#5 – Elektronikmärkte, Home-Office und gehackte Mailserver

Moin zum hagel IT-Podcast. Mein Name ist Dennis Kreft. Und mein Name ist Philip Kraatz. Ja Dennis, jetzt haben wir den Salat. Also nicht wir, sondern ein großer deutscher Elektronikmarkt, beziehungsweise eine Elektronikmarktkette mit vielen Märkten deutschlandweit. Was da dann

passiert? Stimmt, jetzt wo du das sagst. Mediamarkt wurde gehackt. Richtig. Habe ich auch gelesen. Für alle die, für alle ZuhörerInnen, die es nicht mitbekommen haben, vor ungefähr drei Wochen wurde Mediamarkt gehackt, wie man so ganz plakativ schlagt, zahlt. Und zwar forderten da Hacker Lösegeld in Höhe von 240 Millionen US-Dollar in Form von Bitcoin. Und da wurden Kassensysteme verschlüsselt, wenn ich es richtig verstanden habe. Ja, als hätten wir es nicht gesagt. Wir haben in unserer ersten Folge darüber gesprochen, Da waren es die Schweriner Stadtwerke und nun ein riesen Elektrokonzern.

Genau, es war nicht die Stadtwerke, es war die Schweriner Stadtverwaltung, die da auch immer noch mit zu kämpfen haben. Und ja, jetzt ist das Gleiche einem großen Konzern passiert, Mediamarkt, Saturn, sicherlich jedem einen Begriff, hat jeder bestimmt schon mal irgendwie einen USB-Stick gekauft oder Ähnliches. Und ja, Kassensysteme verschlüsselt, Konsequenz ist, die sind momentan wieder zurück zu Stift und Papier.

Exakt. Also vielleicht mal, falls man sich das gar nicht so vorstellen kann, was da nun alles so drunter fällt oder was da auch mal nicht funktioniert. Ich habe hier mal so ein Screenshot offen. Da hat sich jemand die Mühe gemacht und einen Aushang bei Media Markt oder Saturn, kann ich gar nicht so genau sagen gerade, fotografiert. Und aufgrund einer technischen Störung sind im Moment folgende Serviceleistungen nur eingeschränkt oder gar nicht verfügbar. Jetzt sieht man einfach mal, was da alles so dranhängt, nämlich Lieferung, Rechnung, Belegerstellung, Finanzierung, Reparaturannahme, Ausgabe, Rücknahme, Auszahlung, Gutscheine, Couponeinlösung, Online-Abholungen und Retouren. Ja, Stift und Zettel, wie du schon sagst.

Also eigentlich alles, was so ein Markt im Markt anbietet, geht gerade nicht. Ja, also genau, ich habe gehört, das Online-Geschäft geht weiter, also die Online-Shops sind wohl nicht betroffen, aber genau, in den Märkten lokal geht nichts mehr und ich kann mir vorstellen, dass da jetzt der ein oder andere Mitarbeiter vor Ort doch ganz gut zu tun hat, den Kunden zu erklären, warum jetzt bestimmte Leistungen nicht funktionieren, nicht erbracht werden können und das auf irgendeinem anderen Wege zu lösen. Die sind da wohl ganz stark dran. Ich glaube, das Hauptproblem, wie ich das mitbekommen habe, ist einfach, dass keiner bei so einem großen Konzern mehr so richtig den Überblick darüber hat, wo läuft eigentlich was, welcher Server ist wofür zuständig, wo haben wir eventuelle Sicherheitslücken. Man kann sich das wahrscheinlich gar nicht vorstellen, Da sind halt nicht ein Server, zwei, drei, vier Server, sondern es sind ja hunderte von Servern, die verteilt diese Aufgaben übernehmen.

Genau, hier vielleicht mal einschlägige Online-Magazine berichten davon in Summe 3.100 Servern. Also, das muss man sich ja mal vor Augen führen, die da jetzt im Zweifel eben alle verschlüsselt sind. Und das geht nun so weit, dass tatsächlich Verhandlungen geführt wurden, werden. Ob sie noch geführt werden, kann ich ehrlicherweise nicht sagen. Aber es wurden tatsächlich Verhandlungen mit einer Ransomware-Gruppe geführt. Also ich glaube, dass einem das ganz schön verdeutlicht, vor was für einer akuten Problematik und Absurdität wir da zum Beispiel auch stehen.

Ja, also ich glaube, zusammenfassend kann man sagen, zeigt das noch mal, wie wichtig das ist, dass wir irgendwie die IT-Sicherheit als Ganzes betrachten. Einzelne Lösungen wie irgendwie ein Endpoint-Detecting-Lösung und ein gutes Backup sind natürlich genau eben auch wichtig. und einen Baustein davon, aber zu so einem Schutz vor Cyberbedrohung gehört einfach viel mehr. Ich glaube, das wird dadurch relativ gut verdeutlicht, dass es eben darum geht, einen Überblick über die Gesamtstruktur zu behalten.

Ich finde vor allem, dass man jetzt aus Sicht von MediaMarkt Saturn es auch ganz schön schwierig hat, das seinem Endkunden gegenüber in irgendeiner Form zu verargumentieren, weil also nach nach meinem verständnis ist es ja quasi ein eingeständnis dafür dass man sich eben um diese dinge die du aufgezählt hast nicht so sehr bemüht hat in anführungszeichen weil man im zweifel ja sonst nicht verhandlung mit einer advert granzenberg gruppe machen müsste sondern einfach sagen konnte okay alles klar wir spielen unser backup auf die kisten laufen wieder das Das zeigt halt auch einfach, wie du schon sagst, dass eben Weltunternehmen, nenn ich es jetzt einfach mal, auch vor solchen Angriffen nicht gewappnet sind. Und im Zweifel auch gar nicht gerüstet.

Ja, ich glaube, dass da eben auch noch mit reinspielt eine ganz einfache Rechnung, nämlich wie lange dauert es, ein möglicherweise vorhandenes Backup wieder einzuspielen, die Systeme wiederherzustellen. Und dagegen halt, wie schnell kann man eventuell mit einem zur Verfügung gestellten Entschlüsselungscode das Ganze wiederherstellen, wobei da halt immer die Gefahr besteht, dass man an die Daten noch nicht mehr rankommt. Das ist ja auch häufig genug der Fall, dass zwar jemand sagt, ja, wir haben da eine Möglichkeit, es wiederherzustellen, aber nach Bezahlen der geforderten Summe die Möglichkeit gar nicht mehr existiert, weil sich entweder niemand mehr meldet oder der Code halt doch nicht existiert hat. Also Ist ja auch keine so sichere Bank. Von daher würde ich mich darauf nicht verlassen.

Genau, das ist für so eine einfache Abwägung mal eben 240 Millionen US-Dollar Lösegeld natürlich auch eine ganz sportliche Entscheidung.

Ja, wer weiß, wie gut die verhandeln können. Wir schauen mal. Was haben wir noch? Wir haben ein großes Thema mit gehackten Exchange-Servern mal wieder. Die stehen irgendwie wieder im Fokus, Das habe ich gelesen. Wir hatten Anfang des Jahres dieses Thema mit den Hafnium-Exploits, wo schon diverse Exchange-Server verwundet waren oder verwundbar waren und auch Angriffen unterlegen haben. Und dass da doch zu einigen Stunden Arbeit gekommen ist bei so manch einem. Und jetzt gibt es was Neues.

Ja, jetzt geht es nämlich gar nicht mehr darum,

tatsächlich, ich habe es auch gelesen,

dass man vielleicht auch diese infizierten Systeme dafür benutzt Spam-Mails in alle Welt zu schicken, sondern man hat es jetzt tatsächlich auch darauf abgesehen einfach eben diese Möglichkeit die sich einem da gibt zu nutzen und einfach Spam-Mails innerhalb des eigenen in Anführungszeichen Unternehmens zu verschicken, um so natürlich eine gewisse Vertrauensbasis auszunutzen, um an noch sensiblere Daten einzelner Mitarbeiter beispielsweise zu

kommen. Ja, ich erhöhe natürlich damit auch die Wahrscheinlichkeit massiv, dass a, diese Mail wirklich durchgeht und b, auch angeklickt wird. Denn viele der Filtereinrichtungen, die man so einsetzt, die greifen ja intern gar nicht. Also die sind ja immer darauf ausgerichtet, dass eine E-Mail, die bedrohlich ist, von außen kommt. Aber wenn die E-Mail quasi von innen kommt, wie eine interne Mail, die wird halt von den wenigsten Systemen gescannt und dadurch ist natürlich die Anzahl der gefakten Mails und der Phishing-Mails, die wirklich durchkommen, zum Empfänger deutlich größer und sehen natürlich auch für so einen Empfänger möglicherweise deutlich valider aus, weil so gängige Mittel, um zu erkennen, dass eine Mail doch nicht vom eigenen Server kommt, die greifen da ja gar nicht. Also schon gar nicht ohne.

Absolut. Und jetzt vielleicht doch noch mal ganz kurz eine Frage in dem Zusammenhang. Kann ich mich denn jetzt überhaupt noch vor diesen Spam-Mails aus den eigenen Reihen schützen? Also kann ich da jetzt im Nachgang noch irgendwas machen oder muss ich dann einfach sagen, okay, komm, wir machen einmal alles platt, wie der Volksmund das schon sagt, und installier es neu?

Naja, wichtig ist in jedem Fall Systeme aktuell halten. Das ist ja eine Sache, die eben auch Aufgabe von zum Beispiel MSP ist, da immer dafür zu sorgen, dass Systeme gepatcht bleiben, zu prüfen, wo gibt es Sicherheitslücken und gibt es schon Updates dafür. Und in dem Fall ist es so, dass diese Lücken, die da jetzt offen sind, tatsächlich auch mit Updates geschlossen werden können. Nur das BSI hat letzte Woche noch mal gerade Zahlen veröffentlicht, die haben immer noch über 8000 verwundbare Server, alle in Deutschland irgendwie gefunden, die für diesen Angriff anfällig sind. Und das zeigt einfach, wie nachlässig das Thema manchmal behandelt wird. Und ja, das, was wir halt immer wieder, auch seit Jahren ja schon sagen, ist, der sicherste Schutz davor ist in dem Fall tatsächlich, mit seinem ganzen Mail-Server umzuziehen zu Microsoft in die Office 365 Cloud, weil da brauche ich mich um die Updates nicht mehr kümmern. Und solche Lücken werden da, wenn sie auftreten, durch da zuerst geschlossen, weil die Administratoren da halt direkt Zugriff drauf haben, die Updates direkt ausrollen können und man bekommt selber gar nicht mit. Also ich denke, das ist der beste Schutz vor genau solchen Themen. Dann muss ich halt den Updates nicht immer hinterher rennen.

Also die klassische Lösung wäre dann eigentlich Update oder Umzug, nenne ich es jetzt einfach mal so ganz salopp, Umzug dahingehend eben, dass man einfach sagt, okay, wir nehmen alles an Mails, was wir haben, ziehen es in die Cloud um und empfangen zukünftig eben über beispielsweise Office 365 oder Angebote anderer großer Namen, die da draußen so rumschwören.

Genau, auf jeden Fall. Ja, von Update oder Umzug, also 2U ist der Weg nicht weit zu 3G, denn ja, das ist etwas, was quasi ab heute, wenn dieser Podcast erscheint, Thema in allen Büros ist. Also 3G am Arbeitsplatz. Ja, genau, 3G am Arbeitsplatz kommt ab diesem Mittwoch. Und damit verbunden natürlich wieder ganz oben auf der Agenda das Thema Homeoffice. Ich glaube, viele haben da inzwischen Lösungen gefunden. Aber was ist denn, wenn ich jetzt quasi durch die erste Phase durchgekommen bin und jetzt stehe ich das zweite Mal vor der Entscheidung, ich muss irgendeine Lösung finden. Was kann ich denn jetzt noch machen, um irgendwie Mitarbeiter möglichst schnell ins Homeoffice kriegen zu können?

Also ich glaube, in erster Linie muss man einfach hoffen, dass man das in den ersten zwei Phasen dieser Thematik schon ganz gut gewuppt hat. Und was kann man schnell machen? Im Zweifel stellt sich im Moment meines Erachtens ehrlicherweise eine große Problematik tatsächlich so weiter, nämlich die Verfügbarkeit von Notebooks. Also wir haben, glaube ich, aufgrund dieses bekannten Chip-Mangels tatsächlich enorme Probleme zeitnah anständige Business Notebooks zu besorgen. Und ich glaube, dass diese Problematik vor dieser Problematik steht letztendlich jedes Unternehmen, egal welcher Größe. Also ich habe jetzt eben 3G am Arbeitsplatz, das heißt, wie nun jeder weiß, geimpft, getestet oder genesen. Und das stellt mich natürlich auch vor gewisse Organisationsprobleme. Also ich brauche im Zweifel hat auch immer jemanden, der das überprüft. Und da wäre es natürlich viel entspannter, wenn ich eben sagen kann, passt auf, ihr arbeitet alle von zu Hause. Bin ich da aber eben noch nicht gewappnet, könnte ich momentan ehrlicherweise Schwierigkeiten kriegen, das zeitnah gut umsetzen zu können.

Ja, also wir haben ja genau zwei Themen, die momentan zusammenkommen. Wir haben auf der einen Seite immer noch aus dem ersten Mal Homeoffice Pflicht, die die Verfügbarkeit von Notebooks, die sich zwischenzeitlich mal so ein bisschen gebessert hat, aber so richtig gut war es ja gar nicht mehr. Und dann haben wir den Chipmangel, der dazu kommt, der halt auch so ein bisschen die Nachproduktion von Geräten verhindert. Ich habe heute Vormittag mal reingeguckt und da sah es echt ganz schön düster aus. Also Geräte, die man jetzt noch bekommt, halt deutlich teurer. Noch größeres Problem, habe ich gesehen, sind gar nicht mal die Notebooks, noch in die Dockinstation. Also wenn ich noch ein Notebook kriege, dann kriege ich zumindest aber keine Dockinstation mehr dazu. Ich denke, da kann man im Zweifel darauf verzichten. Hauptsache, man hat ein Notebook, die kann man immer noch nachliefern in die Dockinstation. Aber ja, Notebook wäre super, wenn ich das schon habe. Was ist dann der nächste Schritt? Jetzt habe ich mein Notebook und was brauche ich dann noch? Na, die Frage, die sich halt stellt, ist jetzt

arbeite ich üblicherweise eben unter 3G oder eben auch nicht im Büro, hab da ganz klassisch noch irgendwo ein Storage stehen in Form eines Servers oder einanders. Jetzt brauche ich aber mein Kram, mit dem ich arbeite, auch zu Hause. Ich glaube, dass das auch ein ganz essentieller Punkt ist. Jetzt unterstellen wir einfach mal, ich hab hier alles an Hardware, was mich dazu befähigen könnte, von zu Hause zu arbeiten. Nun brauche ich aber eben auch meine ganzen Dateien, die ich üblicherweise am Tag so jongliere, händle, etc. Und auch da gilt es eben im Zweifel jetzt schnell zu schauen, wohin kann ich die entweder umziehen, diese Dateien, oder finde ich eine ad hoc Lösung, die es mir eben ermöglicht, zu sagen, dass die Mitarbeiter von zu Hause auch auf die Dateien, die hier bei mir im Büro rumliegen, zugreifen können.

Ja, genau. Und mit dem ad hoc irgendwie auf die Dateien im Büro zugreifen, ist ja immer so eine Sache. Wir haben das Thema Sicherheit gerade eben besprochen und da wurden ja im ersten Homeoffice-Zeitraum dann doch so ein paar Lücken aufgemacht bei vielen Unternehmen, die nachher geschlossen werden mussten. Von daher, ich glaube, was man einfach nochmal sagen kann, ist, was vielleicht auch manch einer nicht weiß, in dem Moment, wo ich meine E-Mails über Microsoft 365 abwickel, habe ich den Weg gar nicht mehr so weit, auch meine Dateien über Microsoft SharePoint oder OneDrive dann mit Kollegen zu teilen und von daher auch überall arbeiten zu können, von überall aus darauf zugreifen zu können. Sei es jetzt von zu Hause aus dem Homeoffice oder eben auch aus dem Büro. Das heißt, der Weg dahin ist gar nicht mehr weit und auch bei den meisten Abonnements ist ja Microsoft Teams auch schon Bestandteil, was man relativ leicht dann auch nutzen kann. Und im Zweifel, selbst wenn es kein Bestandteil bislang ist, dann sind es für uns ja nur ein paar Klicks, die Lizenz zu ändern und das freizuschalten. Und ab dann kann man es auch direkt nutzen. Also ich glaube, gerade da muss man einfach noch mal gucken, was habe ich eventuell schon davon und kann ich mit vielleicht doch einigermaßen überschaubarem Aufwand in relativ kurz zur Zeit jetzt noch auf dem letzten Drücker irgendwie das hinbekommen, dass meine Mitarbeiter einigermaßen komfortabel arbeiten können.

Genau, und vielleicht, also so absurd das auch klingen mag, nehme ich das ganze Szenario dann eben auch vielleicht so ein bisschen als Chance wahr. Also ich sag mal, wenn ich jetzt umgezogen bin, jetzt mal angenommen, ich hab eben alles zu SharePoint migriert, das ist ja nichts, was ich jetzt nur für diesen Bedarfsmoment brauche, sondern ich kann ja meine gesamte zukünftige Arbeit darauf basierend aufbauen. Also das ermöglicht mir halt auch in Zukunft, dass jeder Mitarbeiter und eben auch ich selber ganz einfach von überall arbeiten kann, zu jeder Tages- und Nachtzeit, unabhängig davon eben, ob beispielsweise mein Büro besetzt ist. Und genau, ich glaube, dass man das eben auch als

Chance sehen kann. Ja, alles klar. Ich glaube, dann haben wir soweit erstmal für diese Woche alle wichtigen Themen zusammengefasst. Vielen Dank. Hat für immer Spaß gemacht, Dennis.

Ja, sehr cool. Ich danke auch. Es ist mal was anderes. Vielleicht einfach mal so ein bisschen tagesaktuelles Geschehen aufgreifen und das mal ein bisschen im Detail betrachten. Ja,

sehr cool. Vielen Dank. Und dann bis nächste Woche. Bis nächste Woche.