Cyberpolizei sucht Fachkräfte
Macht Outsourcing, haben sie gesagt. Das spart Kosten durch Spezialisierung und Synergieeffekte, haben sie gesagt. Dann machen das die Fachleute, die sich richtig damit auskennen, haben sie gesagt.
Hoffentlich Backups.
Abschiebeantrag_1234_korrigiert_final_final_2.docx konnte von Word nicht wiederhergestellt werden.
Bodycam.mp4 konnte nicht wiederhergestellt werden.
Tja, Softwareproblem, da kann man nichts machen…
Ich hab gelernt wenn es kein Outsourcing gibt, dann liegen die Admin Passwörter in einer txt auf einem Win98 Desktop rum
Oder die Mailadresse, über die sämtliche Geschäftskommunikation und alle verknüpften Onlinekonten laufen, ist info@firmenname.de und das Passwort ist firmenname1.
Klassiker
Früher vielleicht, mit den neuen Sicherheitsrichtlinien ist das neue Passwort Firmenname2023! und es wird jährlich geändert.
Bei uns wechselten die 3 Passwörter: Sommer, Herbst, Winter alle drei Monate durch und du hattest 3 Versuche frei bevor der Zugang gesperrt wurde. Jeder kannte die Passwörter, auch Azubis und PraktikantInnnen. Tiefbauamt. Nachdem der Chef der IT wechselte, wechselten die Passwörter auf Sonne, Mond, Sterne.
Was ist die Alternative? Der Kreis Wermelskirchen kümmert sich selbst mit seinen IT-ExpertInnen drum?
Genau das. Dasselbe gilt auch für jede einzelne Kommune. Öffentliche Verwaltungen sind, wenigstens in Teilen, kritische Infrastruktur, die funktionieren muss. Dass man sich da einen single point of failure wie einen solchen Zentraldienstleister baut, ist unverantwortlich, denn wenn der ausfällt, fallen alle angebundenen Kreis- und Kommunalverwaltungen weitgehend mit aus. Wenn die Verwaltungen ihre eigene IT betreiben, ist es unwahrscheinlich, dass alle gleichzeitig ausfallen, außerdem funktioniert die lokale Technik auch beim Ausfall von Kommunikationsverbindungen weiter.
Wenn in den einzelnen Verwaltungen dafür geeignetes Personal und Expertise fehlen, müssen halt entsprechende Stellen geschaffen werden.
In jedem Dorf und Kleinstadt eine eigene IT ist aber auch keine Lösung.
Was Infrastruktur angeht, ist genau das die Lösung. Und was Personal angeht, muss das dem Bedarf angepasst werden, der daraus entsteht.
Kostet zu viel, du Idealist. Es geht einfach nicht. Ende.
Dann mal her mit den Zahlen.
Es gibt 10773 Gemeinden in Deutschland. Für sichere Infrastruktur und selbst gemachte Webseite oder Programme Pläne ich Mal zwei, vielleicht drei Angestellte ein. Pro Person kann man mit mindestens 50k€ rechnen, wahrscheinlich aber um einiges mehr. Macht
3 * 10773 * 50k€ = 1,61 Milliarden € JahresgehaltDas ist halt einfach ein unglaublich unrealistischer Vorschlag. Wobei, sind wir ehrlich, davon werden maximal 10% besetzt. Dann halten sich die Kosten in Grenzen, aber die IT ist halt noch schlechter als jetzt.
Wo ich stattdessen zustimmen würde ist eine Forderung nach einem staatlichen IT Dienstleister. Dass das an die Privatwirtschaft geschoben wird finde ich nicht gut, da die Kompetenz im Staat vorhanden sein muss und hier auf Kunden (Gemeinden und co) zugeschnittene Lösungen am besten entwickelt werden können.
PS: “her mit den Zahlen” zu rufen, wenn die Antwort nur eine einzige Google-Suche, zwei Schätzungen und Mathematik aus der ersten Klasse erfordert finde ich jetzt nicht so geile Diskussionskultur.
Wenn man die Digitalisierung scheitern lassen will, weil jede Winzgemeinde sein eigenes Süppchen kocht und nichts unter einander kompatibel ist schon. Und das Günther aus dder IT-Abteilung wirklich ein sichereres System entwickeln kann als irgendeine zentrale Stelle kann ich mir auch nur schwerlich vorstellen.
Stromnetze sind auch kritische Infrastruktur, trotzdem betreibt nicht jedes Dorf ein eigenes Kraftwerk mit eigenen Kabeln.
trotzdem betreibt nicht jedes Dorf ein eigenes Kraftwerk
Doch, eigentlich machen genau das viele Gemeinden mit Biogas/Wind/Solar in öffentlicher Hand.
Für Kompatibilität gibt es standardisierte Schnittstellen, die alle schon existieren. Das wäre das kleinste Problem.
Doch, eigentlich machen genau das viele Gemeinden mit Biogas/Wind/Solar in öffentlicher Hand.
Die Trägerschaft, aber nicht die Umsetzung.Da sitzt niemand in der Verwaltung und entwickelt eine Biogasanlage von Grund auf neu, und auch die Bauarbeiter sind keine Beamten/ÖDler.
Für Kompatibilität gibt es standardisierte Schnittstellen, die alle schon existieren. Das wäre das kleinste Problem.
Wenn die denn dann implementiert werden. Und viel Spaß, da irgendwann Mal eine Änderung durchzusetzen.
Irgendwie ein schlechtes Beispiel, Dänemark hat wärme sehr weit auf kommunaler Ebene ausgebaut und fährt damit deutlich besser als wir…
Strom und Wärme sind mit IT halt nicht zu vergleichen.
Die Wertschöpfung von IT ist ausschließlich Information. Nicht nur das was die Webseite anzeigt, sondern auch intern die Information für den Server welche Befehle das Programm in welcher Reihenfolge ausführen kann. Einmal erstellt ist es beliebig ift vervielfältigbar.
Man kann von der Hauptstadt aus nicht das Nahwärmenetz von Hintertupfingen planen. Man kann aber sehr wohl von dort die Server im ganzen Land administrieren. Oder auch direkt vor Ort alle Server betreiben.
Aber wieviel Personal soll eine Kleinstadt mit 10.000 Einwohnern aufnehmen? Wo die ganzen Spezialisten finden, von Server und Storage bis hin zu den dutzenden Fachanwendungen? Buchhaltung? Kindergartensoftware? Luftgütemessung? Alten- und Pflegedokumentation? Security, Datenschutz, Compliance? Rechenzentren in jedem Dorf?
Würde das so kommen, wäre das Resultat ein riesiger Fleckerlteppich aus hunderten Lösungen und Lieferanten, mit deutlicher Verschlechterung von Security und Verfügbarkeit.
Wenn es zur Administration einer einzigen Fachanwendung für eine kleine Verwaltung jeweils einen Spezialisten braucht, der den ganzen Tag nichts anderes machen kann, als eben diese eine Anwendung zu administrieren, kann es sein, dass diese Anwendungssoftware falsch gewählt wurde. Der Administrationsaufwand für eine Software sollte durchaus ein Auswahlkriterium bei der Einführung sein. Für die wenigen Problemfälle, mit denen ein brauchbarer Allround-Admin nicht zurechtkommt, sollte der Hersteller ja auch einen Support haben.
Was eine kleine Verwaltung an Hardware braucht, passt in 1 bis 2 19-Zoll Racks. Die sind eh nötig, für die Unterbringung der Netzwerkhardware, dafür braucht man kein Rechenzentrum. Ein Administrator vor Ort ist durchaus auch sinnvoll, um die Clients und Netzwerktechnik zu betreuen.
Ein Flickenteppich lässt sich teilweise durch Standardisierung verhindern, aber wenn vernünftige Schnittstellen definiert sind, ist er eigentlich kein Problem, und für die Sicherheit besser, als eine Monokultur, die überall die gleichen Angriffsmöglichkeiten bietet. Es ist ja keine Überraschung, dass gerade sehr weit verbreitete Systeme, wie z.-B. MS Exchange immer wieder Ziel von Ransomware-Angriffen werden.
Große Probleme bei der Verfügbarkeit sollte es auch nicht geben, wenn die Hard- und Software vernünftig administriert wird. Und wenn tatsächlich ein Ausfall passiert, ist der auf eine Verwaltung begrenzt und betrifft eben nicht sämtliche Verwaltungen in einer ganzen Region, wie im vorliegenden Fall.
Die Harware die in den beiden Racks steht muss gekühlt werden, also muss ne Klimaanlage mit Wartung her.
Dann bekommen 10.000 Server Serviceverträge á 400 Euro oder so pro Jahr, dann ist da noch nichts am laufen. Anmeldung in der kleinen Anwendung? Also muss ein SQL her. Und Backups… Und wir haben uns einen abgewedelt, dass ein “single point of failure” ja so schlimm ist. Jede Kommune benötigt dann 2 komplett separate internetanbindungen, 2 Firewalls, 2 Core Switches…
Oder kommen wir in der Realität an?
Ohne Zweifel ist das aus Sicherheitsperspektive die beste Lösung. Aber es geht doch genau um deinen letzten Absatz. Denkst du das ist finanziell machbar? Das können sich die Kommunen doch gar nicht leisten und die Mitarbeiter finden sie auch nicht. Der Bund kriegt es ja nicht mal hin eine vernünftige Infrastruktur zu bauen.
Früher™ hatten die Kommunen auch mehr Personal und der Staat insgesamt hat mehr geleistet. Die inzwischen absolute Unzulänglichkeit in vielen Bereichen haben wir der neoliberalen Sparpolitik der vergangenen Jahrzehnte zu verdanken. Wenn der Staat durch Anpassung der Steuereinnahmen wieder so viel einnimmt, wie in den 1980ern, kann er auch wieder so viel leisten, wie in den 1980ern.
Dass sich mehrere Kreise/Kommunen zusammen tun um kosteneffizient und nicht profitorientiert beste Qualität umzusetzen, kommt natürlich nicht in Frage. Da müsste man ja Souveränität einbüßen und kooperieren und abstimmen und all sowas.
Und überhaupt ist es viel kuschliger, wenn Anbieter XY mir das Blaue vom Himmel für humane Preise verspricht.
Interkommunale Zusammenarbeit zum Einsparen von Kosten kann auch das genaue Gegenteil bewirken. Insbesondere, wenn Bürokratie ins Spiel kommt und vorher nicht eingeplante Nebeneffekte auftreten.
Ist zwar aus einem anderen Bereich, aber trotzdem ein schönes Beispiel für Kosteneinsparungen und Effizienzsteigerungen, die im Endeffekt teurer und schlechter sind: Meine Heimatkommune hat, um Kosten einzusparen, vor ca. eineinhalb Jahrzehnten ihren kommunalen Bauhof abgeschafft und in einen interkommunalen Dienstleister ausgegliedert. Der Dienstleister ist rechtlich eine GmbH mit den Teilnehmerkommunen als Gesellschafter. Seitdem sind auch kleinste Aufgaben, die in der Vergangenheit pragmatisch über den kurzen Dienstweg liefen, also z.B. zwischendurch mal kurz durch einen Mitarbeiter, der für andere Arbeiten eh in der Nähe ist, den überlaufenden Mülleimer am Spielplatz in Ortsteil X leeren lassen, oder Aushänge mit Bekanntmachungen in allen Ortsteilen verteilen, nur noch möglich, indem ein offizieller Auftrag erteilt wird, der irgendwann ausgeführt, und am Ende abgerechnet wird. Darauf wird dann sogar noch Mehrwertsteuer fällig. Die Auftragserteilung und Abrechnung verursacht Aufwand in der Verwaltung sowohl bei der Kommune, als auch beim Dienstleister. Der Aufwand kostet Zeit und damit Geld.
Letztendlich hat das dazu geführt, dass kleine Aufgaben immer weiter zurückgefahren wurden, weil plötzlich zu teuer, oder durch ein anderes Verfahren ersetzt wurden, das auch Geld kostet. Das Problem mit der Leerung der Mülleimer wurde z.B. durch einen zunehmenden Abbau der öffentlichen Mülleimer “gelöst”. Das Resultat davon ist oft, dass der Müll dort halt jetzt so in der Landschaft liegt, denn viele Menschen sind faule Drecksäue, die ihren Müll lieber in die Landschaft schmeißen, als ihn zum nächsten Mülleimer mitzunehmen. Das Aushängen von Bekanntmachungen erledigen jetzt irgendwelche “ehrenamtlichen” Dorfpolitiker, die sich dafür natürlich eine Aufwandsentschädigung genehmigt haben. Auch die Erledigung größerer Aufgaben findet seitdem in der Regel mit größerer Verzögerung statt, als vorher, auch in dringenden Fällen.
Interessant, danke. Natürlich kann man das auch falsch machen.
Aber wenn man alle Kommunen genau anschaut, von jeder das Beste übernimmt und die Kommunikation optimiert anstatt zu komplizieren ist der Rest gut machbar.
Unter Umständen ja. Genau das.
Der erste Punkt ist, wer die Systeme verwaltet.
Wenn du dem externen Dienstleister trauen kannst, kann der das auch übernehmen. In diesem Fall war der möglicherweise nicht zuverlässig.
Ansonsten muss man eigenes Personal anstellen. (Ja, es ist schwer IT-Personal zu bekommen, dass für TVöD arbeiten will. Die Konsequenz ist aber nicht zwingend Outsourcing. )
Der zweite Punkt ist, auf welcher Hardware in welchem RZ laufen die Dienste.
Nur weil ein Kunde erfolgreich angegriffen wurde, muss das nicht (wie es hier geschehen ist) bedeuten, dass alle anderen Kunden auch betroffen sein müssen.
Der dritte Punkt ist, welche Software und welches Betriebssystem man einsetzt. Man kann gucken, wieviele und welche Probleme in der Vergangenheit aufgetreten sind und wie sie gelöst wurden.
Und dann ist es irgendwie auch etwas Glück… wenn du Mithilfe einer unbekannten RCE + Rechteerweiterung angegriffen wirst, tja… in dem Fall wäre aber dann das Backup gut.
2020 zur Zeit von Exchange exploit ging ransomware in die höhe, weißte warum? Weil alle systeme dauerhaft aktuell und sicher halten auch bei einem kleinstbetrieb der job von 2 voll ausgebildeten fisis ist. Rate mal wer ruhig geschlafen hat.
Office365 Kunden.Es gibt bestimmt auch den Anwendungsfall, wo office 365 die passende Option ist.
Ich seh es für den oben beschriebenen Fall nicht, mit Blick auf dsgvo und Kommunikation von erfolgten Einbrüchen.
Exchange kenne ich selbst nicht gut, aber es scheint da häufiger mal ne Lücke zu geben die ausgenutzt wird.
Ich nutze O365 und ich habe irgendwie kein Problem mit DSGVO… Und Kundendaten verarbeitet ich auch…
Das muss jeder für sich entscheiden.
Ne, ne solange es kein “ist nicht sicher” gibt ist das allein eine Meinung von irgendwelchen Heinis.
Mein Heini sagt ist sicher solange Deutsche Server und da ich auf deutschen Servern bin… Kannst dir den Rest denken.You do you.
Also aus dem artikel les ich dass die alle systeme ausgeschaltet haben aus “sicherheitsgründen”. Bin bei nem Managed Service Provider. Wenn du ne ddos attacke hast, bringt es nix die systeme runner zu fahren. Wenn du die systeme runterfährst aus sicherheitsgründen, dann machst du das aus nur einem grund: angst, dass deine systeme kompromittiert wurden.
Ich befürchte da wirds bald nen fetten datenskanal geben… sofern er denn überhaupt auffällt oder untern teppich gekehrt wird.
Mal abgesehen davon: ddos protection ist ein thing. Warum gönnt sich der Hoster nicht? Ich mein ja, es kostet, aber mate, wenn deine infrastruktur so sensibel ist, dass durch eine ddos attacke 70 Kunden betroffen seien könnten, dann ist es die kohle fucking wert. Aber naja, ich glaub eh ned, dass das ne ddos attacke war. Da fährt niemand was runter. Da würden routen ins scrubbing center umgeleitet und fertig.
Umleiten? Dafür bräuchte man ja einen Reverse proxy auf dem Windows Server 2008. (Bzw. vor der Maschine)
Eventuell ist der Dienstleister eine Ausnahme, aber nach meiner Erfahrung sind kommunale Dienstleister technisch hinterher.
In einem Bericht der Westfalenpost ist sogar von “mindestens 70 Kommunen” die Rede, deren Dienste infolge des Cyberangriffs nicht mehr zugänglich sind. Ob es sich erneut um einen DDoS-Angriff handelt oder ob Cyberkriminelle sich möglicherweise auch Zugriff auf die betroffenen Systeme verschaffen und sensible Daten abgreifen konnten, ist allerdings noch unklar.
Ich denke es ist “just in case”… Während eines derartigen Angriffs Logs auszuwerten, um nach Datenlecks zu schauen, ist ja quasi unmöglich, wenn der DDoS gut gemacht ist. Ich würde auch erstmal alles abschalten und in aller Ruhe die relevanten Informationen durchgehen. Erst Recht, wenn es sich beim Kunden um eine Behörde handelt.
