CD Projekt RED: Interne Netzwerke und Quellcodes mehrerer Projekte wurden von Erpressern gehackt

[Hiri]

Eine Hiobsbotschaft nach der anderen über dieses Studio. Könnte man langsam eine Verfilmung in Erwägung ziehen? Hab schon einen passenden Titel "Rise and Fall CD Projekt RED"

[Querscheisser]

Was man hier teilw. lesen muss, haben sie verdient, inside job. junge junge, wild.

[Swar]

Hab schon einen passenden Titel "Rise and Fall CD Projekt RED"

Terminator RED: Projekt Crash

[Liesel Weppen]

Das Internet, zurecht als riesige Chance empfunden wandelt sich von Tag zu Tag mehr in eine kriminelle Einrichtung.

Kneipen, einst ein Ort zum geselligen Zusammentreffen, wurden von Tag zu Tag mehr genutzt dort kriminelle Aktivitäten abzusprechen.

Wie wir wissen, tümmeln sich heute in Kneipen nur noch ausschließlich kriminelle Gestalten.

Wenn ich solche Aussagen schon immer lese, frage ich mich, warum manche Leute überhaupt ins Internet dürfen.

[Kajetan]

Und was genau ist da jetzt im Homeoffice für einen Angreifer leichter?

In der Regel sitzen die Leute an ihrer Privat-Hardware, obwohl sie das eigentlich nicht dürften. Aber sie müssen es, weil der Arbeitgeber oft keine Lust hat sich ein entsprechendes Konzept auszudenken. Und deswegen gibt es eben eine ganze Bandbreite von Sicherheitsleveln. Von "Offen wie Scheunentor" auf einer alten XP-Maschine bis hin zum nahezu perfekt administrierten Linux-Server. Da hilft Dir dann das VPN auch nichts, wenn die Hardware bereits kompromittiert ist. Wie das bei CDP gehandhabt wird, weiß ich nicht.

Und dann laufen im Hintergrund noch Alexa und Co. ... wer hat ein dediziertes Arbeitszimmer zu Hause? Da wird der Arbeitsplatz kurzerhand im Wohnzimmer eingerichtet. Gut gesicherter Firmenzugang, aber Amazon bekommt alle Dienstgespräche mit? Bei uns gab es sogar eine konkrete Anweisung solche Systeme während der Arbeitszeit auszuschalten, wenn man kein extra Zimmer hat. Industriespionage ist real, vor allem wenn die Hauptkonkurrenz in den USA sitzt. Zu paranoid? Vielleicht. Aber hier kann ich es nachvollziehen.

[SneakyTurtle]

Jede Firma, die eine IT Infrastruktur besitzt, die es seinen Mitarbeitern ermöglicht von einem privaten Rechner aus auf das Firmennetz zuzugreifen hat sowieso schon im Thema IT-Sicherheit versagt. Braucht man gar nicht mehr weiterreden.

[Zinssm]

Das Internet, zurecht als riesige Chance empfunden wandelt sich von Tag zu Tag mehr in eine kriminelle Einrichtung.

Kneipen, einst ein Ort zum geselligen Zusammentreffen, wurden von Tag zu Tag mehr genutzt dort kriminelle Aktivitäten abzusprechen.

Wie wir wissen, tümmeln sich heute in Kneipen nur noch ausschließlich kriminelle Gestalten.

Wenn ich solche Aussagen schon immer lese, frage ich mich, warum manche Leute überhaupt ins Internet dürfen.

Mit dem Unterschied das du dir in der Gaststätte direkt gegenüber sitzt.
Fangen wir doch einfach mal mit Echtnamen an,wie wär das!? Oder glaubst du wirklich das wird endlos so weitergehn!? Erste Anfänge sind ja politisch schon gemacht.
Und die Schuld der Politik zuzuschieben ist au net gerade helle. Bedankt euch dann bei den Subjekten die dafür verantwortlich sind. Wenn ich richtig informiert bin gibts Internet-Verbot schon bei kriminellen Handlungen als Auflage.
Wenn du ne Bank mit dem Auto überfälls bekommst du höchstwahrscheinlich den Führerschein weg
Sorry für offtopic..

[Liesel Weppen]

In der Regel sitzen die Leute an ihrer Privat-Hardware, obwohl sie das eigentlich nicht dürften.

Ja, und wenns blöd läuft, hast du als Arbeitnehmer sogar noch ein gewaltiges Problem, das sogar ausreichend für eine fristlose Kündigung sein kann. Und dein Arbeitgeber wird dann gleich noch vom Kunden verklagt, weil seine Daten auf Privathardware gekommen sind.
Kommt natürlich immer auf die Situation an. Wenn man sich z.B. eh nur via RDP verbindet und auf dem eigentlichen Rechner gar nichts tut, kann man das noch gelten lassen.

Sollte man als AN also schon aus Eigeninteresse tunlichst vermeiden. Ich würde im HO auch lieber meinen eigenen PC benutzen, der wäre sogar besser und es ergäben sich weniger Platzprobleme. Aber ja, kommt halt (selbst wenns der Arbeitgeber erlauben würde) für mich absolut nicht in Frage.

Aber sie müssen es, weil der Arbeitgeber oft keine Lust hat sich ein entsprechendes Konzept auszudenken.

Das ist kein Problem von Homeoffice, sondern von Privathardware. Das ist auch firmenintern nicht anders, deswegen ist es ja nur andersherum auch meist verboten Privathardware ins Firmennetzwerk zu hängen.

Nach der letzten Gesetzesanpassung MUSS dein Arbeitgeber sich übrigens afaik sogar um so ein Konzept kümmern und das auch umsetzen.
Und wer länger im HO bleibt, was ja derzeit die meisten eh tun, der kann sich auch einen Desktoprechner mit nachhause nehmen. Also bei uns hier wurden massig PCs samt Monitoren rausgekarrt, als sich alle ins HO verdrückt haben.

Da hilft Dir dann das VPN auch nichts, wenn die Hardware bereits kompromittiert ist. Wie das bei CDP gehandhabt wird, weiß ich nicht.

Wenn das VPN schon verbunden ist nicht. Wenn das VPN aber nicht verbunden ist, kannst du auch von kompromitierter Hardware aus keine VPN-Verbindung aufbauen (ausser derjenige hat sein Passwort auf dem Rechner gespeichert).

Ich sehe immernoch nicht, was das mit Homeoffice zu tun hat. Unsichere Hardware im Firmennetzwerk ist genauso unsicher. Von der Sicherheit machts also keinen Unterschied ob HO oder Büro.

Gut gesicherter Firmenzugang, aber Amazon bekommt alle Dienstgespräche mit? Bei uns gab es sogar eine konkrete Anweisung solche Systeme während der Arbeitszeit auszuschalten, wenn man kein extra Zimmer hat. Industriespionage ist real, vor allem wenn die Hauptkonkurrenz in den USA sitzt. Zu paranoid? Vielleicht. Aber hier kann ich es nachvollziehen.

Nachvollziehbar, klar. Aber das ist Datenschutz und damit was ganz anderes als einen Hackerangriff aufs Firmennetzwerk.

[Liesel Weppen]

Mit dem Unterschied das du dir in der Gaststätte direkt gegenüber sitzt.
Fangen wir doch einfach mal mit Echtnamen an,wie wär das!? Oder glaubst du wirklich das wird endlos so weitergehn!? Erste Anfänge sind ja politisch schon gemacht.

Wie kontrollierst du die Echtnamen? Ich vermute so ähnlich wie die Ausweispflicht aktuell in Kneipen protokolliert wird?

Und die Schuld der Politik zuzuschieben ist au net gerade helle.

Hab ich zumindest doch gar nicht getan.

Bedankt euch dann bei den Subjekten die dafür verantwortlich sind. Wenn ich richtig informiert bin gibts Internet-Verbot schon bei kriminellen Handlungen als Auflage.
Wenn du ne Bank mit dem Auto überfälls bekommst du höchstwahrscheinlich den Führerschein weg

Jup, gibts. Führerscheinentzug wegen Banküberfall, weiß ich allerdings nicht. Aber beim Internetverbot war das Internet ja auch Tatwaffe. Nen Waffenschein bist du nach nem Banküberfall definitiv auch los.

Aber wie beim motorisierten Strassenverkehr, wünsche ich mir manchmal, das man ohne entsprechenden Führerschein nicht am Internet teilnehmen sollen dürfte.

[Zinssm]

Mit dem Unterschied das du dir in der Gaststätte direkt gegenüber sitzt.
Fangen wir doch einfach mal mit Echtnamen an,wie wär das!? Oder glaubst du wirklich das wird endlos so weitergehn!? Erste Anfänge sind ja politisch schon gemacht.

Wie kontrollierst du die Echtnamen? Ich vermute so ähnlich wie die Ausweispflicht aktuell in Kneipen protokolliert wird?

Und die Schuld der Politik zuzuschieben ist au net gerade helle.

Hab ich zumindest doch gar nicht getan.

Bedankt euch dann bei den Subjekten die dafür verantwortlich sind. Wenn ich richtig informiert bin gibts Internet-Verbot schon bei kriminellen Handlungen als Auflage.
Wenn du ne Bank mit dem Auto überfälls bekommst du höchstwahrscheinlich den Führerschein weg

Jup, gibts. Führerscheinentzug wegen Banküberfall, weiß ich allerdings nicht. Aber beim Internetverbot war das Internet ja auch Tatwaffe. Nen Waffenschein bist du nach nem Banküberfall definitiv auch los.

Aber wie beim motorisierten Strassenverkehr, wünsche ich mir manchmal, das man ohne entsprechenden Führerschein nicht am Internet teilnehmen sollen dürfte.

Hab ich nicht explizit dir vorgeworfen mit der Schuldzuweisungen,sorry war allgemein gemeint
So weit sind wir scheinbar gar net auseinander...

[johndoe711686]

Jede Firma, die eine IT Infrastruktur besitzt, die es seinen Mitarbeitern ermöglicht von einem privaten Rechner aus auf das Firmennetz zuzugreifen hat sowieso schon im Thema IT-Sicherheit versagt. Braucht man gar nicht mehr weiterreden.

Von Corona und dem mehr oder weniger spontanen Übergang zu Massen HO hast du gehört? Dass da nicht mal eben so eine gut gesicherte Infrastruktur mit gesicherten Geräten für zu Hause vorhanden ist, sollte einleuchten. Klar hat man das vorher verschlafen, aber bei vielen war es vorher auch nicht nötig und musste jetzt sehr schnell umgestellt werden.

Ich nutze übrigens auch private HW, allerdings läuft das über eine externe SSD mit eigenem Windows über das gebootet, dann VPN hergestellt und über Remote Desktop gearbeitet wird.

[casanoffi]

Auch wenn ich die Sache überhaupt nicht witzig finde, fällt mir dazu nur eine Sache ein:
Verscheiß es Dir niemals mit echten Nerds, die dich lieben...

[Klusi]

Schreibt man statt "verdient" eben "kein Mitleid"

[bohni]

Und was genau ist da jetzt im Homeoffice für einen Angreifer leichter?

In der Regel sitzen die Leute an ihrer Privat-Hardware ...

Ich sitze auch an meinem Privatrechner von dem ich arbeite - mache ich gerade jetzt z.B.

obwohl sie das eigentlich nicht dürften.

Wo steht das?

Aber sie müssen es, weil der Arbeitgeber oft keine Lust hat sich ein entsprechendes Konzept auszudenken. ...

Also als Dev darf/kann ich im Büro genauso "surfen" wie von zu Hause aus - wo ist da der Unterschied?
Mein Linuxrechner ist bestimmt sicherer als die Win10 Kisten auf der Arbeit. (z.B. keine Makroviren da kein MS-Office etc.)

Und dann laufen im Hintergrund noch Alexa und Co.

Never

... wer hat ein dediziertes Arbeitszimmer zu Hause?

Ich z.B.

Bisher gab es Sicherheitsprobleme immer nur bei irgendwelchen Managern ... egal ob Homeoffice oder nicht.

[Liesel Weppen]

obwohl sie das eigentlich nicht dürften.

Wo steht das?

Ist nicht per Se verboten, steht aber in den meisten Arbeitsverträgen, wenn auch nur indirekt, z.B. das du keine Kunden- oder firmeninterne Daten woanders speichern darfst.

Also als Dev darf/kann ich im Büro genauso "surfen" wie von zu Hause aus - wo ist da der Unterschied?

Bei "nur" Surfen wird nichts wirklich relevantes gespeichert. Wenn du Passwörter oder deine Kreditkartennummern für deine privaten Aktionen auf deinem Arbeitsrechner speicherst, ist das dein Problem. Wenn der Firmenrechner gehakt wird, musst du damit rechnen, das auch deine privaten Daten erbeutet wurden, wenn die da gesepeichert waren.

Umgekehrt ist es für eine Firma aber unkontrollierbar und sehr risikoreich, wenn Firmendaten auf Privatrechnern gespeichert werden. Wenn ein Privatrechner gehakt wird, kriegt die Firma das ggf. nichtmal mit, es können aber Firmendaten in Umlauf kommen.
Wenn du als "Dev" also einen Git-Checkout auf deinem privaten Rechner hast, z.B. Sourcecode eurer Eigenentwicklung, oder noch schlimmer, Sourcecode von Kundenanwendungen, die ihr entwickelt, oder halt Kundendaten.

Deswegen meinte ich ja, wenn man z.B. nur per RDP auf einen Firmenrechner verbindet, dann werden auf dem Privat-PC ja keinerlei Daten gespeichert. Wenn du aber auf deinem Privat-PC direkt arbeitest schon.

Das beschränkt sich nichtmal auf PCs. Ich hab auch schonmal einen meiner eigenen USB-Sticks verwendet um Daten vom Arbeits-PC auf ein Embeddedboard zu kriegen. Wenn ich dann aber vergesse, die Daten auf dem Stick zu löschen und den Stick irgendwo verliere, den jemand findet und die Daten darauf leaked, dann kann ich froh sein, wenn ich nur meinen Job verliere.

Du darfst übrigens afaik perdefault NICHT von deinem Arbeitsplatz aus privat surfen, dabei spielt es auch keine Rolle ob du es kannst oder nicht. Ausser es steht bei dir (wie z.B. bei mir) ausdrücklich im Arbeitsvertrag das private Internetnutzung am Arbeitsplatz erlaubt ist.

Z.B.: https://www.ahs-kanzlei.de/2015-03-inte ... beitsplatz

Mein Linuxrechner ist bestimmt sicherer als die Win10 Kisten auf der Arbeit. (z.B. keine Makroviren da kein MS-Office etc.)

Für wie sicher du deinen eigenen Rechner hältst, spielt rechtlich keine Rolle.
Sollte sowas wie oben passieren, kann dich dein AG deswegen rauswerfen und ggf. sogar noch auf Schadensersatz verklagen.

Das man einem "Dev" das erst noch erklären muss...