Hadmut Danisch

Ansichten eines Informatikers

Der Bundestag: Opfer seiner eigenen Politik

Hadmut
21.6.2015 20:16

Im ZDF lief gerade Berlin direkt:

Ein substanzarmer, aber in seiner Hilflosigkeit aufschlussreicher und damit sehenswerter Bericht über die Probleme, die die Malware-Affäre im Bundestag verursacht.

Die erschütternde Erkenntnis: Sie hatten eigentlich keine sonderlichen Sicherheitsvorkehrungen und dafür jetzt die Quittung bekommen.

Scheint, als wären die jetzt mit 20 Jahren Verspätung mal aufgewacht wie Dornröschen, nachdem der Prinz sie geküsst hat. Wird der Virus jemals identifiziert, sollte man ihn deshalb „Märchenprinz” nennen.

Die Hilflosigkeit, mit der man der Situation jetzt gegenübersteht, ist aber nichts anderes als die Folge tiefgreifender Inkompetenz und – noch viel schlimmer – jahrelanger Ignoranz. Jahrzehntelang hat man IT-Technik halt so irgendwie eingekauft, nach dem Motto gut ist, wenn es funktioniert, und Forschung und Entwicklung einfach nach dem Gießkannenprinzip begossen. Sie haben sich um nichts gekümmert, eine reine Laien- und Konsumentenhaltung eingenommen, und genau so auch die Gesetze gemacht.

Und was noch viel übler ist: Sie haben Jahrzehntelang den jeweils politisch opportunsten oder buntestes Laien oder Schwätzer jeweils zum Experten erklärt. Schaut Euch mal an, wer da in den Parteien auf »Internet-Experte« macht und wer da in den Enquete-Kommissionen und als Berater eingesetzt wurde: Die letzten Hohl-Schwätzer und Paradiesvögel.

Jahrzehntelang beruhte die IT-Politik (und sicherlich auch die Politik in vielen anderen Bereichen) darauf, dass Laien regieren und sie sich von Polit-Opportunisten und Groß-Schwätzern für viel Geld dabei »beraten« ließen, und die einzigen, die wirklich noch Fach-Einfluß haben, nur noch die Juristen sind. Die aber richten nicht nur enorm viel Schaden an, sondern sie erweisten sich im Bereich der ernsteren IT-Sicherheit als völlig nutzlos und desorientiert. Domäne der Internet-Juristen ist das Niveau um die Abmahnung der Eltern von 14-Jährigen, die Videos raubkopieren. Mehr kommt da nicht rüber. Dafür hat man den Laden inzwischen noch mit Frauenquoten verballert, die dafür sorgen, dass man für viele der Posten und Pöstchen einfach gar nichts mehr können muss: Die Laien-Republik Deutschland.

Ach ja: Im Bundestag wurde 2014 angeblich PGP aus dem Softwarepool entfernt – mangels Nachfrage. Jetzt haben Angreifer Gigabyte-weise Mails runterkopiert. Warum man PGP nicht verwendet? Zu kompliziert. Damit liegen sie im Prinzip nicht falsch, PGP unter Windows ist tatsächlich so übel, dass man es der breiten Nutzerschaft nicht angewöhnen kann. Aber fände man in den Forschungsaufträgen, die die Ministerien in den vergangenen Jahren vergeben und mit Milliarden Euro bedacht hat, irgendwas, was in diese Richtung ginge? Nicht dass ich wüsste. Stattdessen fördert man Schnapsideen und Korruptionsseilschaften. Die Bedrohung der Regierungs-IT kommt nicht aus Russland. Auch nicht aus China oder den USA. Sie kommt aus dem Deutschen Bundestag, aus dem Prinzip, dass Politiker von dem, was sie machen, keine Ahnung zu haben brauchen und sich in ihrer politischen Arbeit der Speichellecker bedienen.

Denkt mal daran: Ganze 3 Jahre lang hat da eine Enquete-Kommission getagt und die „Auswirkungen des Internets auf Politik und Gesellschaft und erarbeitete Empfehlungen für das Parlament” untersucht. Ich habe schon viel über diese Kommission, deren Besetzung und deren Funktionslosigkeit geschrieben. Was man da halt so unter »Sachverständige« versteht. (Die ein oder andere Pappnase aus dieser Kommission hat ja auch schon hier im Blog Kommentare hinterlassen.) Schaut mal in deren Besetzung und deren Abschlussbericht. Substanzlose Schwafelolympiade. Die Gleichstellungsbeauftragte des Familienministerium gibt Tausende von Euro zur Förderung einer „Internetberaterin” aus, die sich mit Internet nicht auskennt.

Und jetzt ist das System der Laienherrschaft halt einfach mal so gegen die Wand gefahren, dass es sogar unsere Presse nicht mehr totschweigen kann: Jetzt haben wir diese „Auswirkungen des Internets auf Politik und Gesellschaft”, nur keine Empfehlungen für das Parlament. Und all den Großmäulern, Internet-Experten, Internet-Botschafterinnen, IT-Beauftragten, Medienberatern fällt überhaupt nichts ein.

Sie stehen da wie die sprichwörtliche Kuh wenn’s donnert.

Habt ihr von irgendwem, der in den letzten 5 oder 10 Jahren in Bundestag und Parteien als „Internet-Experte”, Berater oder Kommissionsmitglied unterwegs war und sich in der Presse aufgespielt hat, vielleicht auch Geld bekommen hat, irgendetwas hilfreiches oder kompetentes zum Angriff auf den Bundestag gehört? Oder vielleicht sogar vorher?

Ist Euch schon aufgefallen, dass sie jetzt, wo es plötzlich einen Ernstfall gibt, ganz andere Leute beauftragen als in Schönwetter-Zeiten? Dass es ganz plötzlich nicht mehr auf politische Gesinnung und Gefälligkeitsgeschwafel, sondern stattdessen auf Sachkunde ankommt?

Und dass plötzlich auch nur noch Männer mit Analyse, Reparatur und Rettung beauftragt sind, so ganz plötzlich von Frauenquoten und Partei-Experten überhaupt keine Rede mehr ist? Hätte irgendwer gefordert, dass die Vorgänge von den Partei-Experten oder irgendwelchen Quotenprofessorinnen bearbeitet oder sonst wie gleichgestellt bearbeitet werden? Holt man die Enequete-Kommission, die angebliche Expertenrunde zum Internet, zum Krisenstab zusammen? Nein. Auf einmal herrscht da völlige Ruhe. Kaum werden wirkliche Ergebnisse gebraucht, ist der ganze Polit-Zauber völlig aus. Plötzlich müssen die ran, die man vorher so verpönt hat.

Eigentlich werden mir die Hacker hinter diesem Angriff fast schon sympathisch. Vielleicht sind die Erkenntnisse aus dem Angriff wertvoller als der entstandene Schaden. Unsere Politiker und deren Experten richten jedenfalls mehr Schaden an.


64 Kommentare (RSS-Feed)

Krischan
21.6.2015 21:00
Kommentarlink

Kein Wunder, daß man De-Mail so forciert hat. Aus Juristensicht ist das ja ne tolle Sache: Man hat Zustellbarkeit, die “Sicherheitsbehörden” kommen auf ihre Kosten und gleichzeitig ist es “sicher”. Sicher im Sinner von juristisch als sicher klassifiziert. Die ganzen Kritiker waren ja nur so langhaarige Spinner vom CCC, der ist ja eh faktisch eine Terrorismusorganisation, mindestens aber kriminell.


yasar
21.6.2015 21:04
Kommentarlink

> Vielleicht sind die Erkenntnisse aus dem Angriff wertvoller als der entstandene Schaden

dazu müßten sie aber aus Ihren fehlern lernen können und diese gewichtiger als Ihre politischen Ziele ansehen.


Kurt K.
21.6.2015 21:06
Kommentarlink

Waere schoen, wenn dann mal jemand die Emails in die Oeffentlichkeit leaken wuerde.


Klaus
21.6.2015 21:17
Kommentarlink

Das hat schon die Geschichte gelehrt, wenn es einem Volk zu gut ging, ist es abgestürzt.

Wir erleben halt jetzt die Demontage der westlichen Zivilisation. Die IT des Bundestages ist nur die Spitze des Eisberges.

cu


DrMichi
21.6.2015 21:41
Kommentarlink

Wenn der Staat PGP gut gemacht hätte, wäre das ein Eingriff in die freie Marktwirtschaft. Geht nicht.


Manfred P.
21.6.2015 21:42
Kommentarlink

Jetzt könnten die Frauen, die per vagina sowieso nicht nur besser sind, sondern sogar die besseren Männer, mal zeigen, was sie auf dem Kasten haben.

Hat nicht irgendeine Bratzen-Truse kürzlich in der EU gemeint, die IT sei zu wichtig, um sie den Männern zu überlassen?


rleo
21.6.2015 22:19
Kommentarlink

Nicht nur der Bundestag.
Wenn man Linux gewohnt ist und mal mit einem der selbsternannten ‘Experten’ redet, die Linux meiden wie die Pest, läuft man in Gefahr, an einem Lachanfall, den man nur mühselig unterdrücken kann, zu ersticken.
Linux wird gemieden, weil es angeblich nicht ‘Mainstream’ ist, d.h. der MM Markt hat es nicht. Und ‘unmodern’ will keiner sein.

In der anderen Welt hat sich so viel an Unwissen, Halbwissen, angesammelt, dass es einen graust.
Da werden Firewalls installiert, wird in Fritzboxen herum geklickt, ohne zu verstehen, was da vor sich geht.
Begriffe wie Ports, ping, traceroute, ip adresse, ip4 , ip6, Partitionstabellen, Terminal, inkrementelles Backup, sind unbekannt.
usw.

Das ist Alltag in ganz normalen KMUs, kleinen Büros, die alles selbst machen, keine IT haben und meist immer noch XP einsetzen, weil eine Migration sehr riskant ist.
Ging doch bisher, warum Wartung, warum Beratung, braucht man nicht, kostet Geld, die Computerb …. tut es auch, steht doch alles drin.

@Hadmut
Danke für den klaren Text.
Den Bundestag hat es jetzt erwischt, die KMUs, und damit der untere Mittelstand, folgen noch, spätestens mit ipv6.
Der „Märchenprinz” ist dort noch nicht vorbeigekommen, bzw. sein Erscheinen wird verschwiegen.


Hadmut
21.6.2015 22:30
Kommentarlink

@rleo: In letzter Zeit mache ich fast nichts mehr mit Windows.

Aber vor knapp 10 Jahren war ich noch im Berater-Bereich tätig und hab noch Maschinen bei Kunden installiert. Bevorzugt natürlich Linux / Checkpoint. Dabei hatte ich dann aber auch immer mal mit Windows zu tun.

Ich war immer der Meinung, dass ich mich mit Windows kaum auskenne, und habe da immer wieder mal die ausgewiesenen und geprüften Windows-Experten unter den Kollegen befragt, wenn es ein Problem gibt. Ich wurde auch immer wieder mal angeraunzt, warum ich mich nicht genug mit Windows befasse, um da auch mal Experte zu werden.

Mit der Zeit bin ich dahinter gekommen, dass die „Windows-Experten” bei Windows nicht mehr wussten als ich, manchmal sogar weniger.

Es herrschen in der Windows-Welt nur ganz andere Maßstäbe, was Expertentum angeht. Die meinten, sie können viel mit Windows. Ich hab’s halt an dem gemessen, was man als Linux-Admin drauf hat, und da kommt Windows einfach dünn weg.

Als ich das dann mal klargestellt habe, wollte dann auch keiner mehr was von mir von wegen ich soll mir doch mal Windows angucken.


Borstie
21.6.2015 22:20
Kommentarlink

Hadmut, ich gebe Dir in allen Punkten-1 Recht.
-1 gibt es für Deine Voraussage, dass da Leute mit Sachverstand kommen. Das kannste vergessen!


Olivetti
21.6.2015 22:26
Kommentarlink

>Hat nicht irgendeine Bratzen-Truse kürzlich in der EU gemeint, die IT sei zu wichtig, um sie den Männern zu überlassen?

Neelie Kroes hat das 2014 gesagt.

@Hadmut
Mit dem Niveau der meisten, hiesigen Internetjuristen triffst du es sicher ganz gut, du darfst aber mit der Enquete-Kommission Internet und digitale Gesellschaft nicht ganz so hart in’s Gericht gehen. Deren Auftrag lautet schliesslich nur, die Auswirkungen des Internets auf Politik und Gesellschaft zu genderforschen.


Hadmut
21.6.2015 22:32
Kommentarlink

> du darfst aber mit der Enquete-Kommission Internet und digitale Gesellschaft nicht ganz so hart in’s Gericht gehen

Ich glaube, die kann man gar nicht genug abwatschen.


Olivetti
21.6.2015 22:38
Kommentarlink

Vielleicht hat man sie ja zum Krisenstab zusammengetrommelt und sie sind, zum ersten mal einstimmig, zu dem Ergebnis gekommen, sie haben keine Ahnung und halten sich lieber raus. Wir werden es vermutlich nie erfahren.


Bernd
21.6.2015 22:39
Kommentarlink

Eigentlich wäre jetzt die richtige Zeit eine Frauenquote zu fordern, für diese Rettungs und IT Jobs! 😉

Dann geht der ganze Genderladen hoch!


osthollandia
21.6.2015 23:05
Kommentarlink

Wie wird man Windows-Experte? Man macht eine Prüfung bei Winzigweich mit über 700 Punkten.

Wie bekommt man die 700 Punkte zusammen? Braindumping, auswendig lernen.

Ich hab einen MSCA 2003 und neulich noch meinen MCP für W7 aufgefrischt.

Diese ganzen Zertifikate von Winzigweich sorgen überhaupt gar nicht dafür, das mauch nur im Ansatz Ahnung von der Materie hat. Ahnung muss man sich woanders hole. Ich rate zu viel lesen, Kontakt mit Kollegen aus Entwicklung, Storage, Serverbetreuung und Netzwerken sowie tägliches hantieren.

Und für alle anderen: sichere IT kostet sicher Geld. Ist eine Gemeinkostenstelle aber sicher keine Eh-da Kosten.


Atomino2000
21.6.2015 23:24
Kommentarlink

Hat irgendjemand schon mal in komprimierter Form so etwas wie best practices für Windows gesehen, wie man ein System schmal, effizient und sicher aufsetzt und wie man es dann im Betrieb sauber wartet, mit regelmäßiger Entschlackung unter Beachtung der aktuellen Updates?
Den Erklärungen von Microsoft auf Tekkie-Niveau, denen man oft nicht folgen kann stehen Myriaden von Websites gegenüber, wo in Foren die reinste Esoterik betrieben wird -> wenn du foo in die Registry einträgst, läuft dein System 20x schneller.

Z.B. WSUS ist im Grunde eine Katastrophe. Das funktioniert Out-of-the-Box erstmal nur in Prozentsätzen. Auch hier: keine Sammlung von Howtos, wenn Fehler auftreten, wird man in vielen Foren dazu überredet, doch mal die oder jene Datei zu löschen und dann alles neu zu starten.

Dagegen ist Linux bei allem Distributionsdurcheinander und aller Diversität noch regelrecht elegant und die Wikiseiten zu den Distributionen oft sehr umfangreich und zielführend bei Problemen.

Ich kann die Verbreitung von Windows tatsächlich nur mit einer generell verbreiteteren Wurschtigkeit von Benutzern und Entscheidern erklären, denen das nicht so drauf ankommt.

Ich will damit nicht sagen, dass es nicht möglich ist, Windows ordentlich aufzusetzen oder zu betreiben, aber was ich da an Eleganz gesehen habe bisher, war nur auf besessene Einzelinitiative von Leuten zurückzuführen, die sich mit einem Minimum an geordneter bzw. begreifbarer Information bzgl. Windows technical basics über Tools wie Powershell hergemacht haben um sich das hinzubiegen. Das ist niemals zu echter Verbreitung gereift und die meisten Anwender und Admins leben wacker meckernd mit dem Gruselzustand.


osthollandia
21.6.2015 23:46
Kommentarlink

@Bernd: Bitte keine Frauenquote, tu mir das nicht an. Das entwertet mich, meine Fähigkeiten, meine Einzigartigkeit. Ich bin emanzipiert, d.h. gleich berechtigt und gleich bepflichtigt.

Die meisten Frauen sind so kompliziert, die wollen immer Recht haben, stehen nicht zu ihren Fehlern. Man macht irgendwas, man man macht das immer gleich, und von jetzt auf gleich soll das falsch sein. Die sagen einem aber nicht warum das jetzt falsch wäre, sind eben nur unglücklich.

Mit den Anwenderinnen ist mein Bedarf an “Kolleginnen” da völlig gedeckt. Die wenigen, die es schaffen über die Hotline hinaus zu kommen, die haben sich dahin gekämpft, die haben auch Ahnung, und die sind auch gut. Und die wollen das auch. Die Tanten von der Hotline wollten oft “irgendwas mit Medien”, das ist furchtbar.

Wir haben schon genug Probleme mit Windows und dem Management, Frauenquote kann man da echt nicht gebrauchen. Höchstens an der Hotline.


Henriquatre
22.6.2015 0:15
Kommentarlink

Wenn’s nur die IT-Politik wäre, die in der bunten Republik durch Ignoranz, Dummheit, Borniertheit, Parteienproporz und politische Korrektheit an die Wand gefahren würde, dann wäre das für sich allein betrachtet zwar schlimm, aber möglicherweise noch reparabel.

Tatsächlich werden aber nahezu alle wichtigen Bereiche in den Abgrund gefahren: Bildung, Militär, Energie, Außenpolitik, Einwanderung, innere Sicherheit. Und zwar von denselben Typen, mit derselben Mischung aus gutmenschlichem Pharisäertum und jakobinischem Verfolgungseifer Andersdenkender.


Fachkraft
22.6.2015 0:42
Kommentarlink

Vielleicht werden die Entscheider jetzt mal kapieren, dass Outsourcing seine Grenzen hat und man für die Sicherheit doch besser eine zufriedene eigene IT-Abteilung hat.

Aber ich träume. Eher gefriert die Hölle als dass noch für irgendjemand vom Fussvolk die Arbeitsbedingungen verbessert werden. Es kommen ja grade lauter gutausgebildete Spitzenkräfte aus dem Ausland eingewandert. Und die bieten First-Class-High-End-Security für 3,50 €. Weiss doch jeder. Die sind noch motiviert und nicht so verhätschelt wie die einheimischen Sozial-Romantiker.


_Josh
22.6.2015 0:59
Kommentarlink

Zu kompliziert. Damit liegen sie im Prinzip nicht falsch, PGP unter Windows ist tatsächlich so übel, dass man es der breiten Nutzerschaft nicht angewöhnen kann.

Was für ein Quark: Das ist genau ein Download, ein Setup und eine Auswahl der Passphrase.

Jede Windows-Mausschubse hat das drauf, sogar die Nullinger im Deppenparlament. Warum plapperst Du solcherlei Unsinn (nach)?


Hadmut
22.6.2015 20:27
Kommentarlink

@_Josh:

> Jede Windows-Mausschubse hat das drauf, sogar die Nullinger im Deppenparlament. Warum plapperst Du solcherlei Unsinn (nach)?

Weil das eben so nicht stimmt. Ich weiß auch nicht warum so viele Leute glauben, sie müssten anderen nur „Nachplappern” zu unterstellen, um ein Argument zu machen.

Ich war vor ca. 5 Jahren in einem Unternehmen, in dem ich für die Windows-Arbeitsplätze (XP mit Outlook) PGP einführen wollte und habe das zunächst auf Testrechnern (auch meinem eigenen) installiert. War eine Katastrophe, weil Outlook keine passende Schnittstelle dafür hat(te), Stattdessen versuchte das, sich in die Auslieferung zu klemmen.

Die Konfiguration war eine absolute Katastrophe, Beschreibung widersinnig. Letztlich habe ich das nicht mal selbst (obwohl seit über 20 Jahren Crypto-Heini und PGP-Anwender seit dessen ersten Erscheinen) so eingestellt bekommen, das das Ding die Mails, die verschlüsselt werden sollten, verschlüsselt, und die unverschlüsselten rausgelassen hat. Nur nervig. Ich habe dann mal einen Nachmittag versucht, eine ganz dringende Mail, die unverschlüsselt rausmusste, zu verschicken, und mich über dieses PGP geärgert, dass nicht so wollte, wie ich es brauchte. Am Ende habe ich den ganzen Scheiß wieder deinstalliert und endlich mailen zu können.

Wem soll man sowas zumuten?

Und wie soll ein Laie damit umgehen können?

Anscheinend hast Du auch nie probiert, Verschlüsselung einer breiten Belegschaft von Crypto-Laien schmackhaft zu machen.


Juergen Sprenger
22.6.2015 8:24
Kommentarlink

@yasar
>dazu müßten sie aber aus Ihren fehlern lernen können

Tun sie doch. Sie können die Fehler in immer kürzeren Abständen wiederholen.

Allerdings ist es immer leicht, sich über die Zustände bei Anderen zu mokieren.

Mal Hand aufs Herz, wer macht es bei sich selbst oder seiner Firma denn besser und was ist aus der sicher nicht vollständigen Auflistung unten umgesetzt, was nicht und warum?
– Regelmäßige Schulungen der Benutzer (Security Awareness)
– Klare Regeln und Verfahren, wie mit Sicherheitsverstößen umgegangen wird und wer die aktuellen Ansprechpartner sind
– Regelmäßige Überprüfung von Backup/Restore
– Pläne für den Wiederanlauf nach größeren Störungen
– Nachvollziehbarkeit von Konfigurationsänderungen
– Überwachung der Dateiintegrität von Betriebssystem- und Konfigurationsdateien
– Überwachung der Konfiguration auf Änderungen
– Wöchentliche Sicherheitsaudits der gesamten Infrastruktur
– Tägliche Analyse der System- und Anwendungsprotokolle
– Zeitnahe Installation von sicherheitsrelevanten Updates

Ein besonderer Quell’ der Freude war im letzten und auch in diesem Jahr OpenSSL (Heartbleed, Poodle, Logjam,…). Wer hat nicht nur die Updates für OpenSSL installiert, sondern auch geprüft, welche Anwendungen eventuell eigene SSL-Bibliotheken mitbringen und ob die verwundbar sind? Einige Hersteller sind da leider sehr ‘kreativ’.

Wer hat regelmäßig die Kryptographieeinstellungen überprüft und verbessert? Zum Beispiel mit Hilfe von https://www.ssllabs.com/ssltest/

Das sind übrigens alles Punkte, die sich nicht nur Großkonzerne leisten können. Da kann man mit Bordmitteln und freier Software sehr viel auch für kleine und mittlere Betriebe umsetzen. Bei den meisten dürfte allerdings Hopfen und Malz verloren sein. Zum Beispiel auf einen Hinweis zur uralten Joomla-Version auf ihrer Webseite reagieren die nicht mal.


NonKon
22.6.2015 8:52
Kommentarlink

Ich frage mich seit Tage warum nicht mehr thematisiert wird das das US Unternehmen CSC, die in den USA auch für die NSA arbeiten, ein Bundestag IT Dienstleister ist. Oder erinnnere ich mich da falsch?


Wolfgang T.
22.6.2015 9:35
Kommentarlink

@Bernd
Diese Idee ist mir auch schon gekommen.

Wo kann man diese Forderung am besten Stellen?

100% Frauenquote bei der Bundestags IT.


LeserJ
22.6.2015 10:22
Kommentarlink

OT:

Hadmut: Bernhard Lassahn erwähnt dich in seinem Artikel zum Fachgespräch Anti-Feminismusblabla der Grünen

http://www.achgut.com/dadgdx/index.php/dadgd/article/falsche_freunde_und_falsche_feinde._die_halbe_wahrheit_ist_eine_ganze_luege


Action Jackson
22.6.2015 10:44
Kommentarlink

Ich frag mich auch immer wieder, wieso die Stand München mit ihrem Open-Source Linux System (LiMux) nun unbedingt zurück zu Windows möchte (http://www.welt.de/regionales/bayern/article132976293/Stadt-Muenchen-will-von-Linux-zurueck-zu-Microsoft.html).

Nun hatte Deutschland endlich mal eine Chance der ganzen Welt zu zeigen wie leistungsfähig Linux und Open Source ist und dann vergeigen sie es doch wieder.

Unix basierende Systeme laufen bei mir Zuhause nur auf dem Receiver, der Fritzbox, dem Navi und noch so ein paar kleineren Geräten. Da passt das. Geschlossene Systeme die ein minimalistischen und stabiles BS benötigen.

Seit mehr als 15 Jahren läuft auf meinem Desktop nur noch Windows, da ich sowohl mit diversen Linux Derivaten als auch OS/2 Versuchen nur Aufwände hatte. Vielleicht mag das heute anders sein, aber wieso sollte ich Zuhause nochmals anfangen meinen Kernel zu compilieren? Open Office? Sorry, gegen MS Office nur ein schlechter unperformanter Witz.

Während ein Kumpel von mir am Wochenende regelmässig sein Linux System mit Mailserver, FTP Server, VDR und weiss der Teufel was aktualisiert und compiliert und sich wieder über falsche Abhängigkeiten irgendwelcher Pakete rumärgert, fahre ich meine Windows Kiste gemütlich runter, trinke einen Kaffee, wünsch ihm ein schönes Wochenende und setze mich aufs Mopped.

Windows macht das was ein Heimsystem können sollte wunderbar und ist sogar seit XP sehr stabil. Mein Arbeitsrechner (Entwicklungskiste) ist mir nun in den letzten 6 Jahren 3 mal mit einem Bluescreen abgeschmiert bis ich drauf kam, das ein kaputtes RAM Modul die Ursache war.

Das heisst die Hardware geht bei mir die letzten Jahre regelmässig in die Knie, bevor Windows auch nur anfängt Mucken zu machen.

Mag ja sein, das manche Menschen ihre Erfüllung im kaputtpatchen ihrer Systeme finden, aber mir fehlt schlichtweg die Zeit dazu. Ganz abgesehen davon, das ich Zuhause gerne zocke und auch hier unter Linux nach all den Jahren immer noch nicht alle Titel zur Auswahl stehen.

Wie war das? Im Blog sollte man sich auch nicht über Betriebssysteme unterhalten? 😛


Ralf
22.6.2015 10:45
Kommentarlink

“Eigentlich werden mir die Hacker hinter diesem Angriff fast schon sympathisch. Vielleicht sind die Erkenntnisse aus dem Angriff wertvoller als der entstandene Schaden. Unsere Politiker und deren Experten richten jedenfalls mehr Schaden an.”

Du Optimist 😉 Wenn der Schaden behoben ist, geht es weiter wie vorher auch.Oder glaubst du wirklich das unsere Politiker lernfähig sind?

Da werden höchsten Protokolle geschrieben de dann zu den Akten gelegt werden.


Missingno.
22.6.2015 11:12
Kommentarlink

@rleo
> die KMUs, und damit der untere Mittelstand, folgen noch, spätestens mit ipv6

Wie kommst du darauf? Für ein KMU ist IPv6 total egal. Es braucht nur einen Router, der das IPv4-Netz am LAN auf die IPv6-Adressen am WAN-Port umsetzt. Außer du kannst mir erklären, wozu man als Endanwender IPv6 brauchen sollte. Bislang ist der einzige Grund der angeführt wird die Knappheit der IPv4-Adressen und das ist nur ein ISP-Problem. Außerdem wird mit den IPv6-Bereichen wieder so inflationär umgegangen (sind ja genug für 6 Trillionen Erden da), dass ich schon befürchte, dass da in 20 Jahren das selbe passiert. Spätestens wenn die USA ein /2 wollen und Russland, China und die EU “nur” ein /4 bekommen.


MS
22.6.2015 11:53
Kommentarlink

Ich bin der Meinung das dieser Cyber-Angriff dringend hinsichtlich seiner genderspezifischen Auswirkungen analysiert werden muss. Sehr wahrscheinlich hat er auf weibliche Abgeordnete viel drastischere Auswirkungen, da hilfloser …


desktopadmin
22.6.2015 11:56
Kommentarlink

Hallo Kollegen,

hier ein interessanter Artikel aus dem Jahre 2014.
Ein echter Prophet seiner Zeit.

War alles eigentlich abzusehen, wenn man denn hätte sehen wollen.

http://www.handelsblatt.com/unternehmen/it-medien/sicherheitsrisiko-wie-windows-xp-den-bundestag-gefaehrdet/v_detail_tab_print/9636224.html

LG vom Desktopadmin


tuka
22.6.2015 12:03
Kommentarlink

@Atomino2000: “Hat irgendjemand schon mal in komprimierter Form so etwas wie best practices für Windows gesehen”

Ähm. IMO ist es genau diese Denkweise die Systeme gegen den Baum fahren lässt. Auch wenn ich kein Admin bin, sollte die korrekte Denkweise IMO so laufen:

Welche Angriffsvektoren gibt es und wie verhindere ich, dass diese Angriffsvektoren ein Ziel haben. Um die Angriffsvektoren muss man sich Gedanken machen. Insbesondere weil wir hier nicht über eine x-beliebige Behörde reden, sondern über den Bundestag.

Als Beispiel: Es gab früher mal Festplatten die man physisch in einen ReadOnly-Modus setzen konnte (per Schalter auf der Festplatte). Installiert man auf einer solchen Platte Windows sowie Applikationen braucht man sich um klassische Viren keine Gedanken mehr machen, weil der notwendige Angriffsvektor aufhört zu existieren. Ja, ist aufwendiger in der Wartung. Aber wir reden doch hier nicht über ein x-beliebiges Callcenter oder den Informatikraum der Volkshochschule.

Oder die klassischen Trojaner per VBS. Die Frage muss nicht lauten welcher Virenscanner der beste ist, sondern wie man unter Windows verhindern kann, dass VBS-Scripte auf etwas anderes als das eigene Dokument zugreifen können.

Oder runterladbare exe: Die korrekte Frage muss lauten: Wie erreiche ich, dass Leute nur Applikationen auf der read-only-Partition starten können.

Unter Unix sind solche Konzepte Standard. Seit über 30 Jahren. Das Problem sind nicht die Lösungen, das Problem sind “IT-Fachleute”, die nicht gelernt haben die richtigen Fragen zu stellen.


Bernd
22.6.2015 12:32
Kommentarlink

@ Herr Danisch

Das ist das Knallerinterview des Tages!

http://www.heise.de/tp/artikel/45/45221/1.html
“Mörderische Allianz von NATO und westlichem Feminismus”

Gern geschehen. 😉


maSu
22.6.2015 12:44
Kommentarlink

Atomino2000: Windows ist verbreiteter als Linux, daher gibt es da auch absolut betrachtet mehr Idioten, die Müll im WWW verbreiten. Ich persönlich bin zwar Informatiker, aber ich würde mir das Thema IT-Sicherheit nicht zutrauen (bin eben Softwareentwickler, das Thema Sicherheit habe ich nie mit Schwerpunkt betrachtet), trotzdem kann ich die meisten Windows-Ratschläge als Bullshit erkennen 😉

Linux ist kein Allheilmittel, aber wer sich im Bereich “IT-Sicherheit” Experte schimpft, der sollte Linux und Windows kennen und das mehr als nur aus Endanwendersicht. Da hilft auch keine Glitzerfolie weiter 😉


Andre
22.6.2015 12:58
Kommentarlink

Alles gute zum Geburtstag Hadmut und danke für dieses Blog !


Hadmut
22.6.2015 17:09
Kommentarlink

> Alles gute zum Geburtstag Hadmut und danke für dieses Blog !

Dankeschön! 🙂


boes
22.6.2015 14:44
Kommentarlink

Eigner Nerd ist goldes Wert.
Aber 2003 (oder vorher) Gerhard Schröder per Leserbrief aufzufordern, ein eigenes, nationales Betriebssystem binnen 5 Jahren auf den Weg zu bringen, war wohl nur ekelerregenden aluhutnazis wie mir in den spinnerten Sinn gekommen. Drin vor: Darf es was Gescheites sein oder soll es von Siemens sein.
Jetzt dürft ihr mich rot machen.


Fred
22.6.2015 15:37
Kommentarlink

Plötzlich müssen die ran, die man vorher so verpönt hat.

Ist doch das übliche System. Jetzt dürfen diejenigen ran, die wirklich Ahnung haben und den Karren aus dem Dreck ziehen. Wenn alles wieder in Butter ist, schiebt man sie wieder zurück in die Ecke und macht weiter wie bisher. Ging mir (in anderen Sachen) genauso, nur dass sie sich beim nächsten mal nen anderen Dummen dafür suchen durften.

Fred


LeserJ
22.6.2015 19:56
Kommentarlink

@Hadmut: Von mir auch einen herzlichen Glückwunsch und alles Gute zum Geburtstag. Mach weiter so mit der tollen Arbeit.


Hadmut
22.6.2015 20:07
Kommentarlink

@Leserj

Danke! 🙂


Joe
22.6.2015 21:38
Kommentarlink

PGP unter Windows ist tatsächlich so übel, dass man es der breiten Nutzerschaft nicht angewöhnen kann.

PGP ist für vertrauliche Mailkommunikation schon konzeptionell völlig ungeeignet. In der Praxis wird damit höchstens Linux-Software signiert und das war’s dann auch schon.

Daß genau diese “Lösung” in Nerdkreisen heftig beworben wird, ist sicher auch kein Zufall. Jeden, der auch nur in die Nähe einer funktionierenden Software für Endnutzer kommt, ereilt das Schicksal eines Boris Floricic.


_Josh
22.6.2015 22:42
Kommentarlink

@Hadmut: Ok, das mit Outlook habe ich nicht wahrgenommen, somit entschuldige ich mich für mein barsches Geblöke. Seit ich eben dieses Outlook auch beruflich nicht mehr einsetzen muß habe ich da offenbar den Überblick verloren.

Wobei ich mich allerdings daran erinnere, daß es mit PGP — als es dies noch kostenfrei gab, ich meine irgendeine 6.xxx-Version — in Zusammenarbeit mit Outlook 2000 ebenfalls keine Probleme gab.

Wie auch immer, ich hatte bei meinem spätnächtlichen Gemecker gerade mal Thunderbird mit dem Enigmail Add-on im Sinn, jenes Gespann, das bei uns im Institut in Gebrauch ist und eigentlich alle privaten (Windows-)Menschen verwenden, die ich kenne.

Mea culpa dafür, und natürlich auch von mir einen schönen Purzeltag; was davon noch übrig ist.

Viele Grüße aus Argentiniens Salta wünscht _Josh.


Steffen
22.6.2015 23:47
Kommentarlink

– Regelmäßige Schulungen der Benutzer (Security Awareness)

Siehe bei Marcus Ranum, The six dumbest Ideas in Computer Security, Nr. 5: Educating Users. Und ich stimme ihm sowas von zu. Einige Tausend Versicherungsmuckel bekommst du niemals so weit, dass nicht ein signifikanter Teil für Sensibilisierung so unerreichbar bleibt, dass das Sicherheitsniveau nennenswert erhöht wird.

Sensibilisierung ist m.E. Die meistüberschätzte Sicherheitsmaßnahme und durch den mit der Benutzeranzahl multiplizierten Personalaufwand grotesk unwirtschaftlich.

…[ein Haufen weitgehend vernünftiger Vorschläge, die kaum jemand umsetzt…]

– Wöchentliche Sicherheitsaudits der gesamten Infrastruktur

Wöchentlich. Gesamt. Muahaha, in welchem Wolkenkuckucksheim wird das denn gemacht.

– Tägliche Analyse der System- und Anwendungsprotokolle

Eine beliebte Forderung von Aufsichtsbehörden und Wirtschaftsprüfern. Leider konnte mir noch niemand auch nur eine einzige Auswertung nennen, die bei darstellbarem Aufwand eine nennenswerte Wahrscheinlichkeit für das Finden eines Sicherheitsproblems aufweist. Nicht umsonst gelten IDS und IPS außerhalb der Verfügbarkeitsüberwachung weitgehend als gescheitert. Außer einem gewaltigen Eventheuhaufen, in dem man keine Nadel findet, ist da noch nie was sinnvolles rausgekommen. Die Definition und Auswertung von System Monitoring Events ist immer noch Forschungsgegenstand.

Soviel zu meinen Lieblings-Sicherheitsmaßnahmen, die immer wieder gerne in den Raum gestellt werden. Übrigens genau wie die Forderung, mal ein Bein eines redundanten Rechenzentrums als Notfalltest hart auszuschalten. Das macht aus gutem Grund auch keiner.

So, und das war das letzte Mal, dass ich einen längeren Text auf einem iPad verfasst habe. Was für ein widerliches Tippgefühl.


Ayesha
23.6.2015 1:04
Kommentarlink

Tauriel
23.6.2015 6:20
Kommentarlink

Du schreibst: “… wer da in den Enquete-Kommissionen und als Berater eingesetzt wurde: Die letzten Hohl-Schwätzer und Paradiesvögel.”

Kannst Du da bitte ein paar Beispiele geben? Oder mir zumindest einen Nudge/Link wo ich selber nachschauen könnte?


Hadmut
23.6.2015 8:14
Kommentarlink

@Tauriel: Such hier im Blog, dazu habe ich einiges geschrieben.


Gereon
23.6.2015 8:47
Kommentarlink

Was Wunder?
Öffentliche Aufträge sollen doch nur an Firmen mit intensiver Frauenquotenregelung vergeben werden. Da werden die Quotzen (kompetente Quotenfrauen) , die von Natur aus alles besser können und allem überlegen sind, aus dem Vollen geschöpft haben und ihre gesamte Kompetenz in die Waagschale geworfen haben.


yasar
23.6.2015 8:57
Kommentarlink

yasar
23.6.2015 8:59
Kommentarlink

Nachtrag:

Da ist kein einziger dabei, dem ich per se Fachwissen zugestehen würde.


Gast
23.6.2015 9:50
Kommentarlink

Manfred P.
23.6.2015 10:03
Kommentarlink

>Vielleicht mag das heute anders sein, aber wieso sollte ich Zuhause nochmals anfangen meinen Kernel zu compilieren?

Das ist heute anders. Ich habe heute auch weder Zeit noch Nerven, mich mit dem Konfigurieren von Linux-Systemen zu befassen. Distros wie Ubuntu oder Mint machen genau das: Sie laufen einfach, und zwar sehr stabil.

Probleme gibt es eigentlich nur, wenn im Browser eine Flash-Anwendung läuft, die den kompletten Arbeitsspeicher zumüllt. Dann wird durch das Swappen der Rechner langsam.

Dann muss man per top den Browser killen. Ich kann sehr gut verstehen, warum Apple kein Flash mehr haben will.


Juergen Sprenger
23.6.2015 10:03
Kommentarlink

@Steffen
> Educating Users

Ich sehe das ein bißchen anders. Es geht dabei ja nicht nur um Mailanhänge und Phishing, sondern auch um physischen Zugang, Social Engineering usw. und ich muß sagen, daß funktioniert bei uns recht gut, wenn auch nicht immer und zu 100% perfekt. Man muß das zwar von Zeit zu Zeit wiederholen wie Erste Hilfe und Brandschutzkurse, aber die Effekte sind nicht vernachlässigbar:
– Jeder muß entweder einen Firmenausweis oder einen Besucherausweis gut sichtbar tragen.
– Besucher müssen sich immer in Begleitung eines Firmenangehörigen befinden.
– Arbeitsplätze sind bei verlassen grundsätzlich zu sperren. Verstöße haben personalrechtliche Konsequenzen.
– Umgang mit Datenträgern, zum Beispiel werden defekte Harddisks grundsätzlich nicht an den Hersteller zurückgegeben, sondern soweit möglich gewiped und anschließend geschreddert mit entsprechender Protokollierung.

> Wöchentlich. Gesamt. Muahaha, in welchem Wolkenkuckucksheim wird das denn gemacht.

Bei uns wird wöchentlich automatisch überprüft, ob die vorgeschriebenen Sicherheitseinstellungen in Kraft sind, nur die bewilligten Dienste laufen, keine neuen lokalen Benutzer angelegt wurden usw. Zum Beispiel mit Lynis, Solaris Security Toolkit, Puppet etc. Was gibt es denn da zu lachen?

> Tägliche Analyse der System- und Anwendungsprotokolle

Das es nicht zu 100% perfekt ist muß ja nicht heißen, daß man die Auswertung komplett unterläßt. Zum Beispiel eine Auswertung über das Laden von Kernelmodulen ohne daß das im Zusammenhang mit einem Reboot oder einem Wartungsintervall steht oder fehlgeschlagenen Aufrufe von sudo.


Wile E. Coyotee
23.6.2015 11:18
Kommentarlink

@yasar
Alvar Freude?
Padeluun?

Das wären zumindest mal zwei mit etwas technischem Hintergrund


Hadmut
23.6.2015 20:36
Kommentarlink

@Wile E. Coyotee

> Das wären zumindest mal zwei mit etwas technischem Hintergrund

Meinst Du das Ernst? Oder liegt die Betonung dabei auf »etwas« ?

Zu Padeluun hab ich ja einiges geschrieben, und Alvar Freude (oder jemand unter diesem Namen) hat hier im Blog neulich selbst Kommentare abgeworfen, die bei mir ziemliche Zweifel an Kompetenz wecken.


Pjotr
23.6.2015 13:31
Kommentarlink

Die alles entscheidende Frage, die es jetzt zu beantworten gilt: Sind Frauen besonders betroffen? Alles andere ist nebensächlich.


frage
23.6.2015 13:49
Kommentarlink

Schöner Text.

Habe mich aber gefragt, ob Sie “raubkopieren” ernst meinen, als Informatiker.

Denn geraubt wird da nichts, da keine Zwangssituation herbeigeführt oder ausgenutzt wird, oder? Daher wäre es nur Diebstahl.

Raubkopie als Begriff halte ich für Werbung der zugehörigen Industrie, deren wesentlicher Teil diese Abmahnanwälte sind (würde ich meinen). Diebstahlkopie klingt gar nicht mehr so Western-Cowboy mäßig und ist daher nicht so PR-tauglich.

schönen Tag noch


Brahmane
23.6.2015 13:56
Kommentarlink

Die Fachleute werden da sicherlich nicht lange mit betraut bleiben. Sobald der größte Rauch verflogen ist, geht das seilschaften weiter.

Ein sehr schöner Gedanke aber, daß die größte Gefahr für die Bundestags- und die Deutsche IT weder von Russen, Chinesen noch Amerikanern ausgeht, sondern von der unnachahmlich dummen und bräsigen Selbstgefälligkeit der Politiker selbst.

Ich wäre ja gerade gerne mal Mäuschen bei den Leuten dort. Mich würde zb interessieren, wieviele Abgeordnete Passwörter auf dem Niveau von 12345678 hatten. Oder sich von den Itlern die Mögichkeit haben machen lassen, auch mit 123 auszukommen, weil es dauert sonst immer so lange, bis man das nächste Selfie auf Facebook gepostet hat – und nichts ist wichtiger, als schnellstens Selfies auf Facebook zu laden, schließlich geht man wegen sowas wählen…


anonym
23.6.2015 21:31
Kommentarlink

Alvar Freude, padeluun und Constanze Kurz haben sicher mehr technischen Sachverstand, als alle anderen die dabei waren zusammen, oder?


Hadmut
23.6.2015 21:48
Kommentarlink

@anonym:

> Alvar Freude, padeluun und Constanze Kurz haben sicher mehr technischen Sachverstand, als alle anderen die dabei waren zusammen, oder?

Über Constanze habe ich mich hier nie geäußert.

Die anderen beiden sind eher so fehlsichtige Einäugige unter Blinden. Insbesondere bei padeluun habe ich nie gesehen, woher der eigentlich Sachverstand haben oder wie sich das geäußert haben soll.


Akquieszenz
23.6.2015 21:53
Kommentarlink

@Wile E. Coyotee

> Das wären zumindest mal zwei mit etwas technischem Hintergrund

Selbst wenn man die Expertise der beiden mal dahinstehen lässt, wäre 2/18 kaum ein brauchbarer Anteil, besetzungstechnisch gesehen.


Brahmane
23.6.2015 22:38
Kommentarlink

@Hadmut: Was halten Sie denn von der Constanze Kurz?

Und man muss wohl zugeben, dass “etwas” Kompetenz in der IT schon mehr ist, als da im Bundestag vorhanden zu sein scheint. Wahrscheinlich ist “etwas” da schon “zu viel” und man muss sich echt durchringen bzw. sehr gleichmütig sein, um nicht auszuflippen.
Die Bundesregierung brauchte auch ein volles Jahr, um Verizon (NSA) zu kündigen.

Man muss da ja scheinbar selbst erklären, warum Eimer unten zu sind.

Da ist “etwas” wirklich schon viel. Leider!


Hadmut
23.6.2015 22:57
Kommentarlink

@Brahmane:

> @Hadmut: Was halten Sie denn von der Constanze Kurz?

Da äußere ich aufgrund persönlicher Bekanntschaft keine Meinung, da wäre ich befangen. Meines Wissens äußert sie sich auch nicht über mich.


Juergen Sprenger
23.6.2015 23:38
Kommentarlink

@frage

> Diebstahlkopie klingt gar nicht mehr so Western-Cowboy mäßig und ist daher nicht so PR-tauglich.

Diebstahl ist die Wegnahme einer fremden, beweglichen Sache. Das Video ist nach dem Kopiervorgang ja nicht weg.

Verletzung von Verwertungsrechten dürfte es wohl am ehesten treffen, das aber ist noch weniger PR-tauglich für die Contentindustrie.


Brahmane
24.6.2015 13:21
Kommentarlink

Interessante Antwort! Danke!


yasar
25.6.2015 9:52
Kommentarlink

@Wile E. Coyotee

Außer daß deren Pseudonyme in Aktionen auftauchen ist nicht nachzuvollziehen, wodurch sie als Experte gelten.


Wile E Coyotee
26.6.2015 2:44
Kommentarlink

@Hadmut
Die Betonung war wirklich auf “etwas”.
Und ich finde auch 2/18tel sind zuwenig “wenig” Verständnis.