@bpb Es gibt bei uns im Betrieb den Spruch: Wenn dein System durch einen einzelnen Link oder Click kompromittiert werden kann, hast du das falsche System.
@honze_net@bpb@evawolfangel
Finde ich ganz und gar nicht.
Mir stehen die Haare zu Berge bei diesem Hot Take und ihren Aussagen im Podcast zu Unternehmen die sich "rausreden", technischen Maßnahmen gegen Phishing/Social Engineering die "bei weitem nicht ausgeschöpft [werden] von den meisten Unternehmen" und bei Attribution bei der man "nicht mehr allzu viel zweifeln" muss.
Wow.
Interessanter Einwand. Die meisten Firmen, mit denen ich gesprochen habe, hatten unzureichende technische Maßnahmen. Bessere Maßnahmen hätten geholfen. In jeder Firma wird geklickt. Das kann man nur reduzieren, aber entscheidend sind z.B. funktionierende Backups. Oder die Sicherheitseinstellungen von Office.
@honze_net@bpb@evawolfangel
Ab wann sind die technischen Maßnahmen in einer Organisation denn zureichend?
Wie intensiv sollen Mails aussortiert werden? Alle Archive, Office-Dateitypen & Links wegzuwerfen würde die Attack Surface für Phishing & Ransomware deutlich reduzieren. Jemand hat hier neulich vorgeschlagen, nur noch signierte Mails zu akzeptieren. Kann man auch machen.
Wie viele Unternehmen kennst du, die so arbeiten könnten?
@musevg
Die technischen und organisatorischen Maßnahmen sind dann ausreichend, wenn nur noch ein Restrisiko vorhanden ist. Das hängt natürlich auch vom Risikoappetit des Unternehmens ab.
Keine Mails mit Anhängen annehmen, die potentiell schädlich sein können. Also Officeformate mit Makros zum Beispiel. Es gibt aber eine ganze Reihe von Maßnahmen, die man ergreifen kann.
Bei vielen Akteuren ist bekannt wie die Ransomware funktioniert. Diese Kette kann man an vielen Stellen unterbrechen. Mit einer vernünftigen Security Baseline kann man schon einiges erreichen. Das ist die Mindesthöhe, die jede Organisation schaffen sollte.
@honze_net@bpb@evawolfangel
Halt, bitte bei den technischen Maßnahmen bleiben: Um die geht es hier, davon gibt es lt. Eva nicht genug.
Soweit ich mich erinnere gab es auch schon Schwachstellen in Office, die ganz ohne Makros ausgenutzt werden konnten. Also doch alle Office-Dateien blocken!
Oder kommst du jetzt langsam an den Punkt, der in dem Podcast halt komplett fehlt: Dass jedes Unternehmen abwägen muss, wie viel es blockt & wie viel Sand im Getriebe durch geblockte Mails es akzeptiert.
Microsoft ist leider nicht in der Lage ein Dokumentenformat bzw. ein Office zu bauen, das in der Standardeinstellung sicher betrieben werden kann. Sie haben sogar "Mark of the Web" erfunden, um Dateien als "aus dem Internet" zu kennzeichnen. Daher verschicken einige Ransomeware Gangs ISOs. Wenn man das einlegt (geht ja mittlerweile automatisch) und die Dateien dort öffnet, dann kommen sie ja von CD. 🤡
Also ist die Maßnahme Anhänge im Format ISO zu blocken. Oder man schickt sie in die Quarantäne, falls es wirklich Leute geben sollte, die sich ISOs per Mail schicken lassen.
Ich kann niemandem empfehlen seine Geschäftsprozesse auf "wir schicken uns lustig Officedokumente mit Makros hin und her" auszulegen.
@honze_net@bpb@evawolfangel
Wie? Das kannst du niemandem empfehlen? Aber das ist doch jetzt diese Digitalisierung! Früher mit Fax war alles besser!11
Im Ernst: Ich weiß nicht wie tief du in Unternehmen reinschaust, aber Excels hin- und hermailen ist tatsächlich oft genug Teil von Prozessen, Notbehelf bei Prozesslücken oder gar Schnittstelle von/nach außen.
Ja, auch Follina. Aber schon vor Jahren gab es Schwachstelle, bei der Office sich auch mit Dateien ohne Makros angreifen lies.
Es gibt einen großen Unterschied zwischen XLS, XLSX und XLSM. Nur eins davon kann man halbwegs sicher öffnen, wenn man Office richtig eingestellt hat. Good job, Microsoft! XLS und XLSM würde ich wegwerfen.
Wenn man schon mit mehreren Firmen, die alle in der Microsoft Cloud sind, arbeitet, dann könnte man ja Dateien einfach im SharePoint bzw. OneDrive freigeben und dort zusammen an der Datei arbeiten. Dann haben alle immer das aktuelle Dokument und man hat eine Historie. Aber das ist vermutlich zu kompliziert. 😉
@musevg Moment mal, geh doch bitte by default davon aus, dass ich von Dingen rede, mit denen ich mich auskenne. Ich beschäftige mich intensiv mit dem Thema. Ein Podcast ist jetzt kein Format, in dem man besonders gut Quellen zitieren kann, aber hier im Deutschlandfunk habe ich ein längeres Feature gemacht, für das ich mit vielen Fachleuten gesprochen habe - Forscherinnen und Ermittler unter anderem - die genau das sagen: https://www.deutschlandfunkkultur.de/cyberkriminalitaet-wie-firmen-ihre-angestellten-sensibilisieren-dlf-kultur-3aebf568-100.html
@evawolfangel@honze_net@bpb
Ja, das war bis gestern auch mein Eindruck. Doch dann kamen der Hot Take und der Podcast vorbei, und einige deiner Aussagen darin sind - so wie sie da stehen - zu sehr verkürzt und bedenklich. Liegt's am Format?
@musevg Oh guter Punkt. Da gibt’s eine Vorgeschichte: Der Podcast wurde tatsächlich ziemlich radikal geschnitten. Das Gespräch an sich war viel länger, die Aussagen sind teilweise aus dem Zusammenhang gerissen. Die Produktionsfirma hat nach meiner Beschwerde nachgebessert, ich habe die aktuelle Bearbeitung noch nicht angehört. Mit wurde aber auch gesagt, dass er nicht wesentlich länger werden würde. Von daher: ja, das verzerrt meine Argumentation wohl auf jeden Fall.
@evawolfangel@honze_net@bpb Ah, verstehe. Ja, ich kenne das: Manchmal fragt man sich am Ende "Echt? DAS hab ich gesagt?"
Ich habe das hier gelesen https://www.bpb.de/775231 - ich weiß nicht, welcher Version das entspricht.
Vielleicht haben wir ja mal Gelegenheit über die Praxis der IT-Sicherheit in Unternehmen zu plaudern - insb. über die Grenzen der Machbarkeit.
Und über Zweifel bei Attribution :)
@musevg Oh no, da wurde die zurechtgestutzte Version auch noch als Transkript auf die Seite gestellt. Und mir vorher jede Abwägung, jede Relativierung rausgekürzt. 🙄. Das ist in der Tat jetzt verfälschend. Ich werde sie bitten, das zu löschen. Dann doch lieber einfach das Originalgespräch veröffentlichen. @honze_net@bpb
@evawolfangel@musevg@honze_net Wir haben die Podcastfolge in Absprache mit Eva Wolfangel an einigen Stellen nachgebessert. Transkripte veröffentlichen wir aus Gründen der Barrierefreiheit zu jeder unserer Podcastfolgen. Sobald das überarbeitete Transkript vorliegt, werden wir es ersetzen.
Add comment