Fragen? Antworten! Siehe auch: Alternativlos
Update: Aufmerksamen Hörern wird schnell auffallen, dass sie das tödliche Trio Windows - Outlook/Office - Active Directory nicht erwähnen. Wird von denen eher wie Sturmschäden behandelt.
Ich finde ja immer bemerkenswert, wie die Zuständigen in solchen Situationen immer optimistisch sind. Wir rufen jetzt hier ein paar Leute an und dann regelt sich das von alleine.
Update: Wobei, ist eigentlich nicht erstaunlich. Die gehen ja auch genau so mit Tool-Käufen um. Wir kaufen jetzt ein SIEM, dann kümmert sich jemand um die Logfiles!1!!
In Episode 2 gibt es nochmal ein schönes Money Quote. Externe Forensiker gucken sich die Logfiles an und finden darin, dass die Angreifer schon länger im System sind, und sich immer am Wochenende und nachts in Ruhe umgeguckt haben im System. Daraufhin der IT-Fuzzy so: Wieso haben wir denn das nicht gemerkt? Sein Kollege dazu: Wann hattest du denn das letzte Mal Zeit, dir Logdateien anzuschauen?
Tja, und so ist das dann halt. Keiner ist Schuld. Hätte man nichts machen können. Wir sind jedenfalls nicht schuld hier.
Update: Oh Mann. Das wird immer schlimmer. In Folge 2 bei 32 Minuten so: Jeder Mitarbeiter im Landkreis war auf seinem PC lokaler Administrator.
Update: Oh und die IT-Mitarbeiter waren auch alle Domain Admins. Mit ihrem normalen Account. Das ist ja unfassbar.
Update: Überlegt mal, wenn das bei DENEN so aussieht, wie das dann bei euren örtlichen Behörden aussehen wird. Die, denen ihr gesetzlich verpflichtend eure Meldedaten anvertrauen müsst.
Update: Die in Kapitel 2 genannte Dienstelister-Firma Suresecure hat einen Blogpost zu der Angelegenheit veröffentlicht.