Was ich einfach nicht verstehen kann...
Allerorten liest man, wie es Bösewichten gelungen ist, mit relativ geringer krimineller Energie in sensible Netze einzudringen. Sei es Rechenzentren, Verwaltungen, Krankenhäuser, Kraftwerke uvm.
Ich bin ja nun kein offiziell ausgebildeter ITler, sondern mache den Kram seit 15 Jahren eher als Hobby und auch davor, wo ich es beruflich gemacht habe, eher wie ein Handwerker und nicht wie ein Ing, welcher sich auf zugelieferte Sachen verlassen muss. Damals gab es sowas noch nicht. Damals gab es nicht einmal das Internet, welches man fragen konnte. Und die nächsten Nerds waren auch nicht immer greifbar.
Trotzdem verstehe ich immer noch nicht, wieso man kritische Infrastruktur, welche man bisweilen auch von aussen administrieren muss, nicht einfach über zertifikatsbasiertes VPN zugänglich macht. Und vielleicht zusätzlich noch die IP-Ranges einschränkt oder so. Das ist doch alles kein Hexenwerk. Und Server, welche öffentlich zugänglich sind, über eine Firewall vom sensiblen Teil des Netzes trennt. Dann bleibt einzig noch SQL-Injection oder so übrig.
Bei mir ist Port 80, 443 TCP sowie ein unüblicher Port UDP für das VPN von aussen erreichbar. IoT ist über das Gastnetz eingebunden. Bleiben bei mir nur noch Android-Phone und PCs übrig, welche über Browser oder Apps von innen nach aussen ein Loch reissen können. In einer sensiblen Umgebung könnte man das auch noch abfangen. Ich mache mir die Mühe noch nicht. Allerdings habe ich Netzwerkdrucker und NAS per Kindersicherung komplett vom äusseren Netz getrennt. Und ja, die Drucker nörgeln gerne deswegen. Und der Samsung Drucker hat sich schonmal über den Windows Treiber seinen Weg nach aussen gebohrt, um ungefragt neue Firmware aufzuspielen, damit die billigen Tonerkartuschen nicht mehr funktionieren. Rechtzeitig den Stecker gezogen. Fand ich jetzt von HP auch sehr grenzwertig.
Bei meinen Servern bei Netcup verfahre ich ähnlich. Kein Port 22. SSH nur über VPN und auch das mit Zertifikaten. Im Notfall kann ich über die Konsole der Adminumgebung eingreifen. Und da sehe ich auch die einzige Schwachstelle. Sollte bei Netcup dieser Bereich kompromittiert werden, habe auch ich geloost. Und wie man letztens bei einem Querdenker-RZ gesehen hat, ging das dort relativ schmerzlos direkt ins interne Netz. Da hoffe ich, dass andere Anbieter schlauer sind...
Das zeigt, 100% Sicherheit gibt es nicht. Aber wenigstens die Infrastruktur von aussen so vernageln, dass man ohne interne Geräte zu verseuchen, nicht rein kommt, ist schon ok.
Wie man verhindern kann, dass man über Mail oder Web eingefangene Dinge nicht das interne Netz zerfressen lässt, da gibt es sicherlich auch genug Möglichkeiten, aber damit habe ich mich weniger befasst. Klar ist, der Nutzer ist da die größte Sicherheitslücke. Und die lässt sich nicht stopfen. Keine Chance...
