Cyberangriffe: Kreyenhop & Kluge, Kliniken, Schwachstellen und mehr

Sicherheit (Pexels, allgemeine Nutzung)Heute noch ein kleiner Sammelbeitrag zu Themen der Cybersicherheit. Es gibt einen freien Rhysida Ransomware-Decryptor für Windows, um verschlüsselte Dateien wiederherzustellen. Der Defender mit kann mit einem Komma ausgetrickst werden, so dass Angriffe nicht mehr erkannt werden. Dann sind einige Cyberangriffe mit Ransomware zu vermelden. Das Krankenhaus Lindenbrunn in Coppenbrügge (Niedersachsen) wurde Opfer eines Cyberangriffs. In Rumänien sind 21 Kliniken durch Ransomware lahm gelegt – hingen alle am gleichen Klinik-Informationssystem. In einer Kommune kann nicht mehr gestorben werden, weil Sterbeurkunden nicht mehr ausgestellt werden konnten. Und so weiter.


Anzeige

Sicherheitslücken und -meldungen

In diversen Produkten gibt es Schwachstellen, die durch Malware, oder aber auch durch Sicherheitsforscher, ausgenutzt werden können. Bei einem Ransomware-Decryptor durchaus hilfreich. Hier ein kurzer Überblick.

Rhysida Decryptor verfügbar

Zuerst die hoffentlich gute Nachrichte für Opfer der Rhysida Ransomware, denen Dateien verschlüsselt wurden. Sicherheitsforscher sind auf eine Schwachstelle gestoßen und konnten einen Rhysida Ransomware-Decryptor für Windows entwickeln, mit denen sich die Dateien ggf. wiederherstellen lassen. Ich verweise an dieser Stelle auf den Beitrag von Bleeping Computer, die das Ganze aufgegriffen haben. Das Entschlüsselungstool für Windows steht auf der KISA-Website (koreanisch) zur Verfügung. Ein technisches Dokument auf Englisch enthält Details.

Defender mit einem Komma ausgetrickst

Die Erkennung von Malware durch den Microsoft Defender lässt sich in Windows durch ein einfaches Komma aushebeln, wie ein Sicherheitsforscher herausgefunden hat. Die Kollegen von heise haben die Details in diesem Beitrag aufbereitet.

Boot-Loader-Schwachstelle in Linux

Beim in Linux verwendeten Boot-Loader shim, der für Secure Boot auf Windows-kompatibler Hardware benötigt wird, gibt es eine Schwachstelle, die viele Linux-Distributionen betraf. heise hat vor einigen Tagen diesen Artikel zum Thema veröffentlicht – die gängigen Distributionen dürften inzwischen einen Patch veröffentlicht haben. Danke an den Leser für den Hinweis im Diskussionsbereich.


Anzeige

OpenVPN und Bitdefender

Gibt noch eine ältere Meldung von Januar 2024 im OpenVPN-Forum, die ich hier mal verlinke. Ein Nutzer bekommt in OpenVPN eine Fehlermeldung, dass der OpenThreadToken-Zugriff verweigert wird. Ein Nutzer weist darauf hin, dass es am Bitdefender-Virenschutz liegt. Er musste die Option Advanced Threat Defense deaktivieren.

RustDesk-Server down, Virenfunde gemeldet

Ich hatte seit Anfang Februar 2024 ja das Thema AnyDesk-Hack hier im Blog auf- und nachbereitet. Einige Leser merkten an, dass sie auf RustDesk ausweichen würde. Seit Ende Januar 2024 sind aber bei RustDesk immer wieder Ausfälle bzw. Überlastungen durch DDoS-Angriffe festzustellen. Auf GitHub gibt es diese Meldung (RUSTDESK IS DOWN: DDOS on Rustdesk Public Servers => Non-Selfhosted Rustdesk does NOT work currently) vom 31.1.2024  dazu.

RustDesk: Verbindung zuRendevous-Server fehlgeschlagen

Es kommt die Meldung, dass die Verbindung über den Rendevous-Server fehlgeschlagen sei. Das Ganze scheint sich aktuell aber entspannt zu haben. Mir sind aber die letzten 2 Wochen Meldungen untergekommen, dass Virenscanner bei RustDesk-Binärdateien angeschlagen und Schadsoftware gemeldet haben. Also hier achtsam bleiben, es kann sich um Fehlalarme handeln, aber es können auch echte Funde dabei sein.

Web.de: Viele Anmeldeversuche

Beim Freemail-Anbieter Web.de fällt bei einer erfolgreichen Anmeldung auf, dass viele hundert vergebliche Anmeldeversuche stattgefunden hätten. Ist mir auch bereits aufgefallen. Da scheinen Angriffe stattzufinden, wo durch Brute-Force die Zugangsdaten geknackt werden sollen. Ist sogar der Bild bereits aufgefallen (danke an den Leser für den Hinweis). Ein Schutz gegen solche Angriffe wäre es, die Mehrfaktor-Authentifizierung (MFA) einzuschalten. Ergänzung: heise hat diesen Artikel mit einigen Informationen dazu veröffentlicht.

QNAP-Advisory und Updates

Der kurze Hinweis eines Lesers auf neue Sicherheitsupdates von QNAP dümpelt seit Anfang Februar bei mir im Postfach (danke für den Hinweis). Es sind diverse Advisories aktualisiert worden, die diverse CVEs betreffen und die Schwachstellen fixen:

CVE-2023-32967, CVE-2023-39297, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45025, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-47568, CVE-2023-48795 und CVE-2023-50359

Der Leser schrieb: Einige der Lücken werden wohl erst mit der Firmware QTS 5.1.5.2645 build 20240116 and later behoben, welche noch sehr neu ist.
Auch wird die neue Firmware als "Staged Rollout" verteilt. Man muss sich im Moment selber aktiv bemühen die Firmware von
dieser Seite zu erhalten.
Es ist ehr ungewöhlich, dass ein Security-Advisory von QNAP so zeitnah nach dem Release einer Firmware erscheint. Könnte ein Hinweis sein, dass das Ganze nicht ganz so harmlos ist.

Cyberangriffe und Ransomware-Fälle

Die letzten Tage fanden einige Ransomware-Infektionen und Cyberangriffe statt. Einige Fälle hatte ich separat thematisiert – nachfolgend fasse ich weitere Fälle zusammen. Es rappelt gewaltig, und Reaktionen der Verantwortlichen lassen sich als "hilflos bis grotesk" einstufen.

BlackCat-Ransomware-Gruppe zielt auf Infrastruktur in Europa

Die Ransomware-Gruppe BlackCat versucht nun, kritische Infrastrukturen in Europa über SerCide zu stören. Sercide ist ein Unternehmen für spezialisierte Dienstleistungen für kleine und mittlere Unternehmen in der Energieverteilung. Deren System wird in 600 Gemeinden in Spanien mit 190 Vertriebsunternehmen eingesetzt.

 Sercide

Ransomware bei Kreyenhop & Kluge

Kreyenhop & Kluge ist Opfer der Hunters International Ransomware-Gang geworden. Das geht aus nachfolgendem Tweet hervor, in dem mich HackManac über den Vorfall informiert hat. Die Hunters International Ransomware-Gruppe gibt an, 438,9 GB an Daten, insgesamt 1.241.127 Dateien, bei der Infektion abgezogen zu haben. Als Frist zur Zahlung eines Lösegeld wurde der 13. Februar 2024 festgelegt.

Gestern war die Unternehmenswebseite für mich nicht zu erreichen. Kreyenhop & Kluge ist eine Import-/Export-Firma bzw. ein Handelsunternehmen, welches seit 90 Jahren (drei Generationen) besteht. Von Oyten, vor den Toren Bremens, importiert das Unternehmen exotische Lebensmittel aus Asien und dem Orient, um Profi- und Hobbyköche in Deutschland und Europa zu beliefern. Das Sortiment umfasst ca. 3.500 Artikel aus dem Food- und Non-Food-Bereich.

Angriff auf Caravan and Motorhome Club (CAMC)

The Register berichtet im Beitrag Europe's largest caravan club admits wide array of personal data potentially accessed, dass Europas größter Caravan- und Wohnmobilclub (CAMC) mit über 1 Million Mitglieder Opfer eines Cyberangriffs wurde. Bisher konnten Experten immer noch nicht  herausfinden, ob die Daten der Mitglieder gestohlen wurden. "Das Cybersicherheitsteam, das die forensische Untersuchung durchführt, kann nicht bestätigen, dass auf Mitgliedsdaten zugegriffen wurde, diese gestohlen wurden oder auf unautorisierte Weise verwendet werden", sagte Nick Lomas, Generaldirektor der CAMC.

Angriff auf Stadtgemeinde Korneuburg

Auf die Stadtgemeinde Korneuburg in Niederösterreich gab es einen Cyberangriff, bei dem die Systeme, einschließlich der Backup-Systeme, durch  Ransomware verschlüsselt wurden. heise hat in diesem Artikel berichtet und auch erwähnt, dass dort keine Sterbeurkunden mehr ausgestellt werden können.

Krankenhaus Lindenbrunn lahm gelegt

Das Krankenhaus Lindenbrunn in Coppenbrügge (Niedersachsen) wurde Opfer eines Cyberangriffs, wie KMA-Online in diesem Beitrag berichtete (via Tweet). Die Klinik, die zum Gesundheits- und Pflegeeinrichtungen Lindenbrunn e. V. (GPL) gehört, stellte laut eigenen Angaben am Abend des 9. Februar 2024 den Cyberangriff fest. Umfang und Ausmaß des Angriffs ist nicht bekannt – es dürfte aber Ransomware sein, weil Forderungen zur Wiederherstellung des Systems eingegangen seien.

Rumänien: Ransomware zwingt 18 Kliniken in die Knie

In Rumänien hat es einen Angriff mit Ransomware gegeben, der als Folge 18 Kliniken in einen Offline-Betrieb gezwungen hat. Die Kollegen von Bleeping Computer haben den Vorfall in diesem Beitrag aufgegriffen und Details verraten.

Ergänzung: Laut diesem Tweet bzw. diesem Artikel mussten min. 21 Krankenhäuser vom Netz genommen werden, nachdem ein Ransomware-Angriff ihr Gesundheitsmanagement-System lahmgelegt hatte.

Offener Brief wegen EHDS

Die EU will die medizinischen Daten von Millionen Bürgern im European Health Data Space (EHDS) zusammenführen. Für diesen Europäischen Gesundheitsdatenraum laufen gerade die finalen Verhandlungen. Netzpolitik hat in diesem Artikel einen offenen Brief thematisiert (siehe folgender Tweet), in dem Bürgerrechtsorganisationen warnen. Die Patienten brauchen mehr Kontrolle über ihre Gesundheitsdaten und ein umfassendes Widerspruchsrecht.

Offener Brief wegen EHDS

Bochum fehlen gelbe Säcke wegen Cyberangriff

Welche praktischen Konsequenzen ein Cyberangriff neben lahm gelegten Verwaltungen haben kann, zeigt nachfolgender Tweet. In der Stadt Bochum gibt es keine gelben Säcke für Plastikabfall mehr, weil Hersteller die 900.000 bestellten Exemplare wegen eines Cyberangriffs nicht liefern können. Die WAZ berichtet hier.

Cyberangriff und gelbe Säcke

Weitere Meldungen

Hier noch einige ganz kurze Meldungen aus dem Bereich Cybersicherheit. Manche echt skurril, andere tragisch und zeigen das Dilemma, in dem Behörden und Firmen stecken.

  • Laut der International Business Times behaupten Hacker aus Bahrain, das System der 5. Flotte der US-Marine erfolgreich angegriffen zu haben.
  • Josef Cox berichtet in diesem Artikel, dass ein Frau eine eine Sammelklage gegen den großen Sexspielzeughersteller Adam and Eve, weil er Informationen über ihre Suchanfragen nach Sexspielzeug an Google weitergibt. Nachfolgender Tweet gibt einen Einblick, was so an Google mitgeteilt wird, was im Einkaufswagen liegt.

Dann gibt es noch das Drama Online-Kfz-Zulassung "i-Kfz", über das ich im Dezember 2023 im Artikel 70% der KFZ-Zulassungsstellen werden wegen Sicherheitsmängel für digitale KFZ-Zulassung (i-KFZ) gesperrt berichtete. Zum 1. Januar 2024 wurden einige Kommunen mit ihrer IT wegen Sicherheitsmängeln für i-Kfz gesperrt. Die Praxistauglichkeit (oder Nichttauglichkeit) beleuchtet folgender Tweet bzw. dieser Beitrag der Tagesschau.

i-KFZ

Und noch ein Splitter, der die "Ahnungs- und Hilflosigkeit" deutscher Firmen und Verwaltungen reflektiert. Die Tage hatte ich im Beitrag Gemeinde Petersberg Opfer eines Cyberangriffs (7. Feb. 2024) den ersten Beigeordnete der Gemeinde, Hartwig Blum, zitiert, der konstatierte: "Ein größerer Schaden konnte verhindert werden, nachdem bereits IT-Experten sowie Sicherheitsbehörden eingeschaltet worden waren."

Schlimmer geht's (n)immer, wie ich die Tage gelesen habe. Da gab es Beiträge wie bei csoonline.com mit der Information, dass die "Justiz bei Cyberangriffen oft machtlos sei". Denn die bösen hacken greifen die Unternehmen aus dem Ausland an, die Täter müssen keine große Angst vor der deutschen Justiz haben. Ausgangspunkt der Berichte ist eine Mahnung des Bitkom-Verbands, dass Unternehmen und Behörden daher mehr Anstrengungen zur Selbsthilfe unternehmen müssen. Lest ggf. bei CSO nach, was der Bitkom zum Thema so beisteuert.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

34 Antworten zu Cyberangriffe: Kreyenhop & Kluge, Kliniken, Schwachstellen und mehr

  1. Otto sagt:

    Hallo,
    das mit den Anmeldeversuchen beobachte ich schon seit Wochen.
    In dreistelliger Höhe hatte ich zwar nicht, jedoch im unteren zweistelligen Bereich.
    LG

    • 1ST1 sagt:

      Auch wenn man selbst entsprechend erreichbare Appliance im Internet hat, in Richtung Webseiten, Gateways, VPN, …, es prasselt überall rein. Wir pflegen hier eine globale Blockliste mit IP-Adressen auf der Firewall, die wöchentlich länger wird. zum Glück sind die meisten Versuche wegen zu allgemeinen Loginnamen wie admin, info, marketing, chef, office, usw. einfach zu erkennen führen eigentlich immer zu kleineren oder größeren Botnetzen. Manchmal schaffe ich es per Abuse-Mails an die ermittelten Provider auch, dem Spuk ein Ende zu schaffen. Manchmal hat das sogar Erfolg, aber am effektivsten bleibt solche IPs auf der Firewall zu sperren.

  2. J. sagt:

    "Da scheinen Angriffe stattzufinden, wo durch Brute-Force die Zugangsdaten geknackt werden sollen. [… ]Ein Schutz gegen solche Angriffe wäre es, die Mehrfaktor-Authentifizierung (MFA) einzuschalten."

    Betrifft zwar nicht web.de, sondern MS365, aber passt trotzdem zum Thema: Hat eigentlich irgendjemand eine Idee, wieso Geoblocks bei MS365 erst greifen, wenn eine Anmeldung bereits erfolgreich war? So laufen trotz umfangreichen Geoblocks (zugelassen sind außer DACH nur eine Handvoll Länder) bei uns massenhaft Loginversuche auf, bei denen der Angreifer das sehr konkrete Feedback bekommt "Logindaten falsch". Theoretisch könne man so per Brute-Force die Zugangsdaten knacken und, wenn man erfolgreich war, über eine DACH-Adresse den tatsächlichen Zugriff durchführen – selbstverständlich vorhandene MFA-Anforderung mal außen vor gelassen.

    Scheint mir irgendwie suboptimal…

  3. Stefan Kanthak sagt:

    Die einzig sinnvolle Antwort auf "Defender mit einem Komma ausgetrickst" lautet seit JAHREN "Hätte uns doch nur irgendwer davor gewarnt, dass SCHLANGENÖL unwirksam ist"!

    JFTR: SAFER https://skanthak.homepage.t-online.de/SAFER.html, AppLocker oder WDAC alias "Windows Defender Application Control" https://schneegans.de/windows/wdac-policy-generator/ bieten wirksamen Schutz nicht nur gegen das Ausführen von DLLs per RUNDLL32.exe (oder REGSVR32.exe, MSIEXEC.exe, …)

    • Bolko sagt:

      In deinem SAFER-Artikel ist ein Link-Fehler im Abschnitt "Download".

      Zitat:
      Download (one of) the setup scripts NTX_SAFER.INF, NT6_SAFER.INF, NT6_SUPER.INF, …

      Dieser 3.Link ist falsch verlinkt, er zeigt auf die falsche Datei.

      Die NT6_SUPER.INF wird auf die Datei NT6_SAFER.INF verlinkt, also genau der selbe Link wie unmittelbar davor. Über diesen Link kann man also die Datei NT6_SUPER.INF so nicht runterladen.

      Ansonsten Top-Artikel

    • 1ST1 sagt:

      Per Applocker die rundll32.exe zu sperren führt einen direkt in des Teufels Küche, probier das mal aus. Bei mir dauerte es keine 5 Minuten bis das erste Mal das Telefon klingelt. Schon der Benutzeranmelde-Prozess macht reichlich Gebrauch davon, das klappt dann nicht mehr. regsvr32, msiexec, wscript, cscript usw. per Applocker zu sperren ist auch nicht unbedingt hilfreich, auch das kann benötigt werden, das muss man testen.

      Es gibt aber für diesen Fall was besseres.

      GPO, User Conf, Policies, Administrative, System und dann

      "don't run specified windows applications"

      und (!!!)

      "restrict these programs from being launched from help"

      Dort kann man dann munter alles mögliche eintragen, was der Benutzer per CMD, Powershell, Explorer, Start/Ausführen und aus der hilfe usw. nicht starten soll.

      cmd.exe, powershell_ise.exe, mmc.exe, powershell.exe,regedit.exe,rundll32.exe, wscript.exe, cscript.exe, finger.exe, curl.exe, fodhelper.exe, pktmon.exe, wsreset.exe, regsrv32.exe, forfiles.exe,

      alles böse!

    • Mark Heitbrink sagt:

      absolut. und nicht zu vergessen: applocker ist seit 10.2022 auch in der Professional per GPO zu regeln.

      Safer/SRP ist besser, da nativ funktional. applocker/Safer2 ist sehr interessant, denn es kann vor der Aktivierung Monitoren.
      da beide jetzt legacy sind, ist WDAC der neue Stern am Himmel

      1, 2 oder 3 … du musst dich entscheiden 3 Felder sind frei …

    • Bolko sagt:

      Ohne rundll32.exe funktioniert der NVidia Grafiktreiber nicht.
      Mit dem "Microsoft Windows Performance Toolkit" und dem darin enthaltenen xbootmgr.exe kann man loggen, was beim Windows-Start passiert.

      Da steht dann auch sowas drin:
      rundll32.exe NVCPL.DLL;NvStartupRunOnFirstSessionUserAccount

      Diese NVCPL.DLL gehört zum NVidia Grafiktreiber und wird vom zentralen Treiberbestandteil "NVDisplay.Container.exe" aufgerufen.

      Wenn man das sabotiert, dann sieht man auf dem Bildschirm nichts mehr.

    • Stefan Kanthak sagt:

      KINDER, wo habt ihr sinnentnehmendes Lesen verlernt?
      "Ausführen von DLLs per RUNDLL32.exe, REGSVR32.exe, … sperren" heisst NICHT "Ausführen von RUNDLL32.exe etc. sperren"!

  4. web.de-User sagt:

    Danke für den Hinweis mit 2Faktor bei Web.de – wusste gar nicht das es dort geht. Hab es soeben eingerichtet.
    Hatte in der Vergangenheit auch extrem viele Anmeldeversuche bei meinem Postfach

    • ZedC sagt:

      Wichtig ist m.M. nach zu erwähnen, dass sich die 2FA bei web.de nur aktivieren lässt, wenn man die web.de App auf einem mobilen Endgerät verwendet.
      Zitat der Hilfe Seite (https://hilfe.web.de/sicherheit/2fa/einrichten.html):
      "Es ist notwendig, dass Sie die Einrichtung der 2-Faktor-Authentifizierung mit der WEB.DE App bestätigen. Dafür müssen Sie in der WEB.DE App angemeldet sein und den Empfang von Push-Benachrichtigungen für die Einrichtung aktivieren".

      Das ist unabhängig davon ob man free- oder Bezahlkunde ist…

  5. Pau1 sagt:

    RustDesk betreibt m.W. keine "echte" Proxy Struktur wie Anydesk etc.
    M.W. gibt's nur 2 Server die zum Ausprobieren und kostenlos sind.

  6. Ti sagt:

    Secure Boot Fehler: Welche gängigen Distributionen denn?

    Ubuntu nicht:
    https://ubuntu.com/security/CVE-2023-40547

    Debian nicht:
    https://security-tracker.debian.org/tracker/CVE-2023-40547

    Fedora 39 hat soweit ich weiß auch noch nichts erhalten:
    https://bugzilla.redhat.com/show_bug.cgi?id=2234589

  7. R.S. sagt:

    Ich beobachte seit einigen Wochen vermehrt Registrierungsversuche in einem von mir betreuten Forum.
    Die Captchas, die bis vor einigen Wochen einen wirksamen Schutz darstellten, scheinen jetzt wirkungslos. Da zeigen sich wohl die ersten Auswüchse von "KI".
    Zu Anfang kamen die Versuche vermehrt aus Russland, aber inzwischen wird das daraufhin eingerichtete Geoblocking ausgehebelt. Die Versuche kommen angeblich aus Großbritannien, Spanien, Frankreich, Kanada, USA, Kasachstan, Polen, etc. Anscheinend nutzen die Leute Proxis, um das Geoblocking zu umgehen.
    Auch Sperren bzgl. Emailadressen werden jetzt umgangen. Meist werden jetzt Web.de-Adressen angegeben. I.d.R. bounct die Mail mit dem Bestätigungslink aber, weil diese Adressen nicht existieren.

    Da scheint also noch mehr im Busch zu sein, es wird wohl auf breiter Front versucht, in jedes noch so kleine System einzudringen, seien es Mailpostfächer, Foren oder größere Netzwerke von Firmen und Behörden.
    Es erweckt den Eindruck einer virtuellen Kriegsführung.

    Um so wichtiger ist es, seine Systeme auf dem aktuellsten Patchstand zu halten und auch seine Systeme aufmerksam zu beobachten.

    Und wenn ich das hier lese:
    "gab es einen Cyberangriff, bei dem die Systeme, einschließlich der Backup-Systeme, durch Ransomware verschlüsselt wurden." dann muß ich mich fragen, wie das passieren konnte?
    Wurde da etwa z.B. ein NAS als Backupmedium genutzt?
    Die Leute kapieren anscheinnd nicht, das Backups auf Offlinemedien gemacht gehören, die ausschließlich für den Zeitpunkt des Backups physisch mit dem zu sichernden Systemen verbunden sind. Und das man mehrere Generationen eines Backups auf jeweils einzelnen Backupmedien hat, sollte auch selbstverständlich sein.
    Und da bietet sich das gute alte Band geradezu an.
    Ein Band ist per se sicher vor Ransomwareangriffen, da es nur zum Backupzeitpunkt beschrieben wird und danach für das System nicht mehr ohne aktives Tun eines Menschen zugänglich ist (Das Band sollte automatisch nach Abschluß des Backups ausgeworfen werden).

    • User007 sagt:

      Hi…

      R.S. sagt:
      "Die Leute kapieren anscheinnd nicht, das Backups auf Offlinemedien gemacht gehören, die ausschließlich für den Zeitpunkt des Backups physisch mit dem zu sichernden Systemen verbunden sind. Und das man mehrere Generationen eines Backups auf jeweils einzelnen Backupmedien hat, sollte auch selbstverständlich sein."

      Pauschal ist das oftmals nicht ganz so einfach – für größere Unternehmen mit eigenen IT-Abteilungen sollte das zutreffen und sicherlich problemlos leistbar sein, aber mir als kleinselbstständigem IT-Dienstleister kommen oft genug Einzel- und Kleinunternehmen "unter die Finger", wo weder die personelle Kompetenz für derlei weitsichtige Bedrohungsszenarien vorhanden ist, noch die finanziellen Mittel für entsprechende Externbetreuung.
      Da entscheidet dann halt schlicht die an der Lebensrealität orientiert existenzbedrohende Priorisierung – und die fällt eben oft zu Ungunsten der Datensicherheit aus. 🤷‍♂️

      Aufgrund der Wichtigkeit, auch und insbesondere für einen sich wandelnden Anforderungs- und Arbeitsmarkt, gehört diese Thematik bereits in der Schule gelehrt.

      • R.S. sagt:

        Naja.
        Man gebe dem Einzelunternehmer 5 USB-Festplatten in die Hand, beschrifte die mit Montag, Dienstag, Mittwoch, Donnerstag, Freitag. Dann installiere man ihm ein Backupprogramm auf den PC und richte dort ein, das die Datensicherung auf USB-Platte erfolgt und dann der PC, wenn das Backup abgeschlossen ist, herunterfährt.
        Jetzt dem Kleinunternehmer nur noch sagen, er soll die entsprechend des Wochentages beschriftete Festplatte zu Feierabend anstöpseln und den PC an lassen. Am nächsten Morgen stöpselt er die Festplatte ab und startet den PC.
        Das bekommt jeder hin!
        Und für Einzelunternehmen reicht so eine sehr simple Backupstrategie aus. Sie ist auf jeden Fall besser als gar kein Backup und man kann sogar im Zweifel bis zu 4 Generationen im Backup zurückgehen. Und die 4 Generationen sind offline, können also von Ransomware nicht verschlüsselt werden.
        Verloren ist bei einem Ransomwarevorfall dann nur die Arbeit des aktuellen Tages.

        Für größere Unternehmen braucht es dann allerdings ausgefeiltere Backupstrategien.

      • Luzifer sagt:

        naja sorry kein Backup kein Mitleid! Und ne Klitsche die meint darauf verzichten zu können, tja die geht bei nem erfolgreichen Angriff eben vor die Hunde… Nen Verlust? Mitnichten!

        • Knusper sagt:

          Sorry, ich vermute, du hast wenig Ahnung von "Klitschen". Hierzulande selbständig zu sein ist schwierig genug, da kann es durchaus sein, dass man keinen schlauen Admin hat…

          • R.S. sagt:

            Dazu braucht es keinen schlauen Admin, ja noch nicht einmal einen dummen Admin oder überhaupt einen Admin, sondern nur minimales Nachdenken.
            Aber in Kleinfirmen existiert leider i.d.R. keinerlei Notfallplan für irgendetwas.

      • Bernd B. sagt:

        Jeder Firmenchef sollte das Wort "Sicherheitskopien" kennen, auch die unwissendsten und kleinesten Betriebe. Wer nicht sollte seinen Computer verschenken und wieder mit Zettel und Stift arbeiten. USB-HDDs gibts für 100 Euro…

    • Exchadmin sagt:

      Viele unserer Kunden sehen schlicht keine Notwendigkeit für eine Tape-Lösung, egal wie drastisch die Konsequenzen durch Ransomware sein mögen. Im Gegenteil, geht die Speicherkapazität eines Backupstorage zu Neige, werden die Wiederherstellungspunkte noch und nöcher reduziert, statt die Speicherkapazität zu erhöhen.
      Wie sagt man so schön, das Kind muss erst in den Brunnen fallen…

      • R.S. sagt:

        Ich sichere in der Firma schon seit Urzeiten auf Band.
        In den späten 1990er noch auf DC2120-Bändern (120 MB), bis hin zu DC2120EX (400 MB), dann auf DDS 3 bis 5 und danach bis heute auf LTO.
        Früher nur 1 mal die Woche, seit DDS täglich.
        Mehrere Generationen werden außer Haus gelagert, damit auch bei Elementarschäden, wie Brand o.Ä. die Daten nicht verloren sind.

        • Aleku sagt:

          Und wie wird ein Restore im Worst Case Szenario (alle Server inkl. Backup-Software platt) durchgeführt? Installations-Medien und Lizenz-Schlüssel parat?

          • R.S. sagt:

            Recovery-Medium ist mehrfach vorhanden und wird außer Haus gelagert.
            Es braucht dann nur neue Hardware.
            Recovery-Medium rein, Hypervisor und Backup-Programm davon aufs Blech installieren und dann von den Bändern die ganzen VMs und Daten wieder herstellen.

            Aber bei einem Brand sind die Server das kleinere Problem.
            Die ganzen Clients wären dann ja auch betroffen und müssten neu angeschafft werden und dann in die Domäne geschubst werden. Dazu die ganze Software (wobei die von einem Installationsserver installiert werden kann).

    • Ano sagt:

      Wir haben politische "Unruhen".
      Wir haben einen Fachkräftemangel.
      Wir haben u.a. dadurch einen Drang zur Zentralisierung.
      Wir (und auch die "Anderen") haben eine immer stärkere KI mit immer mehr Ressourcen.
      Wir haben eine immer komplexere IT-Umgebung (nicht nur OnPrem, sondern zusätzlich noch Cloud oder gar Hybridlösungen mit diversen "Playern")
      Wir sollen/wollen/müssen digitalisieren.

      Man kann man an drei Fingern zählen, wohin das noch führen wird…

      • Anonymous sagt:

        Wir haben uns auf allen nur möglichen Ebenen in externe Abhängigkeiten begeben, die jetzt dem einen oder anderen schlagartig klar werden. Die meisten verdrängen das aber noch und beheben die erscheinenden Probleme mit noch mehr externen Abhängigkeiten. Einige wenige haben davor gewarnt und wurden und werden verunglimpft. Der GAU ist nur eine Zeitfrage.

  8. Bolko sagt:

    Stromausfall im deutschen Verteidigungsministerium, im Hauptsitz Bonn-Harthöhe.
    Sogar der Notstrom funktionierte nicht.
    Die Kommunikation über Datenleitungen und Telefon mit den anderen Amtssitzen in Berlin war dadurch auch gestört.
    Das sieht schwer nach Hackerangriff bzw Sabotagetruppe aus.

    www[.]bild[.]de/politik/inland/politik-inland/auch-die-notfallversorgung-versagte-stromausfall-bei-der-bundeswehr-87152306.bild.html

  9. Pater Rolf Hermann Lingen sagt:

    Meine Schwester, Zahnärztin Dr. Esther Lingen, hat ihre Praxis aus zwei scheinbar sehr verschiedenen (natürlich faktisch identischen) Gründen geschlossen: a) "Corona", b) Versichertenkarte.
    Es musste sofort jedem klar sein, dass weder totale Überwachung noch totale Manipulierbarkeit von Daten der Volksgesundheit zuträglich ist. Mittlerweile will aber praktisch die gesamte Bevölkerung genau so ein System. Freiheit wird seitens der Bevölkerung nicht toleriert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.