Das IT-Desaster 2023 in deutschen Behörden an 3 Fällen gespiegelt

Sicherheit (Pexels, allgemeine Nutzung)Es hakt bei der Digitalisierung in Ministerien und Behörden in Deutschland. Projekte verzögern sich oder scheitern, oder werden um ein vielfaches teurer als angenommen. Es ist wohl Konsens, dass deutsche Behörden sich schwer tun mit dieser Digitalisierung. Allerorten hört man, dass das "schneller mit der Digitalisierung von Dienstleistungen gehen muss". Dabei bin ich mir nicht sicher, ob das nicht ein Glücksfall ist, dass die Digitalisierung nicht voran kommt. Zumindest wenn ich das Thema von der Sicherheitsseite betrachte. In den letzten Tagen sind mir gleich drei Fälle unter die Augen gekommen, die das Desaster bei der IT in deutschen Behörden perfekt spiegeln.


Anzeige

Die Tage ist mit der INSM Behörden-Digimeter per Information an die Presse zugegangen. Die Bilanz nach fünf Jahren Onlinezugangsgesetz (OZG) ist bitter: Lediglich 105 statt 575 Leistungen werden online angeboten.

Statt wie 2017 beschlossen, bis zum Jahresende 2022 575 Leistungen und Behördenvorgänge bundesweit online verfügbar zu haben, sind es aktuell nur 105. Sogar der im vergangenen Jahr nachgelegte „OZG-Booster" kam nicht ans Ziel. Mit dessen Hilfe sollen bis 31. Dezember wenigsten 115 besonders wichtige und bürgernahe Leistungen verfügbar gemacht werden. „

"Platz im europaweiten E-Government zu verbessern. Bei den digitalen öffentlichen Diensten steht Deutschland in der EU in der aktuellen Erhebung auf Rang 18 und schneidet hiermit nach wie vor unterdurchschnittlich ab", so der Bürokratieexperte des Instituts der deutschen Wirtschaft (IW), Dr. Klaus-Heiner Röhl, im aktuellen Behörden-Digimeter der Initiative Neue Soziale Marktwirtschaft (INSM).

Die nächste digitale Herausforderung steht bevor: Die EU will ein einheitliches digitales Zugangstor zur Verwaltung schaffen. Der Weg zum sogenannten Single Digital Gateway sieht vor, dass bis Ende 2023 europaweit 75 Leistungen der öffentlichen Verwaltung über ein einziges Portal zu finden sein müssen. Auch dieses Ziel wird Deutschland sehr wahrscheinlich verfehlen. Der aktuellern Stand des Behörden-Digimeters findet sich auf www.insm.de.

Berlins Verwaltung nutzt ungepatchte Server

Die erste Meldung, die mir Ende Januar 2023 ins Auge sprang, stammt von Golem (siehe folgender Tweet) und besagt, dass die Berliner Verwaltung noch Windows Server einsetzt, die keine Sicherheitsupdates mehr bekommen.

Berlins Verwaltung nutzt ungepatchte Server

Laut diesem Artikel sind wohl noch Windows Server 2008 R2 im Einsatz, die am 10. Januar 2023 aus dem ESU-Support herausgefallen sind. Der Landesbevollmächtigte für Informationssicherheit, Klaus-Peter Waniek, hat wohl am 13. Januar 2023 ein Schreiben verschickt, in dem er auf das Supportende des Betriebssystems hinweist. Dort heißt es: "Der Weiterbetrieb [der Server] ist im Sinne einer Schwachstelle mit höchster Kritikalität zu bewerten." Ein Wechsel auf eine laut den geltenden Vorschriften des Landes zulässige Systemversion sei "unverzüglich erforderlich".

Waniek forderte von den Senatsverwaltungen für Bildung, Justiz und Kultur sowie den Bezirksämtern von Lichtenberg, Marzahn-Hellersdorf und Charlottenburg-Wilmersdorf die "Ablösung der veralteten Systeme zur Vermeidung einer Eskalation dieses IKT-Sicherheitsvorfalles". Laut Innenverwaltung sei der Austausch der Server bereits längerfristig begonnen worden, es gab aber Verzögerungen, weshalb die Kisten noch laufen müssen.


Anzeige

Süß fand ich das Ralf Kleindiek, der als Chief Digital Officer für die Digitalisierung und die IT-Sicherheit der Berliner Verwaltung zuständig ist, untergeschobene Zitat: "Die Gefährdungssituation ist nach wie vor hoch und wir müssen alle sehr wachsam sein." Und die Bedrohungslage werde "fortwährend beobachtet". Ein Sprecher der IT-Verantwortlichen erklärte "Für die verbleibenden Server wurden zusätzliche Schutzmaßnahmen veranlasst."

Unter dem Strich muss das Kind noch nicht in den Brunnen gefallen sein, wenn die IT die Windows Server 2008 R2 im Griff hat. Ich habe ja aktuell im Beitrag Windows 7/Server 2008/R2: Support bis Januar 2024 (KB4522133) berichtet, dass Microsoft das ESU-Programm für zahlende Kunden bis Januar 2024 ausweitet. Aber wie heißt es so schön: "Berlin ist zwar arm, aber sexy" – ob die bösen Buben auch auf so was fliegen?

Rhein-Pfalz-Kreis seit 3 Monaten in der IT-Krise

Im Oktober 2022 hatte ich im Beitrag Cyberangriffe: Kreisverwaltung des Rhein-Pfalz-Kreises; 75 Schulen in Oberbayern; DPA von einem Cyberangriff auf die IT des Rhein-Pfalz-Kreises berichtet. Später wurde bekannt, dass die Vice Society-Ransomware-Gruppe Daten aus dem Angriff veröffentlichte (siehe Vice Society veröffentlicht Daten des Rheinland-Pfalz-Kreises).

Rhein-Pfalz-Kreis seit 3 Monaten in der IT-Krise

Obigem Tweet entnehme ich, dass die Verwaltung des Rhein-Pfalz-Kreises die IT noch immer nicht im Griff hat und mit den Folgen des Ransomware-Angriffs befasst ist.  Der Artikel ist hinter einer Paywall, aber der Kernsatz steht in obigem Tweet: "Vor drei Monaten haben Kriminelle die Verwaltung des Rhein-Pfalz-Kreises gehackt, seitdem versuchen sie hier, alles wieder in den Griff zu bekommen. Das Problem: Die Hacker sind eiskalte Profis, die deutschen Behörden eher nicht." Mehr gibt es dazu nicht zu sagen – und die sollen "Digitalisierung machen".

Potsdam am Hacker-Haken

Springen wir zurück ins Umfeld Berlins. Bereits im Januar 20202 war deren IT Opfer der sogenannten Shitrix-Lücke geworden (siehe mein Beitrag Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown). Die Stadtverwaltung von Potsdam ging kurz vor dem Jahreswechsel 2022/2023 mit der IT erneut offline. Angeblich habe es eine Warnung vor einem Cyberangriff gegeben (siehe mein Beitrag Vermuteter Cyberangriff auf Stadt Potsdam, Stadtwerke auch offline (29./30. Dez. 2022)). Ende Januar 2023 wollten die Verantwortlichen wieder "einschalten" – mussten die Server aber wieder herunterfahren, weil die "nach Hause telefonieren wollten". Ich hatte im Beitrag Cyber-Desaster: TU-Freiberg down; Stadtverwaltung Potsdam wieder offline, Polizei BW offline und mehr berichtet.

Potsdam am Hacker-Haken

Golem berichtet in obigem Tweet bzw. in diesem Artikel, dass die Hive-Ransomware-Gruppe hinter dem Angriff auf die IT der Stadtverwaltung und der Stadtwerke Potsdam steckt. Die Infrastruktur der Hive-Ransomware-Gruppe wurde zwar beschlagnahmt (siehe Hive Ransomware-Infrastruktur von Strafverfolgern beschlagnahmt (Jan. 2023)). Aber zwischen den Zeilen lese ich, dass deren Schadcode wohl immer noch in den Servern von Potsdam steckt. Die Zitate der IT-Verantwortlichen von Potsdam im Golem-Beitrag lesen sich aus dieser Sicht wie Realsatire. Man schätzt die Gefahr für die IT-Systeme der Landeshauptstadt weiter als hoch ein und schließt nicht aus, dass weiter eine reale Bedrohung für Potsdam vorliege. Zitat von Potsdams Oberbürgermeister Mike Schubert:

Wir bedanken uns für die Unterstützung, die wir aus Land und Bund erfahren. Ein besonderer Dank geht an die Bundeswehr, die uns bei der Stabilisierung des Lagebildes unterstützt haben.

Fehlt da nicht noch was? Wo ist der Dank an die Frau von der Würstchenbude gegenüber, die die wackeren IT-Werker mit Curry-Wurst und Fritten durch die Nachtschichten gebracht hat, in denen man mit Fliegenklatsche vor den Server-Schränken wachte, um der Hive-Brut beim erneuten Eindringen Herr zu werden.

Spaß beiseite: Ich bleibe da etwas ratlos zurück. Mir drängt sich der Eindruck auf, es mit einer schlecht bezahlten und möglicherweise unterbesetzten, aber auf jeden Fall überforderten IT zu tun zu haben. Wenn jetzt, wie dieser Tage geschehen, politische Verantwortliche mehr Schnelligkeit bei der Digitalisierung fordern, heißt dies "sehenden Auges ins Messer laufen". Denn noch mehr Digitalisierung heißt bei diesen Randbedingungen "potenziertes Cyber-Risiko" einer hoffnungslos überforderten IT-Administration. Dazu passt auch dieser heise-Artikel zur Expertenanhörung im Ausschuss für Digitales des Bundestages, wo Entscheidungsträgern ein digitales Kompetenzniveau auf dem Niveau eines Faxgeräts bescheinigt wurde.

Oder wie seht ihr das so? Bin ich mal wieder zu scharfzüngig und solche Sachen passieren einfach, weil die "Hackers einfach so viel unerwartete kriminelle Energie entwickeln" – oder weil die Angreifer professionell vorgehen und eine überforderte IT überrennen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

44 Antworten zu Das IT-Desaster 2023 in deutschen Behörden an 3 Fällen gespiegelt

  1. 1ST1 sagt:

    Es muss nicht unbedingt mangelnde Kompetenz sein, die Leute sind schon gut, aber es fehlt halt wie überall an personellen Ressourcen, so dass einem komplexe Umgebungen über den Kopf wachsen. Und selbst bei den IT-Dienstleistern kommt man erstmal auf eine Warteliste, wenn man da eine Projektanfrage macht. Wir arbeiten ja schon wie Zwei und trotzdem bleibt eben manche Härtungsmaßnahme erstmal liegen, weil es auch noch andere Baustellen mit Deadline gibt.

    • Öffi sagt:

      Na ja, im öffentlichem Dienst haben in der Regel Leute das Sagen die von IT Null Ahnung haben! Habe ich leider mehrfach erlebt. Schlimm das man bei eigenen "Top Fachkräften im sehr hoher Anzahl" überhaupt externe IT Dienstleister benötigt?! Viele Abteilungen sind definitiv überbesetzt aber mit Beamten. 3 längere Kaffee Pausen am Tag plus Frühstück und Mittag, da wird eben nicht viel geleistet ohne Wissen und Wollen!

      • mvo sagt:

        Eigene IT "Top Fachkräfte im sehr hoher Anzahl" kann es im ÖD nicht geben, denn zu den miesen Gehältern arbeiten nur die "Fachkräfte" dort, die in der freien Wirtschaft selbst bei der gegenwärtigen Nachfrage mangels Qualifikation keinen Job bekommen.

  2. Micha45 sagt:

    Die Probleme sind hausgemacht. Würde man nicht aus Prinzip immer nur versuchen die beste Software zu boykottieren und diese Zeit für die wichtigen Dinge nutzen, dann würde es viel weniger Probleme geben. So schafft sich der Deutsche selbst ab.

    • Anonymous sagt:

      "Würde man nicht aus Prinzip immer nur versuchen die beste Software zu boykottieren…"
      Ja, es ist mir unbegreiflich, weshalb man nicht auf stabile Debian-Distributionen setzt. Vermutlich, weil fähige Administratoren Mangelware sind, weil man denen in "Umschulungen" immer und immer wieder einbläut, Microsoft sei das Maß aller Dinge und alles andere würde sich in Luft auflösen.

      Ach, Du sprachst gar nicht von wirklich guten Produkten, sondern wolltest mal wieder das Microsoft-Geraffel anpreisen.

      Nur zur Erinnerung: Nahezu alle kritischen Hacks und illegalen Zugriffe (zwei mal hintereinander der selbe Weg über Exchange in den Bundestag durch eine Bibliothek!) passieren via Microsoft-Produkte.
      Die wiederum haben das Problem: Keinerlei Qualitätssicherung mehr (Mitarbeiter entlassen), undurchsichtiges Lizenzsystem (man braucht ein Audit für ein Audit durch externe Mitarbeiter, weil da niemand mehr durchblickt) und in Folge dessen eine alternde IT, die man sich aus verschiedenen Gründen (Inkompabilitäten zu SAGE und Co -> eigentlich noch immer KHK Kaufmann mit neuem Gewand) und anderen Kleinigkeiten sich nicht aufzurüsten traut.

      Eine eigene Infrastruktur tut Not. Gerne auch EU-weit zur Vereinheitlichung. Dafür kann man ja gerne eine gescheite Basis nehmen – Microsoft Windows / Azure ist es jedenfalls nicht. Die hohe Verbreitung erfolgt aufgrund von Bequemlichkeit und Aktenkoffern, nicht aufgrund überlegender Leistung.

      In allen relevanten und sicherheitskritischen Einrichtungen werden die Server durch *n*x-Derivate gestellt – selbst Microsoft baut teilweise innerhalb Azure darauf.

      Also bitte, bitte keine Werbeveranstaltungen für Microsoft-Produkte mehr. Wir wissen ja, daß Microsoft *alternativlos*™ ist.

      • McAlex777 sagt:

        >> Vermutlich, weil fähige Administratoren Mangelware sind, weil man denen in "Umschulungen" immer und immer wieder einbläut <<

        Auch wenn es noch so oft wiederholt wird – es bleibt falsch.

        Richtig ist:
        Das Problem ist fehlende Desktop Software/Funktionalität unter GNU/Linux, keine Indoktrinierung bei Umschulungen, keine Bestechung oder Vorinstallationen. Es fehlt schlichtweg qualitativ vergleichbare Desktop-Software unter GNU/Linux und entsprechender Hardware-Support. Ansprechend designte Software ist im übrigen auch ein Qualitätsmerkmal im Desktop-Umfeld.

        Es liegt auch nicht an fehlenden Wissen der Anwender – Gnome/KDE/Plasma sind in Keinster Weise komplizierter als Windows/MacOS.

        Beispiele:

        2023 wird immer noch kein GPU-Support beim Browser unter GNU/Linux mit nVidia-GPUs geliefert. Und nein liegt nicht an nVidia – mpv funktioniert mit GPU-Support unter nVidia.

        Snagit-Alternativ mit vergleichbarer Leistung? Nein gibt nicht, dafür 10.000 Simple-Screenshot-Tools.

        Mausrad-Konfiguration unter Gnome/KDE/Plasma:
        Per Editor in einer ~/foobar.config reinhäcken und einen Autostart selbst in Gnome dahinfrickeln. Sorry, da braucht sich niemand wundern.

        • Anonymous sagt:

          "Richtig ist:
          Das Problem ist fehlende Desktop Software/Funktionalität unter GNU/Linux, keine Indoktrinierung bei Umschulungen, keine Bestechung oder Vorinstallationen."

          Auch wenn es noch so oft wiederholt wird – es bleibt falsch.

          In punkto "Umschulung/Ausbildung/Fortbildung" kann ich ein Lied davon singen, wie Inhaber und Dozenten über das ach so schlechte Linux schimpfen und auf Microsoft schwören. "Azure ist die Zukunft".
          So ist das halt, wenn die Bildungsstätte zu 100 % von Microsoft gesponsort wird und Bildungsprogramme kostenfrei angeboten werden (können) und die Zertifikate ausschließlich von Microsoft kommen (als Massenware… MS SQL MTA… yay, man kann ein SELECT ausführen – welch ein Profi!).

          "Ansprechend designte Software ist im übrigen auch ein Qualitätsmerkmal im Desktop-Umfeld."
          Du meinst jetzt aber nicht so einen zusammengefrickelten Murks wie die Produkte von SAGE, deren Kern noch immer KHK Kaufmann ist, uralte MS Access-Module ohne Sicherheit verwendet werden und die "verschlüsselte" Verbindung innerhalb der Komponenten durch verschiedene, nachgereichte Module mit unzähligen Angriffsflächen bereitgestellt werden?
          Ein mir bekanntes Systemhaus war fleißig darin diesen Softwaremüll mit hohlen Phrasen zu vertreiben und hat eigene Module dazugebastelt (Schleifen-Ware, mies dokumentiert, teils 20 Jahre alt und nur hinzugebastelt).

          Snagit ist toll, aber auch schon lange nicht mehr per default vorinstalliert. Zumindest nicht die ursprüngliche, gute Version. Das als Qualitäts-Merkmal zu sehen ist schon… merkwürdig.

          Wie dem auch sei, Linuxer könnten sich ja mal die Alternativen…
          – Flameshot
          – Shutter
          – Spectacle
          – GoFullPage
          – FireShot
          … ansehen.

          "2023 wird immer noch kein GPU-Support beim Browser unter GNU/Linux mit nVidia-GPUs geliefert."
          Stimmt nicht so ganz. Hängt primär von zwei Faktoren ab: Verwendeter Treiber und Browser (Firefox).
          Hauptursächlich liegt das Problem tatsächlich an NVIDIA, weil deren Treiber fehlerhaft sind. Firefox scheint es nicht zu fressen und deaktiviert den WebRenderer; Chromium-basierte Browser lassen sich nutzen – mit Gefrickel.

          "Mausrad-Konfiguration unter Gnome/KDE/Plasma:
          Per Editor in einer ~/foobar.config reinhäcken und einen Autostart selbst in Gnome dahinfrickeln. Sorry, da braucht sich niemand wundern."
          Worüber wundern? Welcher Büro-Fuzzi spielt an solchen Einstellungen herum? Mausschubser im Büro schon mal bei der Arbeit beobachtet? Die bemerken es nicht mal, wenn man die Systemsteuerung ausblendet/sperrt.

          Ansonsten muß ich zugeben, daß ich primär im Terminal unterwegs bin, weil mich die Linux-Desktops allesamt anöden. Das Eyecandy ist altbacken, egal bei welcher Distro. Aber da können Windows 10 / 11 wunderbar mithalten.
          Versuche mal was ganz Grundlegendes… bei Stereo-Lautsprechern, die man (aus welchen Gründen auch immer, bspw. Kabellänge) verkehrt aufstellt, einfach L/R zu tauschen. Nur mit Bordmitteln (war früher™ mal ein einzelner Mausklick mit Haken). :-D

          Womit ich dann wieder zu… "Vermutlich, weil fähige Administratoren Mangelware sind, weil man denen in "Umschulungen" immer und immer wieder einbläut" … wechsele.

          Es ist so. Gescheite Linux-Administratoren sind Mangelware. Nein, Turnschuh-Administratoren und Hobby-Skript-Bastler auf administrator.(tld) die Netzwerke – auf hohe Kosten – beschleunigen, mit ntp's nichts anfangen können, zählen hier nicht zu.

          FISI-Ausbildungen müssen und sollen dringlichst mehr Wert auf eine adäquate Linux-Grundausbildung setzen. Die Grundausbildung ist unzureichend, es hilft niemandem, wenn man eine Distro via "Netboot" installieren kann. Das genügt einfach nicht.

          Die Welt spricht nicht nur Windowisch und Linuxisch. Heute legt man ja kaum noch wert auf die Kommando-Ebene. Man muß ganz dolle schnell mit bunten Zertifikaten unter einem OS winken können.

          Und keine Sorge, ich bin nicht nur auf Windows fixiert bei meinen Klagen.
          Der Netzwerk-Müll mit Festlegung auf Cisco und deren grottige Betriebssystemen auf Routern und Switches gehen mir genauso auf den Keks. Cisco ist so ziemlich die letzte Wahl, die ich in einem Unternehmen treffen würde. Viel zu viele Hintertüren und unkontrollierbares Verhalten – die Konfigurationsvielfalt soll einem das Gegenteil vorspielen.

          • McAlex777 sagt:

            >> Snagit ist toll, aber auch schon lange nicht mehr per default vorinstalliert. Zumindest nicht die ursprüngliche, gute Version.

            Snagit ist Thirdparty-Software, war folglich nie vorinstalliert.

            >> Wie dem auch sei, Linuxer könnten sich ja mal die Alternativen…

            Und keins der genannten kommt funktional nur ansatzweise an Snagit heran.
            Im Übrigen ist Snagit hier ein "Beispieldummy" unter dutzenden.

            >> Hauptursächlich liegt das Problem tatsächlich an NVIDIA, weil deren Treiber

            Was war in meiner ursprünglichen Aussage so undeutlich?

            Hardware Video-Dekodierung funktioniert auf gleichem System mit „mpv" bei nVidia GPU.

            Warum sollte dann also nVidia schuld an fehlendem GPU-Support von Firefox/Chromium sein?

            >> Mausschubser im Büro schon mal bei der Arbeit beobachtet? Die bemerken es nicht mal, wenn man die Systemsteuerung ausblendet/sperrt.

            Typisch GNU/Linux-Anwender:
            Den Desktop-Anwendern Funktionalitäten wegrationalisieren, und dann behaupten nutzt eh keiner.

            Doch, nutz ich:
            Und ich darf unter Gnome erstmal 30min forschen wie ich einen Autostart dahingefrickelt bekomme, während unter Windows/MacOS die Mauskonfiguration eine Sache von 10s ist.

            >> Ansonsten muß ich zugeben, daß ich primär im Terminal unterwegs bin, weil mich die Linux-Desktops allesamt anöden.

            Ich beziehe mich auch den Desktop.

            >> FISI-Ausbildungen müssen und sollen dringlichst mehr Wert auf eine adäquate Linux-Grundausbildung setzen.

            Die FISI-Ausbildung lehrt Konzepte, und bezieht sich primär dabei nur insofern auf Betriebssysteme wie es zur Veranschaulichung notwendig ist.

            Im übrigen beziehe ich mich auf den Desktop.

      • 12gang sagt:

        https://wid.cert-bund.de/portal/wid/kurzinformationen
        Bitte mal nach Linux Kernel filtern, wahlweise Debian Linux.

        • Anonymous sagt:

          Damit möchtest Du nun kritisieren, daß es bei Linux üblich ist, Schwachstellen offen zu kommunizieren, während bei Microsoft nur kommuniziert wird, wenn Sicherheitsforscher ihre Ergebnisse veröffentlichen wollen?

          Ok, dann malen wir uns die Welt mal wie sie uns gefällt:

          6 als KRITISCH eingestufte Schwachstellen bei Windows vs. 1 als KRITISCH eingestufte Schwachstelle bei OpenVPN (Linux/OpenBSD).

  3. kheldorn sagt:

    Arbeite selbst in einer kommunalen Behörde und darf verkünden: Berlin ist uns weit voraus. Während viele Server schon mit 2016/2019/2022 laufen, sind aber zur gleichen Zeit tatsächlich auch noch einige 2008 und sogar 2003 Server im Einsatz. Alles schön inklusive SMBv1.

    Am Personal fehlt es nur bedingt, die Kompetenz wäre sicherlich auch da, aber gerade die Führungskräfte versauen einem den Spass, weil es einfach keine Führung gibt. IT-Sicherheit ist jedenfalls bei unserer Führungsetage noch nicht als Thema angekommen. Es gibt keinerlei Vorgaben, Entscheidungen werden grundsätzlich keine getroffen, und dem Sachbearbeiter-Pöbel aus der eigenen IT-Abteilung hört man eh nicht zu, weil man teils einfach zu sehr damit beschäftigt ist sich bei den Etagen drüber eine braune Nase zu verdienen.

    Und bei einigen Kollegen ist auch noch nicht so recht angekommen, dass ein oder zwei verschiedene Geschmacksrichtungen Schlangenöl nicht den gleichen Schutz bieten wie eine vernünftige Härtung der Systeme, der Einsatz aktuelle Betriebssystemversionen und das zeitnahe Einspielen von Sicherheitsupdates.

    • Ralph sagt:

      Also wenn in den Führungsetagen das Thema Sicherheit der IT jetzt noch immer nicht angekommen ist, wäre das für mich unvorstellbar.
      Ich meine, man liest ja beinahe täglich in allen Kanälen über solche relevante Vorfälle.
      Und das ganze hat sich ja mit der sicherheitspolitischen Weltlage ja eher noch verschärft!
      Werden dann die betreffenden Führungskräfte im Schadensfall nicht zur Verantwortung gezogen?

      • kheldorn sagt:

        Die Führungsebene über der Führung der IT-Abteilung interessiert sich 0,0 für das Thema IT. Und wie bereits geschrieben ist die Führung der IT-Abteilung selbst mit allem anderen beschäftigt, außer sich darum zu kümmern, dass man sich neben dem Tagesgeschäft auch um die Sicherheit kümmert.
        Und selbst wenn sie denn dann mal zuhören, gibt es noch die Leute, die ihnen dann einreden, dass Schlangenöl vor allem schützt. Und leider glauben sie diesen Leuten, weil sie schon so lange dabei sind.

        Was die Haftung angeht, so ist auf kommunaler Ebene letztendlich der Oberbürgermeister in der Verantwortung. Nur kriegt der von den Zuständen nichts mit, weil es ihm keiner seiner direkt Unterstellten erzählt. Und wenn man sowas nicht auf dem ordentlichen Dienstweg kundtuen wollte, würde man ganz böse auf den Deckel kriegen. Auf dem ordentlichen Dienstweg bleibt es dann allerdings auf irgendeinem Schreibtisch liegen oder wird gleich geschreddert, weil da ja unbequeme Wahrheiten drinstünden, für die man sich ggf. rechtfertigen müsste.

        Ich hatte gehofft, dass NIS2 hier etwas ändern könnte, welches zum 16.01.2023 in Kraft getreten ist, aber der Gesetzgeber hat jetzt noch 21 Monate Zeit das ganze in nationales Recht zu gießen. Bis dahin wird sich vermutlich nicht viel ändern.

  4. Mira Bellenbaum sagt:

    Was ich so gar nicht verstehe, warum kann man nicht teilweise Software nehmen, die es schon gibt?
    Warum muss in Deutschland immer alles neu erfunden werden?
    Andere Länder sind da schon viel, viel weiter und wenn man bedenkt, dass der ganze Kram auch
    Grenzüberschreitend funktionieren soll, kann doch nicht "jeder" sein eigenes Süppchen kochen!
    Sieht man doch an dem Desaster, was es gibt bei der bundesländerübergreifenden Zusammenarbeit.
    Oder der Kreise und Kommunen.

    • Anonymous sagt:

      "Was ich so gar nicht verstehe, warum kann man nicht teilweise Software nehmen, die es schon gibt?"
      Hast Du da gerade ein Beispiel zur Hand? Beziehst Du Dich auf die Betriebssysteme oder die sogenannten "Fachanwendungen"?
      Bei Letzterem bin ich bei Dir, das ist teilweise hanebüchener Unsinn… und jede Gemeinschaft kocht ihr eigenes Süppchen.
      Um Kompatibilitäten zu gewährleisten, müssen viele, viele Sicherheitsopfer gebracht werden. Und das ist ein no-go.

    • GüntherW sagt:

      Hallo Mira,

      es fehlt von oben (wie in vielen Bereichen) einfach an konkreten Vorgaben und (Muster)Lösungen. Die Verbände müssten hier auch Druck machen, dass man nicht mehr diesen Flickenteppich will. Auf Landesebene gibt es war Initiativen wo sich mehrere Akteure zusammentun, aber es geht auch nicht unbedingt darüber hinaus und es macht auch nicht jeder mit.

      Auf der einen Seite nachvollziehbar, dass Landkreise/Kommunen für bestimmte selbst verantwortlich sind, sich Software kaufen oder entwickeln lassen. Auf der anderen Seite extremer Blödsinn, weil viele Anwendungsfälle (auch wenn man unterschiedliche Gesetzeslage in den Bundesländern betrachtet) ähnlich sind und die Projekte dann an einzelnen Personen hängen. Man entwickelt alles doppelt und dreifach, ein Teil der Software krepiert dabei, ein anderer Teil könnte vom Funktionsumfang besser sein. Wenn Mitarbeiter die Verwaltung wechseln, dann werden die mit evtl. neuen Programmen konfrontiert.

      Wenn es zumindest auf Bundesebene funktionieren würde wäre es schön…. Optimal natürlich, dass hier Musterösungen von der EU kommen. Bei Kassenlösungen für Geschäfte und Co. hast du ein ähnliches Problem.

  5. Egon sagt:

    Cyber Polygon läuft gut. Bald schreit der Grossteil der Menschen von sich aus nach totaler digitaler Kontrolle und Überwachung unter Aufgabe jeglichen Datenschutzes, alles nur für die Sicherheit natürlich. Die digitale Infrastruktur wird genauso an die Wand gefahren wie der Rest des Landes, blinder Glaube an Ideologie statt Fachkräfteausbildung.

    Agenda 2030 steht über allem, der Bürger erfährt noch früh genug, was das bedeutet, bis zum Heilsbringer regiere das Chaos…

    Die Anzeichen sind täglich und überall, aber die meisten wollen nicht durch zuende denken verunsichert werden.

    Zwei kleine Baustein-Beispiele aus den letzten zwei Tagen:

    https://www.heise.de/news/Websperren-EU-Rat-will-geplante-Ueberwachung-noch-weiter-ausbauen-7482901.html

    https://www.heise.de/news/Bundestag-Digitalausschuss-tagt-weiter-hinter-verschlossenen-Tueren-7479914.html

    • Genau sagt:

      3 Daumen hoch!!!

    • Anonymous sagt:

      Hach ja, was wurde ich doch als Aluhutträger beschimpft, als ich diese Entwicklung prognostizierte (für die man tatsächlich kein Einstein sein muß, um sie zu erkennen: Was möglich ist, wird gemacht. Punkt. PUNKT. Das ist typisch menschlich!).

      Es wird die Zeit kommen, da sehnen wir uns nach dem "freien Internet" Chinas, dem wir ja dank "Great Firewall" eine super Zensur / Diktatur unterstellen.

      Btw., in Deutschland wird Internet auch seit Jahrzehnten zensiert. Interessiert aber keine Sau. Und wenn man (geforderte) Belege liefert, erntet man nur ein "mir doch egal, aber China/Russland sind viel schlimmer".

      Ja, so wie das Gras woanders immer grüner ist, kann es woanders immer schlimmer sein. Sind das nun die Maßstäbe, an denen wir uns orientieren wollen? Welch ein evolutionärer Fortschritt der Menschheit. Die Vereinigte Föderation der Planeten mit Zentralrat auf der Erde rückt in immer größere Ferne.
      Vielleicht müssen wir uns auf dem Planeten doch noch mal in die Steinzeit zurück bomben (lassen) um daraus zu lernen. Wobei: Die Geschichte beweist, wir wiederholen dieselben Fehler immer und immer wieder.

  6. R.S. sagt:

    Ganz unschuldig ist auch nicht die Struktur der Behörden und deren Vorschriften.

    Wenn Privatunternehmen so organisiert wären, würden die innerhalb kurzer Zeit pleite gehen.

    Was die Software angeht:
    Einfach Software einkaufen geht bei Behörden nicht!
    Behörden sind lt. EU-Recht und deutschem Recht verpflichtet, mehrere Angebote für Waren, Dienstleistunge etc. einzuholen und die Entscheidungsträger schauen dann meist auf den Preis oder was ihnen bzw. der Behörde am geeignetsten scheint. Auf Interoperabilität mit anderen Behörden wird da nicht geachtet.

    Was fehlt sind länderübergreifende Vorgaben.
    Und die gibt es nur, wenn sich die Bundesländer untereinander einigen.
    Denn das ist Ländersache, der Bund hat da kein Mitspracherecht.
    Aber 16 Bundesländer = 16 verschiedene Vorstellungen, was die Software denn können soll.
    Und dann geht es noch weiter in die Lokalbehörden.
    Da macht auch fast jeder Landkreis sein eigenes Ding.

    • Fake sagt:

      Hast du also schon mal bei einer Behörde gearbeitet? Ausschreibungen sind da nur Fake! Es wird Software von "Kumpels und Verwandten" gekauft die am teuersten sind und die dann komischerweise Konkurs gehen und es nie wieder Support gibt(war schon vor dem Kauf bekannt) Ist wie bei "Maskendeals" u.ä.

      • Jack68 sagt:

        Das mal vielleicht auf dem Dorf funktionieren, aber ganz sicher nicht in einer Großstadt. Da gibt es Anforderungen, die kann die selbststrickte Access-Datenbank vom Schwager des Friseurs des Bürgermeisters ganz sicher nicht erfüllen.

  7. Anonymous sagt:

    Echt jetzt Günter, Kommentare die nicht beleidigen oder sonst was
    werden hier nicht mehr veröffentlicht!?? Trauerspiel! Ich sage doch nur die Wahrheit!

    • Günter Born sagt:

      Du sprichst in Rätseln! Ich sitze auch nicht 24 Stunden vor dem Rechner und hechele danach Kommentare in der Moderation freizugeben.

      Oder war es mal wieder Micha45 mit dem immer gleichen Stuss? Den Kommentar habe ich aus dem Papierkorb gefischt, weil die erst einmal per se da landen. Falls zutreffend:

      Nur mal ganz langsam zum Mitschreiben: Die Leute sind auf deiner "beste Software", seit Jahren, und haben sich in Abhängigkeiten begeben, aus denen sie sich nicht mehr befreien können. Auch dank Ausschreibungspflicht und Vergabeordnung.

      Es sind i.d.R. Citrix Netscaler und Microsoft Exchange / Active Directory-Umgebungen, die – oft über manipulierte Office-Dokumente – kompromittiert werden – falls das noch nicht angekommen sein sollte.

      Ja, Deutschland schafft sich ab – aber dadurch, dass man kritiklos auf irgend etwas hüpft, weil Anbieter und Berater dort genügend getrommelt haben – und am Ende des Tages das Geld fehlt, um in kompetentes IT-Personal zu investieren. Oder die geringe Restkompetenz durch Outsourcing komplett verloren geht.

  8. Anonymous sagt:

    Wollte gerade was Ähnliches schreiben. In mir bekannten Behörden (keine IT) machen einige Mitarbeiter frustriert nur noch, was man ihnen sagt. Einfach weil sie zu oft gegen Wände laufen. Problem: Man sagt ihnen auch nicht, was sie tun sollen. Mein Eindruck: Es ist eher das System denn die einzelnen Mitarbeiter.

  9. janil sagt:

    So beobachte auch ich es die letzten Jahre. Ist aber gut mal so eine Zusammenfassung zu lesen, danke dafür, und die Kommentare bestätigen es auch zusätzlich.
    Bestes bundesweites letztes Beispiel ist doch die unselige Grundsteuergeschichte. In meinen Augen, dilettantisch ausgeführt. Wie viele einfache Leute verzweifeln schlicht weg daran?

  10. Thorsten sagt:

    moin, ist das hier jetzt eine "Telegramgruppe" ?!?

  11. Ben sagt:

    Häme und die Unterstellung von fehlenden Wissen hier bei den Kommentaren ist gänzlich unangebracht und man sieht da auch schnell dass viele keine Vorstellung haben, wo die Probleme und Sachzwänge bei Behörden und auch vielen Betrieben liegt.

    Ich arbeite nicht im ÖD, kenne aber einige die dort arbeiten. Außerdem kenne ich allgemeine Sachzwänge auch von der Firma wo ich arbeite, nicht immer kann der ITler das umsetzen was sinnvoll ist, egal wie kompetent er ist, noch hat der die Ressourcen dafür (meist weder Manpower, noch finanzielle Mittel um Hard- und Software aktuell zu halten).

    Ist natürlich bequem und angenehm gehässig, wenn man einfach sagt, hey diesen unfähigen ITler im ÖD, kein Wunder dass das nicht klappt, statt sich mal zu überlegen was wirklich falsch läuft. sorgt aber für ein Bärendienst, wenn man die Probleme wirklich abstellen will, welche uns schlussendlich alle betreffen, da auch unsere persönliche Daten in Gefahr sind.

    • Anonymous sagt:

      Ganz ehrlich?

      Wenn ich die Fahrprüfung nicht bestehe, dann kann und darf ich kein Fahrzeug führen.
      Wenn ich die Schwimmprüfung nicht bestehe, dann kann und darf ich kein Rettungsschwimmer werden.
      Wenn in meinem erweiterten Führungszeugnis Einträge sind, dann kann und darf ich beruflich keine Kinder befördern.

      Wie halten wir das dann bitte bei der IT, die mit hochsensiblen Daten umgeht in deutschen Behörden? Schalten und walten lassen, wie sie wollen, oder konsequenterweise die Pistole auf die Brust setzen: ENTWEDER ihr bekommt das jetzt auf die Kette, ODER wir ziehen den Stecker.

      Nein, man muß nicht für jedes (hausgemachte!) Problem Verständnis aufbringen. Es ist Dilletantismus, Bequemlichkeit, Faulheit, Inkompetenz, Geiz und mutmaßlich sogar Bestechlichkeit.

      Und wie einige Leute schon anmerkten: Es gibt Privatunternehmen, die sehr viel komplexer und größer sind und dennoch ihre IT so "halbwegs" im Griff haben. Also zumindest besser als das, was im ÖD abgeht.

      Schluß mit der Rosa Pudel-Mentalität und für alles Verständnis haben wollen. Es ist Kompetenz gefragt, wo sie gebraucht wird.

      Wir sind EU. Also bitte EU weit eine Plattform (Hardware, Software, Mitarbeiter-Kompetenzen, Bildung). Ein Standard. Nicht nur Geldkoffer nach Hause tragen und Fußballspiele in korrupten Ländern abhalten, oder den Krümmungsgrad von Gurken festlegen.

  12. J. Renfer sagt:

    Lieber Herr Born,
    ich schätze Ihren (er)kenntnisreichen Blog seit vielen Jahren sehr. Warum Sie nun in die derzeit journalistisch beliebte General-Skandalisierung „der Behörden-IT" einsteigen ist mir gerade deshalb schwer verständlich: „die Behörden-IT" gibt's nämlich ebenso wenig wie „die Industrie- oder die Handels-IT". Ja, einige Behörden haben ein offensichtlich noch recht ausbaufähiges Sicherheitsbewusstsein, was im öffentlichen Sektor dringend behoben werden muss, insbes wenn's auf „technical debts" zurückzuführen ist; bei alleine rd. 11.000 Kommunen in Selbstverwaltungshoheit – genau so auch in unserem Staatsgefüge festgeschrieben – zwar zu thematisieren, aber eben kein Grund, das mal so zu generalisieren. Im Vergleich zu den ähnlich großen (Cyber-)Problemen des private sectors nämlich leider keine signifikante Besonderheit, sondern Ausdruck der Cyberlage, und leider nicht zuletzt auch der mitunter fragwürdigen Produktqualität einiger Hersteller.
    Zum OZG gilt Ähnliches: richtig ist, dass die FLÄCHENDECKENDE BUNDESWEITE OZG-Umsetzung scheiterte, was auf SDG und Registermodernisierung Rückwirkung vsl. entfalten wird. Nicht nachvollziehbar ist imho auch hier eine Generalisierung, denn ersten sind bekanntlich mehr als die referenzierten Fallzahlen digitalisiert und zweitens bei einigen Behörden längst schon Alle. Die Ursachen für fehlenden FLÄCHENDECKENDEN OZG-Einsatz sind vielfältig ( daher hier nicht näher ausgeführt, sonst gerne) und werden am Ende der „Nahrungskette" bei der Verw.IT als „digital face to citizens" sichtbar, liegen jedoch in aller Regel viel weiter vorne bzw. viel tiefer in der Kette – und das war weit vorm Scheitern bekannt. Ob's mit der aktuellen Ref.Fassung der OZG(2)-Novelle besser wird muss sich zeigen, persönlich sehe ich dort noch einigen Optimierungsbedarf, damit's im nächsten Anlauf komplett klappt. JM2C

    • Günter Born sagt:

      Nun ja, ich formuliere es mal so: A bisserl provozieren gehört zum Handwerk – und wenn ich über das verlorene Backup des Einwohnermeldeamts von Klein-Kuhdorf berichtet, hat das wenig Breitenwirkung. Aber alleine wegen der Kommentarlage hat sich der Beitrag in meinen Augen schon gelohnt. Es kommen in den Kommentaren Insides, die hätte ich sonst nie bekommen – also nicht ärgern – zur Not ändere ich den Titel dieses Blogs auch in "der zugegebenermaßen falsche Postillon" ;-).

      • andreas sagt:

        Hallo,

        als regelmäßiger Leser und in der IT einer Behörde tätiger Admin finde ich den Tenor des Artikels – vor allem für den eigentlich sachlichen Blog – nicht nur leicht daneben und deutlich mehr als "a bisserl provozieren".

        Schön wäre es, vielleicht mal etwas auf die Hintergründe und Ursachen einzugehen statt sich einfach nur dem allgemeinen Bashing anzuschließen.

        Wer einmal den Dschungel aus Tarifvertrag (wahlweise TV-L oder TVÖD) und zugehöriger Entgeltordnung durchquert hat kann erahnen, warum viele Stellen nicht besetzt sind. Die wenigen Admins haben alle Hände voll zu tun das Tagesgeschäft am Laufen zu halten und sollen mit einer Bandbreite von klemmenden Druckern bis hin zu virtualisierten Serverfarmen inklusive verschiedenster Fachanwendungen idealerweise alles abdecken.

        • Singlethreaded sagt:

          Ich denke die Kritik darf man nicht als persönlichen Angriff verstehen. Es geht nicht darum bestimmten Admins im öffentlichen Dienst Inkompetenz, Faulheit und mangelnde Fachkenntnis vorzuwerfen.

          Das Ganze ist auch kein Alleinstellungsmerkmal des öffentlichen Dienstes, denn ähnliche Probleme gibt es im privatwirtschaftlichen Umfeld in ähnlicher Form.

          Das aktuelle Lagebild zeigt aber, dass es offenbar erhebliche Defizite in Betrieb und Wartung der IT-Infrastruktur in Deutschland gibt. Ich denke man muss nüchtern feststellen, dass Server mit Betriebssystemen ohne Support oder nicht funktionierende Backups kein guter Zustand sind.

          Wie oft wurde hier schon über Exchange-Server berichtet, welche seit Monaten nicht gepatched wurden? Dies Zustand beinhaltet eben auch ein systemisches Versagen, denn es ist auch nicht so dass es keine Möglichkeiten gäbe diesen Zustand zu verbessern. Wer „Schuld" hat ist erstmal egal.

          Der Beitrag legt den Finger in die Wunde und ich würde vom Gefühl her auch sagen, dass sich an der Gesamtlage in den letzten Jahren ehr keine Verbesserungen ergeben haben. Man könnte auch sagen, dass unser IT-Fundament erhebliche Mängel aufweist.

          Wenn wir nun anfangen auf diesem Fundament diverse neue digitale Dienstleistungen zu implementieren, dann stimme ich Günters Bedenken zu, dass man hier quasi mit Ansage „auf Sand baut".

  13. Anonymous sagt:

    Keine Ahnung in welcher Behörde du gearbeitet hast, aber bei den Behörden die ich kenne schauen Rechnungshof und Kontrollorgane da schon hin. Wie Jack68 schon sagte, wenn man nicht gerade auf dem Kuhdorf arbeitet sollte das so einfach nicht sein.

  14. R.S. sagt:

    Selbst wenn keine Resourcen vorhanden sind darf es so etwas wie veraltete Patchstände nicht geben. Server kann man so konfigurieren, das die sich automatisch selbst patchen, wenn Patches erscheinen.
    Das richtet man einmal ein und dann läuft das.
    Und Einfallstore wie Office-Dokumente muß man eben per GPO o.Ä. schließen.
    Sehr viele Sicherheitsprobleme kann man durch entsprechende Konfiguration der Systeme und Schulung des Personals deutlich entschärfen.

    • Dolly sagt:

      Warum sind diese Sicherheitsprobleme in der Konfiguration der Software nicht bereits vom Hersteller entschärft?

      • R.S. sagt:

        Sind sie ja teils schon.
        Beispielsweise ist standardmäßig schon seit Office 2007 die Ausführung von Makros in Office-Dokumenten deaktiviert.
        Man muß explizit der Ausführung zustimmen.
        Und das sollte man bei Officedokumenten aus fremden Quellen nie!
        Oder man hat diese Funktion in den Einstellungen der Officeprogramme ausgeschaltet, sollte man auch nicht machen.

        Oder SMBv1 ist ab Windows 10 standardmäßig deaktiviert, ebenso TLS 1.0.
        Aber das wird dann wegen Uraltversionen der Software wieder aktiviert.
        Oder man hat noch Uralt-Zertifikate mit SHA1 anstatt die mal auf SHA256 umzustellen.
        etc.

        • Dolly sagt:

          Die Frage an den Hersteller wäre hier, warum können Makros in einem Officedokument überhaupt eine Gefahr darstellen? Warum sind nach Jahren und zig Office Updates gefährliche Funktionen in Makros (noch immer) vorhanden?

    • Singlethreaded sagt:

      Automatiken sind schön und sinnvoll. Man kann einen großen Teil der Updates automatisch ausrollen und so eine Menge Ressourcen sparen. Meine Erfahrung ist aber, dass diese Automatiken nicht immer sicher funktionieren, was verschiedene Gründe haben kann.

      In der Folge muss ich ein Monitoring implementieren, so dass mir Systeme auffallen bei denen die Automatik versagt, z.B. weil z.B.:

      – Festplatte voll
      – Installation defekt
      – Benötigte Dienste nicht aktiv

      Auch gibt es Systeme bei denen ich nicht automatisch patchen kann, weil:

      – Ich die Downtime entsprechend planen muss
      – Es Abhängigkeiten gibt, welcher ein automatischer Patch nicht kennen kann
      – Es bestimme Vorgaben bzgl. unterstützter Konfigurationen gibt
      – Es gar keine Funktion für automatische Updates gibt

      Wir haben entsprechend ein Patch-Management implementiert, welches neben Betriebssystemupdates auch die Updates für Drittanbieter Software wie Browser, PDF-Viewer und Systemtools umfasst. Das erleichtert die Übersicht und ein neuer Firefox ist mit drei Klicks auf 140 Clients installiert. Das funktioniert in 99,5% der Fälle, sogar wenn der Client nicht mal in der Firma ist, aber bei ein paar tausend Patch-Installationsvorgängen pro Monat bleiben trotzdem Fälle liegen, welche man sich händisch ansehen muss, weil es irgendwo klemmt.

      Dazu kommen dann noch die Spezialfälle bestimmter Sicherheitslücken, bei denen die IT fachlich entscheiden muss, ob und wie relevant das ist. Als Beispiel nenne ich mal die vielen CPU-Lücken wie Spectre & Co. Für Betreiber von Rechenzentren mit VMs verschiedener Kunden auf einem Server sicherlich relevant. Betreibe ich auf meinem Cluster nur eigene Dienste, dann ist das ganze viel weniger interessant. Ist ein Server kompromittiert, dann gibt es sicherlich bessere Ansätze für ein „Lateral Movement" als ausgerecht auf CPU-Lücken zu setzen.

      IT-Security muss man leben und es erfordert viel Willen zur Anpassung. Mir ist leider keine „Fire and Forget" Lösung bekannt, welche zuverlässig funktionieren würde.

      • R.S. sagt:

        Natürlich ersparen einem Automatiken kein Monitoring.
        Wobei man das auch teilweise automatisieren kann, denn z.B. viele Hardware gibt das schon von Haus aus vor.
        Man muß es in der Hardware nur konfigurieren. Beispielsweise Drucker, die eine Mail absetzen, wenn da irgendetwas klemmt oder Server, die eine Mail absetzen, wenn es klemmt.
        Monitoring gehört aber auch dann zwingend zum Tagesgeschäft.
        Und durch Monitoring kann auch schon vor dem Auftreten von Problemen auf Dinge aufmerksam werden, z.B. wenn der Festplattenplatz knapp wird.
        Wenn irgendetwas nicht läuft, weil die Festplatte voll gelaufen ist, dann hat das Monitoring versagt.

        • Singlethreaded sagt:

          Bin ich voll bei Dir, nur fürchte ich, dass in vielen Läden "Automatik" bedeutet, dass Windows Update aktiv ist und seine Updates laden kann. Die Leute kommen einfach nicht "über den Berg", da die Ressourcen fehlen grundlegende Prozesse zu implementieren. Erst nach einem initialen Mehraufwand wird es auf längere Sicht besser.

          In der Folge bekommen die höchstens zufällig mit, dass ein Client irgendwo ein Problem mit seinen Updates hat. Auch für das Abarbeiten von regelmäßigen Prüfungen fehlt dann die Zeit:

          – Firmware Updates Server
          – Firmware Updates Storage inkl. SSD / HDD
          – Firmware Updates Switche
          – Firmware Updates WLAN Controller
          – Firmware Updates WLAN Access Points
          – Firmware Updates USV
          – Firmware Updates DECT
          – Firmware Updates Telefone
          – Firmware Updates Drucker
          – Firmware Updates Handhelds BDE
          – Firmware Updates von Terminals
          – usw.

          Da sollte man je System alle sechs Monate schon mal bei und auch sonst die Augen offen halten. HPE bietet z.B. einen recht charmanten Service seine Produkte zu registrieren und per Mail über Updates zu informieren. Das Ganze kommt gleich mit einer Basisbewertung ob "critical", " recommend" oder "optional". Hat iLO mal wieder eine Sicherheitslücke, dann kann / muss man eben direkt reagieren. Den Rest regeln die Support Packs.

          Dazu kommen noch die ganzen Anwendungen wie Hypervisor, Mail, Mail-Archivierung, Fileserver, Printserver, Firewalls, CAD-Server, ERP-System, Domain Controller, PKI, Zeiterfassung, Lohn, Schließsystem, Client und Server Management, Endpoint Protection, Backup, Telefonanlage, usw.

          Auch hier muss immer wieder geprüft werden und auch die Migration rechtzeitig geplant werden. Mein Gefühl sagt mir aber, dass häufig etwas installiert wird und dann keiner mehr danach schaut, solange es noch läuft.

          Auch für das eigene "Spielfeld" hatte ich noch viele Verbesserungsvorschläge. Fertig werden wir in dem Sinne nie sein. Und es kommen immer wieder Überraschungen wie z.B. die Lücke in Keepass, welche man erstmal einsortieren und für sich bewerten muss.

          Das Ganze ist leider ein Problem, dass viele Administratoren durchaus sehen, aber systemisch kommen wir irgendwie gefühlt nicht weiter, wenn man Meldungen wie in diesem Artikel liest. Eine weitere und sichere Digitalisierung wird aus meiner Sicht nur funktionieren, wenn die Basis der Infrastruktur ebenfalls gesund ist. Da hakt es leider viel zu oft.

  15. Jens sagt:

    Der Beitrag plus Kommentare haben meinen Samstagmorgen gerettet :)

Schreibe einen Kommentar zu Anonymous Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.