---

Würden Sie es an die große Glocke hängen wenn einer ihrer AN doch mal was falsches heruntergeladen hat?

wenn - auch nur- theoretisch die Möglichkeit besteht, dass "die Öffentlichkeit" davon Wind bekommt,  sollte man zumindest versuchen das Glockenspiel selbst mitzugestalten. Ohne Info wird sonst die Gerüchteküche eröffnet. 

@jjunker 

Dann würde ich aber meine Website auch nicht unbearbeitet lassen:

https://www.convotis.com/business-it/datev/ 

Da steht nämlich immer noch:

Sicherer Datenspeicher

Weil uns Ihre Daten wichtig sind und wir hohen Wert auf Datenschutz und Datensicherheit legen, befinden sich unsere Server natürlich im DATEV-Rechenzentrum.

 

Was denn nun?

genau dieser Punkt wäre mir in dieser Angelegenheit sehr wichtig, 

und zwar, ob sämtliche Kunden-Daten ('sicherheitshalber') 'nur' im Datev-Rechenzentrum gespeichert sind oder verteilt auf Datev und auf (evtl. sogar mehrere) externe Rechenzentren im Inland und 'befreundeten Ausland'.

Der Datev traue ich nämlich ein höheres Sicherheits-Niveau zu als manchen anderen Anbietern vom 'freien Markt'.

Falls man genaue Auskünfte erhält, kann man selbst entscheiden, wo die eigenen Prioritäten liegen

Der Datev traue ich nämlich ein höheres Sicherheits-Niveau zu als manchen anderen Anbietern vom 'freien Markt'.

 

Naja die DATEV ist auch nur dem Namen nach eine eG. Seit der Satzungsänderung würde da AG zumindest was das Geschäftsgebaren angeht wohl besser passen. Wobei so mancher Vorstand eines DAX Konzern die Interessen seiner shareholder besser im Blick hat als unser Vorstand der eG die Interessen der Mitglieder. ...

Insofern ist die DATEV am freien Markt.

---

@vogtsburger  schrieb:

Der Datev traue ich nämlich ein höheres Sicherheits-Niveau zu als manchen anderen Anbietern vom 'freien Markt'.

---

Und wenn ein Anbieter hier jetzt tatsächlich groben Unfug treiben sollte, hilft die Sicherheit des RZ Anbieters genau was? 😉

---

@vogtsburger  schrieb:

 

Falls man genaue Auskünfte erhält, kann man selbst entscheiden, wo die eigenen Prioritäten liegen

---

Ob man diese Auskünfte bekommt, wenn man ernsthaftes Interesse hat, bei einem entsprechenden Partner im PARTNERasp unterzukommen?

Man kann (muss) die "Datenspeicher- / Verarbeitungsorte" sicherlich irgendwie schriftlich festhalten. Aber ob das für alle ersichtlich dann nicht verwirrender ist als würde man da individuell drüber sprechen?

Hilft es einem Kunden, der komplett im "DATEV RZ" betrieben wird, wenn für andere Kunden evtl. zutrifft, dass deren Daten noch in RZ W und X gesichert werden und durch Nutzung von Microsoft Diensten Daten in Azure Region Y liegen welche in Azure Region Z gesichert werden?

Als Kunde von PartnerASP können Sie die Daten Fibu, Lodas, Steuerprogramme etc. optional zusätzlich ins DATEV-RZ senden, dann sind sie in der Datensicherung des PartnerASP und zusätzlich im DATEV-RZ.

Hier gibt es aber einen großen weissen Fleck: Das DMS, das für eine digitale Kanzlei essentiell ist. Eine zusätzliche Sicherung im RZ ist hier nicht möglich. Meine Bitten um einen diesbezüglichen Lösungsvorschlag bei DATEV und Convotis blieben bisher ergebnislos.

Ich glaube, es gibt den klaren Konsens, dass DATEVasp eine höhere Sicherheit gewährleisten kann als PartnerASP (das aber andere Vorteile hat). DATEV ist m.E. aber auch verantwortlich für das Angebot des Partner-ASP, insoweit habe ich auch die klare Erwartungshaltung an DATEV, dass es ermöglicht wird, die DMS-Daten zusätzlich im RZ sichern zu können, damit man nicht ausschliesslich auf die Datensicherung des ASP-Partners angewiesen ist.

---

@Holyhouse  schrieb:

...DMS, das für eine digitale Kanzlei essentiell ist. Eine zusätzliche Sicherung im RZ ist hier nicht möglich. 

Ich weiß, was Du meinst, Datenbestände im DATEV-RZ, wie bei Lodas, etc. hat seinen Charme.

DMS ist ja nicht das einzige, was ordentlich gesichert gehört.

Es gibt schon Möglichkeiten einer sinnvollen Sicherung, z.B. Georedundanz halte ich für Backups grundsätzlich für empfehlenswert.

 

Ich glaube, es gibt den klaren Konsens, dass DATEVasp eine höhere Sicherheit gewährleisten kann als PartnerASP

 

---

Das ist mir ein bisschen zu pauschal formuliert.

Soll hier nicht ein "DMS online" kommen?

---

@janm  schrieb:

[...]

Hilft es einem Kunden, der komplett im "DATEV RZ" betrieben wird, wenn für andere Kunden evtl. zutrifft, dass deren Daten noch in RZ W und X gesichert werden und durch Nutzung von Microsoft Diensten Daten in Azure Region Y liegen welche in Azure Region Z gesichert werden?

[...]

---

... gibt es evtl. Zertifikate (z.B. ISO ............ oder andere Standards), auf die man achten könnte/achten sollte ?

... und in denen streng festgelegt wird, wie und wo, redundant oder nicht, wieviele Generationen, welche Archivierungsmedien etc.)  Kunden-Daten gespeichert werden dürfen

... mangels Spezialwissen müsste man sich hier als 'normaler' Nutzer solcher Dienstleistungen auf entsprechende strenge Regeln verlassen können.

... oder anders gesagt: 

wenn ich den Datenverarbeitungs-Vertrag "AAA" abschließe, wird das Sicherheitsniveau "AAA" garantiert

bei Vertrag "AA", "A", "B", etc entsprechend weniger an Sicherheitsgarantien

P.S.

ich erinnere mich z.B. daran, dass vor mehreren Jahren ein externes Rechenzentrum (ich meine, es war in einem benachbarten europäischen Land) [edit: Anfang 2021, Großbrand im OVH-Rechenzentrum in Straßburg] durch einen Großbrand fast komplett zerstört wurde, inkl. vieler nicht redundant gespeicherter Datenbestände von Kunden ...

... also eine real mögliche Daten-Katastrophe

Natürlich gibt es entsprechende Zertifikate / Standards / etc. Da kenne ich mich aber überhaupt nicht aus.

Wer soll denn die entsprechenden "Regeln" festlegen und wer überwacht diese / die Einhaltung? Und was ist dann mit individuellen Anforderungen? (Je nachdem an welcher Stelle "die Daten" wie gespiegelt werden, kann das beim Preis durchaus x2, x3, .. bedeuten.)

In kurz:

Unterm Strich bekommt man irgendwann einen Vertrag zur Unterschrift vom Anbieter. Wenn man den liest und einem etwas nicht passt, sollte man darüber reden. Wenn man "höhere Anforderungen" hat, sollte man darüber reden und entsprechendes schriftlich festhalten / ergänzen.

Option 1: Es passt (dann irgendwann) und man arbeitet zusammen

Option 2: Es passt nicht und man sucht einen anderen Partner

Auch beim OVH Brand wäre die wichtigste Frage, was Stand denn in den Verträgen mit den Kunden zum Thema Backup? Waren Backups da überhaupt Vertragsbestandteil oder war man als Kunde selber verantwortlich?

Bäm! Next One: Graf von Westphalen: Große deutsche Anwaltskanzlei bestätigt Cyberangriff

Gegen brain.exe stopped working hilft keinerlei Technik und wenn die Technik nicht gut genug gewartet / betreut wird, hat man gleich 2 offene Scheunentore: Kurs: Du bist unsere Firewall - Mitarbeitende für Cyber-Sicherheit sensibilisieren

Und noch einer... zwar "Spielzeug"... 

<link entfernt, da dort die Klartextmailadresse gelistet war.. >

Dann hoffen wir mal, dass GeigerBDT / convotis nun schneller aktiv werden und patchen: NetScaler ADC und NetScaler Gateway Schwachstellen CVE-2023-6548 und CVE-2023-6549 

Mail an info@ ist raus. Man hilft sich ja gegenseitig 😊.

---

@metalposaunist  schrieb:

Dann hoffen wir mal, dass GeigerBDT / convotis nun schneller aktiv werden und patchen: NetScaler ADC und NetScaler Gateway Schwachstellen CVE-2023-6548 und CVE-2023-6549 

 

Mail an info@ ist raus. Man hilft sich ja gegenseitig 😊.

---

Woher beziehst Du deine Informationen, dass der Netscaler seinerzeit das Einfallstor gewesen ist?

In der vor Wochen stattgefundenen "Aktuellen Stunde" seitens der Convotis via Webinar, war davon keine Rede. Eher im Gegenteil. Es wurde klargestellt, dass der Netscaler auf dem aktuellen Patchlevel war und der Einbruch an einer anderen Stelle vonstatten ging.

Beste Grüße
Christian Ockenfels

---

@chrisocki schrieb:

Woher beziehst Du deine Informationen, dass der Netscaler seinerzeit das Einfallstor gewesen ist?

---

Mein Stand war: Citrix war der Schlüssel. Ob der NetScaler oder wer anders: besser 1x zu viel informieren als zu spät. Vorsicht ist besser als Nachsicht 😉.

Bei der "aktuellen Stunde" war ich nicht dabei. Das ist an mir als Unbetroffener vorbei gegangen. Aber ich unterstütze ja auch unseren Solution Partner und schicke ihm via Ticket alle Lücken, die deren eingesetzte Soft- und Hardware betreffen, sofern bekannt. 

Wie gesagt: Man hilft sich ja 😊. Wenn die Convotis keine Lust auf mich hat, kann sie ja alle E-Mails am Exchange, die "Bohle" beinhalten automatisiert, kommentarlos löschen. Bekomme ich ja nichts von mit. 

---

@metalposaunist schrieb: Mein Stand war: Citrix war der Schlüssel. 

---

Dies war, zumindest aus meiner Sicht, eine Spekulation. Insbesondere von einem Blogger, der dies zugegeben auch ziemlich detailliert  ausgeführt hat.

Und diese Vermutung wurde dann am mehreren Stellen breitgetreten. 

Ich persönlich habe mich aus dieser Spekulationsblase bewusst herausgehalten. Denn gesicherte Informationen hatte keiner. Und auch nach der aktuellen Stunde hatte ich als Techniker eher Fragen als Antworten. 

Aber auch hier: Ich bin nicht betroffen, ich bin dort kein Techniker. Also halte ich mich eher zurück. Die Aussagen aus der aktuellen Stunde haben andere handwerkliche Probleme aufgezeigt, die so nicht hätten passieren dürfen.

Beste Grüße
Christian Ockenfels

---

@chrisocki  schrieb:

---

Es wurde klargestellt, dass der Netscaler auf dem aktuellen Patchlevel war und der Einbruch an einer anderen Stelle vonstatten ging.

---

... und welche Erkenntnisse konnte man als CONVOTIS-Kunde gewinnen ?

• technische Gründe ?
• menschliche Gründe ?
• zufälliges Opfer von krimineller Energie ?

... und was ist die Schlussfolgerung ?

• kann immer wieder und jedem passieren ?
• Änderungen im Sicherheitskonzept ?

---

@vogtsburger schrieb: 

... und welche Erkenntnisse konnte man als CONVOTIS-Kunde gewinnen ?

 

• technische Gründe ?
• menschliche Gründe ?
• zufälliges Opfer von krimineller Energie ?

Wie ich schon Daniel schrieb, werde ich hier keine "internen" Details wiedergeben. Das betrifft nur das Innenverhältnis von Convotis, deren Kunden, die Landesdatenschutzbehörden und Landeskriminalbehörden.

Allgemein:

Eine Kombination aus allen drei. Die Attacke begann wohl schon vor Monaten. Die Angreifer haben über Wochen/Monate das System/die Systeme genau beobachtet und Informationen gesammelt. Und auch der eigentliche Angriff ging dann "generalstabsmässig" über die Bühne.

Convotis hatte das Glück im Unglück, dass zwei Techniker (die für die Nachschicht eingeteilt waren), den Mut hatten die eigenständige Entscheidung zu fällen, alle Kundensysteme und auch das eigene System in den frühen Morgenstunden offline zu nehmen. Dies dann auch komplett, ohne Kompromisse, ohne Rücksprache mit Vorgesetzten. Das hat wohl einen grösseren Schaden verhindert.

Wobei das LKA ggü. Convotis ausführte, dass Kanzleien (StB, WP, RAe) wohl vermehrt im Fokus von Computerkriminalität stehen würden. Grund ist wohl die erreichbare "Reichweite" und den damit verbunden Druck. 

Aus meiner (Spekulationssicht) war deshalb auch der Zeitpunkt zur Attacke wohlweislich zur "BlackWeek" und den Novemberlohnabrechnungen (Weihnachtsgehälter) gewählt. Die betroffenen Kanzleien hatten alle Mühe und/oder keine Chance die Abrechnungen zu erstellen. 

Und Mitarbeiter von Mandanten ohne Gehalt ist ein enormer Druck... Alle anderen Themen (Fibu / USt-VA, Beitragsnachweise, StE, etc) lassen sich irgendwie anders erstellen, melden, verschieben u.s.w. Aber Mandantenmitarbeiter, die kein Geld bekommen.... 

---

... und was ist die Schlussfolgerung ?

 

• kann immer wieder und jedem passieren ?
• Änderungen im Sicherheitskonzept ?

---

Zu 1. JA! Das wurde auch in diesem Thread schon geschrieben. Man sollte sich als Betreiber einer IT-Anlage dessen immer bewusst sein. Wir können immer nur die Messlatte höher legen. Aber letztendlich stellt sich (meiner Meinung nach) nie die Frage nach dem "Ob?", sondern nur nach dem "Wann?".

Dazu passt auch die Meldung von gestern: https://www.n-tv.de/wirtschaft/Hacker-machen-Managern-die-groesste-Angst-article24664328.html

Und meines Erachtens ist es auch egal ob Windows, Linux, MacOS, u.s.w. Wir haben es hier mit einer sehr sorgfältig durchgeführten Attacke zu tun. Und da sind dann auf der "Gegnerseite" entsprechende Spezialisten am Werk, die sich dann eben auch mit anderen Systemen wie Windows auskennen. 

Dies mal als Hinweis an die Schreiber, die meinten, dass es nur an Windows liegen würde. Ja, Windows ist ein grosses Einfallstor. Es ist eben aber auch eine sehr weit verbreitete Plattform. Wenn wir heute statt Windows OS2 nutzen würden, würden sich die entsprechenden Gegner auf OS2 einstellen. 

Zu 2. JA! Convotis hat nach eigenen Angaben Technik und Organisation deutlich angepasst. Das hat auch der Kunde (welchen ich am Rande unterstütze) gemerkt.

Insofern kann ich nur an die Betreiber von IT-Anlagen appellieren: IT mag wohl nur ein Mittel zum Zweck sein. Aber wenn das Mittel nicht ausreichend umsorgt wird, dann wird dieses Mittel zum Genickbruch eines Unternehmen.

Convotis hat heute noch mit den Nachwehen zu tun um diesen Bruch zu verhindern. Hierzu passt dann auch die weitere Aussage des LKA: "Wir haben es nun mit einem Marathon in der Bewältigung zu tun. Nicht mit einem Sprint." 

Insofern: Haltet Eure Netze sauber!

Beste Grüße
Christian Ockenfels

Wünschenswert wäre natürlich, wenn Convotis noch ein ausführliches Post Mortem veröffentlicht, damit auch Andere aus dem Vorfall lernen können. Aber das muss Convotis entscheiden. Wird leider generell zu selten gemacht.

---

@rschoepe  schrieb:

Wünschenswert wäre natürlich, wenn Convotis noch ein ausführliches Post Mortem veröffentlicht, damit auch Andere aus dem Vorfall lernen können. Aber das muss Convotis entscheiden. Wird leider generell zu selten gemacht.

---

Da ja laufende Ermittlungen der Behörden bestehen und auch "Auseinandersetzungen" mit Kunden, wird dies wohl eher nicht passieren... 

Ausführlich sowieso nicht, das ist aber schon intern... 

Beste Grüße
Christian Ockenfels

---

@Gelöschter Nutzer schrieb: war das mit dem "Offline" nehmen denn die richtige Entscheidung?

---

Ich denke schon. Es war mit Sicherheit eine mutige und beunruhigende Entscheidung, aber rückblickend, die richtige.

---

Klingt im ersten Moment als hätten sie alles heruntergefahren.

---

Korrekt. Ohne Ausnahme. Server runter und aus.

---

Hab mal gehört, man solle die Kabel Richtung www ziehen, aber die Systeme angeschaltet lassen, da sonst Daten unwiderruflich zerstört werden können.

---

Davon würde ich nicht ausgehen wollen. Der/die Angreifer geben einem Tool einen Befehl "Lösche dies, verschlüssel das". Und dann läuft der Prozess auf der Maschine X. Und dieser Prozess ist im Regelfall dann nicht mehr abhängig von Außen. Ganz im Gegenteil würde ich als Angreifer dies auch genauso vorsehen. 

---

Bei Gehältern könnte man auch erstmal mit Abschlägen arbeiten.. wäre jetzt auch kein Weltuntergang.

---

Könnte man und hat man auch "versucht". Aber die Bankverbindungen von Mitarbeitern war dann doch wieder "nur" im L&G... und dies nicht mehr erreichbar und eine RZ-Sicherung von L&G nicht vorhanden.... 

LODAS wäre eine Option gewesen, aber ohne Lizenz dann auch nicht mal eben möglich. Es gab dann in der Woche nach dem Angriff einzelne Kanzleien die diesen Schritt gegangen sind. 

Ich/wir haben eine betroffene Kanzlei in Kooperation bei uns auf die DATEVasp-Anlage gehoben und so den Lohn und auch Fibu ermöglicht. Viele Kanzleien hatten das Glück nicht... 

---

Es landen immer mal wieder Kanzleien im Darknet.. aber eine von Geiger konnte ich noch nicht identifizieren. Also nochmal Glück gehabt...?!, auch wenn die Wochen/Monate im Netz waren.

---

Lt. Convotis sind keine Daten abgeflossen.

Und die Angreifer waren hier wohl sehr geduldig um Daten und Erkenntnisse zu erlangen... Erschreckend aber nachvollziehbar... ich würde es auch so machen... 

Darüber hinaus würde ich sogar prüfen ob ich mich nicht in IoT, Druckern, Kopierern mit super alten Samba-Implentierungen festsetzen kann... und dann findet man mein "Tool" wahrscheinlich nie... da können die Windows-Rechner immer wieder neu aufgesetzt werden... ich bin schon da, sprach der Hase.... oder der Igel?

Beste Grüße
Christian Ockenfels

---

 die Aussage zu treffen halte ich für maximal schwierig.

Die Infiltration des eigenen Systems wurde zwar lange Zeit nicht bemerkt, aber ein Datenabfluss hätte natürlich nicht unbemerkt erfolgen können. Quelle trust me bro. 

---

@Gelöschter Nutzer schrieb:

 

Lt. Convotis sind keine Daten abgeflossen.

 

Loggen die jedes Bit? Es wird ja mittlerweile gerne auch google, ms usw. als "Zwischenablage" missbraucht.. die Aussage zu treffen halte ich für maximal schwierig.

---

---

@Seeker schrieb:

 

 die Aussage zu treffen halte ich für maximal schwierig.

Die Infiltration des eigenen Systems wurde zwar lange Zeit nicht bemerkt, aber ein Datenabfluss hätte natürlich nicht unbemerkt erfolgen können. Quelle trust me bro. 

---

Nichts genaues wissen wir alle nicht... Fakt ist, dass bei der Wiederherstellung der Systeme allein schon 1,9PetaByte an Daten bewegt wurden. 

Betroffen sind über 600 Systeme. Aller Grössenordnungen. 

Diese Fakten für sich allein machen es einem Angreifer nicht leicht.

Unmöglich? Nein, mit Sicherheit.

Unbemerkbar? Nein, alles denkbare ist machbar... 

Es wird die Zukunft zeigen, ob und in welchen Umfang Kanzlei-/Mandantendaten im Web auftauchen. Allein die Frage, ob Daten im Web auftauchen könnten, macht den Schaden schon sichtbar. Und dies bei dem Betreiber (Convotis) und auch ggf. bei den betroffenen Kanzleien... 

Beste Grüße
Christian Ockenfels

---

@Gelöschter Nutzer  schrieb:

Darüber hinaus würde ich sogar prüfen ob ich mich nicht in IoT, Druckern, Kopierern mit super alten Samba-Implentierungen festsetzen kann...

Das meisste kann man wohl mit einem Firmwareupdate+Werkseinstellungen wieder "gerade" bügeln...

---

Vorausgesetzt, der Hersteller bietet überhaupt Firmwareupdates (oder auch nur die Original-Firmware) an. Wenn der Support schon vor Verkaufsstart eingestellt wurde, kannst du eventuell noch eine Open-Source-Firmware aufspielen, wenn es auch die nicht gibt, tust du die Sachen besser gleich in den Elektroschrott. Und das ist leider ein Problem, das man nicht nur mit No-Name-Chinakrachern, sondern selbst mit Produkten namhafter Hersteller hat … insbesondere im IoT*-Bereich guckt man da ganz schnell in die Röhre.

* Das S steht für Sicherheit.