Schwachsinn. Oder bekommen die IT-Entscheider auch eine Abmahnung wenn der Strom ausfällt und die gesamte Bude steht? Ich wiederhole mich: Schwachsinn.
Man kann über die Angemessenheit einer Abmahnung sicherlich diskutieren (der GGF ist da sicherlich schnell gewesen, aber es ist SEIN Geld!) aber das ist hier ein Schaden 6stelligen Bereich ohne dass ihm bis 10:00 Uhr jemand sagen konnte, wann das behoben ist. Beim 10fachen diesen Schadens werden Leute freigestellt. Bei meinem Kunden gibts keine Verantwortungslosigkeit ohne Konsequenzen, ist schließlich nicht Konzern sondern (größerer) Mittelstand.
Und ich kann dich beruhigen. Der Strom wird nicht ausfallen. 2 eigene Stromleitungen auf Mittelspannungsebene samt eigenen Trafostationen sowie ein eigenes Bedarfs-Gaskraftwerk stellen ausreichend Sicherheit dar. Es gibt auch 2 RZ allein am Standort, eines rein als Backup. Und es gibt hier genug Betriebselektrik, auch mit Schaltberechtigung bis Hochspannung. Und glaube mir - wenn das ausfällt gibt kann es auch eine Abmahnung geben, wenn ein Schuldiger ausgemacht wird. Das kann auch die Figur sein, die das Budget für Ersatzteile/Wartung nicht freigegeben hat. Oder auch derjenige, der sich nicht um Wartung/Ersatzteile gekümmert hat. Da passiert nichts anderes, als wenn ein externer Dienstleister seinen Job nicht macht - er wird in Verantwortung genommen.
Das war zwar kein Cyberangriff hatte aber die gleichen Auswirkungen, inkl. kritische Infrastruktur. Der Betrieb hier am Standort wird vermutlich bis einschließlich Montag nicht wieder vollständig arbeiten können. Liegt an der Kapa in der IT im Verhältnis zur Anzahl der Clients bzw. dem Fehlen einer Remote-Reparaturmethodik bereits im Konzept.
Das Problem ist, dass das Risiko des aktuellen IT-Konzepts nicht entsprechend bewertet wurde bzw. organisatorisch abgesichert wurde, vielleicht hätte man sich auch anders entschieden.
Davor gab es jahrelang (ich kenne den Kunden seit 25 Jahren) eine lokale IT, eben nur 10 von 400 PCs mit Internet-Zugang, für Email gabs Abteilungspostfächer. Updates wurden auch nur mit 24 h-Verzögerung - und dann manuell - freigegeben.
Was für ein Schwachsinn. Die Cloud hat nullkommanix mit dem BSOD zu tun und das Verwenden einer Software für Endpoint Security ist verpflichtend.
Die Cloud hatte ich nur erwähnt, weil auch MS 365, AWS etc. Probleme hatte.
Wenn Du sowas wie eine Verpflichtung, Endpoint Security zu installieren, in den Raum stellst musst Du schon erklären, nach welchem Regelwerk das verpflichtend sein soll und inwiefern das allgemein anwendbar sein soll.
Du sollst die Zugänge absichern. Das muss aber nicht notwendigerweise zur Installation von selbstaktualisierender Endpoint Security-Software auf allen Clients führen.
Wenn die Clients nur verblombte/versiegelte Zugänge (z.B. USB-Anschlüsse oder auch das Gehäuse selbst) haben brauchst Du das nicht notwendigerweise.
Ich kenne für bestimmte Aufgaben auch lokale Netze, die KEINE Netzanbindung oder Email etc. nach außen haben, wo nur verschlüsselte, einzeln zugelassene USB-Sticks als Datenaustausch funktionieren. Z.B. bei Projekten, die dem Geheimschutz unterliegen. Da ist nix mit automatischer, mutmaßlich unkontrollierter Veränderung von Daten (in Form von Updates) gar von einem ausländischen Softwareanbieter. SICHER NICHT.
Man hat dann halt einen Gatekeeper und dieser trägt dann persönlich, bis hin zum Strafrecht, Verantwortung.
Edit: Dein Kunde sollte den betreffenden Geschäftsführer wegen erwiesener Inkompetenz und Machtmissbrauch abmahnen. Kann man eigentlich einen geschäftsführenden Gesellschafter feuern?
Der Kunde sollte was tun??? Geschäftsführender Gesellschafter = Geschäftsführer und (in dem Fall auch Mehrheits-)Gesellschafter in Personalunion.
Abmahnung gegen GGF ist ausgeschlossen, der ist nichtmal bei der Firma angestellt.
Der Schaden ist (bisher) nicht groß genug um das Unternehmen zu gefährden, keiner wurde gefeuert, alle haben hoffentlich etwas gelernt und ich bin mir sicher, dass das exakt so so schnell nicht wieder auftritt.
Das dachte ich mir beim Drüberlesen auch schon. Bei einer derart verkommenen Unternehmenskultur wäre die einzig richtige Reaktion auf die Abmahnung Dr. Holiday und Austritt zum nächstmöglichen Zeitpunkt, soll sich der Gesellschafter doch dem Problem am Wochenende annehmen. Die Moral ist da ja scheinbar eh schon über Bord gegangen.
Verkommene Unternehmenskultur hatte ich bisher immer mit Verantwortungslosigkeit assoziiert.
Und Manager, die sich hinter Prozessen, Vorschriften, Analystenreports (Marktführerschaft ist kein Argument, Leistungsfähigkeit oder technische/kommerzielle Parameter schon) und Stellenbeschreibung verstecken gibt es zuhauf.
Nicht nur die Konzerne sind voll von Menschen die nicht selbstständig in Zusammenhängen denken können bzw. Systeme vollständig durchdenken können.
Solche Fehler (denn man hat sich aktiv dafür entschieden) verursachen Kosten, die Mitarbeiter müssen es letztlich ausbaden. Wenn’s hart kommt bezahlen nämlich die Mitarbeiter mit ihrem Arbeitsplatz.
Das wird bei meinem Kunden nicht passieren.
Was ist eine zumutbare Maßnahme in dem Zusammenhang, dass ein führender Anbieter von Endpoint-Sicherheits-Software ein fehlerhaftes Update ausgerollt hat? Gerade hier zeigt sich doch durch die enormen weltweiten Auswirkungen, dass es offenbar keine zumutbaren Maßnahmen gab, dies zu verhindern.
Doch, natürlich.
Und ist es zumutbar, im Vorfeld erkennen zu können, dass Crowdstrike irgendwann einem die IT abschießt?
Wie schon durch andere User geschrieben- jede Software kann Fehler haben bzw. hat Fehler.
Daher muss es auch für solche Fälle eine Reparaturmethodik geben. Technisch funktionieren z.B. IPMI oder auch Remote-Reset-Devices, die einen Neustart per IP initiieren in Verbindung mit Remote Boot (und der entsprechenden Bootfolge im BIOS). Man kann so ganze Systeme per Image neu installieren oder ein Reparaturimage ablaufen lassen, dass dann in diesem Fall eine zentral gepflegte Skriptdatei lädt.
Funktioniert mit etwas Vorbereitung/Tests für alle Probleme dieser Art. Trendmicro hatte auch mal Updates bei denen der Dienst anschließend auf 100% lief…
Aber hey, ich betreibe mein eigenes Firmennetz (4 Standorte) erst seit 27 Jahren, hab bis auf 3 Tage ERP-Schulung für MA nie einen Consultant gebraucht sondern immer selbst neben meinem Hauptjob betreut.
Ich hab schlicht keine Zeit solche Sachen nicht vorher komplett zu durchdenken.
Und beschaffe auch Hardware ziemlich einheitlich und auch mit Reserve, das verringert den Aufwand für Imagepflege.
