Euer Computer

[jimih1981]

Nehmen wir an Crowdstrike hat es vorher getestet. Jetzt haben aber nicht alle Unternehmen die gleiche Windowsversion. Und natürlich kann man nicht davon ausgehn das alle das vorher nochmal bei sich testen. Die gehn einfach davon aus das es läuft. Du schilderst den Idealfall. Man hat auch nicht bei jedem Unternehmen ein riesen IT Team und ein Management das Geld für ne Testumgebung ausgeben will. Das spielt vieles zusammen, weil Menschen eben nicht perfekt sind und es oft von verschiedenen Faktoren anhängt.

[mithardemb]

Unter den betroffenen Unternehmen befinden sich Kliniken, Fluglinien, Banken, Versicherungen, Telekommunikationsunternehmen, ... Also was das man kritische Infrastruktur nennt.

Ich denke schon, dass die sich den "Luxus" von Tests z.B. bei Windows Patches leisten und ich bin mir sehr sicher, dass die auch ein eigenes IT Team haben.

Ich kenne weder das System, noch das Problem, damit ich das einschätzen könnte. Evtl. tritt es nur bei speziellen Hardware Komponenten auf. Ich bin mir aber sehr sicher, dass man sich schon recht bald mit der Frage beschäftigen wird, wie man das Szenario in Zukunft von Kundenseite her vermeiden kann - auch dann wenn der Softwarehersteller natürlich testet was er ausliefert.

[jimih1981]

Vermuten ist nicht wissen. Meine Erfahrung und die von einigen Kollegen bei anderen Unternehmen als bei dem wo ich jetzt bin, ist ne andere. Gerade wenn es um die IT geht wird gerne möglichst wenig Geld ausgegeben. Es muss oft erst was passieren dass das Management sich bewegt. Man hat ganz selten Vorgesetzte die sich ausreichend mit IT auskennen. IT bringt kein Geld es kostet nur Geld.

[mithardemb]

Ich vermute nicht nur, sondern ich weiß, dass Unternehmen der kritischen Infrastruktur sehr viele Pflichten hinsichtlich Sicherheit haben und damit zwingend eine IT brauchen.

Nur eine Vermutung von mir ist, dass du nicht bei einem solchen Unternehmen beschäftigt bist.

[Glücksball]

Compliance-Theater. Wenn man Security-Updates (und als solche gelten Updates von CS Falcon) nicht automatisch sofort einspielt, muss man sich im Audit immer schwer rechtfertigen.

Der einfache Weg ist, diese Updates ungetestet ins komplette System zu lassen. Und tatsächlich gibt es ja auch genug Fälle, in denen Firmen von Malware betroffen sind, weil sie noch nicht die aktuellsten Patches der Security-Software eingespielt haben. Man hat es also wirklich schwer, für eine Verzögerung und eigene Tests zu plädieren.

[mithardemb]

Dann gibt es allerdings auch keine Chance mehr eine Malware zu entdecken die es in den Code des Softwareherstellers geschafft hat. Das kommt ja leider in letzter Zeit auch vor.

[Glücksball]

Zitat:

Zitat von mithardemb

Dann gibt es allerdings auch keine Chance mehr eine Malware zu entdecken die es in den Code des Softwareherstellers geschafft hat. Das kommt ja leider in letzter Zeit auch vor.

Was stört das den Compliance-Checklistenabhaker?

Wenn die Firma dann Opfer von Malware wird, dann hat man ja alles getan, siehe Audit, siehe Checkliste!

[Jolien]

Schönes Thema!

ich habe 2 Laptops hier nebeneinander auf dem Schreibtisch stehen, den alten Lenovo von 2015 und den neuen Asus von 2023. Mit der Idee, dass falls mal ein Ersatzteil ausgetauscht werden muss, dass ich einen solchen mit meinem Trolley zum nahegelegenen Elektronikmarkt bringen könnte.

Dafür sind Laptops zwar teurer. Ich sitze fast den ganzen Tag am PC bis in den Abend, viele meiner Hobbies spielen sich unter anderem im Internet ab.

Jolien

[jimih1981]

Zitat:

Zitat von mithardemb

Ich vermute nicht nur, sondern ich weiß, dass Unternehmen der kritischen Infrastruktur sehr viele Pflichten hinsichtlich Sicherheit haben und damit zwingend eine IT brauchen.

Nur eine Vermutung von mir ist, dass du nicht bei einem solchen Unternehmen beschäftigt bist.

Teilweise war. Momentan kann ich mich nicht beschweren. Die Realität ist oft ne andere. Gerade auch bei Banken einer meiner Ausbilder hat Mal nen Penetrationtest gemacht absolute Katastrophe...Ist aber schon ca. 15 Jahre her...

[mithardemb]

2009 sah die IT Welt noch ein wenig anders aus. Sowohl vom Bedrohungsscenario, als auch von der gesetzlichen Vorschriften und natürlich auch dem Datenschutz.

Auch das Bewusstsein für die Bedeutung von IT Sicherheit ist gewachsen, weil die Einschläge näher kommen, falls es einen noch nicht persönlich getroffen hat.