Fragen? Antworten! Siehe auch: Alternativlos
Die schlechte Nachricht: Nicht die Behörden tun das, es ist eine Ransomware.
Nee, pass uff, Atze, wir müssen hier nicht in ordentliche IT investieren. Wir machen einfach Windows + Active Directory + Outlook, und wenn wir dann gehackt werden, dann sagen wir, es waren fiese Angreifer:
Unbekannte verschlüsseln interne DatenAußerdem sind ja nicht wir Schuld, sondern der Dienstleister!!1!
Ersten Erkenntnissen zufolge ist der zuständige IT-Dienstleister KSM "Opfer einer Schadsoftware geworden", wie Sternberg sagte.Dann faseln wir noch was von krimineller Energie und rufen die Polizei, um von unserem eigenen Totalversagen abzulenken.
Die Kriminalpolizei Schwerin hat mit Ermittlungen begonnen.Oh und solange keine Beweise vorliegen, behaupten wir einfach, es sei nichts weiter passiert.
Man gehe davon aus, dass zwar die eigenen Daten verschlüsselt worden seien, nicht aber an externe Stellen weitergegeben wurden. Lösegeldforderungen gebe es bislang nicht.Hauptsache wir gehen der Frage aus dem Weg, wieso uns jemand Ransomware aufspielen konnte. Das wäre peinlich, wenn uns das jemand fragen würde. Ein Glück ist auf die Medien Verlass, die springen lieber auf das Angreifer-Narrativ auf als die relevanten Fragen zu stellen.
Gehen Sie weiter! Gibt nichts zu sehen hier!
Für einen Lacher empfehle ich die Homepage des zuständigen IT-Dienstleisters. Ich zitiere mal:
Ich bin mal gespannt, ob jemand die fragt, was "angelehnt" an der Stelle bedeuten soll.
- Unterstützung bei dem Aufbau eines Informationssicherheitsmanagements (ISMS)
- Erstellung von Sicherheitskonzepten (angelehnt an BSI-Standard 100-2) und Umsetzung der Sicherheitskonzepte
Oh na ein Glück. Die kennen sich mit Notfällen aus! Dann haben sie ja sicher ein ordentliches Backup und in zwei Stunden ist alles wieder online!
- Unterstützung bei der Auswahl von Maßnahmen dem jeweiligen Schutzbedarf entsprechend
- Durchführen von Risikoanalysen und Business Impact Analysen (BIA)
- Erstellen von Notfallvorsorge-Konzepten und Notfallhandbüchern
So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der "IT-Security" in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen "Informationssicherheitsmanagement". Nee, klar.
- Beratungsleistungen zur Umsetzung der Anforderungen gemäß Bundes- und Landesdatenschutzgesetze
- Datenschutzrevision von Verfahren, Anwendungen und IT-Systemen
- Durchführung von Schulungs- und Sensibilisierungsmaßnahmen im Bereich Informationssicherheit und Datenschutz
Lass es mich mal so formulieren: Wenn die tatsächlich Notfallvorsorge-Konzepte gehabt hätten, wären wir jetzt nicht in dieser Situation. Dann hätte niemand mitgekriegt, dass da was verschlüsselt wurde.
Das ist auf allen Ebenen so. Auch bei der Softwareentwicklung denkt man lieber nicht über strukturelle Sicherheit und solide Fundamente und robuste Strukturen nach, sondern man klöppelt halt irgendwelchen Frameworkscheiß zusammen und dann sprenkelt man ein bisschen "Sensibilisierungsmaßnahmen" und "Informationssicherheitsmanagement" darüber, wirft ein paar Code-Analyse-Tools drüber, am besten in der Cloud, und dann schmeißt man die ganzen Warnungen weg, weil so viel davon False Positives sind. Oh warte, ich vergaß: Dann lässt man einen Fuzzer laufen.
Dann wird man gehackt und erklärt: Aber wir haben doch alles getan!!1!
Ich persönlich bin ja schon begeistert über den ersten Satz auf der Webseite von diesem IT-Dienstleister:
Die KSM AöR tritt für einen geeigneten, annehmbaren und technisch realisierbaren Datenschutz ein.HAHAHAHAHA! Da weißte doch direkt, was die meinen. Nee, das ist technisch nicht realisierbar. Was sagen Sie, andere haben das aber realisiert gekriegt? Nee, das geht gar nicht. Glauben Sie uns, wir wissen, was wir tun!