Gelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich

Sicherheit (Pexels, allgemeine Nutzung)Noch ein kleines Sonntagsthema, was ich hier mal im Blog zur Diskussion einstellen möchte. Mir kommen ja immer wieder Stimmen aus der Gruppe der Administratoren und IT-Sicherheitsverantwortlichen in Unternehmen unter. Kürzlich hat mir jemand aus diesem Umfeld seine ernüchternden Erfahrungen im Bereich IT-Sicherheit in Unternehmen und speziell für den KRITIS-Bereich geschildert. Er meinte, das wäre sicher Stoff für einen kleinen Blog Beitrag. Es geht um das Thema "gelebte Verantwortungslosigkeit in Chefetagen in Bezug auf IT-Sicherheit". Die Frage ist, ob das ein "Einzelfall" bzw. "Schauermärchen" ist, und was die IT-Sicherheitsverantwortlichen aus dem Kreis der Leser zu diesem Thema zu sagen haben.


Anzeige

Hey, wir haben eine "Situation"

Hier im Blog berichte ich ja "gelegentlich" über so Sachen wie Hacks und Ransomware-Infektionen. Kommt nicht so wirklich oft vor, ist sozusagen ein "seltener Normalfall" in deutschen Unternehmen, hätte Karl Valentin konstatiert. Spannend finde ich die Reaktion der Verantwortlichen, die auf die Frage "wie konnte das nur passieren?" Aussagen der Art "es waren Hacker mit extrem krimineller Energie am Werk", "denen es gelungen ist, unsere vorzüglichen Sicherheitsmaßnahmen zu überwinden", "aber von solchen Angriffen hört man ja jetzt ständig", und "wir arbeiten mit Hochdruck an der Wiederherstellung der Systeme" zu Protokoll geben.

Kannst Du dann hinter die Kulissen schauen, was selten genug gelingt, sträuben sich einem, ob der Fehler, Versäumnisse und Schludrigkeiten, die Nackenhaare. Eine Sternstunde war die Ransomware-Infektion beim Kommunal IT-Dienstleister Südwestfalen-IT, die ich hier im Blog ja begleiten durfte. Hier hatte Gelegenheit, den mir überlassenen Forensik-Bericht für die Leserschaft aufbereiten zu dürfen (siehe Links am Artikelende). Dies erlaubte einen Blick, was da alles schief gelaufen ist.

Beim AnyDesk-Cybervorfall war erst nur von einer technischen Störung die Rede. Erst auf meinen Blog-Beitrag, in dem ich den Verdacht äußerte, dass da mehr dahinter steckte, kam Bewegung in die Sache. Ähnlich wie in anderen Fällen tröpfelten vage Informationen bei mir ein, die ich mit etwas Erfahrung und öffentlich verfügbaren Informationen schrittweise zu einem Gesamtplot zusammen setzen konnte. Auf Grund meiner Vermutungen sah sich der Anbieter Schritt für Schritt zur Offenlegung bzw. Bestätigung meiner Vermutungen gezwungen. Das Ganze ist inzwischen zu einer aus 12 Teilen bestehenden Artikelreihe angewachsen (siehe Link am Artikelende). Was dort falsch gelaufen ist, weiß ich bis heute nicht, aber der Anbieter steht mit seiner Offenlegungspolitik nicht gut da.

Wir machen mal in Cybersicherheit

Auf Grund der Berichterstattung hier im Blog kommen auch immer wieder Leser mit Informationen und Fragen auf mich zu. Ein Leser wies auf die anstehende NIS-2-Richtlinie hin. Damit will die EU die Cybersicherheit in Unternehmen und Behörden verbessern. Im Dezember 2023 hatte ich dann hier im Blog über die NIS-2-Richtlinie (NIS steht für Network and Information Security) berichtet – siehe NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.

Diese NIS-2-Richtlinie legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. NIS-2 betrifft mehr Unternehmen als die seit 2016 geltende Richtlinie NIS-1 und verspricht die Unternehmensführung mehr in die Haftung zu nehmen, muss aber erst zum 17. Oktober 2024 von betroffenen Unternehmen verpflichtend umgesetzt werden.

Kommentar zum NIS-2-Gesetz

Manual Atug von der AG KRITIS hat kürzlich bei heise im Artikel Kommentar zum NIS2-Gesetz: Jetzt haftet endlich der Chef für Cybersicherheit die Umsetzung umrissen – aber die Tage auch auf X gepostet, dass die gesetzliche Umsetzung in Deutschland wohl nicht bis zum Stichtag fertig würde.

Die Praxis: Ein Blick in den Abgrund?

Mit obigen Ausführungen haben wir einen schönen Plott in Sachen Cybersicherheit. Es gibt "schöne Gesetze", wir legen fest, wer unter KRITIS fällt und alles wird schön "Cyber-sicher". Leute mit "schwarzer Seele" meinen womöglich "ich glaube dem schönen Schein nicht, alles Fassade". Mir war kürzlich schon das Klagelied eines IT-Sicherheitsverantwortlichen im Bereich kritischer Infrastrukturen untergekommen. Dort wurde von "gelebter Verantwortungslosigkeit" im Management geflüstert.


Anzeige

Obwohl im Unternehmen standardisierte Verfahren für den Umgang mit Informationen und Dokumenten gelten, herrscht wohl Wildwuchs. Vertrauliches, was mit Office 365 in die Cloud wandert, Dokumente und Geschäftsgeheimnisse, die vom Management oder Angestellten mal eben auf OneDrive gespeichert oder mit Dritten ausgetauscht werden, und so weiter. Dass Dokumente in Unternehmen dann mal eben per WhatsApp verschickt werden, ist mir auch schon mal aus dem Kreis der Leser genannt worden. Der tägliche Wahnsinn, und der IT-Sicherheitsverantwortliche bekommt bei Hinweisen auf Missstände die erstaunte Antwort "Wieso? Machen doch Alle so!".

In dieses Schema passt auch eine Schilderung der ernüchternden Erfahrungen von jemand,  der ebenfalls im Bereich IT Sicherheit in Unternehmen und speziell im Umfeld des KRITIS-Bereichs tätig ist. Ich habe hier mal in extrem geraffter Fassung die Haltung des Managements in Sachen IT-Sicherheit zusammengefasst:

  • Erkenntnis: IT-Sicherheit ist ein leidiges Thema für nicht ITler, die Anwender nervt das Thema doch nur!
  • Schlussfolgerung: Wenn IT-Sicherheit, dann bitte nur in kleinen Dosen und nicht zu viel, man muss ja noch arbeiten können.
  • Beschluss: IT-Sicherheit, nur so viel wie gerade gefordert ist, mehr braucht man nicht. Außerdem kostet das Geld, da muss gespart werden.
  • Delegation: Die IT ist alleinig für die IT-Sicherheit verantwortlich, das sich ja die Fachleute, und die IT trägt auch die Verantwortung, einer muss schließlich Schuld haben.

Für mich kristallisiert sich auch die Haltung: "Wir haben das alles an einen externen Dienstleister oder die Firma xyz delegiert, die wissen schon was sie machen" aus manchen Gesprächen heraus. Nur so ist der teilweise blauäugige Trend hin zur Cloud, ohne Wissen um Zusammenhänge oder Planung, zu erklären.

Interessant war für mich in einer Unterhaltung, dass im Bereich des Managements der Eindruck besteht, dass die NIS-2-Richtlinie nicht kommen werde, und man glaubt, nichts machen zu müssen. Verkannt wird, dass dies eine EU-Vorgabe ist, die in nationales Recht umzusetzen ist. Im Fall der Fälle wird es also für die Verantwortlichen eng (NIS-2 führst man nicht in 2 Tagen ein).

Ich kenne es aus meiner früheren Tätigkeit (Großchemie), dass da versucht wurde, vom Vorstand und obigeren Management die Verantwortung zu delegieren. Bei großen Ereignissen kann es dann aber die Verantwortlichen bis an die Konzernspitze treffen. Der Prozess gegen Dr. Martin Winterkorn, ehemaliger VW-Vorsitzender, wegen der verbotenen Abschaltvorrichtungen, ist ein solches Beispiel.

Momentan scheinen sich einige Geschäftsführer auf dem Standpunkt "Hauptsache gut versichert" ausruhen zu wollen und lassen vorsorglich ggf. die Geschäftsführer-Haftpflichtversicherung (D&O-Versicherung) und möglicherweise die Cyberversicherung auf ausreichende Versicherungssummen prüfen. Dass das aber schnell nach hinten los gehen (wenn den Verantwortlichen Versäumnisse oder Verstöße gegen Richtlinien nachgewiesen werden) oder unbezahlbar werden kann. Aber das wird wohl ignoriert.

Ende 2022 hatte ich im Beitrag WWK Versicherungen vom Cyberangriff betroffen, Attacken bald nicht mehr versicherbar auf eine Entwicklung bei den Assekuranzen hingewiesen. Branchen-Primus Zurich warnte bereits 2022, dass Cybervorfälle wegen steigender Schäden nicht mehr versicherbar seien. Da könnte man bald im Regen stehen – und auch Haftpflichtversicherungen für das Management könnten sich ggf. zum Problem entwickeln.

Als ich die Schilderung des Betroffenen vernahm, ging mir "häh, haben wir Märchenstunde, so was macht doch kein vernünftiger Mensch, und schon gar nicht im KRITIS-Bereich" durch den Kopf. Aber es scheint dem Hinweisgeber bitterer Ernst zu sein. Er meinte, dass die Sicherheitsleute in der IT mehr oder weniger "das Fangnetz für alles, was so passiert" seien. Leider würde immer häufiger etwas passieren (es wurde von Dunkelziffer gemunkelt, was man nicht mit bekommt). Das Management schert sich einen Dreck um Cybersicherheit. Die IT muss dann schauen, ob durch Handlungen des Managements "IT-mäßig aufgerissene, offene Türen böse Buben animiert haben, sich in den IT-Netzen bzw. der Infrastruktur umzusehen". Erlebe ich hier in den Kommentaren zu Blog-Beiträgen um das Thema IT-Sicherheit auch immer wieder. Es kommt von einem Leser ein Vorschlag zur Verbesserung der Sicherheit, und schon folgt ein Kommentar eines zweiten Lesers: "Führe das von der IT mal im Unternehmen ein, wenige Stunden später wird das auf Weisung vom Chef wieder kassiert".

Mancher Betroffene denkt über einen Wechsel des Arbeitgebers nach, da er sich an fünf Fingern abzählen kann, dass er dran ist, wenn es knallt. Sofort kommt die Frage an die IT "Warum habt ihr nix gemacht", die IT-Sicherheit wurde ja delegiert. Der Betroffene fragt sich, ob es überall gleich ist? Konkret:  Besteht überall, vor allem bei kleinen und mittleren Energieversorgern oder anderen Unternehmen, der gleiche Kampf gegen Windmühlen und die oben skizzierte Ignoranz des Managements?

Gefühlt meint man, so etwas aus dem KMU-Umfeld zu kennen. Da ist oft einfach kein Geld für IT-Sicherheit vorhanden und es wird einfach gewurschtelt. Die Frage, die sich angesichts des Beitrags stellt: Ist die Situation bei euch draußen auch so? Ist es schlimmer oder besser? Welche Rolle spielt Cybersicherheit in euren Unternehmen? Ist IT-Sicherheit Chefsache (wie man schon mal in Hochglanz-Broschüren oder Sonntagsreden vernimmt), oder wird die IT klein gehalten? Hier könnt ihr im Kommentarbereich zu Wort kommen.

PS: Mich persönlich erinnert dies an meine Situation vor ca. 31 Jahren, als ich erkennen konnte, dass mein Arbeitsumfeld im damaligen Unternehmen "bald geschlachtet werden könnte" und zudem für mich persönlich "gläserne Decken" von Vorstandsebene eingezogen worden waren. Ein Wechsel von Unternehmen A zu einer adäquaten Position in Unternehmen B konnte ich mir damals nicht vorstellen. Denn durch meine Mitarbeit in Normengremien kannte ich einige Interna großer potentieller Arbeitgeber, und wusste, ich komme "vom Regen in die Traufe". Für mich persönlich hat sich ja dann ein interessanter und herausfordernder beruflicher Lebensabschnitt ergeben, den ich im Beitrag Jubel(arien): 16 Jahre IT-Blog, 20 Jahre Blogger und 30 Jahre freier Autor), und zum 1. Oktober 2023 im Blog-Beitrag It's done: 30 Jahre als Freier Autor … umrissen habe.

Ähnliche Artikel:
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

114 Antworten zu Gelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich

  1. Norddeutsch sagt:

    Danke für den Artikel. Ja, mE ist es "da draussen" so. Es gibt es eine enorme Dunkelziffer von Defiziten und Zwischenfällen sowie gelebte Verantwortungslosigkeit.

    Aus wissenschaftlicher Sicht gibt es bei Risiken zB die Optionen der Reduktion, Mitigation und Akzeptanz.
    Neu hinzufügen müsste ich in die Literatur: Die Risiko-Ignoranz.

    Ich jedenfalls kämpfe weiter für vernünftige, wirtschaftliche (TCO, ROSI, Transparenz) & auditsichere IT und IT-Sicherheit.
    Dies auch für – bei mir schon 2-stellige Millionen – betroffenen Mitbürger. Auch auf Dich hab ich da wohl schon aufgepasst ;-) .

  2. Blackii sagt:

    Moin,

    bei uns hat mein schon beim Thema Datenschutz gemerkt, dass sonst keine Person aus dem Kollegium Lust darauf hat. Einmal im Jahr für den eigenen Bereich das Verfahrensverzeichnis durchschauen. Nein, danke und dabei wird daran erinnert und per Dienstanweisung verpflichtet.
    Informationenssicherheitn und Datenschutz sehen viele als, dass kommt von der IT. Die wollen uns nur ärgern.
    Dazu kommt, dass die Leute zu viel Arbeit auf den Tisch haben und das nicht auch noch machen wollen…
    Das Motto der Führungsspitze ist, Hauptsache die IT läuft.

    Das schlägt sich dann auch ab und zu per Budgetplaungen nieder.

    Es ist spät und man könnte noch so viel mehr schreiben. Soll für mich erstmal reichen.

    Gute Nacht und

    mfG,
    Blackii

    • Henry Barson sagt:

      Und da ist schon der Fehler, Verfahrensverzeichnis einmal im Jahr? Sowas muss tagtäglich gelebt werden, das muss ins Blut übergehen, so wie ein steter Tropfen den Stein (aus-)höhlt.
      Was ihr macht ist Compliance-Müll (übrigens der gleiche Quatsch wie ISMS, da gehe ich ausnahmsweise 1:1 mit fefe d'accord), wo man einmal im Jahr dem Chef die Liste mit den grünen Häkchen überreicht, das führt unweigerlich in den wohlverdienten Abgrund, zumal im Falle eines Falles dann trotz grüner Häkchen nie der Kopf des Chefs rollt, sondern immer des nächsten Unterstellten.
      Generell sind diese ganze "Management"-Geschichten weites gehend wertlos, Probleme/ Aufgaben wollen nicht verwaltet, sondern gelöst/ erledigt werden, wer das anders sieht, ist einfach nur im falschen Beruf.

  3. Rolf sagt:

    In vielen Firmen geht es nur um das Vermeiden von Verantwortung, ohne tiefere Kenntnis bzw. Interesse werden Sicherheitsprodukte bzw. Pentests derselben zugekauft, eine ganze Industrie lebt sehr gut davon, siehe z.B. it-sa Messe. Kommt es dann irgendwann zu einem Problem, schiebt man die Schuld auf die Sicherheitslösung und beschafft eine andere bzw. zusätzliche. Das eigene Fachwissen in Firmen nimmt dadurch stetig ab.

    • 1ST1 sagt:

      Wobei es durchaus sinnvolle Sicherheitssoftware gibt, die tatsächlich eine große Hilfe darstellt. Wähle mit Bedacht! Das Problem dabei ist nur, die erstmal zu finden, denn das sind nicht unbedingt die Marktschreier, welche die wirklich guten Tools haben.

    • 1ST1 sagt:

      Apropos Pentest… Haben wir letztes Jahr gemacht (und sind dabei nicht sonderlich gut weggekommen, haben jede Menge Sachen nacharbeiten müssen), aber die Kröung war, dass der Ergebnis-Report in Form von *.doc und *.xls vom Pentester geschickt wurden. Als ich ihn dann fragte, ob das Dateiformat auch zum Pentest gehört, oder ob es nicht sinnvoller gewesen wäre, Macro-freie Dateiformate zu erzeugen, reagierte er etwas betreten… Ansonsten war der Pentest aber ziemlich hilfreich.

  4. Michael sagt:

    Möchte gerne die Liste um 2 weitere Aspekte ergänzen.

    Erst Mal die Kommunikation mit Management oder anderen Abteilungen, die IT relevante Entscheidungen treffen, ist oft mangelhaft.

    Branchensoftware und OT sind eine Katastrophe, was IT Security angeht. Die haben oft 0 Ahnung, was sie da eigentlich tun auf IT Seite. Es werden zB veraltete Softwarekomponenten wissentlich ausgeliefert, die dann Sicherheitslücken enthalten, teils wird dann so eine Software bei Kunden so im Internet betrieben.

    Im OT Bereich, ist es noch viel schlimmer, man darf das System nicht patchen OK, aber es wird auch 0 gehärtet, da muss man immer Security drum herumbauen. Verstehe ja ein Anlagentechniker will nur dass die Maschine in einem definierten Zustand läuft, OS Patches od. Softwarekomponenten Patches können da zu einem Problem werden, aber es wird auch zu einem Problem werden, wenn die OT Branchen hier nicht mehr zur Verantwortung gezogen werden und nicht auch ein wenig mehr sich um IT Security kümmert.

    PS: die NIS2 macht eigentlich so gut wie keine techn. Vorgaben. Diese Richtlinie gibt hauptsächlich Vorgaben zum IT RiskManagement.

    • Anonymous sagt:

      Branchensoftware bin ich da ganz bei dir,
      selbst die NIS2 bringt nix, wenn ich am Ende doch wieder so irgendwo quasi unsichere Software einsetzen will (weil läuft seit 20 jahren so) / muss (weil es keine Alternative gibt), klar es grenzt die Schadensweite im besten Fall ein, aber das Problem wurde damit nicht gelöst!, und der dafür benötigte Aufwand ist verhältnismäßig -> enorm für mittelständische Unternehmen (50+ Mitarbeiter).

      Die Schätzungen bzgl. ca. 30.000 Unternehmen, die betroffen seien, glaub ich mittlerweile auch nicht mehr, da ich mit mit der Materie auch auseinander setzen darf. Alleine die saubere Lieferkette sorgt für Überraschungen wie am Fließband.

      Die NIS2 gibt dir zwar nicht vor WIE du etwas umsetzen sollst, aber sie gibt dir vor WAS du umzusetzen hast, und daraus ergeben sich automatische etliche technische Anforderungen und Problemstellungen abhängig von deine bestehenden IT-Landschaft.

      Für mehr saubere und aktuelle Branchensoftware setz ich mal auf den Cyber Resilliance Act, auch wenn er vielen Entwicklern nicht schmecken wird.

      Im OT Bereich wurden ebenfalls Dinge geändert oder sind aktuell noch in Bearbeitung, es dürfte sehr spannende Zeit werden bis ca. 2027 wenn man die jeweiligen Übergangsphasen mal mit rein nimmt.

    • Peter sagt:

      Das mit der Branchensoftware möchte ich unterstreichen.
      Unsere Hauptsoftware ist bzgl. Datenbankzugriff und zusaetzlicher Webkomponente (IIS) ein Kraus. Standardkonfiguration des Hersteller ein Witz.
      Wenn ich sehe, dass das genau so als Cloudanwendung ohne MFA etc. betrieben wird, warte ich nur, dass das mal richtig nach hinten los geht. Für gezielte Angriffe ist die Branche aber eventuell erstmal zu klein.

    • 1ST1 sagt:

      Oh, ja Branchensoftware und Speziallösungen… Das ist ein wahnsinniges Gebastel! Da werden teilweise DLLs und Cabs ausgeliefert, die zwar signiert sind, wo aber die Zertifikate schon seit Jahren abgelaufen sind. Da werden zur Laufzeit der Software unsignierte Exe-Dateien, DLLs und Scripte dynamisch aus dem Internet nachgeladen und sollen aus dem Benutzerprofil ausgeführt werden, was dann wieder zu Geschimpfe seitens der Anwenderschaft führt, weil das mit den Applocker-Regeln kollidiert oder der Antivirus sogar PUA-Alarm schlägt. Wieder andere solche "hochprofessionellen" Tools wollen unbedingt irgendwelche Konfigurationsdaten, Logs oder so im Programmverzeichnis oder sogar im Windows-Ordner ablegen, alles schon gesehen. Und der ganze Dreck bringt jeweils seine eigene veraltete java.exe und nen eigenen uralten Chromiumbwoser mit, oder kopiert den erstmal aus dem offiziellen Programmordner ins Nutzerprofil um den von da auszuführen. Da gehts dann um Millionenaufträge die mit der Software bearbeitet wird und man kann das ganze Härtungskonzept einreißen, nur damit der Schrott läuft, und das schon Gestern. Und wenns dann geknallt hat, ist man schuld, weil man ja nicht genug vor dem Sch… gewarnt hat.

      • NoName sagt:

        re:Oh, ja Branchensoftware und Speziallösungen…

        Hör mir auf, da drückt dir der GF eine gekaufte Plakat-Software in die Hand und sagt Lizenz ist mir zu teuer für alle Fillialen, hack das mal und installiere das überall, wie egal gibt doch Tools im Inet, so sieht die tägliche Wirklichkeit aus im IT-LEH-Handel.
        Da läuft noch viel viel mehr als das.

        Nix mit mir der nächste 1. war da mein letzter. :)

        • Andy sagt:

          "[..] hack das mal und installiere das überall […]"

          So lange sich ein Depp findet, der sich für solche Leute strafbar macht…
          Jeder mit ein wenig Resthirn geht lieber Kisten im supermarkt stapeln, um seinen Lebensunterhalt zu verdienen, als ein solchen Aufforderung zu folgen.

  5. Uwe sagt:

    Die meisten User haben wenig Kenntnisse, die IT hilft denen bei der Arbeit, der Datenschutz behindert.
    Psychologisch ist daher ein unverantwortlicher Verhalten erklärbar. Viele Mensch können mit RisikoWahrscheinlichkeiten extrem schlecht umgehen, das Thema überfordert viele einfach intellektuell. Beispiele waren die wahnsinnigen Maßnahmen in der Pandemie, Beispiele sind der irrationale Umgang mit gesundheitlichen Risikofaktoren und der Geldanlage.
    Da wird sich auch mit drakonischen Strafen wenig ändern. Auch in der IT wird es eine Evolution geben im Sinne des Survival of the fittest.

  6. Mark Heitbrink sagt:

    ich höre seit 30 Jahren beim Kunden dieselben Sätze: das können unsere Anwender nicht, das können wir ihnen nicht zumuten, nein, das geht hier nicht.

    in der Basis ist schon seit 40 Jahren versäumt worden den ECDL oder ähnliches einzufordern. jeder depp darf eine Atombombe haben aka PC/Notebook mit maximaler Auswirkung im Unternehmen, aber keiner erklärt es ihnen oder fordert einen Maschinen Führerschein. jede andere Maschine braucht das .

    und dann kommen die administratoren, die lieber die Verantwortung in das nächste EDR, NMR, XDR verlegen, als endlich ihren Job zu machen.

    die Management Ebene hat idr gar keinen Plan oder irgendeine Form von awareness.

    ich kann haarsträubende Geschichten aus allen Branchen erzählen, lasse es aber lieber, einige Kunden lesen hier mit :-)

    es gibt auch richtig gute, die extrem viel tun, die Geld in die Hand nehmen .. achso, das sind die, die es schon einmal erwischt hat …

  7. JaLA sagt:

    Es geht durchaus Anders.

    ich arbeite bei einem Mittelstandsunternehmen das unter anderem IT Consulting betreibt. Hier wurde von großen deutschen Autobauern vor ein paar Jahren die Umsetzung der TISAX Richtlinien gefordert um die Art der Aufträge zu behalten.
    Es war also vom Vorstand gewollt, dass _alle_ einen Paradigmenwechsel hinlegen. Wir haben also begonnen Infrastruktur as Code zu schreiben und mehr Abstraktionsebenen einzuführen. User und Systeme sauber zu trennen und VPN Access auf LDAP Gruppen Zugehörigkeit zu bauen u.v.m.

    Das in Verbindung mit den eingeführten Prozessen war nicht das Problem. Das Problem ist tatsächlich die Kommunikation mit den Mitarbeitern meiner Ansicht nach. Es gleicht einer Kampagne die wir stetig fortführen müssen weitere Einschränkungen zu erklären und für Akzeptanz zu werben.
    Die Leute müssen verstehen wieso man WhatsApp nicht benutzen darf und auf der anderen Seite muss es eine Struktur geben die die Bedürfnisse der Kollegen erfüllt um die entstehende Lücke zu füllen.

    Und da sehe ich mich in der Verantwortung dieses Bedürfnis zu erkennen. Ich selbst finde das ständige erklären auch extrem anstrengend.
    Wenn man den Vorständen die Risiken vorlegt die sie aus ihrem Verhalten heraus zu akzeptieren haben, für das sie dann 'haften' , denken zumindest unsere 2 mal nach ob das was sie da machen gerade Sinnvoll ist.
    #erklärenhilft

    • Marcel sagt:

      Das unterschreibe ich sofort.

      Mitarbeiter in die Prozessen (z.B. auch beim Testen von Optionen) einbinden, Alternativen bieten, Entscheidungen ausführlich erklären/dokumentieren oder Gesprächsformate für Fragen anbieten hilft. Das ist wirklich anstrengend, wird aber mit viel besserer Akzeptanz durch die Kolleginnen und Kollegen belohnt und baut auch "Hürden" ggü. der IT ab, so dass man auch mal vorher gefragt wird.

      Und bzgl. Risiken, Vorständen und Haftung: Risikoanalyse, Alternativen zeigen und schriftliche Freigabe darauf erzwingen. Im Zweifel kann man das später ausdrucken und vor die Nase halten. Das hilft auch gut gegen "Schnellschüsse" aus der Führungsetage…

  8. Sascha Volk sagt:

    Ich arbeite seid über 20 Jahren mit Kleinfirmen (max 50 Mitarbeiter). Da ist es mit Sicherheit und Datenschutz nicht weit her. Wir wollten auch Themen wie 2FA bei Microsoft 365 und VPN Anmeldungen einführen. Das ist alles gescheitert da in diesen Firmen die Mitarbeiter zB keine Firmenhandys haben und sich weigern einen App auf ihr Privat Handys zu installieren. Yubi Keys war zu aufwendig und zu teuer. Mittlerweile haben wir eingesehen das es keinen Sinn mehr macht den Mitarbeitern solche Mechanismen aufzuzwingen wenn nicht das ganze von der Geschäftsleitung kommt. Die Geschäftsleitungen wollen sich damit aber auch nicht beschäftigen das es keinen Druck vom Staat gibt. So bleibt es in unserer Verantwortung die Firmen soweit abzusichern, es den Eindringlingen so schwer wie möglich zu machen und ein schnelles wiederherstellen der Daten im Ernstfall zu ermöglichen. Da haben wir eigene Sicherheitskonzepte entwickelt die auch bei den kleinsten Firmen greifen.

    • Daniel sagt:

      Dass sich die Mitarbeiter weigern ein App auf dem Privathandy zu installieren kann ich nachvollziehen. Halte ich persönlich auch so privat bleibt privat. Wenn mein Arbeitgeber möchte dass ich eine App auf dem Smartphone nutze dann auf einem betrieblichen Smartphone. Und dass IT-Sicherheit in kleinen Unternehmen klein geschrieben wird ist für mich auch logisch einerseits ist das Geld an allen Ecken und Enden knapp und andererseits kann man mit begrenztem Personal überhaupt nicht mehr hinterher kommen bei den ganzen Lücken die vor allem Microsoft im wieder aufreißt oder die als Standard schon da sind.

      • Michael sagt:

        Apps die Allgemein funktionieren und das System weder beeinflussen noch einen großen Footprint hinterlassen, wie eine 2FA App, ist aber meiner Meinung nach nicht zu viel verlangt, dass man die auch am Privattelefon verwendet. Im Gegenzug lernt man auch für den Privatbereich den Umgang mit 2FA.

        • Anonymous sagt:

          Schon von der psychologischen Seite ist diese Trennung von Arbeit und Privat etrem wichtig.

          Das Mischen der privaten 2FA Zugänge mit den betrieblichen 2FA Zugängen ist auch absolut unverantwortlich.

          Weiterhin muss das private Handy dann ja auch entspreched abgesichert werden z.B. eine Displaysperre mit Pin aktiviert werden. Schwierig auch die Problematik das die 2FA Datebank dann vielleicht im privaten Cloud Backup des Nutzers landet.

          Der vorgeschlagene Weg ist sowohl aus Datenschutzgründen als auch aus Gründen der IT-Sicherheit Murks.

          Demnächst muss ich dann auch meinen eigenen Computer zur Arbeit mitbringen weil der Chef zu knausrig ist!

          • Thomas sagt:

            Nein, du darfst ganz Zuhause bleiben wenn dein Chef dir kündigen muss weil wegen Ransomware die Geschäftsgrundlage abhanden gekommen ist.
            Das lag dann aber selbstverständlich nicht an Mitarbeitern die nicht einmal bereit sind an einfachsten Sicherheitsmaßnahmen mitzuwirken
            , sondern an dem angeblich unfähigen Admin der angeblich keine Ahnung hat.

            • User007 sagt:

              Nein, leider lag auch das dann an dem zu knausrigen Chef, der seiner Verantwortlichkeit als Manager nicht nachkam und es die am unteren Ende der Gehaltskette "ausbaden" lässt!

        • Daniel sagt:

          Egal ob die Apps das System beeinflussen oder welcher Footprint da entsteht es geht ums Prinzip privat bleibt privat. Wenn man es freiwillig machen will gut. Der Sicherheitsaspekt kommt bei Privathandys dazu. Und wenn dann noch dazu kommt dass evtl. Bewegungsprofile oder persönliche Daten vom Privathandy abgezogen werden weil mal wieder eine Sicherheitslücke war ist für mich auch nicht annehmbar.

          • Henry Barson sagt:

            @Daniel: Vollste Zustimmung!!!111elfdrölfzig
            @der Rest in diesem Subthread: Bei Leuten wie euch in der IT braucht man sich wirklich nicht zu wundern, dass es so läuft/ ist, wie es "läuft"/ ist.
            Privat und Beruflich sind grundsätzlich und strikt zu trennen, nicht nur wegen der ach so dollen "work life balance", sondern vor allem auch wegen der technischen Sicherheit wegen.
            Wenn der AG was will, hat er es auch bereitzustellen und Yubikeys kosten nicht mehr als den sprichwörtlichen Apfel & Ei, wer natürlich meint Sicherheit zum Nulltarif zu bekommen, tja …

      • Mark Heitbrink sagt:

        das ist nichts anderes als ein Schüssel für die Firma oder ein Chip. es ist ein Zugang zur Firma.
        ansonsten kauft man Android Auslaufmodelle nur wlan und app.
        müssen sie halt Geräte haben, sie benötigen kein Firmenhandy, damit können sie ja auch nicht umgehen.
        WLAN fähig, Altegerät fertig.

        und komisch, schon geht das mit der app auf dem privat Handy.

        • Luzifer sagt:

          **************************************
          und komisch, schon geht das mit der app auf dem privat Handy.
          **************************************
          Wer sowas fordert hat Sicherheit schon mal nicht verstanden! Privat hat im Geschäft nix verloren und umgekehrt auch nicht.

          • Tom sagt:

            Technisch lassen sich private und geschäftliche Daten doch mit jeder MDM Lösung sauber in Container trennen.

            • Henry Barson sagt:

              Ääääh, diese ach so dollen MDM(A)-Container verlangen alle möglichen Berechtigungen und nisten sich schlimmer ins System als eine Malware-/ Trojaner-Ware, sowas will man nicht auf seinem privaten Gerät, vor allem dann nicht, wenn diese Container auch (nicht vom Hersteller vorgesehen) RCE-fähig für jedermann sind.
              BYOD ist eine BWL-Schnapsidee, die leider bis heute nicht totzukriegen ist und zudem auch noch von sogenannten Fachkräften fokussiert wird.

              • 1ST1 sagt:

                Das wird kaum jemand mit seinem privaten Handy machen, weil man in der Nutzung seines eigenen Handys von den Firmenadmins eingeschränkt wird. Die können dir dann z.B. verbieten, bestimmte Apps zu installieren, die knallen dir vielleicht sogar einen Antivirus rein, usw. Das ist nur umgekehert Ok, Firmenhandy mit Möglichkeit zur Privatnutzung.

                • Martin B sagt:

                  also so einen Softtoken kann man schon auf dem Privathandy verlangen m.M. nach. Die Angestellten buchen auf dem Firmenrechner ihre Kinokarten oder gar ganze Urlaube inkl. Mietwagen. Leben und leben lassen ist die Devise

                • Henry Barson sagt:

                  Schwachsinn, nur weil der AG diesbezüglich ein Weichei ist und den Quatsch nicht unterbindet/duldet, kann er nicht davon ausgehen, dass seine Angestellten genauso fahrlässig sind. Man hat sich einander verdient.

    • R.S. sagt:

      Bei uns ist es sogar so, das Privatgeräte grundsätzlich nicht für Geschäftszwecke genutzt werden dürfen.
      Würde ein Mitarbeiter z.B. von seinem Privathandy eine WhatsApp-Nachricht an einen Kunden schicken, würde er prompt eine Abmahnung erhalten.
      Ebenso, wenn er z.B. seinen privaten Email-Account nutzen würde.
      Wird ein Smartphone für Geschäftszwecke benötigt, wird eines angeschafft.

      Hier in der Firma (KMU) hat die Geschäftsleitung keine Ahnung von IT, daher habe ich da rel. freie Hand.
      Wenn es mal Einschränkungen wegen neuer Sicherheitsmaßnahmen gibt, wird zwar gemurrt, aber es wird akzeptiert, das das nötig ist.
      Die ganze IT wird zwar als Kostenfaktor gesehen, aber auch als notwendig, inkl. nötiger Sicherheitsmaßnahmen.
      Daher habe ich eigentlich kaum Probleme, Geld für nötige Anschaffungen und Maßnahmen bewilligt zu bekommen.

    • 1ST1 sagt:

      Das ist genau der Punkt. Sobald du nicht KRITIS bist, solange dein Kunde kein TISAX oder ISO 2700x fordert, gibts keinen Druck, was zu machen. Und nur die wenigsten Firmen fallen unter diese Punkte, und es gibt genügend Tricks, das auch noch zu umgehen, zum Beispiel durch Abschottung des Office-Netzes von dem Produktions-Bereich, der tatsächlich kritisch ist, aber das ist so oder so eine gute Idee.

      • Luzifer sagt:

        Trick? Also die Abschottung Office/Produktionsnetz sollte eigentlich standard sein. Nur Anfänger / Stümper trennen das nicht!

        Aber klar gutes Personal zu kriegen ist schwer erst recht in der IT
        ;-P

        Ich trenn ja sogar privat smarthome vom Rest des Internets…

    • Micha sagt:

      Das Mitarbeiter keine Firmen Apps auf das Privat Handy Installieren wollen ist nachvollziehbar. Des weiteren gibt es auch Mitarbeiter die kein Smartphone haben.

      Ich selber gehöre dazu. Ein altes Nokia 6030 reicht mir privat aus. Für 2FA habe ich einen Reiner SCT Authenticator. Auf diesem läuft auch mein zweiter Faktor für den "DATEV Arbeitnehmer online Account".

      Probleme mit dem 2FA gibt es momentan bei der Umstellung auf "DATEV Arbeitnehmer online". Die Firmen IT arbeitet noch an einer Lösung. Sie soll definitiv günstiger werden, als jedem Mitarbeiter der keine App Installieren möchte oder kann, einen Reiner SCT Authenticator zu stellen.

      Mal abwarten was da rauskommt?

      Wenn meine Firma fordern würde, so ein Gerät zu benutzen, dann müssten sie es mir stellen. Ich würde es nach dem Feierabend im Schließfach auf dem Firmenlegende zurücklassen. Zuhause benötige ich das Gerät ja nicht.

    • Joerg sagt:

      YubiKeys zu teuer als Alternative zu einem Smartphone? Wenn einem AG die 40 einmaligen 40-80 EUR je USB Key zuviel sind, dann werden die auch kein Geld für andere Sicherheit ausgeben.

      YK ist die beste Alternative zur MFA App und wenn man die nur dafür verwendet, ist der Installations und Pflegeaufwand auch sehr gering, an MFA zu sparen ist meiner Meinung nach grob fahrlässiges Handeln und nichts anderes.

      • Fritz sagt:

        Verwenden wir auch an Stellen, an denen die Nutzer keine andren dienstlichen Authentifizierungsmethoden haben und funktioniert eigentlich recht gut.
        Trotzdem habe ich gewisse Bauchschmerzen, dort mehr oder weniger einem Anbieter und der Sicherheit von dessen Implementation ausgeliefert zu sein. Zudem sind die in der o.g. Preisklasse äußerlich (USB-Anschluß) recht minimalistisch gebaut – ich hatte es schon öfters, daß ein unachtsam schräg eingesteckter Key den ganzen PC abgeschossen hat.

        • Joerg sagt:

          wir haben die mit NFC/Touch, funktioniert an sich recht gut.

          Lediglich VPN geht damit nicht, die Sophos bietet hier leider nicht so viel Auswahlmöglichkeit und wer sich keine Authenticator-App (uns ist egal welche) dann aufs Handy laden möchte, kann halt kein VPN nutzen.

          Und bzgl. der ganzen Diskussionen wegen einer App für die Firman auf dem privaten Handy, das ist unschön ja, aber wir sagen den Leuten dann auch, dass die sich bitte mit Ihrem privaten Handy nicht bei uns ins Gäste-WLAN einloggen sollen, ist ja dann auch unnötig. Es ist immer ein "geben" und "nehmen", wobei keine der beiden Parteien an einer Stelle übertreiben soll.

          • ARC4 (ehem. Michael) sagt:

            Eine 2FA ist auch normalerweise keine eigene "FirmenApp", worüber sich die Leute hier beschweren. Es ist lediglich der Eintrag für den 2FA Code. Ist also nicht zu viel verlangt, wenn sie sogar schon privat einsetzen dürfen sie auch gerne, die weiter verwenden. Hauptsache 2FA wird akzeptiert und verwendet.

            Und für die, die sich beschweren, dass das nicht sicher ist – es ist immer noch ein 2FA, mit dem alleine kann man sich nicht anmelden, von daher egal ob das nun ein privates od. beruflich genutztes Gerät ist. In einer idealen Welt mit endlosem Budget klar bekommen alle ihr iPhone der Extraklasse, aber die Realität schaut halt anders aus.

    • Marcel sagt:

      Das Problem haben wir bei der Einführung zu MFA direkt beachtet und man kann wählen zwischen privaten Handy mit App nutzen oder Token-Generator (von Token2) für den Schlüsselbund erhalten. Außer man hat ein Diensthandy, dann ist das zu verwenden. So gibt es auch keine Ausreden. Und wenn dem Arbeitgeber die 25 Euro für den Token zu viel sind, dann hat man sowieso ganz andere Probleme.

  9. Andy sagt:

    "die Anwender nervt das Thema doch nur" "man muss ja noch arbeiten können" <- das ist halt eines der größten Probleme im KMU wenn die Chefsekretärin den GF belabert das es absolut unmöglich ist für sie eine 2FA zu benutzen weil das bremst sie ja unglaublich aus. — Das Problem an der Stelle ist halt das wenn investiert wird, vollkommen wahllos meistens Best-Of-Breed angeschafft wird ohne zu schauen wie die Lösungen interagieren und sich kombinieren lassen. Security, wenn ordentlich eingerichtet, behindert einen im täglichen Arbeitsleben eigentlich kaum und sollte sich nur melden wenn wirklich was krumm rennt. Das "mit der Cloud" ist ein anderes Problem. Viele Viele KMU zahlen in der Tat schon tiefgreifende Sicherheitslösungen zum Beispiel mit einer 365 Business Premium, haben sich allerdings nicht weiter als bis zur Einführung von Exchange Online und Office aus der Cloud beschäftigt. Und vielen Dienstleistern in dem Bereich fehlt einfach das Wissen das ordentlich in die KMU Landschaft zu treiben.

  10. Mr.Blacksmith sagt:

    Man hat gerade ein Dejavu!

    Gerade gestern im Rahmen eines privaten Treffens noch mit weiteren Administratoren angesprochen, dass das Management wieder und wieder Löcher, sehr große Löcher, aufreißt!

    Da gibt es Unternehmen die eine Warenwirtschaft entwickeln oder email-Marketing für viele andere Unternehmen betreiben und Vorgesetzte verlangen, das man die Security im Unternehmen derart lockert, das Sie mit fragwürdigen Apps auf dem Handy jederzeit einsehen können, was immer es zu einzusehen gilt!

    Es werden Root-Rechte mit sehr fragwürdigen Anleitungen, welcher Befehl in welchem Ordner einzugeben ist, an sehr unbedarfte Anwender, teils gar externer Anwender mit ebenso fragilen Kenntnissen, vergeben! Weist man auf die damit einhergehenden großen Probleme hin, wird mit Kündigung, Abmahnungen und Degradierungen gewunken!

    Persönliche Erfahrungen sind hier der Grund für mich, nur noch per eMail und BBC an meine private eMail-Adresse die Obrigkeit über Bedenken, Sicherheitslücken und deren Gefahr wie auch Vermeidung hinzuweisen!

    So hat es mich die Erfahrung gelehrt. Drei Monate mit Screenshots darauf hingewiesen,, dass das Adminitrator-Interface der Exchange-Server öffentlich von jedem beliebigen Rechner im Internet erreichbar ist!

    Antwort: Es müsse sich da um eine Wahrnehmungsverschiebung erster Kajüte meinerseits handeln!

    Seit zwei Jahren weise ich ein weiteres Unternehmen darauf hin, das es da noch einen per RDP erreichbaren Windows 2008 Server gibt, der sogar noch um Updates bettelt, was wohl ein Hinweis darauf sein dürfte, das selbst die letzten nicht installiert worden sind! Präsentiert wird ebenso eine Liste möglicher Loginuser!

    Antwort: Wir wissen das, haben aber keine andere Lösung! Adäquate Lösungsansätze werden als zu kompliziert für die entsprechenden Anwender empfunden und somit ignoriert!

    Der Job macht nach vielen Jahrzehnten keinen wirklichen Spaß und Sinn mehr!

    Man wird aufgrund der großen Erfahrung eingestellt um diese Dinge anzugehen! Und schon mit den ersten Hinweisen auf mögliche Gefahren bekommt man Handschellen angelegt und ruhig gestellt!

    Ergo: Es bleibt die Selbständigkeit, mit dieser Dämlichkeit wenigstens die eigenen Kontostände innerhalb kürzester Zeit in gewünschte Höhen zu treiben um sich den gewünschten Abstand zur Spezies und solcher Entscheidungsträger finanziell unabhängig in sehr naher Zukunft kredenzen zu können!

    • Anonymous sagt:

      "Man wird aufgrund … ruhig gestellt!"
      Jop, genauso ist es, und ich bin froh das die NIS2 dafür sorgt, das ich endlich meinen Job machen darf, und zwar richtig und ohne 1.000 ausnahmen, der CRA wird dann für saubere Software sorgen, mal sehen was alles auf der Strecke bleibt (dürften nicht wenige sein).

      Und wer sich mal intensiver mit der Materie beschäftigt und nach der Ursache für all diese Sicherheitsprobleme sucht, wird über diverse Studien aus den Jahren 2019 von Microsoft, Apple, Google und einigen Gruppen / Organisationen stoßen.

      Spannend das die Alle zum gleichen Ergebnis gekommen sind, und die gleichen Ursachen für das Drama gefunden haben, rund 70% im Schnitt sollen auf "memory- / thread safety" zurück gehen.

      Wären diese 70% morgen weg, sähe die Welt ganz anders aus und man bräuchte so NIS2/CRA/und weitere Auflagen Monster kaum, blöd nur das der Kern dieser Ursache rund 60 Jahre alt ist, und bereits seit 2009 erkannt wurde, leider aber nicht von heute auf morgen repariert ist, das wird Jahrzehnte dauern, ergo bleibt nur „eindämmen".

      Noch viel fataler finde ich die Empfehlung des IT-Planungsrates, für öffentliche Verwaltungen/Schulen etc. mal wieder eine Ausnahme machen zu wollen und die NIS2 eben "nicht" umsetzen zu müssen. Gerade als Staat sollte mit allen Organen, die er so hat, mit "gutem/sicherem" Beispiel vorran gehen, vor allem wüsste man dann mal was man den ganzen KMUs aufbürdet.

      2024 -> 2028 dürften sehr spannende Zeiten werden, bzgl. IT/OT Sicherheit.

      • Anonymous sagt:

        Einerseits muss ich zustimmen, was die öffentliche Verwaltung angeht, andererseits aber auch nicht. Ich bin Admin für eine mittelgroße Gemeinde und alles was dazu gehört. Aus der Erfahrung heraus weiß ich wo die Gemeinden hier im ganzen Landkreis stehen und ich sehe keine Möglichkeit NIS2 innerhalb der nächsten 2 Jahre irgendwie umsetzen zu können. Die Gemeinden können sich das Personal nicht leisten und wenn sie es können finden sie im Tarifvertrag eh niemanden…
        Bei uns betreuen wir mit 150% die Gemeindeverwaltung für uns und eine Nachbargemeinde, 6 Kindergärten, 6 Schulen und mehrere Zweck-/Eigenverbände (Wasser, Abwasser, Feuerwehr,…).
        Bisher gab es dafür nicht mal einen IT-Sicherheitsbeauftragten und fast alles wurde irgendwie mal von einem externen Dienstleister hingepfuscht, weil kein Geld und keine Zeit da war.
        Es ist ja nicht mal vollständig dokumentiert was überhaupt an Assets vorhanden ist.
        Und ja es wird besser bei uns und wir streben auch an die Basis-Absicherung Kommunalverwaltung nach dem BSI-Grundschutzprofil zu erreichen, aber das ist neben dem normalen Tagegeschäft mit so wenigen Ressourcen ein zäher Prozess… (und wir sind damit weiter als die meisten anderen Gemeinden unserer Größe die ich kenne)

        • Anonymous sagt:

          Da bin ich ganz bei dir, das geht den KMU Unternehmen aber genauso, mal abgesehen von großen Konzernen.

          Aber ja das ist ein rießen Problem, aber das ist ja wie immer, ich erinnere mich da noch an den Fördertopf für die Schulen, den die Schulen überhaupt nicht sinnvoll nutzen konnten, auch wenn sich das mittlerweile geändert hat, gab da mal eine Zeit wo man sich zwar die Hardware anschaffen konnte, aber einen Vollzeit Administrator davon nicht bezahlen durfte.

          Wer sich sowas ausdenkt, hab ich bis heute nicht verstanden.

          Hier noch so ein typisches Beispiel:
          Schule baut auf ipad Klassen, weil nur Apple es auf die Kette bekommt ein ganzheitliches Konzept anzubieten, klar das die Schulen da zugreifen, aber hey… wir reden über Apple – ein US Unternehmen, wer mir jetzt erzählen will der Datenschutz sei gewährleistet, der einfach mal keine Ahnung von der Materie.

          Die iPads werden Zentral via MDM verwaltet und können nur über einen Anbieter bezogen werden, aber APPS installieren darf man wie ein "bunter Vogel", spätestens hier ist jedes "Sicherheitskonzept" kaputt!

          Ich bin sehr gespannt wie das ausgeht, habe nämlich heute morgen genau diesen Fall reinbekommen, Schularbeiten (Referat über mehrere Seiten) futsch…. Ursache unklar, das Sie gemacht wurden weiß ich zu 100%, aber Datei is futsch… bin gespannt wie das ausgeht.

          Mal sehen ob es Backups von der Cloud gibt, denn dort liegen die Daten im Regelfall, in diesem Fall.

        • Andy sagt:

          "[..] Die Gemeinden können sich das Personal nicht leisten und wenn sie es können finden sie im Tarifvertrag eh niemanden… [..]"

          Ersteres mag zutreffen, das Zweite nicht.
          Der Tarifvertrag an sich erlaubt es den Kommunen, den entsprechenden Experten hier sehr viel zu zahlen.
          Nur würden die dann mehr verdienen, als die Fachbereichsleiter der Verwaltung. Und das will man einfach nicht. Weil man hier nicht Tarif denkt, sondern Hierarchie.
          Habe ich genau so auch mal gesagt bekommen, als ich auf die passende Eingruppierung verwies: "..dann müssten wir Dir ja mehr zahlen, als Deinen Dienstvorgesetzten.."
          Gerne definieren Kommunen auch alle Tätigkeiten, die eine Freigabe benötigen (in der IT quasi alle) in "nicht selbstständige" Tätigkeit um. Dann ist die Konzeptentwicklung selbstständig, die Umsetzung aber nicht, weil jemand anderes das freigibt, was du so ausgearbeitet hast. Und dass Du mit solcherlei Arbeit und dem Drumherum total zugekippt bist, hast Du natürlich bestimmt kommuniziert. Also arbeitest Du kaum selbständig…
          Und schon ist die niedrige Eingruppierung scheinbar völlig korrekt und nicht mehr nur total willkürlich unter dem eigenen Dienstvorgesetzten weggedeckelt. (letzteres kann man gut sehen, wenn Kommunen der Chefetage ne EG mehr oder weniger geben, dem folgt dann die IT-entlohnung hoch oder runter, bei gleichen Anforderungen)

          Ich habe gerade selbst aus dem Bereich "Kommune direkt" rausgewechselt und erhalte jetzt für weniger Anforderungen knapp 60% mehr Entgelt. Und das, obwohl sich alles im selben Umfeld abspielt und der Tarif nicht wesentlich anders aussieht.

  11. Hobbyperte sagt:

    Wer täglich die Nachrichten verfolgt und darüber vielerlei andere Dokumentationen, Informations-Sendungen, Wissenschaftsbeiträge usw. ansieht und hört, dem kann seit Anfang der 90er Jahre und muss seit den 00er Jahren das Licht Aufgegangen sein, das wir hier in einem System der "organisierten Verantwortungslosigkeit" leben. An allererster Selle die Politik, welche es immer wieder vor macht und im weiteren auch für Management-Ebenen in Unternehmen ermöglicht hat.

    Sie alle lassen sich teils mehr als fürstlich dafür bezahlen, das sie ja ach so viel Verantwortung tragen. Und wenn's mal knallt, ist komischer Weise aber nie einer aus diesen Reihen für irgendwas verantwortlich zu machen.

    Und im Zweifel rettet der Staat die "systemrelevanten" großen Unternehmen sowieso, wozu sollten sich Manager da noch 'n Kopf machen?

    ICE-Unfall in Eschede (101 Tote): nach dem man "unten" beim Betriebspersonal keine Schuldigen finden konnte, ging die Verantwortung im Wust der Unternehmensorganisation unter und letztlich soll "Niemand" Schuld gewesen sein??

    Finanzkrise: wer musste sich da "verantworten"? Genau, die Finanzsprecherin der CDU sagte dazu damals in einem Fernsehtalk sinngemäß, das die Abläufe in der Finanzindustrie (große Banken) so komplex seien, das man nicht nachvollziehen könne, wer die entscheidende Anweisung gab.

    Aha, die Politik hat also ermöglicht, das eine Firma nur groß genug sein muss und ihre Abläufe nur hinreichend intransparent Organisieren muss, damit die Leute an der Konzernspitze unbehelligt bleiben, egal was passiert, können sie immer mit dem Finger nach unten zeigen.

    Da waren die Manager in der Volkswagen-Gruppe wohl nicht intelligent genug um sich auf diese Weise Abzusichern? Oder Gerichte waren nach Eschede und der Finanzkrise nicht intelligent genug, um drauf zu kommen, das im Zweifel immer der Kopf ganz oben verantwortlich sein MUSS. Wozu braucht man diese vollkommen überbezahlten Grüß-Auguste denn sonst?

    Aber naja, "die Verantwortung tragen" bedeutet in den Ministerien der Politik bis in die Führungsspitze von Behörden letztlich auch nur, das in Ungnade gefallene Beamte (B-Besoldung) mit den vollen Bezügen, ohne jeden Abzug, in Ruhestand geschickt werden … und dort viele Jahre lang ein sehr schönes, bequemen Leben führen. Seltsame Art von "Verantwortung tragen" !

    Weiß denn jemand was Habecks Staatssekretär (Graichen) inzwischen so treibt? Mutmaßlich dürfte auch der Herr Maßen von diesem System profitieren und immer noch seine vollen Bezüge bekommen … da kann man aus Langeweile schon mal eine neue Partei Gründen.

    Wir haben hier ein parasitäres System, das den "Steuerzahler" teuer zu stehen kommt, damit sich eine elitäre Schicht lebenslang nie wieder Sorgen um Geld machen muss… während Millionen Rentner nach Abzug der Miete, auf dem Weg zum Discounter, erstmal genug Pfandflaschen finden müssen um quasi damit ihre Brötchen Bezahlen zu können.

    Die Cybersicherheit ist ein (großes) Problem in diesem Land, aber wahrlich weder das Einzige noch das Größte.

    • 1ST1 sagt:

      Der ganze politische Exkurs gehört nicht zum Thema.

      • kuba sagt:

        Ich finde schon, dass es dazu gehört. Es bildet den Kontext für unsere Arbeit. Ich kann die "organisierte Verantwortungslosigkeit" nur bestätigen. Ingenieurdenken wird von Heerscharen von Betriebswirtschaftlern und ihren Excel-Tabellen oder neuerdings mit Unterstützung von BI-Tools bekämpft! Beispiele, bis hin zur Negierung physikalischer Zusammenhänge, gibt es leider zuhauf…

    • Tom sagt:

      Bis auf den letzten Satz mal wieder kolossal am Therma vorbei geschrieben!
      Mit den anderen (bisherigen) Kommentaren gehe ich vollends mit.

      • David sagt:

        Stimmt – am Thema vorbei.
        Dennoch: Recht hat er.
        Es ist nicht nur das IT, was uns betrifft – es ist die verantwortliche Verantwortungslosigkeit. "Mir kann ja nichts passieren – ich bin nicht verantwortlich!" Genau das ist das Thema.

  12. FuSin sagt:

    "…wenige Stunden später wird das auf Weisung vom Chef wieder kassiert" – habe das so bei meinem (jetzt u.a. deswegen ehemaligen) KMU-Arbeitgeber erlebt. Der Chef hat es als Angriff in seine unbegrenzte Machtposition empfunden und alle Sicherheitsmechanismen sollten auf seinen Geräten abgeschaltet werden: "Mir passiert so was nie!" Die Räumlichkeiten für Informationssicherheit-Schulungen wurden nicht zur Verfügung gestellt, gesamte IT-Einführung bei dem Onboarding per Dienstanweisung auf 2 Stunden reduziert (vorher hatte ich versucht mind. 3 Stunden davon allein für IT-Sicherheit zu nehmen), ausgearbeitete Sicherheitsrichtlinien wurden Mitarbeitern nicht verpflichtend offengelegt, interne Benachrichtigungen über aktuelle Gefahren wurden ständig hinterfragt und nicht gern gesehen, etc. Sonst hieß es natürlich "IT-Sicherheit ist uns sehr wichtig".

  13. Tobias Dürr sagt:

    Es fängt schon im kleinen an…

    Erst gestern wieder, Sophos antivirus löscht nach Erkennung von vermeintlich ransomeware eine edb Datei von der Warenwirtschaft

    Nach 4 Stunden Streit mit dem softwareanbieter wer dafür nun verantwortlich ist , restore und man solle doch bitte die Warenwirtschaft aus dem Scan exkludieren.

    Das die Programmierung der Software schon 20 Jahre her ist und bisher nur Funktionsupdates raus gekommen sind wollte der Software Anbieter nicht wissen

    Man solle lieber das Antivirus anpassen das seine ach so tolle Software die nun schon zum 3 mal so nen bockmist gebaut funktionsfähigbleibt

    Am besten noch wie Dampsoft (Zahnarzt Software ) SMB 1 voraussetzt…

    Es ist schlimm genug das Microsoft sein Produkt am endkunde testet, sich nicht an Standards hält, oder Sicherheitslücken monatlich raus bringt.

    Nein die normalen Software Programmierer scheinen die IT Sicherheit nicht zu interessieren.

    • Luzifer sagt:

      **************************************
      Nein die normalen Software Programmierer scheinen die IT Sicherheit nicht zu interessieren.
      **************************************
      Wieso auch? Produkthaftung? Pustekuchen! Solange sich das nicht ändert, wird sich da nix ändern.

      • Anonymous sagt:

        So ist es, zumal hier auch ein Paradigmenwechsel stattgefunden hat, welchen aber sehr sehr viele Programmierer aus macht der gewohnheit noch nicht mitbekommen haben.

        Früher war die Devise, -> Hauptsache funktioniert!
        heute ist die Devise, -> Ist es "sicher" ? UND funktioniert auch noch ?

        Wer sich als Entwickler dahingehend nicht umstellt, wird auf kurze oder lange Sicht einfach mal auf der Strecke bleiben.

        Das Gesetzliche Regelwerk dazu ist ja quasi fertig (CRA -> Software CE) und da fallen etliche bestehende Anwendungen, gnadenlos durch.

  14. Helldunkel sagt:

    Ich erlebe genau das auch gerade. Wenn es.wohl fast überall gleich ist, warum sollte es man sich weiter antun? Ich kämpfe an allen Fronten: Management, User, IT Kollegen und ja die echten Gefahren.
    wir haben ein echt Stimmiges Gesamtbild, jedoch nur bis zur Management und User Ebene. Die mögen das nicht.
    Unser Fangnetz ist gut, jedoch rutschen immer mehr
    Sachen durch und schlagen ein.
    Überlege auch way neues zu suchen (sofern es Arbeitgeber gibt die anders denken ) oder auf Gebiete in der IT zu wechseln weit weg von IT Sec, dann kann ich auch wie ein Reh schauen wenns knallt und auf die Kollegen aus dem.IT Sec Team verweisen.

    Die Methode machen ja schon einige, sollte ich ev. auch machen um wieder mehr Zeit für das.wichtige zu haben…auch wenn es bitter ist und jede faser meines Körpers sich dagegen wehrt.

  15. Carolin Desirée Töpfer sagt:

    Hallo Günter, ich kenne diese Stories. 😉
    Ich arbeite als Chief Information Security Officer as a Service und unterstütze – auch Einladung der Gründer/innen bzw. des Managements – Unternehmen bei der Umsetzung von IT Sicherheits-Standards und Einrichtung eines Informationssicherheits-Managementsystems.
    Dabei sehe ich oft, dass die IT & die Business-Seite nicht miteinander sprechen bzw. eine andere Sprache sprechen. Natürlich gibt es im schlimmsten Fall auch ignorante Entscheider in Unternehmen. Aber einen Versuch ist es wert, sich einmal mit Business-Metriken und Effizienz-Kriterien zu beschäftigen, um Vorgesetzte und Kollegen nicht immer nur mit der Bedrohungslage und Regulatorik zu konfrontieren. Das ist für viele zu Abstrakt.
    Ich beginne bei Kunden und ihren Teams daher immer mit der Erklärung des "Warum IT Sicherheit?" und dann schauen wir auch, wie man mit einer ordentlichen Umsetzung Kosten (z.B. für Schatten-IT) einsparen bzw. neue Einnahme-Quellen erarbeiten kann.
    So ist das Thema auch langfristig besser verankert.

    • Helldunkel sagt:

      Bis zu einem gewissen Punkt stimme ich dir da zu. Diese Schichten lassen wir.deswegen auch gar nicht an die User rann. Die verstehen das nicht.
      Aber wenn man sagt das man USB Laufwerke als Gefährlich sieht, alternative Systeme am laufrn hat und sich ggf. Nochmal hinsetzten möchte um zu schauen wo es klemmen könnte, in KRITIS Umgebungen altsystene laufen die seit Jahren EOL sind und es Alternativen gibt, das Patchmanagemt darin besteht alle Windows Updates zu unterdrücken seit der Auslieferung und die Mithilfe nicht gewollt oder durch Dienstleister verboten ist….worüber reden?
      Den Vogel abgeschossen haben die User bei uns in den letzten Audits. Vor dem Prüfer beim verlassen des Gebäudes den Holzkeil in die Außentür gedrückt und dann noch diskutiert das das alle so machen und sie.ja eh bald wieder da ist. Oder der Pizzabote der plötzlich vor dem Konferenzraum ded Prüferd aufgetaucht ist und nicht wusste wo er ist da er einfach durchgelaufen ist.
      Alle wurden kurz davor geschult und gewarnt. Gebracht hat es nix. Selbst jetzt wird es nicht geändert.
      Reden mit wem noch?

      • R.S. sagt:

        So etwas kann man ganz schnell abstellen:
        Ermitteln, wer den Keil unter die Tür geschoben hat, dann Ermahnung, beim 2. Mal Abmahnung!
        Leider muß man manchmal die Keule herausholen!
        Spätestens, wenn sich das mit der Abmahnund herumgesprochen hat, ist der Keil in der Tür Geschichte.

        • Helldunkel sagt:

          Die Antwort von einem aus dem.Management Ebene war nur. "dum gelaufen, bei nächsten Audit besser aufpassen", vom anderer Seite "Die IT hätte die Mitarbeiter besser auf das Audit vorbereiten müssen".

          voll am.Thema durch

          bei uns gibt es keine Sanktionen und Mitarbeiter Ermahnungen, Mitarbeiter haben schon mehrfach solche Sachen gebracht, das selbe auch mehrfach hintereinander, nix passiert.
          Hatten einfach Glück das die Automatismen reagiert haben, bzw. ITler es per Zufall merkten

          • R.S. sagt:

            Da passt dann der Spruch: Der Fisch stinkt vom Kopf.

          • Andy sagt:

            Das kenne ich auch gut.
            Ein Haufen Regeln und die einzigen, die was davon zu spüren bekommen, sind die ITler.
            (Nämlich die Abneigung, weil sie sich diese angeblich ausgedacht haben. Hat zwar der Chef angeordnet, aber egal, der hält sich ja selber nicht dran, kann also nicht von ihm kommen. Und dann muss man sich auch nicht dran halten…)

  16. Anonymous sagt:

    Hallo zusammen,

    wir sind 2 IT Allesmacher in einem caritativem Verein mit über 500 Mitarbeitern, 30 Standorten und einer bunten Wünschdirwas-Kiste an System und Software (von Werkstätten mit Spezialsoftware mit Maschinensteuerung bis zum MS Office). Bis vor 5 Jahren habe ich den Job allein gemacht, dann hat man mir großzügig einen weiteren Mitarbeiter für die IT genehmigt. Ich habe 2021 Mittel beantragt, da unsere komplette IT auf 2012 R2 basiert, ich habe bis heute weder Mittel noch neue Hardware, um das 10+ Jahre alte Serverbackend auszutauschen. Aber da wir nicht KRITIS sind (Pflegeheime zählen nicht zu KRITIS) habe ich keine großen Druckmittel oder Hebel. Mittlerweile ist es nur noch resignierende Verwaltung der Mißstände und Warten (und ein bißchen Hoffen) auf den großen Knall.
    Wir sind nicht verantwortlich, dies wurde uns von oberer Stelle mehr als einmal gesagt, von daher halten wir es wie die Pinguine aus Madagaskar: Stur lächeln und winken!

    • Henry Barson sagt:

      Nun ja, spätestens nach Bewährung in der Probezeit (dafür gibt es diese ulkige Einrichtung im Übrigen auch!) hat jeder Arbeitnehmer den Arbeitgeber, den er sich verdient/ verdingt hat und natürlich vice versa, das ist das Schöne daran :c)

      Und selbst nach der Probezeit sollte man zumindest immer Selbsttest-"Haltemarken" gesetzt haben, bspw. quartals- oder semesterweise, an denen man immer wieder für sich selbst evaluiert, auch welcher Seite der "bis hier und nicht weiter-Linie" man sich noch befindet. Landet man mehr hintereinander auf der falschen Seite, sollte man die Reißleine ziehen und das MESA-Prizip umsetzen. Das machen die von Dir zitierten Pinguine im Übrigen auch, wenn ggf. auch aus anderen Motiven heraus.

    • Dominik sagt:

      Mach das lieber mal schriftlich. Wenn es einen Vorfall in der Presse gibt und du nachher die Firma in deinem Lebenslauf hast, könnte das auch uncool werden. Zudem kann man dem Landesdatenschutzbeauftragten anonyme Tipps geben bzw. auch dem BSI.

    • Andy sagt:

      "Wir sind nicht verantwortlich, dies wurde uns von oberer Stelle mehr als einmal gesagt […]"

      Das ist nicht mal mehr lustig, so naiv ist das. Selbst schriftlich hilft das im Endeffekt nullkommanix.
      Ich kenne persönlich 2 Fälle, in denen selbst das Prüfungsergebnis nach einem Vorfall zu dem Schluss kam, dass die ITler nichts dafür konnten und diese ITler wurden trotzdem "vor den Bus geworfen".
      Bei solchen Zuständen sollte man zur Absicherung der eigenen Zukunft schnellsten den Arbeitgeber verlassen. Oder schonmal nebenbei was anderes lernen.
      *in Bewerbung blätter**raschel*
      "Hm, der hat als IT-ler bei XY gearbeitet, waren das nicht die, die diesen Riesenskandal wegen ihrer IT hatten?"
      *das Geräusch einer Bewerbung, die mit Benzin übergossen und angezündet wird*kurz darauf: die Gesänge des örtlichen Schamanen, der geholt wurde, um die bösen Geister zu vertreiben*

  17. Martin B sagt:

    Die Kritis Kunden die ich kenne, nehmen das sehr ernst und sind auch entsprechend aufgestellt, ich kann das hier gesagte so nicht bestätigen. Es geht halt teilweise so weit, das man leider nicht mehr einfach arbeiten kann (als Admin). Ein Problem ist allerdings die Überbesetzung mit Personal, d.h. Maßnahmen und Umstellungen dauern so mit länger. Die Special Force Idee, schlank und gut ausgebildet, hat sich leider nicht durchgesetzt.

    Arbeit dehnt sich aus, mit wachsendem Personal, ist leider so.

    • Henry Barson sagt:

      Aber sind doch genau die gewünschten Skalierungseffekte, vertikal, horizontal, scheiß egal – Hauptsache skaliert gut :-D

    • R.S. sagt:

      Ja, in vielen großen Firmen könnte man mindestens eine der mittleren Führungsebenen ersatzlos streichen, ohne das das irgendeinen negativen Effekt hätte.
      Im Gegenteil, es gäbe dadurch positive Effekte, da der Weg durch die Instanzen und auch die Entscheidungsprozesse kürzer werden, man spart sich die Gehälter und die Infrastruktur für diese Leute, etc.
      Die ganze Effizienz der Verwaltung würde steigen.

    • Helldunkel sagt:

      Ein Lichtblick :) . Dann bin ich einfach an den falschen Kritis Betreiber geraten.
      Hatte das Gefühl das so gut wie alle so wären. …

      muss man jetzt nur noch was.entsprechendes finden..

    • Dominik sagt:

      Was denkst du sind die Gründe für Überbesetzung? Der Mangel an Personal was gut und tief ausgebildet ist? Dezimierung menschliches Versagen?

  18. Ano sagt:

    "it Business-Metriken und Effizienz-Kriterien zu beschäftigen, um Vorgesetzte und Kollegen nicht immer nur mit der Bedrohungslage und Regulatorik zu konfrontieren. Das ist für viele zu Abstrakt."

    Das sind die besten Berater… natürlich ist das Abstrakt.

    Make it easy.. und ein paar Sachen sollten schlicht verboten werden. Keine Handys oder anderen Geräte im Firmennetz.. USB usw. gesperrt.. Mail- und Firewall an Profis abgeben, die das können und mehr Synergieeffekte nutzen können (eigene Pattern usw.)… keine Mails außerhalb des Firmennetzes.. Mailserver nur über das Firmennetz erreichbar… Hardtoken.. harte Netz-Segmentierung… so wenig Software wie möglich betreiben.. .usw……..

    • R.S. sagt:

      USB muß man nicht einmal sperren.
      Es gibt dafür Software zur domänenweiten Verwaltung von USB-Sticks.
      Nur registrierte USB-Sticks werden zugelassen, Inhalte auf den Sticks werden verschlüsselt etc. so das die Daten auf den Sticks an Rechnern außerhalb der Domäne nicht gelesen werden können.
      etc. etc.
      Da kann dann ruhig ein Mitarbeiter mit eigenen USB-Stick/USB-Festplatte kommen, er kann ihn an seinem Firmenrechner weder lesen noch irgendetwas drauf schreiben.
      So ist z.B. das Einschleusen von Schadsoftware über USB-Sticks nicht möglich.

      Und nicht nur so wenig Software wie nötig, sondern auch nur die Windows-Dienste aktivieren, die unbedingt nötig sind. Auf Servern z.B. sind Audiodienst und Druckdienst (außer bei einem Druckserver) nicht nötig, daher zu deaktivieren.
      Z.B. die alte Print Nightmare-Lücke funktioniert bei deaktiviertem Druckdienst nicht.

      • Luzifer sagt:

        ***************************************
        So ist z.B. das Einschleusen von Schadsoftware über USB-Sticks nicht möglich.
        ***************************************
        bis zur nächsten 0-Day Lücke!
        Sperrst du Tastatur und Maus auch so das nur die von der IT ausgelieferte funktioniert? USB Malware gibt sich gerne als Tastatur zur erkennen…oder hängst zwischen die Tastatur ohne das du da auch nur einen Ansatz mitbekommst.

        Wer von Euch Admins schaut den am nächsten Morgen an seinem PC nach ob da "was Neues" zwischen USB Port und Tastatur hängt? plaziert von der Putzkolone am Vorabend? Wer unterzieht den den Gebäudereiniger einer Sicherheitsüberprüfung? Kenn ich durchaus aber das sind Unternehmen in der Rüstungsindustrie und selbst da nicht alle. Da werden Mitarbeiter durchleuchtet, aber die Putze nicht, dann auch noch externe aus Kostengründen mit wöchentlich Fluktuation des Personals da total unterbezahlt.

        • Ano sagt:

          Das sind wir bei dem Prinzip.. wo fängt man an, wo hört man auf.
          Unsere Umgebung ist alarmgesichert usw.
          Aber natürlich keine Selbstschussanlage.
          Wo fängt man an.. wo hört man auf.
          Ich sehe meinen Usb-Hub.. aber ja, der kann kompromittiert sein.

          • Luzifer sagt:

            Alarmgesichert… jo und wer putzt da? der Admin selbst?

            • Fritz sagt:

              In meinen Serverräumen putze ich selbst (und versuche dementsprechend auch wenig Dreck zu machen).
              Grundreinigung durch andere (z.B. Boden versiegeln) geschieht grundsätzlich nur unter Aufsicht – die auch nochmal auf die Kameras hinweist.
              Lang gelaufene Systeme werden nach Bedarf in der PC-Werkstatt mit Preßluft ausgeblasen.

        • Helldunkel sagt:

          All deine genannten Punkte treffen auf die KRITIS zu. Da werden Anschlüsse sogar versiegelt (mechanisch).
          An allen Türen und Schränken sind meist sogar Sensoren.
          Thema Reinigungskraft und Überprüfung war auch schon ein Thema.und wurde geprüft.

          wichtig! Office Bereich ist meist nicht KRITIS

          • Luzifer sagt:

            ****************************
            wichtig! Office Bereich ist meist nicht KRITIS
            ****************************
            Richtig, hat aber bei der Schlamperei von Admins Zugriff auf Bereiche die KRITIS sind, bzw. reicht aus um nen Fuß in die IT zu kriegen. KRITIS heißt: jedes EDV Gerät ist kritisch und kann nen Einstiegspunkt sein.

            • 1ST1 sagt:

              Nein, "Kritis" sind Umgebungen, die irgendwas mit öffentlicher Infrastruktur zu tun haben, Energieversorger, Öffentlicher Nah/Fernverkehr, Telekommunikation, Behörden, usw., um mal die naheliegendsten Bereiche zu nennen.

              • Dominik sagt:

                Aber gerade bei den Kommunen usw. zieht man nun einen schönen Bogen. Möchte man eben nicht bezahlen die IT Sicherheit dort. Zumal vieles mit Dokumentationspflichten einher geht die in der Praxis nichts über mehr IT Sicherheit aussagen. Im Gegenteil die Kohle für die Anwälte hier, fehlt für wirkliches IT Security Personal. Ich fände ein System vergleichbar zur Lebensmittelüberwachung viel sinnvoller.

        • R.S. sagt:

          Alle USB-Ports im BIOS deaktivieren und im Archiv die alten Tastaturen und Mäuse herauskramen, die noch PS/2-Anschlüssen haben.
          Oh, geht ja gar nicht, die meisten modernen PCs haben ja gar keine entsprechenden Anschlüsse mehr dafür……

          Man könnte ja einfach den PnP-Dienst deaktivieren (braucht man ja eh im laufenden Betrieb nicht), dann werden für neu angeschlossene Geräte auch nicht mehr automatisch die passenden Treiber installiert und die Geräte funktionieren ohne Treiber schlicht nicht.

          • Luzifer sagt:

            falsch! Es gibt USB Malware (Hardware) die sich zwischen USB Port und Tatstatur hängt und keine Treiber braucht! Das kriegst du als Admin nicht mal mit das da was dazwischen klemmt. Die brauchen lediglich "Strom" was sie per USB frei haus bekommen. Hat der Angreifer genug Vorbereitung/Zeit, hängt das noch nicht mal zwischen Tatstatur und USB Port sondern intern in der Tastatur, dann siehst du das nicht mal das da was dazwischen hängt… im übrigen für ein paar € fünfzig auf dem Schwarzmarkt erhältlich. Kannst du nur entdecken wenn du die Tastatur aufschraubst (und deren Aufbau auch kennst).

            • Luzifer sagt:

              der sendet noch nicht mal was raus, der zeichnet nur alle Tastatureingaben auf und ein paar Tage später holt der "Putzemann" das wieder ab.
              Hast als Admin also keine Chance das zu entdecken.

              • Fritz sagt:

                Der vor mehr als 10 Jahren veröffentlichte "Snowden-Katalog" zeigt, was 2013 schon ging. Man braucht es nur gedanklich um 10 Jahre Entwicklungszeit zu extrapolieren.

                • Anonymous sagt:

                  Für viele ist das, was seit damals ging und gemacht wurde, schon nicht greifbar bzw. sie können es sich nicht vorstellen, oder wollen es nicht. Das auf aktuellem Stand der Technik zu erfassen bzw. zu begreifen, dürfte für viele gar nicht möglich sein. Es übersteigt Horizonte der Vorstellungskraft.

                  Gemacht wird es trotzdem. Alles. Immer. Überall.

  19. Ano sagt:

    das ist USB sperren… aber egal
    es geht ja ums prinzip…

  20. Martin B sagt:

    was ich bei Kritis Unternehmen teilweise nicht verstehe, ist der Trend zur m365 Cloud inkl. Hybridstellung. Ist mir schleierhaft, was die Daten dort verloren haben. Abgesehen von steigenden Kosten und höherer Komplexität. Möchte man das ganze noch gut absichern, genügen die Standardpläne auch nicht, da muss es schon E5 + Optionen sein. Backup ist auch elend teuer und das Hauptproblem bei Exchange Online ist die Spamflut. Sobald man online ist, geht es erst richtig los, das ist nicht lustig.

    Teuer und hohe Komplexität, so richtig verstehen kann ich das nicht.

    • Dominik sagt:

      Ich bin kein Exchange Experte, aber Softwareentwickler, Unternehmer usw. Ich kann einen Exchange Clouddienst administrieren (DNS, SPF usw), möchte mich aber nicht näher mit den MS Server Produkten beschäftigen. Die Cloud als SaaS löst dies für mich. Zudem sollte der Spamschutz besser sein als beim Mailpostfach beim Webhosting mit ggf. SpamAssassin. Aber klar ich wundere mich auch was manchmal noch durch die Schleuse kommt, bei einer anderen Firma von mir nutze ich Google Workspace da klappt es durch Gmail und Co. wirklich sehr ordentlich die Spamfilterung. Auch hier kann man ja selbst Konfigurationen und Richtlinien anpassen wer mag.

      • Martin B sagt:

        ja, das kann man justieren, die Datenhoheit ist dennoch dahin und bei Behörden oder Kritis Unternehmen wirft das schon Fragen auf. Globaler Shutdown M365, die Amis sind nicht mehr unsere Freunde oder was auch immer, mit Daten von Netzbetreibern oder Bürgerdaten ein NoGo. Abgesehen davon kann man wetten dass die Daten automatisiert analysiert werden und wem auch immer zu Diensten stehen, wenn es auch nur die MS eigene KI ist oder so was in der Art.

    • Anonymous sagt:

      Die Daten haben dort selbstverständlich nichts verloren, gar nichts.

      Wer die Risiken dadurch nicht erkennt oder erkennen will, sollte nicht im IT Umfeld arbeiten.

  21. Anonymous sagt:

    Kann ich nur so bestätigen.

    Aber es gibt mehrere Seiten. Chefs sind oft nicht IT affin. Kann man das vorwerfen ? Nicht mehr, als dem IT'er, nicht Budget/Haushaltsaffin zu sein. Daher brauchen die Leiter meist klare und einfache Ansagen. Nicht IT-einfach, sondern einfach ohne Vorkenntnisse. Die Finanzer fangen dann natürlich das Rechnen an. Schnell kommt die Überlegung wie aus versicherungstechnischer Sicht, ist es billiger, mit Strafen zu rechnen oder etwas zu tun – Arbeitszeit inbegriffen – .

    Dann gibt es natürlich alternativ die Wunderwaffe Outsourcing. Sicherheit auslagern, delegieren und meinen man hat nichts mehr damit zu tun. Dazu gibt es dann oft Auftragsnehmer mit ganz interessanten SLA's die niemand liest und deren Arbeit auch nicht überprüft wird.

    Auch aus der IT selbst gibt es manchmal Situationen in denen die Informationssicherheit als 'hinderlich' betrachtet wird. Man selbst weis schon wies geht und ist schon sicher, macht das seit Jahren usw.

    Intern ist man dann oft froh, überhaupt Leute zu haben und will diese durch unangenehme Arbeitssituationen nicht vergraulen. Noch mehr bei Fachkräften.

    Ergo, Maßnahmen werden nicht umgesetzt weil Leute fehlen. Leute Fehlen, weil nicht verfügbar und kein Geld. Man kann eh nichts machen und kippt in den Fatalismus.

    Man kanns auch mit Datenschutz vergleichen. Gibt schöne Gesetze und Regeln. Manchmal wird auch sporadisch wie in der Straßenbahn kontrolliert. Wenn echt durchgegriffen wird, greift aber oft irgendjemand mindernd ein. Wo kein Kläger, da kein Richter und Praktiker sehen sich wieder bestärkt.

    Wenn sich das ändern soll, braucht es mehr praktische Hilfe bei gleichzeitiger, intensivierter und unterstützender Kontrolle. Das die Verantwortung bei der Leitung von Firma oder Behörde ist, reicht nicht. Folgen müssen sichtbar sein.

    • R.S. sagt:

      *****************
      Schnell kommt die Überlegung wie aus versicherungstechnischer Sicht, ist es billiger, mit Strafen zu rechnen oder etwas zu tun – Arbeitszeit inbegriffen – .
      *****************
      Damit wäre es schnell vorbei, wenn es auch Gefängnisstrafen geben würde.
      Gefängnisstrafen lassen sich nicht versichern.
      Und dann würde sich das Management gut überlegen, ob es das Risiko auf sich nimmt, ins Gefängnis gehen zu müssen oder doch etwas Geld in die Hand zu nehmen und in die IT-Sicherheit zu stecken.

      Evlt. kann man als ITler ja gegenüber des Managements mit einem Vergleich mit der physischen Sicherheit punkten.
      Z.B., ob die eine etwas versteckt liegende Außentür abschließen oder doch immer offen lassen würden, denn die Tür liegt ja etwas versteckt, die findet so schnell niemand……
      Oder ob man eine Tür ausbauen würde, weil den Mitarbeitern ist es lästig, immer die Tür öffnen und schließen zu müssen. Also weg mit der Tür?
      Oder z.B. an einer Säge den Handschutz abbauen, denn der ist ja nur lästig, wenn man etwas sägen will…..
      etc. etc.
      Würde das Management so etwas tun?
      Sicher nicht, aber warum dann im IT-Bereich?
      Löcher in der IT-Sicherheit sind viel schwerwiegender, denn die kann man von einem beliebigen Punkt auf der Welt angreifen.
      Um das bei einer nicht verschlossenen Außentür zu machen, muß der Angreifer persönlich vorbei kommen.

  22. Dominik sagt:

    Ich finde die Polarisierung derzeit überall. Der IT Security Guru der seine 10fach Verschlüsselung feiert und beim gerooteten Smartphone per PGP verschlüsselten Mails im dreifach VPN kommuniziert. Und den Naivling der keine Lust auf sowas hat und einfach überall das selbe PW nutzt und alles per Messanger Apps oder auf fremden Websites an Geschäftsgeheimnissen usw teilt.

    Fakt ist, das eine sorgt für fehlende Akzeptanz da fehlender Pragmatismus. Das andere für ernste IT-Sicherheitsvorfälle.

    Es sich hier einfach zu machen und alles auf das Management zu schieben greift zu kurz. Wenn die IT in der Verantwortung ist, dann ist sie in der Verantwortung. Und dann muss man auch mal bereit sein eine richtige Lösung zu finden. Man kann nicht unendliche Sicherheit mit der Opfergabe sämtlicher Produktivität erstreiten. Gleichwohl gab es erste die Tage eine Dokumentation zum Thema ausländische Hacker, wo Laien rechtzeitig auf Trojanerverdachte hinwiesen und von der IT nicht ernst genommen wurden. Oder selbst die IT Hinweisen von Geheimdiensten nicht nachging im US Wahlkampf.

    Es braucht keine Extremforderungen. Es braucht pragmatische Lösungen. Derweil ist so mancher Whatsapp Chat vertraulicher als so manches Fax. Aber das hört man in DE ja gar nicht gerne.

    • Günter Born sagt:

      Widerspruch zu "Es sich hier einfach zu machen und alles auf das Management zu schieben greift zu kurz." IT-Sicherheit muss Chefsache sein und das Management ist verantwortlich. NIS-2 soll genau das manifestieren und die Geschäftsleitung in Haftung nehmen. Ob Haftung kommt, wird man in der Umsetzung des entsprechenden Gesetzes sehen.

      • Anonymous sagt:

        NIS-2 führt zu Umsatzsteigerungen bei Sicherheitssoftwareanbietern, die das auf die Verpackung schreiben. Zu mehr echter Sicherheit führt das nicht.

        • Günter Born sagt:

          Wenn Du NIS-2 so definierst, dass da das Management "kauf eine Packung, wo NIS-2 drauf steht" und mach einen schönen Zettel mit grünen Häkchen "erfüllt" definiert, hast Du Recht. Aber ich werde das Gefühl nicht los, dass NIS-2 hülfe, wenn das Management sich bewegt und die dahinter stehenden Überlegungen konsequent umgesetzt werden.

          Ich habe kürzlich einen Satz (da bezogen auf die deutsche Regierung) gehört, der lautet: "Es gibt etwas ganz krasses, einfach mal (etwas vernünftiges) machen".

          • Anonymous sagt:

            Das definiere ich genau so und das Management vielerorts auch. Siehe z.B. it-sa Messe, "NIS-2" wird dort sicherlich auf jedem zweiten Produkt stehen.

    • Helldunkel sagt:

      Verantwortung kann nicht delegiert werden. Einzig die Ausführung/Umsetzung kann delegiert werden.
      Daher ist immer die Führungskraft Verantwortlich, meist daher der Chef.

      Oder wir geben den ITlern Führungsbefugnisse, das sie z.B. Abmahnungen sprechen können wenn gegen Prozesse verstoßen wird. Wie sonst soll die IT sicherstellen das der vorsätzliche Holzkeil in der Außentür, Cleandesk, herumliegende Schlüsselkarten, Klick Wut der Mitarbeiter auch entsprechende Folgen hat?

      Wenn sämtliche Produktivität aufgrund von Sicherheitslösungen flöten geht, stimmt generell was nicht mit der Produktivität.
      Kein User braucht Admin Rechte, Ausnahmen von Scannern sollten immer so klein wie möglich sein, Netzsegmentierung sollte vorhanden sein, ein Tiring sollte vorhanden sein, 2FA sollte da sein, usw.

      Fax mit WhatsApp zu vergleichen ist schon grenzwertig. Das eine eine Technik aus den 70igern die mittlerweile adaptiert wurde, das andere eine Anwendung wo der Anwender alle Rechte auf den Inhalt freiwillig an einen der größten Datenvermarkter abgibt. Kann auch Apfel mit Autos vergleichen.

      Sollte eher so sein: IT Verantwortung liegt auch beim jedem Anwender. Wie Arbeitssicherheit eben auch bei jedem Mitarbeiter liegt.

  23. Werner sagt:

    Ich bin in einer relativ kleinen Firma tätig und schmeisse da den ganzen IT-Laden.

    Und ich hab da mal ne Frage an die ganzen Leute:

    Wenn euch eine Verantwortung für etwas übertragen wird, warum habt ihr da dann nicht die Weisungsbefugnis? Wie wollt ihr etwas verantworten, ohne bestimmen zu können?

    Und wenn euch die Weisungsbefugnis zu der Verantwortung nicht übertragen wird, dann folgt da ein einfaches, kleines Wort: NEIN! Dann weigert man sich, die Verantwortung zu übernehmen, weil man sie nicht ausüben kann. Ganz einfach.

    Übrigens: Trotz dieser harten Einstellung bin ich seit über 15 Jahren im gleichen kleinen Unternehmen…

    • Andy sagt:

      Als ITler muss man nicht die Verantwortung im Sinne der Haftung haben.
      Du trägst die "Verantwortung" alleine dadurch, dass ein Sicherheitsvorfall immer zu Deinen Lasten geht.
      Wenn der Laden einen riesigen Datenskandal wegen (medial) einer schrecklichen IT hat und die Türen dicht machen muss, dann hast Du es mit diesem Lebenslaufpunkt (IT-ler oder sogar "leitender" IT-ler im Unternehmen mit der skandalösen IT) später verdammt schwer, überhaupt zu einem Bewerbungsgesprääch eingeladen zu werden.

      • Helldunkel sagt:

        Glaube ich nicht. Ev. Wird es etwas scherer als IT Leizer, aber als Mitarbeiter der IT. Wenn Formel alles passt, der Mitarbeiter aus dem Empfang aber den USB Stick eined Kunden einsteckt ohne kurz zu Überlegen, tja….
        Der Chef wollte keine USB Sperre, Empfang war geschult, IT Sicherheit auf dem.vom.Chef gewünschten Niveau.
        Medial wird es ev. ein kurzes Strohfeuer.

        Wichtiger ist was ev vor Gericht läuft, gerade wenn es.um den Totalschaden geht.

  24. Nick sagt:

    Evtl. leicht off-topic, aber bei diesem Thema fallen mir spontan mehrere Anekdoten ein, für deren Richtigkeit ich mich verbürge:

    1.) Mitarbeiter eines Energieversorgers ruft bei einem ca. 200 km entfernten IT-Dienstleister an, anscheinend bei Google gefunden, und möchte eine Paar sehr teurer "Palo Alto"-Firewalls bestellen. Auf Nachfrage wird angegeben, dass zwischen Office- und Steuerungs-Netz des Kraftwerks alle Netzwerkprotokolle freigeschaltet sind, und demnächst (offenbar erstmalig) eine externe VPN-Einwahl ins Office-Netzwerk möglich sein soll. Und mit "Palo Alto" soll das ja "automatisch sicher" gemacht werden können, ohne dass jemand groß etwas umstellen muss. Auf den Hinweis, dass eine externe Einwahl unter diesen Umständen doch sehr riskant ist, wurde mitgeteilt, dass man dann eben bei einem anderen IT-Dienstleister deswegen nachfragen würde, weil es für eine Netzwerktrennung kein Budget gäbe. (Aktueller Stand: unbekannt.)

    2.) Krankenhaus verwendet den eingebauten AD-Adminstrator-User. Das Passwort besteht aus 4 Kleinbuchstaben (!), und entspricht dem Vornamen des langjährigen IT-Leiters. Änderung sei "zu viel Aufwand". (Stand: ca. 2020; aktueller Stand unbekannt.)

    3.) IT-Dienstleister: Stehende IPsec-VPN-Wartungstunnel zu fast allen Kunden erlauben SSH, RDP, HTTP/HTTPS auch in Rückrichtung zum IT-Dienstleister (!). Passwort des Domänen-Administrators entspricht dem Firmennamen (!). Der Domänenname ebenfalls. Mehrere ehemalige Mitarbeiter sind zwischenzeitlich zu Kunden gewechselt. VoIP-Telefone mit Webinterface und Default-Admin-Kennwort erlauben Packet-Capturing an jedem Arbeitsplatz-PC beim IT-Dienstleister. Was kann da nur schiefgehen? (Wurde inzwischen behoben.)

    4.) Vor ca. zwei Wochen: Senior konnte beim Versuch, den Homebanking-Zugriff bei der Sparkasse zu verlängern, die TAN-Nummer nicht schnell genug vom Lesegerät eintippen, und wurde nach mehreren Versuchen gesperrt. Mitarbeiter in der Filiale wissen nicht weiter, rufen in der Zentrale an: der Homebanking-Zugang muss neu initialisiert werden. Senior soll spontan eine neue Homebanking-PIN festlegen. Empfehlung: "Nehmen Sie Ihr Geburtsdatum, das vergisst man nicht. Das raten wir hier allen älteren Leuten." Monat/Jahr des Geburtsdatums waren übrigens bis vor ca. 2 Jahren noch die Zahl auf Seniors KFZ-Kennzeichens, bis ich darauf hingewiesen habe, dass er "zufällig" exakt diese Ziffernfolge auch als "Wunsch-PIN" für die Girokarte eingerichtet hatte… (Ist inzwischen alles geändert, sogar das Autokennzeichen anlässlich eines PKW-Wechsels.)

  25. Anonymous sagt:

    Check so ist es, totale Abhängigkeit vom "good will", und E5 Variante + Optionen + DSFA sorgt dann für die notwendige Risikominimierung bis in einen Bereich wo es scheinbar durchgewunken wird.

    Das gleicht eher einem, "wir weichen die Gesetze auf" bis es passt, als einem "wir setzen das mal ordenlich um".

  26. Bernhard Diener sagt:

    Es ist schwierig, Sicherheit nachträglich einzubauen, weil das viele Änderungen oder gar Einschränkungen bei der Funktionalität bedeutet. Und doch ist es das, was alle versuchen: sich ständig neuen Erkenntnissen über die vermeintliche Unsicherheit von Arbeitsprozessen zu stellen, indem man eben Sicherheitsanforderungen umstellt/verschärft und wieder und wieder die eigenen Arbeitsweisen anpasst.

    Kein Nichttechniker versteht letzten Endes, was da ->im Einzelnen<- Hintergrund der Maßnahmen ist. Die Techniker verstehen es zum Teil ja selbst nicht, sondern lesen nur Handlungsempfehlungen der Hersteller quer und versuchen, diese umzusetzen, so gut es geht. Es fehlt oft ja gar nicht an der Fachkenntnis, sondern die schiere Menge an Änderungsbedarf (nicht nur Patches), übersteigt das, was man schonend einführen kann. Und dann wird manchmal eben entschieden, das Problem zu vernachlässigen und nichts zu tun, bis es doch knallt. Oder es wird vorschnell etwas umgesetzt, was dann in den Tests unauffällig war, aber in der Produktivumgebung massive Probleme macht und zu großem Frust bei den Anwendern führt und somit die Ablehnung von IT-Umstellungen generell (nicht nur den sicherheitsrelevanten) verstärkt.

    Wir sind 27001-zertifizierungspflichtig (durch unsere Hauptkunden gefordert), wir handeln nach BSI-Grundschutz schon seit es dessen schriftliche Fassung gibt. Es ist ein Graus, was dort und anderweitig gefordert wird – nicht etwas deswegen, weil es nichts bringt, sondern weil die Fordernden keine Priorisierung machen. "Alles umsetzen, bitte". In meinen Augen ist diese Herangehensweise falsch. Wenn man eine Gewichtung machen würde, könnte man mit einem geringen Teil des Aufwandes schon die meisten Probleme beseitigen und das auch mit weit geringeren Nebenwirkungen, als wenn man versucht, auch wirklich jeden Kleinkram abzudichten und überall überwachbare Prozesse zu identifizieren, die auch bitte stets genauestens dokumentiert werden müssen.

    Der Komplexitätslevel heutiger IT ist zu hoch, um Sicherheit vertretbar einfach umsetzen zu können. Wenn es möglichst sicher sein soll, wird es für Admins die Alternative geben, es entweder höchst unfunktional und unangenehm für Nutzer zu machen oder die Regeln nur zum Schein zu erfüllen, aufzuweichen, mit Ausnahmen zu durchlöchern und für den Fall der Fälle cybercrime-Versicherung abzuschließen, um ruhig schlafen zu können.

    Überallem steht auch noch das generelle Problem, das willigen, guten Admins das Leben schwer macht: der Undank. Wer keine Probleme hat, kriegt sicherlich mehr Lob, als der, der jährlich mit echten Störungen zu kämpfen hat und bei perfekter Erfüllung noch nicht einmal wahrgenommen wird bzw. bei "nur" guter Erfüllung für die natürlichen Nebenwirkungen noch angezählt wird. Und wie schafft man es, keine Probleme zu haben? Man ändert nichts. Das wird auch Probleme machen, aber wenigstens nicht zwangsläufig, so wie es der Fall ist, wenn man wirklich jeden Patch mitnimmt, wirklich jeder Sicherheitsempfehlung folgt. […langes Telefonat gehabt, gerade, und nun völlig den Faden verloren, deshalb belasse ich es auch hierbei :-) ]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.