Windows 11 Desktop wandert in die Cloud

[uname]

Wie ich auf Heise hier lesen musste, will Microsoft nun wohl Windows 11 auch als Desktop-Anwendung in der Cloud anbieten.

Wer nun glaubt, dass sich damit in 2021 der Linux-Desktop endlich durchsetzt, wird wohl bitter enttäutscht. So gibt es laut hier erst mal nur Clients für Android, iOS, Windows sowie macOS.

Leider muss ich immer mehr feststellen, dass die IT-Unfähigkeit der Anwender und Firmen immer weiter gefördert wird. Bald wird niemand mehr ein System installieren, konfigurieren geschweige denn reparieren können. Aber alle halten sich für IT-Profis. Schade.

[GregorS]

... Windows 11 ...

Sollte nicht Windows 10 das letzte Windows sein, dass es geben würde?

Gruß

Gregor

[Tintom]

Leider muss ich immer mehr feststellen, dass die IT-Unfähigkeit der Anwender und Firmen immer weiter gefördert wird. Bald wird niemand mehr ein System installieren, konfigurieren geschweige denn reparieren können. Aber alle halten sich für IT-Profis. Schade.

Das kann heute schon kaum einer der selbsternannten Profis. Aktuelles Beispiel: Ransomwarebefall des Kreises Anhalt-Bitterfeld (Hervorhebungen von mir):

Die Kreisverwaltung Anhalt-Bitterfeld versucht nach dem Hackerangriff in der vergangenen Woche wieder handlungsfähig zu werden. Der neue Landrat Andy Grabner (CDU) sagte MDR SACHSEN-ANHALT am Dienstag, ein Team aus 50 bis 100 Mitarbeitern werde zusammengestellt und mit neuen Computern ausgestattet.

Auf diesen sollten dann Notprogramme installiert werden, damit die angestaute Arbeit zumindest teilweise abgearbeitet werden könne. Man versuche zudem, die Daten mithilfe von Akten und Sicherungskopien wieder herzustellen.[...]

Laut anderen Quellen kann es noch Wochen dauern, bis sämtliche Funktionen wiederhergestellt sind.

Mich stört hier nicht, dass die Verwaltung mit Ransomware befallen wurde, sondern vielmehr, dass anscheinend überhaupt keine Strategie existiert, was man bei Befall von Schadsoftware tun sollte. Ich denke auch, dass es künftig vermehrt solche Attacken geben wird, weil der durchschnittliche IT-Anwender sich mit Firewall und Virenscanner im Hintergrund gut geschützt fühlt. Die größte Gefahr sind nicht etwa die Sicherheitslücken in Programmen sondern der unwissende Anwender.

[MSfree]

Mich stört hier nicht, dass die Verwaltung mit Ransomware befallen wurde, sondern vielmehr, dass anscheinend überhaupt keine Strategie existiert, was man bei Befall von Schadsoftware tun sollte.

Das ist sehr unfair.

Wenn sich ein Befall lauffeuerartig über die gesamte Verwaltung ausdehnt, sind schnell mal 1000 Arbeitsplätze betroffen. Und einen einzelnen Arbeitsplatz wieder herzustellen, kostet locker 2 Stunden. Danach darf man die Kiste noch auf den aktuellsten Sicherheitstand (Windows Updates) bringen, was je nach Hardware 30h kosten kann, aber nicht ständig beaufsichtigt werden muß und auch mit vielen PCs parallel passieren kann, so lange die Internetverbindung das hergibt.

Die kannst den besten Plan der Welt haben, aber du wirst Monate an Arbeitszeit investieren müssen, um wieder auf den Stand von vor dem Angriff zu kommenn. Frag mal Heise, wie lange deren Betrieb nach dem Befall gehemmt war.

Die größte Gefahr sind nicht etwa die Sicherheitslücken in Programmen sondern der unwissende Anwender.

Und das wirst du nicht ändern können.

Klar, man kann die Mitarbeiter sensibilisieren. Wir werden hier zwei mal im Jahr zu einem Kurs aufgefordert, der uns in "Cyber Security" schulen soll. Spätestens nach dem zweiten Mal machst du das nur noch nach dem Motto LMAA, Hauptsache Kurs gemacht und Zertifikat ausgestellt, gelernt hat man dabei nichts neues.

Social Engineering ist halt außerodentlich effektiv. Wenn der Angreifer vorgibt, eine dir bekannte Person zu sein, ist das Mißtrauensniveau schon nahe dem Nullpunkt. Ein an einen Mail angehängtes PDF oder docx wirst du da mit viel weniger Hemmschwelle anklicken als von einem Unbekannten.

Klar, ich kann auch grundsätzlich verweigern, Anhänge anzuklicken. Irgendwann kommt aber der Vorgesätzte und fragt dich vorwurfsvoll, warum du seine Emails nicht liest. Und jedesmal telefonisch nachfragen ist schlicht unpraktikabel.

[hikaru]

Mich stört hier nicht, dass die Verwaltung mit Ransomware befallen wurde, sondern vielmehr, dass anscheinend überhaupt keine Strategie existiert, was man bei Befall von Schadsoftware tun sollte. Ich denke auch, dass es künftig vermehrt solche Attacken geben wird, weil der durchschnittliche IT-Anwender sich mit Firewall und Virenscanner im Hintergrund gut geschützt fühlt. Die größte Gefahr sind nicht etwa die Sicherheitslücken in Programmen sondern der unwissende Anwender.

Ich kriege über einen Bekannten der in einer Kommune arbeitet ab und zu mit, wie dort die Arbeitsabläufe sind. Die IT wird betreut vom Sohnemann von $HohesTier, dessen einzige Qualifikation laut Schilderungen meines Bekannten das Vitamin B zu sein scheint. Ich vermute, das ist gerade auf kommunaler Ebene kein Einzelfall und auch auf höheren Ebenen würde es mich nicht wundern, wenn es so abläuft.

Was du hier vermisst ist ein augearbeitetes und getestetes(!) Backupkonzept. Die dafür nötigen Kompetenzen sind in der erwähnten Kommune nicht ansatzweise vorhanden. Ich bin mir sicher, dass es deutlich mehr solcher Attacken gibt als bekannt wird. Nur haben die nicht immer zum Ziel etwas kaputt zu machen, sondern z.B. Daten auszuspähen. Sowas geht nicht durch die Medien, es sei denn es wird zufällig eine illegale Datenbank ausgehoben.

Ich habe z.B. Grund zu der Annahme, dass die Einwohnermeldeämter zweier mittelgroßer Städte in denen ich in den letzten 20 Jahren gelebt habe kompromittiert sind/waren. Ob das auf IT-Ebene oder auf Ebene der Mitarbeiter war weiß ich nicht, aber es sind Daten von mir an unbefugten Stellen aufgetaucht, die nur aus den Meldeämtern stammen können.
Mich stört daher durchaus bereits der Befall mit Ransomware. Unabhängig vom Systemausfall (den ich als kleineres Übel ansehe) geht es hier um höchst sensible persönliche Daten. Ein Systemausfall mag eine Zeit lang unbequem sein, lässt sich aber reparieren. Daten die in unbefugte Hände gelangen, sind für immer kompromittiert. Wenn es nach mir ginge, dürfte mit solchen Daten nur auf abgeschotteten Systemen gearbeitet werden.

[hikaru]

Wenn sich ein Befall lauffeuerartig über die gesamte Verwaltung ausdehnt,

Wenn sich der Befall lauffeuerartig ausbreiten kann(!), dann läuft schon etwas schief.

Die größte Gefahr sind nicht etwa die Sicherheitslücken in Programmen sondern der unwissende Anwender.

Und das wirst du nicht ändern können.

Doch, kann man. Man müsste es nur wollen. Man müsste von den Mitarbeitern echte IT-Kompetenz verlangen, keine sinnlosen Zertifikate durchzuklicken. Von einem Berufskraftfahrer wird auch erwartet, sein Fahrzeug zu beherrschen. Das hat er bei Einstellung durch Vorlage seines Führerscheins nachzuweisen. Und den bekommt er nicht auf dem Rummel beim Autoscooter.

Wenn dann doch mal ein LKW in ein Stauende rast, weil sich der Fahrer gerade die Fußnägel geschnitten hat, dann geht das zurecht als Skandal durch die Medien, denn er hat die von ihm geforderten Pflichten grob verletzt.
Wenn ein Bürohengst hingegen mit einem Dokument aus ungeprüfter Quelle eine IT-Infrastruktur schrottet, wird ihm das jenseits eines "Dudu!" nicht zur Last gelegt. Das ist ein gesellschaftlicher Missstand.

Klar, man kann die Mitarbeiter sensibilisieren. Wir werden hier zwei mal im Jahr zu einem Kurs aufgefordert, der uns in "Cyber Security" schulen soll. Spätestens nach dem zweiten Mal machst du das nur noch nach dem Motto LMAA, Hauptsache Kurs gemacht und Zertifikat ausgestellt, gelernt hat man dabei nichts neues.

Das Schema kenne ich, gibt's bei uns auch für verschiedene Bereiche. Ich bin mal in einen IT-fernen Posten reingestolpert, für den ich nach Abschluss des Zertifikats eigentlich hätte qualifiziert sein müssen. Ich habe dann aber sehr schnell festgestellt, dass ich dafür in Wahrheit nicht qualifiziert bin und habe den Posten wieder abgestoßen. Insbesondere hatte ich Leute unter mir, die fachlich wirklich qualifiziert waren, den Posten aus organisatorischen Gründen aber nicht übernehmen durften. Mein Nachfolger ist genausowenig qualifiziert wie ich, stört sich daran aber nicht. Er referiert in halbjährigen Schulungen über Dinge die er sich selbst nur angelesen hat, seine Untergebenen aus der Praxis aber 100x besser kennen. Das war mir zu blöd.

Social Engineering ist halt außerodentlich effektiv. Wenn der Angreifer vorgibt, eine dir bekannte Person zu sein, ist das Mißtrauensniveau schon nahe dem Nullpunkt. Ein an einen Mail angehängtes PDF oder docx wirst du da mit viel weniger Hemmschwelle anklicken als von einem Unbekannten.

Warum führt das Anklicken/öffnen eines Dokuments überhaupt zur Ausführung von Code auf einem System das Zugang zu sensiblen Daten hat?

Klar, ich kann auch grundsätzlich verweigern, Anhänge anzuklicken. Irgendwann kommt aber der Vorgesätzte und fragt dich vorwurfsvoll, warum du seine Emails nicht liest. Und jedesmal telefonisch nachfragen ist schlicht unpraktikabel.

Dein Vorgesetzter könnte auch dich anrufen um dir zu sagen, dass du bitte Dokument X in Mail Y öffnen sollst.
Falls ihm das zu viel Arbeit ist, weil er z.B. die Mail an 100 Mitarbeiter geschickt hat, dann ist die Mail der falsche Ort für das Dokument. Dann wäre das PDF besser aufgehoben in einem hauseigenen, als sicher annehmbaren CMS und die Mail enthält dann einen Link.
Klar kannst du jetzt sagen, dass das zu umständlich ist. Aber irgendwo must du die Komplexität hinschieben, wenn du Sicherheit haben willst. Die Alternative ist eben, solche Dokumente nicht auf kritischen Systemen zu öffnen.

[MSfree]

...Die IT wird betreut vom Sohnemann von $HohesTier, dessen einzige Qualifikation laut Schilderungen meines Bekannten das Vitamin B zu sein scheint.

Ich wäre mit solchen Anschuldigungen sehr vorsichtig. Das, was ich in Verwaltungen bisher erlebt habe, war durchaus professionell, allerdings durch das Korsett an Verwaltungsvorschriften und Durchführungsverordnungen stark in der Agilität gehemmt.

Ich bin mir sicher, dass es deutlich mehr solcher Attacken gibt als bekannt wird.

Da hat sich die Rechstlage geändert und es gibt eine Meldepflicht für solche Vorfälle.

... aber es sind Daten von mir an unbefugten Stellen aufgetaucht, die nur aus den Meldeämtern stammen können.

Meldeämter dürfen Daten herausgeben, wenn du dem nicht explizit widersprichst. Das ist leider mal wieder ein Opt-Out Modell.

[DeletedUserReAsG]

Irgendwann kommt aber der Vorgesätzte und fragt dich vorwurfsvoll, warum du seine Emails nicht liest.

Fragst halt vorwurfsvoll, warum er seine Mails nicht signiert, damit man sicher sein kann, dass sie von ihm stammen. Eine solche Praxis würde einem Angreifer diesen lächerlich einfachen Weg weitgehend versperren – im Gegenteil: es würde sofort auffallen, dass jemand einen Angriff versucht, und es könnten entsprechende Gegenmaßnahmen eingeleitet werden.

Aber wartet mal ab, das wird der Verkaufspunkt von MS werden: da alles über anderer Leute Rechner (hier: MS’ Rechner) läuft, braucht’s keinen zu komplexen Algorithmus, um zu sagen, ob die Mail von A, die B gerade liest, tatsächlich von A kommt, weil A die Mail ja von seinem Desktop abgeschickt haben muss, der ebenfalls auf den Rechnern von MS läuft – im Werbesprech ist’s dann sowas wie „Überlegene KI erkennt gefälschte Mails, und schützt so Ihre IT vor Cyberangriffen!!k“ – welcher mit Wissen wenig vorbelastete Entscheider würde da nicht zugreifen? Die greifen doch jetzt schon nach jedem Strohhalm …

[schorsch_76]

Passend dazu:
Studie: 80% der Ransomware-Kunden kaufen auch: Mehr Ransomware.

[MSfree]

Wenn sich der Befall lauffeuerartig ausbreiten kann(!), dann läuft schon etwas schief.

Im Nachhinein ist man immer schlauer. Natürlich hätte man das Netzwerk feiner granulieren können, z.B. ein Subnetz pro 4-10 Rechner, mit gerouteten Subnetzen und Firewalls dazwischen. Dann breitet sich die Schadsoftware zunächst halt nur über ein Subnetz aus. Wenn die Schadsoftware aber aggressiv genug ist, überwindet die auch diese Barrieren.

Man müsste von den Mitarbeitern echte vverlangen

Das ist schlicht unrealistisch.

Du wirst kaum einen Mediziner in einem Gesundheitsamt finden, der qualifizierter IT-Kompetenz hat. Trotzdem wird verlangt, daß der seine Berichte in den Rechner tippt statt in die Erika

Von einem Berufskraftfahrer wird auch erwartet, sein Fahrzeug zu beherrschen.

Überall, wo sich Routine einschleicht, werden die Leute nachlässig. Auch der Berufskraftfahrer setzt nicht immer den Blinker, obwohl ihm das in der Fahrschule eingetrichtert wurde. Und zeig mir einen LKW-Fahrer, der 80km/h auf der AB fährt, deren (gesetztlich vorgeschriebene) Begrenzer erlauben in der Regel eine Überschreitung von 14km/h, was ein km/h weniger ist, als die Überschreitung, bei der es einen Punkt in Flensburg gibt.

Wenn ein Bürohengst hingegen mit einem Dokument aus ungeprüfter Quelle eine IT-Infrastruktur schrottet, wird ihm das jenseits eines "Dudu!" nicht zur Last gelegt.

Wenn du Vorsatz nachweisen kannst, hat das durchaus Konsequenzen.

Warum führt das Anklicken/öffnen eines Dokuments überhaupt zur Ausführung von Code auf einem System das Zugang zu sensiblen Daten hat?

Vom Zugang zu sensiblen Daten habe ich nichts geschrieben. Es reicht doch schon aus, wenn die "normalen" Rechner geschrottet werden, um eine Behörde oder einen Betrieb arbeitsunfähig zu machen.

Und warum das Anklicken ausreicht, um eine Welle auszulösen, muß der Softwarehersteller beantworten. Meiner Meinung nach werden die Hersteller viel zu wenig in die Verantwortung gegen solche Vorfälle genommen. Ein PKW-Hersteller muß seinen Produkte zurückrufen und Abhilfe schaffen. Ein Softwarehersteller schreibt in die EULA, daß er für nichts verantwortlich ist und kann sich so drücken.

Falls ihm das zu viel Arbeit ist, weil er z.B. die Mail an 100 Mitarbeiter geschickt hat, dann ist die Mail der falsche Ort für das Dokument. Dann wäre das PDF besser aufgehoben in einem hauseigenen, als sicher annehmbaren CMS und die Mail enthält dann einen Link.

Und die hektisch ins Home-Office verbannten Arbeitnehmer erreichen dann diese CMS nicht, weil sie von aussen nicht an das System kommen.

So entstehen Provisorien und Umgehungen von sinnvollen Arbeitsvorgängen, die auch mittelfristig nicht ausgeräumt werden.

[MSfree]

Fragst halt vorwurfsvoll, warum er seine Mails nicht signiert.

Und wer garantiert, daß die Signatur echt ist?

[DeletedUserReAsG]

Der öffentliche Schlüssel, mit dem du die Signatur prüfst. Der dir persönlich von der betroffenen Person gegeben worden ist. In den meisten Firmen sollte es möglich sein, die relevanten Schlüssel auf sicherem Weg zu verteilen.

[MSfree]

Der öffentliche Schlüssel, mit dem du die Signatur prüfst. Der dir persönlich von der betroffenen Person gegeben worden ist.

Und genau an dem Verteilweg scheitert es. Der ist nicht standadisiert, einer verteilt sie per USB-Stick, der andere legt sie im Googledrive ab, der dritte nimmt PGP...

Für mich ist das Thema gescheitert.

Und davor, daß ein Trojaner eine Mail vom Rechner des Vorgesetzeten verschickt, die dann korrekt signiert ist, schützt es auch nicht.

[mcb]

Mich stört hier nicht, dass die Verwaltung mit Ransomware befallen wurde, sondern vielmehr, dass anscheinend überhaupt keine Strategie existiert, was man bei Befall von Schadsoftware tun sollte.

Das ist sehr unfair.

Wenn sich ein Befall lauffeuerartig über die gesamte Verwaltung ausdehnt, sind schnell mal 1000 Arbeitsplätze betroffen. Und einen einzelnen Arbeitsplatz wieder herzustellen, kostet locker 2 Stunden. Danach darf man die Kiste noch auf den aktuellsten Sicherheitstand (Windows Updates) bringen, was je nach Hardware 30h kosten kann, aber nicht ständig beaufsichtigt werden muß und auch mit vielen PCs parallel passieren kann, so lange die Internetverbindung das hergibt.

Die kannst den besten Plan der Welt haben, aber du wirst Monate an Arbeitszeit investieren müssen, um wieder auf den Stand von vor dem Angriff zu kommenn. Frag mal Heise, wie lange deren Betrieb nach dem Befall gehemmt war.

Die größte Gefahr sind nicht etwa die Sicherheitslücken in Programmen sondern der unwissende Anwender.

Und das wirst du nicht ändern können.

Klar, man kann die Mitarbeiter sensibilisieren. Wir werden hier zwei mal im Jahr zu einem Kurs aufgefordert, der uns in "Cyber Security" schulen soll. Spätestens nach dem zweiten Mal machst du das nur noch nach dem Motto LMAA, Hauptsache Kurs gemacht und Zertifikat ausgestellt, gelernt hat man dabei nichts neues.

Social Engineering ist halt außerodentlich effektiv. Wenn der Angreifer vorgibt, eine dir bekannte Person zu sein, ist das Mißtrauensniveau schon nahe dem Nullpunkt. Ein an einen Mail angehängtes PDF oder docx wirst du da mit viel weniger Hemmschwelle anklicken als von einem Unbekannten.

Klar, ich kann auch grundsätzlich verweigern, Anhänge anzuklicken. Irgendwann kommt aber der Vorgesätzte und fragt dich vorwurfsvoll, warum du seine Emails nicht liest. Und jedesmal telefonisch nachfragen ist schlicht unpraktikabel.

Das ist leider überhaupt nicht unfair, die bekommen viel Geld dafür unsere Daten zu verwalten. Der Kommentar bei fefe trifft es ganz gut:

https://blog.fefe.de/?ts=9e16789a

[DeletedUserReAsG]

Und genau an dem Verteilweg scheitert es. Der ist nicht standadisiert, einer verteilt sie per USB-Stick, der andere legt sie im Googledrive ab, der dritte nimmt PGP.

Je nach Firma würde sich, so behaupte ich mal, immer ein Weg finden. Vorausgesetzt, es ist jemand da, der sich damit auskennt, der weiß, worum es geht und wie es am besten geht, und der die nötigen Ermächtigungen bekommt, das zu koordinieren. Und das ist der Punkt, an dem es meist scheitert. Kostet Geld, und zwar konkret, sofort – und nicht abstrakt in der Zukunft, durch die verursachten Schäden.

Und davor, daß ein Trojaner eine Mail vom Rechner des Vorgesetzeten verschickt, die dann korrekt signiert ist, schützt es auch nicht.

Hm. Das Ziel solcher Trojaner ist’s doch, durch die Hierarchien nach oben zu kommen, um den größtmöglichen Schaden anzurichten – wenn der Rechner des Vorgesetzten also schon kompromittiert ist, ist die Sache durch. Eine generische Schadsoftware sucht sich nicht den passenden Schlüssel und signiert die Mails damit (idealerweise ist dazu eh ’ne Passphrase oder ein anderer zweiter Faktor notwendig), das würde manuell erfolgen. Und wenn’s soweit ist, ist eigentlich so ziemlich alles egal → abreißen, neubauen.

[MSfree]

....

Vielleicht könntest du deine Zitate mal auf das wesentlich kürzen?

Das ist leider überhaupt nicht unfair, die bekommen viel Geld dafür unsere Daten zu verwalten.

Ja ne, is klar.

Hinterher, nachdem das Kind in den Brunnen gefallen ist, rumzukrakelen, ist immer ganz einfach.

Heise hat es auch getroffen, und das sind die letzten, denen ich einen laxen Umgang mit ihrer IT unterstellen würde.

Du kannst jetzt fragen, warum man aus den Fehlern nicht gelernt hat. Ich behaupte mal, das hat man, auch in Bitterfeld. Vor 2 Jahren, als es Heise traf, wußte man aber vom PrinterNightmare noch nichts, so daß man seine IT nicht dagegen sichern konnte. Die unrealistiche Alternative lautet ja ohnehin, den Druckservice abzuschalten und gar nicht mehr drucken zu können. Es wird ja vermutet, daß Bitterfeld die Druckerlücke getroffen hat.

Der Kommentar bei fefe trifft es ganz gut:

Fefes Kommentare waren noch nie gut.

[mcb]

Kein Backup kein Mitleid sagt man ja so salopp https://www.borncity.com/blog/2021/07/1 ... ore-255714

Ich finde das gar nicht lustig - die Bürger leiden jetzt und bezahlen - top ^^^

Und ich bleibe dabei das es eigentlich deren Job ist das zu händeln ...

Aber es besteht nicht die geringste Hoffnung das es besser wird.

[hikaru]

Ich wäre mit solchen Anschuldigungen sehr vorsichtig. Das, was ich in Verwaltungen bisher erlebt habe, war durchaus professionell, allerdings durch das Korsett an Verwaltungsvorschriften und Durchführungsverordnungen stark in der Agilität gehemmt.

Ich kenne genug verschiedene Berichte meines Bekannten um mir ein Urteil darüber zu erlauben, dass das Problem Inkompetenz ist, nicht fehlende "Agilität". Dafür sind die geschilderten Vorfälle nämlich zu vielfältig.
Viellicht könnte man dem IT-Typen Überlastung zugute schreiben, auch wenn ich aus den Beschreibungen nicht den Eindruck erhalte. Aber auch das wäre Inkompetenz, nur nicht zwangsläufig seine Eigene.

Ich bin mir sicher, dass es deutlich mehr solcher Attacken gibt als bekannt wird.

Da hat sich die Rechstlage geändert und es gibt eine Meldepflicht für solche Vorfälle.

Du setzt voraus, dass der Angegriffene überhaupt selbst den Angriff bemerkt. Schon das bezweifle ich.

Meldeämter dürfen Daten herausgeben, wenn du dem nicht explizit widersprichst. Das ist leider mal wieder ein Opt-Out Modell.

Und diesen Widerspruch kannst du bereits bei der Ummeldung geltend machen. Geholfen hat es mir nicht.

Im Nachhinein ist man immer schlauer. Natürlich hätte man das Netzwerk feiner granulieren können, z.B. ein Subnetz pro 4-10 Rechner, mit gerouteten Subnetzen und Firewalls dazwischen. Dann breitet sich die Schadsoftware zunächst halt nur über ein Subnetz aus. Wenn die Schadsoftware aber aggressiv genug ist, überwindet die auch diese Barrieren.

Rechner "zufällig" in Subnetze zu trennen ist der falsche Ansatz. Der richtige Anstz wäre, Rechner die Kontakt zum offenen Netz haben konsequent von solchen zu trennen, die mit sensiblen Daten arbeiten. Wenn Daten zwischen beiden Netzen ausgetauscht werden müssen, dann werden wirklich nur diese Daten und nur nach vorhergehender Prüfung übertragen.
Konkret: In der sensiblen IT muss nicht das PDF aus der Mail selbst ankommen, sondern die darin enthaltenen Daten, und nur diese Daten.

Man müsste von den Mitarbeitern echte [IT-Kompetenz] verlangen

[sic]
Das ist schlicht unrealistisch.

Dann muss man für Strukturen sorgen, in denen die Erwartung realistisch ist. Oder meinst du, weil es 1900 keine Führerscheine gab, wäre es 2021 immer noch ok, dass jeder Hanswurst einen 40-Tonner durch die Gegend fahren darf, weil es ja unrealistisch wäre zu erwarten, dafür eine Kompetenz nachzuweisen?
Das Internet in seiner heutigen Form gibt es im Grunde seit den 90er Jahren. Das ist eine ganze Generation und wir begnügen uns immer noch damit, es als "Neuland" zu betrachten. Das ist einfach weltfremd.

Du wirst kaum einen Mediziner in einem Gesundheitsamt finden, der qualifizierter IT-Kompetenz hat.

Ich darf doch aber erwarten, dass er lesen und schreiben kann und rudimentär die Grundrechenarten beherrscht. Ein gewisses Maß an IT-Kompetenz (z.B. nicht alles anklicken was nicht bei drei auf den Bäumen ist) ist heute ebenso eine grundlegende Kulturtechnik, ohne deren Beherrschung man für gewisse Berufe einfach nicht geeignet ist. Und das war auch vor 20 Jahren nicht prinzipiell anders, es ist nur das Ausmaß des Bedarfs zur Sorgfalt gewachsen.

Überall, wo sich Routine einschleicht, werden die Leute nachlässig. Auch der Berufskraftfahrer setzt nicht immer den Blinker, obwohl ihm das in der Fahrschule eingetrichtert wurde. Und zeig mir einen LKW-Fahrer, der 80km/h auf der AB fährt, deren (gesetztlich vorgeschriebene) Begrenzer erlauben in der Regel eine Überschreitung von 14km/h, was ein km/h weniger ist, als die Überschreitung, bei der es einen Punkt in Flensburg gibt.

Aber wer bei solchen Nachlässigkeiten erwischt wird, der wird dafür bestraft, damit sich das Fehlverhalten nicht einschleift. So zumindet die Idee.
Nun können wir gern über strengere Verkehrskontrollen diskutieren, aber der springende Punkt ist, dass es nichts Vergleichbares in der Verwaltungs-IT gibt. Das unbedachte Öffnen eines Dokuments aus unbekannter Quelle sollte meiner Ansicht nach im Wiederholungsfall ein Abmahnungsgrund sein.

Wenn ein Bürohengst hingegen mit einem Dokument aus ungeprüfter Quelle eine IT-Infrastruktur schrottet, wird ihm das jenseits eines "Dudu!" nicht zur Last gelegt.

Wenn du Vorsatz nachweisen kannst, hat das durchaus Konsequenzen.

Warum erst bei Vorsatz?

Vom Zugang zu sensiblen Daten habe ich nichts geschrieben. Es reicht doch schon aus, wenn die "normalen" Rechner geschrottet werden, um eine Behörde oder einen Betrieb arbeitsunfähig zu machen.

Wenn das Schrotten eines Rechners den Mitarbeiter arbeitsunfähig macht, dann war das ein Rechner mit sensiblen Daten. Sonst würde er einfach einen Ersatzrechner bekommen und spätestens nach einer Stunde Downtime weiterarbeiten.

Und warum das Anklicken ausreicht, um eine Welle auszulösen, muß der Softwarehersteller beantworten. Meiner Meinung nach werden die Hersteller viel zu wenig in die Verantwortung gegen solche Vorfälle genommen. Ein PKW-Hersteller muß seinen Produkte zurückrufen und Abhilfe schaffen. Ein Softwarehersteller schreibt in die EULA, daß er für nichts verantwortlich ist und kann sich so drücken.

Eben. Warum werden solche Zustände in der IT akzeptiert? Anbieter die so arbeiten, müssten schon in der Ausschreibung rausfliegen.

Falls ihm das zu viel Arbeit ist, weil er z.B. die Mail an 100 Mitarbeiter geschickt hat, dann ist die Mail der falsche Ort für das Dokument. Dann wäre das PDF besser aufgehoben in einem hauseigenen, als sicher annehmbaren CMS und die Mail enthält dann einen Link.

Und die hektisch ins Home-Office verbannten Arbeitnehmer erreichen dann diese CMS nicht, weil sie von aussen nicht an das System kommen.

Die für Homeoffice nötigen Strukturen kann man vorher aufbauen.* Bei uns hat es zu Beginn des ersten Lockdowns genau eine Woche etwas ǵeholpert, bis die bereits seit Jahrzehnten vorhandenen Strukturen auf die gestiegene Last angepasst waren. Voll arbeitsfähig waren wir jederzeit.


*) Sofern Homeoffice überhaupt eine Option für das Tätigkeitsfeld ist. Klar, kann der Maurer nicht im Homeoffice Wände hochziehen. Aber darum geht's hier ja nicht. Hier geht's um Sesselfurzer und Schreibtischpiloten, für deren Tätigkeit es prinzipiell egal ist, wo sie ihre vier Buchstaben hinpflanzen.

[Luxuslurch]

Und ich bleibe dabei das es eigentlich deren Job ist das zu händeln ...

Es ist sicher nicht (!) Aufgabe der Sachbearbeiter/innen, das zu händeln. Die müssen Kraftfahrzeuge zulassen oder Sozialhilfe auszahlen. Um in den Beispiel zu bleiben: Der LKW-Fahrer ist auch nicht dafür verantwortlich, wenn der Hersteller der Reifen mangelhafte Ware ausliefert, die sich äußert anfällig gegen bewusst dorthin gestreute Reißzwecken auf der Fahrbahn zeigen.

Hinzu kommt das Fachkräfteproblem. Mit einem Diplom in "Informatik" (als Überbegriff) lässt sich in der freien Wirtschaft locker das Doppelte verdienen als in einer popeligen Kreisverwaltung. Das Gleiche gilt übrigens für die dort tätigen Mediziner oder Juristen. Wer kompetent ist, wird dies auch in bare Münze umsetzen wollen. Als Abhilfe könnte der Kreis ja auch die Kreisumlage erhöhen und die reichen Städte und Gemeinden des Landkreises Bitterfeld schröpfen. Wie erfolgreich das auch sein mag...

Realistischer erscheint da schon, das als gesamtdeutsches Problem zu sehen und nicht der kommunalen Selbstverwaltung in Gänze zu überlassen. Darauf zielt ja auch die Cybersicherheitsstrategie des Bundes ab. Leider wird die kommunale Perspektive nicht ernsthaft berücksichtigt. Auch handelt es sich hautpsächlich bisher um Informationsangebote.

Warum werden solche Zustände in der IT akzeptiert? Anbieter die so arbeiten, müssten schon in der Ausschreibung rausfliegen.

Weil wir hier nicht im Sektor der freien Wirtschaft sind.

[mcb]

Ich meinte nicht die Sachbearbeiter

Die IT-Verwaltung ist dafür zuständig. Einfach nur traurig.

[hikaru]

Warum werden solche Zustände in der IT akzeptiert? Anbieter die so arbeiten, müssten schon in der Ausschreibung rausfliegen.

Weil wir hier nicht im Sektor der freien Wirtschaft sind.

Welche Relevanz hat das?
Falls du jetzt auf die knappen Finanzen der öffentlichen Hand abzielst, gerade die freie Wirtschaft hat oft hohen Konkurrenz- und damit Finanzdruck. Ich sehe hier also keinen Grund, einen Unterschied zu machen.

[Luxuslurch]

In der freien Wirtschaft überleben dann aber auch nur die Betriebe, die dem Druck standhalten können. Und die Betriebe sind eben ziemlich frei, wie sie ihr Überleben sichern. Diese Freiheiten hat eine Verwaltung nicht. [edit: Und aus einer Ausschreibung kann sie auch nicht rausfliegen.] Die hat gesetzliche Aufgaben zu erfüllen und sonst gar nichts. Für irgendwas anderes als "Bonus" hat sie keine Luft, selbst wenn der Wille da wäre. Und genau an diesen gesetzlichen Vorgaben mangelt es halt. Kurz: Bevor der Bund nicht entsprechende Vorgaben macht und die Kommunen zur Erfüllung dieser Aufgaben mit finanziellen MItteln ausstattet, wird sich niemals etwas ändern.

[hikaru]

Da hast du natürlich recht. Meine Frage ging aber nicht an die Gemeinde bzw. den Landkreis, sondern an die Gesellschaft als Ganze, bzw. an den Bund als Richtliniengeber.

[MSfree]

Ich bin mir sicher, dass es deutlich mehr solcher Attacken gibt als bekannt wird.

Da hat sich die Rechstlage geändert und es gibt eine Meldepflicht für solche Vorfälle.

Du setzt voraus, dass der Angegriffene überhaupt selbst den Angriff bemerkt. Schon das bezweifle ich.

Irgendwann merkt man es auf alle Fälle. Zu spät ist es in jeden Fall, selbst wenn die Kiste erst 2 Minuten mit Verschlüsseln beschäftigt ist.

Der richtige Anstz wäre, Rechner die Kontakt zum offenen Netz haben konsequent von solchen zu trennen, die mit sensiblen Daten arbeiten.

Was sind sensible Daten?

Wenn ich einem Verwaltungsbeamten meinen sensiblen Daten, also Namen, Vornamen, Straße, Hausnummer, PLZ und Wohnort mündlich nenne, und der die Daten eintippt, auf welchem Rechner soll das passieren. Nach deiner Spielart darf das ja nicht auf einem Rechner passieren, der "sensible" Daten verarbeitet und spiechert. Also ist es ein Rechner im "öffentlichen" Bereich, aber der darf ja keine sensiblen Daten verarbteiten. Ergo, Zisckmühle.

Wenn Daten zwischen beiden Netzen ausgetauscht werden müssen, dann werden wirklich nur diese Daten und nur nach vorhergehender Prüfung übertragen.

Und du kannst garantieren, daß das Filterprogramm nicht anfällig gegen Angriffe ist?

(z.B. nicht alles anklicken was nicht bei drei auf den Bäumen ist)

Glaubst du wirklich, daß Bitterfeld auf so plumpe weise überfallen wurde? Natürlich steht das so in Bildzeitung oder bei Fefe, stimmen tut es aber eher nicht.

Warum erst bei Vorsatz?

Weil erst dann ein Tatbestand vorliegt, den man sanktionieren kann.

Sonst würde er einfach einen Ersatzrechner bekommen und spätestens nach einer Stunde Downtime weiterarbeiten.

Durch die lauffeuerartige Verbreitung (aber das hatten wir ja schon) ist nicht nur ein Rechner betroffen sondern viele. Einfach mal 1000 neue Rechner zu organisieren, geht nicht. Und die bestehenden Rechner neu zu installieren dauert.

Anbieter die so arbeiten, müssten schon in der Ausschreibung rausfliegen.

Einen Softwareanbieter, der wirklich haftet, gibt es nicht. Folglich dürfte unsere Verwaltung überhaupt nicht mit Software arbeiten. Es lebe Papier und Bleistift.

[Tintom]

Hinzu kommt das Fachkräfteproblem. Mit einem Diplom in "Informatik" (als Überbegriff) lässt sich in der freien Wirtschaft locker das Doppelte verdienen als in einer popeligen Kreisverwaltung. Das Gleiche gilt übrigens für die dort tätigen Mediziner oder Juristen. Wer kompetent ist, wird dies auch in bare Münze umsetzen wollen.

Es gibt auch andere Anreize als Geld. Gerade die großen Kanzleien werben Kandidaten schon nicht mehr mit der Work-Life-Balance, sondern mit der Work-Life-Choice - ein Schelm wer böses dabei denkt .
Für viele Juristen ist eine Karriere im öffentlichen Dienst attraktiv, weil a) geregelte Arbeitszeiten, b) geregelte Aufstiegschancen und c) kein Zeit-/Umsatzdruck.

Für Ärzte ist es ähnlich: Welcher Amtsarzt macht Wochenend-/Nachtdienste? Richtig: Keiner!