Hallo,
kann so etwas auch Datev passieren?:
https://www.intellicon.de/blog/sage-systeme-gehackt-was-sie-jetzt-tun-koennen-und-sollten/
Mich umtreibt das Thema gerade wieder etwas mehr, da neulich wieder einiges an Mist durch DatevNet gerutscht ist.
Und Datev/Menschen sind auch nicht unfehlbar, insofern…
Auch stört mich die Bindung an MS. Hat jemand Datev ohne Ms-office am laufen und wenn ja, worauf muss man dann verzichten?
Auch ist mit bekannt, dass einige Kanzleien schon „Probleme“ hatten.. aber offizielle Zahlen gibt es natürlich nicht..
... Verschlüsselung ohne funktionierendes, aktuelles Backup ist/wäre der GAU ...
... und selbst durch Zahlung von Lösegeld ist die korrekte Entschlüsselung nicht garantiert.
Vermutlich werden die Risiken eines totalen Datenverlusts i.d.R. von IT-Dienstleistern irgendwo im Kleingedruckten ausgeschlossen.
Es würde mich auch interessieren, wie solche Risiken bei der Datev rechtlich geregelt sind und technisch minimiert werden
Nachtrag:
... die Liste der betroffenen Unternehmen ist beängstigend lang und wahrscheinlich nur die 'Spitze des Eisbergs'
https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038
Nicht nur "wahrscheinlich"... das dürfte ein Tropfen sein.
Moin,
@boomboom schrieb:
kann so etwas auch Datev passieren?:
https://www.intellicon.de/blog/sage-systeme-gehackt-was-sie-jetzt-tun-koennen-und-sollten/
Grundsatz: Alles denkbare ist machbar.
Und weiter als Zitat aus dem Link:
Man könnte sich fragen, ob es denn gar keine Virenscanner gab. Die Antwort darauf lautet: Ja, gab es. Aber ein gezielter Angriff in dieser Dimension erfolgt mit Viren, die eben noch nicht von Virenscannern erkannt werden. Die Hacker haben auch die bekannten Virenscanner verfügbar. Sie können also Viren und Trojaner entwickeln, die an den Scannern vorbei kommen.
Und genau da liegt seit es Virenscanner gibt, die Schwäche der Scanner. Egal ob Defender, Panda, McAfee, u.s.w. Alle Scanner hecheln der aktuellen Lage immer hinterher.
Und eine gezielten Attacke kann ein Virenscanner nicht mehr verhindern. Da helfen nur noch andere Mechanismen. Eine ist z.B. die konsequente Nutzung von "Dateien speichern/ändern" und "Dateien ausführen". Wenn ein neuer Windows-Server nach DATEV-Empfehlung eingerichtet wird, kann das windvsw mit entsprechenden NTFS-Rechten versehen werden. Nutzer können dann auf L: speichern und ändern aber eben nicht mehr ausführen. Ein Trojaner muss also dann schon auf ein Laufwerk, welches auch eine Ausführung zuläst.
Dies und einige andere Mechanismen können aber eine Infektion in aller Konsequenz nicht verhindern. Man kann immer nur die Messlatte immer höher legen.
Da gilt dann aber auch ein Grundsatz: Komfort geht immer zu Lasten der Sicherheit.
Wenn also Benutzerkonten weiterhin mit Passwort 123456 versehen werden, nun ja...
Wenn Backup-Medien im gleichen Netz oder am gleichen Server permanent gehalten werden, ist das einfach aber nicht sicher...
u.s.w.
Zu der Frage ob es DATEV auch treffen kann: Ja, kann es.
Da kommen wir aber auch zur Frage: Wie hoch liegt bei DATEV die Messlatte? Werden wir nie beantwortet bekommen, was über die allgemein verfügbaren Dokumente im Hilfecenter hinausgeht. Denn dann würde DATEV den Angreifern Informationen "frei Haus" liefern, was alles gemacht wird. Die Angreifer müssten also "nur noch schauen" was noch nicht gemacht wurde...
Grundsätzlich bin ich aber bei den DATEV-Daten, die in einer SQL-Datenbank liegen, relativ entspannt. Solang der beherbergende Server mit dem SQL-Dienst nicht "fällt", kann der Trojaner links und rechts neben den Datenbanken verschlüsseln. Die eigentlichen Daten in den Datenbanken nicht (exklusiver Zugriff des SQL-Dienstes). Das verschlüsseln funktioniert m.E. erst, wenn der SQL-Dienst gestoppt wurde UND der Trojaner auch die NTFS-Rechte der Datenbankdateien verändert. Ansonsten läuft er da gegen den Poller.
Genau diese beiden Mechanismen haben Mandanten und Kanzleien schon vor dem endgültigen Verlust geschützt. Alle Office-Daten auf den restlichen Freigaben waren dann eben weg... Alles was in der Dokumentenablage lag, war nach Bereinigung wieder verfügbar...
Fazit: Einer gezielten Attacke ist nur schwer was entgegen zu setzten. Und je unsicherer ich die Umgebung konstruiere, desto einfacher wird es...
Beste Grüße
Christian Ockenfels
... 'interessant' und 'befremdlich' sind Formulierungen in einigen Berichten, dass die IT-ler des Unternehmens aktuell noch gegen die Angreifer 'kämpfen'.
... bedeutet wohl, dass man weiß, dass noch 'ein paar Türen offen stehen', dass man aber versucht, sie zu schließen.
Allerdings weiß man nicht so genau, ob und was bereits 'gecloud' wurde und ob nicht evtl. ein böswilliger 'Untermieter' bzw. ein 'Mietnomade' zurückgelassen wurde
.. wirkt auf mich wie ein Glücksspiel, ob ein Unternehmen gerade in das Visier der Angreifer gerät oder nicht, aber dass man sich quasi immer in der schlechteren Position eines Verteidigers befindet
grundsätzlich ja richtig.. aber was ist, wenn die angreifer irgendwie an admin kommen?
ich muss ja mindestens 2 mal im monat ran und installieren.
Ich könnte das Konto noch mit 2fa absichern. Allerdings traue ich der Lösung auch nicht so besonders.. nachher sperre ich mich da aus oder das tool macht probleme oder muss am laufenden Band den Code eingeben oder das Passwort wird aus dem Instman ausgelesen bzw der funktioniert dann auch nicht mehr..
mal abgesehen von zero day exploits usw. auch nur eine von vielen gefahren..
Wenn ein Trojaner eingeschleppt wird, läuft der "hoffentlich" gar nicht --> Dateiausführung nicht von dem Laufwerk oder "nur" mit Benutzerrechten.
Klar, kann und wird sich der Trojaner mehr Rechte verschaffen wollen. Da helfen dann ggf. schon andere Admin-Konten, die von "Administrator" abweichen und deutlich komplexere Kennwörter haben. Dann kann der Trojaner erstmal schauen, was es ggf. für Admin-Konten überhaupt gibt. Und dann sind wir schon bei einer gezielten Attacke.
2FA wäre hier möglich. Wenn ich Sorge habe, dass mich aber aussperre, dann lasse ich mir einen Adminaccount "offen", der aber nur auf einer bestimmten Maschine im Netz angemeldet werden kann.
Den "normalen" Administrator nagel ich dann mit 2FA und komplexen Kennwörtern zu und nutze ihn dann auch nicht mehr.
Dann wären noch logische und physische Trennungen von "Produktion" und "Kernnetz" anzudenken. Also Trennung mit VLAN, IP-Segmenten, etc. bzw. einer Kombination aus beiden. Damit eben aus dem kompromittierten Produktionsnetz (TS, Clients, DATEV-SQL) kein Zugriff auf die Backupsysteme möglich ist.
Ist alles möglich, legt aber meiner persönlichen Meinung nach, immer nur die Messlatte weiter hoch. Eine 100%-Lösung wird und kann es nicht geben.
Beste Grüße
Christian Ockenfels