[o1] upLinK|noW
am 11.03. 20:21
+1
-1
Das BSI hat ja am 03.03.2021 wieder mal so eine Sicherheitswarnung ausgegeben.
Am 10.03.2021 hat das BSI dann aktiv bei Firmen angerufen. Mitunter aber nur die, von denen man glaubt, dass diese Betroffen sind, sprich kompromittiert wurden.
Fragt sich, warum das BSI jetzt eine Woche mit dem Anrufen gewartet hat...
Am 10.03.2021 hat das BSI dann aktiv bei Firmen angerufen. Mitunter aber nur die, von denen man glaubt, dass diese Betroffen sind, sprich kompromittiert wurden.
Fragt sich, warum das BSI jetzt eine Woche mit dem Anrufen gewartet hat...
@upLinK|noW: Wen und wieso soll man denn bei Bekanntwerden einer Lücke auch anrufen? Man weiß doch zu dem Zeitpunkt nur, dass die Lücke existiert, aber hat noch keine Ahnung, wer komoromittiert wurde. Das liegt doch in der Natur der Sache, dass das Ausmaß der Betroffenen erst in den nächsten Tagen langsam eintrudelt.
@mh0001: Das BSI spricht in seiner Sicherheitswarnung von Angriffen ab 26.02.2021. Bei einem Bekannten gab es in der Firma am 01.03.2021 mehrere Zugriffsversuche.
Das BSI muss nicht das Ausmaß der Betroffenen abwarten. Es hat u.a. von den Firmen die bei denen registriert sind, einen Ansprechpartner. Den kann man sofort kontaktieren.
Wenn man also darauf wartet, bis die Zahl der Betroffenen nach oben geschnellt ist, braucht man auch keinen mehr kontaktieren. In Neuland ist teils schon ein Tag, wenn nicht gar wenige Stunden, tödlich!
Das BSI muss nicht das Ausmaß der Betroffenen abwarten. Es hat u.a. von den Firmen die bei denen registriert sind, einen Ansprechpartner. Den kann man sofort kontaktieren.
Wenn man also darauf wartet, bis die Zahl der Betroffenen nach oben geschnellt ist, braucht man auch keinen mehr kontaktieren. In Neuland ist teils schon ein Tag, wenn nicht gar wenige Stunden, tödlich!
@upLinK|noW:
Und ich frage mich , warum das BSI nicht sofort bei bekanntwerden des Problems seine Special-Forces-Teams losgeschickt hat und jeden betroffenen Server in Deutschland sofort gepatcht hat. ;)
Aber jetzt mal Spaß beiseite.
Als Verantwortlicher für ein IT-System sollte ich mich schon regelmäßig über bekanntgewordene Sicherheitslücken Informieren.
Das BSI hat eine Warnung herausgegeben, was aber scheinbar so gut wie niemanden veranlasst hat die eigenen Systeme zu überprüfen oder anderweitig darauf zu reagieren.
Dass das BSI dann den Firmen schon hinterhertelefoniert und auf das Problem aufmerksam macht ist aus meiner Sicht schon ein extrem guter Service.
Ich finde es also als wenig gerechtfertigt jetzt dem BSI einen Vorwurf zu machen.
Und ich frage mich , warum das BSI nicht sofort bei bekanntwerden des Problems seine Special-Forces-Teams losgeschickt hat und jeden betroffenen Server in Deutschland sofort gepatcht hat. ;)
Aber jetzt mal Spaß beiseite.
Als Verantwortlicher für ein IT-System sollte ich mich schon regelmäßig über bekanntgewordene Sicherheitslücken Informieren.
Das BSI hat eine Warnung herausgegeben, was aber scheinbar so gut wie niemanden veranlasst hat die eigenen Systeme zu überprüfen oder anderweitig darauf zu reagieren.
Dass das BSI dann den Firmen schon hinterhertelefoniert und auf das Problem aufmerksam macht ist aus meiner Sicht schon ein extrem guter Service.
Ich finde es also als wenig gerechtfertigt jetzt dem BSI einen Vorwurf zu machen.
@Norbie E.: Dem BSI kann man gewiss etwas vorwerfen... die können scheinbar nicht wirklich Prioritäten setzen:
1) Die Sicherheitswarnungen werden vom BSI üblicherweise gegen Feierabend (des BSI-Mitarbeiters?!) gegen 17:45 Uhr, wenn nicht sogar erst kurz nach 18:00 Uhr per E-Mail an die registrierten Ansprechpartner versendet.
2) Lageberichte, in denen grundsätzlich nur geheule darüber drin steht, wie schlimm es denn derzeit in Deutschland aussieht, sendet das BSI kurz nach der Mittagszeit.
P.S. Das mag sicher eine "besondere Situation" sein, ich möchte aber noch klar stellen, dass nicht jede Sicherheitswarnung des BSI zu unmöglichen Zeiten eintrudelt. Das sind dann aber meist die Sicherheitswarnungen für Nischen-Produkte etwaiger Branchen wo Automatisierungs-/Steuerungstechnik im Einsatz ist.
1) Die Sicherheitswarnungen werden vom BSI üblicherweise gegen Feierabend (des BSI-Mitarbeiters?!) gegen 17:45 Uhr, wenn nicht sogar erst kurz nach 18:00 Uhr per E-Mail an die registrierten Ansprechpartner versendet.
2) Lageberichte, in denen grundsätzlich nur geheule darüber drin steht, wie schlimm es denn derzeit in Deutschland aussieht, sendet das BSI kurz nach der Mittagszeit.
P.S. Das mag sicher eine "besondere Situation" sein, ich möchte aber noch klar stellen, dass nicht jede Sicherheitswarnung des BSI zu unmöglichen Zeiten eintrudelt. Das sind dann aber meist die Sicherheitswarnungen für Nischen-Produkte etwaiger Branchen wo Automatisierungs-/Steuerungstechnik im Einsatz ist.
@upLinK|noW: Über die internen Arbeitsabläufe beim BSI habe ich keine Kenntnis und möchte da auch nicht spekulieren.
Ich glaube aber nicht , dass es jetzt einen großen Unterschied macht ob die Warnung um 8:00 Uhr morgens, zum Mittag oder um 17:00 Uhr herausgegeben wird.
Selbst ein motivierter IT-Verantwortlicher wird nicht im Stundentakt nach solchen Meldungen Ausschau halten und dann sofort alles stehen und liegen lassen um den neuesten Patch einzuspielen.
Der wird diese Meldung irgendwann lesen, dann eine Risikobewertung durchführen und den Patch (falls denn schon einer verfügbar ist) in einer Testumgebung auf Inkompatibilitäten prüfen, bevor er ihn ins Produktivsystem einspielt.
Unter Umständen muss das ja auch innerhalb der Firma noch mit anderen Abteilungen abgestimmt werden.
Es wird also immer noch einen größeren Zeitverzug zwischen Bekanntgabe durch das BSI und entsprechenden Gegenmaßnahmen geben.
Bei großen Firmen und kritischen IT-Systemen gehe ich zudem davon aus, dass die IT 24/7 handlungsfähig ist und somit die Uhrzeit der Bekanntgabe gar keine Rolle spielen dürfte.
Ich glaube aber nicht , dass es jetzt einen großen Unterschied macht ob die Warnung um 8:00 Uhr morgens, zum Mittag oder um 17:00 Uhr herausgegeben wird.
Selbst ein motivierter IT-Verantwortlicher wird nicht im Stundentakt nach solchen Meldungen Ausschau halten und dann sofort alles stehen und liegen lassen um den neuesten Patch einzuspielen.
Der wird diese Meldung irgendwann lesen, dann eine Risikobewertung durchführen und den Patch (falls denn schon einer verfügbar ist) in einer Testumgebung auf Inkompatibilitäten prüfen, bevor er ihn ins Produktivsystem einspielt.
Unter Umständen muss das ja auch innerhalb der Firma noch mit anderen Abteilungen abgestimmt werden.
Es wird also immer noch einen größeren Zeitverzug zwischen Bekanntgabe durch das BSI und entsprechenden Gegenmaßnahmen geben.
Bei großen Firmen und kritischen IT-Systemen gehe ich zudem davon aus, dass die IT 24/7 handlungsfähig ist und somit die Uhrzeit der Bekanntgabe gar keine Rolle spielen dürfte.
@Norbie E.: Du hast natürlich vollkommen Recht... Der IT-Verantwortliche und der Chef diskutieren erstmal zwei Wochen, wie man denn jetzt das einspielen machen solle...
Der motivierte IT-Verantwortliche wägt in einem solchen Fall ab und entscheidet, dass er lieber ca. 3 Stunden Downtime für Update, anstelle von Kompromittierung, in Kauf nimmt! Vorher informiert er, dass es jetzt halt mal keine E-Mails zur Verfügung stehen.
Uuuhhh, die Welt geht unter, weil keine E-Mails verfügbar sind. Diese Denkweise ist in deutschen Firmen, und gewiss auch anderswo, zu Hauf anzutreffen!!
Und es sind eben nicht nur große Firmen betroffen.
Der motivierte IT-Verantwortliche wägt in einem solchen Fall ab und entscheidet, dass er lieber ca. 3 Stunden Downtime für Update, anstelle von Kompromittierung, in Kauf nimmt! Vorher informiert er, dass es jetzt halt mal keine E-Mails zur Verfügung stehen.
Uuuhhh, die Welt geht unter, weil keine E-Mails verfügbar sind. Diese Denkweise ist in deutschen Firmen, und gewiss auch anderswo, zu Hauf anzutreffen!!
Und es sind eben nicht nur große Firmen betroffen.
@upLinK|noW: Nein, das die erst mal 2 Wochen Diskutieren habe ich nicht behauptet.
Es ging um Deine Kritik, dass Warnmeldungen z.T. erst gegen "Dienstschluss" herausgegeben werden und darum, dass ich das nicht für so kritisch halte.
Aber das schöne ist ja, dass wir da durchaus unterschiedlicher Meinung sein können und sich die Welt trotzdem weiterdreht.
Es ging um Deine Kritik, dass Warnmeldungen z.T. erst gegen "Dienstschluss" herausgegeben werden und darum, dass ich das nicht für so kritisch halte.
Aber das schöne ist ja, dass wir da durchaus unterschiedlicher Meinung sein können und sich die Welt trotzdem weiterdreht.
@upLinK|noW: Nennt sich vermutlich so: MS bzw deren sagenhafter Kundenfreundlichkeit ne allerletzte Chance einräumen ?
Also, dass Microsoft, oder jeder andere Hersteller.. nicht sofort den Panikknopf drückt, wenn jemand so einen Bug meldet, kann ich voll und ganz verstehen.
Als Hersteller würde ich auch die Info erst verifizieren wollen, ob das stimmt, wie es ausgenutzt werden kann, was die Folgen sind. Wenn die Meldung eine Finte wäre und Microsoft Panik machen täte.. und hinterher zurückruder "oh ne.. doch alles OK".. würde hinterher auch wieder ein Winfureartikel hier stehen und Microsoft kritisieren, dass es für Panik und Aufwände beim Kunden gesorgt hat.
Damit will ich jetzt aber keinen Zeitraum von Wochen wegreden. Wobei man da auch nur richtig drüber urteilen könnte, wenn man wüsste womit Microsoft diese Zeit verbracht hat.
Als Hersteller würde ich auch die Info erst verifizieren wollen, ob das stimmt, wie es ausgenutzt werden kann, was die Folgen sind. Wenn die Meldung eine Finte wäre und Microsoft Panik machen täte.. und hinterher zurückruder "oh ne.. doch alles OK".. würde hinterher auch wieder ein Winfureartikel hier stehen und Microsoft kritisieren, dass es für Panik und Aufwände beim Kunden gesorgt hat.
Damit will ich jetzt aber keinen Zeitraum von Wochen wegreden. Wobei man da auch nur richtig drüber urteilen könnte, wenn man wüsste womit Microsoft diese Zeit verbracht hat.
@tueftler42: wahrscheinlich bei der NSA und der CIA nachfragen ob die Lücke gerade in Benutzung ist.
@tueftler42: Guter Einwand. Ein mit heißer Nadel gestrickter Schnellpatch mag vielleicht in vielen Fällen funktionieren, aber andere Firmen, die auf dem Exchangeserver einen anderen Antivirus, irgendwelche Exchange-Plugins oder sonstwas verwenden, legt man mit einem Update vielleicht die Exchangelandschaft lahm, weil der Patch vielleicht zu den Erweiterungen nicht kompatibel ist. So ein Patch für so ein kritisches Infrastrukturesystem wie ein Exchangeserver will guuuut durchgetestet werdem. Was passiert, wenn man das nicht tut, kann man aktruell an den Bluescreenproblemen von Windows beim Druck auf Kyocera-Drucker beobachten. Da wurde offensichtlich nicht genug getestet.
Aber, stimmt schon, eine Warnung, dass man OWA derzeit aus Sicherheitsgründen nicht direkt im Internet erreichbar machen sollte, bis Patch da ist, das wäre schon im Januar sehr sehr sinnvoll gewesen! Dann hätten zwar ein paar Außendienstmitarbeiter, die ihre Mails auf dem Handy lesen, geärgert, aber dafür hätte die IT sicher eine Lösung finden können.
Aber, stimmt schon, eine Warnung, dass man OWA derzeit aus Sicherheitsgründen nicht direkt im Internet erreichbar machen sollte, bis Patch da ist, das wäre schon im Januar sehr sehr sinnvoll gewesen! Dann hätten zwar ein paar Außendienstmitarbeiter, die ihre Mails auf dem Handy lesen, geärgert, aber dafür hätte die IT sicher eine Lösung finden können.
Dabei sollte man nach wie vor nicht vergessen, dass die aktuelle Alarmstufe-Rot-Infektionswelle grassiert, während es den Patch gibt, schlussendlich sind also faule Admins oder Chefs, die die IT nicht arbeiten lassen, schuld.
@Kirill: letzteres ist seit Corona extrem problematisch geworden. Mit der steigenden Anzahl von Home-Office muß man sich schon entschuldigen, wenn man Sonntags 3 Uhr einen Server neustartet. Da ist das Patchen eines Exchange ausserhalb des genehmigten wöchentlichen Wartungsfensters fast ein Abmahngrund.
@Roehre: dann ist der Oberchef ein dummes Arschloch. Jemand, der nicht hirntot ist, würde es begrüßen, wenn die IT-Abteilung Patches zeitnah einspielt. Bei uns in der Firma übrigens wird konstant gepatcht (jedenfalls gingen die letzten großen Infektionswellen komlett an uns vorbei), ohne dass es jemandem auffällt, das ist also machbar. Meines Wissens nach kann man alles, was nicht der Domain-Controller ist spiegeln, den Spiegel patchen und dann nahtlos austauschen. Könnte man alles machen, wenn der Drogenkonsum in der Firma ausbleibt.
@Kirill: Inzwischen gibt es schon mindestens 10 Ramsomwaregangs die über diese Lücken Exchangeserver verschlüsseln.
@Kirill: Leider gibt es da draußen unglaublich viele Firmen, die zwar einen eigenen Exchange betreiben, aber keinen eigenen Admin im Haus haben und sich stattdessen an einen Dienstleister binden. Das ist letzten Endes ja auch vollkommen in Ordnung, da es in der Regel in kleineren Firmen für einen dedizierten Admin nicht genug Arbeit gibt. Und niemand möchte einen Admin, der im Hauptberuf Hausmeister, Reinigungskraft oder dergleichen ist. Das Problem bei der ganzen Sache ist, dass es in Ausnahmesituationen wie dieser bei den angebundenen Dienstleistern dann natürlich innerhalb kürzester Zeit unglaublich viel zu tun gibt, denn die meisten Dienstleister haben eben mehr als nur einen Kunden. Das sehe ich bei uns in der Firma, die wir auch sehr viele dieser kleineren Kunden betreuen. Die Jungs und Mädels in den entsprechenden Abteilungen sind gerade schwer am rotieren und schieben gerade die Überstunden ihres Lebens, aber irgendwann müssen die auch mal schlafen und was essen. Es hat also nicht immer was mit faulen oder unfähigen Admins oder Chefs zu tun.
@Mordy: In so einem Fall sollte man sich den Vertrag mit dem Dienstleister genau durchlesen. Wenn im Vertrag steht "Der Dienstleister tut, was nötig ist", dann passieren ungepatchte Lücken nicht. Wenn im Vertrag steht "Der Dienstleister kümmert sich drum, wenn es ihm grad passt", kündigt man den Vertrag und unterschreibt bei einem kompetenten Dienstleister. Wenn beim kompetenten Dienstleister gerade Hochaction herrscht, dann heuert man temporär Leute an. Bei uns in der Firma geht es zurzeit auch heiß zu. Lösung: paar Externe Fachkräfte holen, bis die akute Phase abgeklungen ist. Das ist alles ein lösbares Problem, wird bei uns gemacht. Zumal eine aktuell ungepatchte Sicherheitslücke, für die es aber einen Patch gibt, ein Standardproblem ist. Soll heißen ein Mal schripten, 3 Mal testen, für alle Kunden Script ausrollen (wenn man nicht denn schon vorher per Automatik den Patch eingespielt hat, was man eigentlich sollte). Da ist es net nötig, den Server eines jeden einzelnen Kunden manuell anzufassen.
@Kirill: Externe Fachkräfte holen schön und gut. Erstmal jemanden finden, der nicht schon mit dem Thema ausgelastet ist. Wir kriegen auch schon Anfragen von anderen Dienstleistern, ob wir jemanden über haben. Und "tun, was nötig ist" ist auch so eine Sache. Es gibt tatsächlich Kunden, die möglichst wenig Geld ausgeben wollen oder können und dann eben das "Service-Sparpaket" nehmen. Da sehen die SLAs und dergleichen dann leider auch etwas anders aus als bei den teureren Pakten und dementsprechend müssen da leider auch Prioritäten gesetzt werden.
Wo findet man die Patch-versionen vom 10.3.? Irgendwie bin ich gerade blind, hab nur die vom 2.3.2021 und die sind ja längst eingespielt.