- cross-posted to:
- linux@lemmy.ml
- cross-posted to:
- linux@lemmy.ml
Da steht man dann so mal wieder mal so als Nutzer anderer Betriebssysteme am Rand, schaut dem Spektakel zu und fragt sich wie seit 20 Jahren unentwegt: warum tun Menschen sich sowas freiwillig an.
Wobei zu Verteidigung erwähnt werden sollte, dass es kein Windows-Update ist, das die Probleme verursacht, sondern ein Drittanbieterprogramm, das PCs schützen soll.
Was die Frage für mich jetzt nicht weniger relevant macht.
Klar, aber ein entsprechendes Programm könnte auf einem Linux-PC auch einiges an Unfug treiben.
Man würde sich so etwas vermutlich nicht einrichten, weil spätestens auf Linux zum Vorschein kommt, dass das eh alles nur Schlangenöl ist.
Nur weil man privat mit Windows defender und einer basic Firewall auskommt, heißt das noch lange nicht, dass große Firmen das auch tun. Noch dazu hat Linux im Bereich Cybersecurity quasi keinen Unterschied zu Windows. Privat kann man sich den Antivirus sparen weil:
- die Nutzerbasis zu klein ist/war
- Linux Anwendungen normalerweise aus bekannten Repositories kommen
- die Nutzer sich mit Technik auskennen und selbst als Antivirus fungieren
Als größere Firma (vor allem Banken und kritische Infrastruktur) muss man permanent mit Angriffen von außen und innen rechnen. Ne einfache Firewall hilft dir da nicht mal gegen nen basic DDoS Angriff.
Klar kann man viel abdecken durch einfache Mittel wie gut gemanagte Zugriffrechte und das Sperren von USB ports, aber das schützt halt hauptsächlich vor der Dummheit/Unwissenheit der eigenen Mitarbeiter.
Das soll auch nicht heißen, dass alles in so einem Software Packet relevant ist, da ist sicherlich auch viel unnützer Müll dabei. Aber ganz ohne IPSec Tools kommt man nicht weit.
Dazu kommt ja auch noch, dass CrowdStrike security as a service anbietet. Da sitzt dann, zumindest theoretisch, 24/7 jemand und überwacht die Infrastruktur und reagiert auf potentielle Angriffe und isoliert betroffene Systeme usw. Das kann schon attraktiv sein, wenn man intern nicht die Ressourcen hat das zu leisten.
Da ich nicht weiß, was die Software genau tun soll, kann und will ich da nicht widersprechen.
Ja, aber es ist halt auch ein Drittanbieterprogramm, das man angeblich braucht, um Windows sicher zu kriegen. Klar, crowdstrike hat auch schon mal Linux gekillt, aber da laufen die wichtigen maschinen halt zumindest nicht alle mit crowdstrike.
Ich sehe auch einige Entscheidungen, gerade bezüglich Microsoft, die bei uns getroffen werden sehr kritisch. Ich bin aber auch kein Entscheider und kann mich so entspannt zurücklehnen und ihnen hinterher zurufen “Ich hab’s euch ja gesagt.”
Das dachte ich mir gerade auch, als ich hier im Laden stand und eine händische Quittung ausgestellt bekam aus dem gleichen Grund.
Aber es formiert sich gerade eine Gegenbewegung, das weiß ich auch aus Forschungskreisen. Finde ich ganz phantastisch und hoffe, dass wir bald wieder IT im Keller und nicht im Arsch haben.
Weil nicht jede Firma auf Linux umsteigen und nicht jede IT Abteilung in Eigenregie Cybersecurity umsetzen kann?
Und wenn sie es doch tun sind sie bei Fehlern selbst Schuld. Das wollen die meisten nicht. Stattdessen werden Lösungen von Spezialisten eingekauft, damit bei Problemen jemand zur Hand ist. … oder den man zur Not auch auf Schadensersatz verklagen kann.
Respektive das Problem wird in die magische Cloud verlagert, wo diese Problematik selbstverständlich nicht auftreten kann. Nein, ernsthaft, es sind die gleichen Probleme, nur teurer und intransparenter. Eine Firma, die mit Daten arbeitet, sollte sich auch dieser Verantwortung gewahr sein, so, wie man als Spediteur auch (hoffentlich) nur Fahrer mit Führerschein einstellt.
Afaik ist Cloud ist hier nur ein Synonym dafür, dass es nicht on-premise gehostet wird. Und das eine solche spezialisierte Lösung für nicht IT affine Kunden (zB die Spedition die nur ihr Backend absichern will) schlechter sein soll als was auch immer sie selbst auf die Beine stellen könnten… ist klar.
Ohne dir zu nahe treten zu wollen, kann es sein, dass du dich nur über Windows (-Nutzer) echauffieren und besser fühlen willst?
Oh. Nein, das war nicht meine Intention, tut mir leid, wenn dieser Eindruck enstanden ist.
Wir könnten hier auch über andere Hyperscaler und wichtige Player sprechen, das muss nicht Microsoft sein, kann auch Google oder AWS betreffen.
Mein Punkt, den ich (leider eben zu kurz gefasst) machen wollte, ist: Im Moment erlebe ich im beruflichen Umfeld, dass viele dieser genutzten Dienste kostenmäßig ad absurdum ausufern. Bei einem unserer Kunden möchte Adobe beispielsweise die Cloudmigration erzwingen - zu einem Spottpreis des zehnfachen der aktuell on premise genutzten Lösung. Ein anderer hat gerade eine Kostenanalyse machen lassen mit dem Ergebnis, dass sie 30.000€ jeden Monat nur für die Infrastruktur auf den Tisch legen. Das sind natürlich große Projekte, keine Frage, aber beide stellen sich gerade die Frage: wieso machen wir das eigentlich nicht selbst, wenn es eh teurer ist und dazu gar keine echte Gewährleistung verantwortungsvoller Datenhaltung oder guten Betriebs gibt? (“Selbst machen” schließt hier externe Dienstleistung ein, solange diese individuell ist und eine direkte und transparente Zusammenarbeit besteht)
Der Ausfall heute betrifft soweit mir bekannt ist O365 und er hatte massive Auswirkungen, wie uns bekannt ist. Klar ist das Risiko on prem auch da, aber wenn man diese Kompetenz aus dem Haus gibt, ist man eben solchen Dingen teils hilflos ausgeliefert.
Das hat mit Windows auch gar nicht so viel zu tun für mich, da ist mir egal, was man nutzt. Ich habe übrigens auch gar nicht von Linux geredet (aus diesem Grunde), sondern von “anderen Betriebssystemen”. OS-Agenda-Pushing muss ich persönlich da nicht betreiben, aber die Mahnung: “überlegt euch gut, wohin ihr die Verantwortung abgebt” ist finde ich ein brandaktuelles Thema und vielfach unterschätztes Risiko.
Da stimme ich dir in allen Punkten zu.
Das Kosten ad absurdum gehen ist natürlich by design. Erst ködern, dann kommen die ganzen easy-to-use extras die man noch so mitnehmen kann und alle für sich nicht viel kosten, und ganz plötzlich ist man so tief im lock-in Effekt, dass man das Licht vor lauter Rechnungen nicht mehr sieht.
Ich bin aber nicht überzeugt, dass jedes Unternehmen (oder auch nur die meisten) günstiger weg kommen wenn sie Cybersecurity selbst stemmen sollten oder wollten. Zu komplex, zu schnellebig. Natürlich sind die jetzt gefi****, aber viele wären vermutlich noch viel eher dran gewesen wenn sie sich selbst drum gekümmert hätten. Meiner Meinung nach.
Du hast da einen Punkt. Ich bin vielleicht zu viel mit den Großen unterwegs, sicher wird es nicht für alle attraktiv sein, selbst zu hosten (obwohl ich immernoch glaube, dass es besser wäre).
Allerdings könnte der Mittelweg so aussehen, dass man zwar on prem geht, sich für die eskalativen Momente aber externe Hilfe holt, die dann aber eben nicht von Microsoft oder Amazon ist, sondern eben von einem nahbaren Dienstleister. Im Grunde wird das ja derzeit auch so gemacht. Wenn man auf AWS oder Azure will, macht das kaum eine Firma selber, die holen sich dann auch irgendwelche Integratoren, bezahlen also quasi dann gleich doppelt.
Du bist IT-Admin in einem Unternehmen mit 30 Mitarbeitern. Das Unternehmen nutzt ein Dutzend verschiedene IT-Tools, die auch noch Schnittstellen zu Kunden und Lieferanten haben müssen.
Option A: Du hostest alles selber, musst für jedes Tool die Umgebung einrichten, musst für alles gucken, was so passiert, auf dem Laufendem bleiben wegen Sicherheitslücken, Updates, etc. Du musst dich in 5 Programmiersprachen auskennen, und mehrere Tausend Seiten Dokumentation verinnerlicht haben. Du arbeitest 40 Stunden am Tag und bekommst 8 bezahlt.
Option B: Das Ganze wird ausgelagert. Neben den Serviceverträgen und der Überwachung der Server musst du eine Firewall konfigurieren und ein paar Zertifikate und Schlüssel managen. Du arbeitest 8 Stunden am Tag und bekommst 8 bezahlt
Option C: Du überredest deinen Chef, dass er zu den 29 nicht IT-lern einfach noch 5 IT-ler einstellt, damit ihr Option A im Rahmen des Arbeitszeitgesetzes umsetzen könnt. Haha.
Option C ist das, wofür ich hier werben möchte. Überreden ist aber nicht das richtige Wort, sondern überzeugen. Und das kann man mit Zahlen machen. Wenn die 5 IT-ler günstiger sind als die Gebühren für eine externe Cloudlösung, dann wird dein Chef, wenn er nicht gerade mit dem Clouddienstleister Golf spielen geht, keine sachlichen Gründe sehen, dieses Szenario nicht zumindest mal anzuschauen und ggf. zu evaluieren. Das wäre nicht das erste Mal, dass ich sowas erlebe und im Augenblick erlebe ich das sogar viel mehr als noch vor einigen Jahren.
Es gibt sicherlich Unternehmen, wo “Cloud” die Kosten eher getrieben hat, und nicht sinnvoll war. Gerade in kleinen und mittleren Firmen wirst du aber einfach nicht die Skaleneffekte erreichen können. Einfaches Beispiel Kapazitäten. Wenn du z.B. Fluidsimulationen oder machinelles Lernen zur Datenauswertung von deinen Produktionsdaten machst, brauchst du entsprechende Kapazitäten. Aber wenn du das nur einmal die Woche machst, lohnt es sich nicht, dir die Leistung selbst zu kaufen.
Klar, bei Cloud gibt es das Risiko, dass man sich keine Gedanken um effizienten Einsatz mehr macht, weil man ja einfach immer Rechenleistung dazuholen kann und ähnliche Probleme. Dennoch ist es gerade aus IT Sicherheitssicht sinnvoller, dezidierte Cloudlösungen zu haben, statt Kraut und Rüben selber zu Hosten.
Ich sitze mit Cocktail und Strohhut im Liegestuhl am Zaun und genieße die Show.
Was ist Crowdstrike? Klingt nicht nach einer 08/15 Komponente die jeder installiert hat oder so
Ist eine Cloud Security Lösung die von vielen großen Unternehmen verwendet wird. Und da rollt sich das Problem jetzt wie ein Buschbrand aus. Auf jeden Fall ist der Rechner dann vor Viren sicher, wenn er nicht läuft.
Cloud Security
Ah schön, ein Oxymoron.
Naja, man könnte es auch altmodisch als Antimalware Programm bezeichnen.
Zumindest der Name war heute mal Programm.
Höre auch das erste mal von diesem Produkt und dieser Firma. Der Artikel den ich dazu zuerst sah war so formuliert als ob das ein sehr gängiges Produkt für jeden Windows PC wäre, was mich nur noch mehr verwirrt hat.
Bin gespannt auf die Analyse woran es wirklich gelegen hat. Haben die einfach auf allen Systemen weltweit gleichzeitig ein Update eingespielt? Wenn das deren Prozedere ist, dann musste sowas ja früher oder später passieren und würde ich fast als Vorsatz einstufen. In der IT rollt man einfach nicht etwas überall gleichzeitig aus. Zuerst die Testumgebung natürlich und dann nach und nach die Produktionsumgebung. Das wurde mir in der Ausbildung erstes Lehrjahr schon eingetrichtert…
Aktuell sind unter anderem, Berliner Flughafen und ein Krankenhaus in Solingen betroffen.
Ich bin gerade richtig schockiert. Haben die kein QA, keine Test Gruppe usw?
Alle Firmen haben eine Testumgebung. Manche haben sogar eine Produktionsumgebung.
Würde mehr Geld kosten.
Das ist wirklich die große Frage. Der Fehler scheint ja nicht auf irgendwelchen ungewöhnlichen Systemen mit Sonderfällen aufzutreten so der beinahe überall. Da müssen doch die Test-Systeme gemeckert haben?
Da das Problem im Zusammenhang mit einem Windows Update auftrat, wäre mein erster Verdacht, dass die Testsysteme nicht auf den aktuellen Stand gepatcht waren.
Bei uns läuft wieder alles, nur noch ein paar Remote-Kollegen zum abtelefonieren.
Anderen geht’s schlimmer. Es haben wohl einige Firmen ihre BitLocker RecoveryCodes auf Windowsgeräten liegen. Das ist dann mehr zu tun als Turnschuhadmin und jedes gerät zweimal neu starten und 'ne Datei löschen.
Finde nur ich diese Formulierung der Tagesschau hochgradig seltsam?
“Das Problem sei “identifiziert, isoliert” und “wird behoben””, teilte das US-Unternehmen inzwischen mit. Crowdstrike arbeite aktuell mit betroffenen Kunden daran, erklärte Unternehmenschef George Kurtz in den Onlinediensten X und Linkedin. Demnach liegt der Fehler in einem Update für Anwendungen des Microsoft-Programms Windows.
Meine Füße tun weh. Aber hey, viele von den Kollegen, die jetzt ins HQ strömen, hab ich seit Jahren nicht gesehen. 🙃
Aus den AGB von Crowdstrike:
„DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE.“
Ich frage mich, ob es jetzt irgendwas an den Plänen Deutschlands, der EU oder anderer Staaten und Unternehmen ändert, die sich weitgehend auf Microsoft oder Cloud-Lösungen anderer Anbieter verlassen?
Deutschlands Bundeskanzler Scholz dazu laut Marketscreener:
“Es wird von den Sicherheitsinstitutionen Deutschlands in enger Abstimmung mit denen vieler anderer Länder der Welt dazu etwas gesagt werden”, sagte Scholz […]. “Da kann man auch beruhigt drauf warten.” Er selbst habe derzeit “nichts Aktuelles” zu den Problemen zu sagen.