News Sicherheitsvorfall bei AnyDesk: BSI warnt vor möglichen Folgeangriffen

[Snowi]

Daraufhin hat das BSI am 05.01. eine Mitteilung herausgegeben. Damit waren die Behörden und KRITIS entsprechend informiert und konnten Maßnahmen ergreifen.

Nein, die KRITIS waren damit nicht informiert, die erste Benachrichtigung die uns erreicht hat (KRITIS) kam am 29.01.

Es ist nicht Aufgabe des BSI die Öffentlichkeit proaktiv über mögliche Sicherheitsvorfälle in Kenntnis zu setzen.

Doch, doch das ist es! Alleine damit alle anderen Unternehmen die nicht der privilegierten Gruppe der KRITIS Unternehmen angehören AnyDesk überall deinstallieren können und die Systeme prüfen können! Insbesondere dann, wenn sie gesichert Kenntnis darüber haben!

Alle anderen Warnungen hätten zeitnah von AnyDesk erfolgen müssen, das ist nicht passiert. Erst nachdem AnyDesk den Vorfall bestätigt hat, hat das BSI dies aufgegriffen und öffentlich kommentiert.

Das hätte AnyDesk tun müssen, mindestens via Hinweis auf der Website sowie E-Mail an alle Kunden. Aber dass die Hersteller hier regelmäßig versagen, ist ja nichts neues.

 

[Evil E-Lex]

Doch, doch das ist es! Alleine damit alle anderen Unternehmen die nicht der privilegierten Gruppe der KRITIS Unternehmen angehören AnyDesk überall deinstallieren können und die Systeme prüfen können! Insbesondere dann, wenn sie gesichert Kenntnis darüber haben!

Sehe ich anders. Im Zweifelsfall macht sich das BSI gegenüber dem betroffenen Hersteller schadenersatzpflichtig.

Nein, die KRITIS waren damit nicht informiert, die erste Benachrichtigung die uns erreicht hat (KRITIS) kam am 29.01.

Was war dann die Nachricht vom 05.01.? Edit: Der 05.01. ist vermutlich ein Tippfehler, in dem Dokument, wo dieses Datum referenziert wurde. Es dürfte sich eigentlich um die Cybersicherheitswarnung vom 05.02. gehandelt haben. Von daher kann ich die Kritik an der späten Mitteilung jetzt nachvollziehen und teile diese explizit.

 

[andy_m4]

Du willst den Nutzen nicht sehen

Das hab ich so nicht gesagt. Im Gegenteil. Es sehe beim BSI durchaus Nutzen. Ich stelle es aber nicht so überhöht da wie Du. Und ich bin mir bewusst, das dies nicht nur am BSI selbst liegt, sondern daran, wie es aufgestellt ist.

Wenn man bei all den Dingen, die ich aufgezählt habe keinen Nutzen sehen möchte, dann will man es einfach nicht.

Naja. Irgendwie konntest Du bisher den Nutzen nicht wirklich klar darstellen. Du lässt ein paar Begriffe fallen und behauptest lediglich, das sie nützlich sind ohne den Nachweis zu erbringen.
Und ich nicht alles blind glaube, was irgendwer irgendwo im Internet im Interhet herumbehauptet, würde ich mir selbst jetzt nicht ankreiden wollen. :-)

Deine Ausführungen zum C5 lassen schon vermuten, dass du dich damit nicht soo sehr auskennst. Ist ok, weils ein fetter Wälzer ist.

Und Du hast die Möglichkeit verpasst das zu klären. :-)
Möglicherweise, weil Du es selber nicht weißt oder weil dann heraus kommen würde, das ich doch nicht so Unrecht hab? Wer weiß. ;-)

Cloud Anbieter sind in der Security in der Regel besser als die 3-500 Mann Butze mit lokalem "ITler" der dann vom Mailserver bis zum Desktop alles abdecken muss.

Das kann man so sehen.
Nur ist das natürlich kein guter Zustand. Wenn man irgendwie nur die Option hat von der schlechten Möglichkeit auf eine bisschen weniger Schlechte zu wechseln.
Wir sehen doch beinahe täglich, das alle bisherigen typischen Strategien nicht wirklich gut funktionieren.
So nach dem Motto: "Die Hütte brennt war immer noch, aber wenigstens nicht mehr so heiß". :-)
Das kann ja nicht die Antwort auf Sicherheitsfragen sein.

wieder auf Cloud zu bashen

Wie gesagt: Wir sehen ja, das selbst die Cloudbetreiber (denen man ja unterstellt, solche Infrastrukturen sicher zu betreiben können) Hops genommen werden. Wenn man mir dann die Cloud als Lösung präsentiert, sollte es nicht verwundern, wenn da ein paar kritische Fragen gestellt werden. :-)

Ich hab übrigens nicht per se etwas gegen Cloud-Lösungen. Ich hab nur etwas gegen die verkürzte Sichtweise a-la "schiebt den Kram in die Cloud und alles wird gut".

 

[Poati]

Das hab ich so nicht gesagt.

Sorry aber du stellst Behauptungen auf und lieferst dafür keinerlei Fakten. Gar nichts. Ich habe dir die wichtigsten Dinge genannt, mit denen ich tagtäglich beruflich zu tun habe! Das stellst du als Buzzwords hin und wäre ja alles kein Nutzen. Einen etablierten Standard (C5) stellst du als unnütz dar mit einer Argumentation, die mir fast schon zu blöd war darauf einzugehen.

Das heißt aber auch, das wir damit rechnen müssen, das es zum Schadensfall kommt. Und das heißt, das wir schon im Vorfeld versuchen sollten, alles so zu machen, das die Schadensauswirkung möglichst gering ist.

BSI Standard 200-4. Ebenso gefordert im C5.

Es wäre aber tendenziell besser dezentrale Strukturen zu schaffen, weil man damit Schadenswirkungen viel besser eingrenzen kann.

Ohne Georedundante Infrastruktur gibt es kein C5 Testat. Eigentor.

Was wir beobachten ist, das selbst große Cloud-Betreiber Security-Vorfälle haben

Wer ist wir? Die großen landen in den News, wenn du das meinst. Korrekt. Der entscheidende Unterschied ist nicht, dass der große Hyperscaler nicht gehackt werden könnte sondern die Bearbeitung des Schadens. Dazu mal ein Auszug aus dem Lagebericht: "So installieren nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheitsupdates. Noch weniger (46 %) überlassen ihre IT-Sicherheit einem externen Dienstleister. Und einen Notfallplan besitzen gar nur 18 Prozent der Kleinstunternehmen." Also was du zuerst ja noch als so wichtig hinstellt, das ist gerade bei kleineren Unternehmen, die ihre IT selbst machen wollen, überhaupt nicht gegeben. Ich habe in meinem Leben auch noch keine Institution mit weniger als 250 Mitarbeitenden gesehen, die ein sauberes (IT-)Notfallkonzept hat. Von den 18% die meinen eines zu haben, sind nochmal 50% weder mal geprobt worden noch wirklich gut ausgearbeitet.

Ich hab nur etwas gegen die verkürzte Sichtweise a-la "schiebt den Kram in die Cloud und alles wird gut".

EXAKT deswegen hat man den C5 ins Leben gerufen!


Kannst sonst auch mal das BSI Magazin lesen, da stehen auch oftmals interessante Dinge drin, wo das BSI gerade überall mit beschäftigt ist und wo es einen Nutzen hat!

und rein aus Interesse, was sind im Alltag so deine Berührungspunkte zu IT-Sicherheit, also abseits von Artikeln auf CB?

 

[Evil E-Lex]

Einen etablierten Standard (C5) stellst du als unnütz dar mit einer Argumentation, die mir fast schon zu blöd war darauf einzugehen.

Vielleicht wollte @andy_m4 damit ausdrücken, dass diese Standards und Zertifikate nur seitenweise vollgeschriebenes Papier sind. Sicher wird dadurch erstmal nichts.

 

[Poati]

Sicher wird dadurch erstmal nichts.

Ja das ist ein Punkt, den ich gut nachvollziehen kann. IT Sicherheit und haufenweise Richtlinien, die nicht gelebt werden und daher zu recht hinterfragt werden können, sorgen nicht für Sicherheit. Es erweist sich in der Praxis aber als durchaus schwierig, IT Sicherheit überprüfbar und auch messbar zu machen. Der C5 hat aber definitiv schon bei diversen Anbietern dafür gesorgt, dass sinnvolle Sicherheitsanforderungen umgesetzt wurden. Beispiel wäre die Open Telekom Cloud. Ich weiß ehrlicherweise nicht, ob das publik ist, aber die mussten viel nachbessern, damit die ihr C5 Zertifikat bekommen haben. Ich sehe da einen ganz klaren Nutzen. Klar, besser geht immer aber darum geht es nicht.

 

[Capthowdy]

RustDesk, damit kannst du deinen eigenen Server betreiben

Hast du damit Erfahrungen? Wie ist das so im Vergleich zu TeamViewer?

 

[K-551]

Wie ist das so im Vergleich zu TeamViewer?

Meiner Meinug nach besser als TeamViewer.
Muss aber dazu sagen, das ich Teamviewer schon seit ~2-3J nur noch gelegentlich nutzte und seit dem Anmeldezwang gar nicht mehr...

 

[monstar-x]

Ich hoffe das BSI findet hier eine gute Rechtfertigung für die Verzögerung. Das wirft kein gutes licht auf eine eigentlich sehr geschätzte Behörde. Warum Kritis Vorrang hatte obwohl es keinen Grund gab können sie hoffentlich aufklären...

KRITIS (Kritische Infrastruktur) Vs. Fahrschule Bäcker
Und du verstehst nicht wieso die KRITIS (Staat, Energieversorger, IT / TK) zu erst informiert werden?

Alleine der Name Kritische Infrastruktur impliziert doch deren Gewichtung.

 

[Snowi]

KRITIS (Kritische Infrastruktur) Vs. Fahrschule Bäcker
Und du verstehst nicht wieso die KRITIS (Staat, Energieversorger, IT / TK) zu erst informiert werden?

Dass die mit Priorität informiert werden, also zuerst abgearbeitet werden, ist absolut nachvollziehbar - aber warum sollte man direkt danach nicht alle anderen informieren? Die KRITIS Firmen wurden durch die Einstufung der Meldung ja sogar selbst aktiv daran gehindert, das zu tun. Warum? Was ist konkret an dieser Story so dramatisch, dass man nur eine Gruppe X warnt, und des Rest der Wirtschaft nicht? Es geht ja nicht darum, dass das BSI jetzt jede Firma die im Handelsregister steht einzeln anruft.
Sie hätten ja einfach irgendwo eine Meldung veröffentlichen können, und der Rest der Welt hätte es aufgegriffen. Das wurde aber nicht nur nicht getan, sondern es wurde aktiv verhindert.

 

[kicos018]

Dass die mit Priorität informiert werden, also zuerst abgearbeitet werden, ist absolut nachvollziehbar - aber warum sollte man direkt danach nicht alle anderen informieren?

Warum sollte man direkt danach alle anderen informieren? Dann kann man die Priorität auch direkt weglassen und alle alle informieren. Macht aber je nach Situation einfach gar keinen Sinn alle ins Boot zu holen.

Das ist zwar alles nur Spekulation, aber wenn du (hier: BSI) weißt, dass bei Infrastruktur X erhöhtes Angriffspotential herrscht, dann warnst du die gesondert vor und schaust gemeinsam mit denen nach Auffälligkeiten. Wenn du direkt alle öffentlich vorwarnst, dann weiß der Angreifer eben auch sofort, dass man über Lücken bescheid weiß und du das genauer beobachtest.

Ob das jetzt aber zeitlich alles Sinn gemacht hat in diesem Fall, will ich hier nicht beurteilen.

 

[h00bi]

Gibt's eigentlich vernünftige Remote Control Software die ohne Cloud läuft?

Rust Desk?
Da hostest du den Connection Broker selbst.
Aber keine Ahnung wie praktikabel das unter Android ist.

 

[Haldi]

Aber keine Ahnung wie praktikabel das unter Android ist.

Ziemlich gut wenn man denn endlich kapiert hat das man mit 2 Finger das ganze Bild scrollt/zoomt und mit 3 Fingern den PC scrollt.
Ist nur leider nicht im Playstore. Aber wenigstens unter F-Droid.

 

[Simanova]

Es gibt Hinweise darauf, dass der Hack bereits am 20. Dezember statt fand.

Der Incident Report von Anydesk meldete am 20.12.2023
einen Ausfall der globalen Infrastruktur des Unternehmens.

We have a major outage of AnyDesk Global Network. We are doing everything possible to be back online as soon as possible Posted 2 months ago. Dec 20, 2023 - 09:01 UTC

Golem hat dazu heute eine News veröffentlicht. (Author Günther Born) Darin heisst es,
dass die französische ANSSI in ihrem Bericht zur Deinstallation von Anydesk geraten hat,
da es

"Merkwürdigkeiten" bis zurück zum 20. Dezember 2023

gab.

Inzwischen liegt mir ein Hinweis aus einer Quelle vor, dass es im Vorfeld vom BSI eine vertraulich klassifizierte Mitteilung an einen restriktiven Empfängerkreis gab, in der bestätigt wird, dass von Anydesk am 20. Dezember 2023 ein Cyberangriff bemerkt wurde, bei dem wohl Zertifikate und Quellcodes abgeflossen sind.

Zudem spricht Günter Born darüber, dass Anydesk über eine Schwachstelle in den Confluence System hätte kompromittiert werden können.

Bei dieser Information läuteten bei mir die Alarmglocken, denn Altassian warnte Ende Oktober 2023 vor Schwachstellen in seinem Confluence-Server, die ab November 2023 auch aktiv ausgenutzt wurden.

***

Falls dem so wäre, hat Anydesk

1. Den Vorfall vertuscht
2. Den Vorfall zu spät oder nicht umfassend genug gemeldet
3. Eine aktive Sicherheitslücke mehr als 50 Tage im System zugelassen

 

[andy_m4]

Sorry aber du stellst Behauptungen auf und lieferst dafür keinerlei Fakten.

Du sprichst grad' von Dir.
Ich habe gar nichts behauptet, sondern ich stelle Gesagtes in Frage.

Das stellst du als Buzzwords hin und wäre ja alles kein Nutzen.

Na weil ja nichts weiter von Dir kam.
Und das es überhaupt keinen Nutzen ist habe ich nie behauptet. Ich sage nur, das deren Nutzen möglicherweise überbewertet ist.

mit einer Argumentation, die mir fast schon zu blöd war darauf einzugehen.

Man ja sein, das meine Argumentation fehlerhaft ist. Aber von mir kam wenigstens sowas wie ne Argumentation. Von Dir kam NICHTS.

Ohne Georedundante Infrastruktur gibt es kein C5 Testat. Eigentor.

Redundanz ist was anderes als eine dezentrale Organisation.
Eigentor!

Wer ist wir? Die großen landen in den News, wenn du das meinst. Korrekt.

Siehste.

"So installieren nur 62 Prozent der Kleinstunternehmen regelmäßig Sicherheitsupdates. Noch weniger (46 %) überlassen ihre IT-Sicherheit einem externen Dienstleister. Und einen Notfallplan besitzen gar nur 18 Prozent der Kleinstunternehmen." Also was du zuerst ja noch als so wichtig hinstellt, das ist gerade bei kleineren Unternehmen, die ihre IT selbst machen wollen, überhaupt nicht gegeben.

Zu diesem Themenkomplex habe ich bereits was gesagt.

Ansonsten bleibst Du weiter hin den Nachweis schuldig, das die von Dir genannten Dinge in der Praxis positive Auswirkungen haben. Es kommt nicht mal eine Erklärung, warum sie sich positiv aus die Sicherheit auswirken könnte.
Alles in allem ein wenig dünn.

 

[Poati]

Ansonsten bleibst Du weiter hin den Nachweis schuldig, das die von Dir genannten Dinge in der Praxis positive Auswirkungen haben.

Das ist eben nicht ganz einfach. Du möchtest wahrscheinlich Zahlen im Sinne "durch Angebot XY des BSI hat sich das Sicherheitsniveau an dieser oder jener Stelle erhöht?" Vielleicht findet man dazu was. Dazu sei aber gesagt, dass das BSI haufenweise Informationen, Standards und andere Dinge zur Verfügung stellt. Diese auch zu benutzen ist nicht deren Aufgabe. Operativ ist das BSI vermutlich in den Bereichen Regierungsnetz, KRITIS, digitale Identitäten und Forschung aktiv. Bist du krankenversichert? Schau mal was dort für ein Logo drauf ist. Technische Richtlinien des BSI spielen in sehr vielen Bereichen eine Rolle. Ich sehe da einen praktischen Nutzen. Ich nenne zumindest Beispiele und erwarte dann eben auch, dass man sich selbst etwas dazu informiert, wenn man es nicht kennt. Du könntest genauso mal erklären, warum du keinen Nutzen in all diesen Angeboten siehst. Du kannst maximal die These aufstellen, dass die digitale Welt genauso so sicher oder gar sicherer wäre ohne eine Behörde dazu. Dass wir in der Digitalisierung genug Probleme haben, liegt auf der Hand. Wollen wir jetzt wirklich der Behörde ihren Nutzen absprechen, die sich um die Sicherheit der Regierungsnetze und der Bundesverwaltung kümmert? Natürlich ist da die Telekom auch immer noch nicht ganz rauszudenken, aber naja. Es liegt in der Verantwortlichkeit des BSI.

Redundanz ist was anderes als eine dezentrale Organisation.
Eigentor!

Ich habe zentral örtlich gedeutet, klang für mich so. Tut mir leid, wenn ich das falsch aufgefasst habe. Wenn wir es (IT)-Strategisch betrachten wollen, dann hat das halt nichts mehr mit dem C5 zu tun. Da steht ja nicht drin, dass man seine gesamte IT in am besten noch einer Software abbilden soll und diese von einem Cloudanbieter betreiben lässt. Wenn du das mit zentraler Organisation meinst. Dann hast du recht, dass man das sehr wohl kritisch hinterfragen sollte. Ist aber nicht Thema des C5. Dafür gibt es Unternehmen, die zur IT-Strategie beraten. C5 sorgt für ein gewisses Maß an Sicherheit der Cloudanbieter und das mit praktischen Nutzen. Als Endkunde weiß ich, dass wichtige Sicherheitsanforderungen umgesetzt sind und verlässlich geprüft wurden. Übrigens sehr viel strenger als es bei ISO27001 der Fall ist, weil hier Wirtschaftsprüfer involviert sind. Ich weiß wirklich nicht wie praktisch du den Nutzen noch haben möchtest.

ÜBERALL wo ich bisher Einblicke in die operative IT Sicherheit bekommen habe, spielten Angebote des BSI in irgendeiner Form eine Rolle. Viele halten sich an die Empfehlungen, weil man als Admin (war ich selbst auch schon) meistens gar nicht die Zeit hat sich mit solchen Dingen tiefergehend zu befassen. Bei der Etablierung eines ISMS nach ISO 27001 ist es sehr hilfreich sich beim Grundschutz des BSI zu bedienen. Eine Zertifizierung direkt nach IT-GS ist allerdings häufig zu aufwändig. Man macht also eine Mischform.

Siehste

Also stimmst du mir zu, dass deine Aussage Quatsch war? Interessant. Denn es ging mir darum, dass es mich wirklich nur schmunzeln lässt, wenn du mit sowas um die Ecke kommst wie "die großen werden aber auch gehackt". Das brauche ich gar nicht mehr weiter kommentieren und die Frage wo du beruflich mit IT Sicherheit zu tun hast, wolltest du auch nicht beantworten. Ich kann daher insgesamt nur darauf schließen, dass du eher fachfremd bist. Was anderes lassen deine Aussagen nicht zu. Und dann ist es natürlich auch schwer den Nutzen einer Behörde zu erkennen, mit dessen Fachaufgabe man nichts zu tun hat. Würde mir im privaten Kontext auf den ersten Blick auch wenig einfallen. Aber naja auch da gibt es Angebote auf die ich gerne privat verweise, weil mich aufgrund meines Berufs auch so genug Leute fragen. Zu Themen wie 2FA, was tun mit altem Smartphone, wie gehe ich mit Kennwörtern um, 1x1 beim Onlinebanking oder auch Cloud verweise ich auf Material vom BSI. Das ist der Zielgruppe entsprechend gut aufbereitet. Hat aber auch alles keinen Nutzen, richtig?

 

[M-X]

Alleine der Name Kritische Infrastruktur impliziert doch deren Gewichtung.

Wo ist das Problem die Kritis Leute + "Fahrschule Müller" zu informieren ? Der einzige Grund wäre, wie bereits von andere gepostet, das man nicht will das die Hacker wissen das man es weiß. Das ist aber schon sehr schwammig und selbst wenn finde ich das die Nachteile die Vorteile bei so einen Vorgehen definitiv überwiegen. Man sieht ja an der Einstufung das die Leute aktiv gehindert wurden die Info weiterzugeben. Und das trotz der History (bereits schon im Dezember passiert).

 

[Cmdr_Michael]

Dass die mit Priorität informiert werden, also zuerst abgearbeitet werden, ist absolut nachvollziehbar - aber warum sollte man direkt danach nicht alle anderen informieren? Die KRITIS Firmen wurden durch die Einstufung der Meldung ja sogar selbst aktiv daran gehindert, das zu tun. Warum? Was ist konkret an dieser Story so dramatisch, dass man nur eine Gruppe X warnt, und des Rest der Wirtschaft nicht? Es geht ja nicht darum, dass das BSI jetzt jede Firma die im Handelsregister steht einzeln anruft.

Da ich beide Meldungen (erst die KRITIS, dann die öffentliche) selbst gesehen haben. In der ersten Meldung ging es darum: "Hey, es gab einen Vorfall bei Anydesk. Es gibt erstmal noch keinen Hinweis, dass der Vorfall bei Anydesk Auswirkungen auf euch hat, aber hey, ihr seid KRITIS und solltet jetzt beim Thema Anydesk besonders sensibel sein."
Ich sehe schon warum man sowas erstmal nur an KRITIS schickt, weil seien wir mal ehrlich: Was ist bislang passiert? Nichts! Bei Anydesk wurden anscheinend Daten gestohlen, inkl. private Zertifikate, aber bis heute hat noch niemand einen Angriff damit gesehen. Warum soll man Gott und die Welt dazu wild machen?

Ich sehe den schwarzen Peter ganz klar bei Anydesk. Als Firma habe ich bei einem Sicherheitsvorfall meine Kunden transparenet darüber zu informieren. Die fehelende Transparanz und absolute Verheimlichungs und Salamitaktik von Anydesk sagt mir, dass IT-Sicherheit bei denen ein Desaster ist und die keine Prozesse dazu haben.

 

[andy_m4]

Das ist eben nicht ganz einfach. Du möchtest wahrscheinlich Zahlen im Sinne "durch Angebot XY des BSI hat sich das Sicherheitsniveau an dieser oder jener Stelle erhöht?"

Naja. Sagen wir mal so. Zum Beispiel im Medikamentenbereich haben wir Studien, die belegen sollen, ob eine Medikament wirkt oder nicht (oder nicht sogar negative Auswirkungen hat).
Das kann für den Einzelfall natürlich immer noch bedeuten, das es nicht funktioniert oder unerwünschte Nebenwirkungen auftreten. Aber gemittelt sieht man doch einen positiven Effekt.

Ein Wirksamkeitsnachweis für irgendein Zertifikat wäre also: Wird ein zertifiziertes Unternehmen im Mittel weniger "gehackt" als ein nicht Zertifiziertes.

Du könntest genauso mal erklären, warum du keinen Nutzen in all diesen Angeboten siehst.

Die Kritik an solchen Sachen ist nicht, das da totaler Quatsch drin steht. Meine Kritik daran ist, das dies Mindestanforderungen darstellt.
Und nun kann man natürlich sagen das Mindestanforderungen zu erfüllen immer noch besser ist als gar nichts zu haben. Das ändert aber nichts daran, das das immer noch ungenügend ist. Das sehen wir ja auch daran, das selbst Unternehmen/Institutionen "gehackt" werden, die über irgendwelchen Mindestanforderungen liegen.
Das bestreben muss also sein nicht irgendwelche Mindestlevel zu erfüllen, sondern das Maximum rauszuholen.

Und dann kommen wir direkt zum nächsten Problem. Solch ein Sicherheitsanforderungskatalog ist natürlich immer sehr allgemein gehalten und geht nie auf die spezifischen Situation des konkreten Unternehmens ein. Geht ja auch gar nicht.
Jedenfalls führt das dann dazu, das dann spezifische Sicherheitsmaßnahmen die relativ viel bringen würden aus den Augen verloren werden weil die Ressourcen dahin fließen lediglich Sicherheitsanforderungskatalog zu erfüllen und die fehlt dann an anderer Stelle wo es um konkrete Sicherheit geht.

Und Sicherheit in Unternhmen ist ohnehin ein schwieriges Thema, weil Sicherheit ja zum eigentlichen Produkt nichts beiträgt und aus Sicht des Unternehmers/Vorstands ein Kostenfaktor und notwendiges Übel ist. Die haben also das Bestreben die Kosten möglichst zu minimieren und das Nötigste zu machen.
Für alle Beteiligten ist daher die Verführung besonders groß nur das absolut Notwendigste zu tun und gleichzeitig aber ne Rechtfertigung zu haben, wenn was schief geht. Wenn was passiert, kann sich der Admin immer damit rausreden, das es ja das Zertifikat gab und man ja sein "möglichstes getan" hat.
Außerdem kann man sich mit so einem Zertifikat auch gut nach außen hin schmücken: "Seht mal her, ihr Kunden. Wir sind zertifiziert!"

Der ganze Zeritifkatszirkus führt also vor allem dazu, das alle Seiten damit leben können und nicht, das man da bestmögliche Sicherheit hat.

BSI

Noch mal ein Wort zum BSI:
Ich sehe auch nicht, das da das BSI grundsätzlich besser machen könnte. Klar gibts immer Verbesserungspotential aber die sind ja politischen Vorgaben unterworfen und können nur in diesem Rahmen agieren. Insofern trifft die ja keine (wie auch immer geartete) Schuld und man kann sicherlich auch die Meinung vertreten, das die unter den gegebenen Umständen ziemlich viel rausholen.
Deswegen will ich an der Stelle noch mal betonen, das meine Kritik nicht primär ans BSI geht.

Wenn du das mit zentraler Organisation meinst.

Der schwierige Punkt ist, wenn mein Kram irgendwo zentralisiert liegt, ist das ja auch ein attraktives Angriffsziel. Wenn man das knackt, hat man auch ein großen Impact.

Bei Cloudbetreibern kommt noch hinzu, das da nicht nur meine Sachen liegen, sondern auch die Sachen von anderen Unternehmen. Das macht das Angriffsziel, um zum Beispiel Daten abzugreifen, sogar hochattraktiv.
Die von Dir angesprochene Redundanz vergrößert das Problem noch, weil dann - jetzt mal vereinfacht gesagt - nicht nur ein Rechenzentrum dem Angriffsrisiko ausgesetzt ist, sondern Zwei (oder noch mehr).

"die großen werden aber auch gehackt"

Meine Aussage war ja nicht: "Die Großen werden auch gehackt". Meine Aussage war, das selbst wenn man Firmen die über irgendwelchen Mindeststandards liegt 'gehackt' werden. Und das es daher kein sinnvolles Ziel sein kann lediglich irgendwelche Mindestanforderungen zu erfüllen, sondern am besten alles was machbar ist.

Und ja. 100%ige Sicherheit gibt es nicht. Und ein Ideal wird man natürlich in der Praxis auch nicht erreichen.
Aber man sollte es zumindest anstreben.

Hat aber auch alles keinen Nutzen, richtig?

Ich verstehe nicht ganz, warum Du mir das unterstellst, obwohl ich das schon an mehreren Stellen richtig gestellt habe. Ist das so ein innerer Zwang gegen den Du Dich nicht wehren kannst oder so? :-)

 

[Poati]

Die von Dir angesprochene Redundanz vergrößert das Problem noch, weil dann - jetzt mal vereinfacht gesagt - nicht nur ein Rechenzentrum dem Angriffsrisiko ausgesetzt ist, sondern Zwei (oder noch mehr).

Da musst du mir etwas auf die Sprünge helfen. Ich habe zwei identische Instanzen, ich brauche nur eine hacken. Beide erreiche ich gleichermaßen von außen. Ich brauche mich daher nur mit einem befassen, wenn ich an die Daten möchte (Angriff auf die Vertraulichkeit), dort hat die Georedundanz also keinen Effekt gehabt. Eine Verschlechterung müsstest du mir genauer erklären. Wäre mir neu, bin aber interessiert. Wenn ich den Laden lahm legen möchte, also ein Angriff auf die Verfügbarkeit, dann habe ich doppelt zu tun (Das Risiko wurde also gemindert). Selbiges betrifft auch eine geplante Manipulation von Datenbeständen, einen Angriff auf die Integrität. Bei einer Inkonsistenz der Datenbestände gehen die Alarmglocken und es wird nur schwerer. Ich habe noch nie eine Risikoanalyse erlebt, wo jemand eingebracht hätte, dass sich das Risiko vergrößert, wenn ich einen Dienst georedundant auslege. Sie unterliegen beide exakt dem gleichen Risiko. Vielleicht meinst du aber auch doch etwas ganz anderes, dann bitte gerne erläutern.

Ich verstehe nicht ganz, warum Du mir das unterstellst, obwohl ich das schon an mehreren Stellen richtig gestellt habe.

Das habe ich dann nur noch nicht mitbekommen, mein Fehler.

Naja das ganze ging los mit, der Aussage, dass der Nutzen des BSI in der Praxis sehr überschaubar ist. Was ich immer noch für eine sehr gewagte These halte bei einer Behörde mit so zahlreichen Themen und rund 1500 Mitarbeitenden. Kann mir nur schwer vorstellen, dass du da einen guten Überblick hast. Ich hab zumindest zu ein paar Themen einen engen Bezug und kann da auf Erfahrung ausm Berufsleben zurückgreifen und kenne auch die Meinung vieler Kollegen. Das ist mal mehr und mal weniger kritisch.

Die Probleme, die du jetzt allerdings beschreibst und auch manchen Dingen ja schon einen Nutzen zusprichst, sind zutiefst grundlegend im Bereich IT Sicherheit. Wenn du dafür Lösungen hast, dann immer her damit. Ich muss mich tagtäglich damit befassen, wie man den digitalen (Arbeits-)Alltag sicherer gestalten kann. Deine Kritik an Zertifikaten und Mindestvorgaben sind berechtigt, leider hat man bisher keine bessere Lösung gefunden. Institutionen jeglicher Art handeln immer nach dem Prinzip, was ist genug wenn es um solche Fragen geht. Noch besser oder was möglich wäre interessiert da nicht die Bohne. Außerdem kann es genauso in übertriebenen Maßnahmen enden. Habe ich auch schon miterlebt. Daher ist oftmals die Rede von "angemessenen" Sicherheitsmaßnahmen und dafür braucht es Expertise, die man zum Teil beim BSI bekommt.

Und nochmal zur Wirksamkeit des Ladens: Als obere Bundesbehörde werden hoheitliche Aufgaben für den Staat ausgeübt. Am besten ließe sich die Wirksamkeit vielleicht noch messen indem man die Aufgaben mal auf Eis legt. Das ist aber aus vielerlei anderen Gründen schwierig. Können ja auch nicht mal eben gucken, ob es nicht auch ohne Polizei geht. Informationssicherheit messbar zu machen ist unglaublich schwierig. Wir können Unternehmen beraten, die setzen empfohlene Maßnahmen um und trotzdem kann es sein, dass sie im nächsten Moment Opfer eines Angriffs werden. Im Falle des BSI gibt es ja auch jährliche Lageberichte und da kann man leider auch keine richtigen Vergleiche zwischen den Jahren ziehen. Angriffe nehmen eben auch rasant zu und daher wird die Zahl der Vorfälle auch nicht kleiner. Alles sehr sehr schwierig.

Abschließend möchte ich nochmal betonen, dass die Leute da keine einfachen Aufgaben haben und in meinem Umfeld die Behörde sehr wohl geschätzt wird und viele Angebote gern gesehen und genutzt werden.