Welchen Schutz hat die Kanzlei den im Einsatz?

Unter Bitdefender hatte ich auch mehrere Vorfälle. Ich habe seit 4 Jahre Sophos im Einsatz und über die gesamte Kundschaft keinen erfolgreichen Angriff - dafür ab und an mal Probleme durch False Positiv - ich fahre aber auch ganz strikte Policies

Ich wage zu bezweifeln das Datev eine Statistik führt, welche Kanzlei angegriffen wurde. Wie Sie schon sagen ist das ja nicht unbedingt die Baustelle von Datev - sondern betrifft die Sicherheitsstrategie der Kanzlei.

Ich gehe mal davon aus das die Zahlen denen der Gesamtstatistik ähneln. Wobei ich vermute das die Rechenzentrumslösungen der Datev im Vergleich zu den lokalen Lösungen besser geschützt sind.

Wenn sogar die Sicherheitsbänder der betroffenen Kanzlei futsch sind - war das wie bei mittlerweile um die 80% der Angriffe ein ganz gezielter Angriff auf diese Kanzlei. Die Angreifer waren wohl wochenlang unbemerkt im System, bevor alles abgeschaltet wurde.

Zahlen gibt es hier z.B. :

Sophos-Materialien zum Stoppen von Ransomware

Das PDF was man dort runterladen kann ist nicht Sophos Spezifisch:

"Sophos hat eine unabhängige Befragung zum Thema Ransomware in Auftrag gegeben, die vom Marktforschungsinstitut
Vanson Bourne zwischen Januar und Februar 2021 durchgeführt wurde. Im Rahmen dieser Studie wurden 5.400 ITManager
in 30 Ländern zu ihren Erfahrungen mit Ransomware befragt."

---

@Gelöschter Nutzer  schrieb:

Wir werden ja (teilweise) durch Datev geschützt 

---

Ja genau. Zum Beispiel durch das L:\-Laufwerk mit allen Daten und Schreibrechten für alle DATEV-Nutzer!

Schutz was die IT Sicherheit anbelangt haben Sie durch Datev nur wenn Sie Viwas und DatevNet im Einsatz haben.

Von den Kanzleien die wir betreuen hat das niemand. Von solchen Kanzleien kann Datev gar keine Zahlen haben.

Und so fortschrittliche Techniken wie das blocken von regulären Admin Tools, Sperren von Werbung oder kategorisierte Websiten, Zusammenarbeit von Firewall und End-Point-Software, Isolierung von einzelnen Clients durch die restliche Infrastruktur etc. bekommen Sie auch nicht mit einer herkömmlichen AV Lösung.

Den Schutz für die sensiblen Daten die Sie ansprechen vertrauen viele dann doch einem professionellen Sicherheitsdienstleister an - zurecht meiner Meinung nach.

Evtl. kann ja mal jemand von Datev hier eine Aussage treffen wie viel Prozent der Datev Mitglieder Viwas und/oder DatevNet im Einsatz haben.

Hi,

---

@sepranop schrieb: Ich wage zu bezweifeln das Datev eine Statistik führt, welche Kanzlei angegriffen wurde. Wie Sie schon sagen ist das ja nicht unbedingt die Baustelle von Datev - sondern betrifft die Sicherheitsstrategie der Kanzlei.

---

Jaein... Die DATEVnet-Kunden/Nutzer werden natürlich erfasst. Auch noch im Nachgang (s.a. Mailradar). Alle anderen Mitglieder ggf. noch über Rückmeldungen des Kundenverantwortlichen, wenn er was mitbekommt. Wahrscheinlich bekommt es DATEV von diesen Kunden mit, wenn es um das Thema "Wiederherstellung ohne Datensicherung" geht.

---

@sepranop schrieb: Wenn sogar die Sicherheitsbänder der betroffenen Kanzlei futsch sind - war das wie bei mittlerweile um die 80% der Angriffe ein ganz gezielter Angriff auf diese Kanzlei. Die Angreifer waren wohl wochenlang unbemerkt im System, bevor alles abgeschaltet wurde.

---

Muss nicht sein... Ich kenne einen Fall aus dem Mandantenkreis, wo die Ramsomware vom Sekretariatsplatz aus locker die USB-Sicherungsmedien am Hyper-V erreichen konnte. Schlicht und ergreifend: Schlamperei bei der Planung, Implementierung und Audit seitens des Systemhauses. Und der Name des Systemhauses ist mir bekannt... kein kleiner Laden... 

Meiner Meinung nach ist die Frage NIE "Ob mal was passiert", sondern immer nur "Wann passiert es". Wir können mit Policies, VirenScanner, FireWalls, Mitarbeiterschulungen die Messlatte nur höher legen. Einen endgültigen 100%igen Schutz wird es nicht geben. 

* Im Zweifel reicht es schon USB-Medien auf dem Parkplatz zu verteilen, ein D<...> wird den wohl schon reinstecken. 

* Multifunktionskopierer mit USB-Anschluss... super, mal sehen welche Uralt-Linux-Distri dort seinen Dienst tut... das Ding finden Sie nie... 

* Multifunktionskopierer hat eine GSM-Anbindung (gesehen bei K<...>a), super dann schauen wir mal was das Dingen so aushält... 

u.s.w.

Einem gezielten Angriff hat letzten Endes wohl der Wenigste was entgegen zu setzen... 

Erst vor wenigen Wochen eine Kanzlei in der Betreuung übernommen, alle Benutzerkonten haben ein zweistelliges Passwort... Lokal administrative Rechte, weil Updates dann "leichter" laufen... Und die Server... nun ja... da fängt es mit falscher Uhrzeit an, fehlende Windows-Updates, u.s.w. Aber DATEVnet zur Sicherheit... Nun ja, zaubern können die Kollegen in Nürnberg letztendlich auch nicht... 

Und das ist leider kein Einzelfall...

Beste Grüße
Christian Ockenfels

---

@cwes  schrieb:

---

@Gelöschter Nutzer  schrieb:

Wir werden ja (teilweise) durch Datev geschützt 

---

Ja genau. Zum Beispiel durch das L:\-Laufwerk mit allen Daten und Schreibrechten für alle DATEV-Nutzer!

---

Das ist aber so nicht ganz richtig!

Die SQL-Dateien sind exklusiv nur durch den SQL-Dienst nutzbar und aufrufbar (siehe NTFS-Rechte). Das wiederum verhindert zuverlässig die Verschlüsselung durch Ramsomware.

Und seit Jahren empfiehlt DATEV für L: Schreiben/Ändern ohne Ausführen. Bei Neuinstallationen kann dies mit der serverprep.exe (DATEV-Tool) problemlos eingerichtet werden. 

Bei bestehenden Installationen muss halt der Admin ran und die NTFS-Rechte entsprechend richtig biegen.

Wenn ich aber dann sehe, dass die Benutzerkonten in der "Domänen-Admin"-Gruppe stehen, kann ich es auch direkt sein lassen und ein Schild aufhängen: "Hier bitte auf jeden Fall verschlüsseln, damit ich endlich den Datenschutz für meine Mandanten gewährleisten kann." <scnr>

Beste Grüße
Christian Ockenfels

---

@chrisocki  schrieb:

Das ist aber so nicht ganz richtig!

 

Die SQL-Dateien sind exklusiv nur durch den SQL-Dienst nutzbar und aufrufbar (siehe NTFS-Rechte). Das wiederum verhindert zuverlässig die Verschlüsselung durch Ramsomware.

 

---

Danke für den Hinweis. Das sehe ich auf den ersten Blick auf einem in 2019 nach DATEV-Anleitung (mit serverprep) eingerichteten Server zwar nicht so, aber ich schaue mir das mal genauer an. Das würde in der Tat viele Ransomware-Attacken (zumindest auf die Datev-Daten) ins Leere laufen lassen. Über Benutzerkonten des täglichen Gebrauchs in der Gruppe Domänen-Admins brauchen wir zu Recht nicht lange zu reden. Wer das so macht, liebt halt den Thrill des möglichen wirtschaftlichen Ruins.

Hi,

so sieht es auf einer empfohlenen Installation nunmehr aus:

NTFS-windvsw1-Freigabe:

Und so bei einer SQL-Datenbank (keine Benutzerrechte):

Die NTFS-Rechte an den SQL-Datenbanken sind schon länger so. Schon vor der serverprep. Dafür hat der SQL-Dienst immer gesorgt, wenn die Datenbanken angehangen wurden.

Beste Grüße
Christian Ockenfels

Mein Eindruck als Nicht-Techniker ist, dass man bei solchen Themen immer daran denken solle Microsoft einen Vorwurf zu machen, allein schon für die Idee "Wenn eine CD / ein USB-Stick eingelegt wird, führen wir sofort aus was darauf ist."

Zum Glück bauen die keine Häuser. "Schlüssel brauchen sie nicht, die Tür geht automatisch auf wenn die Klingel betätigt wird, das ist bequemer. Dafür läutet sie nicht, damit niemand gestört wird."

@f_mayer 

Wenn von Sicherheitsbändern gesprochen wird - gehe ich auch davon aus das es auch wirklich Bänder und keine USB Festplatten sind. Und ein vernünftiges Konzept (Tag, Woche, Monatsband) setzte ich da schon voraus, und dann müsste der Angreifer wochenlang im System gewesen sein.