Hallo Harry,
bei uns hat der Möchtegern-Dienstleister (also im allgemeinen Sprech der „Profi“) genau das gemacht - ohne jede Absicherung.
Klar, dann hat man die schön bequeme Fernwartung auch ohne Ahnung von ssh-Tunnel und ssh-Keys.
Wie schon geschrieben:
Auch als nun die Verschlüsselungswelle los ging und ich die SL gebeten habe, den Dienstleister die Angriffsfläche schließen zu lassen, keine Reaktion 
Viele Grüße
Steffen
Dann ist das nur eine Frage der Zeit bis der weg ist, denn Shodan listed ja hunderte/tausende davon und wenn man das zu seiner Berufung gemacht hat („Wir sind Verbrecher und wir leben davon.“ O-Ton eines Anbieters auf crimemarket), dann kann man da jeden Tag eine Menge durchprobieren, nach dem dritten Hack geht das dann auch flott von der Hand: https://www.shodan.io/search?query=esxi
Seit Shodan so maechtig geworden ist, braucht es keine Bots mehr um solche Ziele zu finden.
Gruss Harry
Hallo Harry,
wir werden sehen.
Das einzige, was ich machen kann, ist, regelmäßig einen Dump der NC-Datenbank und wichtiger Bestandteile der von mir betreuten Webserver-VM runter zu ziehen, um meinen Aufwand im Falle des Falles etwas zu verringern.
Viele Grüße
Steffen
Herr Habermehl hat mir gestern Abend noch geantwortet:
„.. haben Sie vielen Dank für Ihre Nachricht und den Link zu der Diskussion, die ich mit Interesse gelesen habe! …“
VG Andreas
Und dann setzt mal das hier um, was Kristian geschrieben hat: This is not a Drill, this is just Tuesday | Die wunderbare Welt von Isotopp (wie man sich auf Ausfälle richtig vorbereitet). Hier ist im Artikel die Rede von Teams. In Schulen kann man eine Menge Geld sparen, da seid ihr das Team. Also der Herr Team oder Frau Team.
Hallo Harry,
ich bin dem jetzt mal genauer nachgegangen, und wie vermutet:
Unser ESXi steht seit dem Aufsetzen 2018 ungepatcht und ohne Absicherung durch ssh-Tunnel o.ä. im Internet.
ESXi 6.5 U1 Built 5969303 vom 2017/07/27
Ein Wunder, dass der bislang noch nicht kompromittiert wurde…
Das bestätigt einmal mehr, was auch hier gerade diskutiert wird, dass Dienstleister („Profis“) halt nur auf konkreten Auftrag tätig werden. Und wenn sich an der Schule entweder keiner damit auskennt, oder die Hinweise derer, die sich auskennen, ignoriert werden, dann, ja dann
Das kannste schon so machen, aber dann isses halt kacke
Erneute Mail an die gesamte Schulleitung mit Priorität „sehr hoch“ und Hinweis auf die Tragweite ist raus.
Viele Grüße
Steffen
Hallo,
ich verstehe die Diskussion um Patches einspielen nur nach Auftrag nur halb. Wieso steht im Vertrag mit dem Dienstleister nicht, dass er eine regelmäßige Wartung durchführt? Dann hätte er doch den Auftrag auf den hin er handeln müsste.
MfG Buster
Hallo Buster,
ich verstehe die Diskussion um Patches einspielen nur nach Auftrag nur
halb. Wieso steht im Vertrag mit dem Dienstleister nicht, dass er eine
regelmäßige Wartung durchführt? Dann hätte er doch den Auftrag auf den
hin er handeln müsste.
… ich fürchte, dass viele Sachaufwandsträger das aus zwei Gründen nciht
so vereinbaren:
Der jetzige Vorfall könnte da natürlich ein Umdenken bewirken: gäbe es
eine solche Vereinbarung, dann wäre der Fehler klar beim Dienstleister.
LG
Holger
Hallo Holger,
Genau so ist es. Für Wartungsaufträge gibt es, soweit mir bekannt, im Gegensatz zu Neuausstattungen keine Fördergelder von irgendwoher. Die Neuaustattung wird dann im Rahmen einer Ausschreibung gestaltet und über den Haushalt mit entsprechenden Fördermitteln etc. finanziert.
Über das „Was kommt danach?“ wird wenig geplant. Idealerweise keine zusätzlichen Kosten (Systempflege- oder -Erweiterungen) bis zur nächsten Neuausstattung in X-Jahren, weil das geht alles aus dem Jahres-Etat.
Und dann ist natürlich auch die (Preis-)Frage: In welchen Intervallen, soll der Dienstleister die Wartung durchführen? Täglich? Wöchentlich? Monatlich? Quartalsmäßig? Halbjährlich? Bei einem quartalsmäßigen Wartungsintervall kann schon verdammt viel passieren. Angenommen der Dienstleister macht die Wartung heute, morgen wird eine Sicherheitslücke bekannt, übermorgen kommt ein Patch raus, der nächste Wartungstermin ist aber erst in 3 Monaten. Ein Einspielen der Patches vor dem nächsten regulären Wartungstermin, müsste daher wieder zusätzlich beauftragt werden. Kommt es dazu nicht und die Maschinen würden kompromittiert, würde der Dienstleister sagen: Klar gibt es einen Wartungsvertrag, aber der nächste reguläre Wartungstermin wäre erst in x-Tagen und für alles andere, lieber Kunde, hast du nicht gezahlt.
Daher ist das mit den Wartungsverträgen wieder nicht so einfach. Da muss man genau schauen, was drin steht.
Gruß
Thomas
Hallo,
warum so unflexibel? Es gibt x Stunden pro Zeitraum und wenn der Dienstleister da gleich zwei Tage später noch ein Security-Update einspielen muss, geht das vom vereinbarten Zeitbudget ab. Wenn er in dem Quartal mal eine Stunde mehr braucht, dann braucht er die im Folgequartal vielleicht weniger und das hebt sich in der Jahresabrechnung auf. Wenn nicht, sind zusätzlich zum Sockelbetrag Preise in EUR/Stunde vereinbart. Nur weil es die euch bekannten Schulträger bisher selten so handhaben, heißt das nicht, dass die öffentliche Hand anderswo so etwas nicht schon längst seit vielen Jahren problemlos anwendet. Wie viele Stunden und welcher Stundensatz da üblich sind, kann man ja durchaus bei anderen Auftraggebern oder potenziellen Auftragsnehmern vor Angebotseinholung abfragen.
Das Problem der Fördergelder für Ausstattung aber nicht für laufende Kosten und Administration kenne ich und dagegen gilt es anzukämpfen.
MfG Buster
Hallo Buster,
ist ja nicht gesagt, dass es Kommunen gibt, die das auch anders machen z.B. über Wartungskontigente. Der dargestellte Fall war jetzt EIN Beispiel für Wartungsverträge mit festem Wartungsintervall. Das man Wartungsverträge durchaus anders gestalten kann, ist klar. Nur sind solche Verträge dann auch mit Mehrkosten verbunden, denn die „Flexibilität“ läßt sich der Dienstleiter natürlich bezahlen und kalkuliert das in die Dienstleistungspauschalen ein.
Letztlich ist das alles eine Frage (des Geldes), was mir (als Kommune) die it-Sicherheit (meiner Schulen) wert ist. Und da können die Prioritäten je nach Schulart auch anders liegen. Um hier Kosten zu sparen gehen viele Schulträger auch weg den Einzel- und Insellösungen, hin zu zentralisierten Lösungen mit Mehrschulbetrieb, die dann mit eigenem Personal gewartet und betrieben werden. Externe Dienstleister kauft man dann nur für irgendwelche Sonderthemen, jenseits des Routinebetriebs ein.
Wie man es auch immer dreht, entweder man hat die Kosten durch eigenes Personal oder man hat die Kosten über externe Dienstleister.
Gruß
Thomas
Was ihn leider nicht daran gehindert hat, heute in der badischen Zeitung den selben Quark erneut zu publizieren…
Hallo Mirko,
Was ihn leider nicht daran gehindert hat, heute in der badischen Zeitung
den selben Quark erneut zu publizieren…
wen?
Den von den Grünen (Alexander Salomon) oder den von der SPD?
LG
Holger
Kannst Du mir mal einen Link dazu geben?
Finde da nix.
Danke.
VG Andreas
Den Schreiberling (Habermehl). Hatte doch extra auf das Posting von li_uo geantwortet 
Link zum Artikel (Paywall):
https://www.badische-zeitung.de/der-schutz-von-schul-it-ist-ungenuegend?utm_source=epaper&utm_medium=iOS&utm_page-number=5&utm_issue-mutation=FRE&utm_issue-datestr=20230221&utm_ressort-title=Land%20und%20Region
Hallo zusammen,
habe eben erst den Bezug von der Überschrift auf unser Karlsruher Problem hergestellt und melde mich erst jetzt. Außerdem lese ich nur noch am Rande mit, da ich kein schulisches Linuxnetz mehr betreue.
Auch mich hat der Artikel in der BNN sehr geärgert. Insbesondere der Kommentar des LMZ zum Einspielen der Updates unter der paedml-Windows. Erstens weiß das LMZ, dass es am Virtualisierer lag. Zweitens hat das Kant-Gymnasium, an dem ich seit einiger Zeit Stellvertreter bin, hat die paedml-Windows am Laufen und unser Admin hat vor Kurzem die bereitgestellten Updates eingespielt. Fazit: Viele unserer Laptops konnten nicht mehr eingesetzt werden, da wichtige Treiber fehlten. TeSKA, Dienstleister des LMZs der die Karlsruher Schulen betreut, gab Ratschläge, die unserem Admin einen sehr hohen Aufwand bescherten und nicht in allen Fällen zum Ziel führten. Bei einigen Laptops neueren Datums biss sich dann TeSKA selbst die Zähne aus. Ob sie inzwischen alle zum Laufen gebracht haben, weiß ich gar nicht genau. Ich kann auch nicht sagen, dass TeSKA immer in allen Bereichen hilfreich war, zweimal haben wir das Problem dann doch selbst lösen müssen und die Diagnose der TeSKA war schlichtweg falsch. (Ich schaffe es leider nicht ihn von Linuxmuster.net zu überzeugen und zwingen will ich niemanden).
Den Warnhinweis der vSphere ESXi kann in Karlsruhe nur vom IT-AMT der Stadt, der TeSKA und von einem externen Dienstleister gelesen werden. Die Administratoren der Schulen haben hier meines Wissens keinen Zugriff, sollte ich hier irren, teilt mir das bitte mit.
Übrigens, dass quelloffene Software ein Sicherheitsproblem darstellt, ist natürlich Humbug. Open-Source ist der einzig wahre Antwort auf derartige Angriffe.
Abschließende Bemerkung zu einem ganz anderen Problem. Die Stadt verweigert und seit einiger Zeit auch den Zugriff auf den Verwaltungsserver. Daher kann die Schulleitung gar nicht mehr prüfen, wer darauf alles Zugriff hat. Auf der anderen Seite sind wir aber verantwortlich für den Schutz der Daten. Meines Erachtens ein NoGo, über das ich derzeitig mit dem IT-Amt der Stadt heftig streite.
Viele Grüße
Uwe
Hallo,
so geht die Geschichte von unserem ungepatchten nach außen offenen ESXi weiter:
Mein Vorschlag: SSH-Tunnel mit Key-Authentication einrichten und von außen nur noch Zugriff darüber ermöglichen.
Gegenvorschlag vom „Dienstleister“ in Absprache mit dem EDV-Verantwortlichen des Schulträger:
Den über den Digitalpakt für’s gesamte Bildungszentrum beschafften neuen Server bis zu den Osterferien mit dem neuesten ESXi bespielen und dann bereits in den Osterferien die VMs umziehen.
So lange den externen Zugag abschalten.
Konsequenez:
Ich kann vor Updates keinen Snapshot machen und damit die Verfügbarkeit von OpenSchulportfolio und Nextcloud nicht gewährleisten. Denn bei einem Webserver kann ich nicht mal eben auf die Sicherheitsupdates verzichten.
Außerdem lese ich aus dem Plan:
Der neue Server mit aktuellem ESXi soll wieder offen im Netz stehen.
Sonst müsste man die SSH-Absicherung ja ohnehin machen.
Oder ne teure Firewall - aber ob die da was nutzt 
Meinem Chef habe ich auf seine Info von dem ausgeklüngelten Vorschlag zurück geschrieben:
zu deiner Info zum ESXi von gestern:
Das angedachte Vorgehen ist aus verschiedenen Gründen nicht zielführend.
Genauere Info weshalb steht in meiner Mail an dich und Herrn […].
Kurz:
Ich brauche den Zugang auf den ESXi vor Updates, um die Verfügbarkeit von Irma und Madita gewährleisten zu können.Wer sich gegen die vorgeschlagene Absicherung sträubt, hat keine Ahnung von der Materie, legt mir aber in meinem Engagement Steine in den Weg.
Das kann man schon so machen, aber dann isses halt mal wieder kacke.
Ich zitiere die bayrische Rektorin: „Engagement ist eher kontraproduktiv“.
Ich bin mir aber sicher, dass es trotzdem genau so kommen wird:
Externen Zugang zum ESXi abschalten, neues ESXi auf den neuen Server, in den Osterferien VMs migrieren, danach neuer Server wieder offen im Netz (oder nie wieder extern erreichbar)
Ich bekomme bei diesen (wirklich weit verbreiteten) „Möchtegerndienstleistern“, die nur klickibunti Microsoft und nur abarbeiten von Installationshandbüchern beherrschen, deren halbgare und meist überteuerte Vorschläge man dann aber von verantwortlicher Seite annimmt - weil: sind ja die Profis" - echt zunehmend einen Hass.
Viele Grüße
Steffen
Mir käm die Galle hoch an deiner Stelle…
Wäre ein VPN-Verbindung (wireguard) ne Option?
Bin damit eigentlich ganz zufrieden.
Hallo Mirko,
tja, was meinst du, warum meine Antwort an den Chef so deutlich ausfällt.
Ist ja auch nicht so, dass mich bereits der Exchef 2018 ausgebotet hat, weswegen ich jetzt seitdem in dieser Ka…situation mit diesen örlichen von nichts ne Ahnung Möchtegern-Dienstleistern bin.
Klar, VPN wäre auch ne Option, wenn man sich von Linux aus damit ohne größere Klimmzüge verbinden kann (was ja machbar sein sollte).
Ich glaube aber nicht, dass das mehr Aussicht auf Erfolg hat.
Viele Grüße
Steffen
Exsi ist ja dann immer noch aus dem internen netz dann erreichbar?
Dann macht man die updates von nextcloud vorort in der schule und der server ist ne halbe stunde down waehrend der regulaeren arbeitszeit.
Hat ja dann auch signalwirkung und ist dann auch nicht unbedingt schlecht…