nachgefragt
Goto Top

Umgang mit EOL PCs

Hallo Administrator/inn/en,

für folgendes Thema freue ich mich auf konstruktives Feedback und eure Meinung, vor allen von Kolleg/inn/en welche auch regelmäßig vor der Thematik stehen.

Beispiel
  • Ein Kunde hat 50 Rechner, Dell, Lenovo, Fujitsu, HP,... bunt gemischt, darunter Desktop PCs, ThinClient und auch Workstation.
  • Die Hersteller geben alsbald keine Firmwareupdates mehr, end of sale bereits erreicht, end of support rückt näher, was also tun mit den Rechnern?

Theorie
Alle Gerät neu kaufen, auf Windows 11 Systemanforderungen achten, fertig.

Praxis
Der Kunde verfügt nicht über die finanziellen Ressourcen (alle) PCs auszutauschen.

Es soll Betriebe geben, welche noch sehr alte Rechner noch mit Windows 7 kaufen, nicht nur die Firmware, sondern auch das Betriebssystem ist eol. Nach dem Motto "warum soll ich die funktionierenden PCs wegschmeißen?", "läuft seit über 12 Jahren problemlos und nichts ist passiert".

Off-Topic: Ein Windows 7 Patch gab es diese Woche trotz eol.
https://www.borncity.com/blog/2022/10/13/windows-7-server-2008-r2-erhalt ...

Fragen bzw. Eure Meinung
Mit welchen Konsequenzen muss der Kunde rechnen, wenn er die Rechner weiter laufen lässt?
Kennt jemand ein praktisches Beispiel?
Wie könnte der Datenschutz reagieren ("Stand der Technik",...)?

Vielen Dank für Dein Feedback.

Hinweis
Bei Smartphones war man sich relativ einig.
https://administrator.de/forum/gefahren-durch-nutzung-von-eol-smartphone ...

#greenIT
#nachhaltigkeit
#Hardware
#eol

EDIT
Mir geht es in dem Thema nicht um
  • eol von Windows oder Linux Betriebssystemen
  • Kostengegenüberstellung Leasing vs. Neuanschaffung
  • eine Ausgangssituation mit einem Netzwerkmusteraufbau mit 100%iger zuverlässiger Segmentierung und Filter

Content-Key: 4281819976

Url: https://administrator.de/contentid/4281819976

Printed on: January 31, 2023 at 06:01 o'clock

Member: Looser27
Looser27 Oct 14, 2022 at 09:43:52 (UTC)
Goto Top
Moin,

das Thema kommt regelmäßig vor.....solltest Du über die Suche finden.

Grundsätzlich kann der Kunde natürlich die "alten" OS weiter betreiben.
Diese gehören dann in ein eigenes Sub-Netz ohne Internet-Zugang und stark eingeschränkten Berechtigungen (bei z.B. Maschinensteuerungen ist es keine Seltenheit, dass sogar noch DOS6.1 zum Einsatz kommt.....).

Gruß

Looser
Member: Gentooist
Gentooist Oct 14, 2022 at 09:45:18 (UTC)
Goto Top
Wie alt sind die Dinger denn? Sind sie bereits vollständig nach AfA abgeschrieben, oder nicht? Sind die Dinger das Eigentum des Kunden, oder hat er sie aus einem Leasing?

Wichtig ist doch erstmal für die Sicherheit hauptsächlich, dass das Betriebssystem weiterhin mit Updates versorgt wird. Wird es das?

Dann ist die Frage, für wie sicherheitsrelevant in eurem Betrieb man die Sache mit der Firmware einstuft. Das kann keiner für euch entscheiden.

Die Pragmatiker würden normal wohl keine großen Probleme damit haben, solange noch Windows läuft und versorgt wird, die Geräte weiter zu betreiben. Denn Firmware-Bugs bieten ja meistens eine eher lokale Angriffsfläche, denn der Angreifer muss dann schon um die Hardware genau wissen, um da einzufallen. Das ist, wenn, eher etwas, was durch lokale Angriffe mißbraucht werden könnte. Aber grundsätzlich sind die meisten Rechner ja sowieso nicht sicher, wenn man physikalischen Zugriff darauf hat.

Manche Betrieben übrigens, die nach wie vor Windows 7 benutzen tun dies auch, weil es dann oft nur noch einen Treiber für das benötigte Gerät eben darunter gibt. Ein Update würde dann auch eine kostenintensive Neuanschaffung von was auch immer bedeuten.

Letztendlich: wie wichtig Firmware da nach DSGVO ist, kann ich nicht sagen. Das mögen andere beurteilen.

Zur Frage was nun: wie wäre es denn damit, wenn die Geräte der Firma gehören, die an einen Refurbisher zu verkaufen und erstmal das, was man neu braucht, zu leasen? Das hätte den Vorteil, dass man für die Anschaffung zuerst deutlich weniger Geld in die Hand nehmen müsste. Es hätte aber den Nachteil, dass am Ende der Laufzeit das Zeug eben nicht euch gehört, und es in der Gesamtrechnung dann auch nicht günstiger sein dürfte als direkt zu kaufen. Dafür müsst ihr den dicken Betrag nicht einmal sofort in die Hand nehmen, sondern zahlt eben monatlich etwas ab.

Leasing hat übrigens auch noch den Vorteil, dass man es als Betriebsausgabe steuerlich voll absetzen kann.
Member: ukulele-7
ukulele-7 Oct 14, 2022 at 09:47:02 (UTC)
Goto Top
Läuft denn da lokal überhaupt Software? Thin Clients werden ja häufig mit Terminal Servern eingesetzt, da spielt das Alter nicht wirklich eine tragende Rolle.

Firmware / Treiber Updates sind mir egal. Es muss genug Leistung da sein (die wird bei Terminal Servern kaum gebraucht), es muss passende Monitore unterstützen und es muss schnell austauschbar sein bei Defekt. Und natürlich muss das Betriebssystem, also die Software Support haben, aber bei Hardware ist mir das völlig gleich...
Member: nachgefragt
nachgefragt Oct 14, 2022 at 10:05:00 (UTC)
Goto Top
Danke in die Runde, ich hatte #1 entsprechend mit einem EDIT versehen.

@Looser27
Die Clients müssen online bleiben und miteinander sprechen. Soweit ich informiert bin müsste man dann die Netze segmentieren und so miteinander verbinden, dass nur das miteinander kommuniziert wird was erlaubt, und alles andere nicht.
Nachteil wären der extrem hohe Verwaltungsaufwand, regelmäßige Prüfung, die teure Firewall die sowas könnte, Lizenz- und Wartungskosten,... letztendlich wäre die Neuanschaffung dann ggf. günstiger und sicherer.

@Gentooist
Vielen Dank, meine Frage bezieht sich nur auf die Firmware, daher der EDIT in #1.
Das Firmware-Bugs eher eine lokale Angriffsfläche bieten hatte ich so nicht berücksichtigt, quasi Risikominimierung.

@ukulele-7
Das scheint mir der gängige Weg zu sein.
Wer nicht, wie im öffentlichen Dienst alle 5 Jahre neue Hardware anschaffen kann, lebt mit dem Risiko.
Member: Lochkartenstanzer
Lochkartenstanzer Oct 14, 2022 at 10:18:44 (UTC)
Goto Top
Moin,

ich habe Kunden, deren Rechner schon 20 Jahre auf dem Buckel haben. (PII oder P4 teilweise dabei). face-smile

Dabei sind aber viele maschinensteuerungen dabei, die je nach Alter unter Win98, NT, W2K, XP, oder W7 laufen. Die müssen auch i.d.R. bleiben, weil sonst meistens sechstellige, seltener fünfstellige, Beträge für "Upgrades" fällig werden.

i.d.R. laufen viele Kisten noch viele jahre durch. Man muß die halt ggf. vor den pöhsen Purschen aus dem Internet schützen.

W7-rechner lassen sich meistens problemlos und vor allem kostenlos auf Win10 upgraden, wenn es reguläre Retail/OEM-Lizenzen sind.

Gebrauchte W7-rechner (sollten aber nich älter als 5 Jahre sein) sind eine Option, weil man die Problemlos auf Win10 hochziehen kann.

Alles in allem wird nichts so heiß gegessen, wie es gekocht wird. man muß sich nur dioe Situation anschauen und dann passende Strategien entwickeln.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Oct 14, 2022 at 10:19:47 (UTC)
Goto Top
Zitat von @Looser27:

Diese gehören dann in ein eigenes Sub-Netz ohne Internet-Zugang und stark eingeschränkten Berechtigungen (bei z.B. Maschinensteuerungen ist es keine Seltenheit, dass sogar noch DOS6.1 zum Einsatz kommt.....).

Da habe isch sogar schon DOS2.11 von Diskette ohne HDD gesehen. face-smile

lks
Member: nachgefragt
nachgefragt Oct 14, 2022 at 10:33:36 (UTC)
Goto Top
@Lochkartenstanzer
Vielen Dank, hab den EDIT #1 ergänzt.
Im Beispielfall steht die Möglichkeit nicht zur Verfügung. Diese Fälle kenne ich, diese wurden auch schon vor 10 Jahren offline gesetzt, sodass man die Daten per USB Stick einspielt. Diese betreffen also das interne Netz nicht mehr.
Member: StefanKittel
StefanKittel Oct 14, 2022 at 11:10:58 (UTC)
Goto Top
Hallo,

Stichwort Finanzierung.
Einen PC über 5 Jahre zu finanzieren kostet ca. 21 Euro im Monat.
Die meisten Firmen geben deutlich mehr für Getränke und Süßkrams aus.

Ich vermiete IT Krams (nur mit Servicepacks) an Firmen.
Keine Diskussion über Preis und definierter "Neukauf" nach 5 Jahren.

Stefan
Member: Looser27
Looser27 Oct 14, 2022 updated at 11:17:09 (UTC)
Goto Top
Da habe isch sogar schon DOS2.11 von Diskette ohne HDD gesehen.

So schlimm ist es bei uns dann zum Glück doch nicht. Viel interessanter ist bei solch alter Software aber die Hardware.
Irgendwann bekommst Du halt keine Ersatzteile mehr und dann hast Du ein Problem.

Das sollte der TO mit in seine Überlegungen einfließen lassen. Da sind dann die Kosten für einen neuen PC sein kleinstes Problem.....

Nachteil wären der extrem hohe Verwaltungsaufwand, regelmäßige Prüfung, die teure Firewall die sowas könnte, Lizenz- und Wartungskosten,... letztendlich wäre die Neuanschaffung dann ggf. günstiger und sicherer.

Sowas kannst Du elegant mit einem Mikrotik Routerboard lösen. Kostet ab ca. 30€ und löst das Problem nachhaltig.
Member: dertowa
dertowa Oct 14, 2022 at 12:42:21 (UTC)
Goto Top
Salut,
nur weil der Hersteller die Dinger nicht mehr supportet sind die doch nicht kaputt?
Wenn die Firma die Teile abschreibt und der Zeitraum rum ist und man wieder neues Kapital zum Abschreiben braucht, dann ersetzen.

Wenn man etwas nachhaltig rangeht und die Geräte fehlerfrei laufen, dann laufen lassen.

Ich habe hier noch eine ganze Reihe Fujitsu-Systeme in der Domain, alle gekauft Ende 2017, alle nicht Win 11 fähig.
Macht nix, Windows 11 hat hier auch noch nichts verloren, aber das langfristige Ziel ist Mitte 2025 die Geräte ersetzt zu haben.
Nicht alle auf einmal, nicht alle gleich, sondern so wie es der Arbeitsplatz erfordert.
Member: ukulele-7
ukulele-7 Oct 14, 2022 at 12:59:58 (UTC)
Goto Top
Sicherheitslücken auf Hardware Ebene sind eine absolute Seltenheit. Wenn die Software und das OS aktuell sind muss nur gewährleistet sein das Ersatz vorhanden ist falls was kaputt geht, dann kannst du die bedenkenlos laufen lassen solange du willst. Wenn natürlich der Laden steht weil ein alter Rechner nicht mehr läuft und kein Ersatz da ist dann kann das natürlich Fragen aufwerfen.

Ich bin aber eh immer lieber für Redundanz anstelle ständig neuer Hardware, das bietet immer mehr Ausfallsicherheit. Also einfach genug Hardware vorhalten und bei Bedarf zügig tauschen.
Member: MysticFoxDE
MysticFoxDE Oct 14, 2022 at 13:12:14 (UTC)
Goto Top
Moin nachgefragt,

Fragen bzw. Eure Meinung
Mit welchen Konsequenzen muss der Kunde rechnen, wenn er die Rechner weiter laufen lässt?

Der Kunde bekommt dann entweder keine Cyber-Security-Versicherung abgeschlossen, oder die bestehende wird eventuell ungültig.

Ferner musst du bei den alten Büchsen meist viel mehr Aufwand reinstecken um die doch irgendwie halbwegs sicher zu betreiben als bei neueren Geräten.

Ausserdem schlafen die User beim Warten auf ein Ergebnis, vor neueren Geräten erfahrungsgemäss nicht ganz so oft ein, wie vor alten Geräten.

Wie könnte der Datenschutz reagieren ("Stand der Technik",...)?

Na ja, solange du auf den alten Geräten keine personenbezogenen Daten verarbeitest,
kann dir der Datenschutz den Buckel runter rutschen.
Wenn aber doch, dann sollte euer Datenschützer von dieser Idee nicht besonders begeistert sein.

Jedoch sollte sein Fauchen nur gegen das OS (W7) gerichtet sein und 5 Jahre alte Büchsen lassen sich meiner Erfahrung nach, noch sehr gut mit W10 oder W11 + etwas RAM nachrüsten. 😉

Gruss Alex
Member: unbelanglos
unbelanglos Oct 14, 2022 updated at 13:20:06 (UTC)
Goto Top
Welche Standards legt der Beispielkunde an sich selbst an, welche seine Kunden und Partner oder Gesetze?

Und immer schön beachten: Datenschutz != Datensicherheit

Auch beachten, hypothetische Gefahren sind zu unterscheiden von abstrakten und konkreten Gefahren.

Den Wink mit der Versicherung Fox würde ich zuerst prüfen.
Member: MysticFoxDE
MysticFoxDE Oct 14, 2022 at 13:47:05 (UTC)
Goto Top
Moin unbelanglos,

Und immer schön beachten: Datenschutz != Datensicherheit

daher habe ich in meinem XING Profil unter Fachliche Kompetenzen, schon seit Jahren auch "DATENSCHUTZ EXPERTE (≠ DATENSCHUTZBEAUFTRAGTER)" stehen. 😁

Verflixt, das bedeutet ja, dass wir uns in einem Punkt mal zu 100% einig sind (😬), sollte man ja fast schon feiern gehen. 🤪

Den Wink mit der Versicherung Fox würde ich zuerst prüfen.

Sehr gerne, am besten bevor ich dann bei einem Incident im Namen der Versicherung auftauche und erst im Nachgang etwas ungeschicktes feststellen muss. 😉

Gruss Alex
Member: C.R.S.
C.R.S. Oct 14, 2022 at 13:55:08 (UTC)
Goto Top
Zitat von @nachgefragt:

  • eine Ausgangssituation mit einem Netzwerkmusteraufbau mit 100%iger zuverlässiger Segmentierung und Filter

Das ist der Schlüssel zur Antwort. Solche Diskussionen sind überflüssig, wenn das unter "Theorie" vorweggenommene Ergebnis nicht umgesetzt werden kann. Sofern dennoch grundlegende Verbesserungsbereitschaft besteht, müssen erst mal die sicherheitsarchitektonisch "low hanging fruits" abgeräumt werden, wie eine vernünftige Netzwerkstruktur.

Zu sagen, wir sparen uns die Netzwerksicherheit, indem wir alle fünf Jahre neue Rechner kaufen, ergibt ja keinen Sinn, selbst wenn der regelmäßige Rechnertausch günstiger ist, denn das eine ist eine Maßnahme gegen ein weites Spektrum von Angriffen, das andere gegen ein enges Spektrum.

Relevant, aber sicherheitlich sekundär, sind Überlegungen, wie man durch externe Anforderungen und Regularien navigiert. Die angesprochene Versicherung mag das Alter der Hardware als einfach zu prüfendes Kriterium aufgreifen, während sie der Qualität des Netzwerkaufbaus schon wegen des Prüfungsaufwands eher nachsichtig gegenüber steht.
Wenn man sich davon leiten lässt oder leiten lassen muss, muss natürlich bedacht werden, dass der Kapitaleinsatz für eher sicherheitskosmetische Maßnahmen ggf. die grundlegenden materiellen Sicherheitsmaßnahmen weiter außer Reichweite rückt.

Grüße
Richard
Member: dertowa
Solution dertowa Oct 14, 2022 at 16:20:14 (UTC)
Goto Top
Zitat von @ukulele-7:

Sicherheitslücken auf Hardware Ebene sind eine absolute Seltenheit.

Das hätte ich früher direkt unterschrieben, nach Meltdown, Spectre, ZombieLoad und allgemeinen Problemen in der Intel CSME, Hyper-Threading (SMT), Local Escalation of Privilege (LPE), bin ich da aber nicht mehr direkt dabei. face-wink
Lenovo hatte im Juli auch noch mit 3 Schwachstellen im UEFI von 70 Modellen zu kämpfen, UEFI/BIOS hätte ich früher zur Hardware gezählt und zu "never touch a running system", das sieht heute gaaaanz anders aus.
Member: MysticFoxDE
MysticFoxDE Oct 14, 2022 updated at 16:28:54 (UTC)
Goto Top
Moin dertowa,

Das hätte ich früher direkt unterschrieben, nach Meltdown, Spectre, ZombieLoad und allgemeinen Problemen in der Intel CSME, Hyper-Threading (SMT), Local Escalation of Privilege (LPE), bin ich da aber nicht mehr direkt dabei. face-wink
Lenovo hatte im Juli auch noch mit 3 Schwachstellen im UEFI von 70 Modellen zu kämpfen, UEFI/BIOS hätte ich früher zur Hardware gezählt und zu "never touch a running system", das sieht heute gaaaanz anders aus.

diese ganzen Sicherheitslücken und auch die entsprechenden Gegenmassnahmen, sind weitestgehend nur für öffentliche Provider interessant, auf deren Hardware meist mehrere "Mandanten" laufen.
Für Normalsterbliche wie du und ich und auch für die meisten mittelständischen Betriebe und kleiner,
sind diese Themen/Angriffsszenarien/Probleme, vollkommen irrelevant.

Gruss Alex
Member: dertowa
dertowa Oct 14, 2022 at 16:33:47 (UTC)
Goto Top
Zitat von @MysticFoxDE:
sind diese Themen/Angriffsszenarien/Probleme, vollkommen irrelevant.

Richtig, richtig, trotzdem wäre mir so nicht bekannt, dass es solch mediale Ereignisse früher (vor 2018) schon mal gab.
Dennoch sind gegen einige Varianten auch Windows und Linux gepacht worden, gibt eben nicht nur schwarz und weiß. face-smile
Member: MysticFoxDE
MysticFoxDE Oct 14, 2022 at 16:34:05 (UTC)
Goto Top
Moin Richard,

Zu sagen, wir sparen uns die Netzwerksicherheit, indem wir alle fünf Jahre neue Rechner kaufen, ergibt ja keinen Sinn, selbst wenn der regelmäßige Rechnertausch günstiger ist, denn das eine ist eine Maßnahme gegen ein weites Spektrum von Angriffen, das andere gegen ein enges Spektrum.

👍👍👍

Die angesprochene Versicherung mag das Alter der Hardware als einfach zu prüfendes Kriterium aufgreifen,

Die Versicherungen juckt das alter der Hardware meist überhaupt nicht, solange darauf ein aktuelles und gepatchtes OS und auch Anwendungen installiert sind.

während sie der Qualität des Netzwerkaufbaus schon wegen des Prüfungsaufwands eher nachsichtig gegenüber steht.

Das unterschätzt du. Die meisten Cybersecurity-Versicherungen die ich kennen, legen mittlerweile sehr viel Wert auf eine vorhandene und auch ordentliche Netzsegmentierung.

Beste Grüsse aus BaWü

Alex
Member: MysticFoxDE
MysticFoxDE Oct 14, 2022 updated at 16:57:09 (UTC)
Goto Top
Moin dertowa,
trotzdem wäre mir so nicht bekannt, dass es solch mediale Ereignisse früher (vor 2018) schon mal gab.

ja, da gab es aber auch noch nicht so viel "Cloud", Azure & Co. KG.

Dennoch sind gegen einige Varianten auch Windows und Linux gepacht worden, gibt eben nicht nur schwarz und weiß. face-smile

Gepatcht ja, aber nicht dir als Normalsterblicher zuliebe, sondern nur deshalb weil die Azure-Wolke, +- auf demselben Kernel läuft, wie auch dein W11.
Genaugenommen dienen bei Microsoft die Clientbenutzer schon seit längerem als eine Art unfreiwilliges Testkaninchen für den ganzen Azure-Kramm. Kerneltechnisch zumindest. 🤢

Ausserdem bringen diese ganzen Mitigation's, für die meisten Normalsterblichen nicht wirklich einen Segen mit sich.
Alleine wenn ich an die durch diese Mitigation's zum Teil drastisch gestiegenen Kontextswitch-Zeiten denke, muss ich schlichtweg nur 🤮.

Gruss Alex
Member: C.R.S.
C.R.S. Oct 14, 2022 at 17:32:23 (UTC)
Goto Top
Zitat von @MysticFoxDE:

während sie der Qualität des Netzwerkaufbaus schon wegen des Prüfungsaufwands eher nachsichtig gegenüber steht.

Das unterschätzt du. Die meisten Cybersecurity-Versicherungen die ich kennen, legen mittlerweile sehr viel Wert auf eine vorhandene und auch ordentliche Netzsegmentierung.

Richtig, ich bin nicht vertraut mit den konkreten Kriterienkatalogen von Cybersecurity-Versicherungen, der Vergleich der Controls war daher nur beispielhafte Spekulation ("mag"). Ich kenne aber gut die Netzwerksicherheitspraxis der Versicherungsbranche, was die Spekulation, ob sie das prüfen können und wollen, begründete.
Das Konzept der Cybersecurity-Versicherung steht bei den Anbietern permanent auf dem Prüfstand, eben wegen der Bewertungsprobleme; was dazu passen würde, dass man sich schwer quantifizierbare Bewertungsmaßstäbe auferlegt.
Member: em-pie
em-pie Oct 14, 2022 at 18:38:13 (UTC)
Goto Top
Moin,

Wenn ad hoc kein Geld für alle neuen Endgeräte da sind, wäre ggf. Leasing eine Option. Zugegeben, die KMUs besitzen lieber, als dass sie etwas Mieten, aber so hat man alle 3 oder 5 Jahre alle Hardware gleich und auf aktuellem Stand…
Zudem sind Leasingraten zumeist als Betriebskosten und nicht als Anlagevermögen zu betrachten…

Gruß
em-pie
Mitglied: 108012
108012 Oct 14, 2022 at 22:02:24 (UTC)
Goto Top
Hallo,

so eine Firma macht doch auch Geld, also monatlichen Gewinn und von daher kann man solche PCs auch
gut und gerne Step-by-Step austauschen. Das sollte jetzt nicht das Problem sein. Die Geräte kann man auch
nach einiger Zeit progressiv abschreiben wenn eine gewisse Zeit um ist und man schon linear abgeschrieben
hat, zumindest einen Teil, das nennt man dann aufgrund von technischer Alterung oder Austausch. Muss man
man eben mal in den Kontenplan schauen, der für die Firma gilt bzw. dem Gewerbe zugrunde liegt.

Also ein Büro PC ist auch als kleiner NUC gut zu betreiben und dann eben den stärksten Intel i5, SSD und
mehr RAM dann hält der PC eben auch länger. Also da würde man schon für ~500 € gut Geräte bekommen
mit denen man auch noch unter Windows 10 (Windows 11 ready) gut arbeiten kann. Ich weiß jetzt nicht was
dort für WS zum Einsatz kommen und für welche Einsatzzwecke aber da kann man auch etwas "refurbtes"
anschaffen ewnn es eben nicht immer der "letzte Schrei" sein muss.

Dobby
Member: nachgefragt
nachgefragt Oct 15, 2022 at 06:43:13 (UTC)
Goto Top
Vielen Dank für die bisherigen Meinungen,
mit der bitte um Verständnis, Kommentare welche nicht direkt zu meinem Thema (Finanzierung von Hardware, Windows/Linux,...) passen, lese ich nur mit Interesse mit, gehe sonst nicht weiter darauf ein.

@Looser27
Segmentierung
Ich hatte mal bei einem DL angefragt mit dem Beispiel, dass mehrere Segmente über eine zentrale Einheit verbunden werden und der Austausch (wer darf mit wem kommunzieren und was darf kommunziert werden) gegelt wird. Das Ergbnis war eine Firewall dessen Kosten im 5stelligen Bereich lagen. Beispiele kennen wir sicherlich von VPN Tunneln, indem der gegenüber z.B. nur das RDP aufrufen darf um sich z.B. auf den RDS Server zu schalten.
Das ist demnach sehr teuer, aufwendig und eher eine Risikominimierung.
Vielleicht mache ich hierzu nochmal ein eigenes Thema auf.
Jedenfalls danke.

@ukulele-7
Danke für dein Einschätzung, du bist im Kern meiner Frage face-wink Wenn die über fehlende Firmware Updates erreichbaren Angriffspunkte lokaler natur sind, sprich der Angreifer die Möglichkeit haben muss direkt vor der Kiste sitzen zu müssen, entschärft es die Lage.

@MysticFoxDE
Vielen Dank für den Hinweis, ich werde es im Hinterkopf behalten. Eine Versicherung gibt es nicht, und eine Einschränkung ebenso wenig. Da hier E-Mail Clients ebenso laufen, werden personenbezogene Daten verarbeitet.
Wie erwähnt hole ich das Thema Segmentierung ggf. nochmal in eine eigene Frage. Ich wäre gespannt wie un/einig man sich über eine richtige Segmentierung ist.

@dertowa
Danke für diese Beispiele, hier muss ich mich nochmal einlesen wie ein solchen Angriffsmuster aussehen könnte.
Member: MysticFoxDE
MysticFoxDE Oct 15, 2022 at 07:22:10 (UTC)
Goto Top
Moin nachgefragt,

Ich hatte mal bei einem DL angefragt mit dem Beispiel, dass mehrere Segmente über eine zentrale Einheit verbunden werden und der Austausch (wer darf mit wem kommunzieren und was darf kommunziert werden) gegelt wird. Das Ergbnis war eine Firewall dessen Kosten im 5stelligen Bereich lagen.

Zum einen war das keine reine Firewall sondern eher ein Security-Gateway und zum anderen sollte das der entsprechende Kunde in der heutigen Zeit, eh schon im Einsatz haben.
Bei einer internen Segmentierung muss das entsprechende SGW lediglich etwas mehr Bums haben.

Da hier E-Mail Clients ebenso laufen, werden personenbezogene Daten verarbeitet.

Damit ist die Sache mit den alten Rechnern und vor allem mit W7 drauf, meiner Ansicht nach auch schon gegessen,
da du für W7 so gut wie keinen aktuellen AV-Scanner mehr bekommst.
Und ohne einen aktuellen AV-Scanner, wirst du wohl kaum einen DSBler davon überzeugen können,
dass die Bearbeitung der personenbezogenen Daten, auf diesem Rechner auf jeden Fall nach Stand der Technik abgesichert ist.

(Und kommt mir jetzt bitte nicht mit Avira oder Avast um die Ecke, danke.)

Wie erwähnt hole ich das Thema Segmentierung ggf. nochmal in eine eigene Frage. Ich wäre gespannt wie un/einig man sich über eine richtige Segmentierung ist.

Das könnte sehr spannend/lustig werden. 🤪
Ich freue mich jetzt schon auf die Switch als Gateway Fraktion. 🙃

Gruss Alex
Member: wiesi200
wiesi200 Oct 15, 2022 at 13:59:31 (UTC)
Goto Top
Hallo,

sagen wir's Mal so wir setzten Werkzeugmaschinen ein die schnell Mal im Bereich von der halben Million € sind ein und noch mit einem XP Rechner laufen. Ein neues Betriebssystem oder Firmware-Updates gibt es nicht. Nein wir tauschen die Maschinen natürlich nicht aus.
Member: MysticFoxDE
MysticFoxDE Oct 15, 2022 updated at 15:06:30 (UTC)
Goto Top
Moin wiesi200,

sagen wir's Mal so wir setzten Werkzeugmaschinen ein die schnell Mal im Bereich von der halben Million € sind ein und noch mit einem XP Rechner laufen. Ein neues Betriebssystem oder Firmware-Updates gibt es nicht.

so sieht es +- auch bei den meisten unserer Kunden aus.

Nein wir tauschen die Maschinen natürlich nicht aus.

Das kann ich auch gut verstehen und nein, die Maschinen müssen auch nicht ausgetauscht werden.
Jedoch gehören diese Maschinen, respektiver deren Steuerungen in ein von den normalen Clients durch ein SGW/NGFW anständig abgeschottetes Netzsegment.

Gruss Alex
Member: nachgefragt
nachgefragt Oct 17, 2022 updated at 14:32:19 (UTC)
Goto Top
Da es scheinbar in Richtung Netzwerksegmentierung läuft möchte ich die separat erfragen:
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
https://administrator.de/forum/physikalische-und-virtuelle-netzwerksegme ...

@dertowa
Die von dir aufgezählten Lücken bzw. Schwachstellen rufen in jedem Falle Handlungsbedarf hervor.
Member: MysticFoxDE
MysticFoxDE Oct 18, 2022 updated at 06:03:29 (UTC)
Goto Top
Moin nachgefragt,

@dertowa
Die von dir aufgezählten Lücken bzw. Schwachstellen rufen in jedem Falle Handlungsbedarf hervor.

wenn du für den Geheimdienst & Co arbeitest, dann ja, ansonsten nein.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3971
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3972

Und bei allen drei steht als Angriffsszenario das folgende.

lenovo-001

Wenn man als Angreifer mit erhöhten Rechten vor einem Gerät sitzt,
dann wird man in den allermeisten Fällen sicherlich nicht diese Schwachstellen benötigen, um das System hops zu nehmen. 🙃
Da gibt es massenweise andere, viel einfacherer Wege.

Gruss Alex
Member: nachgefragt
nachgefragt Oct 18, 2022 at 06:23:23 (UTC)
Goto Top
Zitat von @MysticFoxDE:
wenn du für den Geheimdienst & Co arbeitest, dann ja, ansonsten nein.
Das ist geheim face-wink

Danke soweit in die Runde und für den Austausch, ich denke mit dem Feedback kann jeder für sich entscheiden wie hoch der Handlungsbedarf ist.

Interessant sind für euch ggf. auch diese Themen: