Cyber-Katastrophenfall in Deutschland

Zitat von GilleD

die sich auch in den Speicherbausteinen festsetzen hätten können

Na, ganz soweit ist es zum Glück noch nicht, dass man RAM Chips dauerhaft infizieren kann. Was es aber durchaus gibt, ist Schadcode, der sich im Flash-Speicher des BIOS auf dem Mainboard festsetzt, da nützen dann ne neue Festplatte und neues Betriebssystem gar nichts, da gelangt der Schadcode vom BIOS ins Betriebssystem. Deswegen wird die Rechner-Hardware nach einer Ransomware-Attacke auch entsorgt...(und landet evtl. als "refurbished" Ware wieder im Handel...).

UEFI Schadcodes ist selten, aber nichts besonderes auf einem gewissen Level. Oder halt Firmware-Schadcode in Systemchips. Irgendwo muss man den Dingern trauen. Daher haben die ein oder anderen auch ne Schreibmaschine.

Dezentrale Systeme werden sich in großen Betrieben oder Verwaltungen nie durchsetzen. Warum?

Die Entscheider sitzen in der Zentrale, und für die wäre eine dezentrale Verwaltung ein Machtverlust.

Sieht man konkret bei uns: Teams Microsoft macht es einem sehr schwer, Chatverläufe und alle möglichen Daten zu exportieren, alles zentral gespeichert, größtenteils sogar in der Cloud.

Wir haben offiziell Dezentrale Softwareentwicklung (Git und Mercurial) eingeführt, aber das ist über einen Wildwuchs von Batch-Skripten, Python-Skripten so weit automatisiert, dass ohne Zugriff auf das "zentrale" Repository kaum mehr als ein paar Minuten Arbeit möglich ist.

Und sogar die einzelnen Dienststellen wollen gar keine Eigenständigkeit, weil dann auch Eigenverantwortung kommt. Früher war die Ansage "Mach Deinen Rechner sicher, so lange nichts passiert, sind alle glücklich!" Heute ist die Ansage "Alle Vorschriften einhalten, und dokumentieren, dass man sie eingehalten hat, dann kann dir nichts passieren." Was der Effekt ist, kann sich jeder denken.

Verwaltungen werden *nie* dezentral funktionieren, wenn es auch einen (gerne auch weit schlechteren) zentraleren Weg gibt.

Nick

Zitat von Chuck Noland

Ich glaube huizhaecka meinte mit "Insel" eher dass wichtige Daten auch offline (tägliches Backup vorausgesetzt) vorhanden sind und bearbeitet/ausgedruckt werden können.

So ist man zwar nicht mehr in Echtzeit auf dem aktuellen Stand, kann aber dennoch irgendwie weiter arbeiten.

Quasi "Stift und Papier" in digitaler Form.

Ja, das wäre mir das wichtigste, was man braucht sollte offline (in diesem Sinne ohne Onlineverbindung der Kommunalverwaltung) nutzbar sein - wenn irgend möglich - und durch ein Notstromkonzept abgedeckt - vorzugsweise auch digital.

Verteilte Datenbanken sind jetzt nicht wirklich neu, der Zugriff dürfte großteils lesend sein, Updates insgesamt gesehen eher wenige. Zumindest im zentralen Bereich Einwohnermeldeamt. Grundbuch ist wahrscheinlich komplexer, zumindest wenn da ein GIS eingeflochten ist. Dabei dürfte aber aber im Krisenfall das Angebot der möglichen Leistungen eh eingeschränkt sein, also eher keine Neuvermessung und Änderung im Plan sondern eher Abfragen, Eigentümeränderung usw.

Technisch reicht da ein Server, gerne mit Virtualisierung. Dann laufen da die Datenbank(en), Webservices und ein Gateway, welches bei fehlender externer Verbindung auf die lokalen (eventuell etwas langsameren) Dienste umleitet. Die einzelnen VMs werden natürlich zentral zur Verfügung gestellt (so ein Webservice als VM zum Beispiel benötigt die Daten ja nicht in der VM, er muss nur wissen wo die liegen).

OK, in einem Post ein ganzes Konzept komplett durchdenken ist kaum möglich - denkbar auch dass jetzige Anwendungen nicht leicht darauf angepasst werden können. Technisch wäre es meiner Meinung aber relativ leicht möglich. Wichtig wäre halt vorher festzulegen, wie die Datenbestände später wieder zusammengeführt werden.

Kompliziert wird es eventuell organisatorisch/rechtlich. Wobei man man in vorübergehenden Szenarien [4 Wochen Stromausfall, 4 Monate großes Chaos danach] sicherlich manches Aufschieben kann (Grundstücksgeschäfte), anderes aber vielleicht dringlich ist (Geburts-/Sterbeurkunden, Ausweise).

In diesem 6 teiligem MDR-Podcast werden der Ablauf und die Folgen der Cyberkatastrophe in Bitterfeld beschrieben. Ist über 5 Stunden lang, aber man sollte sich das anhören. Durch die Digitalisierung aller Lebensbereiche werden wir immer verwundbarer.

You are fucked – Deutschlands erste Cyberkatastrophe

You are fucked – Deutschlands erste Cyberkatastrophe | MDR.DE

"You are fucked – Deutschlands erste Cyberkatastrophe" Ein Podcast von MDR SACHSEN-ANHALT über den Hackerangriff, der 2021 den Landkreis Anhalt-Bitterfeld…

www.mdr.de

Ich arbeite im Wohlfahrtsbereich in der IT, aber so etwas möchte ich nicht erleben. Die aktuell umzusetzende EU Cybersicherheits-Richtlinie NIS-2 wird so etwas auch nicht verhindern können.

Tschüss Heiko

Ich hab mich kürzlich in einer neuen Abteilung eines oberbayrischen Klinikums verlaufen und bin im Keller gelandet - und was

fand sich da ? An einer Tür das Schild "Notfall-Computer". Da denken jetzt schon welche mit.

Und es hat im übrigen auch einen, daß die Krankenhäuser heute auch noch ganz gerne mit dem guten alten Fax arbeiten, wenn

sie irgendwelche Aufklärungsbögen für OPs verschicken und sich die auch wieder per Fax zurückschicken lassen , ebenso wie Vollmachten oder dergleichen von Leuten, mit denen sie nicht in ständiger Kooperation sind .

Einer meiner Kunden bei der Arbeit ist ein mittelständischer Maschinenbauer mit 2.500 Beschäftigten. Der wurde vor 4 Jahren Opfer einer Ransomware-Attacke. Das hätte fast die Existenz der Firma vernichtet, ich hab das damals relativ hautnah miterlebt, da wurden mal eben _alle_ PCs, Server und Notebooks im Unternehmen aus dem Verkehr gezogen und dann hat man Schritt für Schritt in kleinen Teams die IT wieder aufgebaut. Das Problem bei solchen Angriffen ist, dass die Schadsoftware, die die Unternehmens-IT verschlüsselt, meistens schon vor längerer Zeit eingesickert ist und sich auch in den Backups befindet.

Einfach neue Rechner kaufen und die Backups zurückspielen und weiter gehts, ist nicht. Da brauchts dann IT-Forensiker, die die Backups checken, dann baut man erst mal ein abgeschottetes Test-Netzwerk neu auf und schaut, was passiert, wenn man Daten aus den Backups einspielt. Es sind ja nicht nur die kaufmännischen Datenbanken weg, es betrifft auch die Gebäudesteuerung, die Produktionsanlagen und Prüfgeräte. Da können sofort sehr hohe Schäden entstehen, wenn Anlagen mit falschen Parametern betrieben werden oder abrupt stehen bleiben (z.B. Schmelzöfen oder Spritzgussmaschinen).

Gleichzeitig darf man aber seine Kunden und Lieferanten nicht verlieren.

Für die Bewältigung so einer Lage braucht man sehr viel Papier, Flipcharts und ein paar absoulut fähige Leute, die einen Plan haben, wie man vorgeht. Gibt ne ARD-Doku über den Fall.

Zitat von tomduly

Das Problem bei solchen Angriffen ist, dass die Schadsoftware, die die Unternehmens-IT verschlüsselt, meistens schon vor längerer Zeit eingesickert ist und sich auch in den Backups befindet.

Wie alt sollte denn ein Backup sein, damit es nicht infiziert ist? Nach meinem Verständnis würde doch auch Schadsoftware, die noch auf ihren "Einsatz" wartet, irgendwann von Virenscannern erkannt, oder? 3 Monate, 6, 12?

Zitat von Mehli

Nach meinem Verständnis würde doch auch Schadsoftware, die noch auf ihren "Einsatz" wartet, irgendwann von Virenscannern erkannt

Wenn die Schadsoftware eine neue, noch nicht bekannte Sicherheitslücke ausnutzt, für die es noch keine Erkennungssoftware gibt (Zero Day Exploit), dann findet man die erstmal nicht.

Dann gibt es zunehmend Schadsoftware, die nistet sich in Geräten ein, die nicht von klassischen Virenscannern abgesucht werden: Drucker, die im Netzwerk eingebunden sind oder Netzwerk-Komponenten.

Zero-Day-Schwachstelle: Hacker verbreiten Ransomware via Cisco VPN - Golem.de

Eine Zero-Day-Schwachstelle in der VPN-Funktion zweier Cisco-Produkte wird derzeit aktiv ausgenutzt, um Unternehmensnetzwerke zu infiltrieren.

www.golem.de

Zitat von Mehli

Wie alt sollte denn ein Backup sein, damit es nicht infiziert ist? Nach meinem Verständnis würde doch auch Schadsoftware, die noch auf ihren "Einsatz" wartet, irgendwann von Virenscannern erkannt, oder? 3 Monate, 6, 12?

Das erst, was man macht, wenn man drinn ist: Mann schaft sich mehre "Fernwartungszugänge". Danach ist der Weg, wie man ins System gekommen ist, egal.

Und da sdas gezielte Angriffe sind, wird man da auch kaum irgendwelche Viren benutzen.

Skurril, gerade erst vor zwei Tagen hier über Ransomware mitgelesen, gestern kam über alle Schul- und Kitaverteiler die Info über einen Cyberangriff/IT-Sicherheitsvorfall bei der UKT (Unfallkasse Thüringen).

Liest sich sehr umfangreich.