Aber ganz so stimmt es nicht. Ich glaube es gibt kaum jemanden, der nicht schon Bekanntschaft mit den bösen Junge gemacht hat. So wie ich eines schönen Samstags. Ich erhielt ein automatisiertes SMS des Überwachungssystems, dass unser Rechenzentrum nicht mehr erreichbar sei. Das Herz der Infrastruktur! Hardwareausfall und Miskonfiguration in der Redundanz dachte ich anfangs. Alle Versuche von „remote“ auf die Systeme zu kommen schlugen fehl. Ich fuhr persönlich ins Rechenzentrum. Es war schliesslich Samstag, und ich wollte nicht, dass die Jungs ihr wohlverdientes Wochenende unterbrechen müssen. Im Rechenzentrum angekommen staunte ich zuerst mal die Racks an. Alles blinkt, wie es blinken soll. Alles summt und surrt wie es soll. Keine Hardware offline. Keine roten Lämpchen, die einen Fehler anzeigen. Also Laptop auspacken und mit den Kabel direkt an die „Matrix“ ankoppeln. Alles im grünen Bereich. Kopfkratzen war angesagt. Die Security war outgesourced. Also mal die Jungs anrufen. Die kommen auch nicht mehr auf die Firewall und die anderen Systeme drauf. Ok, mal ein Hinweis. Die ISP Jungs anrufen. Natürlich wars ein BGP Hochverfügbarkeitssetup, also was soll da ausfallen? Der Supporter auf der anderen Seite meinte alles ok. Ich bohrte mit ein paar Frage nach und dann wurde es still. DDoS Attacke auf unseren Webserver. So gross, dass sie andere Kunden eines Tier 1 Providers in der Schweiz in Mitleidenschaft zog. Zum Glück war der Angriff sehr primitiv. Der Provider konnte den Angriff schnell in seinem Perimeter blocken. Resultat: 4h waren wir offline. Zum Glück an einem Samstag. Der Angriff dauerte total 8h. Vermutlich bezahlt. Gezielt gegen unser Unternehmen. Daten wurden keine abgezogen. Reingekommen sind sie nicht. War aber vermutlich auch nicht das Ziel.
Ich bin und war immer schon Verfechter eines mehrstufigen Sicherheitsdispositives. Aber die Kette reisst beim schwächsten Glied. Und ich war überrascht, dass dieses oft in der IT Abteilung anzutreffen ist.
Eine weitere Anektote aus dem wahren Leben. Andere Unternehmung andere Dekade. Eine Benutzerin ruft auf dem Helpdesk an. Per Zufall war ich im Büro des Helpdesk. Sie habe ein komisches Attachment erhalten und wisse nicht, was sie machen soll. Der IT Supporter meint, sie solle es ihm mal weiterleiten. Der erfahrene IT Supporter klickt auf das Attachment. Es war das „I Love you“ Virus. In solchen Momenten ist es wichtig einen kühlen Kopf zu behalten und besonnen zu reagieren. Statt den Ordner mit den Notfallprotokollen zu suchen haben wir mit einem Hechtsprung über den Tisch das LAN Kabel entfernt und schlimmeres verhindern. Aber wir waren nun Mittendrin statt nur dabei. Da half das an den Kopf fassen am nächsten Tag beim Lesen der Schlagzeilen in der Presse wenig. Es blieb ein mulmiges Gefühl und die Gewissheit, dass wir dank guter Backupstrategie und sofortiger Kommunikation schlimmeres für unser Unternehmen verhindert haben.
Aus all den Fällen gelernt engagierten wir, wieder anderes Unternehmen andere Dekade (da merke ich mal wieder wie alt ich bin), ein Tiger Team, dass uns von Intern hacken sollte. Die konnten intern eine Seite so manipulieren, dass eine Website den Benutzer zur Eingabe von Benutzernamen und Passwort aufforderte. Diese Informationen wurden auf einem System des Tigerteams im Klartext gespeichert. Ich habe das bemerkt und habe als Passwort „RateMal“ eingegeben, war aber neugierig auf den Abschlussreport, um zu sehen, wer drauf reingefallen ist. Es kam aber noch besser. Bei Windows werden die Passworte für die Anmeldung nicht übertragen. Es wird lediglich der verschlüsselte Hash Wert übertragen. Als ich bei der Unternehmung an Bord gekommen bin, habe ich durchgesetzt, dass die Administratoren jeweils ein normales Benutzerkonto und ein separates Admin Konto zu nutzen haben. Für die sogenannten Privileged Accounts galten spezielle Regelungen. Nun hat der Benutzer, der auch Domänen Administrator war, die Attacke des Tiger Teams nicht bemerkt. Also war das Tiger Team im Besitz seines Benutzerpasswortes, aber nicht das des Administratorenkontos. Nun hat der Admin aber für seinen normalen Account, wie auch für das Administratorenkonto aus Bequemlichkeit das selbe Passwort benutzt. Der Hash für beide Passworte war identisch. So war es ein leichtes für das Tiger Team erhöhte Rechte auf den Systemen zu bekommen. Sie haben einfach die Hashwerte verglichen und Bingo. Auch in der IT arbeiten Menschen. Auch wenn die es eigentlich erst recht wissen müssten, muss man die genauso wie jeden Anderen auf der Liste haben.
Aber wie stehts um die IT Sicherheit in Unternehmen, die sich keine eigene IT Abteilung leisten kann?
Im Jahre 2016 stellte eine Versicherung in einer Umfrage fest, dass Schweizer KMU schlecht gegen Cyber Angriffe gerüstet sind. Lediglich 2,5% der befragten Firmen verfügten über ausreichende Schutzmassnahmen. Aufgerechnet heisst das, dass 548‘000 KMUs keinen ausreichenden Schutz haben!
Sicherheit ist heute aber nicht mehr teuer und auch nicht kompliziert. Moderne Cloudlösungen adressieren die wichtigsten Gebiete und bieten einen adequaten Schutz zu vertretbaren Preisen. Verschlüsselung, Zweifaktorenauthentisierung, Sandboxing, next Generation Firewall, Webfilter, Intrusion Prevention sind mit wenigen Mausklicks bereitgestellt.
Wir von der ViNET2 Services AG arbeiten mit Namhaften Herstellern wie Microsoft, Cisco Meraki, Sophos, Fortinet zusammen und haben Lösungen für die KMU entwickelt, die auch bezahlbar sind. Damit auch Sie beim Lesen des nächsten Artikel über Cyber Security ein wenig entspannter sind und nicht auf Mythen wie «Touch Wood» zurückgreifen müssen.
Kontaktieren Sie uns, wenn Sie mehr erfahren möchten.
p.s. Hier noch ein paar Produkteupdates unserer Partner
-
Sophos InterceptX als wirksamer Schutz vor Ransomeware wie NotPetya
-
Sophos PhishThreat zur Steigerung der Benutzersensibilität für IT Risiken
-
Neue Meraki Netzwerkkameras ab Frühling 2018 mit erweiterten Funktionen für die physische Sicherheit