Wundert mich das es noch keinen passenden Fred gibt.

Es handele sich um "einen veritablen Cyberangriff auf Teile des Regierungsnetzes".

Es gehe um einen "noch laufenden Angriff".

Einem "technisch anspruchsvollen und von langer Hand geplanten Angriff".
Die Angreifer seien "jederzeit voll kontrolliert von den Sicherheitsbehörden beobachtet worden".

Es gibt allerdings auch Berichte, wonach die Hackergruppe das speziell gesicherte Datennetzwerk des Bundes schon seit längerem attackiert.

Entdeckt wurde der Einbruch nach Angaben aus Sicherheitskreisen Mitte Dezember. Es sei aber gut möglich, dass die Attacke weit früher angefangen habe - laut dpa wird in Sicherheitskreisen nicht ausgeschlossen, dass sie seit einem Jahr läuft.

https://www.tagesschau.de/inland/hacker-bundesregierung-109.html

"APT28" ist vermutlich keine gewöhnliche Gruppe krimineller Hacker, die auf finanzielle Gewinne aus ist. Vielmehr geht es wohl um staatliche Interessen. Welcher Geheimdienst genau hinter "APT28" steckt, ist noch nicht aufgeklärt. Doch die Beteiligung russischer Behörden gilt als sicher.

Der Hackerangriff auf das Datennetzwerk des Bundes könnte Teil eines noch viel größeren organisierten Spionageangriffs auf EU-Staaten sein. IT-Experten beobachten seit einigen Monaten, dass "APT28" gezielt Außen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen.
https://www.tagesschau.de/inland/faq-bundeshack-101~_origin-b4bd9e87-1c7e-45a3-baef-55b91b365162.html

In der Vergangenheit hies es immer wieder "Russische Hacker..." und dann waren es eben keine Russen.

Also was die Russen immer alles können. Jetzt fehlt noch der neusprech mit der Vorwärtsverteidigung. Von der Nato Ostfront ist ja auch schon zu lesen und das es keine Winterbekleidung für die Bundeswehr gibt. Wie 1941. Die hamse doch nicht mehr alle. Noch ein Hinweis um geheime Dokumente Stehlen zu können muss ich sie auch lesen und verstehen können. Also können die ganzen russischen Hacker ausgezeichnet deutsch...

Unglaublich wie unprofessionell und amateurhaft russische Hacker im Vergleich zu chinesischen oder amerikanischen Hackern sein müssen. Lassen sich echt jedesmal erwischen. Oder hacken uns China und die USA weniger weil wir so weit weg sind?

Schuldige zu vermuten ohne forensische Details zu nennen ist schon etwas gewagt, die öffentlichen Stellungnahmen sind ja auch eher schwammig. Mal gucken wann es mehr dazu gibt.

man ist jetzt auf einen anderen Zug aufgesprungen, nun ist es die Gruppe "Snake", sind natürlich auch Russen :biggrin:

Send a flu shot!

https://i.ytimg.com/vi/hTekDcdtVcg/hqdefault.jpg

*scnr*

Als wenn es bei der staatlichen IT-Infrastruktur auch nur irgendwie sicher zugehen würde...

Ist doch nur unwahrscheinlich praktisch dass de Maizière eh kein Minister mehr wird. So kann er dann als letzte Amtshandlung noch die politische Verantwortung übernehmen, geändert werden muss dann darueber hinaus aber selbstverständlich nichts.

:uclap:

Ist doch nur unwahrscheinlich praktisch dass de Maizière eh kein Minister mehr wird. So kann er dann als letzte Amtshandlung noch die politische Verantwortung übernehmen, geändert werden muss dann darueber hinaus aber selbstverständlich nichts.

:uclap:

trifft eher gabriel als aussenminister. aber der wird ja auch aufgehört.

Anscheinend hat man per social engineering jemanden dazu gebracht einen Anhang zu öffnen ...

https://www.security-insider.de/angriff-auf-regierungsnetz-war-wohl-kein-einzelfall-a-691231/

Mann mann mann ist das dämlich.

passt ins bild. signaturen nur in richtext aber anhänge öffnen wie die blöden.
fragt sich weiterhin warum die firewall das nachladen nicht verhindert hat.

Betreibt man in einem so geschützen Bereich nicht Virtualisierte Betriebsystem Blasen die mit jeden Feierabend gelöscht werden?

Heute in der Zeitung fragt der Berlin Korrespondent: "Warum ändern wir nicht das Grundgesetz, denn wir müssen uns in Zukunft gegen solche Hackerangriffe wehren und aktiv zurückschlagen".

Nach der ersten Meldung soll das Bundesamt für Sicherheit in der Informationstechnik die Ermittlungen aufgenommen haben und
konnte einen ersten Infektionsvektor in der Hochschule des Bundes für öffentliche Verwaltung ausmachen.
Von dort sollen die Angreifer sich weiter im Netzwerk ausgebreitet haben, bis sie schließlich im Auswärtigen Amt landeten.
Nach Angaben des RBB wurde dort zuerst die Liegenschaftsverwaltung infiziert, später "ein Referat mit Russlandbezug".
Von dort sollen die Angreifer sechs Dokumente heruntergeladen haben, die zum Teil Bezug zu Russland, der Ukraine und Belarus haben sollen.
https://www.golem.de/news/bundeshack-auslaendischer-geheimdienst-soll-regierung-gewarnt-haben-1803-133112.html

Heute in der Zeitung fragt der Berlin Korrespondent: "Warum ändern wir nicht das Grundgesetz, denn wir müssen uns in Zukunft gegen solche Hackerangriffe wehren und aktiv zurückschlagen".
Seit 5 Uhr 45 wird zurückgeschossen!:eek:

Seit 5 Uhr 45 wird zurückgeschossen!:eek:

Wie soll so etwas überhaupt aussehen? Einige Politiker scheinen da den Cyberkrieg etwas zu wortwörtlich zu nehmen. Wäre ehrlich gesagt schon leicht ironisch, wenn sich das "Zurückschießen" bei solchen Angriffen etabliert, einfach nur weil einige Politiker denken, dass "Krieg" für informationstechnische Sicherheitsprobleme eine gute Metapher ist.

Vielleicht werden wir jetzt verstärkt DoS-Angriffe von deutscher Seite auf russische Internetcafés sehen? Das wird es ihnen sicher zeigen, wenn der Kaffeepott leer bleibt, weil die smarte Kaffeemaschine gerade keine Verbindung ins Internet bekommt.

Ich will gar nicht wissen wie viele dieser "Sicherheitssysteme" noch auf Windows XP oder älter laufen.

Russland selbst setzt ja in entsprechenden Bereichen auf ihr eigenes Astra Linux, welches seit kurzem auch auf den Russland-eigenen Elbrus Prozessoren läuft. Ich weiß zwar nicht wie großflächig noch Windows eingesetzt wird, aber vermutlich geht hier die Tendenz nach unten. Dürfte also noch mal eine Etappe schwieriger sein, ein Custom (vermutlich sogar gehärtetes) Linux mit Custom CPU zu hacken, als irgend ein Gammel-Windows von vor 10 Jahren.

Ist jetzt natürlich nur eine Vermutung. Weiß ja nicht wie die "Sicherheits-Systeme" hier so aussehen. Wenn man aber liest, dass ein Mail-Anhang das alles auslöst, kann es so gut nicht sein :D

Nicht nur Merkel hat damals Neuland Entdeckt sondern der ganze Laden dort mit wir haben ein so tolles und sicheres System aber Login und Pw rücken wir gern gegen jede Phishing Mail raus.
Ich frag mich die ganze Zeit wie die Sichehreit von den Systemen aussieht denn bei heise steht das der Angrieff über eine Email lief und naja dann hat mal wider irgend son Überbezahlter Supertechniker einen Anhang gehöffnet oder auf nen Link geklickt und den Laden Infiziert.

Super clever Daummen :up: ,besser wärs gewesen damals den Schalter auf den On steht garnicht zu betätigen.

trifft eher gabriel als aussenminister. aber der wird ja auch aufgehört.
Betrifft zwar unter anderem sein Ministerium, trotzdem ist jenes fuer Inneres fuer sowas zustaendig bzw. wird es gemacht werden ;)

Ist jetzt natürlich nur eine Vermutung. Weiß ja nicht wie die "Sicherheits-Systeme" hier so aussehen. Wenn man aber liest, dass ein Mail-Anhang das alles auslöst, kann es so gut nicht sein :D
Praktisch jedes System ist anfällig für sowas. Wie sollen Mitarbeiter auch sonst arbeiten wenn sie bzw. die genutzten Systeme keinen Zugriff auf Ressourcen haben?
Eine Schadsoftware, die schön leise Daten sammelt und ebenso vorsichtig über 443 nach Hause sendet, ist schwer zu entdecken. Sicherheit ist immer ein Kompromiss mit Nutzbarkeit und wenn Data Leak Prevention Systeme und Web Filter zu scharf sind, dann wird IT schnell zur Belastung. Daneben gibt es noch zig andere sicherheitsrelevante Technologien, bei denen der Grad zwischen nutzlos und nervig schmal ist. Wer hier arrogant den Finger hebt, hat keinerlei Ahnung wie komplex der Kram werden kann.
Und wenn die IT mal was tun will, zb. mit SSL Inspektion, dann schreien auch wieder alle und faseln was von Privatsphäre am Arbeitsplatz.

Ich will auch gar nicht beurteilen wie gut oder schlecht die IT-Sicherheit so mancher regierungseigener Netze ist, weil man das von außen sowieso nicht kann. Ein erfolgreicher, sehr komplexer Angriff auf ein vorbildlich gesichertes Netzwerk liest sich in der Bildzeitung immer scheiße. Hat der Chef sein Laptop im Starbucks vergessen und dummerweise seinen VPN Zugang drunter geklebt, wird auch von Hackerangriff gesprochen.

Anscheinend hat man per social engineering jemanden dazu gebracht einen Anhang zu öffnen ...

https://www.security-insider.de/angriff-auf-regierungsnetz-war-wohl-kein-einzelfall-a-691231/

Mann mann mann ist das dämlich.

Das ist eine Theorie die da jemand aufgestellt hat, es gibt bisher keine Details wie genau in diesem Fall vorgegangen wurde. Am informativsten fand ich noch das hier http://www.sueddeutsche.de/digital/it-sicherheit-schlaefer-im-datennetz-1.3889834

Ansonsten, was xiao gesagt hat. Wer glaubt das besser zu können bzw. es besser kann hat im Moment fantastische Berufsaussichten.

Praktisch jedes System ist anfällig für sowas. Wie sollen Mitarbeiter auch sonst arbeiten wenn sie bzw. die genutzten Systeme keinen Zugriff auf Ressourcen haben?

WannaCry war erfolgreich, weil die Leute überall einfach keine Sicherheitsupdates eingespielt haben, für die es bereits seit 3 Monaten einen Fix gab.

Um ein Großteil der Angriffe abzublocken bzw. abzumildern würde es reichen, wenn die Systeme einfach mal alle nicht total out-dated wären und auch einfach mal nach entsprechenden Sicherheitsstandards funktionieren würden.

Das ist doch einfach mal sehr oft nicht der Fall aus den haarsträubensten Gründen überhaupt. Ist doch auch nicht der erste Fall wo man sich hinterher einfach nur an den Kopf fassen musste und wird auch nicht der letzte sein. Sichere Systeme sollen sicher sein und nicht komfortabel.

WannaCry

Das ist Ransomware, hier geht es ja vermutlich um Turla, einen ausgefeilten Trojaner der mit hohem Aufwand produziert und platziert wird. So etwas ist mit Ransomware von Kriminellen nicht so richtig zu vergleichen, nicht umsonst zahlen Geheimdienste in aller Welt inzwischen Unsummen für 0-day exploits. Wie gesagt, wer da Ideen hat wie man so etwas zuverlässig verhindern kann wird sich vor Geld kaum retten können.
https://www.heise.de/newsticker/meldung/Bundeshack-Chaos-Computer-Club-fordert-Ende-der-Flickschusterei-bei-IT-Sicherheit-3985046.html
Da ist nicht umsonst von einer Entwicklungszeit von 10 Jahren die Rede, was im IT-Bereich mehr oder weniger ewig bedeutet.

"Vermutlich"... wie gesagt, wie das alles wirklich abläuft ist doch noch gar nicht öffentlich. Aber wenn du mit so einem Spielzeug wie WannaCry schon in die Systeme kommst, dann ist es mit ausgefeilteren Lösungen doch nur noch einfacher.

Da braucht man auch keine großartig revolutionären Ideen haben. Man kann Systeme schon heute recht sicher gestalten. Aber wenn du da mit so einer Idee kommst, wirst du doch mit "Viel zu teuer die Umstellung" gleich wieder nach Hause geschickt.

Es ist nur einfach niemand bereit sich auch nur einen Millimeter auch nur irgendwohin zu bewegen. Genau das sagt auch der Artikel den du da verlinkt hast.

"Vermutlich"... wie gesagt, wie das alles wirklich abläuft ist doch noch gar nicht öffentlich... Aber wenn du da mit so einer Idee kommst, wirst du doch mit "Viel zu teuer die Umstellung" gleich wieder nach Hause geschickt.



Das ist schon richtig mit dem vermutlich, aber verglichen mit einem doch eher rabiaten Vorgehen wie bei WannaCry ist so etwas hier vollkommen anders:
https://blog.eset.ie/2017/06/06/turlas-watering-hole-campaign-an-updated-firefox-extension-abusing-instagram/

Da solche Angriffe inzwischen massive Schäden verursachen ist es inzwischen AFAIK nicht mehr unbedingt so dass allein mit Verweis auf die Kosten alles beim Alten gelassen wird. Zumindest wenn das Kind dann erst mal in den Brunnen gefallen ist, wie jetzt gerade. Das ist vor allem bei KMUs zugegeben anders.

Das ist schon richtig mit dem vermutlich, aber verglichen mit einem doch eher rabiaten Vorgehen wie bei WannaCry ist so etwas hier vollkommen anders:
https://blog.eset.ie/2017/06/06/turlas-watering-hole-campaign-an-updated-firefox-extension-abusing-instagram/

Meine Frage ist da, wenn es um sichere Systeme geht:

Warum ist dort überhaupt JavaScript aktiviert? Man könnte jetzt noch mehr Fragen stellen rund um die Frage der Notwendigkeit von Extensions, oder warum Random Webseiten erlaubt sind.

Die Liste der Fragen wird mit jedem Schritt tiefer ins System länger.

Meine Frage ist da, wenn es um sichere Systeme geht:

Warum ist dort überhaupt JavaScript aktiviert? Man könnte jetzt noch mehr Fragen stellen rund um die Frage der Notwendigkeit von Extensions, oder warum Random Webseiten erlaubt sind.

Die Liste der Fragen wird mit jedem Schritt tiefer ins System länger.

Das ist ja nur der erste Schritt, nicht jeder Rechner in solchen Netzwerken ist oder kann komplett vernagelt werden, allein schon was Javascript angeht, um mal bei diesem Fall zu bleiben. Wenn man dann erst mal im Netzwerk ist werden dann andere Geschütze aufgefahren:
https://www.welivesecurity.com/2017/03/30/carbon-paper-peering-turlas-second-stage-backdoor/
Man arbeitet sich da Stück für Stück vor, und spätestens seit Stuxnet sollte klar sein dass auch selbst Rechner die über keine Netzwerkverbindung verfügen eventuell erreicht werden können.

Ich will eigentlich auch eher darauf hinaus dass es sehr optimistisch ist zu glauben gegen derartige Angriffe geschützt zu sein, wenn diese Leute eine Menge Geduld, Zeit und Ressourcen zur Verfügung haben. Das liegt nicht unbedingt daran dass man etwas falsch gemacht oder nachlässig in seinen Pflichten war. Das Ziel war in den Links ja https://de.wikipedia.org/wiki/RUAG , die haben immerhin eine eigene Cyber Security Sparte.

Das ist ja nur der erste Schritt, nicht jeder Rechner in solchen Netzwerken ist oder kann komplett vernagelt werden, allein schon was Javascript angeht, um mal bei diesem Fall zu bleiben. Wenn man dann erst mal im Netzwerk ist werden dann andere Geschütze aufgefahren

Ja, wenn man schon mal drauf ist, dann kann man ja im Endeffekt schalten und walten wie man will, auch eben wie hier, dass man eben eine Weile nicht auffällt. Aber die Frage "Warum ist JavaScript aktiv?" mit "kann man halt nicht immer deaktivieren" beantworten ist schon so ein Ding, wo man sich dann einfach mal bewegen muss.

Sony hat damals all seinen digitalen Zulieferern auch ein Sicherheitsprotokoll aufgedrückt, dass u.a. vorsah, dass man sämtliche IO-Ports wie USB komplett abriegeln muss. Und wie wurde Sony letztendlich übernommen? Über einen kompromittierten USB-Stick an einem ihrer eigenen PCs...

Wir müssen das ja nun auch nicht bis ins kleinste Detail ausführen, aber die Frage ist sehr oft "Warum war das überhaupt erlaubt?"... die Antworten darauf sind teils sehr unbefriedigend. Oft ist es Unwissen, oft ist es einfach nur Komfort, oft ist es aus Legacy-Gründen.

Wir haben Technologien wie Ausführungsregeln, Sandboxing, Virtuelle Maschinen, Container und pi pa po... was kommt davon zum Einsatz? Quasi... nichts?

oft ist es einfach nur Komfort
Nicht oft, immer.
Wenn ich jedes Datenpaket händisch quittiere, ob es nun aus dem bösen Internet kommt oder zum Fileserver geht, dann könnte man theoretisch nahezu 100prozentige Sicherheit garantieren für einen an's Internet angebundenen PC. Das ist natürlich Quatsch, weil nicht menschenmöglich. Also muss man das automatisieren. Was aber nun legaler oder illegaler Traffic ist, ob nun zum Email Client, dem Fileserver oder sonstige andere Dienste, müssen Firewall und/oder SIEM erstmal erkennen können.

Einfaches (wenn auch konstruiertes) Beispiel:
Frau Schmidt aus dem Einkauf muss auf eine im internen Netz verfügbare Excel Tabelle Zugriff haben, weil sie dort aktuelle Einkaufspreise einträgt. Sie benötigt für ihre Recherche Internetzugang und ist über einen Outlook Client per Email erreichbar.

Sicherheits- und netzwerktechnisch bedeutet das folgendes:
- Email: Grundsätzlich kommt erstmal alles rein. SPAM Filter fischen das Gröbste weg, *.zip, *.rar, *.docx und was weiß ich für Dateianhänge werden auch weggefiltert (und erzeugen einen Haufen Tickets, weil noch immer Firmen meinen, sie müssen ihren Inhalt in Worddateien packen ohne Email Body), übrig bleibt ein kleiner Teil, bei dem man auf die Aufmerksamkeit von Frau Schmidt hoffen muss.
- Dateizugriff: SMB, selten für Clients auch mal NFS. Zugriffsrechte sind trivial, aber wie oft bzw. wieviel darf sie lesen? Wann soll das SIEM System anschlagen und aktiv eingreifen? Bei 1, 10 oder 100 Zugriffen die Sekunde? Doch besser pro Bandbreite (1, 10 oder 100 kbit/s)?
- Webzugriff: DNS, HTTP, HTTPS. Der DNS- und Webfilter erlaubt Frau Schmidt natürlich nicht nach schwarzen, genoppten Dildos suchen. Einfach zu regeln, schon der DNS-Filter erlaubt ihrem Rechner bzw. dem DNS-Server keine Auflösung. Aber was wenn sie auf einer erlaubten Seite über eine verschlüsselte Verbindung auf eine infizierte Werbung klickt? Auch einfach, SSL Interception! WAS?! Schreit dabei der Betriebsrat, "das geht auf keinen Fall!". Und schon können munter Daten ausgetauscht werden, ohne das jemand weiß welche. Und selbst mit SSL Interception: Ein Zero-Day Exploit geht ey erstmal durch für ein paar Stunden bis die Systeme den Angriff kennen.

Schon bei Frau Schmidt's Aufgabe ist es schwierig, 100prozentige Sicherheit zu garantieren. Selbst wenn man dort noch händisch im Data Leak Prevention System eintragen könnte, welche Daten sie in's Internet versenden darf. Bei ihrem Abteilungsleiter, der sehr viel mehr Zugriffsrechte hat, wäre das schon nahezu unmöglich.

Sicherheit vs. Komfort. Niemand hat dafür derzeit eine Antwort.
"Es ist nicht die Frage ob, sondern wann man gehackt wird und ob man es überhaupt bemerkt".
Zitat: Jedes fucking Webinar zu dem Thema beginnt damit.

PS: Und ich kratze dabei gerade einmal an der Oberfläche was man alles machen könnte und sollte. Die Frage ist eben nur ob man die Ressourcen dafür hat. Selten stehen diese aber zur Verfügung auch nur die vorhandene Firewall richtig zu konfigurieren. Any/Any Regeln seh ich überall und tagtäglich.

Praktisch jedes System ist anfällig für sowas. Wie sollen Mitarbeiter auch sonst arbeiten wenn sie bzw. die genutzten Systeme keinen Zugriff auf Ressourcen haben?
Eine Schadsoftware, die schön leise Daten sammelt und ebenso vorsichtig über 443 nach Hause sendet, ist schwer zu entdecken. Sicherheit ist immer ein Kompromiss mit Nutzbarkeit und wenn Data Leak Prevention Systeme und Web Filter zu scharf sind, dann wird IT schnell zur Belastung. Daneben gibt es noch zig andere sicherheitsrelevante Technologien, bei denen der Grad zwischen nutzlos und nervig schmal ist. Wer hier arrogant den Finger hebt, hat keinerlei Ahnung wie komplex der Kram werden kann.
Und wenn die IT mal was tun will, zb. mit SSL Inspektion, dann schreien auch wieder alle und faseln was von Privatsphäre am Arbeitsplatz.

Ich will auch gar nicht beurteilen wie gut oder schlecht die IT-Sicherheit so mancher regierungseigener Netze ist, weil man das von außen sowieso nicht kann. Ein erfolgreicher, sehr komplexer Angriff auf ein vorbildlich gesichertes Netzwerk liest sich in der Bildzeitung immer scheiße. Hat der Chef sein Laptop im Starbucks vergessen und dummerweise seinen VPN Zugang drunter geklebt, wird auch von Hackerangriff gesprochen.


Ich werf da mal was ein,also das sind Regierungsnetze und dort sollen auch nur bestimmte Personen Zugang haben,also ein kleiner Kreis.Dann hätte man diesen Angrieff doch locker verhindern können wenn die Personen die einfache Anweisung bekommen hätten nicht jede Email sofort zu öffnen egal wie Vertrauenswürdig sie auch ist.

Ein Simples Beispiel ist wenn es eine Telefonliste gibt mit jeden Angestellten der Zugang zum System hat und wenn man nun eine Email von jemanden bekommt hat man die Anweisung diesen per Telefon zu Kontaktieren und in der Email auf keinen Link zu klicken oder Anhang zu öffnen ganz gleich welche dringlichkeit in der Email auch steht,bis die Person sich meldet und bestätigt das die Email von ihr ist.

Dazu sollte jeder Angestellte ein Telefon haben was einzig und allein für diesen Zweck dient,kein Smartphone sondern ein simples Handy wie wir sie früher hatten ohne Internet.

Es geht um Regierungssysteme und Geheimnisse und wenn in der Telefonliste 500 Leute stehen die Zugang haben,what ever früher gab Telefonbücher mit Name,Straße und Anschrift von uns allen öffentlich in jeder Telefonzelle für jedermann zugänglich und das waren mal ebend je nach größe der Stadt von 20.000 bis Berlin mit 3 Millionen.Von daher ist eine telefonliste mit 500 Mitarbeitern garnichts,nur fals jemand sagen will öööö eine Telefonliste mit 500 Mitarbeitern ist unmöglich zu verwalten.


https://www.heise.de/newsticker/meldung/Bundeshack-Chaos-Computer-Club-fordert-Ende-der-Flickschusterei-bei-IT-Sicherheit-3985046.html
Rieger sprach von einer "Flickschusterei". Wenn die fortgesetzt werde, stünde man in zehn Jahren immer noch ohne sichere Systeme da. "Die IT-Systeme sind derzeit wie eine Wasserleitung, bei der an unendlich vielen Stellen das Wasser rausspritzt. Und es wird viel darüber gestritten, ob man die Lecks mit blauem oder rotem Heftpflaster abdichtet. Wir benötigen aber eine neue Leitung."

Ich bin der Meinung das man wider auf alte Methoden zurückgreifen sollte wie das man Dokumente per Briefpost versendet und diese an einen offline Computer geöffnet werden zum beispiel,es gibt Expressversand heut zu Tage,meine Amazonbestellung ist am nächsten Tag schon da von daher ist dieses garnicht so Unrealistisch.

Sicherheit vs. Komfort. Niemand hat dafür derzeit eine Antwort.
"Es ist nicht die Frage ob, sondern wann man gehackt wird und ob man es überhaupt bemerkt".
Zitat: Jedes fucking Webinar zu dem Thema beginnt damit.

Sicherlich, ich rede auch nicht von 100% Sicherheit. Aber auch hier wieder kleinere Fragen:

- Warum sind "E-Mail Umgebung", "Browser-Umgebung" und "Arbeitsumgebung" ein einzelnes System? Warum nicht alle voneinander getrennt? VMs/Sandboxing/Container?

- Warum ist kein Ad-/JavaScript-Block aktiv? Es ist doch bekannt, dass Browser Einfallstor #1 sind. Überall. iPhones, Androids, Spielekonsolen... alle über Browser-Lücken gehackt... warum tut man bitte noch so, als wenn "regulär im Internet surfen" eine sichere Angelegenheit wäre? Dabei ist doch jeder Aufruf einer Webseite in etwa das Äquivalent vom Doppelklick auf eine Random-Exe Datei. Natürlich laufen aktuelle Browser in einer Sandbox, aber dass das nicht immer ausreicht, sieht man ja.

- Warum noch globale Dateifreigaben? Man könnte auch Systeme entwickeln wo der Anwender nach entsprechender Authentifizierung seine Datei bekommt und hinterher wieder einspielt. Oder komplett per Remote-Systemen. Da muss nicht das komplette OS und alle Anwendungen die "Frau Schmidt" auf ihrem PC hat Zugriff drauf haben. Sandboxing auf regulären Systemen ist doch ein Witz bisher.

Ist es nicht eher so, dass Sicherheit schwierig ist, weil die Systeme noch alle genau so aufgebaut sind wie vor 20 Jahren auch schon und niemand aktuell Interesse hat daran was zu ändern, weil "kann man doch nicht einfach so machen!!!"?

Die Antwort ist ja eigentlich ganz einfach: Weil es eben so organisch gewachsen ist. Wahrscheinlich sind das alles keine bewussten Entscheidungen. Vielleicht gab es sogar relativ strikte Richtlinien, aber vielleicht wurden die nicht eingehalten, umgesetzt oder aus irgendwelchen anderen Gründen vernachlässigt.

Dann hätte man diesen Angrieff doch locker verhindern können wenn die Personen die einfache Anweisung bekommen hätten nicht jede Email sofort zu öffnen egal wie Vertrauenswürdig sie auch ist.

Menschen machen Fehler. Anweisungen sind einfach gegeben, aber wenn man darauf vertraut, dass jemand über Jahre hinweg bloß nicht aus Versehen eine Nachricht anklickt, hat man im Grunde schon verloren.

Das sind so menschliche Heuristiken, die aber irgendwann auch fehlschlagen werden. Das ist ja nur eine Frage der Zeit. Bei wichtigen Daten würde ich eher davon ausgehen, dass die Systeme drum herum so designt sind, dass eben nicht eine einzige Person alles wie ein Kartenhaus zusammenbrechen lassen kann.

Dazu sollte jeder Angestellte ein Telefon haben was einzig und allein für diesen Zweck dient,kein Smartphone sondern ein simples Handy wie wir sie früher hatten ohne Internet.

Ein simples Handy basierend auf SS7, dessen Baseband von jeder Regierung dieses Planeten schon einmal gehackt wurde und dessen SIM-Karte ein beliebiger Provider in Moskau einfach klonen kann. Ja, damals war das Leben noch einfacher.

Es gibt keine einfache Lösung für solche Regierungsnetze. Man muss sehr wahrscheinlich den harten Weg gehen und alles knallhart durchplanen, die Risiken richtig einschätzen und dann Konsequenzen ziehen. Alle intuitiven Einschätzungen versagen da.

Es geht um Regierungssysteme und Geheimnisse und wenn in der Telefonliste 500 Leute stehen die Zugang haben,what ever früher gab Telefonbücher mit Name,Straße und Anschrift von uns allen öffentlich in jeder Telefonzelle für jedermann zugänglich und das waren mal ebend je nach größe der Stadt von 20.000 bis Berlin mit 3 Millionen.Von daher ist eine telefonliste mit 500 Mitarbeitern garnichts,nur fals jemand sagen will öööö eine Telefonliste mit 500 Mitarbeitern ist unmöglich zu verwalten.

Die nimmst da still an, dass das Mobilfunk- oder generell Telefonnetz sicher ist. Das Gegenteil ist der Fall. Unsere Telefonnetze sind älter als Public-Key-Kryptographie.

Ok dann mache ich mal folgendes Beispiel.

1. Russischer Hacker Schickt Email mit Absender eines Angestellten.
2. Mitarbeiter ruft den Absender (Angestellten) per Telefon an.
3. Russe Klont die Nummer.
4. Was will der den jetzt am Telefon sagen,auf Russisch oder Chinesisch ja die Email stammt von mir,spätestens hier währe Ende.

Regierungen sollten Offline Arbeiten mit Briefpost wie früher ohne Internet,hat doch auch funktioniert.Eigene Kurierdienste,im Supermarkt gibt es z.b für das Abholen und anliefern von Geld einen (Prodegour) Lieferservices der Bewaffnet ist und immer zu zweit.So sollte das die Regierung mit Dokumenten machen,einen eigenen Kurierdienst der nichts anderes macht als die Dokumente von A nach B zu bringen.

Regierungen sollten Offline Arbeiten mit Briefpost wie früher ohne Internet,hat doch auch funktioniert.

Vielleicht lebe ich auch in einem Paralleluniversum, aber wirklich geheime Daten wurden doch sogar im ersten Weltkrieg schon nicht mehr im Klartext verschickt: https://de.wikipedia.org/wiki/ABC-Chiffre

Wir haben da keinen harten Schnitt, ab dem das Internet und Technik die Regierungen überflutet haben und wodurch auf einmal alles unsicher geworden ist. Heute kann man Daten elektronisch über das Internet übertragen, aber auch über andere Übertragungsarten wurden geheime Daten nicht nur durch Kuriere gesichert. Und soweit ich das verstanden habe, sind die Dokumente mit hoher Geheimhaltungsstufe (oder wie auch immer das dort heißt) auch heute nicht einfach so in ein Netzwerk eingebunden.

Ich bin mir sicher, dass einige Politiker fest davon ausgehen, dass wir einfach nur historisch einen Schritt zurückmachen müssen und dann auf einmal ist wieder alles "sicher". So hat das nur leider noch nie funktioniert. Man kann nicht einfach mit Papier alle Sicherheitsprobleme lösen. Es gibt vielleicht Fälle, in denen das Sinn macht, weil man die Risiken besser versteht, aber so pauschal halte ich das für ziemlich gefährlich. Auch Papier ist kein von Haus aus sicheres Medium und hat seine ganz eigenen Probleme, wenn wir hier über staatlich gepolsterte Angriffe reden.

Praktisch alle erfolgreichen "Hacking-Angriffe" fangen heute mit social engineering an. Wir erleben das regelmäßig selbst: Man macht einen mehrtägigen Workshop für Mitarbeiter von Organisationen mit hohem Sicherheitsbedarf in dem ausführlich über alle möglichen Verhaltensweisen im Umgang mit IT gesprochen wird. Eine Woche später verliert man dann rein zufällig mal 25 USB Sticks auf dem Parkplatz. In aller Regel werden sich 15-20 dieser Sticks dann an den aufgesetzten Control-Servern melden. Bingo.

Der Angriff ging von der Hochschule des Bundes in Brühl in das Regierungsnetz und vom Hochschulrechner ins Auswärtige Amt ob der Angriff über einen USB Stick oder über Emails stattfand ist nicht bekannt.

https://www1.wdr.de/nachrichten/rheinland/hackerangriff-auf-bundesregierung-uber-hochschule-koeln-bruehl-100.html