Mit dynamischen Routing gegen die Komplexität

Was sich auf den ersten Blick vielleicht nicht so anhört ist aber ein großer Beitrag im Kampf gegen die immer mehr um sich greifende Komplexität in den IT Umgebungen. Bei verteilten Standorten oder Routinginstanzen mit Backupverbindungen eine Lösung auf statischen Routen aufzubauen ist eine (fast) unlösbare Aufgabe. Daher ist der Einsatz von dynamischen Protokollen die einzige Option um hier gegenzusteuern.

Bei diesem Thema hört man desweilen das Argument, dass dynamischen Routing auf einer Firewall nichts zu suchen hat und es sicherheitstechnisch bedenklich sei. Dieses Argument gehört wohl doch eher zu den Mythen in der IT, wie zum Beispiel, dass man zum Versenden von Mails auch einen MX Record auf dem System zum Versenden benötigt. Das ganze Internet basiert auf dynamischen Routing. Genauer gesagt auf dem Protokoll BGP und es funktioniert mit an Sicherheit grenzender Wahrscheinlichkeit wohl zuverlässiger als wenn die Routen bei allen Routinginstanzen im Internet mit der Hand gepflegt werden müssten. Dass die ganz großen Betreiber von Datacentern nach alternativen zu BGP suchen, ist kein Geheimnis. Auch große Carrier denken über effizientere Systeme nach. Aber dies alles wird auf absehbare Zeit kein Unternehmen berühren, welches nicht im Bereich Telco, Carrier oder Google, Facebook AWS & Co. ist. Daher dürften also bei den anderen Unternehmen die aller meisten nie in die Verlegenheit kommen, die Grenzen aktueller Protokolle wie zum Beispiel BGP zu erreichen und das Protokoll dann eine Limitierung darstellt. Wie Zuverlässig die dynamischen Protokolle sind, zeigt nicht nur deren Einsatz im Internet selbst, sondern auch der Einsatz in den Unternehmen die schon seit Jahren auf dynamische Routing setzen. Auch unsere Erfahrung mit dynamischen Protokollen seit weit mehr als zehn Jahren zeigt das gleiche Bild; diese funktionieren stabil und zuverlässig.

Natürlich gab es in den ganzen Jahren der Nutzung auch einen Wandel bei den verwendeten Protokollen. Die Anfänge gehörten natürlich den Klassikern wie EIGRP. In reinen Cisco Umgebung wie wir sie damals nutzen, kam häufig das proprietäre Cisco Protokoll zum Einsatz. Als Router waren es die Modelle ab der 3600’er Serie. Wie der Name schon sagt ist das Enhanced Interior Gateway Routing Protokoll ein lokales Protokoll innerhalb einer Struktur. Die Kommunikation mit der Außenwelt erfolgt über ein Exterior Gateway Protokoll. Derzeit existiert quasi als einziges Protokoll für diesen Zweck nur noch BGP.

Als internes Protokoll nach EIGRP war über viele Jahre OSPF der erfolgreiche Nachfolger der EIGRP Lösung, da auch andere Hersteller zum Einsatz kamen die EIGRP nicht nutzen. Klassisch auch war die Aufteilung mit internen Systemen OSPF “zu sprechen” und bei extern Partnern BGP zu nutzen. Hier findet derzeit ein Wandel statt. OSPF ist immer mehr auf dem Rückzug und BGP nimmt dessen Platz ein. Die hat mehrere Gründe: Aus administrativer Sicht muss man sich nicht mehr mit mindestens zwei Protokollen beschäftigen und KnowHow aufbauen. Zudem wird durch das immer mehr Aufkommen von IPv6 auch OSPFv3 benötigt. Es bringt nicht nur die Erweiterung von IPv6, sondern auch noch ein Änderungen zu OSPFv2 mit sich. Auch mit OSPFv3 bleibt es bei zwei Protokollen auf den Routern die benötigt werden. Dies ist mit ein Grund warum OSPF zugunsten von BGP ausgetauscht wird. Mit BGP gibt es ebenfalls eine Unterscheidung zwischen externen und internen Routing, hier spricht man von iBGP und von eBGP. Dabei steht “i” für internal und “e” für external. BGP wird so zu sagen in Gruppen von autonomen Systemen organisiert, kurz AS. Das Routing innerhalb einer AS ist iBGP und das Routing mit einer externen AS eBGP. Nimmt man am internationalen Routing teil, so bekommt man eine eigene öffentliche AS, über die die eigenen öffentlichen IPv4 und IPv6 Adressen der Organisation zu erreichen sind. Dazu gehören aber noch ein paar mehr Rahmenbedingungen, auf die hier im Beitrag nicht weiter eingegangen werden soll, weil diese den Rahmen völlig sprengen würden. Es gibt neben den offiziellen AS auch private AS, die dann intern analog zu rfc-Adressen genutzt werden können. Dies ist aber auch nur für diejenigen ein Thema die am öffentlichen Routing teilnehmen, für alle anderen ist es ausreichend sich eine AS Struktur zu erarbeiten und diese dann entsprechend zu nutzen.

Warum braucht es aber dynamisches Routing im Unternehmen? Die Zeiten des klassischen Nord-Süd Traffics sind durch die zunehmende Anzahl an Servern (VM’s), Services, Microservices und vor allem Containern immer mehr vorbei. In den Datacentern findet zunehmend mehr Ost-West Traffic statt, der sich ab einer bestimmten Anzahl an Hosts nur noch sehr schwierig in Layer-2 Domains bewältigen lässt. Dazu kommt noch die Tatsache, dass in den Unternehmen auch zunehmend dezentrale Routing-Instanzen gibt und Niederlassungen mit in das Gesamtgebilde „Routing“ mit aufgenommen werden müssen.

Schon bei wenigen Niederlassungen mit einer 1:n Beziehung müssen bei allen Änderungen am Zentralstandort die Routen in den Niederlassungen gepflegt werden. Durch den Einsatz eines dynamischen Routing Protokolls entfällt diese Aufgabe und es gibt keine Fehler bei der Konfiguration der neuen Routen. Zudem lassen sich durch die Dynamik im Routing auf einfache Weise Zweitwege schaffen, die dann dynamisch bei Ausfall der primären Verbindung genutzt werden. Ist die primäre Verbindung wieder da, schwenk das Routing zurück, vor allem ohne, dass es einen Eingriff durch den Administrator gibt. Bei Rechenzentren ab einer bestimmten Größe und somit Anzahl der Hosts sind Layer-2 Domains in dem sich die Server befinden keine Option mehr. Hier beginnt das Routing schon auf dem jeweiligen Host, der mit seinem Top of Rack Switch Routen austauscht. Dieses komplett dynamische Gebilde sorgt dafür, dass die Wege im Ost-West Traffic kurz bleiben, es redundante Pfade jenseits von LAG und Spanning Tree gibt und gleichzeitig die gleiche Dynamik im Nord-Süd Traffic genutzt werden kann um auch hier mehrere (ebenfalls dynamisch) Pfade zum Rest der Welt nutzen können. Die Nutzung von dynamischen Routing beginnt schon sehr früh und bei kleinen Umgebungen. In größeren Umgebungen ist diese so zu sagen alternativlos.

Bei Fragen zum Thema stehen wir wie immer gerne zur Verfügung.

Ticketsystem Zammad

In eigener Sache: Ein Fazit der produktiven Nutzung von Zammad nach zehn Monaten zur Abwicklung von Supportanfragen und dem Ablösen von OTRS. Beide Ticketsysteme von uns in ihrer OpenSource Variante genutzt.

Nach vielen Jahren der Nutzung von OTRS als Ticketsystem bei der salutec wurde im Januar diesen Jahres Zammad (damals noch v1.0) eingeführt. Die Gründe waren in der Hauptsache die mangelnde Intuitivität der OTRS Oberfläche, die es allen bei uns ohne Erfahrung mit OTRS sehr schwer machten, damit die tägliche Arbeit zu verrichten. Daher wurde zwischen den Jahren nach einer anderen Lösung gesucht und die Wahl fiel sehr schnell auf Zammad. Das vielleicht interessante bei Zammad ist, dass es einer der OTRS Gründer und Entwickler ins Leben gerufen hat. Daher basiert Zammad auf einem großem KnowHow was Ticketsysteme angeht und da es neu ist, auch ohne die sonstigen Altlasten. Zammad ist aber eben auch eine sehr moderne Web Applikation die vollständig im Browser läuft und auf Linux mit Ruby und Postgres basiert. Als Reverse Proxy kommt bei uns Nginx statt Apache zum Einsatz. Hier zeigen sich ganz deutlich die Unterschiede zu OTRS, welches normal auf Perl, MySQL und Apache basiert. Keine Frage OTRS war und ist ein sehr gutes Ticketsystem mit einem mächtigen Funktionsumfang. Aber gerade das macht es für den Einsatz in Teams wo man im Grunde genommen nur die leicht erweiterten Basisfunktionen benötigt sehr kompliziert. Einfacher ausgedrückt könnte man sagen, OTRS beginnt erst da seine Stärken richtig ausspielen wo Zammad schon fast aufhört. Es ist zwar nicht ganz die Wahrheit, erklärt aber gut das Verhältnis der beiden zueinander. Aber Zammad darauf herunter zu brechen ein OTRS light zu sein ist aber auch grundsätzlich falsch. Zammad ist ein eigenständiges sehr modernes Ticketsystem für den universellen Einsatz. Dies zeigt nicht nur alleine die moderne Oberfläche von Zammad, die eine Konversation ähnlich einem Chat Verlauf darstellt, sondern auch die vielen kleinen “Helferlein” und vor allem die interaktive Browser App die einem die tägliche Arbeit mit dem System und somit den Kundenkontakt sehr unkompliziert gestaltet. Zu den kleinen Hilfen gehört zum Beispiel die Integration in Slack, so bekommt man auch direkt Informationen zu Tickets ohne sich in Zammad anmelden zu müssen. Wer Slack nutzt hat es sowieso offen und die Zammad Informationen lassen sich dort in einem entsprechenden Channel bündeln.

Mit unseren Anforderungen an ein Ticketsystem war der Wechsel von OTRS zu Zammad sehr einfach. Nicht nur für diejenigen, die OTRS schon über Jahre hinweg genutzt haben, sondern auch gerade für diejenigen ohne OTRS Erfahrung. Aus Sicht des Unternehmens hat sich Zammad als sehr selbsterklärend erwiesen, was nur ein Minimum an Mitarbeiterschulung bedeutete. Wenn man hier überhaupt von einer Schulung sprechen kann, es war eher ein kurzes zeigen durch einen Kollegen und die Frage war beantwortet.

Eines der besten Funktionen ist die Nutzung von Elasticsearch in Zammad zum Suchen nach Vorgängen oder die Historie des Kunden die automatisch zum aktiven Ticket angezeigt werden kann. Zudem ist der Ressourcenbedarf eher gering, vier CPU Kerne, acht GB RAM für 40 Agents inklusive Nutzung von Elasticsearch.

Unser Fazit nach zehn Monaten Zammad ist ausschließlich positiv. Dies gilt für die Benutzung und auch für die Administration und Wartung. Zammad ist ein super Werkzeug und dazu noch OpenSource und nein, dieser Artikel ist nicht von Zammad finanziert.

Noch ein paar Gedanken zum grundsätzlichen Einsatz von Ticketsystemen bzw. von Zammad im Allgemeinen. Ein solches System unterstützt ausnahmslos alle, die mit Kunden in Kontakt stehen. Es hilft Anfragen zu bündeln und in Teams zu bearbeiten. Durch die Historie des Kunden weiß man immer was in der Vergangenheit war und hat diese Informationen sofort zur Verfügung. Ob die Kommunikation ganz klassisch über eMail oder per Webformular, Chat auf der Shop- oder Webseite, per Twitter oder Facebook oder auch per Messenger Telegramm mit dem Kunden abläuft, die Zentrale ist immer Zammad. Gerade um den Überblick zu behalten ist ein solches Werkzeug besonders wichtig. Dabei ist es völlig unabhängig von der Branche, wer bei Ticketsystemen nur an den IT Support denkt, sieht das Potential solcher Systeme für das eigene Unternehmen nicht. Vom kleinen Handwerksbetrieb bis hin zum großen Unternehmen oder vom kleinen Webshop Betreiber über Einzelhandel bis hin zum Großhändler. Alle haben Kontakt zu ihren Kunden und brauchen somit eine moderne Lösung die sie in ihrer täglichen Arbeit unterstützen. Es ist auch einfach an der Zeit eMail auf der Seite des Agenten loszulassen und hier auf eine moderne Web Applikation zu setzen. Kundenanfragen werden schneller bearbeitet, die Übergabe zwischen den Mitgliedern im Team ist wesentlich einfacher, das System meldet nach vorher festgelegten Zeiten, nicht beantwortete Anfragen. So geht keine Kundenanfrage unter und alle im Team sind immer im Bilde über die Kommunikation mit dem Kunden in dem jeweiligen Vorgang.

Warum nicht die Hilfen der modernen IT nutzen um so das Potential zu entfesseln, welches ja vorhanden aber nicht genutzt wird? Ticketsysteme können jedem Unternehmen helfen, die mit Kunden aus welchen Gründen auch immer im Kontakt stehen. So gut wie alle stöhnen über die Flut an eMails die es jeden Tag zu bewältigen gilt, sind aber dann mutlos den Schritt zu einem neuen System zu wagen, was wirklich die tägliche Arbeit erleichtert.

Es muss ja nicht Zammad sein, es gibt viele Ticketsysteme, die einen guten Job machen, aber zur Bearbeitung von Kundenanfragen sind alle Systeme besser als die klassische Gruppen-eMail.

Patchmanagement ist essentiell gegen Cyber Angriffe

In der IT hält sich hartnäckig der Mythos, dass AV Software das wichtigste Element zum Schutz der IT Infrastruktur ist. Nein, dass ist genau nicht der Fall. Es ist ein Element zum Schutz einer IT Infrastruktur, aber in der Hierarchie der Schutzmaßnahmen irgendwo im Mittelfeld und das hat auch seinen Grund. Patchmanagement ist präventiv das Wichtigste!

Die großen Cyber Angriffe in der jüngsten Vergangenheit haben nur durch mangelndes Patchmanagement diese Schäden anrichten können. Dazu ist das Beispiel beliebig wählbar, ob die Reederei Maersk oder die FedEx Tochter TNT Express mit bis zu 300 Millionen USD Schaden, Reckitt Benckiser mit über 110 Millionen Euro oder der noch nicht zu beziffernde Schaden des Equifax Hacks mit der Entwendung von 143 Millionen Datensätzen von Bürgern der USA, Kanada und England. Alle diese Cyber Attacken haben einen gemeinsamen Nenner: Die zur Verfügung stehenden Patches wurden nicht installiert! Bei Equifax kam zudem noch ein schlecht geschützter Admin Zugang dazu.

Diese Tatsache ist nicht nur bei diesen Cyber Angriffen der Grund des massiven Ausmaßes oder der Garant des Erfolgs der Kriminellen, sondern auch fast aller anderen erfolgreichen Cyber Angriffe. Es werden immer die Schwachstellen in der Software genutzt um Schaden bei den Opfern anzurichten. Was einem vor allem zum Nachdenken bewegen sollte, ist auch die Tatsache, dass es in so gut wie allen Fällen schon Updates zum Schließen der Sicherheitslücke gegeben hat, welche einfach nicht installiert wurden. Wer jetzt, nach all dem Wissen, immer noch nicht die Einsicht hat, dass Patchmanagement ganz oben auf der Liste der Maßnahmen steht, der sollte auf jeden Fall seine Einstellung zum Betrieb einer IT Anlage dringend überdenken. Dies gilt auch vor allem für die vielen Webseitenbetreiber die, man muss hier schon sagen ignorant sind und sich einem Patchmanagement in weiten Teilen komplett verweigern. Auch hier sollten jedem klar sein, dass Joomla, Typo3, WordPress & Co. ständiger Pflege bedürfen.

Der Betrieb einer IT Infrastruktur verursacht Betriebskosten. Das ist einfach so, denn dies ist nichts anderes als eine Produktionsanlage oder ein Fahrzeug. Vor allem unter dem Gesichtspunkt von Industrie 4.0. Hier gehört sogar die IT Infrastruktur direkt und nicht nur indirekt zur Produktion. Es ist an der Zeit die IT als das zu sehen was sie wirklich ist: Ein unternehmenskritisches Element im Gesamtgefüge eines jeden Unternehmens. Dabei spielt es keine Rolle ob Enterprise, Mittelstand, Kleinunternehmen oder Einzelkämpfer. Alle sind primär von einer funktionierenden IT abhängig. Da helfen auch nicht so Aussagen, dass es auch ohne geht, denn nein, tut es nicht. Von diesem Gedanken sollte man sich sehr schnell lösen, denn es ist ein gefährlicher Trugschluss. Alle Industrie- und auch Schwellenländer sind hochgradig von IT abhängig. Diese Tatsache muss man akzeptieren, denn das ist die Welt in der wir alle leben. Durch diese Abhängigkeit ist die Wartung und Pflege der IT Infrastruktur sehr wichtig, weil die IT grundlegend die Basis unserer modernen Welt ist.

Wie die anderen Experten auch, empfehlen wir daher dringend ein geeignetes Patchmanagement zu etablieren und vor allen die Systeme zeitnah zu aktualisieren. Das zeitnahe Installieren von Updates ist alternativlos und wenn auch als lästige Arbeit angesehen, absolut notwendig. Dazu gehört auch das Ersetzen von Systemen für die es keine Updates bzw. Patches mehr gibt. Diese müssen ausgetauscht oder vom Netzwerk getrennt werden um nicht eine Gefahr für den ganzen Rest der Infrastruktur zu sein.

Ein weiterer Grund für ein Patchmanagement ist die Eindämmung eines Cyber Angriffs. Natürlich lässt sich nicht unter allem Umständen eine Infektion durch Schadcode verhindern, aber durch geeignete Maßnahmen seine Ausbreitung eindämmen . Es war ja schließlich nur eine Frage der Zeit, bis Ransomware und Wurm in Kombination auftreten um den Schaden für die Betroffenen zu maximieren. Hätten Maersk & Co. den schon von Microsoft im März bereitgestellten Patch installiert, wäre es mit großer Wahrscheinlichkeit nicht zu solchen massiven Schäden gekommen. Auch hätte durch eine geeignete Segmentierung und ein IPS zwischen den Segmenten den Schaden verringern können. Ein IPS Muster um den SMB1 Angriff zu erkennen steht zum Beispiel bei Fortinet schon ebenso frühzeitig zur Verfügung.

Das zeitnahe installieren von Updates und Patches ist eine der primären Präventivmaßnehmen in Sachen Cyber Security. An dieser Stelle noch mal der dringende Hinweis, die IT Systeme auf einem aktuellen Stand zu halten und auch die anderen Maßnahmen für einen sicheren Betrieb der IT nicht zu vernachlässigen. Die Sicherheit hängt von vielen Faktoren ab, daher muss das Gesamtkonzept stimmen. Zudem muss das Konzept immer wieder angepasst werden. Cyber Security ist kein statisches Gebilde, es ist ein dynamischer Prozess der nie endet – ausgenommen, Sie schalten ihre IT Infrastruktur ab.

NFV für den Mittelstand

Virtualisierung macht auch vor dem Netzwerk nicht Halt und immer mehr Komponenten aus dem Bereich der klassischen Hardware gibt es als virtuelle Systeme. Insbesondere durch vmwares NSX wandern mehr und mehr Netzwerkfunktionen in die virtuelle Welt. Dies haben auch die Hersteller von Netzwerkkomponenten erkannt und bieten ihrerseits immer mehr ihrer Produkte alternativ als VM an. Zudem ist die Verwendung von NFV ein sehr guter Ansatz um den Empfehlungen des BSI zur Segmentierung des Netzwerks und zum allgemeinen Schutz vor Cyber Attacken nachzukommen.

Die Komplexität von IT Infrastrukturen nimmt immer weiter zu und macht es für die Administratoren dadurch immer schwieriger den Überblick zu behalten. Dies hat sehr oft zur Folge, dass die potentielle Angriffsfläche für einen erfolgreiche Cyber Attacke viel größer ist, als diese sein müsste. Hier ist es notwendig die eigenen Konzepte neu zu überdenken, Systeme zu konsolidieren und gleichzeitig auch noch Kosten zu senken. Dieser Artikel richtet sich an den kleineren Mittelstand, die ebenso wie die größeren Unternehmen von den aktuelle und vor allem von den noch kommenden Cyber Attacken bedroht sind. Der Unterschied zwischen kleineren Mittelstand und den größeren Unternehmen besteht meist darin, dass ein deutlich geringeres IT Budget im Mittelstand zur Verfügung steht, als es eigentlich sein müsste um das auch dort benötigte Schutzniveau zu erreichen. Trotzdem steht die Forderung des BSI im Raum, das Netzwerk zu segmentieren und weitere Schutzmaßnahmen vor Cyber Angriffen zu ergreifen. Eine Orientierung am IT Grundschutz ist hier jedem zu empfehlen. Aber genau hier kann die Virtualisierung von Netzwerkfunktionen helfen um einen deutlich besseren Schutz zur Verfügung zu stellen. Natürlich haben virtuelle Netzwerkkomponenten einzeln betrachtet nicht die Leistung die durch spezielle Prozessoren in diesem Bereich erreicht werden und können sich mit den Leistungen diese Hardwaresysteme und ihren ASIC’s bzw. FPGA’s nicht messen. Die Frage ist aber, müssen sie dies auch in kleinen Umgebungen oder reicht die zur Verfügung stehende Leistung virtueller Netzwerkkomponenten nicht einfach aus? In sehr großen Umgebungen spielt Hardware mit ASIC Beschleunigung wiederum keine Rolle, denn hier liegt es an der schieren Masse der in Software abgebildeten Netzwerkfunktionen die zur Verfügung steht und damit ausreichend Leistung bereitstehen, die mit Hardware in der Gesamtbetrachtung von Flexibilität, Effektivität und Kosten nicht abzubilden ist. Ein Beispiel für NFV und den technischen Möglichkeiten ist Google’s Projekt Espresso.

Bei einer klassischen Client-Server Architektur bietet es sich an, dass Routing zwischen den Segmenten auf die virtuelle Infrastruktur auszulagern, insbesondere dann, wenn die Netzwerkkomponenten diese Funktion nicht erfüllen. Besonders in kleineren Umgebungen stehen Layer-3 Funktionalitäten häufig gar nicht erst zur Verfügung oder sie benötigen eine weitere kostenpflichtige Lizenz. Zudem bietet ein Core Switch mit einfacher Routing Funktion auch nicht den Schutz und die Kontrolle über die Daten zwischen den Segmenten und scheidet somit auch aus. Aber gerade diese Kontrolle ist nötig im sich gegen Schadcode wie WannaCry, NotPetya und vor allem ihren Nachfolgern zu schützen. Da die jüngsten Cyber Attacken so erfolgreich waren und beide eine Kombination aus Wurm und Ransomware eingesetzt haben, lernen natürlich die Kriminellen die hinter den Angriffen stehen, was sie in Zukunft noch besser ausnützen können. Es war eigentlich auch nur eine Frage der Zeit, diese beiden Angriffsvektoren zu kombinieren. Eine Komponente sorgt für die Verbreitung innerhalb einer Infrastruktur, so wie der Schadcode auf einem System aktiv wird und die andere Komponente richtet den Schaden an sich an. Jetzt ist es nur noch eine Frage der Zeit, bis die nächste Welle dieser hybriden Cyber Angriffen auf uns alle zukommt.

Gegen eine ungehinderte Verbreitung im eigenen Netzwerk hilft vor allem eine geeignete Segmentierung und was sehr wünschenswert ist, eine Inspektion der Daten zwischen den Segmenten um schon an dieser Stelle aktiv eingreifen zu können, wenn es zu Auffälligkeiten kommt. In kleineren Umgebungen braucht es in den aller meisten Fällen nur eine Kommunikation der Clients mit den Serversystemen. Daher bietet sich hier der Ansatz von NFV an, um mit den vorhandenen Systemen und nur durch die Erweiterung der virtuellen Umgebung einen deutlichen Mehrwert der Sicherheit erreichen zu können. Der erste Schritt für mehr IT Sicherheit ist das Segmentieren und dann auch die Segmente gegeneinander abzuschotten. Hier sind oft einfache Regeln schon ausreichend, die nur Netzwerkverkehr zwischen den Clients und den Servern zulassen und den Netzwerkverkehr zwischen den verschiedenen Client Segmenten unterbinden. Eine weitere Schutzschicht bildet die Hostfirewall auf den Clients, die dann dafür sorgt, dass Verbindungen zwischen den Clients innerhalb eines Segments unterbunden werden. Zum Schutz der virtuellen Server stellt vmware mit NSX ein sehr mächtiges Werkzeug zur Verfügung. Mit NSX stehen dann Schnittstellen bereit um weitere Sicherheitsebenen einzuführen. Diese reichen dann von normalen Firewall Regeln bis hin zur Integration von virtuellen Fortigate Systemen und Schutzsoftware, wie zum Beispiel einer Deep Security von Trendmicro.

So lassen sich durch das Einbringen von virtuellen Systemen für Netzwerk- und Sicherheitsfunktionen zusätzliche Sicherheitsebenen dem Cyber Security Konzept hinzufügen die gegenüber Hardware unter diesen Rahmenbedingungen ein besseres Kosten/Nutzen Verhältnis aufweisen. Der allerwichtigste Schritt ist aber die Segmentierung an sich. Wer aktuell dafür kein ausreichendes Budget zur Verfügung hat, um zum Beispiel neue Hardware oder auch kommerzielle virtuellen Systeme anzuschaffen, sollte einen Blick in die NFV Komponenten auf OpenSource Basis werfen. Diese bieten zwar keine Funktionen wie IPS, AppCtrl oder Flow-Based AV, wie sie durch eine virtuelle oder physikalische Fortigate zur Verfügung stehen, aber es lässt sich zumindest eine grundlegende Trennung der Segmente mit zumindest einer Stateful Firewall erreichen.

Das Ziel muss sein, dass Netzwerk zu segmentieren, wie es auch durch das BSI dringend empfohlen wird. Die Segmentierung bzw. Mikrosegmentierung ist derzeit alternativlos um vorbeugend gegen die aktuellen und kommenden Cyber Angriffe eine der Basismaßnahmen zu ergreifen. Dabei darf man es aber nicht belassen, denn zu einem umfassenden Security Konzept gehören auch mehrere Ebene die nur zusammen einen effektiven Schutz bieten. Vor allem müssen diese Security Layer auch immer wieder an die neuen Rahmenbedingungen angepasst werden. Security ist kein statischer Zustand, sondern ein stetiger Prozess.

Wenn Sie Fragen zum Thema haben, dann kontaktieren Sie unser Security Team per Mail.

Das richtige Storage

Die Wahl des richtigen Storage ist nicht gerade trivial. So viele Dinge sind bei der aktuellen Dynamik im Storage Markt nicht vorherzusagen. Die sich ständig wandelnden Rahmenbedingungen, die aktuellen und zukünftigen Anforderungen, das Bedenken der zukünftigen Applikationen und was sonst noch alles zu berücksichtigen ist, lässt noch nicht einmal über einen Zeitraum wie den kommenden zwei Jahren eine verlässliche Aussage zu. Daher ist eine passende Strategie in Sachen Storage sehr wichtig.

Das Thema Storage an sich ist seit wenigen Jahren nicht gerade trivial. Auf dem Markt gibt es sehr viele Hersteller, von den Dinos der Branche bis hin zu den auch manchmal reinen Software Startup’s, was es nicht gerade leicht macht die richtige Wahl zu treffen. Setzt man auf klassische Spindeln, Hybride Storages oder auf reinen Flash Hardware inklusive der Wahl von klassischen, neuen RAID und nonRAID Ansätzen? Latency ist zudem das neue IOPS und auch die Frage ob FC, FCoE, iSCSI, IB oder DAS. Das Ganze wird dann durch verschiedene Featuresets der Anbieter multipliziert und SDS potenziert alles noch mal – wenn man so will, ein multidimensionales Array der Entscheidung, was es als Beschreibung ganz gut zutrifft. Das ist jetzt der eine Teil bei der Frage, welches Storage nun das richtige ist, den es zu beantworten gilt. Der andere Teil sind die Anforderungen an sich, die ja auch nicht gerade statisch daherkommen und sich am Wandel der Applikationen und Speichermengen orientieren. Die hyperkonvergenten Systeme wie Nutanix, SvSAN, VSAN, vSAN und die Storage Server u.a. von SuSE, Redhat, Microsoft oder den OpenSource Varianten packen die nächsten Dimensionen zusätzlich oben drauf. Dann kommt noch hinzu, dass man vor der Frage steht, wohin denn der Weg mit der IT überhaupt führt? An dieser Stelle wäre jetzt eine funktionierende Glaskugel für den Blick in die Zukunft wirklich sehr hilfreich. Dann wüsste man, welche Anforderungen man in der Zukunft zu bewältigen hat und vor allem, welcher Storage oder Software Hersteller in der Zukunft noch am Markt ist. Gefühlt ist es wie bei Schrödingers Katze aus der Quantenphysik, alleine durch hinsehen ändern sich die Zustände aller Rahmenbedingungen, Optionen und sonstigen Variablen. Was also tun?

Man konzentriert sich auf das jetzt, hält die Skalierbarkeit im Auge und stellt sich etwas breiter auf. Zudem beachtet man ein paar wenige Dinge. Auf dieser Basis bekommt auch in den kommenden Jahren eine zuverlässige, stabile und leistungsfähige Storage Infrastruktur. Der Ansatz zwei unterschiedliche Strategien für Anwendungen und unstrukturierte Daten zu wählen bietet sich geradezu an. Dies hat auch den Vorteil, dass damit die Tür in Sachen Hyperconverged Infrastructure (HCI) und Software Defined Storage (SDS) weiter geöffnet wird und sich somit ganz neue Möglichkeiten bieten. Trennt man durch die unterschiedlichen Strategien die unstrukturierten Daten von den Applikationen bzw. den klassischen Servern, ändern sich automatisch die Anforderungen an die Speicher der HCI Systeme. Damit eine solche Trennung Sinn macht, muss man einen steigenden Platzbedarf bei einem Startvolumen ab 30+ TB an unstrukturierten Daten haben. Erst ab dann spielen Systeme wie Quantum Xcellis ihre Vorteile aus. Hat man aber diesen Bedarf, den die meisten haben werden, dann führt fast kein Weg an einer solchen Lösung vorbei. Eine Lösung auf Xcellis mit Disk und Tapes erfüllt mehrere Anforderungen für die dort abgelegten Daten auf einmal. Zu diesen Anforderungen gehören ein mögliches Wachstum bis in den hohen Petabyte Bereich, Versionsstände der Dateien, Archivierung und Backup auf Tape, was an mehreren Standorten abgelegt werden kann. Dazu kommt der Synergieeffekt die Kosten für den Betrieb durch das Archivieren der Langzeitdaten auf Tape sehr gering zu halten. Das Xcellis System stellt SMB/CIFS, NFS und S3 zur Verfügung und lässt sich sogar logisch Partitionieren, was zum Beispiel eine Trennung von Abteilungen auf System und nicht auf Ebene des Shares möglich macht. Durch die zur Verfügung stehende S3 Schnittstelle können Webanwendungen direkt mit der Xcellis verbunden werden. Mit dem System „Store Next“ von Quantum hat man eine solide Basis für seine unstrukturierten Daten, die zudem hervorragend skaliert und die Daten durch die Bereitstellung über mindestens zwei Datacenter hochverfügbar vorhält. Hat man diesen Schritt getan, so kann man sich jetzt ganz auf die Daten für die Anwendungen konzentrieren.

Bei den Anwendungsdaten ist die Wahl nicht ganz so einfach wie bei den unstrukturierten Daten. Es gilt als erstes eine grundlegende Entscheidung zu treffen: Wird ein synchroner Spiegel der Daten benötigt oder nicht. Ist dies der Fall und werden noch weitere Funktionen wie AutoTiering oder CDP benötigt, dann ist Datacore das Mittel der Wahl. Je nach Anforderung steht eine Implementierung als HCI Lösung, physikalische Storage Server und hier mit und ohne entsprechende Erweiterung der durch den Server zur Verfügung stehenden internen Platten. Wird kein synchroner Spiegel benötigt, was sehr genau geprüft werden sollte, dann kann man auf zum Beispiel Quantum QXS4 Systeme mit der Hybrid und Q-Tiering Technik zurückgreifen. Aber noch mal der Hinweis zur Verfügbarkeit der Daten, wenn nicht ein synchroner Spiegel mit CDP zum Einsatz kommt. Zwar sollten SAN’s immer mit redundanten Controllern und Netzteilen sowie entsprechenden RAID Arrays ausgestattet sein, können diese trotzdem ausfallen. Bei einem „Totalschaden“ sind die Daten weg und man muss auf das letzte Backup zurückgreifen. Üblicher Weise verliert man mindestens einen Arbeitstag plus Zeit für die Rücksicherung. Die Wahrscheinlichkeit, dass genau in dem Moment der Defekt auftritt, wenn man ein aktuelles Backup hat und zudem in der Zeit des Backups keine Daten verändert wurden ist sehr sehr unwahrscheinlich. Dieses Glück wird einem normal nicht zu Teil. Daher muss, wenn man schon auf einen synchronen Spiegel im Storage verzichtet, die Verfügbarkeit von den Anwendungen selbst kommen. So muss man zum Beispiel entsprechende Cluster Systeme von Datenbanken, Exchange und anderen Servern aufbauen. Das funktioniert nur bis zu einem gewissen Grad, da die Komplexität durch solche Lösungen nicht kleiner wird, zumal man die Affinität dann bei den Storages beachten muss. Es kommt sehr schnell der Punkt, dass eine Hochverfügbarkeit die aus dem Storage selbst kommt die effizientere und wesentlich einfachere Lösung ist.

Jetzt steht noch die Überlegung an, reine Flash Systeme oder doch aus Gründen der Wirtschaftlichkeit auf Hybrid Systeme mit AutoTiering zu setzen. Bei den meisten Szenarien ist der Ansatz eines Hybrid System mit Tiering die bessere Wahl. Damit kombiniert man geringe Latenz und hohe IO-Werte bei gleichzeitig großer Kapazität zu vernünftigen Kosten. Der Ansatz mit zwei Strategien für die unterschiedlichen Anforderungen zu arbeiten, macht es wieder einfacher die Wahl im Bereich des Storage zu treffen. Egal wie die Wahl im Bereich des Storage aussieht, kommt jetzt noch der aller wichtigste Punkte für die eigenen Daten: Das Backup!

 

Das Backup ist die Lebensversicherung jedes Unternehmens und es müssen qualitativ sehr hochwerte Komponenten zu Einsatz kommen. Vor allem müssen diese Speichersysteme viel Platz bei gleichzeitig hoher Leistung bieten. Der Grund dafür ist ganz einfach, die Datenmengen werden immer größer und das Backup muss trotzdem in einer zum Unternehmen passenden Zeit abgeschlossen sein. Da moderne Backups mit Kompression und Deduplizierung arbeiten, ist nicht nur ein linearer Zugriff auf das Repository gefragt, sondern, um in der Sprache des Storage zu bleiben, eine hohe Performance im Random Access. Das bedeutet aber auch, dass man im ersten Schritt ein Backup-to-Disk durchführt und entsprechende Revisionsstände im Repository vorhält. Dabei sind zusätzlich zu den üblichen Tagesbackups noch Wochen-, Monats- und auch Jahres-Backups völlig normal. Das stellt einen sicheren Betrieb des Backups vor völlig neue Herausforderungen. Es gibt so genannte Bit-Kipper auf den Speichermedien, bei denen sich Daten ohne Schreiboperationen ändern. Das CERN hat mit seinen Daten dazu eine Studie durchgeführt und ist dabei zum Ergebnis gekommen, dass in einem Terrabyte Daten sich zwischen ein bis vier defekte Dateien befinden. Das hat nun zur Folge, dass das eigene Backup auf das man sich alternativlos verlassen muss, möglicherwiese defekte Inhalte hat, wenn nicht die passenden Systeme dafür eingesetzt werden. Das CERN hat nun gegenüber anderen ganz andere Volumina bei seinen Daten, was aber nichts daran ändert, dass es je Terrabyte entsprechend defekte Dateien gibt. Bei einem Textdokument erscheint vielleicht ein solcher Fehler als „Tippfehler“, bei einem Backup sieht es aber ganz anders aus, wenn man sich darauf nicht mehr verlassen kann. Das CERN setzt, um solche Defekte zu vermeiden, die ganze Forschungsergebnisse vernichten können, auf ZFS zur Speicherung seiner Daten. Das ist eine sehr gute Wahl, denn ZFS bietet für Metadaten und die Daten an sich Prüfsummen, um genau diese Fehler zu erkennen und zu korrigieren. Zudem bietet es ein Software RAID, welches so ausgelegt ist, dass selbst bei einem Ausfall im Schreibprozess die Konsistenz der Daten bzw. des Volume nicht verloren geht. Die Erfahrungen und vor allem die Erkenntnisse des CERN sollte bzw. muss man sich nun zu Nutze machen, damit die eigenen Daten des Backups auch sicher und dies ganz besonders bei langfristiger Aufbewahrung gespeichert sind.

Mit diesem Wissen und der Anforderung an ein Backup ist es sehr wichtig Systeme auszuwählen, welche die entsprechenden Sicherheiten bieten, die diese Daten benötigen. Handelsübliche NAS Systeme sind qualitativ keine schlechten Systeme, jedoch basieren viele auf Linux mit den Subsystemen md, LVM und dem häufig Dateisystem ext4. Es gibt auch NAS Systeme die auf ZFS basieren. Diese eignen sich daher schon eher für eine langfristige Aufbewahrung. Jedoch haben diese NAS Systeme alle eins gemein, dass die Hersteller nur für einen gewissen Zeitraum Support für diese Systeme in Form von Firmware Updates bieten. Die SambaCry Attacke hat aber gezeigt, wie wichtig auch für diese Systeme entsprechende Updates sind. Daher muss insbesondere für das Backup und dessen Ansprüche ein entsprechend hochwertiges Storage gewählt werden. Die Kosten spielen natürlich bei allen Überlegungen eine Rolle und wenn das aktuelle Budget einen Wechsel zu einem professionellen Backup-Storage nicht zulässt, aber die vorhandenen NAS Systeme aus dem Support sind und sogar noch gegen die SambaCry Lücke anfällig, hilft ein Blick zu möglichen Alternative auf Basis von OpenSource. Damit lässt sich ein Repostory Server aufbauen, der wieder unter „Support“ ist und auch die entsprechenden Dateisysteme mitbringt. Als Hardware genügt hier ein einfacher Storage Server mit JBOD und je nach Leistung entsprechende SSD’s für den ARC. Damit steht das Backup wieder auf einer soliden Basis und man kann ganz in Ruhe an die Planung des zukünftigen Konzepts für das Backup gehen.

Die Beachtung der 3-2-1 Regel für das Backup ist davon unabhängig und grundsätzlich zu beachten. Die Regel ist denkbar einfach, 3 Kopien der Daten, 2 Medien (Disk und Tape) und 1 Datensatz offline für den Fall der Fälle. Gerade auf dem Hintergrund der Ransomware ist das Backup die letzte Instanz die man hat.

 

Cyber Angriffswelle Petya – Wichtige Hinweise

Auf Grund der aktuellen Gefahrenlage möchten wir noch einmal ausdrücklich auf die vom BSI empfohlenen Maßnahmen hinweisen um sich gegen die aktuelle Angriffswelle zu schützen:

Das BSI rät dringend dazu, folgende Schutzmaßnahmen umzusetzen:

  • auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen
  • Auf infizierten Rechnern sollten alle Passwörter geändert werden
  • infizierte Rechner sollten idealerweise neu aufgesetzt werden
  • Umsetzung einer Netzwerksegmentierung
  • Erstellen und Vorhalten von Daten-Sicherungen (Backups)
  • Überprüfung der Administratorenrechte:
    • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
    • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben
    • Idealerweise sollte der lokale Administrator deaktiviert sein
  • Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches MS17-010
  • Aktualisierung der eingesetzten Antiviren-Programme

Das BSI empfiehlt zudem, im Zweifel externe IT-Fachkräfte zur Analyse und Bereinigung der Infektionen hinzuzuziehen.

 

Nach aktuellen Erkenntnissen des BSI ist der Cyber Angriff Petya oder auch: NotPetya, ExPetr, DiskCoder, wie der Schadcode ebenfalls bezeichnet wird größer angenommen und stellt auch für deutsche Unternehmen eine große Gefahr da. Daher möchten wir noch mal nachdrücklich auf die Maßnahmen hinweisen, die unbedingt umgesetzt werden sollten. Bei Fragen stehen wir wie gewohnt zur Verfügung oder schreiben sie direkt an unser Security Team.

Erfüllt Mail noch die Anforderungen an die Kommunikation von heute?

Zugegeben diese Frage ist nicht einfach zu beantworten. Vor allem auch deshalb nicht, weil es global kein alternatives System gibt, was diesen Platz einnehmen könnte. Innerhalb eines Unternehmens oder eines Teams gibt es sehr wohl deutlich bessere Kommunikationsmöglichkeiten als die mittlerweile 40 Jahre alte Kommunikation mit Mails.

 

Dass die elektronische Mail mit Stand jetzt in der Kommunikation über die Grenzen des Unternehmens hinweg zurzeit alternativlos ist, daran besteht kein Zweifel. Denn es ist nun mal der globale Standard an dem alle teilnehmen bzw. auf den sich alle geeinigt haben. Bei internen Lösungen sieht es, was die Unternehmen angeht völlig anders aus, hier gibt es viele Ansätze aber es hat sich noch keine der Ansätze durchsetzen können. Im privaten Bereich haben aber Messanger wie WhatsApp & Co. oder die Social Network Plattformen längst die Mail (fast) vollständig verdrängt. Für alle die an solchen Plattformen teilnehmen ist Mail schon seit Jahren kein Thema mehr. Jetzt lassen sich natürlich Facebook und die Messanger nicht so einfach auf ein Unternehmen übertragen, es zeigt aber, dass es ohne Mail geht.

In der internen Kommunikation bei Unternehmen und von Teams innerhalb der Unternehmen oder auch von diesen Teams mit Kooperationspartners ist Mail nicht mehr unbedingt „das“ Mittel der Wahl, wenn es um die Zusammenarbeit geht. Hier haben andere Werkzeuge längst die Mail verdrängt, aber nicht vollständig. Dies liegt nicht an den neuen Werkzeugen oder deren möglichen Unzulänglichkeiten die zur Verfügung stehen, sondern es liegt an den Personen. Bevor es die Alternativen gab, war Mail die einzige Option und wenn man wie gewohnt immer zu Mail greift, dann wird der Prozess ein besseres Werkzeug zu benutzen noch etwas Zeit brauchen bevor es in den Köpfen ist, dass es da noch was Anderes gibt. Das “instinktiv” zur Mail gegriffen wird, ist oft keine böse Absicht, es wird einfach nicht dran gedacht das neue Werkzeug zu nutzen. Natürlich gibt es auch immer noch diejenigen die sich den neuen Dingen verweigern und somit auch damit die anderen zwingen auf die Mail zurückgreifen zu müssen. Wer aber einmal die Vorteile der anderen Werkzeuge zu schätzen gelernt hat, der will sie nicht mehr missen.

Wenn man ganz ehrlich ist, dann ist die täglich Flut an Mails nahezu unerträglich. Das Medium Mail wird einfach nur noch inflationär benutzt ohne darüber nachzudenken, wie auch alle möglichen Leute mit in Kopie zu nehmen. Man verbringt die meiste Zeit damit, herauszufinden ob es denn für einen wichtig ist, wo man nur mit in Kopie ist. Wer sich hier wiederfindet ist zumindest nicht alleine. Vor gut zwei Monaten gab es einen sehr interessanten Artikel ist der F.A.S. vom Airbus-Vorstand Dirk Hoke, der sich mit dem Wandel in Unternehmen weg von der Mail beschäftigt. Zum Thema Mail und vor allem zum Thema in CC nehmen gab es ebenfalls einen lesenswerten Artikel auf SPON. In diesem Artikel ging es u.a., dass durch die ständige Nutzung andere mit in CC zu nehmen es in vielen Fällen einfach nur darum geht verantworten von sich wegzuschieben. Denn so ist immer die Tür offen zu sagen, dass man in CC und somit ja schließlich auch informiert war. Natürlich gib es immer wieder Fälle, bei denen es richtig ist in CC oder auch vielleicht im BCC zu stehen. Aber – und das ist der Punkt um den es geht, nicht bei aller und jeder Konversation die geführt wird. Vor allem dann nicht, wenn Mail wie eine Chat Applikation genutzt wird. Mail war und ist einfach nicht dafür gemacht. Hier sollten sich auch noch mal alle darüber klarwerden, was Mail denn eigentlich ist. Mail ist der digitale Ersatz eines physikalischen Briefes, also das aus Papier, in dem Umschlag der mit dem gelben Auto einmal am Tag vorbeigebracht wird. Das ist Mail, so wurde sie vor 40 Jahren konzipiert, mit all ihren Einschränkungen und aber auch Vorteilen. Mail ist aber nun mal keine Echtzeitkommunikation oder gar dafür gedacht organisatorische Aufgaben und die Koordination in dynamischen Teams abzubilden. Denn genau das ist der Grund, warum Mail heute fast nur noch als Belastung und nicht mehr als Entlastung wahrgenommen wird – und zurecht. Auch ist Mail nicht dafür gedacht gemeinsam an Dokumenten zu arbeiten und sich die verschiedenen Versionen immer wieder gegenseitig zuzusenden. Es ist also an der Zeit die Dinge neu zu ordnen, neu zu bewerten und auch neue Wege zu gehen. So wie sich die Nutzung von Mail entwickelt hat, kann es nicht mehr weitergehen. Dies gilt auch auf Seiten der Administration, der Aufwand für den Betrieb der riesigen Datenmengen in den Datenbanken der Mailsysteme ist kaum noch zu bewältigen. Ohne eine Änderung der Kommunikation wird diese Situation zukünftig nur noch schlimmer. Es ist also an der Zeit über Alternativen ernsthaft nachzudenken.

Aber hier stellt sich dann die Frage, welche Anwendung denn das richtige Werkzeug ist, was man als IT Abteilung seinen Anwendern an die Hand geben möchte. Je mehr neue Mitarbeiter in die Unternehmen kommen, die mit den Messangern und den Social Media Plattformen aufgewachsen sind, werden die Rufe nach solchen Lösungen immer lauter und die Mail an sich wird dadurch immer weiter verdrängt. Dass das so ist, zeigt sich in den Bestrebungen wie zum Beispiel von Microsoft oder IBM. Microsoft ist mit seinem Exchange mehr oder weniger als Platzhirsch in Sachen Groupware Lösungen für Unternehmen zu bezeichnen. IBM hat zwar mit Notes auch noch Marktanteile aber im Vergleich zu Microsoft ist das Bild mehr als nur deutlich zugunsten Exchange. IBM hat schon vor gut zwei Jahren angekündigt eine Alternative zu Mail entwickeln zu wollen. Im Backend soll IBM Watson helfen die Konversationen zu ordnen, wichtiges von unwichtigen zu trennen und als Bot einfach Aufgaben von alleine erledigen. Die klassische Mail ist mit integriert, aber nicht das zentrale Element. Soweit also die Vision von IBM. Microsoft sieht es wohl etwas anders und setzt hier eher auf Skype for Business bzw. auf den Zukauf Yammer der jetzt zu Office 365 gehört, um somit die Anforderungen an die zukünftigen Wünsche in Sachen Kommunikation zu erfüllen. Wie man es auch dreht und wendet, Mail hat ihre Berechtigung aber Mail ist eben nicht die Lösung für alles und dies gilt im Besonderen in Sachen interner Unternehmenskommunikation. Es wird hier definitiv Zeit für neue Wege und Lösungen, die es den Mitarbeitern einfach machen miteinander in Kontakt zu bleiben und vor allem die Übersicht zu behalten. Diese neuen Wege und Lösungen machen aber nicht halt bei der Kommunikation, sondern diese gehen auch noch weiter was die Anwendungen betrifft die wir in Zukunft nutzen werden. Applikationen im Browser und Apps auf mobilen Geräten werden die klassischen lokal installierten Anwendungen verdrängen. Der Wandel hat schon begonnen und wird sich in Zukunft noch mehr beschleunigen. Der positive Nebeneffekt dieser Art von Applikationen entlastet die IT Abteilung im hohen Maße in Sachen Softwareverteilung und deren Aktualisierung. Das zentrale Element dieser Applikationen ist der Webserver mit all der Flexibilität die damit einher geht. Die kommenden Anwendungen nutzen Port 443. Bei Google oft UDP mit dem QUIC Protokoll und bei vielen anderen schon HTTP/2.

Zumindest ist es jetzt an der Zeit sich die möglichen Optionen für eine bessere Zusammenarbeit genauer anzusehen und sich auch ernsthaft damit beschäftigen wie man diese im eigenen Unternehmen nutzen und auch einführen kann. Man muss ja nicht gleich mit der eigenen Social Media Plattform starten und komplett in die Cloud wechseln. Es gibt sehr gute on premise Lösungen die man einfach nur nutzen muss um von den Vorzügen profitieren zu können. Bei den Messengern ist es ohne Cloud aber schon sehr schwierig die passende Lösung zu finden. Gerade im Hinblick der vielen mobilen Geräte und der Einfachheit durch die fertigen App Stores.
Im Folgenden ein paar Beispiele die einen Ausblick geben, wohin sich Anwendungen entwickeln derzeit hin entwickeln:

 

Zammad – Ist eine Helpdesk- oder Ticket-Lösung für all diejenigen denen JIRA, Zendesk, OTRS & Co. eine oder mehrere Nummern zu groß ist. Dabei ist Zammad universell einsetzbar, es ist nicht nur ein Tool für die IT, um die Supportanfragen bearbeiten zu können. Es kann auch problemlos im Endkundenkontakt oder für Gruppen-Mailadressen genutzt werden. Zum Beispiel alle Betreiber von online Shops die Kundenanfragen oder Reklamationen im Team bearbeiten müssen, finden in Zammad ein Werkzeug was ihnen dabei effektiv hilft die Anfragen zentrale zu ordnen und zu bearbeiten. Zammad ist übersichtlich, hat eine sehr gute Suchfunktion und läuft vor allem im Browser. Es muss kein Client installiert werden, was es sehr benutzerfreundlich macht. Gerade die Integration von Zammad in Facebook, Twitter, Telegram oder in die eigene Webseite macht es dem Team einfach mit seinen Kunden oder den eigenen Benutzern in Kontakt zu bleiben. Das Team nutzt die Browser App und der Kunde kann von Mail über die Plattformen bis hin zum Web Chat alles nutzen, was er möchte. Zammad kümmert sich darum die Kommunikation mit dem Kunden oder eigenen Anwender für das Team übersichtlich zu kanalisieren und entsprechend zu ordnen. So ist jeder im Team über den jeweiligen Stand informiert. Im Hintergrund unterstützt Zammad das Team, damit zum Beispiel kein Ticket vergessen wird und eine Antwort an den Kunden oder Anwender ausbleibt. Diese Unterstützung kann durch die Überwachung hinterlegter SLA’s erweitert werden.

Confluence – von Atlassian ist nicht nur einfach ein Wiki, sondern es ist „das“ Wiki und eine sehr gute Kollaborationsplattform und Intranet ohne die Komplexität eines SharePoints. Mit seiner AD Anbindung passt es problemlos in die Welt von Microsoft. Durch seinen unzähligen AddOns und PlugIns lässt es sich an fast jede beliebige Aufgabe anpassen. Confluence ist die Plattform wenn es um Kollaboration und Wiki geht, ganz egal für was es auch immer genutzt werden soll.

Slack – Ist Instant Messaging für Teams mit einer strategischen Partnerschaft zur Google Cloud und nur als Cloud Service verfügbar. Es kann als Browser App oder auch als App unter Windows, macOS oder die mobilen Betriebssysteme genutzt werden. Es lassen sich Personen- oder auch Gruppen-Chats führen und auch Dokumente mit Slack austauschen. Es funktioniert ähnlich wie WhatsApp aber eben als Team Kommunikation im Unternehmen. Es gibt über Web Hooks zum Beispiel eine Anbindung an Zammad, damit Updates über Tickets entsprechend auch in Slack angezeigt werden. Slack bietet zur verbesserten Sicherheit auch eine Zweifaktorauthentifizierung an, um den Zugang entsprechend abzusichern.

Yammer – Gehört zu Office 365 und ist eine Art unternehmensinternes Soziales Netzwerk für Zusammenarbeit und Kommunikation. Es ist auch nur als Cloud Version innerhalb von Office 365 verfügbar. Es bietet Funktionen wie Slack aber eben auch wie ein internes „Facebook“. Wer schon Office 365 nutzt oder dessen Nutzung plant und Yammer nutzen möchte, benötigt eine entsprechende Office Lizenzvariante, damit Yammer auch Bestandteil davon ist.
teamup – Ist ein Team- oder Gruppen-Kalender in der Cloud. Zugang gibt es über einen Link auf diesen Kalender. Hier muss jeder für sich entscheiden ob diese ausreichend ist. Auf der anderen Seite einen freien Google Kalender einzubinden ist wahrscheinlich auch nicht besser, was die Sicherheit der Informationen dort angeht. teamup ist hier nur ein Beispiel für einen Teamkalander in der Cloud, aber auch hier zeichnet sich der Weg hin zur Integration mit anderen Cloud Services und eben auch als Browser App ab.

draw.io – Was OmniGraffle auf dem Mac oder Visio auf Windows, ist draw.io im Browser. Eine weitere alternative in diesem Bereich ist gliffy, wobei draw.io auch auf einem eigenen Server oder als Chrome App bereitgestellt werden kann. Gliffy und draw.io gemein, ist deren Integration in Confluence mit entsprechend automatischer Versionierung der Zeichnungen. Einer der großen Vorteile von draw.io ist das einfache weitergeben von Zeichnungen an Mitarbeiter, Partner oder Kunden. Dadurch das draw.io einfach im Browser läuft und trotzdem mit lokalen Dateien umgehen kann, muss man sich keine Gedanken machen, ob den der Empfänger die passende Applikation hat, wenn man zum Beispiel Visio verwendet. In draw.io können Visio Stencils (vssx) einfach importiert werden und stehen so wie gewohnt zur Verfügung. Zudem bringt die online Version sehr viele Stencils mit, die für die meisten völlig ausreichend sein dürften. Microsoft hat die Vorteile der Browser Apps ebenfalls erkannt und stellt seit wenigen Wochen Visio auch als online Version für den Browser im Rahmen Office 365 bereit. Jedoch nicht in jeder Office 365 Lizenz, wer dies nutzen möchte muss hier prüfen, ob er denn die passende Lizenz besitzt.

 

Bei den meisten Team- oder Gruppenanwendungen gibt es vorrangig die Cloud Lösungen. Hier sind nur sehr wenige Lösung vorhanden, die auf den eigenen Servern betrieben werden können. Der Einsatz der Cloud ist bei diesen Anwendungen, wenn man den Gedanken bis zuletzt denkt, die einzig passende Option um mobile Geräte und verteilte Teams mit all den verschiedenen und teils auch parallel genutzten Endgeräten zusammenzubringen. Das Thema Datenschutz ist sehr wichtig und sollte immer mit in die Überlegungen mit einbezogen werden. Was man aber immer bedenken sollte, Mail ist in den allermeisten Fällen nicht Ende-zu-Ende verschlüsselt, dafür aber viele der Messenger. Trotzdem würde ich persönlich über WhatsApp keine vertraulichen Interna kommunizieren. Hier sind Messenger wie Threema oder Signal besser geeignet. Zudem hat man dann auch einen Zweitweg über den man sensible Daten austauschen kann. Wer die normale Mail hier immer noch als sicherer betrachtet, muss sich im Klaren sein, dass Mail so gesehen nur eine Postkarte ist. Es ist zwar richtig, dass mittlerweile der Transportweg mit TLS abgesichert ist, wobei es hier immer noch Mailsysteme gibt, die dies nicht anbieten. Trotzdem kontrolliert doch niemand, bis auf wohl wenige Ausnahmen ob die Gegenstelle denn wirklich derjenige ist, für die sich ausgegeben wird. Ob öffentlich, selfsign oder zu schwach Verschlüsselt wird doch in 99,97% der Verbindungen gar nicht geprüft. Gerade Sätze, wie „Es kann ja wohl in der heutigen Zeit nicht sein, dass meine Mail nicht ankommt“ und im Zweifel, weil alle Anwender es in der kompletten Hierarchie eines Unternehmens es einfach immer erwarten, bleibt eben die Sicherheit auf der Strecke. Zudem alle Mailgateways durch die „TLS Verweigere“ die es immer noch gibt als Fallback auf unverschlüsselte Klartext Kommunikation zurückfallen. Und noch mal, es ist nur der Transportweg, auf den jeweiligen Mailgateways und Mailservern selbst, sind die Mails immer im Klartext vorhanden. In Anbetracht dessen relativiert sich der Einsatz von in der Cloud betriebenen Messenger und Kommunikationsplattformen. Auch auf dem Hintergrund, dass bei Mail eine Ende-zu-Ende Verschlüsselung definitiv gescheitert ist. Nicht zuletzt auch deshalb, dass Verschlüsselung mit benutzerspezifischen Schlüsseln und zentrale Archivierung in letzter Konsequenz nicht zueinander passen.

Dieser Beitrag kann nicht die universelle Antwort liefern, die man sich vielleicht erhofft hat. Dazu ist das Thema viel zu individuell und auch zu komplex. Vor allem steht und fällt eine alternative Lösung mit den eigenen Anwendern und deren Akzeptanz neue Lösungen auch konsequent zu nutzen. Aber was der Beitrag kann ist einen neuen Blickwinkel auf das Thema Kommunikation, Zusammenarbeit und Browser basierende Anwendungen zu liefern. Wie Mark Andreessen (Mitgründer von Netscape) dies schon Visionär vor über 20 Jahren vorhersagte, kommen wir nun langsam zu diesem Punkt, an dem der Browser die ultimative Basis und das eigentliche Betriebssystem austauschbar ist – nicht wird.

Wenn Sie Fragen zu Thema browserbasierende Anwendungen und deren Sicherheit und Absicherung haben, stehen wir wie gewohnt zur Verfügung.

WannaCry im Sog von DoublePulsar

Geplant war es einen anderen Beitrag im Blog online zu stellen, aber die aktuellen Ereignisse zu ignorieren geht natürlich auch nicht. Daher haben wir uns entschlossen das Thema passend zu den aktuellen Ereignissen zu ändern. Der ursprüngliche Beitrag mit dem Thema eMail als Kommunikationsplattform im Unternehmen ist für den nächsten Monat geplant.

Jetzt ist es passiert und zwar mit Ansage! Primär sind natürlich diejenigen schuldig, die den Schadcode entwickelt haben um damit Geld von den Opfern zu erpressen. Genauso Schuld sind aber auch die “Sicherheitsdienste”, die die Lücke verschwiegen haben, Microsoft und sein Patch Management, die Unternehmen, die veraltete oder nicht aktualisierte Systeme einsetzen und zum Schluss der Anwender selbst. Schuld haben an dem aktuellen Zustand der globalen IT Infrastruktur alle. Wichtig ist es jetzt aber aus den Fehlern endlich mal zu lernen, diese objektiv und sachlich zu betrachten und dann vor allem auch Konsequenzen daraus zu ziehen und natürlich entsprechende Maßnahmen ergreifen und diese zeitnah umzusetzen. Aber jetzt erst einmal der Reihe nach:

Die Sicherheitsdienste eines Staates sollen den Staat selbst, die Verfassung und natürlich die eigenen Bürger schützen. Das Verschweigen einer solch gravierenden Sicherheitslücke in dem meistgenutzten Betriebssystem – wobei jetzt auch nachweislich Menschenleben gefährdet wurden – zeigt nur zu deutlich wie sie ihrer Aufgabe „gerecht“ werden. Da stimmen die Prioritäten nicht mehr, man lässt sein eigenes Land völlig ungeschützt, nimmt Schäden der ganzen Infrastruktur des eigenen Landes in Kauf und das nur für den vermeintlich eigenen Vorteil andere Systeme hacken zu können? Vor allem wer sagt denn, dass nicht Dritte auch auf die Lücke hätten kommen können. Was wäre denn dann gewesen? So gesehen stimmt bei den Diensten grundsätzlich gar nichts mehr und dann sollen deren Befugnisse noch immer weiter ausgebaut werden? Die Begründungen der Politik sind beliebig austauschbar, ob Kinderpornographie, organisiertes Verbrechen, Terrorismus, schwerste Straftaten usw. suchen sie sich einfach etwas aus, es passt oberflächlich in jeder Argumentation. Dazu zählt genauso die schwachsinnige Idee Verschlüsselung zu schwächen oder gar mit Hintertüren zu versehen. Wie gut sich die Schlüssel oder Hintertüren unter Verschluss halten lassen, haben die Shadow Brokers der ganzen Welt aufgezeigt. Als würde es die wirklichen Kriminellen, Terroristen oder “feindliche” Sicherheitsdienste anderer Staaten interessieren, dass diese Zugänge nur den jeweiligen Dienst des eigenen Staates vorbehalten sind. Im Gegenteil, die reiben sich die Hände, in Anbetracht solcher Sollbruchstellen. All diejenigen, die diese Hintertüren und Sollbruchstellen fordern, sind einfach nur dumm und blauäugig, wenn sie wirklich glauben, dass andere diese Schwachstellen nicht für sich ausnutzen würden. Die grundlegende Ausrichtung der Sicherheitsdienste und vor allem deren Einstellung sollte hinterfragt und auch angepasst werden. Dies gilt auch für die Politik, IT Sicherheitsgesetze auf den Weg bringen und auf der anderen Seite ganz bewusst die komplette IT Infrastruktur des eigenen Landes so verwundbar dastehen zu lassen. Dabei ist es völlig egal, ob bewusst oder unbewusst, alleine durch die mangelnden Vorgaben oder Überwachung der eigenen Dienste sind hier große Fehler gemacht worden. Daher eine ganz klare Mitschuld von den Diensten und der Politik an dieser Cyber Attacke. Die aktuellen Forderungen aus der Politik sind ebenso unverschämt wie peinlich. Die eigenen Dienste nicht kontrollieren zu können und sich jetzt noch hinzustellen und eine Ausweitung der IT Sicherheitsgesetze und eine Meldepflicht zu fordern. Dies soll wahrscheinlich nur von den eigenen Versäumnissen und dem Unvermögen in der Vergangenheit ablenken.

Kommen wir zu Microsoft, die ebenfalls einen großen Teil der Schuld an dem Ausmaß tragen. Das Patch Management von Microsoft ist gelinde gesagt schlichtweg eine Frechheit, unabhängig von den anderen Bemühungen was die Sicherheit der Systeme angeht. Angefangen damit, wie lange Microsoft braucht Patches zu liefern, ihren albernen Patch Day, der Qualität der Patches und nicht zuletzt das Volumen der Patches selbst. Daran ändert auch nichts, für XP noch einen Patch nachzureichen. Die Folgen dieses Patch Miss-Management von Microsoft sind sehr weitreichend. Alleine die Größe der Patches macht für die IT Abteilung ein zeitnahes Ausrollen sehr schwierig oder oft so gut wie unmöglich. Dann sind da noch die Abhängigkeiten der Anwendungen und die Freigabe der Patches durch deren Hersteller und nicht zuletzt die oft mangelnde Qualität der Patches und die damit verbundenen Folgen. Daher müssen IT Abteilung selbst unter großen Aufwand Tests durchführen, ob denn zum Beispiel noch nach den Patches alles funktioniert und die eigenen Anwender arbeiten können. Oft haben die IT Abteilungen nur die Wahl Not gegen Elend. Installiert man die Patches nicht, ist man angreifbar, installiert man sie doch, funktionieren die Systeme nicht mehr so wie sie sollen und bei Drittanbietersoftware bekommt man im Anschluss daran keinen Support, da der Patch nicht freigegeben war oder ist. Alles in allem hat dadurch Microsoft eine entsprechend große Mitschuld  an dem IST-Zustand des Patch-Managements.

Wer jetzt als Unternehmen, IT Abteilung oder Anwender meint die Schuld bei den Anderen zu sehen, der irrt genauso. Nicht weniger Schuld tragen die in letzte Konsequenz diejenigen, die für den IT Betrieb oder die IT Infrastruktur selbst verantwortlich sind. Auch wenn die Rahmenbedingungen in Sachen Patches sehr viel Potential nach oben haben, entbindet es keines Falls davon hier nicht im ausreichendem Maße tätig zu werden. Ganz vorne steht auch die Frage, warum sind noch so viele XP und Windows 2003 Server Systeme in Betrieb und online, obwohl es hierfür schon sehr lange keine Patches mehr gibt? Wenn es spezielle Systeme sind, die noch zwingend auf XP/2003 aufsetzen, dann müssen diese abgeschottet vom ganzen Rest der IT betrieben werden. Alle dementsprechend angeführten Gründe, warum das nicht der Fall ist, sind in letzte Konsequenz auch nur Ausreden. So lange nichts passiert entstehen auch keine Kosten, nur wenn etwas was passiert und hier ist die Frage nicht ob, sondern wann, dann ist der Schaden immens und mit aller Wahrscheinlichkeit deutlich über den Kosten aktuelle Systeme zu verwenden oder das Netz entsprechend zu segmentieren. Gibt es keine Alternative zu einem XP System oder einem System welches nicht mit Patches versorgt werden kann, wie es zum Beispiel bei Produktionsanlagen der Fall sein kann, so hat dieses Systemen nichts im allgemeinen Netzwerk verloren. Es muss in ein eigenes Segment mit ganz restriktiver oder im Besten Fall völlig unterbundener direkter Kommunikation. Notfalls müssen gehärtete Schnittstellensysteme her. Aber eine direkte Verbindung darf es einfach nicht geben oder wir haben genau dass, was jetzt passiert ist.

Die Monokultur durch Microsoft Systeme hat auch einen Anteil an der ganzen Misere, denn die macht es erst möglich, dass eine Sicherheitslücke so Flächendeckend mit dem aufgezeigten Ausmaß möglich ist und dann auch auftritt. Hier muss ebenfalls ein Umdenken stattfinden und alternative Anwendungen und Systeme müssen immer mit in den Denkprozess aufgenommen werden. Selbst wenn der andere Weg vielleicht auf den ersten Blick weniger einfach erscheint, gerade bei solchen Attacken zeigt es sich, warum der andere Weg, doch der bessere gewesen wäre. Linux und OpenSource ist natürlich nicht das Allheilmittel, aber der andere Ansatz, das andere Patch Management und eben nicht die Monokultur verringern die Angriffsfläche und erhöhen die Komplexität für einen Angriff selbst und das kann dann den Unterschied ausmachen. Im Kielwasser von WannaCry hat sich eine Lücke in Samba offenbart, die erst jetzt entdeckt wurde. Veröffentlich wurde die Lücke am 25.5. um kurz vor 18 Uhr lokaler Zeit. So gut wie alle Distributionen stellten zu diesem Zeitpunkt schon aktualisierte Pakete bereit. Das gleiche gilt für FreeNAS, wo auch entsprechende Updates zur Verfügung stehen. Andere Hersteller von NAS Systemen haben teilweise noch keine Updates bereitgestellt. Die gilt auch für die vielen IoT Systeme und sonstigen Embedded Devices. Dieses Beispiel zeigt aber wie schnell unter Linux Patches bereitgestellt werden können. Vor allem muss man hier nicht auf einen Patch-Day warten. Es zeigt aber auch, dass einige Hersteller gerne OpenSource nutzen, aber selbst kein wirklich gutes Patch-Management haben. Dies sollte bei der Auswahl der Systeme berücksichtigt werden. Die Pflege der Software auf den Systemen ist noch wichtiger als die Systeme selbst. Dann im Fall des Falles ist schnelle Hilfe nur das was wirklich zählt.

 

Die grundsätzlichen Konsequenzen müssen jetzt ein Hinterfragen der eignen IT Sicherheit sein, um endlich die bekannten Lücken zu schließen. Folgende Fragen sollten Sie sich jetzt unbedingt stellen:

  • Sind die Netze ausreichend Segmentiert und entsprechend abgeschottet und wird der Datenaustausch zwischen ihnen kontrolliert?
  • Sind alle vernetzen Systeme ausreichend geschützt und sind vor allem die zur Verfügung stehenden Patches installiert?
  • Ist das eigene Patch-Management so aufgestellt, dass man auch schnell reagieren kann?
  • Bietet die Firewall am Perimeter alle Funktionen nach dem Stand der Technik, um die Kommunikation zum Internet hin entsprechend zu prüfen und zu überwachen?
    Wird ggf. eine zweite Linie benötigt, um schnell mehr Schutz zu erreichen um dann in Ruhe auf eine angepasste Lösung umzustellen?
    Wichtig: Wird C&C und TOR Kommunikation erkannt und unterbunden?
  • Habe ich überhaupt noch den Überblick was gerade alles in meinem Netz passiert oder wird es nicht Zeit für eine SIEM und oder Monitoring Lösung?
  • Wie gut gesichert sind meine FileShares, gibt es hier bessere Ansätze als die klassische Freigabe mit Windows oder NAS Systemen.
  • Funktionieren meine Backups und sind diese vor unbefugten Zugriffen geschützt?
  • Ist der Einsatz einer AV Software noch der richtige Weg oder benötige ich einen anderen Ansatz?
  • eMail ist das größte Einfallstor in das Netzwerk, ist hier der Schutz ausreichend?
  • Basiert mein Patch Management noch auf den richtigen organisatorischen Prozessen?

„DoublePulsar“ und wieder kein Umdenken

Durch eines der geleakten NSA Tools sind 100.000+ Windows Server im Internet kompromittiert worden. Natürlich sind kompromittierte Rechner im Internet nicht wirklich was Neues, trotzdem zeigt es mal wieder die Leichtfertigkeit und auch die Ignoranz vieler Betreiber von Windows Systemen, die aus dem Internet direkt erreichbar sind.
Damit ein System kompromittiert werden kann, muss dieses über die TCP Ports 445 oder 139 zu erreichen sein. Einen Patch gegen die Sicherheitslücke gab es von Microsoft dazu im März mit der Bezeichnung MS17-010. Bei dem Angriff handelt es sich um eine dateilose Infektion, welche für die meisten Virenscanner aus diesem Grund wohl nicht zu entdecken ist. Da der Angriff über das Netzwerk stattfindet können diese auch durch ein IPS unterbunden werden. Entsprechende Snort Rules gibt es bei GitHub. Die Frage ist aber eine ganz andere: Warum sind Systeme mit dem Betriebssystem Microsoft Windows über den Services CIFS überhaupt direkt aus dem Internet zu erreichen? Dafür kann es keine plausible technische Erklärung geben, warum man so etwas tun sollte. Dass dies so ist, daran besteht nun mal kein Zweifel, Sicherheitsforscher haben bereits über 100.000 infizierte Systeme im Internet entdeckt. Die tatsächlichen Ziel dürfte daher noch viel höher sein.
Sicherheitslücken in Betriebssystemen und Anwendungen gab es in der Vergangenheit, gibt es jetzt und wird es auch in Zukunft immer geben. Das ist einfach so und es lässt sich auch nie ganz abstellen, eine uneingeschränkt fehlerfreie Software kann es einfach nicht geben. Aber das was hier passiert, ist etwas ganz völlig anderes. Hier sind Services zu erreichen die rein Garnichts im Internet verloren haben. Der Grund dafür ist, und man muss es leider sagen, die Inkompetenz des Betreibers bzw. des technischen Verantwortlichen für den Server oder Dienst. Auch wenn es einfach ist, den eigenen oder durch ein paar Mausklicks im Bestellportal eines der Anbieter einen Windows Server online zu bringen, muss man trotzdem wissen was man tut. Wobei sich mir immer die grundsätzliche Frage stellt, was hat überhaupt ein Windows Server direkt im Internet verloren? Nur weil es schön bunt und vermeintlich „einfach“ zu bedienen ist. Alleine der Gedanke, dass RDP offen ist und es schon Windows Server im Internet gab, als diese Verbindung noch nicht verschlüsselt wurde, ist völlig abwegig. Bei Telnet haben es zum Glück die meisten verstanden, dass SSH doch die viel bessere Wahl ist, ftp hält sich dagegen immer noch hartnäckig, wobei daran gearbeitet wird es auch endlich verschwinden zu lassen. Die Tage von ftp sind (hoffentlich) bald gezählt. Alleine der RDP Zugriff zeigt aber auch wie blauäugig technisch Verantwortliche hier handeln. Das ist aber jetzt nicht alleine auf das Betriebssystem Microsoft beschränkt. Microsoft bemüht sich merklich in den letzten Jahren die Sicherheit ihrer Systeme zu erhöhen. Bei Linux & Co. ist dieses Blauäugigkeit auch häufiger der Fall als man annimmt. Es sind auch hier ausreichend extern erreichbare Systeme online die aus dem Support sind oder ihre Anwendungen nicht gepflegt werden. Auch bei Linux & Co. immer wieder gerne genommen DB Listener oder Backup Services, die dann zum Einbruch in das System zusätzlich genutzt werden. Ganz vorne dabei sind „Internetagenturen“ die irgendwann mal der Webauftritt online gebracht haben und die Wörter Update und Patchmanagement nicht kennen – Hauptsache es sieht schön aus. So gesehen ist es im Internet ein grundsätzliches Problem. Man hat zwar immer die Hoffnung, dass solche Ereignisse zu einem Umdenken führen, aber das passiert wie eigentlich auch immer dann doch nicht.
Was „DoublePulsar“ mal wieder gezeigt hat ist, wie schnell sich so etwas im Internet ausbreitet obwohl es einen Patch gibt, der nur einfach nicht installiert worden ist. Dies ist auch eines unser aller Grundprobleme, dass technisch Verantwortliche ihren Aufgaben eines für das System angepassten Wartungs- und Patchmanagement nicht nachkommen. Ja, es ist nun mal eine lästige Fleißaufgabe aber es führt auch nun mal kein Weg daran vorbei. Zumal es ja nun wirklich genug Werkzeuge für den Administrator gibt, um hier mit entsprechender Automatisierung viele Aufgaben abzufangen. Patches sind aber nur die eine Seite der Medaille, die Logs müssen auch entsprechend geprüft und die Systemmeldungen überwacht werden.
Beispiele wie man es nicht machen sollte, gibt es durch „DoublePulsar“ in Quantitativ ausreichende Zahl, dass man sich doch einmal Gedanken machen und auch Taten folgen lassen sollte. Wer noch ein weiteres Beispiel benötigt, der muss nur einfach warten, es wird zum 100 Prozent eintreten.