News Krypto-Trojaner WannaCry: Microsoft kritisiert Behörden, die Exploits horten

[Vindoriel]

CD, DVD, BD, USB Stick?

Bei einer CNC-Maschine? Jedes Mal ne CD brennen, wenn man die Maschine umrüstet (bei Kleinserienfertigung mehrmals täglich und Programme müssen auch wieder zurückgesichert werden)?
USB ist im rauen Werkstattalltag auch nicht der Bringer....

 

[andy_m4]

https://de.wikipedia.org/wiki/Digitales_Röntgen

Lustig. Soeit ist klar. Es ging um Informationen, die für die Administration interessant sind.

Du wirst wahrscheinlich einfach ignoriert, deine Anfragen genauso.

Dann sollen die ihr Kram selbst administrieren. So einfach ist das.

Die Maschinen liegen meist in einem anderen Netzwerksegment oder VLAN.

Immerhin.
Wie schon gesagt. Ich will ja hier keine Schwarz-Weiß-Malerei betreiben. Wenn die Lücke irgendwie SMB betrifft aber SMB-Verkehr kann das Gerät weder erreichen noch verlassen, dann ist das ja auch ein ausreichender Schutz.
Es ging selbst redend um Updates die Funktionalitäten betreffen die genutzt werden.
Ne ungepatchte SMB-Schwachstelle obwohl SMB genutzt wird würde ich dagegen nicht tolerieren.

Ja das Fass ohne Boden, man ersetzt einen integrierten PC für 15000-20000 oder kauft sich einen neuen Laser für 2 MIO und hat erstmal 6 Monate Produktionsausfall bis das Ding kommt. Dass der still stehende Laser auf Monate im Voraus verplant ist muss ich nicht extra erwähnen.

Support organisieren kannst vergessen, da kommt kein Patch drauf, der dem Maschinenhersteller nicht passt. Dann kriegst du keinen Support vom Hersteller und aus.

Haften die dann auch, falls durch ein nicht gepatchtes aber bekanntes Sicherheitsproblem zu irgendwelchen Auswirkungen kommt? Wäre ja das Mindeste.

Wieso holt man sich da keine anderen Systeme? Es gibt weltweit 2, 3 Hersteller die solche Maschinen anbieten und die setzen alle auf Windows.

Und weil keiner Druck auf die Hersteller macht, bleibt alles so wie es ist. Dafür kann man dann jammern wie schlimm alles ist.

Weil man muss sich immer vor Augen führen:
Noch waren ja die weitaus meisten Angriffswellen vergleichsweise harmlos. So ne Geschichten wie WannaCry sind ja nicht irgendwie besonders ausgefeilt gewesen (umso schlimmer find ich es, dass sowas dann schon einen solchen Impact hat).
Gibt sich da einer mal so richtig Mühe, dann hat der Betroffene ein richtiges Problem. Und dann will wieder keiner was gewusst haben.

Security-Updates helfen natürlich auch nicht gegen alles. Aber das gehört für mich mit zu den Mindestanforderungen an IT-Sicherheit. Und ich finde es bedenklich, dass man darüber immer noch diskutieren muss und es nicht längst etablierte Geschichten sind.
Ich mein, dass ne Sicherung in nen Stromkreis gehört, darüber muss ich ja auch nicht mehr debattieren. Und genauso sollten auch bestimmte Mindeststandards im IT-Bereich einfach dazu gehören.

 

[floTTes]

Als ich noch bei der Moeller GmbH (damals die 2. nach Siemens) gearbeitet habe, sind mir Geräte untergekommen, die - in Menschenjahren gerechnet - 500 Jahre alt waren. Vielen Admins sind die Hände gebunden bezüglich integrierter PCs. Während deren Einbindung in ein eigenes Netzwerksegment schlicht den finanziellen Rahmen sprengen würde. Ist ja nicht so als dreht man da zusammen mit seinen 2!!!!!!! Assisstenten Däumchen! Also hält man das Ding am laufen ... mit Klebeband und Öl ...

Willst du deinen Vorgesetzen erklären, dass die ganze Netzwerkstruktur hinfällig ist, stößt du viel zu häufig auf taube Ohren. Wer will wegen sowas schon Magenschmerzen?

 

[Lonely Shepherd]

Manche Leute stellen sich das mit den Updates in Firmen einfach viel zu leicht vor. Aufgrund der Updates auf unserem Fileserver, die mein Kollege am Wochenende wegen WannaCry eingespielt hat, funktioniert Scan-to-folder auf zwei unserer Multifunktionsgeräte nicht mehr, weil das verwendete Protokoll nicht mehr von Windows Server untersützt wird. Das erstmal herauszufinden und dann noch zu beheben, verbraucht einfach so viel Zeit in den chronisch unterbesetzten IT Abteilungen.

Damit will ich nicht sagen, dass man auf Updates verzichten soll, aber bitte hört auf zu denken, in Firmen läuft das so easy mit den Updates wie bei eurem Windows auf eurem Computer bei euch zu Hause.

 

[andy_m4]

Damit will ich nicht sagen, dass man auf Updates verzichten soll, aber bitte hört auf zu denken, in Firmen läuft das so easy mit den Updates wie bei eurem Windows auf eurem Computer bei euch zu Hause.

Auf die Ausrede bin ich mal gespannt, zwei Monate lang kein Update einzuspielen, den Microsoft in der höchsten Stufe (fix critical bug) deklariert.

Scan-to-folder geht nicht oder die Firmen-PCs werden niedergewalzt. Wie setze ich da meine Prioritäten wohl?

Das erstmal herauszufinden und dann noch zu beheben, verbraucht einfach so viel Zeit in den chronisch unterbesetzten IT Abteilungen.

Überall chronisch unterbesetzte IT-Abteilungen mehr. Manchmal hab ich das Gefühl, es gibt nur ne handvoll Admin-Stellen in ganz Deutschland. :-)

 

[Cool Master]

Bin da voll bei andy_m4.

Ich spiele immer Updates auf unseren Linux Server ein und wenn etwas kritisches nicht klappt wird halt ein Snapshot genommen und die Logs ausgewertet warum es nicht klappt.

 

[crashbandicot]

Auf die Ausrede bin ich mal gespannt, zwei Monate lang kein Update einzuspielen, den Microsoft in der höchsten Stufe (fix critical bug) deklariert.

Der Hersteller der eingesetzten Software gibt den Patch nicht frei.

Scan-to-folder geht nicht oder die Firmen-PCs werden niedergewalzt. Wie setze ich da meine Prioritäten wohl?

Wenn du den Betrieb / die Produktion ohne Scan-to-Folder einstellen musst, dann werden sich viele Firmen wohl wie entscheiden?

Überall chronisch unterbesetzte IT-Abteilungen mehr. Manchmal hab ich das Gefühl, es gibt nur ne handvoll Admin-Stellen in ganz Deutschland. :-)

Stellen gibt es genug, nur fähiges Personal nicht.

Ich spiele immer Updates auf unseren Linux Server ein und wenn etwas kritisches nicht klappt wird halt ein Snapshot genommen und die Logs ausgewertet warum es nicht klappt.

Mit dem klärst du dieses Vorgehen ab? Gibt es Staging Stufen bei euch? Müsst ihr auf Herstellerfreigaben warten oder könnt ihr schalten und walten wie ihr wollt?

 

[Cool Master]

Mit dem klärst du dieses Vorgehen ab?

Niemand, da ich der Chef der IT und in der Unternehmensführung bin. Es gibt fixe Patch Days --> jeden Freitag 8 Uhr wird ein apt-get update ; apt-get upgrade gemacht. Bei Notfall Updates/critical fixes, welche man aus Newsfeeds/groups bekommt, wird natürlich sofort reagiert und wenn der Server bzw. die VM neu starten muss ist es halt so. Damit muss jeder leben. Gibt ne Nachricht an jeden 10 Min vor dem Neustart um wichtige Daten zu speichern, falls Dokumente auf sind etc.

Gibt es Staging Stufen bei euch?

Ich würde mal sagen "Jain". Durch die Snapshots haben wir eine Art des Stagings aber wir testen die Updates eher direkt im Live-Betrieb und je nachdem was für Probleme auftauchen werden diese behoben. Wir hatten aber bis dato noch nicht wirklich Probleme gehabt *drei mal auf holz klopf*.

Müsst ihr auf Herstellerfreigaben warten oder könnt ihr schalten und walten wie ihr wollt?

Nö wir bauen unsere eigenen Server und Clients da das Know-How da ist.

 

[Autokiller677]

Wie viele MA hat der Betrieb?

Vor allem in größeren Firmen ist so ein vorgehen absolut nicht umsetzbar. Wenn ein paar hundert Leute nicht arbeiten können, weil der Server gerade neu startet oder du auf einen Snapshot zurück musst, kostet dass viel zu viel Geld, auch wenn es nur eine halbe Stunde Ausfall ist.

Und naja, testen im Livebetrieb...
Das geht halt auch nur, solange die Firma nicht zu groß ist. Sonst kann man sich solche Späße auch nicht erlauben.

Nö wir bauen unsere eigenen Server und Clients da das Know-How da ist.

Hier geht's doch nicht um die Hardware der PCs selber. Hier gehts um Hardware die an dem PC dranhängt, und dass kann vom Lasercutter über MRT und CT bis zur 6-Achs CNC Maschine mit Werkzeugwechsler alles sein. Viel Spaß dabei, dass alles selber zu bauen...

 

[Cool Master]

Wir haben 10 MA also die Definition von KMU. Klar funktioniert unser vorgehen nicht für ein Konzern habe ich aber auch nie behauptet.

Wir nutzen Standard HW was ein Softwareunternehmen halt nutzt da gibt es keine exotische HW an den PCs.

 

[crashbandicot]

@Cool Master
Ok, das erklärt einiges. Ist nicht böse gemeint, aber in größeren Firmen ist das von dir dargestellte Vorgehen halt unvorstellbar.

Hier geht's doch nicht um die Hardware der PCs selber. Hier gehts um Hardware die an dem PC dranhängt, und dass kann vom Lasercutter über MRT und CT bis zur 6-Achs CNC Maschine mit Werkzeugwechsler alles sein. Viel Spaß dabei, dass alles selber zu bauen...

Geht gar nicht um spezielle Hardware, sondern um spezielle Software. Ohne Freigabe des (Software-)Herstellers dürfen keine Updates eingespielt werden. Also werden nach jedem MS Patchday die veröffentlichten KB Artikel genannt, der Hersteller prüft auf Kompatibilität und meldet nach 2-3 Wochen ein Go oder NoGo zurück. Bei einem Go fängt man dann in der untersten Stagingstufe an zu testen (ne Woche oder so) und arbeitet sich dann nach oben durch. Je nach Kritikalität der Umgebung gibt es 2-4 Stagingstufen.

 

[Autokiller677]

@Cool Master: Dann bist du in der glücklichen Lage, dass das so einfach möglich ist. Für die meisten Admins gilt das halt leider nicht.

 

[Cool Master]

@crashbandicot

Keine Angst, da wurde nichts böse verstanden

@Autokiller677

Jup und ich finde es super

 

[Vindoriel]

Auf die Ausrede bin ich mal gespannt, zwei Monate lang kein Update einzuspielen, den Microsoft in der höchsten Stufe (fix critical bug) deklariert.

Dann nenne mal eine Downloadquelle für DEN EINEN Patch für Win7 x64.
Dank Rollups kann man nicht mehr updaten, wenn schon ein einzelner mit der verwendeten Software (Steuerungssoftware für Maschinen usw.) inkompatibler Patch mit enthalten ist. Und somit auch kein Patch gegen die aktuelle Sicherheitslücke.

 

[Cool Master]

@Vindoriel

Winfuture Update Pack (da kann man auch nur eins installieren) oder direkt auf der KB Seite von MS.

 

[andy_m4]

Der Hersteller der eingesetzten Software gibt den Patch nicht frei.

Dann tretet dem Hersteller auf die Füße. Ich weiß, dass die Situation teilweise echt beschissen ist. Nur wenn keiner was macht, wird sich auch auf lange Sicht nix ändern.
So ne Sachen wie Updatebarkeit etc. müssen schon bei der Beschaffung ein Kriterium sein.

Wenn du den Betrieb / die Produktion ohne Scan-to-Folder einstellen musst, dann werden sich viele Firmen wohl wie entscheiden?

Und das jetzt mal gegengerechnet mit einem Totalschaden durch einen Virus, wodurch dann nicht mehr nur Scannen nicht geht, sondern die gesamte IT down ist?

Stellen gibt es genug, nur fähiges Personal nicht.

Ah. Fachkräftemangel. :-)
Na dann solltet ihr mal eure Gehälter nach oben korrigieren oder selbst ausbilden.
Kostet Geld? Stimmt. Aber eine nichtfunktionierende IT eben auch.

Ergänzung (21. Mai 2017)

Hier geht's doch nicht um die Hardware der PCs selber. Hier gehts um Hardware die an dem PC dranhängt, und dass kann vom Lasercutter über MRT und CT bis zur 6-Achs CNC Maschine mit Werkzeugwechsler alles sein. Viel Spaß dabei, dass alles selber zu bauen...

Ja. Die Software bei solchen Geräten ist meist so richtig grottig. Und das find ich ja irgendwie immer bemerkenswert. Irgendwie ne Millionen-teure Maschine herstellen aber irgendwie auf der Softwareseite wird gespart und dann irgendein Dreck produziert.

Aber hey, solange die Kunden nicht meckern, warum sollen die Hersteller sich umstellen?

 

[crashbandicot]

Dann tretet dem Hersteller auf die Füße. Ich weiß, dass die Situation teilweise echt beschissen ist. Nur wenn keiner was macht, wird sich auch auf lange Sicht nix ändern.
So ne Sachen wie Updatebarkeit etc. müssen schon bei der Beschaffung ein Kriterium sein.

Der Hersteller hat ein Alleinstellungsmerkmal auf dem Markt und kann deswegen so agieren wie er agiert. Ist nicht schön, muss man aber mit leben.

Und das jetzt mal gegengerechnet mit einem Totalschaden durch einen Virus, wodurch dann nicht mehr nur Scannen nicht geht, sondern die gesamte IT down ist?

Wenn wenn wenn. Damit kommst du im Management nicht weit.

Ah. Fachkräftemangel. :-)
Na dann solltet ihr mal eure Gehälter nach oben korrigieren oder selbst ausbilden.
Kostet Geld? Stimmt. Aber eine nichtfunktionierende IT eben auch.

Wir bilden selbst aus (~50 Azubis/Jahr) und haben einen Tarifvertrag (verdi) der gut vergütet wird. Es gibt einfach nur viele "Nichtskönner" am Markt.

 

[Autokiller677]

Ja. Die Software bei solchen Geräten ist meist so richtig grottig. Und das find ich ja irgendwie immer bemerkenswert. Irgendwie ne Millionen-teure Maschine herstellen aber irgendwie auf der Softwareseite wird gespart und dann irgendein Dreck produziert.

Aber hey, solange die Kunden nicht meckern, warum sollen die Hersteller sich umstellen?

Die Kunden (zumindest meine Firma) meckert da auch gerne und viel. Aber für manche Sachen gibt es leider nur ein paar Hersteller, die sich da ein schönes Oligopol teilen. Und solang keiner von denen plötzlich denkt "hey, lass mal den Gewinn schmälern und dafür mehr Support liefern" tut sich da leider auch nix - außer man gründet eine Firma und macht es selber, was aber bei den komplexen Systemen nicht so ganz einfach wäre...

Letztlich hat man da im Moment leider oft die Wahl zwischen Hersteller boykottieren (und dann den Laden dichtmachen, weil man die Maschine halt eigentlich braucht) und in den sauren Apfel beißen und regelmäßig mal meckern...

 

[andy_m4]

Letztlich hat man da im Moment leider oft die Wahl zwischen Hersteller boykottieren (und dann den Laden dichtmachen, weil man die Maschine halt eigentlich braucht) und in den sauren Apfel beißen und regelmäßig mal meckern...

Ja. Ist echt zum heulen. Das wird noch richtig spaßig werden mit dem ganzen Internet-of-Things und Industrie 4.0 Kram.