Fragen? Antworten! Siehe auch: Alternativlos
zu deinem Post über den 'Angriff' auf die TU und die Backup-Strategie: es gibt wohl Backups und die könnte man auch hochfahren. Will man aber nicht riskieren bevor man nicht den Weg der Angreiferin durch die Infrastruktur nachvollzogen hat. Diese Argumentation kommt so wohl von einem externen Beraterunternehmen, dass engagiert wurde. Finde ich jetzt nicht viel besser, aber hey: jedes System der Uni, das auf Unix lief, steht noch :DHmm. Na gut, dann gäbe es immerhin einen Grund für das Verhalten, auch wenn ich den wenig nachvollziehbar finde.
Erstens stellt sich die Frage, ob das dann tatsächlich nur eine Ransomware war. Diese Empfehlung ergibt nur Sinn, wenn es da auch menschliche Angreifer gab, die sich explorativ in der Infrastruktur bewegt haben. Das würde natürlich das Bedrohungsszenario ändern,
Ich weiß ja nicht, von was für Angreifern die da ausgehen (DIE CHINESEN!!1!), aber normalerweise installierst du alle Systeme neu, achtest diesmal darauf, dass die auf dem aktuellen Patchstand sind, dann spielst du die Backups der Daten ein, und dann sind die Angreifer erstmal draußen. Die Hauptbedrohung ist an der Stelle, dass die irgendwelche Hintertüren haben oder Passwörter ausgespäht. Daher installierst du alles neu und vergibst neue Passwörter.
Wenn du postulierst, dass die Angreifer über eine Sicherheitslücke reingekommen sind, die du nicht kennst, und für die es keinen Patch gibt, dann kannst du eh nie wieder irgendein System betreiben.
Aber gut. Die Berater dort kennen hoffentlich die Details, die ich nicht kenne, insofern will ich mal annehmen, dass es dann auch sachliche Gründe für diese Empfehlung gab und sich da nicht bloß jemand fiskalisch gesundstoßen wollte.
Update: Ein paar Details, wie es dazu gekommen ist, findet man im Heise-Forum.