur bis zu einer mittleren Größe, die Konzernsymptome im Zaum hält: Sicherheitsbehörden, -dienstleister und Rüstungsindustrie, Finanzbranche.
Alles ist so wahnsinnig risikobehaftet. Alles ist wie ein Kartenhaus was ganz schnell zusammen fallen kann.
Das trifft auf alle Aspekte menschlicher Gesellschaften zu. Ich empfehle das Buch "Why Intelligence Fails". Die Parallelen nachrichtendienstlicher Politikberatung zur IT-Sicherheit, sowohl bezüglich immanenter Fehlerquellen als auch im Sinne der Management-Beratung, sind augenfällig.
Ich habe über Jahre einen geheimschutzbetreuten Behördendienstleister aufgebaut. Der Wechsel zur IT-Sicherheitspraxis in der Wirtschaft war trotz aller vorherigen Einblicke ein kleiner Kulturschock. Wenn ich heute die Zeitung lese, stimmt das aber nachsichtig gegenüber jedem Scheitern von IT-Sicherheit.
Grüße
Richard
Zitat von @Dirmhirn:
Hi,
wir haben eigentlich die meisten Probleme mit externen ITlern bzw Dienstleistern.
Dss sind die ersten die vollmundig über security reden, aber dann Teamviewer, UAC deaktivieren, alles mit einem Admin, Vollzugriff, ...
So laufen ihre Projekte dann halt schneller.
Hi,
wir haben eigentlich die meisten Probleme mit externen ITlern bzw Dienstleistern.
Dss sind die ersten die vollmundig über security reden, aber dann Teamviewer, UAC deaktivieren, alles mit einem Admin, Vollzugriff, ...
So laufen ihre Projekte dann halt schneller.
Als Mitarbeiter eines Systemhaus, der solche Projekte umsetzt kann ich dir sagen: Wir nehmen uns gerne die Zeit, damit verdienen wir schließlich unser Geld.
Wer genau dieses Geld aber nicht bezahlen will, ist der Kunde. Da wird um jeden Euro gefeilscht. Ich kann nun entweder mit dem Kunden über die Kosten diskutieren, über die Kosten für die Diskussion kann ich dann ebenfalls diskutieren, oder das Projekt mit dem Budget bearbeiten, welches der Kunde bereit ist zu bezahlen. Alternativ kann der Kunde die notwendigen Sicherheitsvorkehrungen natürlich auch selbst durchführen. Funktioniert in der Praxis bei den wenigsten.
Am Ende bleibt also die Wahl: Der Kunde bleibt bei seiner nicht vorhandenen Sicherheit oder er bekommt zumindest etwas bessere Sicherheit, entsprechend dem Budget.
Entsprechende Verbesserungsvorschläge bekommt er im Anschluss natürlich genannt, welche er dann separat beauftragen kann.
Zitat von @Servior:
Entsprechende Verbesserungsvorschläge bekommt er im Anschluss natürlich genannt, welche er dann separat beauftragen kann.
Entsprechende Verbesserungsvorschläge bekommt er im Anschluss natürlich genannt, welche er dann separat beauftragen kann.
Oder wahrscheinlicher: Kunde fühlt sich bedrängt trotz richtiger Empfehlung, womit wir wieder bei dem Leider-Punkt sind, das Innovationen selten ankommen :-$
Wer genau dieses Geld aber nicht bezahlen will, ist der Kunde. Da wird um jeden Euro gefeilscht. Ich kann nun entweder mit dem Kunden über die Kosten diskutieren, über die Kosten für die Diskussion kann ich dann ebenfalls diskutieren, oder das Projekt mit dem Budget bearbeiten, welches der Kunde bereit ist zu bezahlen. Alternativ kann der Kunde die notwendigen Sicherheitsvorkehrungen natürlich auch selbst durchführen. Funktioniert in der Praxis bei den wenigsten.
Am Ende bleibt also die Wahl: Der Kunde bleibt bei seiner nicht vorhandenen Sicherheit oder er bekommt zumindest etwas bessere Sicherheit, entsprechend dem Budget.
Entsprechende Verbesserungsvorschläge bekommt er im Anschluss natürlich genannt, welche er dann separat beauftragen kann.
Nunja, es gibt auch noch den Typ Admin, der alles besser weiß und die Gefahren bagatellisiert. Wie geht ihr da vor, die Geschäftsführung in CC setzen?
Das kenne ich alles nur zu gut...
Was aber auch ein hartes Brot ist, ist wenn man selber bei einer kleinen Firma arbeitet, die im IT-Bereich für Kunden tätig ist.
Mein Job ist PreSales-Beratung und Support für Sicherheitslösungen. Sicherheitsaudits, Schwachstellenscans und vieles mehr.. und ich bin die interne IT. In größeren Unternehmen gibt es dafür eine eigene Abteilung, aber bei dem kleinen, muss man zwischen zwei Kundenterminen AD-Konten entsperren, Softphones installieren oder Daten aus dem Backup holen.
Es fehlt die Zeit, sich um die eigene Umgebung zu kümmern, Investitionen werden vermieden und auch geschult wird nur was die Produkte angeht, die wir vertreiben. So hat man zwei Jobs parallel. Einen, in dem man Profi ist und einen anderen, in dem man sich so entlang stümpert...
Was aber auch ein hartes Brot ist, ist wenn man selber bei einer kleinen Firma arbeitet, die im IT-Bereich für Kunden tätig ist.
Mein Job ist PreSales-Beratung und Support für Sicherheitslösungen. Sicherheitsaudits, Schwachstellenscans und vieles mehr.. und ich bin die interne IT. In größeren Unternehmen gibt es dafür eine eigene Abteilung, aber bei dem kleinen, muss man zwischen zwei Kundenterminen AD-Konten entsperren, Softphones installieren oder Daten aus dem Backup holen.
Es fehlt die Zeit, sich um die eigene Umgebung zu kümmern, Investitionen werden vermieden und auch geschult wird nur was die Produkte angeht, die wir vertreiben. So hat man zwei Jobs parallel. Einen, in dem man Profi ist und einen anderen, in dem man sich so entlang stümpert...
Zitat von @DasBjoern:
[...]
Es fehlt die Zeit, sich um die eigene Umgebung zu kümmern, Investitionen werden vermieden und auch geschult wird nur was die Produkte angeht, die wir vertreiben. So hat man zwei Jobs parallel. Einen, in dem man Profi ist und einen anderen, in dem man sich so entlang stümpert...
[...]
Es fehlt die Zeit, sich um die eigene Umgebung zu kümmern, Investitionen werden vermieden und auch geschult wird nur was die Produkte angeht, die wir vertreiben. So hat man zwei Jobs parallel. Einen, in dem man Profi ist und einen anderen, in dem man sich so entlang stümpert...
Gut erkannt. Alles was wichtig ist, du aber nicht selbst machen kannst -> dafür holst du dir jemand anderen. Egal ob als Angestellten, Freiberufler und IT-Dienstleister. "Entlang zu stümpern" sollte keine Alternative sein! Man braucht auch keine 1000 Sicherheitssysteme, aber vernünftige Firewall, aktuell gepatchte Betriebssysteme und Programme und ein umfassendes und Backups sowohl vor Ort als auch irgendwo extern (USB Platte oder Online-Speicher) sind einfach Standard und wahrlich kein Hexenwerk.
Wer genau dieses Geld aber nicht bezahlen will, ist der Kunde. Da wird um jeden Euro gefeilscht. Ich kann nun entweder mit dem Kunden über die Kosten diskutieren, über die Kosten für die Diskussion kann ich dann ebenfalls diskutieren, oder das Projekt mit dem Budget bearbeiten, welches der Kunde bereit ist zu bezahlen. Alternativ kann der Kunde die notwendigen Sicherheitsvorkehrungen natürlich auch selbst durchführen. Funktioniert in der Praxis bei den wenigsten.
Ok, war zu allgemein und schnell geschrieben. Hab aber schon genug Projekte gehabt, die dann doch schneller fertig waren. Anschließend darf man dann aufräumen...