Refurbished / Gebrauchte Technik kaufen - eure Erfahrungen und Meinungen

    Achim Weiss

    Ich wünsche Dir weiterhin viel Glück mit der Strategie Brain.

    Privat kann man so etwas ja auch gern machen. Interessiert ja Niemanden. Als Firma ist man aber ganz schnell mit Haftungsfragen beschäftigt (grobe Fahrlässigkeit).


    Unser Unternehmen hat es im letzten Jahr erwischt (Verschlüsselungstrojaner).

    Wir haben sowohl das BKA als auch IT-Forensiker über mehrere Wochen im Haus gehabt um den Angriff genau zu analysieren. Unserem IT-Sicherheitskonzept wurde von den Forensikern ein sehr hoher Standard bescheinigt. Trotzdem hat es uns erwischt.

    Die Hackertruppe hat sich über rund 4 Wochen in unserem Netzwerk umgetrieben und ist dabei äußerst umsichtig vorgegangen, bevor Sie dann am Tag X zeitgleich alle Server und PC verschlüsselt hat. Sie wollten dann eine 7-stellige Summe von uns haben um uns die Schlüssel zur Entschlüsselung unserer Daten zur Verfügung zu stellen.

    Zum Glück war unser Backup sicher und es ist nicht gelungen Daten aus unserem Unternehmen abzuziehen.

    Der ganze 'Spaß' hat unserer Firma einen fetten Batzen gekostet und es hat rund 6 Monate und ohne Ende Überstunden gebraucht alle Systeme wieder neu zu installieren und das gesamte Netzwerk neu aufzubauen. Das will man nicht nochmal haben.

    Der Burggraben wurde jetzt noch höher gezogen. Aber die Forensiker haben uns bereits vorhergesagt, dass es irgendwann wieder passieren wird!

    Zitat von Achim Weiss

    Der Großteil der Computerschäden entsteht durch social engineering - und dagegen hilft kein "Sicherheitsupdate" dieser Welt.

    Du arbeitest mit ziemlicher Sicherheit nicht in der IT, oder? :/

    Social Engineering braucht es möglicherweise um in ein Netzwerk rein zu kommen. Danach kommt es aber darauf an, ob der Einbruch auch genutzt werden kann um sich einen administrativen Zugang ins Netzwerk zu verschaffen. Da kommen dann Sicherheitslücken oder schwächen im IT-Sicherheitskonzept des Unternehmens ins Spiel.

    Hochmut kommt vor dem Fall. Ich bin jedenfalls sehr nachdenklich geworden, als uns die Forensiker detailliert dargelegt haben, wie die Hacker in unserem Netzwerk vorgegangen sind. Da fühlt man sich als IT'ler so richtig 'gefi..t'. Vor allem, wenn man eigentlich ein mehrstufiges Sicherheitskonzept hatte.:/

    Zitat von Achim Weiss

    Das bezweifle ich nach wie vor, außerdem ist nicht jedes Update ein "Sicherheitsupdate".


    Der Großteil der Computerschäden entsteht durch social engineering - und dagegen hilft kein "Sicherheitsupdate" dieser Welt.


    "Gurte braucht es nicht, die meisten Unfälle entstehen durch Alkohol" :/


    @all und zum Thema: Wenn MS keine Updates mehr bereit stellt, würde ich das Gerät nicht mehr produktiv nutzen. Vor allem nicht im Netz.

    Ich halte allerdings die Wahrscheinlichkeit hoch, dass MS da noch 2-3 jahre nachschiebt oder die künstlichen CPU.Anforderungen von Win11 aufgibt.


    Ansonsten ist Linux auf dem alten Rechner oft eine gute Idee!

    Zitat von Achim Weiss

    Der Großteil der Computerschäden entsteht durch social engineering - und dagegen hilft kein "Sicherheitsupdate" dieser Welt.

    Das sind zwei vollkommen unterschiedliche Dinge. Der Faktor Mensch ist bei gezielten Angriffen häufig am leichtesten zu überwinden und insbesondere später auszunutzen. Dagegen hilft natürlich keine Technik der Welt, sondern nur Menschenverstand und eine gesunde Portion Misstrauen.


    Aber altbackene Lücken in der Technik eignen sich wunderbar dazu, das automatisiert auszunutzen. Das Internet ist immer noch klein genug, um es automatisiert abzusuchen. Es gibt auch spezielle Suchmaschinen wie Shodan für diesen Zweck. Mit komplett veralteter Software im Internet zu surfen, ist das Äquivalent zum Schlüssel unter der Fußmatte. Fühlt sich halbwegs sicher an, ist es aber nicht.


    Zitat von Achim Weiss

    außerdem ist nicht jedes Update ein "Sicherheitsupdate".

    Nein, das sicherlich nicht. Wir liefern an unsere Kunden zum Beispiel fast nie explizite Sicherheitsupdates aus, wenn dann fast immer über Third Party Dependencies (z.B. Log4J). Aber es sind jede Menge andere wichtige Fixes dabei: Abstürze, Performance, bessere Ergebnisse,...eben alles, was in der QA durchrutscht und erst in der tatsächlichen Nutzung auffällt. Kann man natürlich drauf verzichten, dann bekommt man halt die bekannten Probleme. Und bei Problemen bekommt man vom Support keine "echte Hilfe", sondern als erste die Aufforderung zum Update. Als Firma haben wir nämlich keine große Lust, ständig Entwickler auf die Suche nach Bugs zu schicken, die vor 2 Jahren schon gefixt wurden ;)

    Zitat von monstermania

    Ich wünsche Dir weiterhin viel Glück mit der Strategie Brain.

    Jeder zahlt seine Rechnungen selbst.


    Du wirst Deinen technisch funktionierenden Rechner wegschmeißen, wenn es kein "Sicherheitsupdate" für Windows 10 mehr gibt.


    Ich würde ihn unter gleichen Bedingungen ohne schlaflose Nächte weiterbetreiben. :)

    Zitat von monstermania

    Unser Unternehmen hat es im letzten Jahr erwischt (Verschlüsselungstrojaner).

    Wir haben sowohl das BKA als auch IT-Forensiker über mehrere Wochen im Haus gehabt um den Angriff genau zu analysieren. Unserem IT-Sicherheitskonzept wurde von den Forensikern ein sehr hoher Standard bescheinigt. Trotzdem hat es uns erwischt.

    Das heißt: Alle Mühe, aller Aufwand hat Euch nichts genutzt. Das Einspielen aller "Sicherheitsupdates" (das sicherlich erfolgt ist, denn Eure IT handelt ja nicht grob fahrlässig!) hat Euch vor dem Angriff nicht bewahren können.

    Zitat von monstermania

    Die Hackertruppe hat sich über rund 4 Wochen in unserem Netzwerk umgetrieben und ist dabei äußerst umsichtig vorgegangen, bevor Sie dann am Tag X zeitgleich alle Server und PC verschlüsselt hat.

    Profis also (wenngleich natürlich ohne Frage Kriminelle), und Eure IT hat das nicht gemerkt, trotz "hohem Sicherheitsstandard". Mich würde interessieren, was da im Detail passiert ist. Du wirst es mir vermutlich nicht erzählen (wenn Du es überhaupt weißt).

    Zitat von monstermania

    Der Burggraben wurde jetzt noch höher gezogen.

    Ob das wohl hilft? Ich hätte einen Graben vermutlich eher vertieft als höher gezogen.


    Habe ich nicht davon berichtet? Unsere IT hat sich neulich mal neue Paßwort-Anforderungen ausgedacht. Jeder, dessen Paßwort diese Anforderungen nicht erfüllte, konnte sich nicht mehr einloggen und mußte in eine Maske gehen, die das alte Paßwort nach neuen Anforderungen prüfte. Eine super-sichere, nämlich 100%ige Lösung! Ein Großteil der Mannschaft konnte sich einen ganzen Tag nicht in die Firmensysteme einloggen. Die Kosten dieses Fehlers dürften nicht unerheblich gewesen sein.


    Wir unterhalten uns hier regelmäßig über Sicherheitsfragen, mehr allerdings über die "Sicherheit" von Geldanlagen als über Computersicherheit. Und jeder Anfrager akzeptiert kein Jota unterhalb "100%iger Sicherheit". Eine solche gibt es aber im Menschenleben nicht, nirgendwo. Im Gegenteil kann es sogar sein, daß man einen Sicherheitssucher mit dem Versprechen von Sicherheit auf einen Weg lockt, der überhaupt nicht sicher ist.


    Bei den meisten Unfällen (oder Betrugsfällen) erkennt man bei der Analyse, was man hätte machen können, vielleicht müssen, um den Fall zu vermeiden. Mag sein, daß man sein Handeln dann entsprechend ändert. Die gewünschte Sicherheit bringt das aber auch nicht. Das nächste Mal passiert etwas anderes.


    Ich halte es generell für sinnvoller, mit Risiko zu argumentieren, statt Sicherheit zu fordern. Es ist sicher sinnvoll, große Risiken zu vermeiden. Aber es gibt halt auch kleine oder gar minimale Risiken. Die kann man durchaus ignorieren, wenngleich sie sich natürlich manifestieren können. Das sollte man sagen: Shit happens. So ist das Menschenleben nun einmal. Wer alle Risiken vermeiden will, hat keine Zeit zum Leben übrig.


    Wenn Dir Sicherheit über alles geht, such Dir schon einmal einen geeigneten Platz zum Schlafen heute abend. Dein Bett kann das nicht sein! Die meisten Leute sterben im Bett, also ist das kein sicherer Ort, um sich stundenlang in der Nacht dort aufzuhalten. Und Autofahren darfst Du natürlich auch nicht mehr, schließlich hört man immer wieder von tödlichen Autounfällen. :)


    Du wirst mich nicht umstimmen :)

    Zitat von Achim Weiss

    Du wirst es mir vermutlich nicht erzählen (wenn Du es überhaupt weißt).

    Ich weiß es schon.

    Wir haben auch einen > 200 Seitigen Report von den Forensikern erhalten, der genau aufzeigt, wann was passiert ist. Dazu eine Präsentation wie einfach es letztlich war, nachdem man erstmal einen Fuß in der Tür hatte.

    Ja, das waren Profis. Und unser Unternehmen befindet sich auch in illustrer Gesellschaft. Waren ja diverse Konzerne betroffen.

    Bei Continental wurden z.B. mehrere TB Firmendaten abgezogen und im Darknet zum Kauf angeboten. Das hat man zwar bei uns versucht, aber es wurde nicht geschafft. Das hat das unser Sicherheitskonzept verhindert.

    Auch die Backups waren sicher.

    Zitat von Achim Weiss

    Du wirst mich nicht umstimmen :)

    Will ich gar nicht.

    Ich will nur darauf hinweisen, dass wir IT'ler nicht alles Idioten sind, die Security (und Updates) nur einspielen, weil wir sonst nix zu tun haben oder unsere User ärgern wollen.

    Was meinst Du, was wir uns jetzt teilweise von unseren Usern anhören dürfen, weil es ja jetzt Alles so 'kompliziert' geworden ist.

    Zitat von Achim Weiss

    Risikobewertung statt des allgemein geforderten Strebens nach 100%iger Sicherheit

    Das hat niemand behauptet, der seriös argumentiert. Es geht aber um die mögliche Verhinderung des Einbruchs an bekannt (und auch vorausschauend wahrscheinlich) undichten Stellen und stellt immer nur eine temporäre Annäherung an das ideale Ziel dar. Ist ja ein Katz- und Maus-Spiel.
    Sobald man sich nicht im privaten Kontext bewegt, ist die Argumentation, auf technische Sicherheit zugunsten von Brain 1.0 zu verzichten, lächerlich.

    Zitat von monstermania

    Ich will nur darauf hinweisen, dass wir IT'ler nicht alles Idioten sind, die Security (und Updates) nur einspielen, weil wir sonst nix zu tun haben oder unsere User ärgern wollen.

    Was meinst Du, was wir uns jetzt teilweise von unseren Usern anhören dürfen, weil es ja jetzt Alles so 'kompliziert' geworden ist.

    ITler sind Menschen und irren als solche gelegentlich. Die Geschichte mit den Paßwörtern, die ich erzählt habe, war ein menschlicher Fehler, der nicht passieren sollte, aber eben passiert ist. In diesem Fall hat der Fehler die Nutzer unbeabsichtigt ausgesperrt. Er hätte auch das Scheunentor öffnen können.


    Ich hätte in einem anderen Fall meines Alltags gern etwas mehr Sicherheit (!) und habe danach gefragt. Abgelehnt, wie immer durch "Vorstandsbeschluß". Wenn unsere IT etwas nicht machen will, liegt das immer an irgendeinem Vorstandsbeschluß. In Wirklichkeit ist das eine schlichte Ausrede, und zumindest ich fühle mich durch solche Volten nicht ernstgenommen.


    Die IT stellt die Infrastruktur eines Unternehmens sicher, sie sollte somit Dienstleister für die produktiven Teile des Unternehmens sein. Sie sollte sich dabei beteiligen, firmeninterne Prozesse so zu gestalten, daß die Mitarbeiter damit gut arbeiten können, selbstverständlich auch unter dem Aspekt der Sicherheit. Wenn dem Mitarbeiter aber Abläufe aufgezwungen werden, die er nicht vernünftig leben kann, versucht er auszuweichen. Diesbezüglich ist Prinzipienreiterei dann meist wenig sinnvoll. Das müßte sich unsere IT mal verinnerlichen :) Die führt sich gern mal als Vorgesetzter auf (siehe oben), der sie eigentlich nicht ist.


    Wir kommen ab vom Thema.

    Zitat von Achim Weiss

    ITler sind Menschen und irren als solche gelegentlich.

    Menschen machen Fehler. Nur, dass manche Fehler Auswirkungen haben, die umgehend bemerkt werden und manche Fehler teilweise erst Tagen Wochen oder gar Jahren auffallen.

    Genau deswegen müssen wir ja überhaupt die Systeme aktualisieren, weil ständig menschliche Fehler gefunden werden, die irgendein Programmierer irgendwann mal gemacht hat.

    Zitat von Achim Weiss

    Wenn unsere IT etwas nicht machen will, liegt das immer an irgendeinem Vorstandsbeschluß. In Wirklichkeit ist das eine schlichte Ausrede, und zumindest ich fühle mich durch solche Volten nicht ernstgenommen.

    So betrachtet hat der Ransomwareangriff uns IT'lern sogar Vorteile gebracht. Man muss jetzt nicht mehr ewig argumentieren, wenn man mehr Sicherheit im Unternehmen umsetzten will.:/

    Die GF steht jetzt wirklich hinter der IT, wenn wir zusätzliche Sicherheit einfordern.


    PS: Ich verschrotte mein altes Laptop nicht. Wird über ebay verkauft.

    Zitat von monstermania

    Menschen machen Fehler. Nur, dass manche Fehler Auswirkungen haben, die umgehend bemerkt werden und manche Fehler teilweise erst Tagen Wochen oder gar Jahren auffallen.

    Genau deswegen müssen wir ja überhaupt die Systeme aktualisieren, weil ständig menschliche Fehler gefunden werden, die irgendein Programmierer irgendwann mal gemacht hat.

    Nicht jedes Update beseitigt fehler, nicht jedes Update ist ein "Sicherheitsupdate". Und wenn ein Update einen Bug, vielleicht sogar einen fatalen Bug enthält, spielen die early adopter die Versuchskaninchen.

    Zitat von monstermania

    Man muss jetzt nicht mehr ewig argumentieren, wenn man mehr Sicherheit im Unternehmen umsetzen will. :/

    Zumindest bei uns gilt: Nicht alles, was sich die Haus-IT ausdenkt, erhöht die "Sicherheit". Streng genommen gibt es "mehr Sicherheit" übrigens nicht, so wenig, wie es "mehr Schwangerschaft" gibt. Sicherheit ist eine digitale Kategorie.


    Bei uns hat Emotet nicht zu einem Umdenken geführt. Bei der Standard-Installation von "Word" sind Makros immer noch eingeschaltet.


    Sind wir noch beim Thema?

    Zitat von Achim Weiss

    Nicht jedes Update beseitigt fehler, nicht jedes Update ist ein "Sicherheitsupdate". Und wenn ein Update einen Bug, vielleicht sogar einen fatalen Bug enthält, spielen die early adopter die Versuchskaninchen.

    Dummerweise werden viele fatale Bugs erst spät entdeckt. Und je nach Entdecker kann die Lücke veröffentlicht werden oder jahrelang ausgenutzt werden. Die Geheimdienste haben garantiert größere Sammlungen an Zero-Days, also Lücken für die es keinen Patch gibt und die in der Regel nicht bekannt sind. Um diesem Risiko ein klitzekleines bisschen zu entgehen, nimmst du das Risiko bereits öffentlich bekannter Sicherheitslücken auf dich, für die es sogar einen Patch gäbe. Das schützt dich nicht. Aber es ist dein Risiko.

    Zitat von LebenimSueden

    Dummerweise werden viele fatale Bugs erst spät entdeckt. Und je nach Entdecker kann die Lücke veröffentlicht werden oder jahrelang ausgenutzt werden. Die Geheimdienste haben garantiert größere Sammlungen an Zero-Days, also Lücken für die es keinen Patch gibt und die in der Regel nicht bekannt sind. Um diesem Risiko ein klitzekleines bisschen zu entgehen, nimmst du das Risiko bereits öffentlich bekannter Sicherheitslücken auf dich, für die es sogar einen Patch gäbe. Das schützt dich nicht. Aber es ist dein Risiko.

    Aber er hat doch Brain 1.0. ?

    Zitat von BS.C

    Das ist ja das Problem.... da gabs ja letztens ein Update auf 3.0....

    Er hatte doch geschrieben, dass er Updates so spät wie möglich oder gar nicht aufspielt. Irgendwann muss man die Karawane einfach weiterziehen lassen.

    Zitat von LebenimSueden

    Dummerweise werden viele fatale Bugs erst spät entdeckt. Und je nach Entdecker kann die Lücke veröffentlicht werden oder jahrelang ausgenutzt werden. Die Geheimdienste ...

    ... und sicherlich auch hochkarätige Kriminelle ...

    Zitat von LebenimSueden

    ... haben garantiert größere Sammlungen an Zero-Days, also Lücken für die es keinen Patch gibt und die in der Regel nicht bekannt sind.

    Inwiefern hilft es Dir dagegen, wenn Du brav jeden offiziellen Patchday treubrav mitmachst?

    Zitat von LebenimSueden

    Um diesem Risiko ein klitzekleines bisschen zu entgehen, nimmst du das Risiko bereits öffentlich bekannter Sicherheitslücken auf dich, für die es sogar einen Patch gäbe.

    Um dem Risiko zu entgegen, daß Geheimdienste und Kriminelle eine größere Sammlung von Zero-Days haben, mache ich was genau?


    Ich nehme das Risiko öffentlich bekannter Sicherheitslücken auf mich, für die es sogar einen Patch gäbe?


    Was hat dies beides miteinander zu tun?

    Zitat von LebenimSueden

    Aber es ist dein Risiko.

    Jeder trägt das Risiko seines eigenen Lebens. Das schlimmste Computervirus auf meinem (!) Rechner kann mit dem Risiko beispielsweise des Corona-Virus nicht mithalten.


    Sind wir noch beim Thema?