M> BSI schickt gerade wieder ein Update: [CSW_orange][TLP:CLEAR][UPDATE] 2024-205101-1432: Zero-Day Schwachstellen bei Cyber-Angriffen auf verschiedene Ivanti-Produkte genutzt [ Z1 NICHT VERSCHLÜSSELT ] [ Z1 SIGNATUR GÜLTIG ]
K> An der Stelle, wo jemand ins Image geguckt und die SBOM of Shame veröffentlichte, hätte jeder das mit Fackeln und Mistforken ausser Betrieb nehmen müssen. Dieser Grad an Verantwortungslosigkeit ist unverständlich. DasBSI müßte dort mit Blaulicht vorfahren.
"During multiple incident response engagements associated with this activity, CISA identified that Ivanti’s internal and previous external ICT failed to detect compromise."
Nicht nur ist Ivanti nicht in der Lage, das Netz zu schützen, wie es seine Aufgabe wäre. Die Appliance kann sich auch nicht selbst schützen oder Kompromittierung erkennen.
@isotopp „The company became more widely known after several major security incidents related to the VPN hardware it sells.“ Wikipedia manchmal so trocken treffend
Das hier https://chaos.social/@isotopp/111900752780105936 ist keine VPN Hardware oder Security Appliance, sondern ein Betrugsversuch gepaart mit einem aktiven Angriff (sei er fahrlässig und inkompetent oder aus niederen Motiven, das ist dahingestellt, es beeinflußt den Outcome nicht).
Dies ist Security Software, die als Teil einer Verteidigungsstrategie eingesetzt wird, zum Teil um kritische Infrastrukur sicher zu betreiben und zum Beispiel gegen Ransomware zu sichern.
Firmen wie Ivanti paketieren solche Komponenten als Teil dieser Software, verheimlichen den Inhalt aktiv durch Verschlüsselung der Images und riskieren damit den sicheren Betrieb von Krankenhäusern, Behörden und anderer lebenswichtiger Infrastruktur.
Ihre Kunden sind nicht kompetent genug, um diesen Betrug zu detektieren, die Qualität der gekauften Lösungen eigenständig korrekt beurteilten zu können oder zwischen auf dem Papier gleichwertigen Lösungen korrekte Auswahl zu treffen, weil sie nicht wissen, worauf sie gucken müssen, wenn sie diese Dinge aus der Nähe sehen.
Und darum geraten Menschen ins Elend, müssen Behandlungen abbrechen oder bekommen ihnen zustehende Leistungen nicht ausgezahlt.
@isotopp Weiß ich doch auch, die Frage ist nur, wie kommen wir aus der Misere raus.
Das ist halt alles so ein verheddertes Zeugs in diesen Infrastrukturen, dass es leider ewig braucht, das von innen heraus schrittweise abzusichern oder zumindest immer weiter zu kapseln.
Eine offizielle Ächtungsliste von Security-Snake-Oil wäre aber halt vielleicht ein Anfang. Würde da sogar dazu contributen ;)
@isotopp Und: Hilfestellungen zum Vergaberecht. Leuten Kriterien nennen, wie sie Produkte mit einer schlechten Security Historie weniger gut gewichten können, auch wenns billiger ist vielleicht
Musterlösungen auf Bundesebene bereitstellen, die leichter zu zertifizieren sind, würde auch helfen und Vereinheitlichung fördern. Die Musterlösungen müßten dabei auch den Grundsâtzen souveränder Datenverarbeitung genügen.
@isotopp@bkastl
Musterlösungen auf Bundesebene wüsche ich mir in meinme Job auch jeden zweiten Tag. Aber dann kommt zum einen der Föderalismus dazwischen ("Schule ist in der Verantwortung der Länder") oder die Ferengei mit "Aber der Markt regelt das doch viel besser!!!111".
Bzw: Die Lösungen gibt es für viele Bereiche, aber die kennt halt keiner, weil sie nicht entsprechend publiziert werden, sondern im Schrank hängen.
Diese Sorte von Föderalismus ist vollkommen falsch verstanden.
Nichts hindert den Bund und die Länder daran, regional unterschiedliche und autonom kuratierte Inhalte auf einer einheitlichen Plattform einzusetzen. Niemand verliert was, alle gewinnen.
@isotopp "Ich denke, dass neben den Unternehmen selbst der Staat gefordert ist, die Hoheit zurückzugewinnen und die Cyber-Abwehr erheblich aufzurüsten.", Dieter Müller, Motel 1
In meinen Gedanken liegen die Verantwortlichkeiten anders verteilt.
Ich denke, daß Unternehmen dafür verantwortlich sind, ihre Geschäftsprozesse zu organisieren, daß sie als Organisation Zugang zu ihrer Metaebene haben, also verstehen, warum sie was wann wie tun. Die IT ist eine Umsetzung dieser Prozesse in Software, und es braucht Grundsätze ordnungsgemäßer Datenverarbeitung, die erzwingen, daß Unternehmen ihre Prozesse in IT sauber und nachvollziehbar und updatebar umsetzen. …
Aufgabe des Staates ist es, ein umfassendes Regime von Audits und Kontrollen zu schaffen und Mindeststandards zu schaffen, deren Unterschreitung ein kriminelles Vergehen ist, für das die Geschäftsleitung nicht versicherbar persönlich haftbar ist.
Aber ich bin mir sicher, das hat Müller nicht gemeint.
Add comment