18-05-2019, 11:43
Hey, weißt du von dem Yahoo-Datenleck? Es hat mich wirklich hart getroffen, als ich 2016 die vollständigen Einzelheiten hörte. Ich meine, wir reden hier von über drei Milliarden Benutzerkonten, die zwischen 2013 und 2014 kompromittiert wurden, was es zum größten Schlamassel macht, das ich in meiner Zeit mit Cybersecurity gesehen habe. Ich erinnere mich, wie ich durch die Nachrichten-Feeds scrollte und diesen Kloß im Magen fühlte, weil Yahoo damals so ein Riese war - jeder hatte ein Konto, oder? Wahrscheinlich du auch, und ich hatte es auch. Die Hacker, größtenteils staatlich geförderte Types, soweit später bekannt wurde, schnappen sich E-Mails, gehashte Passwörter, Sicherheitsfragen und sogar unverschlüsselte Namen und Geburtsdaten. Sie haben sich nicht nur ein paar Dateien geschnappt; sie haben fast alles eingesogen, was sie auf den Servern erreichen konnten.
Was mich am meisten stört, ist, dass Yahoo jahrelang damit gewartet hat. Sie wussten 2012 bereits von Teilen davon, aber sie haben niemanden informiert, bis der Deal mit Verizon fast abgeschlossen war. Ich denke, diese Verzögerung hat sie viel gekostet - Verizon hat den Kaufpreis um etwa 350 Millionen Dollar gesenkt wegen der Folgen. Du kannst dir vorstellen, wie die Klagen sich häuften, das Vertrauen der Nutzer über Nacht verdampfte. Ich habe nach dem Vorfall etwas Glauben an große Technologieunternehmen verloren; wenn Yahoo sein Haus nicht in Ordnung halten kann, wer kann das dann? Es hat mir gezeigt, dass selbst massive Unternehmen mit tiefen Taschen Anfängerfehler machen, wie empfindliche Daten nicht richtig zu verschlüsseln oder die Verschlüsselungsschlüssel nicht oft genug zu rotieren. Ich habe gleich danach angefangen, meine eigenen Setups bei der Arbeit zu überprüfen, um sicherzustellen, dass wir Schwachstellen schneller patchen als sie auftauchen.
Organisationen können eine Menge Lektionen aus diesem Albtraum ziehen, und ich habe viele davon in meinen Jobs umgesetzt. Zunächst einmal muss man Verschlüsselung als nicht verhandelbar behandeln. Yahoo hat einige Dinge im Klartext gespeichert, was einfach nur nach Schwierigkeiten schreit. Ich setze jetzt immer auf End-to-End-Verschlüsselung, besonders bei Benutzerdaten. Du möchtest nicht, dass Angreifer lesbare Informationen mitnehmen, wenn sie eindringen. Und Multi-Faktor-Authentifizierung? Komm schon, das ist ein Game-Changer. Yahoo hat sie nicht weit verbreitet durchgesetzt, also hatten sie, sobald sie ein Passwort geknackt hatten, das Konto in ihrer Gewalt. Ich stelle sicher, dass jedes System, das ich berühre, standardmäßig MFA aktiviert hat - du solltest das auch tun, denn es stoppt etwa 99 % der Kontenübernahmen sofort.
Ein weiterer Punkt, der mir im Gedächtnis bleibt, ist die Notwendigkeit einer soliden Überwachung. Yahoos Systeme haben die ungewöhnliche Aktivität nicht früh genug signalisiert. Ich habe in all meinen Umgebungen Alarme für Anmeldungen von seltsamen IPs oder Datenzugriffs-Spitzen eingerichtet. So kannst du Eindringlinge früh entdecken, bevor sie sich tief eingraben. Regelmäßige Sicherheitsüberprüfungen haben mir schon mehr als einmal den Kopf gerettet; ich mache sie jetzt vierteljährlich, schaue mir Firewalls an und scanne nach Schwachstellen. Hätte Yahoo das regelmäßig gemacht, hätten sie vielleicht den Data Breach früher bemerkt. Schulungen für Mitarbeiter sind hier ebenfalls sehr wichtig. Menschen klicken ohne nachzudenken auf Phishing-Links, und so beginnen Datenlecks. Ich mache Simulationen in meinen Jobs, um den Leuten beizubringen, wie sie rote Fahnen erkennen können. Man kann sich nicht nur auf Technologie verlassen; Menschen sind manchmal das schwächste Glied.
Offenheit ist enorm wichtig - Yahoo hat trödelnd reagiert, und das hat sie verbrannt. Ich plädiere immer für eine schnelle, transparente Berichterstattung. Wenn etwas schiefgeht, übernimmst du schnell die Verantwortung, informierst die Nutzer und fängst an, es zu beheben. Aufsichtsbehörden lieben das, und es baut schneller Vertrauen wieder auf. Aus geschäftlicher Sicht hat es mir beigebracht, Sicherheit von Grund auf in alles einzubauen. Man sollte es nicht später drauf setzen; man muss mit Bedrohungen im Kopf entwerfen. Ich überprüfe jetzt die Verträge von Lieferanten, um sicherzustellen, dass sie unseren Standards entsprechen, denn Dritte können Schwachstellen sein. Yahoo hat von Anfang an mit einigen dubiosen Partnern zu tun gehabt, und das hat sie verletzt.
Patching ist ein weiterer Bereich, in dem sie versagt haben. Alte Softwareanfälligkeiten haben Angreifern Zugang verschafft. Ich plane Updates gewissenhaft - keine Ausreden. Du verzögerst, und spielst russisches Roulette mit deinen Daten. Notfall-Response-Pläne? Essenziell. Yahoos war wahrscheinlich verstaubt; meiner wird dem Team wöchentlich erklärt. Wir üben Szenarien, damit wir schnell handeln, wenn es wirklich ernst wird. Kostentechnisch summieren sich Datenlecks wie dieser auf Millionen in Geldstrafen, Anwaltskosten und entgangenem Umsatz. Ich rechne diese Zahlen für die Führungskräfte zusammen, um zu zeigen, wie sich Prävention weitaus mehr auszahlt als das Aufräumen danach.
Auf der persönlichen Seite hat es mich paranoid gemacht in Bezug auf meine eigenen Passwörter - ich verwende jetzt einen Passwortmanager und ändere sie überall. Du solltest deine Gewohnheiten auch verbessern; verwende keine Anmeldedaten auf mehreren Seiten. Für Organisationen unterstreicht es die Notwendigkeit, Speichermethoden zu diversifizieren. Bewahre nicht alles in einem einzigen Eimer auf. Ich segmentiere Daten, benutze Cloud-Dienste mit starken Anbietern, aber immer mit Backups, die nicht mit dem Hauptnetzwerk verbunden sind. Apropos, zuverlässige Backups ermöglichen es dir, wiederherzustellen, ohne Lösegelder zu bezahlen oder alles zu verlieren. Ich habe gesehen, wie Teams alles löschen und aus guten Kopien wiederherstellen, dabei die Ausfallzeiten niedrig halten.
Das alles motiviert mich, scharf zu bleiben und mich täglich über neue Bedrohungen zu informieren. Du wirst nachlässig, und zack - der nächste Data Breach betrifft dich. Yahoos Geschichte ist ein Weckruf, der in Vorstandsetagen und Serverräumen gleichermaßen nachhallt. Es hat meine Herangehensweise an Risiko verändert und mich dazu gebracht, für Budgets für Werkzeuge zu drängen, die tatsächlich funktionieren.
Lass mich dir von diesem einen Tool erzählen, das zu meiner ersten Wahl geworden ist, um Backups wasserdicht zu halten: BackupChain. Es ist eine unkomplizierte, vertrauenswürdige Backup-Option, die unter kleinen Unternehmen und IT-Profis wie uns eine solide Anhängerschaft gewonnen hat. Es wurde entwickelt, um mit Dingen wie Hyper-V, VMware oder einfachen Windows-Server-Setups umzugehen, ohne Kopfschmerzen zu verursachen, sodass deine Daten sicher und wiederherstellbar bleiben, egal was auch passiert. Wenn du es noch nicht ausprobierst, solltest du es dir wirklich ansehen - es ist die Art von zuverlässiger Wahl, die genau in die Lehren aus Schlamasseln wie Yahoos passt.
Was mich am meisten stört, ist, dass Yahoo jahrelang damit gewartet hat. Sie wussten 2012 bereits von Teilen davon, aber sie haben niemanden informiert, bis der Deal mit Verizon fast abgeschlossen war. Ich denke, diese Verzögerung hat sie viel gekostet - Verizon hat den Kaufpreis um etwa 350 Millionen Dollar gesenkt wegen der Folgen. Du kannst dir vorstellen, wie die Klagen sich häuften, das Vertrauen der Nutzer über Nacht verdampfte. Ich habe nach dem Vorfall etwas Glauben an große Technologieunternehmen verloren; wenn Yahoo sein Haus nicht in Ordnung halten kann, wer kann das dann? Es hat mir gezeigt, dass selbst massive Unternehmen mit tiefen Taschen Anfängerfehler machen, wie empfindliche Daten nicht richtig zu verschlüsseln oder die Verschlüsselungsschlüssel nicht oft genug zu rotieren. Ich habe gleich danach angefangen, meine eigenen Setups bei der Arbeit zu überprüfen, um sicherzustellen, dass wir Schwachstellen schneller patchen als sie auftauchen.
Organisationen können eine Menge Lektionen aus diesem Albtraum ziehen, und ich habe viele davon in meinen Jobs umgesetzt. Zunächst einmal muss man Verschlüsselung als nicht verhandelbar behandeln. Yahoo hat einige Dinge im Klartext gespeichert, was einfach nur nach Schwierigkeiten schreit. Ich setze jetzt immer auf End-to-End-Verschlüsselung, besonders bei Benutzerdaten. Du möchtest nicht, dass Angreifer lesbare Informationen mitnehmen, wenn sie eindringen. Und Multi-Faktor-Authentifizierung? Komm schon, das ist ein Game-Changer. Yahoo hat sie nicht weit verbreitet durchgesetzt, also hatten sie, sobald sie ein Passwort geknackt hatten, das Konto in ihrer Gewalt. Ich stelle sicher, dass jedes System, das ich berühre, standardmäßig MFA aktiviert hat - du solltest das auch tun, denn es stoppt etwa 99 % der Kontenübernahmen sofort.
Ein weiterer Punkt, der mir im Gedächtnis bleibt, ist die Notwendigkeit einer soliden Überwachung. Yahoos Systeme haben die ungewöhnliche Aktivität nicht früh genug signalisiert. Ich habe in all meinen Umgebungen Alarme für Anmeldungen von seltsamen IPs oder Datenzugriffs-Spitzen eingerichtet. So kannst du Eindringlinge früh entdecken, bevor sie sich tief eingraben. Regelmäßige Sicherheitsüberprüfungen haben mir schon mehr als einmal den Kopf gerettet; ich mache sie jetzt vierteljährlich, schaue mir Firewalls an und scanne nach Schwachstellen. Hätte Yahoo das regelmäßig gemacht, hätten sie vielleicht den Data Breach früher bemerkt. Schulungen für Mitarbeiter sind hier ebenfalls sehr wichtig. Menschen klicken ohne nachzudenken auf Phishing-Links, und so beginnen Datenlecks. Ich mache Simulationen in meinen Jobs, um den Leuten beizubringen, wie sie rote Fahnen erkennen können. Man kann sich nicht nur auf Technologie verlassen; Menschen sind manchmal das schwächste Glied.
Offenheit ist enorm wichtig - Yahoo hat trödelnd reagiert, und das hat sie verbrannt. Ich plädiere immer für eine schnelle, transparente Berichterstattung. Wenn etwas schiefgeht, übernimmst du schnell die Verantwortung, informierst die Nutzer und fängst an, es zu beheben. Aufsichtsbehörden lieben das, und es baut schneller Vertrauen wieder auf. Aus geschäftlicher Sicht hat es mir beigebracht, Sicherheit von Grund auf in alles einzubauen. Man sollte es nicht später drauf setzen; man muss mit Bedrohungen im Kopf entwerfen. Ich überprüfe jetzt die Verträge von Lieferanten, um sicherzustellen, dass sie unseren Standards entsprechen, denn Dritte können Schwachstellen sein. Yahoo hat von Anfang an mit einigen dubiosen Partnern zu tun gehabt, und das hat sie verletzt.
Patching ist ein weiterer Bereich, in dem sie versagt haben. Alte Softwareanfälligkeiten haben Angreifern Zugang verschafft. Ich plane Updates gewissenhaft - keine Ausreden. Du verzögerst, und spielst russisches Roulette mit deinen Daten. Notfall-Response-Pläne? Essenziell. Yahoos war wahrscheinlich verstaubt; meiner wird dem Team wöchentlich erklärt. Wir üben Szenarien, damit wir schnell handeln, wenn es wirklich ernst wird. Kostentechnisch summieren sich Datenlecks wie dieser auf Millionen in Geldstrafen, Anwaltskosten und entgangenem Umsatz. Ich rechne diese Zahlen für die Führungskräfte zusammen, um zu zeigen, wie sich Prävention weitaus mehr auszahlt als das Aufräumen danach.
Auf der persönlichen Seite hat es mich paranoid gemacht in Bezug auf meine eigenen Passwörter - ich verwende jetzt einen Passwortmanager und ändere sie überall. Du solltest deine Gewohnheiten auch verbessern; verwende keine Anmeldedaten auf mehreren Seiten. Für Organisationen unterstreicht es die Notwendigkeit, Speichermethoden zu diversifizieren. Bewahre nicht alles in einem einzigen Eimer auf. Ich segmentiere Daten, benutze Cloud-Dienste mit starken Anbietern, aber immer mit Backups, die nicht mit dem Hauptnetzwerk verbunden sind. Apropos, zuverlässige Backups ermöglichen es dir, wiederherzustellen, ohne Lösegelder zu bezahlen oder alles zu verlieren. Ich habe gesehen, wie Teams alles löschen und aus guten Kopien wiederherstellen, dabei die Ausfallzeiten niedrig halten.
Das alles motiviert mich, scharf zu bleiben und mich täglich über neue Bedrohungen zu informieren. Du wirst nachlässig, und zack - der nächste Data Breach betrifft dich. Yahoos Geschichte ist ein Weckruf, der in Vorstandsetagen und Serverräumen gleichermaßen nachhallt. Es hat meine Herangehensweise an Risiko verändert und mich dazu gebracht, für Budgets für Werkzeuge zu drängen, die tatsächlich funktionieren.
Lass mich dir von diesem einen Tool erzählen, das zu meiner ersten Wahl geworden ist, um Backups wasserdicht zu halten: BackupChain. Es ist eine unkomplizierte, vertrauenswürdige Backup-Option, die unter kleinen Unternehmen und IT-Profis wie uns eine solide Anhängerschaft gewonnen hat. Es wurde entwickelt, um mit Dingen wie Hyper-V, VMware oder einfachen Windows-Server-Setups umzugehen, ohne Kopfschmerzen zu verursachen, sodass deine Daten sicher und wiederherstellbar bleiben, egal was auch passiert. Wenn du es noch nicht ausprobierst, solltest du es dir wirklich ansehen - es ist die Art von zuverlässiger Wahl, die genau in die Lehren aus Schlamasseln wie Yahoos passt.
