1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shitrix: Das Citrix-Desaster

IT nicht verstanden

  1. Thema

Neues Thema Ansicht wechseln


  1. IT nicht verstanden

    Autor: Miklagard 14.01.20 - 14:26

    Zitat: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

    Ich bin der Meinung das Leute die das nicht verstanden haben, sich heute nicht mehr Informatiker nennen dürfen.

    Wer einen Fehler findet darf ihn behalten

  2. Re: IT nicht verstanden

    Autor: Neonen 14.01.20 - 14:33

    Hat ja schon nichts mehr mit IT zu tun. Wenn ein Problem bekannt ist und ich die Produktion nachbessern kann um das Problem zu beheben, dann habe ich das gefälligst zu tun.

  3. Re: IT nicht verstanden

    Autor: Tpdene 14.01.20 - 14:46

    Da das in der Realität aber nicht passiert, müssen bessere Mechanismen her, sei es ein automatisches Update durch den Hersteller (der in dem Fall nicht was liefert). Bessere Lösungen wären wohl wünschenswert (z.b. bei Insolvenz) aber ich wüsste nicht, wie.

    Die Schuld auf den User zu schieben, ist aber zu einfach.

  4. Re: IT nicht verstanden

    Autor: Quantium40 14.01.20 - 15:13

    Miklagard schrieb:
    > Zitat: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und
    > man das entsprechende Produkt einsetzt, muss man sich darum zeitnah
    > kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht
    > geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

    Dummerweise gibt es genügend größere Firmen, bei denen alleine die Verträglichkeitstests der Patches mit ihrer Produktionsumgebung erheblich länger als nur einen Monat dauern können.
    Richtig lustig wird es, wenn Änderungen an der Softwareumgebung eine Rezertifizierung eines Prozesses oder einer Anlage erfordern. Dann steigt der Zeitbedarf bis zur Einsatzfreigabe erheblich.

    Gerade in Hinblick auf die inzwischen herstellerübergreifend ins Bodenlose gesunkene Qualität von Patches ist es durchaus nachvollziehbar, wenn es in den IT-Abteilungen Leute gibt, die sich scheuen, Patches sofort einzuspielen.
    Im Endeffekt ist das immer eine Risikoabwägung. Ist die Chance größer, dass man einen Produktionsausfall hat, wenn man den Patch einspielt oder wenn man den Patch nicht einspielt.

  5. Re: IT nicht verstanden

    Autor: chromax 14.01.20 - 15:15

    Tpdene schrieb:
    --------------------------------------------------------------------------------
    > Da das in der Realität aber nicht passiert, müssen bessere Mechanismen her,
    > sei es ein automatisches Update durch den Hersteller (der in dem Fall nicht
    > was liefert). Bessere Lösungen wären wohl wünschenswert (z.b. bei
    > Insolvenz) aber ich wüsste nicht, wie.
    >
    > Die Schuld auf den User zu schieben, ist aber zu einfach.

    Ja und nein, in der Realität werden die Admins diese Funktion abstellen, da es ein wenig Kontrollverlust bedeutet (Plötzlich geht was nicht mehr, irgendwo wurde ein fehlerhaftes Update automatisch installiert!?) und öffnet man mit so einem Prozess nicht auch eine Tür die missbraucht werden kann?

    Am Ende beginnt alles beim Geld, bei günstigen Hardwareanbietern gibts keinen Spielraum für Infrastruktur, bei gesparter, überforderter IT keine Zeit für Updates/Fortbildung etc.

    Das "Gute" ist, nach so ein paar Vollkatastrophen wird anders nachgedacht.

  6. Re: IT nicht verstanden

    Autor: apriori 14.01.20 - 17:21

    > Gerade in Hinblick auf die inzwischen herstellerübergreifend ins Bodenlose
    > gesunkene Qualität von Patches ist es durchaus nachvollziehbar, wenn es in
    > den IT-Abteilungen Leute gibt, die sich scheuen, Patches sofort
    > einzuspielen.
    Ist ja auch kein Wunder. Niemand fragt sich ja eventuell, wieso überhaupt ein Patch erforderlich war. Es wurde vorher was vergeigt. Und Patches sind letztlich ebenso Software. Somit kann man einen endlosen Kreislauf des Vergeigens erschaffen.

  7. Re: IT nicht verstanden

    Autor: tomatentee 14.01.20 - 17:22

    Das ist die unter anderen vom CCC seit langem geforderte Produkthaftung für Software.

  8. Re: IT nicht verstanden

    Autor: Bouncy 14.01.20 - 17:28

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Im Endeffekt ist das immer eine Risikoabwägung. Ist die Chance größer, dass
    > man einen Produktionsausfall hat, wenn man den Patch einspielt oder wenn
    > man den Patch nicht einspielt.
    Naja das verschiebt ja nur die Quelle des Versagens - dann war jemand vielleicht kompetent genug die Notwendigkeit des Patches zu erkennen, kam aber zum falschen Schluß. Ist so gesehen immernoch ein Versagen, die Person kann Bedrohungslagen nicht einschätzen...

  9. Re: IT nicht verstanden

    Autor: derdiedas 14.01.20 - 19:26

    Fakt ist das Du IT Sicherheit nicht verstanden hast.

    Wenn Sicherheitslücken und deren Behebung Basis deiner IT Security ist, ist Dein Konzept von sich aus schon zum Scheitern verurteilt.

    Die IT muss so aufgebaut sein das sie mit Fehlerhafter Software rechnet und dies in Ihr Konzept mit zusätzlichen Maßnahmen so mitregiert, das ein schwerwiegender Bug an einer Stelle keine gravierenden oder zumindest stark reduzierte Auswirkungen hat.

    Gruß DDD

  10. Re: IT nicht verstanden

    Autor: Avarion 14.01.20 - 20:52

    Dann bleibt entweder man überarbeitet seine Prozesse damit es nicht mehr so lange dauert oder man sorgt dafür das verwundbare Systeme nicht erreichbar sind.

    Zertifizierungen nach BSI sehen auch vor das Schwachstellen innerhalb einer bestimmten Zeit gepatched werden oder man Schritte unternommen hat das Ausnutzen dieser Lücken zu verhindern. Da hilft auch kein "Aber wir mussten noch testen" falls was schiefgeht. Dann ist die schöne Zertifizierung weg. Und manchmal hängt daran das eigene Geschäftsmodell.

  11. Re: IT nicht verstanden

    Autor: djslimer 15.01.20 - 01:11

    Tpdene schrieb:
    --------------------------------------------------------------------------------
    > Da das in der Realität aber nicht passiert, müssen bessere Mechanismen her,
    > sei es ein automatisches Update durch den Hersteller (der in dem Fall nicht
    > was liefert). Bessere Lösungen wären wohl wünschenswert (z.b. bei
    > Insolvenz) aber ich wüsste nicht, wie.
    >
    > Die Schuld auf den User zu schieben, ist aber zu einfach.

    Das hat nichts mit dem User zu tun. Die Admins sind gefragt. Und in einem solchen Fall müssen sie halt notfalls aus dem Urlaub raus, und wenn es nur darum geht, den betroffenen Dienst abzuschalten.

    Automatisierte Updates wird es hier nicht geben und nicht geben werden. Die IT ist relativ komplex (mehrere Größenordnungen komplexer als ein PC) Änderungen an einem System, zumal an so einem zentralen, können (nicht müssen) Einflüsse auf andere Systeme haben. Vor einem Update muss das auf einem Testsystem untersucht werden. Erst dann wird ein verantwortungsvoller Admins das Update aufspielen.
    Stell dir vor, durch das Update ändern sich die Schlüssel der Festplatten-Verschlüsselung, da die veröffentlicht wurden oder nicht mehr sicher sind. Ohne Migration der Daten sind plötzlich alle Daten verloren und die Firma kann dicht machen.

  12. Re: IT nicht verstanden

    Autor: divStar 15.01.20 - 01:43

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Die IT muss so aufgebaut sein das sie mit Fehlerhafter Software rechnet und
    > dies in Ihr Konzept mit zusätzlichen Maßnahmen so mitregiert, das ein
    > schwerwiegender Bug an einer Stelle keine gravierenden oder zumindest stark
    > reduzierte Auswirkungen hat.
    Das hört sich nach einer wunderbaren Utopie an. Die Realität ist, dass viele Administratoren damit überfordert wären - einfach weil man z.B. in Windows 10 nicht den gesamten Traffic kontrollieren kann (Danke, Microsoft...). Wenn jetzt ein ernstzunehmender Bug in der Telemetriefunktion in Windows 10 auftaucht (oder in z.B. Cisco-Routern und -switches), will ich sehen wie man so etwas absichert oder unerreichbar macht.

    Ich glaube die Theorien von IT-Sicherheit kennt jeder Entwickler und Admin. Zur Umsetzung gehört aber fachliches wie technisches Know-how und Zeit. Und beides gibt es oftmals in einer viel zu geringen Anzahl.

    Schwerwiegende Bugs sind nicht umsonst schwerwiegend.

  13. Re: IT nicht verstanden

    Autor: Snoozel 15.01.20 - 07:45

    Dort gibt es in der Regel keine Sysadmins. Wenn überhaupt gibt einen Helpdesk-Mitarbeiter der als Feuerlöscher rum rennt. Turnschuhadmin.
    Der Rest wird extern vergeben - und das nur wenn was kaputt ist oder gerade ein Austausch ansteht. Nicht für normale Wartung.
    Du kannst auch davon ausgehen dass die meisten dort eingesetzten Switche, Router, Accesspoints, Drucker etc. nie auch nur ein Update bekommen haben.

  14. Re: IT nicht verstanden

    Autor: AynRandHatteRecht 15.01.20 - 09:03

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Das ist die unter anderen vom CCC seit langem geforderte Produkthaftung für
    > Software.


    Die auch blödsinnig ist, denn Software ist kein statisches Produkt. Laufend verändern sich die Anforderungen und die Laufzeitumgebungen (Hardware, OS), sodass Anpassungen notwendig sind. "reift beim Kunden" ist kein Malus sondern schlicht Just-in-Time-Delivery.

    Hätten wir eine Produkthaftung mit hohen Strafzahlungen, würde es noch langsamer gehen und wir vermutlich von allen Innovationen abgeschnitten sein.

    Wir müssen generell agiler werden, also vorbereitet sein um schneller reagieren zu können. Das hat nichts mit Überstunden oder unbezahlter 24/7-Arbeit zu tun sondern einfach mit der Gedankenlosigkeit der Kunden. Auch OpenBSD hatte remote exploits, so wie jedes Stück Software. Und wenn solche GAUs eintreten, muss man schnell reagieren und sie in der Betriebsplanung vorab antizipieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Atlas Copco IAS GmbH, Bretten
  2. Claranet GmbH, Frankfurt am Main
  3. Deutsche Rentenversicherung Bund, Berlin
  4. FLYERALARM Large Format Printing GmbH, Würzburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 285,71€ (Bestpreis!)
  2. (u. a. Surface Go ab 379,00€, Surface Pro 7 ab 764,00€, Surface Laptop 2 ab 999,00€)
  3. 21,00€ (Standard)/35,00€ (Gold)/42,00€ (Ultimate)
  4. 24,00€ (Ultimate)/12,00€ (Standard)/20,00€ (Gold)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

  1. Smartphones: Qualcomm nutzt RISC-V in Snapdragon-Chips
    Smartphones
    Qualcomm nutzt RISC-V in Snapdragon-Chips

    Einer der größten SoC-Entwickler setzt mittlerweile auf RISC-V: Qualcomm integriert Kerne mit der offenen Befehlssatzarchitektur für den Embedded-Einsatz in aktuellen und zukünftigen Snapdragon-Chips.

  2. Lenovo: Thinkpad-Firmware soll gegen defekte USB-Anschlüsse helfen
    Lenovo
    Thinkpad-Firmware soll gegen defekte USB-Anschlüsse helfen

    Viele Thinkpads haben offenbar fehlerhafte Controller, so dass nach einiger Zeit USB-Typ-C-Buchsen und Thunderbolt 3 ausfallen. Eine neue Firmware von Lenovo soll diesen Bug beheben. Eine große Anzahl an Geräten ist betroffen.

  3. Spaceway-1: Defekter US-Fernsehsatellit könnte explodieren
    Spaceway-1
    Defekter US-Fernsehsatellit könnte explodieren

    Der US-Satellitenbetreiber DirecTV hat bei der US-Regulierungsbehörde FCC eine Sondergenehmigung beantragt, um einen Satelliten unverzüglich aus seiner Umlaufbahn zu entfernen. Das irreguläre Manöver soll verhindern, dass der Satellit explodiert und zu Weltraumschrott wird.


  1. 15:12

  2. 14:34

  3. 14:12

  4. 13:47

  5. 13:25

  6. 13:12

  7. 12:49

  8. 12:01