Und täglich grüßt das Murmeltier: PrintNightmare in Bitterfeld? Landratsamt erpresst, Behörde lahmgelegt

Sehen wir uns nicht auf dieser Welt, treffen wir uns in Bitterfeld - oder so 🤐.

Wie steht es um Eure Stadt? Ich glaube, ich werde bei unserem Bürgermeister in Iserlohn in einer Sprechstunde das Thema einmal ansprechen und nachfragen, wie Iserlohn aufgestellt ist und ob man sich dagegen gewappnet und vorbereitet hat. Es ist nicht die Frage ob, sondern wann 😉.  

... habe die Erfahrung gemacht, dass eine "Sicherheitslücke bei Druckern" nicht ernst genommen wird.

Dass es hier um Verschlüsselungstrojaner (Ransomware) und um Erpressung geht, ist Vielen nicht bewusst.

... nach dem Motto: "was soll mir schon passieren ? Ich habe ja Augen im Kopf" 😃

---

@metalposaunist  schrieb:

Und täglich grüßt das Murmeltier: PrintNightmare in Bitterfeld? Landratsamt erpresst, Behörde lahmgelegt

 

Sehen wir uns nicht auf dieser Welt, treffen wir uns in Bitterfeld - oder so 🤐.

 

Wie steht es um Eure Stadt? Ich glaube, ich werde bei unserem Bürgermeister in Iserlohn in einer Sprechstunde das Thema einmal ansprechen und nachfragen, wie Iserlohn aufgestellt ist und ob man sich dagegen gewappnet und vorbereitet hat. Es ist nicht die Frage ob, sondern wann 😉.  

---

ALLE Kunden, die ich "nur" gewarnt habe, jeweils EDV - Leiter, reagierten mit

a) "Wir haben doch BitDefender".   Hinter den ganzen Schlangenölherstellern verstecken sich die EDV-Leiter:   "Chef, mich trifft keine Schuld.   Ich hatte ja vorgesorgt".

b) "Ach, Sie wieder mit Ihrem Sicherheitsgedöns".

c) "Mei Citrix-Farm, die laaft.  Do installiern's mir nix drauf.  Never change a running system".

Bei einem bin ich unmittelbar verantwortlich und zuständig und installierte folglich nächstens ungefragt resp. wendete mit Ihrer freundlichen Hilfe die "Umgehungs-GPO" an.

Ergebnis, 'cut-and-paste' einer Mail mit Cc: an alle Gesellschafter:

ich habe noch immer das Problem, dass der Drucker beim Drucken von Steuererklärungen einfach irgendwann aufhört zu drucken, so dass ich immer sämtliche Formulare kontrollieren muss um zu sehen an welcher Stelle ich den Druck erneut anstoßen muss.

Natürlich gehen jetzt auch tropfende Wasserhähne auf "meinen" Patch zurück.

Ich kann sowohl die "Chefs" als auch die Abteilungsleiter als auch die Admins verstehen, daß sie NICHT patchen.

Gruß HB

---

@vogtsburger  schrieb:

 

... habe die Erfahrung gemacht, dass eine "Sicherheitslücke bei Druckern" nicht ernst genommen wird.

Es wird generell übersehen, daß es grob fahrlässig ist, Microsoft-Betriebssysteme als Server einzusetzen.   Die Schuld wird beim "bösen Chinesen" gesucht.

Entschuldigung, ich meine das ernst, für die Klug**bleep**erei, aber wir haben gerade im Windows-Druckspooler einige MASSIVE Konstruktionsfehler:

- warum muß überhaupt ein benutzergenerierter Spooljob mit Systemrechten laufen?

- warum ist der Spooler nicht, wie z.B. im "Stevens" mustergültig beschrieben, in unabhängige Einheiten unterteilt -- die Instanz, die Externjobs entgegennimmt, die Queue und das Backend mit dem Formatierer ?  Unter MVS oder UNIX müssen Sie Externverbindungen explizit freigeben und können ACLs definieren.

- warum muß ich den Spooler überhaupt betreiben, wo ich in der Druckerdefinition von Windows auswählen kann, "Druck über Spooler" bzw. "direkt ans Gerät senden" ?

- gucken Sie sich die Übersetzungen im "Gruppenrichtlinieneditor" an.   Einzige Chance:   Versuchen, Wort für Wort in Englisch zu übersetzen, vielleicht fällt dann der Groschen.

Schönes Beispiel vom AIX-Spooler:  "Pfeife gebrochen".   War dann "broken pipe".

Nur war das bei AIX 1992 und Unix ist zwar konsequent auf Benutzerfreundlichkeit ausgelegt, ist aber sehr wählerisch in Bezug auf die Menschen, die es zu seinen Freunden zählt.  "Windows" tritt ja mit ganz anderen Ansprüchen an.

- Schauen Sie sich das API für die Druckertreiberentwickler an.  Das ist etwa der Umfang des Bundessteuerblatts.

- Der Spooler schleppt aus Kompatibilitätsgründen alle möglichen Features mit, die heute keiner mehr will oder braucht, beispielsweise die (eigentlich geniale) Idee mit dem "EMF II".  Gerade über solche Altinterfaces finden geübte Hacker schöne Einfallstore.

Viele wichtige Subsystemen von "Windows" sind veraltete Fehlkonstruktionen.

Die (sinnvolle) "Benutzerkontensteuerung" wurde ja erst mit "Vista" aufgepfropft.

Was bei uns fehlt, ist die Fehlerkultur.   Bei den Atomkraftwerken hat man gottseidank erkannt, daß Leichtwasserreaktoren mit Druckgefäßen aus austenitischem Stahl NICHT beherrschbar sind.

Diese Einsicht fehlt bei Microsoft - Produkten.  Der "Datenschutz" ist da das kleinste Problem  --  es ist schlichtweg grob fahrlässig, unternehmenskritische Anwendungen unter "Windows" zu fahren.   Die "Grundsätze der ordnungsgemäßen Buchführung" (wie es auch immer tagesaktuell heißt) können nicht eingehalten werden.

VERANTWORTLICH sind die Geschäftsführer, die immer wieder diesen Mist kaufen und Mitarbeiter nötigen, andere in Gefahr zu bringen.   Wenn ein Spediteur einen Fahrer zwingt, mit blanken Reifen zu fahren, dann landet er bei einem Unfall zurecht im Knast.

DAS müßte passieren bei einem "Unfall" infolge grob fahrlässigen Einsatzes von "Windows".

Ja, ja, es ist Klug**bleep**erei, Sie haben recht.

Nur können "wir" ewig so weitermachen ?

Hallo,

zusätzlich zur Installation des Patches sollten noch Einstellungen in der Registry geprüft werden:

https://www.borncity.com/blog/2021/07/10/microsoft-zur-printnightmare-schwachstelle-cve-2021-34527-windows-ist-nach-patch-sicher/

bzw

https://www.heise.de/news/Microsoft-haelt-an-Funktionsweise-vom-PrintNightmare-Patch-fest-6133003.html

Der Born Bog hat es nochmal schön zusammengefasst: Nachbereitung zum Kaseya-Lieferkettenangriff mit Verweis auf Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten 

Daher an dieser Stelle ein fetter Dank 🙏 an alle DATEV Mitarbeiter 👩👨, die an SaaS Lösungen arbeiten und sich dem Thema IT-Sicherheit annehmen; an alle, die mit DATEVasp und Smart IT in jeglicher Hinsicht zu tun haben und auch an DATEV , die alles tut, um es Kaseya nicht gleich zu tun. 

---

@metalposaunist  schrieb:

Der Born Bog hat es nochmal schön zusammengefasst: Nachbereitung zum Kaseya-Lieferkettenangriff mit Verweis auf Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten 

Sehr anschaulich beschrieben.

Und wir sollten alle daran denken:

Jeder, der ein "Virenschutzprogramm" oder "TeamViewer" einsetzt, der betreibt auch ein passives "remotemanagement".   Man verbreitert die Angriffsfläche enorm.

Entweder die Agentensoftware wird wie im Beispiel Kaseya direkt kompromittiert und die "Schutzsoftware" holt reichlich Kollegen an Bord oder man schiebt dem "Antivir" Signaturen valider Programme unter, die dann massakriert werden.

Ein Spaßvogel hat einmal einen "Virus" gebaut mit der einzigen "Wirkung", auf der einen Seite als Virus erkannt zu werden und auf der anderen Seite die gleiche Signatur aufzuweisen wie die 'termserv.dll'.   Was haben wir gelacht -- nicht einmal administrativer Zugriff klappte.   Innerhalb kürzester Zeit konnte man die Systeme wiederherstellen, doch gelernt hat keiner draus.

... und was ist das Fazit ?

... jeder lötet sich sein eigenes Koppelfeld und übergibt dem IT-ler seines Vertrauens den analogen und digitalen Generalschlüssel zu seiner IT-Infrastruktur und zu seinem Leben ?

... oder man geht besser gleich zu .... , etwa wie in der alten OBI-Werbung https://www.youtube.com/watch?v=8Xoon0jVPRA😄 

Nachtrag:

.. führt natürlich schnurstracks zur Frage "... aber wer ist eigentlich OBI ?" , etwa wie in der "du darfst"-Werbung (https://www.youtube.com/watch?v=FNZyCK1HwXM), wobei ich hier natürlich für nichts und niemanden Werbung machen will 😄

---

@vogtsburger  schrieb:

 

... und was ist das Fazit ?

 

... jeder lötet sich sein eigenes Koppelfeld und übergibt dem IT-ler seines Vertrauens den analogen und digitalen Generalschlüssel zu seiner IT-Infrastruktur und zu seinem Leben ?

Eine RIESENGEFAHR.  Egal, ob der DV-Verantwortliche im Haus sitzt oder außer Haus.

Das Fazit ?

Ganz sicher erst einmal AUFMERKSAMER werden, das was bei KASEYA funktioniert hat, das könnte auch mit KASPERSKY klappen.  Daher:  Auf keinen Fall nur auf die Security-Software verlassen.

Die DATEV drängen, mit aller Kraft an der "SaaS" - Plattform zu arbeiten.

Man kann auch konkret im Vorfeld etwas tun und würde damit auch andere Probleme lösen, vor 20 Jahren wurde das Konzept als "optische Firewall" bezeichnet:

Die existenzwichtigen Basissysteme dürfen keine Verbindung zur Außenwelt haben mit einer Ausnahme:  ein vorgeschaltetes 'application level gateway'.

Also:  DATEV-FILE und DATEV-WTS untereinander direkt ohne Switch dazwischen mit 10 GB/s zusammenklemmen.   WTS mit einem zweiten Interface, welches nur RDP akzeptiert, an den Gateway-Rechner.

Der forwardet NIE IP-Pakete direkt, sondern geht mit einem anderen Protokoll an die Arbeitsplätze.   Das können dann komplett vervirte oder verwanzte Heimarbeitsplatzrechner sein.

Wenn man nun Mail oder Internetbrowser braucht:  Die kann man problemlos, analog zum Fernseher mit "Bild-in-Bild" - Technik, zusätzlich einblenden.  In Wirklichkeit laufen sie aber auf einem Service-Rechner.   Wenn der abraucht, dann bleibt das DATEV-Core stehen.

Man muß nur selbst Vorkehrungen treffen, daß man die mit DATEV vertraglich vereinbarte Nutzeranzahl nicht überschreitet, denn der WTS "sieht" nur einen einzigen Nutzer.

Wie Herr Bohle schon erwähnt hat, benötigt man auch "andere" Office-Lizenzen, für die ein Volumenlizenzvertrag Voraussetzung ist.  Das kann man umgehen, indem man LEGAL gebrauchte Lizenzen bei seriösen Anbietern erwirbt.   Das ganze Procedere ist nicht unaufwendig.  Schließlich braucht es auch noch einen Proxy, der handverlesene Verbindungen bspw. zur DATEV durchläßt.

Das wäre EIN mögliches Schutzkonzept, welches tatsächlich in der Praxis läuft, sich aber erst ab 10 Arbeitsplätzen rentiert.  Heiß aber:  Reichlich Eigenarbeit und Verzicht auf viele schöne Funktionen, z.B. Mailintegration.

Was mir fehlt in den "Verwaltungsberufen":

Jeder Elektriker weiß, wie er eine Unterverteilung auslegen muß.   Kabelquerschnitte, Überspannungsschutz, Leitungsschutz, FI.  Differenziert nach Einsatzfällen, Feuchtraum, Industrie, Art der Leitugsverlegung usw. usf..   Da gibt es einschlägige Vorschriften, wie eine Anlage auszusehen hat.   Und bei Inbetriebnahme wird sie abgenommen.

Jeder Stahlbauer weiß, "Wenn ich zwei U-Profile 'Rücken-an-Rücken' verbaue, dann müssen die einen gewissen Mindestabstand haben, damit keine Korrosion droht".  Und noch tausenderlei andere Dinge.  Der Stahlbauer muß seine Mitarbeiter auch regelmäßig zum TÜV schicken, damit die ihren "Großen Schweißnachweis" erneuern.

Nur in der Verwaltung darf jeder machen, WAS er will und WIE er will.

Hier ist es notwendig, gewisse Mindestanforderungen an informationstechnische Systeme zu formulieren und die Einhaltung dieser Anforderungen zu prüfen.   Ein Spooljob, der mit Adminrechten läuft, war schon in den 90ern ein Unding.  Relativ frühzeitig etablerten sich POSIX und XPG3 mit wenigstens AIX, Solaris, Tru64, HP-UX, MAC-OS(!!!!) und z/VM als konformen Systemen.   Serverbetriebssystemen wohlgemerkt.

Wer auf die Idee gekommen ist, stattdessen Windows und Linux auf einer Heimplattform als Produktionsmittel zu nutzen - das war wohl eher "topping from the bottom", weil jeder Mitarbeiter so lange quengelte, bis er "seinen" PC auf dem Tisch hatte.

Früher gab es kreative, kompetente DATEV-Partner wie beispielsweise de Uli Giesen, der nebenher auch einer der größten Partner in NRW war.  Es fand zwischen seiner Firma und Datev auch ein reger Informationsaustausch statt und man schätzte sich gegenseitig.

Dann wurde DATEV immer restriktiver, viele Top-Partner hatten die Nase voll, viele schlechte blieben.  Gleichzeitig wird die Administration immer anspruchsvoller und komplexer, nur noch übertroffen von der Bedrohungslage.

Als gößere Kanzlei würde ich stets einen Berater beauftragen, der MEIN Partner ist und nicht Partner von Microsoft oder DATEV.  Aber gibt es so etwas ?

Mindestes ein Mitglied in diesem Forum verfügt über jede Menge Erfahrung, die er bereitwillig teilt - und das in verständlicher, konziser Form.  Wenn man das Wissen dieser Mitglieder zu einem "Referenzhandbuch DATEV - Betriebskonzept" kondensieren könnte, dann wäre vielen geholfen.  Als weiterer Vorschlag.

Ich wünschte, ich hätte bessere Ideen.

Hm, wenn ich das so lese frage ich mich ob SaaS die absolute Lösung ist. Der Angriff auf das Kaseya System fand gegen die Plattform statt und die ist eine SaaS Lösung.

Ich bin der Meinung das sehr viele Cloud mit Rechenzentrum verwechseln. Sicher war das Rechenzentrum nur weil es kaum Dialoganwendungen gibt. Klar, wenn ich die Daten auf Kasette erfasse und dann für den Batchbetrieb ins RZ sende ist das sicher, einen Produktivitätsschub kann ich nicht erwarten.

Wie viele Angriffe gibt es aus Systeme auf denen die tollen Cloudanwendungen laufen? Mehr als genug. Und welche Betriebssysteme werden genutzt? Bestimmt keine Mainframe Systeme. Ich empfehle einmal sich mit dem Aufbau der Datensammlungssysteme am CERN auseinanderzusetzen, der Mainframe steht sehr weit hinten.

Auch windows hat sich weiterentwickelt, DATEV ist aufgrund vieler veralteter Strukturen aber nicht in der Lage die modernen Sicherheitsmechanismen mitzugehen. Die neue Rechteverwaltung hat bei mir zu einem großen Rückschritt in Sachen Sicherheit des AD geführt.

Und leider müssen wir alle drucken. Und leider verlangt DATEV für die userbezogene Kommunikation mittels REST eine Internetverbindung.

Und zur Produktivitätsverbesserung trennen wir jetzt Mail und Kalender vollständig und machen das wieder mit der Hand.

Zu jedem Punkt der vermeintlichen Sicherheit gibt es auch einen Punkt der diese wieder aufhebt. Es lebe die DES IV, mit den Wartezeiten auf den Konzentrator.

Moin, moin,

---

@Koppelfeld schrieb: Wer auf die Idee gekommen ist, stattdessen Windows und Linux auf einer Heimplattform als Produktionsmittel zu nutzen - das war wohl eher "topping from the bottom", weil jeder Mitarbeiter so lange quengelte, bis er "seinen" PC auf dem Tisch hatte.

---

Die Wurzel allen Übels... Zu meiner Schulzeit war es doch "Usus" Kopien von allen Disketten anzufertigen, die nicht bei Drei auf dem Baum waren. Egal ob Spiele, Windows, Office... 

Und so hat sich das "Zeugs" verbreitet... Und plötzlich sollte man im Büro mit irgendwelchen "Editoren" schaffen, wo doch die im privaten Bereich genutzte Windows-Oberfläche viel "bunter" und "schöner" war... 

Nun haben wir den Salat. Windows ist schlicht in allen Bereichen vorhanden und los werden wir es mit Sicherheit nicht mehr.

---

@Koppelfeld schrieb: 

Die existenzwichtigen Basissysteme dürfen keine Verbindung zur Außenwelt haben mit einer Ausnahme:  ein vorgeschaltetes 'application level gateway'.

Also:  DATEV-FILE und DATEV-WTS untereinander direkt ohne Switch dazwischen mit 10 GB/s zusammenklemmen.   WTS mit einem zweiten Interface, welches nur RDP akzeptiert, an den Gateway-Rechner.

Der forwardet NIE IP-Pakete direkt, sondern geht mit einem anderen Protokoll an die Arbeitsplätze.   Das können dann komplett vervirte oder verwanzte Heimarbeitsplatzrechner sein.

Wenn man nun Mail oder Internetbrowser braucht:  Die kann man problemlos, analog zum Fernseher mit "Bild-in-Bild" - Technik, zusätzlich einblenden.  In Wirklichkeit laufen sie aber auf einem Service-Rechner.   Wenn der abraucht, dann bleibt das DATEV-Core stehen.

---

Im Kern bin ich bei Ihnen. Produktionsnetz getrennt vom restlichen Teil der Welt. 

Aber zeigen Sie mir mal bei den 40.000 Mitgliedern auch nur ein Netz, was genauso aufgebaut ist und dann noch alle "Vorteile" von MS Teams, Mails, USB-Sticks etc. abbilden kann, ohne dass sich der Endbenutzer (Kanzleiinhaber?!?) den Strick nimmt... 

Und nicht falsch verstehen, ich bin auf Ihrer Linie, aber umsetzen UND nutzen, ist eine gänzlich andere Welt!

---

@einmalnoch schrieb: Auch windows hat sich weiterentwickelt, DATEV ist aufgrund vieler veralteter Strukturen aber nicht in der Lage die modernen Sicherheitsmechanismen mitzugehen. Die neue Rechteverwaltung hat bei mir zu einem großen Rückschritt in Sachen Sicherheit des AD geführt.

---

Da würde ich mal widersprechen wollen:

1. Die Rechteverwaltung hat so gar nichts mit dem AD zu tun. Es wird lediglich ein Benutzer aus dem AD mit dem Benutzer in der RV verknüpft. Daraus ergeben und ergaben sich noch NIE Rechte. 

Oder spielen Sie auf das "Rückschreiben" ins AD an? Aus gutem Grund hat DATEV das auf "nur lesen" gesetzt. Klar, kann auch schreibend gesetzt werden, dann sollte man aber wissen, was man tut...

2. DATEV hat seit Jahren in den Admin-Workshops und Systemtechnikerschulungen das Konzept verbreitet "wo geschrieben werden kann, dürfen keine Anwendungen ausgeführt werden". Bei Neuinstallationen kann das auch entsprechend umgesetzt werden. Bestandsanlagen, nun ja, da muss halt ein Wissender ran. 

3. DATEV hat auch seit Jahren den Styleguide von MS umgesetzt: Programme nach "Program Files" und Daten nach "ProgramData". Keine eigenen Verzeichnisse mit "Vollzugriff". 

Viele andere Softwarehersteller können sich hier mal eine dicke Scheibe abschneiden.

4. DATEV-Software wird zumindest gepflegt. Mag in einzelnen Anwendungen die GUI veraltet herkommen und nicht mehr zeitgemäß sein, Software die nur Windows-XP kennt und auf Windows 10 nur mit Adminrechten läuft, gibt es aus dem Hause DATEV nicht. 

Und bei vielen Betrieben ist genauso noch Software im Haus. Das genau diese Netze verschlüsselt werden, kein Wunder. Diese habe ich aber auch seit langem schon aus Eigenschutz nicht mehr in der Betreuung. Warum wohl?

5. Was an Windows ist denn eine ausgefeilte Sicherheitsstruktur? Insbesondere, wenn der Installbenutzer mit Admin-Rechten durch die Gegend läuft? UAC hin oder her, der Benutzer klickt schneller OK wie der Admin ihm auf die Finger hauen kann... OK, der Admin gehört auch geschlagen, wenn er Admin-Rechte einräumt... 

---

@einmalnoch schrieb: Und leider müssen wir alle drucken. Und leider verlangt DATEV für die userbezogene Kommunikation mittels REST eine Internetverbindung.

---

Und? Die IP- & Namensbereiche von DATEV sind bekannt und dokumentiert. Dann lassen Sie doch die entsprechenden Rechner nur mit den Bereichen kommunizieren (nur SSL) und fertig. 

Drucken... Wir hätten schon lang drucken bei den StE deutlich vereinfachen können. Aber nein, aufgrund eines Urteils und somit folgenden Haftungsbedenken müssen oder wollen Kanzleien weiterhin komplette Formularstapel ausgeben, obwohl keine Zahlen auf einzelnen Seiten stehen... Irrsinn, der aber nicht von DATEV kommt.

Deutschland digital... ich werd es nicht mehr erleben... 

Beste Grüße
Christian Ockenfels

---

@einmalnoch  schrieb:

Hm, wenn ich das so lese frage ich mich ob SaaS die absolute Lösung ist. Der Angriff auf das Kaseya System fand gegen die Plattform statt und die ist eine SaaS Lösung.

Da haben wir wieder sie Sprachverwirrung, ich hätte "SaaS" nie verwenden dürfen.

Mit Stand heute verwenden Banken, große Möbelhäuser, große Speditionen immer noch terminalbasierte Programme.   Da steht dann ein hochverfügbares AS/400- oder MVS-System in einem zentralen Rechenzentrum.   Ein wohl allen bekanntes, im süddeutschen Raum sehr präsentes Möbelhaus hat zwei Mitarbeiter, die mit einer AS/400 etwa 90% des Tagesgeschäftes erledigen.  Weitere 28 kümmern sich um die 10% Windows-Anwendungen.

Ich bin der Meinung das sehr viele Cloud mit Rechenzentrum verwechseln.

Ja.   Ich meinte "Rechenzentrum" mit zentralen, interaktiven Anwendungsservern.

---

Sicher war das Rechenzentrum nur weil es kaum Dialoganwendungen gibt. Klar, wenn ich die Daten auf Kasette erfasse und dann für den Batchbetrieb ins RZ sende ist das sicher, einen Produktivitätsschub kann ich nicht erwarten.

Sie werden lachen:  Zwei Damen in einer Kanzlei, für die ich arbeite, behaupten das genaue Gegenteil, auch mit Hinweis auf den Silopuffer, der überlappende Eingaben erlaubte.

Die Batch-Zeiten sind aber gottseidank vorbei, im wesentlichen auch im Rechenzentrum.

---

Wie viele Angriffe gibt es aus Systeme auf denen die tollen Cloudanwendungen laufen? Mehr als genug. Und welche Betriebssysteme werden genutzt? Bestimmt keine Mainframe Systeme. Ich empfehle einmal sich mit dem Aufbau der Datensammlungssysteme am CERN auseinanderzusetzen, der Mainframe steht sehr weit hinten.

Typischerweise hat man heute EIN EINZIGES Client-Programm für zentralisierte Rechenzentrumslösungen, das kann das JAVA-basierte SAP-Platin-GUI sein, manche machen es aber auch sehr schlank.   Es kann aber bereits ein TELNET-Client sein, der ist auch heute noch erstaunlich effektiv.  Und MODERN, denn durch die permanente Verbindung habe ich auch eine 'statusbehaftete' Sitzung.   Das ist jetzt bei den "Webdesignern" der letzte Schrei, sie nennen es "websockets".

Der Sicherheitsgewinn entsteht durch

- Minimierung der Anzahl der Clientprogramme

- Weglassen gefährlicher "Bypässe" wie bspw. der "Font-Schnittstelle"

- "Multikulti" statt Monokultur:  Wenn Sie nur Grünkohl anpflanzen und ein Schädling macht sich breit, dann haben Sie ein Problem.   So eine Hostanwendung unterscheidet sich nicht nur hinsichtlich des Trägerbetriebssystems, sondern auch durch den Prozessorcode.

- Sorgfältigere Administration:  Die 'Hosties' nehmen i.d.R. mehr Verantwortung wahr als die PC-Programmierer.

- Einfache, wirksame Datensicherung

- Einsatzmöglichkeit von Thin Clients.   Das geht auch graphisch, mit einem INTEL NUC ab core i3 läuft das richtig gut.

- Das Monitoring kann zentralisiert werden und daher findet es statt.

Soweit man es mir erzählt hat (DATEV-Berater), läuft die neue Plattform "Unternehmen Online" wieder auf "großen Eisen".   Es hat  - natürlich -  auch dort schon Engpässe gegeben, nachdem einer der redundanten Hosts in der Wartung war.   Der Betrieb solcher Systeme ist aber anerkannterweise bei DATEV in allerbesten Händen.

Was ich selbst gesehen habe, hat mir sehr gut gefallen.

Zu jedem Punkt der vermeintlichen Sicherheit gibt es auch einen Punkt der diese wieder aufhebt. Es lebe die DES IV, mit den Wartezeiten auf den Konzentrator.

Da weiß jemand, wovon er spricht.    Allerdings:   Wir betreuen 20% Kunden mit Windows und die "verursachen" 95% der Störfälle.

Es wäre schön, von der DATEV einmal etwas zum Thema "Sicherheit mit Cloud-Anwendungen" zu hören.

---

@chrisocki  schrieb:

---

Im Kern bin ich bei Ihnen. Produktionsnetz getrennt vom restlichen Teil der Welt. 

 

Aber zeigen Sie mir mal bei den 40.000 Mitgliedern auch nur ein Netz, was genauso aufgebaut ist und dann noch alle "Vorteile" von MS Teams, Mails, USB-Sticks etc. abbilden kann, ohne dass sich der Endbenutzer (Kanzleiinhaber?!?) den Strick nimmt... 

 

Und nicht falsch verstehen, ich bin auf Ihrer Linie, aber umsetzen UND nutzen, ist eine gänzlich andere Welt!

Den Schlüssel haben Sie ja benannt:  Die Kanzleileitung muß dahinterstehen.

Und ja, wir haben zwei Kunden, die so arbeiten, eine Kanzlei mit 18 Mitarbeitern und ein Unternehmen, das selber mit DATEV bucht.

Gut, statt "Teams" hat es eine "normale" Asterisk-TK-Anlage, aber bereits die Telephone hängen zwar physisch an der gleichen Strippe wie die Arbeitsplätze, aber in einem separaten VLAN.   Mail kommt von einem Linux-Rechner, Kalender sind davon getrennt.

Es gibt keine "Mandanten-Sticks".  Es gibt aber auch keinen "Virenschutz".  Das Konzept haben wir aufgesetzt, als "Windows Server 2003" herauskam, mMn das erste brauchbare "Windows NT".  Das läuft jetzt fast 20 Jahre.

Den ganzen "Zucker" wie Videokonferenzserver, Buntbrause, Zeitdatenerfassung etc. kann man auf einen (virtualisierten) Servicerechner auslagern und "einblenden".

Keine zwanzig Meter daneben steht die Nachbarkanzlei, die es "endlich bequemer" haben wollte.  Früher hingen die 20 Mitarbeiter zusaätzlich an "unserer" EDV, danach haben sie umgestellt auf "klassischen" Betrieb.   Etwa 15.000,-- p.a. mußten die Kanzleien an DATEV-Lizenzen zusätzlich zahlen, weil sie aus einer Art "Rabattgruppe" fielen.

Plötzlich mußte "lokal" administriert werden.

Und nach einem halben Jahr war er dann da:  Der Erpressungstrojaner.

Jetzt sind sie auf "ASP" gewechselt, funktioniert auch, aber ist auch nicht mehr so bequem, hat Herr Bohle ja unlängst ausgeführt.   Und bei 20 Leuten ist das auch sehr teuer.

Unterm Strich haben Sie recht:

Ein "Mehrkammersystem" wie beim Schlauchboot mit "galvanisch" getrenntem Servercore ist schon sehr aufwendig.   Noch so ein Ding wollte ich mir als Betreuer nicht ans Bein binden.

Auf der anderen Seite ist der Produktionsgewinn durch die im Vergleich zum Einzelplatz deutlich höhere Performance nicht zu verachten.

---

@metalposaunist schrieb:

Dann entfällt wohl am DI, 13. Juli der klassische Patchday? 

---

Nein, tut er nicht. Microsoft hat heute 100 Lücken und 13 kritische davon gepatcht.  

patchen, patchen, patchen ⬆️⚠️: Microsoft-Patchday: Angreifer nutzen vier Sicherheitslücken in Windows aus

Hast Du schon geflickt? Wie reagiert DATEV auf die Patchimpfung?

Leider hat sich DATEV noch nicht zur Kompatibilität geäußert. Dauert ja in der Regel ein paar Stunden/Tage.

Wir haben unsere Systeme heute Nacht schon gepatcht und bislang läuft alles problemlos.

---

@pascal_duennebacke  schrieb:

Leider hat sich DATEV noch nicht zur Kompatibilität geäußert. Dauert ja in der Regel ein paar Stunden/Tage.

Wir haben unsere Systeme heute Nacht schon gepatcht und bislang läuft alles problemlos.

---

Danke für die Antwort.

Irgendwie komme ich mir vor als grüßte das Murmeltier:

https://www.heise.de/news/Warten-auf-Patches-Neue-Drucker-Luecke-in-Windows-entdeckt-6140346.html 

Evtl. sollte MS den Printspooler Dienst einmal in Nightmare Spooler umbenennen.

OMG, hilft wohl wirklich nur noch handgeschriebenes... 😖

Ich will niemanden vorführen ☝️ bitte nicht falsch verstehen! Aber dann macht DATEV groß Werbung mit einem YouTube Video bzgl. des neuen Geschäftspost Druck 🖨? 😲

Timing ist echt alles 😶. Wenn es asp Systeme sind; na gut, okay. Der Hoster wird vermutlich alles tun, um die Systeme abzusichern aber unser einer als "normaler" IT-Techniker? Wir basteln uns GPOs, um nicht den Turnschuh anziehen zu müssen und killen dann ggf. mehr als notwendig ... 

Wie war das beim #DigiCamp? Kontextkompetenz? 😇

Toller Workaround, den Spooler wieder zu deaktivieren. 
Dann geht wieder kein PDF-Druck und kein normales Drucken. 

Zum Glück ist heute nur ein kurzer Arbeitstag. Ich hoffe auf das Wochenende für bessere Workarounds oder weitere Informationen.

---

@Gelöschter Nutzer  schrieb:

Bringt es was, wenn ich den Druckerserver auf einer Maschine außerhalb der Domain auslagere?

---

Würde mich auch interessieren welche Alternative zur Sicherung es gibt.

Eine Alternative zum Windows Drucker Spooler scheint es ja nicht zu geben. Zumindest wenn man mit Netzwerkdruckern arbeitet...

---

@Gelöschter Nutzer  schrieb:

Hallo,

 

gibt es einen Workaround von DATEV wie ich ohne Spooler und dabei ohne Einschränkungen in Rewe, den Steuerprogrammen usw. drucken kann?

 

Das Thema ist ja lästig...

 

Bringt es was, wenn ich den Druckerserver auf einer Maschine außerhalb der Domain auslagere?

---

Nein, das ist ja das Perfide an dieser Lücke. Der Printspooler wird auf allen (!) Windows Rechnern benötigt, auf welchen gedruckt werden muss. Wie sollen die Druckdaten vom Windows Netzwerkcomputer aufbereitet auf den Computer außerhalb des Netzwerkes kommen? DATEV braucht für die Aufberitung der Druckdaten das Windows Drucksystem, mit dem Printspoolerdienst. Henne - Ei, oder anders herum.

Printspooler ≠ Druckerwarteschlange.