1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Nordrhein-Westfalen: Mehrere…

Desaströse IT

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Desaströse IT

    Autor: DeutschlandIstToll2 12.02.16 - 17:35

    Warscheinlich kein Adblock und Mitarbeiter können exe Datein ausführen. Den IE 6 benutzte man 2012 auch noch gerne (selbst erlebt!)

  2. Re: Desaströse IT

    Autor: mastert19 12.02.16 - 18:32

    Ich habe selber 6 Jahre in der IT in einem Krankenhaus gearbeitet. Bin jetzt seit einem Jahr nicht mehr im Unternehmen und da laufen mit Sicherheit immer noch XP Maschinen. Wir hatten heute zwischen 10:30 Uhr & 11:30 Uhr ein massive Spamwelle, 40000 Mails wurden in einer Stunde wegen schlechter Reputation geblockt. Trotzdem kamen einige durch bevor die Cisco Senderbase die Reputation auf "Poor" gesetzt hat. Es waren Word Dokumente mit Makros. Es muss nur einer die Datei öffnen und und die Warnungen im Word bestätigen. Am besten noch mit einem Admin User und schon hast du die Kacke am Bein.

  3. Re: Desaströse IT

    Autor: cpt.dirk 12.02.16 - 20:08

    Es ist schon traurig - sogar im Bundestag reitet man lieber ein totes proprietäres XP-Pferd (und verschwendet Steuermillionen für dessen verlängerten Support), anstatt sich endlich zu emanzipieren und auf Linux zu portieren.

    Man könnte auch auf der Erfahrung des Projekts Limux in München aufbauen.

    Der Zuwachs an Sicherheit wäre augeblicklich erfahrbar, da es so gut wie keine Malware gibt, die eine gut gewartete Linux-Infrastruktur schädigt. Zudem wäre plötzlich eine weitaus höhere Planungs- und Zukunftssicherheit gegeben.

    Legacy-Programme könnte man sicherlich mit überschaubarem Aufwand ersetzen oder dafür Wine, nötigenfalls anpassen.

    Würde die skandalöse Subvention von Microsoft-Altlasten in solche Projekte gesteckt, das Problem wäre aller Wahrscheinlichkeit innerhalb weniger Jahre für immer vom Tisch.

    Einige Krankenhäuser könnten dazu auch ein Joint-Venture bilden.
    Aber nur ja nicht vorausschauend denken und handeln, ist, scheint es, die Devise.

  4. Re: Desaströse IT

    Autor: Quantium40 12.02.16 - 22:53

    DeutschlandIstToll2 schrieb:
    > Warscheinlich kein Adblock und Mitarbeiter können exe Datein ausführen. Den
    > IE 6 benutzte man 2012 auch noch gerne (selbst erlebt!)

    Nein - heutzutage kommt der Mist typischerweise per Mail als Word-Datei.
    Es sollte zwar noch eine Sicherheitsabfrage kommen, ob Makros wirklich ausgeführt werden sollen, aber da Windows-User permanent mit solchen Fragen belästigt werden, sind viele Endnutzer darauf konditioniert, solche Fragen grundsätzlich zu bestätigen.
    Clevererweise war zudem irgendjemand im Hause Winzigweich so schlau, VBA den Vollzugriff auf die gesamte Windows-API zu genehmigen.

    Die IE6-Problematik liegt daran, dass sich die Browserhersteller einfach nicht dazu durchringen können, endlich mal einen stabilen Minimalstandard an Events und Methoden zu unterstützen. Dadurch sind diejenigen, die ihre Inhouseanwendungen nicht alle Nase anpassen wollen, gezwungen, auf alten Kram zu setzen.
    Lustigerweise ist Microsoft selbst dadurch ebenfalls betroffen.
    Öffnet man im neuen Edge-Browser die Seite catalog.update.microsoft.com wird man von Edge an den IE übergeben, weil die Seite mit Edge nicht funktioniert. (sie funktioniert natürlich auch nicht in Chrome oder Firefox)

    Dass MS soviel Mist baut, heißt natürlich nicht, dass die Konkurrenz da auch nur einen deut zurücksteht. Momentan arbeiten die irgendwie alle daran, dass ihr Browser mit möglichst wenigen Seiten im Netz noch funktioniert.

  5. Re: Desaströse IT

    Autor: mikehak 13.02.16 - 00:43

    @cpt.dirk

    Ja ja, immer diese Leier mit Linux... Nun, das Linux auch nicht sicher ist, haben ja diverse Vorfälle schon gezeigt. Und ein Cryptowall funktioniert auch auf UNIX based system, also auch Linux.

    Was mich aber wundert ist, dass man gerade in solchen sensiblen Bereichen (Krankenhäuser, Banken etc) nicht auf ein Whitelisting von Applikationen setzt. Das kann man ja schon seit weiss nicht mehr welcher Version. Man kann aber auch Tools nehmen die das machen und muss nicht auf das MS system bauen.
    Und mit Windows 10 kommt noch Device Guard dazu, welches ein weiteres Whitelisting ist (funktioniert aber erst mit TPM2.0 Sicher). Wenn man denn alle möglichen Sicherheitsfeatures von Windows 10 nutzt ist es im Moment für einen Schädling fast unmöglich etwas zu machen, egal was der User macht. Aber es ist halt einen Verwaltungsaufwand, der nicht zu unterschätzen ist, und manchmal nicht ganz einfach ist.
    Aber man baut ja in der IT immer stellen ab, sind ja alle überflüssig... Und die Cloud ist ja das neue SuperSystem.

  6. Re: Desaströse IT

    Autor: mikehak 13.02.16 - 00:48

    @Quantium40

    Nun ja, deine Thema mit dem Catalog ist eigentlich ganz einfach. Das hat noch mit einer Kompatibilätsgeschichte zu tun. Ein ActiveX übergibt dem Wsus File und nicht nur ein Link oder so. Dazu müsste zuerst der Wsus angepasst werden und dann müssten x 1000 Firmen den Wsus updaten. Denke da wird MS in zukunft eine andere Lösung als den Wsus anbieten. Welcher vielleicht eine Lokale DB hat, aber dann für die updates entweder lokale Storage oder Online abgreifen kann, je nach aktuellem Geräte Standort. W10 macht ja schon einen gewissen anfang.

  7. Re: Desaströse IT

    Autor: CraWler 13.02.16 - 03:06

    Linux erfordert aber logisches Denken und Kompetenz, da ist eben nicht mal klickibundti ein System installieren und an den vorgefertigten Active Directory Server anschließen. Da muss man eben planen können.

    So, genau da dürfte es dann eben fehlen. Schau dir nur mal die Beschreibungen von IT Ausbildungsplätzen in Deutschland an. Wo immer nur von MS Kentnissen usw geredet wird, du kannst sicher sein das ein großer Teil des IT Personals in Deutschland keinen Kontakt mit Linux/Unix hatte. Zumindest nicht im ausreichenden Maß um da ne eigene redundante Netzwerk und Virtualisierungsstruktur hochzuziehen.

    Anderes Problem dürfte sein das Microsoft ja immer so lustig inkompatibel ist, statt sauviel Geld für irgend ne neue Fachanwendung auszugeben lässt man das dann auf XP weiter laufen da die alte version ja nicht unter win7 läuft usw. Auf die Idee das man das alte XP auch sicher virtualisieren könnte scheint dann meist niemand zu kommen.

    -----------------------------
    Piratenpartei Wähler

  8. Re: Desaströse IT

    Autor: sofries 13.02.16 - 03:30

    So dumm sind die Leute in den dortigen IT Abteilungen nicht. Leider sind die Vorgesetzten nicht in der Lage, die Risiken richtig zu beurteilen und treffen falsche Entscheidungen. Im besten Fall zahlt man nur für den Support und die Wartung alter Systeme drauf. Im schlimmsten Fall kommen sensible Daten in Falsche Hände oder die Infrastruktur wird lahmgelegt.

    Auf Warnungen reagieren die Vorgesetzten nicht, weil ihnen die Gefahren zu abstrakt sind. Siehe selbst bei Unternehmen wie Sony. Da bräuchte es mehrere große Sicherheitspannen, bis man IT Sicherheit wirklich ernstgenommen hat in der Zentrale.

  9. Re: Desaströse IT

    Autor: cpt.dirk 13.02.16 - 14:40

    mikehak schrieb:
    --------------------------------------------------------------------------------
    > @cpt.dirk
    >
    > Ja ja, immer diese Leier mit Linux... Nun, das Linux auch nicht sicher ist,
    > haben ja diverse Vorfälle schon gezeigt. Und ein Cryptowall funktioniert
    > auch auf UNIX based system, also auch Linux.

    Kein System ist absolut sicher, soviel ist sicher - eine Binsenweisheit.

    Eine auf Microsoftprodukte zugeschnittene Malware wird sich aber in aller Regel schwer auf einem Linuxsystem verbreiten können. Wohl ca. 95% aller Malware weltweit dürfte für Windows konzipiert sein. Ein Blackboxsystem ohne nachprüfbare Sicherheit (Einsicht in den Quellcode) kann aber im Grunde überhaupt keinen Anspruch auf Sicherheit erheben.

    > Was mich aber wundert ist, dass man gerade in solchen sensiblen Bereichen
    > (Krankenhäuser, Banken etc) nicht auf ein Whitelisting von Applikationen
    > setzt. Das kann man ja schon seit weiss nicht mehr welcher Version. Man
    > kann aber auch Tools nehmen die das machen und muss nicht auf das MS
    > system bauen.
    > Und mit Windows 10 kommt noch Device Guard dazu, welches ein weiteres
    > Whitelisting ist (funktioniert aber erst mit TPM2.0 Sicher).

    > Wenn man denn
    > alle möglichen Sicherheitsfeatures von Windows 10 nutzt ist es im Moment
    > für einen Schädling fast unmöglich etwas zu machen, egal was der User
    > macht.

    IMHO reines Wunschdenken. Ein entsprechend administriertes Linuxsystem sollte da mühelos mithalten können. Auch erschließt sich mir nicht, was ein Whitelisting von Anwendungen bringen soll, wenn diese Anwendungen per Design Schwachstellen aufweisen, die per Malware-Attachment ausgenutzt werden. Dann schon lieber wenigsten die Altsysteme virtualisieren (unter einem Linux-Host), wie bereits in einem Beitrag oben erwähnt.

    Whitelisting von Devices, z. B. USB-Sticks, gibt es unter Linux längst. Und TPM-Zertifikate könnten übrigens schon ab Werk gefälscht sein, bzw. u. U. durch Sicherheitslücken überschrieben werden, dazu gibt es bereits diverse Hinweise.

    Zudem kann ein System wie W10 aufgrund seiner Personalisierungs-Zusatzfeatures schwerlich die äußerst strengen datenschutzrechtlichen Voraussetzungen erfüllen, die bei personenbezogenen Gesundheitsdaten zum tragen kommen. S. u. a. auch:

    http://www.infoworld.com/article/2972298/microsoft-windows/10-reasons-you-shouldnt-upgrade-to-windows-10.html

  10. Re: Desaströse IT

    Autor: mikehak 14.02.16 - 00:45

    @cpt.dirk

    Zu deinem blackbox system und Sicherheit Kommentar. Das war ja gerade eine richtige Steilvorlage für mich. Wenn opensource so gut ist, warum gab es in letzter Zeit so massive Lücken (openSSL etc)... Und das Schlimme ist, da ja viele Appliance auf Linux laufen sind eine Menge appliances immer noch nicht gepatched, da der Hersteller schon gar kein Update ausliefert.
    Auf Seite Windows kann ich meist die Patches selber einspielen.

    Wie ich merke, hast du keine Ahnung von ganzen Whitelisting unter Windows. Wenn sämtliche Sicherheitsmöglichkeiten aktiviert sind und wirklich das Whitelisting vollkommen implementiert ist, dann ist es normalerweise absolut unmöglich nur einen Prozess mit einem anderen Hash zu starten. Auch nicht signierte VB Scripts sind per se out of order. Somit kann ich noch lange versuchen einen USB Stick anzuschliessen, der irgend eine Malware hat. Da es einfach mal nicht möglich ist, etwas was nicht bekannt ist, über die Scripting engine auszuführen.

    So und nun kommen wir zu deinem Letzten Punkt. Wegen Windows 10.. Nun auch da bist du nicht mehr aktuell, seit dem letzten Update gibt es für enterprise einen punkt um die Telemetrie komplett abzuschalten. Man konnte es übrigens vorher schon. Denn man konnte über die GPO die Telemetriedaten Umleiten auf einen Internen Host. Und schon gab es fast keinen Traffic mehr nach hause. Auch den konnte man fast ganz abstellen in dem man einen Internen Host für die Tunneling abfrage und für die DNS (PING) Abfrage für die Connectivity umleitete.

    Aber eben, den Medien wird alles blind geglaubt. Und wenn man eh gegen etwas ist, ausgeschlachtet.

  11. Re: Desaströse IT

    Autor: cpt.dirk 14.02.16 - 03:31

    mikehak schrieb:
    --------------------------------------------------------------------------------
    > @cpt.dirk
    >
    > Zu deinem blackbox system und Sicherheit Kommentar. Das war ja gerade eine
    > richtige Steilvorlage für mich. Wenn opensource so gut ist, warum gab es in
    > letzter Zeit so massive Lücken (openSSL etc)...

    Weil es a) keine fehlerfreie Software gibt und b) viele Hersteller zwar liebend gern Open Source kostenlos einsetzen, aber keinen Cent in die Weiterentwicklung investieren wollen.

    Ich denke, die meisten Sicherheitsexperten von Rang und Namen sind sich mittlerweile einig, dass "Security by Obscurity" Wunschdenken ist - natürlich gibt es noch Einige, die um ihre proprietären Pfründe fürchten. Dass die Fehler gefunden (und behoben) werden, bedeutet nichts anderes, als dass Open-Source funktioniert.

    Glücklicherweise haben "Heartbleed" & Co. die Unternehmen aufwachen lassen und sie stellen nun selbst mehr Resourcen für die Entwicklung - zum gegenseitigen Nutzen - zur Verfügung.

    Fehler, die durch offene Audits gefunden werden, sind tausendmal besser, als solche, die intern bekannt sind, aber verschwiegen werden, dafür aber von findigen Crackern durch Reverseengineering und andere Techniken oder wegen Leaks einer kleinen Gruppe mit bösartigen Absichten zugänglich werden.

    Und dafür sind Microsofts Produkte leidlich bekannt, zeigt ein kurzer Blick auf Google.

    > Und das Schlimme ist, da ja
    > viele Appliance auf Linux laufen sind eine Menge appliances immer noch
    > nicht gepatched, da der Hersteller schon gar kein Update ausliefert.
    > Auf Seite Windows kann ich meist die Patches selber einspielen.

    Ich bin mir nicht sicher, ob ich das richtig verstehe, kannst du das bitte näher erläutern? Appliances sind meines Wissens etwas anderes, als Applications, für die Device Guard gedacht ist - nämlich dedizierte, kombinierte Hardware-/Softwaresysteme, z. B. für spezielle Sicherheitsanwendungen.

    Auch erschließt sich mir nicht, inwiefern es unter Linux oder OpenBSD länger dauern sollte, bis Bugs gefixt werden und Patches zur Verfügung stehen (es ist sogar nur hier wirklich möglich, selbst Bugfixes zu schreiben), als bei proprietären Systemen, wo man auf die Gnade der Hersteller angewiesen ist. In der Praxis kann das ganz schön lange dauern.

    > Wie ich merke, hast du keine Ahnung von ganzen Whitelisting unter
    > Windows. [...] Somit kann ich noch lange versuchen einen USB Stick
    > anzuschliessen, der irgend eine Malware hat. Da es einfach mal nicht
    > möglich ist, etwas was nicht bekannt ist, über die Scripting engine
    > auszuführen.

    Tja, ob DeviceGuard ein Mehr an Schutz vor bösartiger USB-Firmware bietet - vielleicht nicht, wenn die Kommunikation auf Controller- und Treiberebene abläuft, und wenn Sicherheitslücken im mit Rootrechten laufenden Treiber (und sei dieser auch signiert) auf diese Weise ausgenutzt werden können.

    Jedenfalls ist die AWL von Windows 10 offensichtlich sehr starr konzipiert und kann lediglich mit vorsignierten "trusted" Apps arbeiten. Es gibt von M$ noch ein Tool zur Selbstsignatur von Anwendungen, damit fällt aber sehr viel Verwaltungsaufwand und Arbeit auf die Pflege der Signaturinfrastruktur und das Deploying signierter Apps.

    Abstecher:

    Was das Thema "Trustability" bei den von an Gag-Orders gebundenen US-Unternehmen vergebenen Zertifikaten oder ein möglicherweise mit Doppelsignaturen arbeitendes Signaturtool aus solchen Quellen angeht, würde ich sagen, dass deren Systeme eigentlich in hochsensiblen Bereichen nichts verloren haben sollten, da sie als möglicherweise kompromittiert angesehen werden müssen.

    Weder schafft hier die "Anonymity Revocation Authority"-Option bei TPM unbedingt Vertrauen, noch das gegen starke Bedenken auch weiterhin bei TPM 2.0 zugelassene unsichere Hashingverfahren SHA-1 und andere Punkte wie das zunehmende Hardwarediktat der der TCG vorsitzenden Unternehmen. Ich verweise an dieser Stelle auf etwas Lektüre zu den Gefahren bei TPM:

    https://netzpolitik.org/2015/wir-leaken-deutschland-und-china-gegen-den-rest-der-welt-wundersame-einigkeit-bei-trusted-computing/

    Weiter im Text:

    Soweit ich sehe, bietet Microsofts Ansatz im Übrigen auch nicht die Vorteile moderner AWL-Systeme, welche selbstlernend sind, über feingranulare Steuerungsmöglichkeiten verfügen und verschiedene Level an Verantwortungsdelegation an die Clients erlauben. Also geringen Administrationsaufwand und hohe Praxistauglichkeit.

    Was macht da DeviceGuard im Detail besser, als z. B. IMA, TPM-basierte Modulsignaturen und Apparmor bei Linux oder Veriexec bei OpenBSD?

    > So und nun kommen wir zu deinem Letzten Punkt. Wegen Windows 10..
    > Nun auch da bist du nicht mehr aktuell, seit dem letzten Update gibt es für
    > enterprise einen punkt um die Telemetrie komplett abzuschalten.

    Auch hier gilt leider: Microsoft hat sich als wenig vertrauenswürdig entpuppt (und nein, ich werde an dieser Stelle nicht das Googeln der langen Liste von Microsofts Missetaten übernehmen!), ob man nun auf diverse diesbezügliche Erfahrungen über die Jahre, oder auf Snowdens Enthüllungen in jüngerer zurückblickt.

  12. Re: Desaströse IT

    Autor: Panty160215 15.02.16 - 15:06

    Linux ist nicht sicherer als Windows

    Windows ist populär, weshalb viel Malware dafür konzipiert wird

  13. Re: Desaströse IT

    Autor: Panty160215 15.02.16 - 15:11

    Für Linux braucht man eine besonderen Kompetenzen

    Wenn meine Oma ins Internet möchte und diese keine Ahnung davon hatt eann würd ich diese in Ubuntu oder Mint einführen. Die sind noch einfacher zu verstehen als Windows 7

  14. Re: Desaströse IT

    Autor: cpt.dirk 15.02.16 - 23:23

    Linux ist sicherer, einfacher und beständiger im Look & Feel bei wesentlich größerer Anpassungsfähigkeit als Windows.


    Ein sehr großer Zugewinn an Sicherheit ergibt sich aus IMHO aus:

    - dem ausgereifteren Multiuserkonzept
    - den in der Regel sichereren Voreintstellungen
    - der besseren Übersichtlichkeit durch den geringen Anteil an Services
    - der kleineren Codebasis und deshalb besseren Überschaubarkeit
    - dem geringen Marktanteil (geringes Interesse für Malwareschreiber)
    - dem zentralen Repository und geringen Anteil proprietären Codes
    - dem offenen Quellcode, dadurch meist schelles Finden und Fixen der Fehler
    - dem offenen Quellcode, und dadurch Auffindbarkeit von Backdoors
    - dem modularen Konzept und einfachem Ersatz für Komponenten
    - der Unabhängigkeit von markt- oder sonstigen politischen Interessen
    - des traditionell robusten Netzwerkstacks


    Einfachheit in der Usability ergibt sich aus Anpassungsfähigkeit und Vielfalt:

    - alle Usermodi sind möglich, von verschiedensten Desktops bis zur Shell
    - Wahlfreiheit, für das, was jeder User als "am Einfachsten" empfindet
    - Komfort (KDE), Schlichte Eleganz (Gnome oder Unity), Praktikabilität (Xfce)
    - Bei fast allen Distros wird auf Bloatfeatures und Werbemüll verzichtet
    - Linux wird Out-of-the-Box mit so gut wie allen benötigten Treibern geliefert
    - Quelloffene Grafiktreiber vor allem von Intel und AMD -> sofort einsetzbar
    - Überwiegend klare Bedienkonzepte gängiger Anwendungen
    - Gewohnte Standardprogramme: LibreOffice, Firefox, Thunderbird)
    - die meisten Installer sind heute einfach und übersichtlich gestaltet
    - vorsinstallierte Rechner gibt es ebenso bei diversen Onlinehändlern

    Daher ist Linux als Standardbetriebssystem heute für Omi sowohl sicherer, als auch Einfacher.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Managing Director Produktentwicklung (m/w/d)
    über Dr. Maier & Partner GmbH Executive Search, Frankfurt am Main
  2. IT-Professional/IT-Administr- ator (m/w/d)
    PETER BREHM GmbH, Weisendorf / Metropolregion Nürnberg
  3. Service Manager Datenbanksysteme (m/w/d)
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
  4. Softwareentwickler (w/m/d) SCADA (WEB)
    SSI SCHÄFER Automation GmbH, Giebelstadt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Creative Sound BlasterX G5 für 89,99€ inkl. Versand und AKRacing Core SX für 229€ + 19...
  2. (u. a. Dark Souls 3 - Digital Deluxe Edition für 15,99€, Xbox Game Pass Ultimate - 1 Monat für...
  3. 69,99€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de