Fragen? Antworten! Siehe auch: Alternativlos
Die Details sind interessant. Und zwar hat die Versicherung dann prüfen lassen, wie schlecht die Security war, und sie war branchentypisch GANZ furchtbar:
Von 21 Servern verfügten nach den Feststellungen des Sachverständigen nur 10 über die erforderlichen Sicherheitsupdates. Bei 11 Servern hatte man es folglich versäumt, die Software-Updates einzuspielen.Die Versicherung fand, dass das dann ja wohl eine klare Nummer war, dass die Firma fahrlässig die Sicherung ihrer Systeme unterlassen hat und sie daher nicht zahlen muss. Das Gericht fand aber:
Der Cyberangriff war jedoch bei insgesamt 16 der 21 Server erfolgreich und betraf Systeme mit allen Betriebssystemversionen, darunter auch die aktuelle Version Windows Server 2019.Die argumentieren also, dass auch ihre ordentlich gepatchten Systeme erfolgreich aufgemacht wurden, und daher der Patchstand ja wohl keine Rolle spielt.
Das ist Unsinn, wie man sich auch ganz leicht selbst überlegen kann. Server sind ja normalerweise nicht isolierte Einzelstücke, sondern hängen in einem Vertrauensverhältnis, bei Windows im Allgemeinen Active Directory, und dann gibt es gemeinsame Accounts mit demselben Passwort zwischen den Kisten.
Wenn der Angreifer jetzt also auf einen ungepatchten Rechner raufkommt, und die anderen Kisten mit dem in einem Vertrauensverhältnis stehen, in dem man wie im vorliegenden Fall Pass the Hash machen kann, dann spielt selbstverständlich sehr wohl der Patchstand eine Rolle. Pass the Hash benutzt man, nachdem man drin ist, um sich benachbarte Server anzugreifen. Wenn alle Rechner ordentlich gepatcht gewesen wären, wäre der Angreifer gar nicht in eine Position gelangt, um Pass the Hash anwenden zu können.
Aus meiner Sicht ist das daher ein Fehlurteil. Wenn die Firma auch nur einen Server nicht gepatcht hatte zum Zeitpunkt des Angriffs, dann sollte die Versicherung gar nichts zahlen müssen.