IT-Probleme bei Metro nach Cyberangriff: Bleiben Regale in Metro-Filialen bald leer?

Sicherheit (Pexels, allgemeine Nutzung)[English]Wie stark beeinträchtigt der Cyberangriff auf die IT-Systeme des Gastro-Großhändlers Metro den Filialbetrieb? Seit vorigen Montag, den 17. Oktober 2022, hakt es bei der IT-Infrastruktur der Metro-Gruppe, was die Filialen weltweit betrifft. Diese sind offline, Warenwirtschaftssysteme sind nicht verfügbar, digitale Touchpoints streiken. Es könnte dazu kommen, dass sich die Regale in einzelnen Metro Filialen nicht mehr füllen lassen, weil die betreffenden Waren nicht geordert werden können.


Anzeige

Die Metro AG tut sich nach meinen Beobachtungen derzeit schwer, das aus einem Cyberangriff resultierende IT-Problem offensiv zu kommunizieren. Bekannt ist, dass es seit Montag, den 17. Oktober 2022, in den Metro-Filialen zu massiven Problemen mit der dortigen IT-Infrastruktur kommt. Die gesamte vergangene Woche war die IT-Infrastruktur in allen Metro Cash & Carry-Großmärkten für den Gastroeinkauf beeinträchtigt.

Cyberangriff auf Metro

Ich hatte ja im Blog-Beitrag Cyberangriff auf Metro oder nur IT-Problem? Österreich und Frankreich betroffen vom 20. Oktober 2022 über die IT-Probleme beim Metro-Konzern berichtet. Zu diesem Zeitpunkt lagen mir nur konkrete Berichte aus Frankreich und Österreich vor, ich vermutete aber, dass sich das Ganze auf alle Metro-Filialen weltweit bezieht. Dies wurde mir an deutschen Blog-Lesern aus eigener Erfahrung bestätigt – es war beispielsweise von Störungen an den Kassen die Rede. Ein Leser informierte mich über Facebook über Probleme mit dem E-Mail-System der Metro-Gruppe, die aber im Laufe der letzten Woche behoben worden seien. Eine Mitarbeiterin einer Metro-Filiale schrieb in einem Kommentar:

Nicht nur Österreich und Frankreich sind betroffen, sondern die Metro AG weltweit. Auch in Deutschland besteht seit letzten Montag das gleiche Problem. Es können keinerlei Bestände oder Preise im Laden mehr aktualisiert oder kontrolliert werden. Das Kassensystem funktioniert zwar noch aber auch schleppend, so dass lange Schlangen entstehen.
Will man digital etwas reservieren, funktioniert das ebenfalls nicht.

Ich bin selbst Mitarbeiterin einer Filiale. Daher bekomme ich das tagtäglich mit, wenn ich dort bin. Da gehen viele Umsätze flöten.

Es heißt zwar vereinzelt in Rückmeldungen von Benutzern, dass sich die Situation im Laufe der Woche leicht gebessert habe, aber gänzlich behoben ist das alles nicht. Metro-Sprecher negierten in Stellungnahmen bis zum 20. Oktober 2022 noch, dass die Probleme mit einem Cyberangriff zu tun hätten – es hieß: Man kenne die Ursache definitiv nicht.

Metro-Bestätigung des Cyberangriffs

Erst im Laufe des 20./21. Oktober 2022 gab es dann auf der Seite der Metro AG den obigen Hinweis auf einen Cyberangriff als Ursache – ich hatte dies im Blog-Beitrag  Metro Gruppe doch Opfer eines Cyberangriffs angesprochen. Inzwischen habe ich diesen Hinweis nicht mehr auf den Seiten der Metro AG gefunden (bis zum Samstag wurde er noch eingeblendet, wenn man auf den Seiten navigiert hat).

Metro IT-Probleme

Aktuell berichten aber Medien wie invidis oder heise, dass der Filialbetrieb in Metro-Großmärkten auf Grund des IT-Problems weiter eingeschränkt sei. Indivis schreibt in seinem heutige Artikel, dass elektronische Etiketten (ESL) in den Regalen veraltete Preise anzeigen und berichtet von unbrauchbaren digitalen Touchpoints. Die Filialen seien nach sechs Tagen immer noch offline, weil die zentralen IT-Systeme durch den Cyberangriff verschlüsselt worden seien (ein Hinweis auf einen erfolgreich Ransomware-Angriff, den die Metro AG meines Wissens so noch nicht kommuniziert hat).


Anzeige

Aktuell heißt es, wären die Märkte ohne Anbindung an Warenwirtschaftssysteme und andere ERP-Funktionen. Mitarbeiter müssten händisch die Zugangsberechtigung der Kunden mit Listen am Eingang abgleichen. Einkäufe bei Metro Großmärkten sind nur bei entsprechender Berechtigung möglich.

Aber das ist in meinen Augen zwar aufwändig und nervig, aber nicht das größte Problem. Wo es hakt, ist die Nachbestellung von gekauften Waren, die normalerweise automatisch an Hand der Kassenausgänge in die Warenwirtschaftssysteme gemeldet werden. Dieser Prozess ist seit Tagen gänzlich ausgefallen – bei invidis heißt es, dass die automatische Nachbestellung von Waren in der Filialen nicht mehr automatisiert möglich sei. Die Mitarbeiter müssen Wege finden, Waren zu ordern – da aber die IT-Systeme der Zentrale streiken, ist dies schwierig. Es drohen leere Regale, weil Waren abverkauft, aber nicht nachgeordert wurden.

Chaos herrscht wohl auch bei der digitale Preisauszeichnung (ESL) der Waren an den Regalen. Hier fehlt laut Medienberichten auch die Anbindung an die betreffenden Systeme, so dass die Preise nicht aktualisiert werden. Mal kurz ein Angebot im Markt per ESL anpreisen, geht nicht mehr – die Angebote werden wohl händisch am Regal markiert.

Probleme dürfte inzwischen auch die Buchhaltung der Metro AG sowie der Filialen haben, da die Fakturierung der Warenverkäufe nicht klappt. Rechnungsbeträge lassen sich nicht mehr per Lastschrift einziehen – heißt es hier. Hintergrund ist, dass die Filialen nicht feststellen können, ob die Kunden den Kreditrahmen ausgeschöpft haben. Es ist Barzahlung oder Zahlung mit Karte an den Kassenterminals notwendig – im Gastro-Gewerbe eine – nach meinen Beobachtungen – eher unübliche Abwicklung. Auch die Kassenprüfung am Ende einer Schicht scheint wohl nicht möglich.

Der Beitrag ist auch ein Versuch, herauszufinden, wie die Situation europaweit in den deutschsprachigen Filialen aktuell ist und ob es zu Engpässen kommt. Lassen sich die skizzierten IT-Probleme in den Metro-Filialen auch am heutigen Montag, den 24. Oktober 2022, noch bestätigen? Oder hat sich der Betrieb inzwischen normalisiert – die IT hatte ja ein weiteres Wochenende Zeit, das Problem zu beseitigen.

Der Fall zeigt, wie abhängig die Firmen von einer funktionierenden IT-Infrastruktur geworden sind. Die Metro-Gruppe hat die Digitalisierung recht weit getrieben (in den Endverbrauchermärkten, die ich frequentiere, ist kein ESL im Einsatz, aber ich sehe Mitarbeiter mit Tablets die Warenbestände kontrollieren und nachordern). Beim Gastro-Großhändler Metro ist dies, auch auf Grund des Warenumschlags, eher schwierig, die Digitalisierung eine große Erleichterung. Aber jetzt schlägt das Ganze heftig auf das Unternehmen zurück. Wie dieser Fall die wirtschaftliche Seite der Metro AG beeinträchtigt, wird man abwarten müssen. Der Vorfall dürfte sich aber bei Umsatz und Gewinn des Jahres 2022 bemerkbar machen.

Ergänzung: Über Twitter habe ich das Feedback, dass die Ransomware-Gruppe Alphv  / BlackCat bestreitet, in diesen Vorfall verwickelt zu sein.

Die Metro AG

Die Metro AG ist ein börsennotierter Konzern von Großhandelsunternehmen. Der Konzern mit Hauptsitz in Düsseldorf beschäftigt in 681 Märkten weltweit mehr als 95.000 Mitarbeiter, die meisten davon in Deutschland. In Deutschland betreibt das Unternehmen vor allem die Metro-Großhandelsmärkte. Der Umsatz liegt bei 24.8 Milliarden Euro (2020).

Ähnliche Artikel:
Cyberangriff auf Metro oder nur IT-Problem? Österreich und Frankreich betroffen
Metro Gruppe doch Opfer eines Cyberangriffs
IT-Probleme bei Metro nach Cyberangriff: Bleiben Regale in Metro-Filialen bald leer?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

36 Antworten zu IT-Probleme bei Metro nach Cyberangriff: Bleiben Regale in Metro-Filialen bald leer?

  1. mw sagt:

    "Der Fall zeigt, wie abhängig die Firmen von einer funktionierenden IT-Infrastruktur geworden sind."
    Das klingt stark nach: Ist Software, da kann man nichts machen. Der Fall zeigt eher, wie stark sich die Unternehmen in eine selbst gewählte Abhängigkeit ihrer Systeme begeben haben, ohne den Ausfall einzelner Systeme zu bedenken. Ein Inselbetrieb ist teilweise nicht mehr möglich. Ob jetzt eine Fakturierung online erfolgt oder die Daten auch per Batch und notfalls per Up/Download übertragen werden können, ist im Krisenfall von entscheidender Bedeutung. Prozesse sauber zu trennen und über Queues zu puffern ist kein Hexenwerk. Aber die ITler von heute gehen von totaler Verfügbar und unbegrenzter Leistung aus, wenn sie Systeme implementieren. Da wären dann eher die Old-School-Ingenieure gefragt, die verlässliche Systeme auch mit unzuverlässigen Einzelsystemen realisieren können. Elektronische Preisschilder können auch über lokale Systeme gepflegt werden, die per API oder bulk Download vom zentralen System aus versorgt werden. Nicht zu vergessen, die lokale Datenbank auch händisch ändern zu können. Es ist ein selbstgewählte Abhängigkeit und die jeweilige IT ist an den massiven Auswirkungen selbst schuld. Die Cyberaktivisten triggern da nur ein paar Ausfälle.

    • Paul sagt:

      UUCP rulez!

      (Ich glaube viele der jüngeren Lesenden hier werden den Hinweis nicht verstehen.)

      Zur Not könnte man die Daten auch per Datenträger (USB-Stick, DLT, DVD) und Bote austauschen. Die Roundtrip-Time wäre etwas grösser.
      Das wird die Software aber gewiss nicht können.

    • Andy sagt:

      Wer soll die Daten denn vor Ort in die Datenbank hämmern? Da sitzen Kaufleute und Mindestlohnkräfte, aber keine IT-Spezies. Klar, wäre das alles möglich … wenn es denn bezahlbar wäre! Es setzt ja kein Unternehmen eine qualifizierte (teure) Fachkraft in so einen Laden (die Metro hat alleine 102 Standorte in Deutschland, dazu kämen dann noch Überhangkräfte wegen Urlaub/Krankheit/Stelle nicht besetzt), damit er sich die Falten aus dem Sack kloppt. Was macht der IT'ler denn in der Zeit, in der alles läuft? Ware ins Regal stapeln? Unwahrscheinlich!

      Ich kann deinen Ansatz nachvollziehen, doch ist das alles andere als realistisch. Von bezahlbar ganz zu schweigen! Selbst wenn es nicht um Gewinnmaximierung ginge, würde sich das massiv auf die Preise für den Verbraucher auswirken.

      • Paul sagt:

        "Was macht der IT'ler denn in der Zeit, in der alles läuft?"

        Was macht er denn jetzt in dieser Zeit? :-)
        Ärgert User oder sich über Windows Updates?

        Ich sah bei einem Unternehmen mal in den Schreibtisch eines Admins:
        Oberste Schublade Schach, Mühle, Go etc. …

        Die waren nur dafür da, dass, wenn es brennt, das Zeugs wieder zum Laufen zu bringen, trotz zwei mal dreifacher Redundanz der Systeme (so man mir das erzählte).
        Ja, würde man heute wohl "systemkritische Infrastruktur" nennen.
        Ja, das ist halt nicht billig.

        Früher(tm) war es üblich das der Staat Möbel-/Kauf-häusern einen Zuschuß gab, damit sie diese so bauen, das da ganz schnell ein Lazarett oder Notunterkünfte eingerichtet werden konnten,
        z.B. mit entsprechenenden Sanitäreinrichtungen. Nach dem kalten Krieg hat man sich das gespart.
        Ist ja billiger so.

        Das eine was will und andere, was man muß…

        • M.D. sagt:

          | Ich sah bei einem Unternehmen mal in den
          | Schreibtischeines Admins:
          | Oberste Schublade Schach, Mühle, Go etc. …

          Sorry, aber solche Leute kannst Du in der Pfeife rauchen!
          Meine ehrliche Meinung.

          Die IT ist ein enorm weites Feld mit unglaublich schneller und dynamischer Entwicklung. Wer es da nicht schafft, sich mit Dingen zu beschäftigen, die dem Unternehmen oder der eigenen Weiterbildung in irgend einer Form dienlich sind – und wenn es das Erlernen einer (weiteren?) Programmiersprache ist – ist eine Fehlbesetzung.

          Oft sind es diese Leute, die genau dann, wenn es drauf ankommt, versagen.

          • Paul sagt:

            Nö, die waren durchaus fit und nahmen alles mit was es an Schulungen gab.
            Ich habe sie auch nie wirklich spielen sehen.

            Heute hat man ja Solitär…

            (Die hatten Unix…)

      • Paul sagt:

        Also ein Kaufmannischer Angestellter ist durchaus in der Lage ein Band einzulegen oder einen USB-Stick in einen bestimmten Port zu stecken. Da gibt es kein Problem.

        Etwas anderes ist, wenn das nicht funktioniert.
        Aber es ist halt bei Frage wie man seine Daten organisiert.
        Natürlich ist es einfacher und billiger alles in eine Datenbank bei AWS zu hauen, als sich ein verteiltes System auszudenken,
        das, zwar langsamer aber immerhin, auch ohne Zentrale oder Vernetzung noch etwas simmert. (Die Lager vorort versorgen ja auch die Bevölkerung ein zwei Tage weiter.)
        Das wollen wir alle nicht.
        Und einfach ist das nicht.

  2. Paul sagt:

    Ohne Warenwirtschaftssystem sind die tot.
    Waren sind ja schon längst bestellt, die LKWs und Container kommen und dann?
    Wo soll die Ware gelagert/geliefert werden?
    Was für Lagersysteme haben die?
    Laufe die noch?
    Sonst finden die ja auch da nix wieder.

    Das ist echt unschön, sehr positiv ausgedrückt.
    Zumal Gastromie-Betriebe oft bei Metro einkaufen…

    "Geht in Cloud sagten sie, da seit ihr sicher."
    "Vernetzt alles zentral, das ist billiger".
    "Kauft unseren Virenscanner"
    "Nehmt Windows"

    Das soll keine Hähne sein. Die tun mir wirklich leid.

  3. Paul sagt:

    Mal gefragt: Backup? Wie macht man bei einem so hoch dynamischen Datenbestand überhaupt Backup/Archivierung?

    Mir fiele da nur "Transaktions logs sicher dezentral speichern" ein.

    • 1ST1 sagt:

      "Mal gefragt: Backup? Wie macht man bei einem so hoch dynamischen Datenbestand überhaupt Backup/Archivierung?"

      Snapshot der VMs anlegen… Während dann die Backupsoftware den so eingefroreren Zustand sichert, laufen Änderungen in ein Delta-File, und wenn das Backup fertig ist, wird das Delta in das Plattenimage geschrieben. Auch diverse Datenbanken haben für so eine Funktion eine Schnittstelle.

      Das ist mit VMWare plus Veeam zum Beispiel ein Kinderspiel. Transaction-Logs zusätztlich sichern macht natürlich auch Sinn.

      • Christian Krause sagt:

        Hätte nur dich jemand Mal vorher gefragt.
        Ich habe vor 20 Jahren meine Ausbildung bei der Metro Digital, Pardon: Metronom, Pardon: Metro Systems, ich meine natürlich: MGI Metro Group Informationen Technologies gemacht und kenne auch heute noch eine Handvoll Leute die dort arbeiten.
        Das sind keine Vollidioten.
        Aber Mehrere 10.000 Geräte neu ausrollen kostet halt Zeit. CGM hat gut 3 Monate dafür gebraucht. nach 1,5 Monaten wurde der Notbetrieb zumindest eingestellt.
        Backup zurückspielen hilft nur, wenn man weiss, wie der Angriff erfolgte und ob das System nicht schon kompromittiert ist. das Risiko geht man i.d.r nicht ein, sondern holt nur die Daten vom Backup und installiert ansonsten neu.

        • Günter Born sagt:

          Danke für diese Einschätzung.

        • Singlethreaded sagt:

          Richtig. Außerdem muss man auch erst sicherstellen, dass die Daten selbst korrekt / plausibel sind. Fiese Angreifer haben schon Daten verändert, um so weitere Probleme zu erzeugen. Nur weil die Datenbank sagt, dass Niederlassung A 5000 Stück von Produkt 0815 benötigt, muss dies noch nicht richtig sein. Auch hier gilt es mit Bedacht zu agieren, um möglichst Manipulationen auszuschließen.

        • 1ST1 sagt:

          Die Frage war, wie macht man ein Backup von sowas, was man sich aufgrund rund um die Uhr erfolgender Lagerbewegungen nicht mal eben so für ein Backup anhalten kann.

          Aber ja, trotzdem benötigt man einen Restore der Daten. Sonst fängt man ja ganz von vorne an mit dem Eintippen der ganzen Waren, Warenbewegungen und Bestände an, inklusive der ganzen Historie die man für Lieferanten, Kunden und Behörden braucht. Man kann den Restore in einem separaten Netz machen und dazu nutzen, die Daten zu exportieren, um sie dann in der neuen Live-Umgebung wieder zu importieren.

        • 1ST1 sagt:

          Das Zauberwort heißt, dass man den Snapshot auch unzugänglich wegsichern muss. Ich meine, oben habe ich das erwähnt.

          Offenbar wissen einige hier garnicht, was ein Snapshop z.B. in VMWare/HyperV ist? Der Snapshot selbst ist noch keine Datensicherung. Erst wenn das gesnapshottete Backup auf Tape geschrieben wurde, ist es eins.

          • M.D. sagt:

            Snapshots – jedenfalls externe über den Hypervisor ausgeführte – sind bei gewissen Gästen und darin installierten Diensten oftmal aber nicht uneingeschränkt möglich, jedenfalls nicht das Snapshotten eines laufenden Systems. Exchange Server und SQL-Server sind solche Kandidaten, wo sowohl Microsoft als auch VMWare sagen, man soll es lieber bleiben lassen. Stattdessen sollen Agents zum Einsatz kommen, die direkt mit den Diensten kommunizieren. Einen Snapshot des gestoppten Gastes kann man natürlich immer machen.

      • Paul sagt:

        Achha. Aber wie oft soll denn so ein snapshot angelegt werden?
        Es muß ja jede Buchung erfasst werden.
        Wenn man alle 5 Minuten einen snapshot macht, was passiert mit den neuen Daten wenn das System in der 4. Minute nach dem letzten Snapshot genullt würde?
        und Wie bekomme ich die Terrabytes in ehrlicher Zeit an einen sicheren Ort? Schon einfachste Viren löschen erstmal alle Snapshots die sie erreichen können.
        Das klingt nicht so wirklich einfach.
        (irgendwann gab es doch den Fall das eine Bank div. Buchungen doppelt ausgeführt hatte. Das klang nach einem restore per transaktionslog)

        • 1ST1 sagt:

          Es ist immer noch besser einen Snapshot zu haben als wie garnichts. Die Zeit seit dem Snapshot kann man ja aus Transaktionsprotokollen wieder herstellen. Das geht deutlich schneller als wie wenn man die ganze 10 Jahre alte Historie aus Protokollen wieder herstellen muss.

          • Paul sagt:

            Es sind aber auch z.B. Abbuchungen und Bestellungen erfolgt. Da "einfach" das Transaktionlog, so es denn noch verfügbar ist, nochmal abspielen?

            Meist ist ein altes Backup besser als garkeines, stimmt.

  4. Christian Krause sagt:

    noch als Hinweis: die Metro hatte sich nach Kriegsbeginn zu ihren Russlandgeschäften bekannt, weil sie dort erheblich investiert ist. ich persönlich schliesse daher auch einen staatlichen oder politisch motivierten Angriff nicht aus. das ist jedoch meine höchstpersönliche Meinung und hat nichts mit meinen Metro Kontakten zu tun.

    • Gerold sagt:

      Wissen denn deine Kontakte bei Metro was da genau passiert ist?

      • Paul sagt:

        ich fürchte sie wissen es selbst noch nicht.
        Und wenn würden sie vermutlich nicht sagen, weil es evtl. Regressforderungen geben könnte.
        (Es kaufen dort viele Gewerbetreibende ein, die nicht so einfach wechseln können (vgl. Kreditwürdigkeit) …)

  5. Steter Tropfen sagt:

    Wenn's die ähnlich erwischt hat wie vor einem Monat die Caritas, sieht's aber düster aus: Habe heute früh mit einem der dort Betroffenen gesprochen. Der hat noch immer keinerlei IT! Alles gesperrt, ausgesteckt, einschalten streng verboten. Adressbücher, Mails, Kontakt mit Behörden, Formulare, Arbeitszeitkonto – unerreichbar. Wer kann, arbeitet mit seiner privaten Hardware.

    Dabei wurde der Presse gegenüber verlautbart, es sei alles nicht schlimm, der Arbeitsschwerpunkt läge schließlich nicht am Computer und man habe seine Daten regelmäßig gesichert.
    Datensicherung? Die darf nicht eingespielt werden, muss erst mühsam untersucht werden. Man weiß ja nicht, seit wann wo was verseucht ist. Kann ein Jahr dauern, bis wieder alles funktioniert. Dies kommuniziert die IT den Angestellten per WhatsApp-Message. Demnächst sollen die Leute provisorische Mailkonten bekommen – bei GMX! Man sieht: Die sind datenschutzmäßig dermaßen drauf…

    Aber wenn tausende idealistischer Leute im Sozial-/Pflegebereich so eine Situation tapfer gestemmt kriegen, dann wird ein Großhandelskonzern den Laden auch irgendwie schmeißen. Und hoffentlich lernen alle Unternehmen was dazu, bevor das ganze Land lahm darnieder liegt.
    Papierloses Büro – so wird es zum Albtraum.

  6. Paul sagt:

    Achha. Aber wie oft soll denn so ein snapshot angelegt werden?
    Es muß ja jede Buchung erfasst werden.
    Wenn man alle 5 Minuten einen snapshot macht, was passiert mit den neuen Daten wenn das System in der 4. Minute nach dem letzten Snapshot genullt würde?
    und Wie bekomme ich die Terrabytes in ehrlicher Zeit an einen sicheren Ort? Schon einfachste Viren löschen erstmal alle Snapshots die sie erreichen können.
    Das klingt nicht so wirklich einfach.
    (irgendwann gab es doch den Fall das eine Bank div. Buchungen doppelt ausgeführt hatte. Das klang nach einem restore per transaktionslog)

    • Jörg sagt:

      100% Backup gibt es nicht, aber besser ein Stand von vor einer Woche und den kram, sofern möglich, nachbuchen als wenn man bei 0 anfängt.

      Bei uns wäre auch der Verlust von 4-5h kritisch, da permanent Zeiten aus der Produktion zurückgemeldet werden, Rechnungen werden gebucht, Überweisungen werden getätigt usw., wenn es irgendwann mal "knallen" sollte, wird es auf jeden Fall ein erheblicher Mehraufwand für alle sein, auch wenn wir mehrfach am Tag sichern und regelmäßig Daten archivieren. Vorbeugen ist immer besser wie heilen.

      Wenn eine Trojaner oder Virus in der Lage ist, Snapshots zu löschen, sry, dann hat die Firma es nicht anders verdient und der Admin gehört angezeigt, wenn man nicht einmal eine grundlegende Systemtrennung vornimmt hat man es einfach nicht anders gewollt.

      VMWare / Hyper-V Host gehören definitiv NICHT in die Domäne und sind vom produktiven Netz technisch – am besten physikalisch – getrennt, das gilt auch für das Backup.

      • 1ST1 sagt:

        Doch, die gehören in eine Domäne, das sollte aber nicht die Produktiv-Domäne sein. Eine zentralisierte Rechteverwaltung macht immer Sinn, sonst fangen die Leute an mit nicht personalisierten Accounts und/oder Standardpasswörtern zu arbeiten.

        Admin-Tiering und Red-Forest ist hier das Stichwort.

        Und die gehören in separate VLANs, per richtiger Firewall (Cisco, Checkpoint, F5, …) abgeschottet.

      • Paul sagt:

        Wenn Du da die Richtigen Leute als Mietnomaden hast, werden die auch "-1"-Day-Exploits haben, die die System-Rechte von irgendwelchen kaputten Treiber nutzen…oder wie wie soll die Schattenkopie geschützt werden?

        Mei, bei Unix war es noch einfach:
        Wenn es da einen neuen User "toor" gab sollte man aufmerksam werden, wenn das System nicht komplett gerootet war.
        Hm, wann würde es bei Windows auffallen, wenn da ein User mit Adminrechten werkelt, ohne in der Admin-Gruppe zu sein?
        Das scheint wohl so nicht trivial zu sein oder trivial zu tarnen.

        • 1ST1 sagt:

          "Hm, wann würde es bei Windows auffallen, wenn da ein User mit Adminrechten werkelt, ohne in der Admin-Gruppe zu sein?"

          Das fällt bei einem gescheiten Monitoring schnell auf. Stichwort: "Verhaltensbasierte Analyse". Da gibts spezielle Software dafür, die KI-basiert arbeitet, schweineteuer, die behält das Anmeldeverhalten der User im Auge, beobachtet Aktivitäten im AD wie Gruppenmitgliedschaften, GPO-Änderungen, schaut, mit welchen Dateien der Benutzer so arbeitet, wo sind überhaupt sensible Daten und wer alles darf da zugreifen, welchen Netzwerktraffic einzelne Systeme verursachen usw., Teilweise unterstützt solche Software auch Azure-, AWS-Umgebungen, Sharepoint, Onedrive, Teams, Exchange(online), interne Wikis, Jira, Confluence, Proxy, Firewall, VPN, usw. und behält so alles im Blick. Und schlägt nach einer Lernphase von 1-2 Monaten bei ungewöhnlicher Aktivität Alarm. Aber es kommt einem halt drauf an, wieviel seine Daten oder einem Reputationsverlust einem wert sind, ob man sich sowas hinstellt, oder nicht.

          Schade finde ich, dass sich noch kein IT-Magazin oder Blog an dieses Thema heran gewagt hat. Letztes Jahr in der iX gab es mal was Richtung EDR, XDR usw., das war ganz gut als Überblick, aber das war mehr Endpoint-bezogen, als wie diese Systeme, die da quasi im Hintergrund als zweite Verteidigungslinie lauern. Ein paar dieser Anbieter habe ich schon finden können, aber eine Gesamtübersicht fehlt hier, und einen tiefen Einblick in die Arbeitsweise solcher Systeme erfährt man da leider auch nur aus Herstellerhand, nichts unabhängiges.

  7. Anonymous sagt:

    "Wenn die Cloud bzw. der Strom ausfällt" Starterset: Paar alte mechanische Registrierkassen, ein paar Preisschildchenaufkleberabroller, ein paar Säcke Bargeld.

  8. Paul sagt:

    "Admin-Tiering" (also mehrere Admin-Gruppen, eine total neue Idee) brachte folgendes Text:

    "Die Exchange Installation ohne "Active Directory Sicherheitsmodell" ist allerdings die Standardeinstellung"

    Noch irgendwelche Fragen woher das Problem kommt?
    Denn das ist nicht die einzige Stelle an der es MS mit der Sicherheit nicht so genau nimmt im Interesse eines besseren "Benutzer-Erlebnisses".

    • 1ST1 sagt:

      Naja, alleine auf MS-Empfehlungen sollte man sich halt nicht verlassen. Es gibt aber gute Sicherheitsexperten, die man für Beratung und Umsetzung engagieren kann, wenn man das selbst nicht kann.

  9. Karl sagt:

    Hach. Wie ist konnten wir blos hunderte Jahre ohne diese Systeme klar kommen. Als hätte es nie eine Gastro, diesdas, nie Großhändler gegeben.
    Kann es sein, dass das Problem eher systemisch ist und man es eventuell gar nicht gelöst bekäme, wenn man da immer mehr Technik drauf wirft? Das scheint mir alles eher konzeptuell falsch und alles andere als resilient.

    • JG sagt:

      "Wie ist konnten wir blos hunderte Jahre ohne diese Systeme klar kommen."

      Ohne Computerunterstützung geht heute nichts mehr. Bedenke auch, dass wir ein paar Mrd. Menschen auf der Erde sind. Mit Zettelwirtschaft wird man dies nicht mehr schaffen.

  10. Andreas Beer sagt:

    Schon mal dran gedacht, dass die armen IT-ler bei der Metro wahrscheinlich diejenigen waren, die immer vor einer solchen Situation gewarnt haben? Ich kenne keinen seriösen IT-ler, der die Ransomware Gefahr nicht realistisch einschätzt. Ich kenne aber ne Menge Menschen im mittleren Management, die das geflissentlich ignorieren. Das macht sich nicht gut in der Vita, "Geld zum Fenster rauszuschmeißen" für ne "fiktive Gefahr". Wenn es dann passiert, ist guter Rat teuer und alle fragen sich stirnrunzelnd, wie es dazu kommen konnte und gucken in Richtung der IT. Versteht mich nicht falsch, auch die IT macht Fehler, wie jeder andere auch, aber aus meinem Erfahrungsschatz kann ich berichten, dass es genauso sein kann, wie ich es gerade beschrieben habe. (Ich schreibe für einen Freund ;-))

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.