1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shitrix: Das Citrix-Desaster

IT nicht verstanden

  1. Thema

Neues Thema Ansicht wechseln


  1. IT nicht verstanden

    Autor: Miklagard 14.01.20 - 14:26

    Zitat: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

    Ich bin der Meinung das Leute die das nicht verstanden haben, sich heute nicht mehr Informatiker nennen dürfen.

    Wer einen Fehler findet darf ihn behalten

  2. Re: IT nicht verstanden

    Autor: Neonen 14.01.20 - 14:33

    Hat ja schon nichts mehr mit IT zu tun. Wenn ein Problem bekannt ist und ich die Produktion nachbessern kann um das Problem zu beheben, dann habe ich das gefälligst zu tun.

  3. Re: IT nicht verstanden

    Autor: Tpdene 14.01.20 - 14:46

    Da das in der Realität aber nicht passiert, müssen bessere Mechanismen her, sei es ein automatisches Update durch den Hersteller (der in dem Fall nicht was liefert). Bessere Lösungen wären wohl wünschenswert (z.b. bei Insolvenz) aber ich wüsste nicht, wie.

    Die Schuld auf den User zu schieben, ist aber zu einfach.

  4. Re: IT nicht verstanden

    Autor: Quantium40 14.01.20 - 15:13

    Miklagard schrieb:
    > Zitat: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und
    > man das entsprechende Produkt einsetzt, muss man sich darum zeitnah
    > kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht
    > geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

    Dummerweise gibt es genügend größere Firmen, bei denen alleine die Verträglichkeitstests der Patches mit ihrer Produktionsumgebung erheblich länger als nur einen Monat dauern können.
    Richtig lustig wird es, wenn Änderungen an der Softwareumgebung eine Rezertifizierung eines Prozesses oder einer Anlage erfordern. Dann steigt der Zeitbedarf bis zur Einsatzfreigabe erheblich.

    Gerade in Hinblick auf die inzwischen herstellerübergreifend ins Bodenlose gesunkene Qualität von Patches ist es durchaus nachvollziehbar, wenn es in den IT-Abteilungen Leute gibt, die sich scheuen, Patches sofort einzuspielen.
    Im Endeffekt ist das immer eine Risikoabwägung. Ist die Chance größer, dass man einen Produktionsausfall hat, wenn man den Patch einspielt oder wenn man den Patch nicht einspielt.

  5. Re: IT nicht verstanden

    Autor: chromax 14.01.20 - 15:15

    Tpdene schrieb:
    --------------------------------------------------------------------------------
    > Da das in der Realität aber nicht passiert, müssen bessere Mechanismen her,
    > sei es ein automatisches Update durch den Hersteller (der in dem Fall nicht
    > was liefert). Bessere Lösungen wären wohl wünschenswert (z.b. bei
    > Insolvenz) aber ich wüsste nicht, wie.
    >
    > Die Schuld auf den User zu schieben, ist aber zu einfach.

    Ja und nein, in der Realität werden die Admins diese Funktion abstellen, da es ein wenig Kontrollverlust bedeutet (Plötzlich geht was nicht mehr, irgendwo wurde ein fehlerhaftes Update automatisch installiert!?) und öffnet man mit so einem Prozess nicht auch eine Tür die missbraucht werden kann?

    Am Ende beginnt alles beim Geld, bei günstigen Hardwareanbietern gibts keinen Spielraum für Infrastruktur, bei gesparter, überforderter IT keine Zeit für Updates/Fortbildung etc.

    Das "Gute" ist, nach so ein paar Vollkatastrophen wird anders nachgedacht.

  6. Re: IT nicht verstanden

    Autor: apriori 14.01.20 - 17:21

    > Gerade in Hinblick auf die inzwischen herstellerübergreifend ins Bodenlose
    > gesunkene Qualität von Patches ist es durchaus nachvollziehbar, wenn es in
    > den IT-Abteilungen Leute gibt, die sich scheuen, Patches sofort
    > einzuspielen.
    Ist ja auch kein Wunder. Niemand fragt sich ja eventuell, wieso überhaupt ein Patch erforderlich war. Es wurde vorher was vergeigt. Und Patches sind letztlich ebenso Software. Somit kann man einen endlosen Kreislauf des Vergeigens erschaffen.

  7. Re: IT nicht verstanden

    Autor: tomatentee 14.01.20 - 17:22

    Das ist die unter anderen vom CCC seit langem geforderte Produkthaftung für Software.

  8. Re: IT nicht verstanden

    Autor: Bouncy 14.01.20 - 17:28

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Im Endeffekt ist das immer eine Risikoabwägung. Ist die Chance größer, dass
    > man einen Produktionsausfall hat, wenn man den Patch einspielt oder wenn
    > man den Patch nicht einspielt.
    Naja das verschiebt ja nur die Quelle des Versagens - dann war jemand vielleicht kompetent genug die Notwendigkeit des Patches zu erkennen, kam aber zum falschen Schluß. Ist so gesehen immernoch ein Versagen, die Person kann Bedrohungslagen nicht einschätzen...

  9. Re: IT nicht verstanden

    Autor: derdiedas 14.01.20 - 19:26

    Fakt ist das Du IT Sicherheit nicht verstanden hast.

    Wenn Sicherheitslücken und deren Behebung Basis deiner IT Security ist, ist Dein Konzept von sich aus schon zum Scheitern verurteilt.

    Die IT muss so aufgebaut sein das sie mit Fehlerhafter Software rechnet und dies in Ihr Konzept mit zusätzlichen Maßnahmen so mitregiert, das ein schwerwiegender Bug an einer Stelle keine gravierenden oder zumindest stark reduzierte Auswirkungen hat.

    Gruß DDD

  10. Re: IT nicht verstanden

    Autor: Avarion 14.01.20 - 20:52

    Dann bleibt entweder man überarbeitet seine Prozesse damit es nicht mehr so lange dauert oder man sorgt dafür das verwundbare Systeme nicht erreichbar sind.

    Zertifizierungen nach BSI sehen auch vor das Schwachstellen innerhalb einer bestimmten Zeit gepatched werden oder man Schritte unternommen hat das Ausnutzen dieser Lücken zu verhindern. Da hilft auch kein "Aber wir mussten noch testen" falls was schiefgeht. Dann ist die schöne Zertifizierung weg. Und manchmal hängt daran das eigene Geschäftsmodell.

  11. Re: IT nicht verstanden

    Autor: djslimer 15.01.20 - 01:11

    Tpdene schrieb:
    --------------------------------------------------------------------------------
    > Da das in der Realität aber nicht passiert, müssen bessere Mechanismen her,
    > sei es ein automatisches Update durch den Hersteller (der in dem Fall nicht
    > was liefert). Bessere Lösungen wären wohl wünschenswert (z.b. bei
    > Insolvenz) aber ich wüsste nicht, wie.
    >
    > Die Schuld auf den User zu schieben, ist aber zu einfach.

    Das hat nichts mit dem User zu tun. Die Admins sind gefragt. Und in einem solchen Fall müssen sie halt notfalls aus dem Urlaub raus, und wenn es nur darum geht, den betroffenen Dienst abzuschalten.

    Automatisierte Updates wird es hier nicht geben und nicht geben werden. Die IT ist relativ komplex (mehrere Größenordnungen komplexer als ein PC) Änderungen an einem System, zumal an so einem zentralen, können (nicht müssen) Einflüsse auf andere Systeme haben. Vor einem Update muss das auf einem Testsystem untersucht werden. Erst dann wird ein verantwortungsvoller Admins das Update aufspielen.
    Stell dir vor, durch das Update ändern sich die Schlüssel der Festplatten-Verschlüsselung, da die veröffentlicht wurden oder nicht mehr sicher sind. Ohne Migration der Daten sind plötzlich alle Daten verloren und die Firma kann dicht machen.

  12. Re: IT nicht verstanden

    Autor: divStar 15.01.20 - 01:43

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Die IT muss so aufgebaut sein das sie mit Fehlerhafter Software rechnet und
    > dies in Ihr Konzept mit zusätzlichen Maßnahmen so mitregiert, das ein
    > schwerwiegender Bug an einer Stelle keine gravierenden oder zumindest stark
    > reduzierte Auswirkungen hat.
    Das hört sich nach einer wunderbaren Utopie an. Die Realität ist, dass viele Administratoren damit überfordert wären - einfach weil man z.B. in Windows 10 nicht den gesamten Traffic kontrollieren kann (Danke, Microsoft...). Wenn jetzt ein ernstzunehmender Bug in der Telemetriefunktion in Windows 10 auftaucht (oder in z.B. Cisco-Routern und -switches), will ich sehen wie man so etwas absichert oder unerreichbar macht.

    Ich glaube die Theorien von IT-Sicherheit kennt jeder Entwickler und Admin. Zur Umsetzung gehört aber fachliches wie technisches Know-how und Zeit. Und beides gibt es oftmals in einer viel zu geringen Anzahl.

    Schwerwiegende Bugs sind nicht umsonst schwerwiegend.

  13. Re: IT nicht verstanden

    Autor: Snoozel 15.01.20 - 07:45

    Dort gibt es in der Regel keine Sysadmins. Wenn überhaupt gibt einen Helpdesk-Mitarbeiter der als Feuerlöscher rum rennt. Turnschuhadmin.
    Der Rest wird extern vergeben - und das nur wenn was kaputt ist oder gerade ein Austausch ansteht. Nicht für normale Wartung.
    Du kannst auch davon ausgehen dass die meisten dort eingesetzten Switche, Router, Accesspoints, Drucker etc. nie auch nur ein Update bekommen haben.

  14. Re: IT nicht verstanden

    Autor: AynRandHatteRecht 15.01.20 - 09:03

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Das ist die unter anderen vom CCC seit langem geforderte Produkthaftung für
    > Software.


    Die auch blödsinnig ist, denn Software ist kein statisches Produkt. Laufend verändern sich die Anforderungen und die Laufzeitumgebungen (Hardware, OS), sodass Anpassungen notwendig sind. "reift beim Kunden" ist kein Malus sondern schlicht Just-in-Time-Delivery.

    Hätten wir eine Produkthaftung mit hohen Strafzahlungen, würde es noch langsamer gehen und wir vermutlich von allen Innovationen abgeschnitten sein.

    Wir müssen generell agiler werden, also vorbereitet sein um schneller reagieren zu können. Das hat nichts mit Überstunden oder unbezahlter 24/7-Arbeit zu tun sondern einfach mit der Gedankenlosigkeit der Kunden. Auch OpenBSD hatte remote exploits, so wie jedes Stück Software. Und wenn solche GAUs eintreten, muss man schnell reagieren und sie in der Betriebsplanung vorab antizipieren.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Janz Tec AG, Paderborn
  2. Continental AG, Hamburg
  3. Schwarz Dienstleistung KG, Raum Neckarsulm
  4. Bechtle AG, Düsseldorf, Krefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektroautos EU-Kommission billigt höheren Umweltbonus
  2. Elektroauto Jaguar muss I-Pace-Produktion mangels Akkus pausieren
  3. 900 Volt Lucid stellt Serienversion seines Luxus-Elektroautos vor

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

  1. Open RAN: Deutsche Telekom entwirft O-RAN-Antenne mit Intel und VMware
    Open RAN
    Deutsche Telekom entwirft O-RAN-Antenne mit Intel und VMware

    Mit Software wird die Effizienz eines LTE-Funknetzes verdoppelt. Das Modell funktioniert bisher nur in Labortests, Partner der Deutschen Telekom sind die US-Konzerne VMware und Intel.

  2. Behördenwebseiten: Corona-Informationen laden nur langsam
    Behördenwebseiten
    Corona-Informationen laden nur langsam

    Viele Bürger wollen sich zur Zeit bei Behörden über die aktuellen Coronavirus-Erkrankungen informieren. Doch wer sich beim Gesundheitsministerium, beim Robert-Koch-Institut oder bei anderen Verantwortlichen erkundigen will, stellt fest: Deren Webseiten laden nur langsam und teilweise gar nicht.

  3. Project G.G.: Epische Action mit Hund und Held
    Project G.G.
    Epische Action mit Hund und Held

    Das Entwicklerstudio Platinum Games hat nach The Wonderful 101 die zweite von vier geplanten Neuheiten vorgestellt. Das Spiel trägt den Arbeitstitel Project G.G. und setzt offenbar auf epische Action - und einen Vierbeiner.


  1. 18:47

  2. 17:27

  3. 17:11

  4. 16:48

  5. 16:25

  6. 16:03

  7. 15:31

  8. 15:10