«Eine Phishingmail kann den ganzen Betrieb lahmlegen»
Sorry, aber wer in einem millionenschweren Unternehmen (durchschnittlicher Bauernhof) IT einsetzt, sollte auch jemanden beauftragen, der sich damit auskennt.
Ein PC, mit dem man E-Mails öffnet, darf nicht im selben physischen Netz hängen wie die Melkroboter. Das Prinzip der physischen Netztrennung setzt bei uns jede Ein-Person-Psychotherapeuten-Praxis ein, das ist von einem Agrarbetrieb nicht zu viel verlangt.
Diese Massnahmen sind wichtig
Passwörter regelmässig ändern
Und dann stehen auch noch veraltete und falsche Informationen im Artikel.
Passwörter sollten nicht regelmäßig geändert werden, sie sollten durch 2-Faktor-Authentifizierung abgesichert werden. Und da wo das noch unmöglich ist, sollten sie einzigartig, sehr lang, und auch dem Anwender unbekannt sein (Passwort-Manager).
Danke, dass du die Unsinnigkeit des Passwortwechsels hervorhebst. Hier nochmal ein relevantes Zitat von Heise:
Bereits seit Jahren kristallisiert sich in der Security-Community ein Konsens heraus, dass solche Regeln eher schaden als nützen. Ein gutes Passwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man schwache Passwörter benutzt und diese beispielsweise nach einem Schema (geheim1, geheim2, …) erzeugt. Deshalb argumentiert etwa heise Security schon lange gegen die pauschale Verpflichtung zum regelmäßigen Passwortwechsel […]
Genau das meine ich doch. Um einen Bauernhof wirtschaftlich zu betreiben, muss man Millionen investiert haben.
Da müssen auch 7000/Jahr für eine ordentliche IT-Infrastruktur drin sein.
Du brauchst keinen IT-Angestellten in Vollzeit für einen Familienbetrieb. Für 30000€ bekommst du einen Server inklusive Software, Netzwerk, Aufbau und Einrichtung, Lebensdauer ~6 Jahre. Und für 2000€/Jahr bekommst du eine Quartalswartung und Support bei Problemen. Jedenfalls bei dem IT-Haus in dem ich arbeite.
Für die 583€ pro Monat bekommst du schon eine IT-Dienstleistung. Man braucht ja gar nicht so viel - im Endeffekt richtest du halt ein eigenes Netz ein, damit Betrieb und Privatleben getrennt sind. Dann gönnst du dir einen oder zwei Computer mit Backup, auf denen du deine Firmenverwaltung machst, Buchhaltung etc. , aber halt auch nur das. Und wenn deine Melkmaschine einen PC-Anschluss hat oder ähnliches, dann hängst du die auch in ein eigenes Netz und lässt sie auch nicht ins Internet. Die Rechner lässt du dir von einer IT-Bude warten und pflegen und damit sind deine Chancen auf einen Hack schon arg gering.
Die haben alle genug Geld um mit ihren Traktoren in die Stadt zu fahren und mich auf meinem Weg zur Arbeit zu noetigen. Alle Bauern die ich kenne sind stinkreich.
Das Land ist ja allein schon millionen Wert.
Anekdotische evidenz aber im Januar ist auf einem Feld auch wenig los… Also haben die Zeit.
Und… Schön das das land Millionen wert ist, das gehört aber der Firma und ist nicht liquide reich ist man deswegen ganz sicher nicht, vorallem weil es kein Bauland ist. Und Landwirtschaft ist außerdem mit immensen Kosten verbunden.
Ohhh buhuuuu. Man bekommt dank des Bauernverbands keine anstaendigen preise fuer seine erzeugnisse und weil man ein familienbetrieb ist der nicht wirtschaftlich werden kann weil er zu klein ist kann man sich nicht den dritten Dodge Ram kaufen. Awwwww jetzt haben wir alle Mitleid.
Deswegen geht man jetzt auf die Strasse weil wenn man jetzt auch noch steuern zahlen muss auf den diesel den man verballert dann geht man ja unter.
In der Freien Marktwirtschaft nennen wir das “Heul nicht und werd profitabel”
Uebrigends kann man das land sehr schnell liquide machen wenn man es einfach verpachtet oder solar drauf stellt.
Kleinstbauern die sich in 5 Jahren keine neue Maschine leisten koennen sollten dann vielleicht mal ihren lobby verband anhauen.
Quandts & co. haben ihr Vermögen auch überwiegend in Unternehmensanteilen und damit Kapital. Ändert nichts daran, dass sie vermögend sind.
Ich finde das Argument “man kann sich aber nichts leisten” auch nicht gut, weil dann Reiche und Superreiche sich einfach immer direkt irgendwas neues kaufen und dann sagen können “aber ich kann mir nichts leisten, ich habe ja gar kein Geld auf dem Konto.”
Ein entsprechendes Anlagevermögen und gerade Grundbesitz bedeuten auch, dass man darauf Kredite aufnehmen kann, oftmals zu sehr guten Konditionen.
Okay aber dann könnte ich doch über remote auf den PC oder und das Thema wäre erledigt oder?
Sorry das hatte ich glaube ich nicht genau genug geschrieben. Also wie läuft dass wenn Nutzer sich nur bei Windows anmelden müssen und dann direkt Zugriff auf alles haben (dms, mail, netzwerklaufwerk, etc.)?
Dann könnte ich ja trotzdem mich per remote verbinden (ist natürlich in der ad Richtlinie verboten) und mich anmelden mit dem einfachen passwort?
Sorry hast du die Änderungen eventuell nicht gesehen? Hast du zufällig eine Empfehlung für ein Gerät abgesehen vom yubikey? Sonst würde ich mir den yubikey kaufen:)
Bei uns ist das so eingerichtet: mit dem AD Passwort allein kannst du dich am PC anmelden. Damit hast du nur Zugriff auf lokal gespeicherte Daten. Die Festplatte ist Bitlocker-Verschlüsselt um die Daten bei Diebstahl zu schützen. Remote-Zugriff ist deaktiviert und eine Endpoint Protection Lösung auf Basis einer Whitelist (Watchguard Adaptive Defense 360) schützt auch vor unbekannter Malware und Phishing Links. Ins Firmennetzwerk kommst du nur wenn du physisch in der Firma sitzt, dann ist der zweite Faktor der Ort. Oder über VPN, dafür ist der zweite Faktor der Yubikey. Der darf eingesteckt bleiben, muss dann aber bei Verlust des Laptops natürlich sofort gesperrt werden.
Alternativ zum Yubikey kannst du auch eine Authenticator App als 2FA für das VPN einrichten, dann muss aber auch das Handy entsprechend per MDM (z.B. Relution) abgesichert sein.
Sorry, aber wer in einem millionenschweren Unternehmen (durchschnittlicher Bauernhof) IT einsetzt, sollte auch jemanden beauftragen, der sich damit auskennt.
Ein PC, mit dem man E-Mails öffnet, darf nicht im selben physischen Netz hängen wie die Melkroboter. Das Prinzip der physischen Netztrennung setzt bei uns jede Ein-Person-Psychotherapeuten-Praxis ein, das ist von einem Agrarbetrieb nicht zu viel verlangt.
Und dann stehen auch noch veraltete und falsche Informationen im Artikel.
Passwörter sollten nicht regelmäßig geändert werden, sie sollten durch 2-Faktor-Authentifizierung abgesichert werden. Und da wo das noch unmöglich ist, sollten sie einzigartig, sehr lang, und auch dem Anwender unbekannt sein (Passwort-Manager).
Danke, dass du die Unsinnigkeit des Passwortwechsels hervorhebst. Hier nochmal ein relevantes Zitat von Heise:
Ganzer Beitrag
ist zwar nicht falsch aber ein traktor allein kostet locker mal 500.000€ aufwärts, also muss man das schon mal in relation stellen.
Beim rest kann ich nur zustimmen
Genau das meine ich doch. Um einen Bauernhof wirtschaftlich zu betreiben, muss man Millionen investiert haben.
Da müssen auch 7000/Jahr für eine ordentliche IT-Infrastruktur drin sein.
7000 €? Da muss es erstmal Subventionen geben, sonst gibts nen Aufstand.
Wo bekommt man denn für 7000/Jahr eine IT Infrastruktur? Da kostet doch schon ein einzelner Mitarbeiter um das ganze zu betreuen viel mehr.
Du brauchst keinen IT-Angestellten in Vollzeit für einen Familienbetrieb. Für 30000€ bekommst du einen Server inklusive Software, Netzwerk, Aufbau und Einrichtung, Lebensdauer ~6 Jahre. Und für 2000€/Jahr bekommst du eine Quartalswartung und Support bei Problemen. Jedenfalls bei dem IT-Haus in dem ich arbeite.
Für die 583€ pro Monat bekommst du schon eine IT-Dienstleistung. Man braucht ja gar nicht so viel - im Endeffekt richtest du halt ein eigenes Netz ein, damit Betrieb und Privatleben getrennt sind. Dann gönnst du dir einen oder zwei Computer mit Backup, auf denen du deine Firmenverwaltung machst, Buchhaltung etc. , aber halt auch nur das. Und wenn deine Melkmaschine einen PC-Anschluss hat oder ähnliches, dann hängst du die auch in ein eigenes Netz und lässt sie auch nicht ins Internet. Die Rechner lässt du dir von einer IT-Bude warten und pflegen und damit sind deine Chancen auf einen Hack schon arg gering.
Ist schon klar, aber wie du es ausgedrückt hast könnte man es so verstehen das Bauern alle stink reich sind, was ja eher selten der Fall ist.
Die haben alle genug Geld um mit ihren Traktoren in die Stadt zu fahren und mich auf meinem Weg zur Arbeit zu noetigen. Alle Bauern die ich kenne sind stinkreich.
Das Land ist ja allein schon millionen Wert.
Anekdotische evidenz aber im Januar ist auf einem Feld auch wenig los… Also haben die Zeit.
Und… Schön das das land Millionen wert ist, das gehört aber der Firma und ist nicht liquide reich ist man deswegen ganz sicher nicht, vorallem weil es kein Bauland ist. Und Landwirtschaft ist außerdem mit immensen Kosten verbunden.
Ohhh buhuuuu. Man bekommt dank des Bauernverbands keine anstaendigen preise fuer seine erzeugnisse und weil man ein familienbetrieb ist der nicht wirtschaftlich werden kann weil er zu klein ist kann man sich nicht den dritten Dodge Ram kaufen. Awwwww jetzt haben wir alle Mitleid.
Deswegen geht man jetzt auf die Strasse weil wenn man jetzt auch noch steuern zahlen muss auf den diesel den man verballert dann geht man ja unter.
In der Freien Marktwirtschaft nennen wir das “Heul nicht und werd profitabel”
Uebrigends kann man das land sehr schnell liquide machen wenn man es einfach verpachtet oder solar drauf stellt.
Kleinstbauern die sich in 5 Jahren keine neue Maschine leisten koennen sollten dann vielleicht mal ihren lobby verband anhauen.
Sehe ich anders, da Bauernhöfe de facto millionschwer sein können, was nicht bedeutet, dass die Agrarwirte vermögend sind.
Wer Kapital im Wert von Millionen hat ist vermögend.
Das ist die Definition von Vermögen.
Heißt aber nicht, dass man sich was leisten kann.
Wenn man die Sachen verkauft schon.
Quandts & co. haben ihr Vermögen auch überwiegend in Unternehmensanteilen und damit Kapital. Ändert nichts daran, dass sie vermögend sind.
Ich finde das Argument “man kann sich aber nichts leisten” auch nicht gut, weil dann Reiche und Superreiche sich einfach immer direkt irgendwas neues kaufen und dann sagen können “aber ich kann mir nichts leisten, ich habe ja gar kein Geld auf dem Konto.”
Ein entsprechendes Anlagevermögen und gerade Grundbesitz bedeuten auch, dass man darauf Kredite aufnehmen kann, oftmals zu sehr guten Konditionen.
Für einen der das ohne Kontext und Kenntnisse liest hört es sich aber so an…
Wie funktioniert das mit 2 Faktor in einer Firma mit AD? Yubikey oder wie?
Wie verhinder ich dass die Leute den Stick im PC stecken lassen?
Ja. Die Leute dürfen den ruhig stecken lassen. Damit hat du schon den Besitz des PC als 2. Faktor.
Okay aber dann könnte ich doch über remote auf den PC oder und das Thema wäre erledigt oder?
Sorry das hatte ich glaube ich nicht genau genug geschrieben. Also wie läuft dass wenn Nutzer sich nur bei Windows anmelden müssen und dann direkt Zugriff auf alles haben (dms, mail, netzwerklaufwerk, etc.)?
Dann könnte ich ja trotzdem mich per remote verbinden (ist natürlich in der ad Richtlinie verboten) und mich anmelden mit dem einfachen passwort?
Die Benutzer laufen dann auch über die AD.
Du musst physisch auf den Yubikey draufdrücken um einen Zugangscode zu erstellen. Das geht nicht remote.
Sorry hast du die Änderungen eventuell nicht gesehen? Hast du zufällig eine Empfehlung für ein Gerät abgesehen vom yubikey? Sonst würde ich mir den yubikey kaufen:)
Bei uns ist das so eingerichtet: mit dem AD Passwort allein kannst du dich am PC anmelden. Damit hast du nur Zugriff auf lokal gespeicherte Daten. Die Festplatte ist Bitlocker-Verschlüsselt um die Daten bei Diebstahl zu schützen. Remote-Zugriff ist deaktiviert und eine Endpoint Protection Lösung auf Basis einer Whitelist (Watchguard Adaptive Defense 360) schützt auch vor unbekannter Malware und Phishing Links. Ins Firmennetzwerk kommst du nur wenn du physisch in der Firma sitzt, dann ist der zweite Faktor der Ort. Oder über VPN, dafür ist der zweite Faktor der Yubikey. Der darf eingesteckt bleiben, muss dann aber bei Verlust des Laptops natürlich sofort gesperrt werden.
Alternativ zum Yubikey kannst du auch eine Authenticator App als 2FA für das VPN einrichten, dann muss aber auch das Handy entsprechend per MDM (z.B. Relution) abgesichert sein.
Ah okay, glaub ich kauf mir mal einen und probiere das aus vielen dank :)
Hast du da Empfehlungen außerhalb von yubikey? Sonst würd ich den nehmen