Ich sitze ja gerade an den Vorbereitungen zu einem Workshop über die Bewertung von Risiken und Risikobehandlungsmaßnahmen im IT-Bereich.
Darin behandle ich auch den Punkt, dass die Einschätzung von Gefahren sich mitunter stark unterscheiden kann - der Sicherheitsforscher sagt critical, der Hersteller sagt Low, und CISA sagt irgendwas, dass dann keiner nachvollziehen kann.
Hier haben wir mal wieder so ein schönes Beispiel dafür dass man manchmal nicht einfach danach gehen kann, was eine Webseite sagt.
Sysinternals habe ich als Anwendung in fast allen Firmen schon gesehen. Man muss es auf der Maschine oder im Netzwerk ausnutzen… also ist es nicht remote, obwohl es sich natürlich zur Privilege Escalation einsetzen lässt.
Im Grunde läuft es darauf hinaus dass der Sicherheitsforscher sagt das ganze kann zu einer kompletten Kompromittierung des Systems benutzt werden, und Microsoft sinngemäß entgegnet „Joah, schon, aber dann hat man vorher schon etwas tun müssen, dass man nicht hätte tun sollen.“.
Mein alter Mathelehrer hätte vielleicht gesagt - „Ist ein Folgefehler.“ So ein bisschen wie damals als jemand sagte er hätte einen Weg gefunden Keepass zu kompromittieren (CVE-2023-32784), aber die Entwickler gesagt habe „Junge… wenn du das ausnutzen willst, dann musst du davon ausgehen dass das System sowieso schon zu Beginn vollständig kompromittiert ist, und dann kannst du natürlich alles tun und lassen was du willst - das ist dann aber keine relevante Sicherheitslücke in Keepass.“
Ein bisschen so als würde jemand herausfinden dass man ein Laptop dazu bringen kann in Flammen aufzugehen, aber die Bedingung dafür ist dass das ganze Haus schon lichterloh brennen muss.
Tja… schwierig. Am Ende des Tages ist die eigentliche Frage bei sowas… habt ihr ein Monitoring System dass euch einen hohen Fehler auswirft… und erkennt dann was es damit auf sich hat? Oder werden da mitunter einfach Kinder mitsamt des Bades ausgekippt, Hauptsache die Meldung verschwindet.
Und entscheidet sowas der IT-Betrieb allein? Werden ISB daran beteiligt? Wird die Leitung daran beteiligt?
Genau für solche Fälle stricke ich derzeit den Workshop um Leuten, die vielleicht nicht aus dem IT-Bereich in das Thema kommen, aber trotzdem zumindest verstehen müssen wovon die Rede ist, ein bisschen sprachfähiger im Thema zu machen.