transocean
Goto Top

Möller-Maersk Installiert nach Ramsonware Attacke in Rekordzeit 4.000 Server und 45.000 Pcs

Moin,

Hut ab vor dieser Leistung.

Gruß

Uwe

Content-Key: 362645

Url: https://administrator.de/contentid/362645

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: MOS6581
MOS6581 27.01.2018 um 10:07:09 Uhr
Goto Top
Moin,

Respekt - die organisatorische Leistung, sowas in der Größenordnung und in dem Zeitraum zu stemmen ist schon gewaltig. Mich würde mal interessieren, wie viel "ITler-Fußvolk" daran beteiligt war und wie die Kommunikation bei so einem Desaster abläuft...

Scheinbar war hier eine gute Backup-Strategie am Werk face-smile
lG MOS
Mitglied: vBurak
vBurak 27.01.2018 um 10:21:32 Uhr
Goto Top
Ich bin nicht sicher, ob da etwas durcheinander gekommen ist. So wie ich es verstanden habe, mussten das ganze Unternehmen 10 Tage lang nur mit Stift und Papier arbeiten. Das heißt aber nicht, das nach 10 Tagen ALLE Systeme wieder einsatzbereit waren. Vielleicht war ja nur ein Teil wieder hergestellt?
Mitglied: MOS6581
MOS6581 27.01.2018 um 10:24:47 Uhr
Goto Top
Nun, der Artikel spricht von "In den zehn Tagen, in denen Maersk seine komplette IT-Infrastruktur erneuerte, musste das Unternehmen sich auf manuelle Arbeitsabläufe beschränken. ..."

Ob da natürlich einiges wegrationalisiert wurde, steht auf einem anderen Blatt face-smile

lG MOS
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.01.2018 aktualisiert um 11:01:04 Uhr
Goto Top
Zitat von @MOS6581:

Nun, der Artikel spricht von "In den zehn Tagen, in denen Maersk seine komplette IT-Infrastruktur erneuerte, musste das Unternehmen sich auf manuelle Arbeitsabläufe beschränken. ..."

Ob da natürlich einiges wegrationalisiert wurde, steht auf einem anderen Blatt face-smile

lG MOS

Man könnte es natürlich auch als chance sehen und ein über 30-40 Jahre gewachsenes System "neu zu denken".
Immerhin war der Ausfall bereits Anfang des letzten Jahres - ich schätze die pure Migrationsphase waren 10 Tage. Aber da ist ZDnet natürlich leider wieder ziemlich oberflächlich. Aber auch da muss man sagen Hut ab, innerhalb von einem Jahr so ein System neu zu denken und es umzusetzen. Lag aber wohl nur daran, dass das Messer an der Kehle saß. ...
Mitglied: MOS6581
MOS6581 27.01.2018 um 12:04:48 Uhr
Goto Top
Möchte nicht wissen, was da wohl AS/400 / VAXen dem Verwerter zum Opfer gefallen sind face-smile

Ich glaube, wenn gar nichts mehr geht, treibt das durchaus zu Höchstleistungen an - und belohnt mit einem neuen System auf aktuellem Stand der Technik.

lG MOS
Mitglied: transocean
transocean 27.01.2018 um 20:49:53 Uhr
Goto Top
Zumindestens hat sich die Reederei mit IBM ja mal einen kompetenten Partner an Bord geholt.

Gruß

Uwe
Mitglied: Andrew01
Andrew01 28.01.2018 um 20:59:16 Uhr
Goto Top
Super,

jetzt haben sie ja den Masterplan. Ich hoffe an den Berechtigungen wurde nichts geändert und jeder darf weiterhin alles runterladen und installieren. Vielleicht werden sie beim nächsten mal noch schneller beim neu installieren? Ich bin auf die neue Bestzeit gespannt :—)

Gruß
Andreas
Mitglied: Kryolyt
Kryolyt 29.01.2018 um 07:36:00 Uhr
Goto Top
Genau der Gedanke kam mir auch. Ich kann mir nicht vorstellen, dass in 10 Tagen jetzt auch ein Sicherheitskonzept entwickelt und umgesetzt wurde.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 29.01.2018 um 10:48:52 Uhr
Goto Top
Zitat von @Kryolyt:

Genau der Gedanke kam mir auch. Ich kann mir nicht vorstellen, dass in 10 Tagen jetzt auch ein Sicherheitskonzept entwickelt und umgesetzt wurde.

Leute, Ihr arbeitet doch mit der IT, also nutzt diese, um euch zu informieren.

https://www.handelszeitung.ch/unternehmen/cyberattacke-bei-moeller-maers ...

Der Angriff (war imho sogar der zweite auf MM) fand bereits vor mittlerweile fast einem halben Jahr statt. Klar, eine Planungszeit von 5 Monaten für diese Menge an Systemen und Anwendungen ist immernoch knackig, aber 5 Monate dürften eine gute Basis für einen ordentlichen Grundstein sein.
Mitglied: monstermania
monstermania 29.01.2018 um 11:06:35 Uhr
Goto Top
Tja und Kopf-Ap für die Mitarbeiter die das Security-Konzept zu verantworten haben!?
Ich sehe das daher deutlich anders. Hätte die IT vorher Ihren Job richtig gemacht, wären die Auswirkungen nicht so katastrophal gewesen. Sich dann nachher auf die Schulter zu klopfen und sich zu feiern bzw. feiern zu lassen ist da schon ganz schön frech!
Ich sag es dann mal so: Zumindest das Backup/Restore-Konzept scheint gut funktioniert zu haben face-smile . Das Security-Konzept hat aber auf der ganzen Linie versagt.

Gibt ja reichlich Firmen, die keine Probleme mit Wannacry/Petya gehabt haben! Offenbar hat dort das Sicherheitskonzept besser gepasst (oder Einfach nur Glück gehabt face-wink ).

PS: Beiersdorf (u.a. Nivea, Tesa) in Hamburg hatte es auch voll erwischt.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 29.01.2018 aktualisiert um 11:12:02 Uhr
Goto Top
Zitat von @monstermania:

Tja und Kopf-Ap für die Mitarbeiter die das Security-Konzept zu verantworten haben!?

Ich glaube, dass es da kein Konzernübergreifendes gab. Man muss ja kosten sparen ;)

Gibt ja reichlich Firmen, die keine Probleme mit Wannacry/Petya gehabt haben! Offenbar hat dort das Sicherheitskonzept besser gepasst (oder Einfach nur Glück gehabt face-wink ).

Logisch, Petya kam auch vorallem durch in der Ukraine tätige Firmen rein. Damit schloss es schonmal eine aus. (Hoffe, du hast dich mit der Ausbreitungsgeschichte befasst?)

PS: Beiersdorf (u.a. Nivea, Tesa) in Hamburg hatte es auch voll erwischt.


dito, Tochterfirma in der Ukraine, Nutzung der SW me-doc.com.ua, selbes Spiel. Da hilft auch die beste Sicherheitsstruktur kaum was, wenn dir dein Softwarehersteller den Cyberangriff im Netz platziert.

Die schnelle Ausbreitung macht allerdings sorgen. Aber wer kennt die Kunden nicht, "hier funktioniert wegen der Sch... Firewall das Programm XY nicht...".
Mitglied: DaHuber
DaHuber 29.01.2018 um 17:48:53 Uhr
Goto Top
Wer da wohl als Staat der Ukraine an den Kragen ( IT Strucktur ) wollte.
Mitglied: xalroth
xalroth 29.01.2018 aktualisiert um 18:12:08 Uhr
Goto Top
certified.net schrieb:
Da hilft auch die beste Sicherheitsstruktur kaum was, wenn dir dein Softwarehersteller den Cyberangriff im Netz platziert.

Eben, gibt halt Angriffsvektoren, gegen die man sich nicht rein intern verteidigen kann.

Werden doch auch ständig Master und Backdoor Logindaten zu allen möglichen Cloudsystemen und Apps in Github Repos mithochgeladen. Wenn Du dann zu denen gehörst, die die Software verwenden (müssen - aus welchen Gründen auch immer), kannst Dich nachher auch nur um Schadensbegrenzung und dann -Ersatz kümmern. Wenn Du einen Recovery Plan hast mit entsprechender Zeitvorgabe und die einhalten kannst, hast Du Deinen Job gut gemacht.

Zum Topic, ungeachtet der Vorbereitungszeit sind 10 Tage für die Umsetzung schon vorzeigbar.
Mitglied: Th0mKa
Th0mKa 30.01.2018 um 20:45:51 Uhr
Goto Top
Zitat von @vBurak:

Vielleicht war ja nur ein Teil wieder hergestellt?

Nach 10 Tagen waren die wichtigsten Systeme wiederhergestellt, bis alle Systeme wieder da waren hat es länger gedauert. Konnte man zumindest für die Kundenrelevanten Systeme (z.B. EDI) auf Twitter mitverfolgen, Maersk war da ja sehr offen in der Kommunikation.
Mitglied: holli.zimmi
holli.zimmi 05.12.2019 um 08:16:36 Uhr
Goto Top
HI,

mit den 4.00 Servern kann ich mir gut vorstellen. Unter Citrix wird der erste erstellt und dann einfach kopiert ( mit neuer SID) und dann geht ratz fatz. Auch habe ich so ein Lehrgang schon mitgemacht, wie schnell man eine Serverfarm hoch ziehen kann mit den entsprechenden Tools.
Das steckt viel KnowHow dahinter.

Bei den PC -können auch vielen Thinclients dahinter stecken. Das geht mit den neuen "Dell Wyse 3040" auch sehr schnell.

Gruß

Holli
Mitglied: Th0mKa
Th0mKa 05.12.2019 um 10:18:03 Uhr
Goto Top
Zitat von @holli.zimmi:
( mit neuer SID)

Der SID Mythos stirbt auch nie aus.

Mit MCS oder PVS erledigt Citrix das vervielfältigen ja auch selbst, spannender ist da die Infrastruktur. Aber mit gutem DR Plan ist das auch kurzfristig erledigt.

/Thomas
Mitglied: falscher-sperrstatus
falscher-sperrstatus 05.12.2019 um 10:25:49 Uhr
Goto Top
Aber mit gutem DR Plan ist das auch kurzfristig erledigt.

So wie ich das lese gab es da nichts, was danach auch nur im entferntesten aussah.
Mitglied: Th0mKa
Th0mKa 05.12.2019 um 10:34:11 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

So wie ich das lese gab es da nichts, was danach auch nur im entferntesten aussah.

Dann hast du falsch gelesen, wie schon damals geschrieben konnte man das Geschehen quasi "live" auf Twitter mit verfolgen und es gab Updatevideos aus dem "War Room". Dafür das das gesamte Netz neu gemacht werden musste waren die für Kunden relevanten Systeme in kurzer Zeit wieder online.

/Thomas
Mitglied: falscher-sperrstatus
falscher-sperrstatus 05.12.2019 um 10:55:20 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @falscher-sperrstatus:

So wie ich das lese gab es da nichts, was danach auch nur im entferntesten aussah.

Dann hast du falsch gelesen, wie schon damals geschrieben konnte man das Geschehen quasi "live" auf Twitter mit verfolgen und es gab Updatevideos aus dem "War Room". Dafür das das gesamte Netz neu gemacht werden musste waren die für Kunden relevanten Systeme in kurzer Zeit wieder online.

/Thomas

Also aus Berichten wie "key lesson learned" + "data recovery plan is urgent" lese ich, dass das davor "SO" nicht bestand. Die hatten wohl keine ganz Miese Doku, aber aus dem damaligem Umfeld meine ich mich zu erinnern, das die Spezialisten wie sonst was in kürzester Zeit aktivieren konnten. (Kann man natürlich auch so als DR Plan verstehen).

Hier nochmals spezifiziert: In dem Umfeld/Größe gab es eben keinen DR Plan, nur eine sch.. glücklich verlaufender Ausbruchsversuch mit einem haufen (fremd) angeheuerter Spezialisten. Der War Room war nur das "danach". Aber klar, hat am meisten Eindruck gemacht.

Not surprisingly, there was no specific strategy in place at Maersk to deal with a cyber-attack on this scale. “There was no plan B,” explains
Banks, “as the recovery plans didn’t account for the global destruction of everything — a common line of thought in asset-centric businesses.”