Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters
Ein sehr unterhaltsamer Vortrag (58 min) von Mark Semmler. Abrufbar bis 31.10. ist ganz oben auf https://www.fks.de/connect-it-2020/programm/ zu finden.
Es geht um seine Erfahrungen mit Unternehmen, die Opfer von großangelegten Hacks und Verschlüsselungstrojanern wurden.
Nachlässige Sicherheit, entlassene Admins, Regress, Konkurs... toller Vortrag.
Es geht um seine Erfahrungen mit Unternehmen, die Opfer von großangelegten Hacks und Verschlüsselungstrojanern wurden.
Nachlässige Sicherheit, entlassene Admins, Regress, Konkurs... toller Vortrag.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 605035
Url: https://administrator.de/knowledge/anatomie-eines-super-gaus-erfahrungen-eines-it-securityberaters-605035.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
12 Kommentare
Neuester Kommentar
@aqui: "Switche, die den Namen auch verdienen".
Zum Thema, alles was er sagt ist im Grunde richtig, aber wie oft hast du (egal ob es um 5er Unternehmen geht oder Industrieunternehmen mit entsprechendem kritischen IP-Pool) die Diskussion, "das kostet zu viel"? Der Chef sich aber nebenbei den neuen Be.. äh, Tesla zusammenschraubt?
So lang das aber so ist (und ich hab dieses Jahr schon einige Gespräche für die Leitung von sehr interessanten IT-Security Projekte und deren Budgetierung geführt), so lange werden diese (jene) Angreifer hinterher ein sehr gutes, weil einfaches, Arbeitsumfeld haben.
Meist ist die Halbwertszeit der Nachwirkungen auch leider sehr beschränkt. Den eine schön getrennte Netzinfrastruktur erfordert auch Wartung und KnowHow, die gibt es eben relativ selten für die üblichen Budgetträume die Stunde.
Übrigens:
https://www.heise.de/news/IT-Ausfall-an-Uniklinik-Duesseldorf-betrifft-i ...
Vielleicht auch die Basis von Spahn' Gesetz zur Offenlegung der Patientendaten, so viele Kliniken, wie die letzten Jahre Opfer wurden...
Nunja...wie er sagt, es geht weiter.
Schönen Abend,
Christian
Zum Thema, alles was er sagt ist im Grunde richtig, aber wie oft hast du (egal ob es um 5er Unternehmen geht oder Industrieunternehmen mit entsprechendem kritischen IP-Pool) die Diskussion, "das kostet zu viel"? Der Chef sich aber nebenbei den neuen Be.. äh, Tesla zusammenschraubt?
So lang das aber so ist (und ich hab dieses Jahr schon einige Gespräche für die Leitung von sehr interessanten IT-Security Projekte und deren Budgetierung geführt), so lange werden diese (jene) Angreifer hinterher ein sehr gutes, weil einfaches, Arbeitsumfeld haben.
Meist ist die Halbwertszeit der Nachwirkungen auch leider sehr beschränkt. Den eine schön getrennte Netzinfrastruktur erfordert auch Wartung und KnowHow, die gibt es eben relativ selten für die üblichen Budgetträume die Stunde.
Übrigens:
https://www.heise.de/news/IT-Ausfall-an-Uniklinik-Duesseldorf-betrifft-i ...
Vielleicht auch die Basis von Spahn' Gesetz zur Offenlegung der Patientendaten, so viele Kliniken, wie die letzten Jahre Opfer wurden...
Nunja...wie er sagt, es geht weiter.
Schönen Abend,
Christian
Moin,
das meiste was Mark da berichtet kann man ohne großes Budget lösen. Klar kostet Informationssicherheit auch Geld aber vieles lässt sich auch ohne Investitionen in Hard- und Software regeln. Das ist nur leider meine Erfahrung, dass viele IT-Dienstleister lieber teure Projekte mit NGFW und SIEM veranstalten anstatt mal ein wenig Basics zu lösen - zum Beispiel mal die lokalen Admin-Rechte überdenken oder mal eine gescheite Schulung zur Sensibilisierung (und eben nicht nur 2 e-Learning-Module von der Stange, die der DSB zufällig fallen gelassen hat).
Gruß
Bernhard
das meiste was Mark da berichtet kann man ohne großes Budget lösen. Klar kostet Informationssicherheit auch Geld aber vieles lässt sich auch ohne Investitionen in Hard- und Software regeln. Das ist nur leider meine Erfahrung, dass viele IT-Dienstleister lieber teure Projekte mit NGFW und SIEM veranstalten anstatt mal ein wenig Basics zu lösen - zum Beispiel mal die lokalen Admin-Rechte überdenken oder mal eine gescheite Schulung zur Sensibilisierung (und eben nicht nur 2 e-Learning-Module von der Stange, die der DSB zufällig fallen gelassen hat).
Gruß
Bernhard
das meiste was Mark da berichtet kann man ohne großes Budget lösen. Klar kostet Informationssicherheit auch Geld aber vieles lässt sich auch ohne Investitionen in Hard- und Software regeln.
Dienstleistungen sind das große Thema, flaches Netz: supergünstig, segmentiertes Netz: wesentlich mehr Aufwand, und man braucht Know How und die Natur der Sache widerspricht der Aussage, dass mehr KnowHow günstiger ist als weniger.
Das ist nur leider meine Erfahrung, dass viele IT-Dienstleister lieber teure Projekte mit NGFW und SIEM veranstalten anstatt mal ein wenig Basics zu lösen.
Das kann schon sein, ich würde auch bei einigen Konkurrenten drauf tippen, dass die IT-Sicherheit da nur ein Ersatz für das Drucker/Toner Geschäft ist - wenn du weisst, was ich damit meine. Natürlich gehört zur IT-Sicherheit auch das KnowHow und der "rund um Blick" - aber auch das kostet erstmal.
- zum Beispiel mal die lokalen Admin-Rechte überdenken
Bin seit 2010 unter eigenem Namen dabei, seither arbeite ich nicht als lokaler Admin auf meinen internen Systemen und das gleiche erwarte ich auch von meinen Kunden. Bei 99% klappt das auch problemlos.
oder mal eine gescheite Schulung zur Sensibilisierung
klar, aber du weisst die Halbwertszeit bei vielem, denn dazu gehört eben dann auch wieder die Infrastruktur.
(und eben nicht nur 2 e-Learning-Module von der Stange, die der DSB zufällig fallen gelassen hat).
ganz bei dir, aber ich weiss es aus der Praxis, dass dafür oft wenig "Bedarf" ist.
Geht in die Verlängerung
https://www.faz.net/aktuell/gesellschaft/kriminalitaet/gegen-hacker-wird ...
Dann ist aber die Frage, warum nicht gegen die IT, die das erst möglich machte, oder besser: Die Leitung, die zu wenig Budget bereitstellte bzw es nicht genau wusste/wissen wollte, wie es um IT-Sicherheit aussieht?
Geht dann gerne weiter...
https://www.faz.net/aktuell/gesellschaft/kriminalitaet/gegen-hacker-wird ...
Dann ist aber die Frage, warum nicht gegen die IT, die das erst möglich machte, oder besser: Die Leitung, die zu wenig Budget bereitstellte bzw es nicht genau wusste/wissen wollte, wie es um IT-Sicherheit aussieht?
Geht dann gerne weiter...
Dann ist aber die Frage, warum nicht gegen die IT, die das erst möglich machte, oder besser: Die Leitung, die zu wenig Budget bereitstellte bzw es nicht genau wusste/wissen wollte, wie es um IT-Sicherheit aussieht?
Wann hast du mal mitbekommen, dass die Führung für ihre Fehler verwantwortlich gemacht wurde? Vorher wird die Exekutive gemaßregelt...
Erst jetzt den Thread gelesen... (Die FAZ-Nachricht kannte ich bereits)
Trotzdem: Ich mag es nicht lassen...
Wenn in einer Düsseldorfer Klinik eine Notfallpatientin nicht angenommen wurde, weil die "IT" gerade mal "down" war lag das wohl eher daran, dass man halt ihre "Karte" nicht einlesen konnte.
Oder sollten etwa bereits Operationen nicht mehr durchführbar sein, weil man diese Geräte nicht von den anderen Netzen getrennt hat? Mag ich fast nicht glauben.
Die hatten ja keinen "Blackout" und die Intensivpatienten haben wohl offenbar auch überlebt.
Den Vortrag gucke ich mir jetzt an. (Bis die Wellen des Morpheus mich überfluten...)
Buc
Trotzdem: Ich mag es nicht lassen...
Wenn in einer Düsseldorfer Klinik eine Notfallpatientin nicht angenommen wurde, weil die "IT" gerade mal "down" war lag das wohl eher daran, dass man halt ihre "Karte" nicht einlesen konnte.
Oder sollten etwa bereits Operationen nicht mehr durchführbar sein, weil man diese Geräte nicht von den anderen Netzen getrennt hat? Mag ich fast nicht glauben.
Die hatten ja keinen "Blackout" und die Intensivpatienten haben wohl offenbar auch überlebt.
Den Vortrag gucke ich mir jetzt an. (Bis die Wellen des Morpheus mich überfluten...)
Buc
Wenn in einer Düsseldorfer Klinik eine Notfallpatientin nicht angenommen wurde, weil die "IT" gerade mal "down" war lag das wohl eher daran, dass man halt ihre "Karte" nicht einlesen konnte.
damit ist der unbedingte Wille zur Abrechnung schuld, bin ich ganz bei dir.
Oder sollten etwa bereits Operationen nicht mehr durchführbar sein, weil man diese Geräte nicht von den anderen Netzen getrennt hat? Mag ich fast nicht glauben.
Ist zwar traurig, aber halte ich mittlerweile für möglich. Vielleicht konnten Sie das Handbuch für die OP nicht mehr aufrufen?
Die hatten ja keinen "Blackout" und die Intensivpatienten haben wohl offenbar auch überlebt.
Früher, oder wann und wie war der Test?
Grüße, schönen Sonntag,
Christian
Das stimmt
Dazu kann man sagen:
sicher - billig - bequem; 2 davon dürfen Sie sich aussuchen
Liebe Grüße an alle
Sylvia
Dazu kann man sagen:
sicher - billig - bequem; 2 davon dürfen Sie sich aussuchen
Liebe Grüße an alle
Sylvia
sicher - billig - bequem; 2 davon dürfen Sie sich aussuchen
den kannte ich so noch nicht. perfekt. gute argumentationslinie bei kunden.
aber: muss das ein widerspruch sein? ist das ein naturgesetz? vielleicht... wahrscheinlich aber nicht...
@certifiedit.net: "Der unbedingte Wille zur Abrechnung"... begegnet mir als Patient in letzter Zeit zunehmend. Ist aber erstmal nur subjektiv...
Da ist mal ein Flugzeug abgestürzt, weil der Kopilot mit der Abarbeitung der chronologisch sortierten Fehlermeldungen nicht hinterherkam...
Bis zum nächsten Mal in diesem Theater...
Buc