Warum die eigene Firewall Sinn macht...
-
Wenn man einerseits das hier liest:
https://netzpolitik.org/2019/warum-die-debatte-um-die-routerfreiheit-wieder-hochkocht/
und sich die Novelle zu Gemüte führt, in der Telekom und Lobby heiß diskutieren, dass man die Wahlfreiheit des Routers wieder aberkennen sollte/müsse und man sonst keinen Breitbandausbau vorantreiben könne (Breitba-was?), kann man das hinnehmen und sich seinen Teil dazu denken.
Wenn man im gleichen Zuge dazu sowas liest:
https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html
Bei dem betroffenen Router handelt es sich laut Zengel um die „Digitalisierungsbox Premium“, welche die Telekom ihren Businesskunden anbietet.
kann man wiederum sich nicht nur etwas dabei denken, sondern auch einfach traurig mit Kopf gegen die Wand schlagend denken, warum man doch lieber seine eigene Firewall Box hinter das ganze Gemurkse stellt und abwinkt. Das macht einfach keinen Spaß.
Vor allem wenn in der Routerfreiheits-Debatte argumentiert wird mit
- Breitbandausbau nur sichergestellt, wenn eigene Geräte
- eigene Geräte weil Endkunden sonst keine Updates einspielen
- mehr Sicherheit
- kontrolliertere Firmware und blah
Und man dem Text von heise die schönen Details entnimmt:
- Lücke im BUSINESS Router war seit MAI 2019 bekannt (aber nicht korrigiert worden!)
- Man wolle nun das neue Release "vorantreiben"
- und den Kunden "nahelegen es zeitnah einzuspielen"
Gerade Business Kunden haben oft die Provider Kiste gemietet, warum also hier die Telekom genau das nicht macht, was sie an anderer Stelle händeringend argumentiert, sich nämlich um die Sicherheit und Aktualität ihres eigenen Geräts zu kümmern - und das nicht bei den "billigen" Endkunden - das ist eben wirklich wieder Realsatire vom Feinsten.
-
Jetzt hat das Thema offene Arztpraxis unsere lokalen Medien auch erreicht. :)
Was will man dazu sagen, Pech gehabt und hoffen, dass es finanziell nicht in die Hose geht.
Jetzt die Lieblingsfrage der Deutschen: Wer ist schuld? :)
-
Die berechtigte Frage im Sinne des Gesetztes ist: Wer haftet im Fall von Forderungen (vermeintlich) Geschädigter?
Der ISP wird sich vermutlich abputzen und argumentieren, dass der Kunde selbst den Zugriff auf seine Daten ausreichend abzusichern hat, und dass der Router niemals volle Sicherheit garantieren kann.
Auch wenn ihm in diesem Fall eindeutig Nachlässigkeit vorgeworfen werden kann, hätte er damit auch recht. Der Fileshare sollte ja nicht für jedem im Netz frei zugänglich sein, er könnte ja eine Authentifizierung verlangen.
Möge der bessere Anwalt gewinnen. Und den kann sich vermutlich der große ISP leisten. -
So wird es kommen.
Und mit dieser Argumentation will der ISP seine Hardware den Kunden aufdrücken? Wie soll der Kunde mit einem unsicheren "Zwangsrouter" für die Sicherheit sorgen wie in diesem Beispiel?
Ist ja nur ein Teil der Baustelle, vernünftige Benutzerverwaltung und die dazu gehörigen Dateirechte gehören auch dazu.
Der Fall scheint auch eine Kette von "Fehlern" zu beinhalten.
-
Bleibt uns zu hoffen, dass das auch die Leute verstehen, die die Entscheidung über diese Dinge fällen.
Die "Fertigrouter" sind ja allesamt Müll. Wenn man nur die fatalen Sicherheitslücken dieser Router der letzten 10 Jahre zusammenfasst, könnte man ein mehrere 100 Seiten fassendes Buch füllen.
Die adoptierten Router der ISPs sind da keine Ausnahme. Vielmehr als Branding machen die an der Software dieser ja auch nicht. -
@mike69 said in Warum die eigene Firewall Sinn macht...:
Jetzt hat das Thema offene Arztpraxis unsere lokalen Medien auch erreicht. :)
Die Thematik(en) gibt es/gab es schon länger. Ich darf da erinnern an private Krankenhäuser (u.a. in der Schweiz), bei denen Vertragspartner es total fancy fanden, die komplette Hausautomation ans Internet zu hängen. Inkl. Licht an/aus, Strom an/aus vom OP Saal etc.
Was will man dazu sagen, Pech gehabt und hoffen, dass es finanziell nicht in die Hose geht.
Pech gehabt ist an der Stelle für die Praxis der Punkt. Was ich gravierender finde, war zum einen die sehr saloppe Testweise des Bugfixings seitens des IT Dienstleisters (Lücke geschlossen, geupdated, neu gestartet -> aber dann nicht nochmal getestet, wird schon laufen...) aber eben auch die genauso saloppen Aussagen der Telekom. 5 Monate auf einem Bug zu sitzen, der potentiell die Kunden für Datendiebstähle verwundbar macht. Großartig. Und da die Business Boxen aktiv auch als Firewall beworben werden, ist das gravierend für die Kunden, die sich eben aus Unwissen darauf verlassen, dass der Kram vom Dienstleister bzw. der Telekom ordentlich gehandhabt wird.
Jetzt die Lieblingsfrage der Deutschen: Wer ist schuld? :)
Die Frage würde ich zwar so nicht stellen, sehe da aber Telekom sehr stark in der Pflicht (weil Problem einfach bekannt und ausgesessen und wissentlich das Problem in Kauf genommen).
der Kunde selbst den Zugriff auf seine Daten ausreichend abzusichern hat, und dass der Router niemals volle Sicherheit garantieren kann.
Da würde hoffentlich ein Anwalt gegenargumentieren, dass das der Ausführung der Telekom entgegenläuft, da
- die Boxen nicht als Router, sondern als Firewall beworben werden. Somit also nicht nur als Zugang, sondern als Schutz!
- Ja es können Bugs vorkommen, aber dass bei Freigabe eines(!) Ports, der auch im Backend ordentlich abgesichert ist plötzlich 10 Ports freigegeben werden, die hier nicht aktiv sein sollten, liegt dann IMHO nicht beim Kunden.
Der Fileshare sollte ja nicht für jedem im Netz frei zugänglich sein, er könnte ja eine Authentifizierung verlangen.
Was nichts daran ändern würde, dass dann trotzdem gewisse Shares sicher für alle zugänglich sind, weil das im Rechteschema der Praxis ggf. völlig OK sind mit den dortigen Sicherheitsmaßnahmen, bei Öffnung zum Netz aber fatal. Schließlich gehe ich bei Rechtevergabe nicht davon aus, dass das Internet auf meinem Fileserver zuschauen kann (soweit das nicht geplant war).
Möge der bessere Anwalt gewinnen. Und den kann sich vermutlich der große ISP leisten.
Leider wahrscheinlich genau das. Wenn überhaupt geklagt wird :(
Und mit dieser Argumentation will der ISP seine Hardware den Kunden aufdrücken? Wie soll der Kunde mit einem unsicheren "Zwangsrouter" für die Sicherheit sorgen wie in diesem Beispiel?
Das ist ja der Witz. Und aus dem Text lesbar: es gab ja nach 5 Monaten nicht mal einen Patch, der soll jetzt erst endlich "fertig gemacht werden" und dann die Kunden informiert, dass man den einspielen soll. Na klasse...
Ist ja nur ein Teil der Baustelle, vernünftige Benutzerverwaltung und die dazu gehörigen Dateirechte gehören auch dazu.
Nochmal dazu: Selbst mit vernünftigen Benutzern gehst du bei einer internen Domain nicht davon aus, dass die "Welt" dir auf die Daten schaut. Es gibt annähernd in jedem Fileserving Konzept Shares oder Files die einfach für alle lesbar (aber nicht schreibbar) sind, weil man ansonsten unendlich viele Gruppen hätte mit eigenen Rechten, dass der Wald ziemlich groß wäre. Das ist einfach eine Frage des Scopes. Bei der Architektur/Planung machst du dein Schema für die interne Firmenumgebung (bspw.), bei der ggf. noch Außenstellen etc. dazukommen, aber es ist immer "intern". Du gehst nicht davon aus, dass jemand auf diesen Server vom Internet aus Timbuktu zugreift und auf deine Fileshares draufschauen kann. Und wenn solch ein Server von außen zugänglich ist, dann packt man ihn entsprechend abgesichert in die DMZ und plant das ein. Aber wenn plötzlich statt nur dein extra dafür abgesichertes OWA Web Access die Datenshares frei im Netz hängen, dann wurde dafür nicht geplant, weil das nie der Fall sein sollte. Klar kann man jetzt den IT Dienstleister noch mit in Regress nehmen, der das hätte sorgfältiger prüfen sollen, nur - Hand aufs Herz - ich mache auch nicht bei jeder Änderung an Firewalls danach Portscans von außen ob wirklich nur X, Y und Z frei sind. Und wenn dann in der Oberfläche nur HTTPS eingestellt ist aber plötzlich 440-449 offen sind - dafuq? Schlimmer wäre noch gewesen, wenn man bspw. tcp/22 geöffnet hätte für sichere SSH Verbindung von außen oder für SFTP o.ä. - und plötzlich sind dann FTP (21), Telnet (23) und Mail (25) mit offen
Schade, dass das an der Stelle niemand Größeren erwischt hat (also größeres Krankenhaus o.ä.) der da mit entsprechend öffentlichem Druck nachtreten kann.
Die adoptierten Router der ISPs sind da keine Ausnahme. Vielmehr als Branding machen die an der Software dieser ja auch nicht.
Interessant dabei ist auch: die Digitalisierungsbox Basic ist von Zyxel, die beiden größeren von Bintec. Trotzdem haben ALLE Boxen den gleichen Fehler... ja so hab ich auch geschaut.
-
@JeGr said in Warum die eigene Firewall Sinn macht...:
ich mache auch nicht bei jeder Änderung an Firewalls danach Portscans von außen ob wirklich nur X, Y und Z frei sind.
Das nicht, aber auf den bekannten und zu behebenden Fehler hin sollte man das Teil am Ende der Arbeit schon testen.
Klar, mit dem Umstand, dass die getätigte Einstellung den durch das Firmware-Update geforderten Neustart nicht überlebt hat, ist die Sache etwas dumm gelaufen. Damit rechnet man auch nicht. Allerdings sollte der Dienstleister auch die Eigenheiten der Box kennen, für die er sicherheitsrelevante Dienste anbietet.@JeGr said in Warum die eigene Firewall Sinn macht...:
Interessant dabei ist auch: die Digitalisierungsbox Basic ist von Zyxel, die beiden größeren von Bintec. Trotzdem haben ALLE Boxen den gleichen Fehler... ja so hab ich auch geschaut.
Das ist doch sehr, sehr merkwürdig.
-
@viragomann said in Warum die eigene Firewall Sinn macht...:
Das nicht, aber auf den bekannten und zu behebenden Fehler hin sollte man das Teil am Ende der Arbeit schon testen.
Absolut. Darum fand ich auch eine kleine Teilschuld durchaus beim Dienstleister. Gerade bei solch einem Sicherheitsbruch, sollte man hinterher schon genau testen, ob das noch geht.
@viragomann said in Warum die eigene Firewall Sinn macht...:
Das ist doch sehr, sehr merkwürdig.
Oder? Dachte ich auch... Ein Schelm... böses... und so.
-
Die Thematik(en) gibt es/gab es schon länger. Ich darf da erinnern an private Krankenhäuser (u.a. in der Schweiz), bei denen Vertragspartner es total fancy fanden, die komplette Hausautomation ans Internet zu hängen. Inkl. Licht an/aus, Strom an/aus vom OP Saal etc.
In unseren ländlichen Gefilden dauert es, bis solche Infos ankommen. :) Hat es sogar bis ins Radio geschafft.
Selbst mit vernünftigen Benutzern gehst du bei einer internen Domain nicht davon aus, dass die "Welt" dir auf die Daten schaut. Es gibt annähernd in jedem Fileserving Konzept Shares oder Files die einfach für alle lesbar (aber nicht schreibbar) sind, weil man ansonsten unendlich viele Gruppen hätte mit eigenen Rechten, dass der Wald ziemlich groß wäre.
Würde ich als Privatperson auch so sehen. Aber ein Business System mit brisanten Daten wie z.B. hier Krankenblätter, Bonität von Personen oder sicherheitsrelevante Details, da hätte ich, ehrlich gesagt, mehr erwartet. Aber da habt Ihr mehr Ahnung, ist nicht mein Business. :))
Wenn ich sehe, wie in unserem Konzern auf Diensthandies die Leute whatsapp installieren und sie betriebliche Daten und Bilder untereinander austauschen. Das ist schon schräg, irgendwie.
Übrigens gibt es jetzt ein Update vom November für dieses Gerät.
-
@mike69 said in Warum die eigene Firewall Sinn macht...:
Wenn ich sehe, wie in unserem Konzern auf Diensthandies die Leute whatsapp installieren und sie betriebliche Daten und Bilder untereinander austauschen. Das ist schon schräg, irgendwie.
Warum nur? Wenn das der große Konzern aus den USA anbietet und es eh alle schon verwenden, muss das doch in Ordnung sein. Und obendrein ist das noch alles gratis!
-
@mike69 said in Warum die eigene Firewall Sinn macht...:
Wenn ich sehe, wie in unserem Konzern auf Diensthandies die Leute whatsapp installieren und sie betriebliche Daten und Bilder untereinander austauschen. Das ist schon schräg, irgendwie.
Wäre bei uns und unseren Kunden (zumindest den meisten) nicht denkbar. Dort ist sowas untersagt mit gutem Grund. Zu leicht ist mal schnell was beim falschen Kontakt gelandet und plötzlich privat. Deshalb bin ich auch immer noch Verfechter von Dienstsmartphone und Dienstlaptop. Wir dürften zwar beides auch privat nutzen, ich halte das aber nach Möglichkeit stark getrennt (was Installationen etc. angeht - ein extra Browser für Privatkram ist da was anderes). Aber gerade beim Telefon ist bei uns u.a. auch Remotelöschung durch Firmenadmin (gut sind wir selbst ^^) aktiv und da hat auch keiner nen Problem. Wurde aber u.a. auch unserem Vertriebler bspw. gleich klargemacht - kein WA und Co auf dem Firmen-Phone. Ist auch angenehmer wenn man das Ding weglegen kann und nichts sieht, wenn Feierabend ist und man keine Bereitschaft hat. Sonst ist Abschalten ein Problem - da sprech ich aus leidiger Erfahrung früher...
Haben deshalb nen eigenen internen Chat ausgerollt und wenn notwenig gibt's Threema oder Signal. Für privat reicht mir Telegram als "Zwischenlösung".