MSfree hat geschrieben: 15.07.2021 11:36:49
Ich wäre mit solchen Anschuldigungen sehr vorsichtig. Das, was ich in Verwaltungen bisher erlebt habe, war durchaus professionell, allerdings durch das Korsett an Verwaltungsvorschriften und Durchführungsverordnungen stark in der Agilität gehemmt.
Ich kenne genug verschiedene Berichte meines Bekannten um mir ein Urteil darüber zu erlauben, dass das Problem Inkompetenz ist, nicht fehlende "Agilität". Dafür sind die geschilderten Vorfälle nämlich zu vielfältig.
Viellicht könnte man dem IT-Typen Überlastung zugute schreiben, auch wenn ich aus den Beschreibungen nicht den Eindruck erhalte. Aber auch das wäre Inkompetenz, nur nicht zwangsläufig seine Eigene.
MSfree hat geschrieben: 15.07.2021 11:36:49
Ich bin mir sicher, dass es deutlich mehr solcher Attacken gibt als bekannt wird.
Da hat sich die Rechstlage geändert und es gibt eine Meldepflicht für solche Vorfälle.
Du setzt voraus, dass der Angegriffene überhaupt selbst den Angriff bemerkt. Schon das bezweifle ich.
MSfree hat geschrieben: 15.07.2021 11:36:49
Meldeämter dürfen Daten herausgeben, wenn du dem nicht explizit widersprichst. Das ist leider mal wieder ein Opt-Out Modell.
Und diesen Widerspruch kannst du bereits bei der Ummeldung geltend machen. Geholfen hat es mir nicht.
MSfree hat geschrieben: 15.07.2021 12:13:50
Im Nachhinein ist man immer schlauer. Natürlich hätte man das Netzwerk feiner granulieren können, z.B. ein Subnetz pro 4-10 Rechner, mit gerouteten Subnetzen und Firewalls dazwischen. Dann breitet sich die Schadsoftware zunächst halt nur über ein Subnetz aus. Wenn die Schadsoftware aber aggressiv genug ist, überwindet die auch diese Barrieren.
Rechner "zufällig" in Subnetze zu trennen ist der falsche Ansatz. Der richtige Anstz wäre, Rechner die Kontakt zum offenen Netz haben konsequent von solchen zu trennen, die mit sensiblen Daten arbeiten. Wenn Daten zwischen beiden Netzen ausgetauscht werden müssen, dann werden wirklich nur diese Daten und nur nach vorhergehender Prüfung übertragen.
Konkret: In der sensiblen IT muss nicht das PDF aus der Mail selbst ankommen, sondern die darin enthaltenen Daten, und nur diese Daten.
MSfree hat geschrieben: 15.07.2021 11:36:49
Man müsste von den Mitarbeitern echte [IT-Kompetenz] verlangen
[sic]
Das ist schlicht unrealistisch.
Dann muss man für Strukturen sorgen, in denen die Erwartung realistisch ist. Oder meinst du, weil es 1900 keine Führerscheine gab, wäre es 2021 immer noch ok, dass jeder Hanswurst einen 40-Tonner durch die Gegend fahren darf, weil es ja unrealistisch wäre zu erwarten, dafür eine Kompetenz nachzuweisen?
Das Internet in seiner heutigen Form gibt es im Grunde seit den 90er Jahren. Das ist eine ganze Generation und wir begnügen uns immer noch damit, es als "Neuland" zu betrachten. Das ist einfach weltfremd.
MSfree hat geschrieben: 15.07.2021 11:36:49
Du wirst kaum einen Mediziner in einem Gesundheitsamt finden, der qualifizierter IT-Kompetenz hat.
Ich darf doch aber erwarten, dass er lesen und schreiben kann und rudimentär die Grundrechenarten beherrscht. Ein gewisses Maß an IT-Kompetenz (z.B. nicht alles anklicken was nicht bei drei auf den Bäumen ist) ist heute ebenso eine grundlegende Kulturtechnik, ohne deren Beherrschung man für gewisse Berufe einfach nicht geeignet ist. Und das war auch vor 20 Jahren nicht prinzipiell anders, es ist nur das Ausmaß des Bedarfs zur Sorgfalt gewachsen.
MSfree hat geschrieben: 15.07.2021 11:36:49
Überall, wo sich Routine einschleicht, werden die Leute nachlässig. Auch der Berufskraftfahrer setzt nicht immer den Blinker, obwohl ihm das in der Fahrschule eingetrichtert wurde. Und zeig mir einen LKW-Fahrer, der 80km/h auf der AB fährt, deren (gesetztlich vorgeschriebene) Begrenzer erlauben in der Regel eine Überschreitung von 14km/h, was ein km/h weniger ist, als die Überschreitung, bei der es einen Punkt in Flensburg gibt.
Aber wer bei solchen Nachlässigkeiten erwischt wird, der wird dafür bestraft, damit sich das Fehlverhalten nicht einschleift. So zumindet die Idee.
Nun können wir gern über strengere Verkehrskontrollen diskutieren, aber der springende Punkt ist, dass es nichts Vergleichbares in der Verwaltungs-IT gibt. Das unbedachte Öffnen eines Dokuments aus unbekannter Quelle sollte meiner Ansicht nach im Wiederholungsfall ein Abmahnungsgrund sein.
MSfree hat geschrieben: 15.07.2021 11:36:49
Wenn ein Bürohengst hingegen mit einem Dokument aus ungeprüfter Quelle eine IT-Infrastruktur schrottet, wird ihm das jenseits eines "Dudu!" nicht zur Last gelegt.
Wenn du Vorsatz nachweisen kannst, hat das durchaus Konsequenzen.
Warum erst bei Vorsatz?
MSfree hat geschrieben: 15.07.2021 11:36:49
Vom Zugang zu sensiblen Daten habe ich nichts geschrieben. Es reicht doch schon aus, wenn die "normalen" Rechner geschrottet werden, um eine Behörde oder einen Betrieb arbeitsunfähig zu machen.
Wenn das Schrotten eines Rechners den Mitarbeiter arbeitsunfähig macht, dann war das ein Rechner mit sensiblen Daten. Sonst würde er einfach einen Ersatzrechner bekommen und spätestens nach einer Stunde Downtime weiterarbeiten.
MSfree hat geschrieben: 15.07.2021 11:36:49
Und warum das Anklicken ausreicht, um eine Welle auszulösen, muß der Softwarehersteller beantworten. Meiner Meinung nach werden die Hersteller viel zu wenig in die Verantwortung gegen solche Vorfälle genommen. Ein PKW-Hersteller muß seinen Produkte zurückrufen und Abhilfe schaffen. Ein Softwarehersteller schreibt in die EULA, daß er für nichts verantwortlich ist und kann sich so drücken.
Eben. Warum werden solche Zustände in der IT akzeptiert? Anbieter die so arbeiten, müssten schon in der Ausschreibung rausfliegen.
MSfree hat geschrieben: 15.07.2021 11:36:49
Falls ihm das zu viel Arbeit ist, weil er z.B. die Mail an 100 Mitarbeiter geschickt hat, dann ist die Mail der falsche Ort für das Dokument. Dann wäre das PDF besser aufgehoben in einem hauseigenen, als sicher annehmbaren CMS und die Mail enthält dann einen Link.
Und die hektisch ins Home-Office verbannten Arbeitnehmer erreichen dann diese CMS nicht, weil sie von aussen nicht an das System kommen.
Die für Homeoffice nötigen Strukturen kann man vorher aufbauen.* Bei uns hat es zu Beginn des ersten Lockdowns genau eine Woche etwas ǵeholpert, bis die bereits seit Jahrzehnten vorhandenen Strukturen auf die gestiegene Last angepasst waren. Voll arbeitsfähig waren wir jederzeit.
*) Sofern Homeoffice überhaupt eine Option für das Tätigkeitsfeld ist. Klar, kann der Maurer nicht im Homeoffice Wände hochziehen. Aber darum geht's hier ja nicht. Hier geht's um Sesselfurzer und Schreibtischpiloten, für deren Tätigkeit es prinzipiell egal ist, wo sie ihre vier Buchstaben hinpflanzen.