Im Fall von CVE-2023-23397 ist es aber auch furchtbar ungeschickt, wenn SMB Verbindungen ins Internet an der Firewall durchgelassen werden. 😉

"Alternative Mail-Clients bringen doch nur zusätzliche Optionen und zusätzliche Komplikationen mit sich, oder ?"

Mein Mailprogramm hat eher weniger Optionen, ist textbasiert, was gelegentlich dazu führt, daß (legitime) Links umgebrochen werden und nicht von jedem Empfänger erkannt werden. Dafür ist es ziemlich sicher und vollkommen ohne MS

... das Dumme ist nur, dass man als Endanwender 'an der Nabelschnur' des Branchensoftware-Anbieters hängt.

Wenn der Anbieter der beruflich benötigten Software sicherere Alternativen anbieten würde, dann wäre nichts gegen ein 'Umsatteln' einzuwenden. Ich würde sogar Einschränkungen in den 'Komfort-Funktionen' akzeptieren. Von den vielen Funktionen in den Microsoft-Produkten wird in einem 'normalen' Büro sowieso nur ein sehr kleiner Prozentsatz benötigt. 

Das Bisschen Schreiben und Rechnen beherrscht jedes Office-Programm.

Früher, als sich die Datev noch nicht 'mit Haut und Haaren' auf Microsoft eingeschossen hatte, habe ich "CommuniGate Pro" als Groupware eingesetzt und war jahrelang sehr zufrieden mit den Funktionen und mit der Zuverlässigkeit der Software, aber heute hängt auch die Datev selbst an der Nabelschnur von Microsoft und wir Datev-Anwender erst recht 

---

@vogtsburger  schrieb:

 

Wenn der Anbieter der beruflich benötigten Software sicherere Alternativen anbieten würde, dann wäre nichts gegen ein 'Umsatteln' einzuwenden.

---

Das ist doch völlig irrelevant. Wenn dieser ominöse Anbieter jetzt "Linux" unterstützen würde, müsste man sich auch da selber "um die Sicherheit" kümmern. Oder soll der Anbieter wöchentlich / monatlich vorbeikommen und die Umgebung auditieren sowie absichern? Am Ende des Tages kommt der Anbieter dann auch vorbei und schließt die Bürotüren ab. 😉

Man könnte sich jetzt hinsetzen und sich mit den Security Baselines / Empfehlungen der Hersteller auseinandersetzen oder halt die Schuld/Probleme (weiterhin) bei anderen suchen und nichts machen.

---

@janm  schrieb:

[...]

Oder soll der Anbieter wöchentlich / monatlich vorbeikommen und die Umgebung auditieren sowie absichern?

[...]

... eigentlich ein guter Ansatz 😉

Der Anbieter sollte/bräuchte natürlich nicht 'persönlich' vorbeikommen, aber ein professionelles Tool zur Überprüfung der wichtigsten Sicherheitsfunktionen, meinetwegen auch kostenpflichtig, wäre eine gute Hilfe.

Und ein solches Tool regelmäßig ausgeführt oder permanent gestartet, wäre aus meiner Sicht schon die 5/7-Lösung

Ich behaupte, dass es nur in sehr, sehr wenigen kleinen und mittleren Kanzleien Mitarbeiter gibt, die sich in IT-Sicherheitsfragen wirklich gut auskennen.

Und wer sich nicht gut auskennt, kann das eigene System nicht selbst gut schützen, kann aber auch die Arbeit und die Professionalität von externen IT-lern nicht gut beurteilen.

Große Kanzleien haben wohl in der Regel angestellte IT-ler und/oder werden regelmäßig von Datev-Solution-Partnern betreut, bei denen man eigentlich das benötigte KnowHow erwarten muss.

Am Ende muss man immer Demjenigen vertrauen, der behauptet, den vollen Durchblick zu haben

... und das wird wohl so ziemlich jeder externe IT-ler von sich behaupten

Eine gute Leistung will auch gut bezahlt sein, das ist ok.

Aber leider korreliert ein hohes Honorar nicht immer mit einer guten Leistung
(... leider schon oft genug erlebt ...)

... also wie gesagt:

ein gutes professionelles Tool oder ein Online- oder Fernbetreuungs-Service eines Sicherheitsspezialisten zum Pauschalpreis oder z.B. mit einem "pay per use"-Modell wäre schonmal eine gute Basis

.. es muss ja nicht gerade ein Sicherheits-Tool von Microsoft sein ...

... man will den Bock ja nicht zum Gärtner machen 😎

Wie soll dieses Tool denn feststellen, was da sonst noch im Netzwerk rumkreucht und fleucht? Wie soll dieses Tool diese Konfigurationen auswerten, beurteilen und entsprechend richtiges umsetzen?

Ratschläge könnte man bspw. von

• Ping Castle (Home - PingCastle)
• Purple Knight (Active Directory Sicherheitsbewertung | Purple Knight (semperis.com))

erhalten. Die Ergebnisse müssen allerdings auch in Relation gesetzt bzw. verstanden werden. 😉

Die Größe ist völlig egal. Entweder man möchte "Security" angehen oder eben nicht. Ob jetzt direkt oder indirekt beteiligt, habe ich bspw. schon Einzelplätze (in einem Hosting) bis hin zu Kunden mit weit über 100 Leuten im Bereich AD / Windows Security unterstützt. Eine der "indirekten" Umgebungen wurde im Anschluss zur Überraschung der direkt Beteiligten vom Endkunden dann auch noch einem Pentest ausgesetzt. (Hier wurde sehr zielgerichtet "angegriffen". Die Pentester haben später einen eigenen Endpoint im Clientnetz bekommen und konnten die Domäne nicht übernehmen.)

"Indirekt": Ich habe letztes Jahr einen Dienstleister mit Workshops fit(ter) in diesem Bereich gemacht und er hat es beim o.g. Kunden umgesetzt.

"Gezielter Angriff": Die Pentester haben eine Domain <kundexyz>-benefits.de registriert und E-Mail-technisch sauber angebunden. Darüber ist dann eine Mail an die User gegangen, die das "Benefit Portal" vorgestellt hat und erklärte, dass man sich nur mit bekannter E-Mail-Adresse und Passwort am Portal anmelden müsse, um die Vorteile nutzen zu können.

---

@Gelöschter Nutzer  schrieb:

 

wenn man "einfach" nur regelmäßig updates und -vernünftige- backups schiebt, ist man schon auf einem ganz guten sicherheitsniveau..

---

Das ist definitiv ein guter Anfang. Im Fall von Ransomware wäre aber die Frage, wann/wo mit dem Restore anfangen?

Idealerweise gibt es eine Cyberversicherung. Die möchte dann aber mit hoher Wahrscheinlichkeit Forensiker und LKA einschalten. Ohne Versicherung sollte man wohl auch das LKA einschalten. Die wollen dann erstmal Beweise sichern und geben die vorhandene Hardware vermutlich nicht so schnell zum Überschreiben mit dem Backup frei. Wenn sich das jetzt zwei, drei Tage zieht, blöd. 😉

Ist beim Backup bzw. eher im Restore Konzept eine passende Hardware vorhanden? Lässt sich das Backup evtl. "nahtlos" in einer Cloud restoren?

… zumal es ja auch genügend Anbieter am Markt gibt, die beim Thema Cybersicherheit beraten und auch unterstützen. 

Wer sich damit auseinandersetzt merkt meistens auch recht schnell, dass mit DIY-Tools oder -Tipps kein wirklich besseres Gefühl entsteht. 

Passt ja auch ein wenig in die Diskussion(en) hier: Kommentar zur Debatte über IT-Sicherheit: "Die Empörten sind nackt​" | heise online

Unternehmen Deutschlands Politik beschwerten sich über russische Hacker. Zurecht – aber handeln müssten sie selbst.

... wie soll man sich als Endanwender optimal schützen, wenn sogar große IT-Unternehmen angreifbar sind ?

... heute eine aktuelle Nachricht (Auszug einer E-Mail) von DELL

Guten Tag,

 

Dell Technologies nimmt den Datenschutz und die Vertraulichkeit Ihrer Daten sehr ernst. Wir untersuchen derzeit einen Vorfall im Zusammenhang mit einem Dell Portal, in dem eine Datenbank mit beschränkten Arten von Kundendaten zu Einkäufen bei Dell enthalten ist. Wir sind der Ansicht, dass angesichts der Art der Daten kein erhebliches Risiko für unsere KundInnen besteht.

Auf welche Daten wurde zugegriffen?
Zum jetzigen Zeitpunkt haben unsere Untersuchungen ergeben, dass auf beschränkte Arten von Kundendaten zugegriffen wurde, einschließlich:

• Name
• Physische Adresse
• Dell Hardware und Bestellinformationen, einschließlich Service-Tag, Artikelbeschreibung, Bestelldatum und zugehörige Gewährleistungsinformationen

[...]

... angeblich wurden keine Finanzdaten 'abgegriffen'

... hoffe bloß, dass die technischen Daten der Geräte, z.B. ServiceTags, MAC-Adressen etc nicht ausreichen, um die Geräte im Internet identifizieren und angreifen zu können

---

@vogtsburger  schrieb:

... wie soll man sich als Endanwender optimal schützen, wenn sogar große IT-Unternehmen angreifbar sind ?

 

Für mich ist die Frage nicht, ob ein über das Internet erreichbares System angreifbar ist, sondern nur wann bzw. wie lange dauert es bis sich ein Angreifer Zugang verschaffen kann?  Alles andere ist - mit Verlaub - Wunschdenken.  

---

@vogtsburger  schrieb:

....

 

... hoffe bloß, dass die technischen Daten der Geräte, z.B. ServiceTags, MAC-Adressen etc nicht ausreichen, um die Geräte im Internet identifizieren und angreifen zu können

---

MAC-Adresse – Wikipedia gibt für die MAC Adresse die Antwort: identifizieren: ja, angreifen: kommt darauf an

High,

Sofern Betriebssystem und Hardware dies unterstützen, kann die MAC-Adresse jedoch auch von dem Benutzer geändert werden.

 

Here we go, am besten täglich😎 und die IP sowieso

Gruss Mike

PS: IMEI ist aber ein andere Ding

Dell schreibt, dass in dem 'geklauten' Datensatz, anscheinend geht es um ca 45 Millionen Accounts, keine E-Mail-Adressen der Kunden enthalten sind.

... andernfalls könnten natürlich auf recht einfache Weise massenhaft personalisierte Phishing-E-Mails verschickt werden, die viele persönlichen Daten enthalten könnten,

z.B. welche Geräte wann gekauft wurden, inkl. Namen und Adressen der Besteller, Angabe der jeweiligen Garantiezeit, der ServiceTags und weiterer Details.

Das würde sehr seriös wirken und vermutlich so manchen E-Mail-Empfänger dazu verleiten, auf Links zu klicken, um die Daten zu bestätigen oder 'die Garantie zu verlängern' etc.

... für noch gefährlicher halte ich die Möglichkeit der Einschleusung von Malware über die Dell-Aktualisierungs-Tools, die mit den ServiceTags arbeiten. Anhand der ServiceTags werden ja individuell und auf Wunsch auch automatisiert Software-Updates heruntergeladen und installiert

... es gab ja auch schon andere 'Sicherheits-Vorfälle' bei anderen IT-Unternehmen, die genau über diesen Weg der Software-Aktualisierungen liefen

---

@vogtsburger  schrieb:... wie soll man sich als Endanwender optimal schützen, wenn sogar große IT-Unternehmen angreifbar sind ?

Nur seine eigenen Daten auf dem eigenen Gerät kann man aktiv schützen (in den Grenzen die unsichere Betriebssysteme und Hardware) erlauben. Für alle anderen Daten, die bei anderen gespeichert sind gilt ausschließlich das Prinzip glauben, beten, vertrauen, usw. Ich hoffe, das meine Krankenkasse auf meine Daten aufpasst. Ich habe aber nicht die geringste Chance, deren Sicherheitsversprechen zu prüfen. Sicherheit -auch bei den allergrößten Unternehmen- wird letztendlich von einzelnen Menschen "programmiert". Hacker sind Menschen. Der Rest ergibt sich eben. Wie @agmü  schrieb ist die Frage nur wann, nicht ob.  Das zu erkennen ist schon mal ein guter Schritt in Richtung Schutz der eigenen Daten. Einbruchssichere Banktresore, unsinkbare Schiffe - wer's glaubt ertrinkt.

Wieder ein Beispiel für seriöse Emails XD Gönnt euch ein geiles Werkzeug Set und das von dieser besonders seriösen Email. Wer fällt darauf rein???

bin geflasht von diesem Hinweis. 

Ausnahmsweise ist die Mail mal kein Spam, sondern ein gutes Beispiel für die durch Digitalisierung möglichen Mehrwerte einer Anwendung.  Ob der Absender als solcher nicht doch in die Kathegorie "Black Hat" fällt, soll nicht vertieft werden.😎

Aber esta.gov als einfacher zu merkenden und einzutippenden Shortlink wollten sie sich dann nicht sichern? Hm …

---

@rschoepe  schrieb:

Aber esta.gov als einfacher zu merkenden und einzutippenden Shortlink wollten sie sich dann nicht sichern? Hm …

diese Domain ist seit Jahren vergeben und wird vom Betreiber noch nichteinmal unter Gewaltandrohung freigegeben werden😎🤣

Selbstzitat

@kai-n  schrieb:

Neue E-Mail ist von Ionos im Spam-Ordner von "mail-an (at) 1and1.de" mit Anrede "Guten Tag," einsortiert worden.

 

Heute ist wieder eine angebliche E-Mail von IONOS im Spam-Filter gelandet, die ziemlich exakt so aussieht wie die echten "Ihre IONOS Rechnung"-E-Mails mit kleinen aber feinen Unterschieden.

OKSPAM/Phishing

Wenn man übersieht, dass die Anrede fehlt, dass der Absender abweicht (1and1.de statt ionos.de), dass der Adressat nicht stimmt (Rechnungen gehen bei uns an eine andere E-Mail-Adresse), dass das Datum nicht stimmt (wir erhalten die Rechnungen etwa in der Monatsmitte und nicht am Monatsanfang), dass die Rechnungssumme nicht stimmt, dass die Vertragsnummer nicht stimmt und dass der Tarif auch nur so halb stimmt, wenn man dann noch dem E-Mail-Client erlaubt, Grafiken anzuzeigen, ja dann könnte man auf das Phishing hereinfallen.

Ich bin ehrlich: Bis auf die fehlende Anrede und bis auf die Tatsache, dass Ionos die E-Mail eh schon richtigerweise als SPAM aussortiert hatte, hätte mich wenig stutzig gemacht. All die vielen Zahlen sehen halbwegs plausibel aus.

Mich hat nun interessiert, was sich hinter den verborgenen Grafiken verbirgt. Der HTML-Quelltext enthält eigentlich nur URLs, die auf Ionos-Server verweisen. Nur ein einziger Link (hinter dem "Rechnung ansehen"-Button) geht zu google.com, und dort ist eine Weiterleitung zu einer brasilianischen Webseite hineincodiert, an die ganz viele IDs übergeben werden (irgendwie muss die Rückidentifizierung ja klappen). Ruft man diese URL ohne die ganzen IDs auf (ich habe den TOR-Browser verwendet), landet man nach weiteren Weiterleitungen hier:

Noch Fragen? 😉

... wenn das Hauptziel der Spammer ist, die Zugangsdaten zu einem E-Mail-Account auszuspionieren bzw. abzufischen, dann sehe ich ein deutlich geringeres Risiko als wenn man mit einem Klick auf einen Link auf einer präparierten Internetadresse landet und sich einen automatisch ausgeführten Code, ein Script oder einen Download 'einfängt', der sich entweder sofort oder später schädlich auswirkt

.... mal ganz dumm gefragt:

wenn man verdächtige E-Mails zwecks Überprüfung in den Junk-Mail-Ordner verschiebt, sind doch die üblichen Risiken (Links, Downloads, Scripts etc.) abgedeckt, oder ?

... neues Spiel, neues Glück ...

offenbar meint es ein bisher mir unbekannter Anbieter irgendeines Services 'gut' mit mir und ist um die Sicherheit meines Accounts 'besorgt'

... gut getarnt oder gut gemeint ?

Druckaufbau mit "immediate action required" ist ein 100%iges Zeichen für Spam/Phishing.

Hast du dich da anonym angemeldet oder warum begrüßen die dich nicht mit Namen, lieber User?

Eigentlich ist es ziemlich offensichtlich, dass diese Mail im Müll landen sollte.. aber trotzdem fallen soooo viele Leute darauf rein. 🙄

Wir haben bei uns in der Firma seit dem Frühjahr einen Anbieter, bei dem die Aufmerksamkeit (neudeutsch: Awareness) für Spam und Phishing der Mitarbeiter geschult werden sollen. Lt. Aussage unseres IT-Obermenschen sind auf die ersten Testmails ca. 80% reingefallen. 😬

... je 'normaler', 'plausibler' und 'seriöser' ein Text wirkt, desto größer ist die Versuchung, solchen Nachrichten zu vertrauen.

... und selbst wenn 19/20 der Mitarbeiter gut aufpassen und 'nichts anbrennen lassen', reicht der Mistgriff eines Mitarbeiters, um das Boot, in dem alle gemeinsam sitzen, absaufen zu lassen

... es ist wie mit dem Wasser auf dem Flachdach. Es findet das Loch in der Abdichtung 😉

---

@Flitze0815  schrieb:

Hast du dich da anonym angemeldet oder warum begrüßen die dich nicht mit Namen, lieber User?

Ist eine fehlende Namensnennung und ein generisches "Dear User" tatsächlich so ein starkes Anzeichen für eine Pishing-Mail? Oder anders gefragt, ist sowas bei echten Anbietern tatsächlich so selten?

---

Ist eine fehlende Namensnennung und ein generisches "Dear User" tatsächlich so ein starkes Anzeichen für eine Pishing-Mail? Oder anders gefragt, ist sowas bei echten Anbietern tatsächlich so selten?

---

Dialog von gestern:

"Und wo soll ich die E-Mail hinschicken?"

"Schicken Sie es an info@..."

"Sehr geehrte Damen und Herren,"

Da könnte ich auch alles in den Anhang packen...

... man sollte den Mitarbeitern einbläuen, welche Dateiendungen potentiell gefährlich sein können und welche per se harmlos sind 

... aber aufgepasst:

je nach Windows-Einstellung zeigt das E-Mail-Programm evtl. die tatsächliche Datei-Endung nicht an, sondern nur eine 'Tarn-Extension', z.B. bei "Musteranhang.pdf.vbs" oder bei "Testanhang.jpg.scr" etc.

---

@Flitze0815  schrieb:

Hast du dich da anonym angemeldet oder warum begrüßen die dich nicht mit Namen, lieber User?

---

Aus eigener privater Erfahrung:

Metamask kennt den eigenen Namen nicht, kann ihn daher nicht benutzen. Man meldet sich immer nur mit Passwort nach einmalig definierter Seed-Eingabe an. Aber trotzdem habe ich selbst auch schon mal gegrübelt ob genau "diese" Mail echt ist, weil sie damals "zufällig" genau im passenden Kontext kam. Zum Glück habe ich die Mail damals ignoriert und alles über "Spielgeld" hinaus liegt seit dem auf einer Cold-Wallet.

BTW:

Kucoin hat ein nettes Feature, da kann man einen Textteil selbst bestimmen, der Anfangs jeder Mails immer einfügt wird, um so die Authentizität der Mail zusätzlich zu gewährleisten.