Virus-Attacken: Warum können Firmen und Organisationen häufig nicht updaten?

[der unbestechliche]

Und noch ein Grund, warum Software nicht aktuell gehalten wird:
Ein Milliardenkonzern wie Microsoft schafft es auch im Jahr 2017 nicht, eine vernünftige, zuverlässige Updatefunktion einzubauen.
Hatte gerade wieder so einen Fall. Wollte mein Notebook updaten und es funktioniert einfach nicht. Die Update-Installation läuft ewig und drei Tage vor sich hin und am Ende kommt ein "hat leider nicht funktioniert, klicken Sie auf 'Wiederholen', um es erneut zu versuchen".
Drei mal gemacht, jedes mal das selbe Resultat. Keine Fehlermeldung, mit der man etwas anfangen könnte...
Standardhardware, keine 3rd-Party Treiber und kaum Software drauf.

Hatte letztes Jahr auf meinem Desktop schon das Problem, dass ich Updates immer manuell anstoßen musste, da nicht mehr automatisch danach gesucht wurde. Die Installation des Anniversary-Updates musste ich dann komplett manuell machen, weil er das über die Updatefunktion gar nicht angeboten hatte..

Welcher Durchschnitts-User kontrolliert denn ständig, ob alles aktuell ist und installiert bei Bedarf manuell nach? Keiner.

[Darkcloud]

Aber genau das wollen die Leute ja. Bequemlichkeit, geht hier bei den meisten Kunden vor Sicherheit. Wenn ich mir den Gang zum Arzt sparen kann und dieser eventuell über das Internet mein Arzt die Dosis reglieren kann ist das doch ein Gewinn. Zumindest verkaufen einem die Firmen (unter anderem meine eigene) dem Kunden diese Features.

Aber da ging es ja vor allem um eine Insulinpumpe die in Krankenhäusern eingesetzt wird. Das man da Messwerte übermittelt ist das eine, aber muss man da remote die Dosierung verändern können und vor allem auch problemlos auf eine tödliche Dosis hochgehen können? Wenn der Arzt rein von den Messwerten die Dosierung sinnvoll ändern kann ohne den Patienten zu sehen, dann kann man da doch von vorn herein lokal eine Automatisierung einstellen die bei entsprechenden Messwerten die Dosierung anpasst.

Ich bin aber in der Regel aber dagegen alles was wir nutzen auch ins Internet zu stellen. Ich kann meinen Kühlschrank aufmachen und nachschauen ob ich Milch kaufen muss. Ich muss mein Licht nicht vom Smartphone regulieren. Entweder gehe zum Lichtschalter oder habe eine IR Remote auf dem Wohnzimmertisch.

Das mit dem Kühlschrank kommt ja vor allem aus der Industire (im speziellen Medizinlager) und da ist ein selbst nachbestellender Kühlschrank schon sinnvoller. Auch die Smartphonesteuerung der Haustechnik ist recht praktisch und kann dadurch auch prima automatisiert werden. Das wichtigste ist da aber, es ist nicht Sicherheitsrelevant oder sogar lebensgefährdend. Bei Türschlössern ist das noch mal was anderes wobei da auch ein ungeübter Einbrecher die meisten Hausschlösser in Sekunden aufbekommt.

nein, schaffen sie nicht. Sonst wäre z.B. Onlinebanking ein recht schwer umzusetzendes Thema, oder?

Ja ok das stimmt. Wobei es noch einmal einen Unterschied macht, ob es da Kontaktpunkte zwischen dem Internet und einem eigenen Netz gibt oder ob ich direkt übers Internet auf wichtige Interne Geräte zugreifen kann.

[toxic_garden]

Ja ok das stimmt. Wobei es noch einmal einen Unterschied macht, ob es da Kontaktpunkte zwischen dem Internet und einem eigenen Netz gibt oder ob ich direkt übers Internet auf wichtige Interne Geräte zugreifen kann.

meistens ist es ja auch gar nicht der direkte Weg. Ein typisches Szenario ist ja der Webserver, der im Internet steht. Dort nutzt man einen Exploit, um sich root-Rechte auf dem Server zu verschaffen und hangelt sich von dort mit einem weiteren Exploit auf angrenzende Systeme. Von da aus ist es nicht mehr weit bis ins LAN. Grundsätzlich ist es deshalb auch ratsam, innerhalb des internen Netzwerks alle Geräte als potentiell unsicher anzusehen. Häufig hört man ja "das müssen wir nicht groß absichern, das ist von außen eh nicht erreichbar". Eine saublöde Argumentation, wenn man weiss, wie dünn die Wand zwischen DMZ und Intranet meistens ist.

[Brahlam]

Ach, die Personen der Führungsetage sind übrigens auch meist diejenigen, bei denen etablierte Sicherheitsfunktionen oder sonstige Standards nicht eingehalten werden. Bei Bedenken seitens der EDV gilt der alte Grundsatz: Ober sticht Unter.

Du sprichst mir aus der Seele!
Policies und Sicherheitsstandards gelten nur für den Pöbel aber nicht fürs Management! ^^

[Dr med Ramme]

... Dort nutzt man einen Exploit, um sich root-Rechte auf dem Server zu verschaffen und hangelt sich von dort mit einem weiteren Exploit auf angrenzende Systeme ...

Sehr richtig. Man fängt klein an und arbeitet sich hoch. Oftmals mit viel Geduld. Eine Firma hacken ist ja keine Sache mit einer Deadline. Das gleiche Angriffsschema gilt ebenso für andere Systeme wie die ganz normalen Windows-Arbeitsstationen im Netzwerk. Schöne Websuchen zu dem Thema sind: "Pass the Hash" und "Kerberos Golden Ticket"

Aber auch hier hat Microsoft in aktuellen Betriebssystemen nachgelegt und mit Windows 10 den "Credential Guard" eingeführt. Der erschwert solche Attacken durchaus - nur welche Firma hat schon 100% Firmenweit Windows 10 / Server 2016 ausgerollt?

[Darth_Mueller]

Das Problem ist halt auch daß man so einfach eben nicht immer alles updaten kann.
Ich betreue selbst einige Standorte wo ich das schon oft selbst erlebt habe

Vor allem wenn Software Hardware steuert wird es sehr schnell sehr teuer, wenn z.B. in einer Fabrik Steuerungen angesprochen werden, die dann ersetzt werden müssten.

Das einzige was da wirklich hilft ist, die Möglichkeit immer Updates einzuspielen von anfang an mit einzuplanen.
Das wird heute auch so fast immer gemacht, doch die Sünden der frühen 2000er Jahre holen einen dann doch immer mal wieder ein.

[Siel]

Als Lokführer freu ich mich schon auf "Autonome" Züge und Autos ^^

Im Ernst, alles "Autonome" was eine Verbindung zu irgendwas hat (selbst GPS Daten können gehackt werden) würde ich nie nutzen.

[Siel]

Autonome Züge und Autos werden IMO in den nächsten 20 Jahren standard werden. Ist jetzt nich garnicht vorstellbar, wie das auf die Gesellschaft Auswirkungen haben wird. Denn ein Auto wird dann niemand mehr besitzen, man ruft sie einfach.

Seh ich anders ^^ solang nicht gesetzlich vorgeschrieben werde ich nie etwas Pseudo Autonomes nutzen!
Dann lauf ich lieber besoffen nach hause ^^

[Lurtz]

Wieso? Schlechter als der Mensch, mit seinen tausenden von Verkehrstoten im Jahr, werden autonome Autos nicht fahren. Im Gegenteil.