Fragen? Antworten! Siehe auch: Alternativlos
Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird […] angeraten", heißt es im forensischen Bericht zum Emotet-Befall.Ich möchte an dieser Stelle darauf hinweisen, dass das nicht an Emotet liegt. Wenn eine IT von Emotet befallen werden kann, dann war sie schon vorher ein Totalschaden.
Oh und noch ein Hinweis sei erlaubt: Die haben Schlangenöl von McAfee am Start gehabt. Warte mal, war die Existenzberechtigung von Schlangenöl nicht, dass es gegen Malwarebefall hilft? Hätte uns doch nur jemand gewarnt!!1!
Dazu zählt das Versagen der Endpoint Protection Lösung von McAfee, fehlende Filter und Netzwerksegmentierung, lokale Administratoren und mangelnde Log-Dateien.Na? Erkennt sich jemand wieder?
Filter und Netzwerksegmentierung sind nett, aber verhindern natürlich einen Malwarebefall nicht. Das ist eine Nebelkerze. Und Logdateien hätten auch nicht geholfen, denn die Eindringlinge haben erstmal das Windows Event Log geputzt. Da waren also Logs. Sie waren nur leer.
Das eigentliche Problem ist ein anderes. Windows. Outlook. Active Directory. Das ist die tödliche Kombination. Das Kammergericht hat nochmal obendrauf auf voller Front versagt, indem sie lokale Admins zugelassen haben. Das würde ich unter Windows außerhalb von Development-VMs und anderen Testumgebungen als grobe Fahrlässigkeit einordnen, wenn mich jemand fragen würde.
Mich hätte noch deren Patchmanagement interessiert, auch wenn das für den Emotet-Befall vermutlich den Kohl nicht fett gemacht hätte.
Oh und ich hätte gerne gewusst, ob das für irgendeinen der IT-Zuständigen jetzt Konsequenzen hat. Wenn sie das nicht komplett outgesourced haben, und dann *schulterzuck* kann man ja eh nichts machen.