Finanzämter in Norddeutschland waren und sind von IT-Panne betroffen

In Norddeutschland kommt es seit gestern in den Finanzämtern zu einer technischen Panne, diese soll in Niedersachsen und Bremen vermutlich noch bis Freitag dauern. Der Zeitpunkt ist natürlich ungünstig, denn Ende Mai läuft die Frist für die Abgabe ... mehr...

Trojaner, Antivirus, Bundestrojaner Warner Bros

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++9 --

Die Frist zur Abgabe der Steuererklärung endet ab diesem Jahr erst am 31. Juli.

https://www.finanztip.de/steuererklaerung/steuererklaerung-frist/

[o2] am ++2 --6

Man sollte Office Dateien generell blockieren und nur PDFs erlauben. Scheint ja ein super Dienstleister zu sein.

[re:1] am ++4 --1

@loo_i: Dann geht da garnix mehr ;) gefühlt die hälfte der Organisation von Behörden und Unternehmen basiert auf Excel oder selbst gefummelten Access dateien :D

Aus IT Sicht bin ich voll bei dir, aber mit dem Vorschlag brauchste garnicht erst ankommen :D

[re:1] am ++3 --

@Cosmic7110: Unsere Kunden haben sich dran gewöhnt. Seit dem ersten Locky vor ein paar Jahren nehmen wir von extern keine Office-Formate mehr an. Wo soll auch der Sinn liegen, ein bearbeitbares Format an ein Finanzamt zu senden? PDF und fertig. In jedem Office-Programm spätestens seit Office 2010 ist das im "Speichern unter"-Dialog ganz easy möglich, den Dateityp beim Speichern auf *.pdf zu ändern.

Allerdings sollte man den Kunden bei einer nicht angenommenen Mail, die einen Office-Anhang trug (und deshalb abgelehnt wurde) einen NDR zurücksenden, in dem drinsteht, warum seine Mail nicht angenommen wurde und daß er stattdessen ein PDF senden soll.

Zumindest ist das der sicherste Weg, die Verschlüsselungstrojaner, die per Mail kommen können, immer erfolgreich abzuwehren. Jede auch diesbezüglich noch so ausgeklügelte (und ggf. teure) Sicherheitssoftware ist dagegen nur zweite Wahl.

[re:1] am ++1 --1

@departure: [...] PDF [...]

https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-497/Adobe-Acrobat-Reader.html

[re:1] am ++--

@dpazra: Momentaufnahme. Die nächste Version wird's erstmal wieder richten.

[re:2] am ++--

@departure: Jo, du kannst oben nach Schweregrad 8 (rot) filtern und dich dann durch 14 Seiten Momentaufnahmen, verteilt auf über 600 öffentlich bekannt gewordene Alarmstufe Rot Momente, verteilt über die letzten 10 Jahre klicken und mir dann erläutern, wie man glauben kann, dass ein Viewer, der 8(?) verschiedene, jeweils hunderte Seiten schwere Versionen des PDF-Standards unterstützt, in absehbarer Zeit ansatzweise sicher sein kann.

Btw. Heartbleed war ein Schweregrad 5 Exploit auf dieser Skala, nur Information disclosure. Nur um der Skala etwas Kontext zu geben.

Bearbeitet am 29.05.19 um 12:08 Uhr.

[re:2] am ++--

@departure: joar, Extern kann man das noch unterbinden, intern in einem Firmennetzwerk kann das die alltägliche Arbeit zum erliegen bringen :D

[re:1] am ++1 --

@Cosmic7110: Aber in welchem (internen) Makro soll denn der Schadcode bzw. der Download-Aufruf drin sein, wenn's nicht von außen kam, weil's von außen gar nicht reinkonnte?

[re:2] am ++--

@departure: Es gibt noch andere Wege als Email und Download - mobile Datenträger z.B. ;)

[re:3] am ++--

@Cosmic7110: Dazu müßte aber ein M i t a r b e i t e r (!), der hier bewußt böses wollte, erstmal zu Hause eine entsprechend infizierte Word-, Excel- oder PPT auf einen Stick speichern, an seinem Arbeitsplatzrechner einstecken und öffnen. Und das mit gewollter, voller Absicht.

Nicht unmöglich, aber nicht sonderlich realistisch.

Hundertprozentige Sicherheit gibt es einfach nicht, sondern bloß eine "bis zu"-Sicherheit. Wer wirklich böses will, und sich dazu auf ein Ziel einschießt, der schafft es auch, egal was ich vorher vielleicht dagegen tun könnte.

Wir werden jedenfalls bei unserer Office-Anlagensperre bei Mails von extern bleiben, das ist in jedem Fall besser, als gar nichts zu tun und sich ansonsten nur blind auf eine Sicherheitssuite zu verlassen.

[re:3] am ++1 --

@departure: Wenn Du Daten automatisch auswerten willst, also die Dateien letztendlich weiterverarbeitest, dann ist PDF schlecht geeignet. Und das passiert in Behörden zuhauf wie ich von Kunden weiß. Nebenbei ist zum Beispiel der Acrobat Reader überhaupt keine gute Software. Gefühlte Sicherheit ist leider nicht real. Siehe https://www.cvedetails.com/product/497/Adobe-Acrobat-Reader.html?vendor_id=53 und zum Vergleich https://www.cvedetails.com/product/529/Microsoft-Word.html?vendor_id=26

[re:1] am ++--

@Nunk-Junge: O. K., verstehe. Doch was soll ich dann tun? PDF auch noch verbieten? Dem Absender einen NDR zurückschicken, in dem drinsteht, daß wir GAR NICHTS mehr an Anlagen annehmen? Dann kann ich den Mailserver auch abschaffen.

Nee nee, ich gehe davon aus, daß trotz der Sicherheitslücken im PDF-Format ansich UND der immer wieder auftretenden Sicherheitslücken im Adobe Reader die Lösung, nur noch PDFs anzunehmen, dennoch um ein vielfaches sicherer ist, als Office-Dateien von extern zu erlauben. Und ganz ehrlich: Ich habe noch nie von einer Malware/Virus/Verschlüsselungstrojaner gehört, der mit einer PDF ins Haus kam. Wenn das wirklich möglich ist, dann doch wohl eher bislang nur theoretisch oder bislang nur extremst selten.

[re:2] am ++2 --

@departure: Nein, leider nicht nur theoretisch. Es gibt inzwischen sogar recht häufig Angriffe via PDF-Files. https://www.infopoint-security.de/5-moeglichkeiten-wie-man-pdf-angriffe-stoppen-kann/a19594/
Aber wie Du schreibst, kann man auch nicht gar nichts mehr annehmen. Wir lassen bei unseren Kunden Office- und auch PDF-Files zu. Office hat inzwischen halbwegs brauchbare Mechanismen zum Schutz (z.B. .docx enthält keine Makros, .docm schon). Leider sind die DAUs vor dem Rechner so kreativ, dass sie immer einen Weg finden sich zu blamieren/infizieren/korrumpieren/ruinieren.

[re:2] am ++--1

@loo_i: PDFs sind genauso gefährlich wie Office Formate. Der statische Eindruck täuscht darüber hinweg, dass PDF ein absurd überladenen Format ist und PDF Viewer komplexe Programme mit Sicherheitslücken sind.

CSV und Markdown sind relativ gute Formate zum Informationsaustausch. Mir fällt kein Anliegen ein, dass ich dem Finanzamt vortragen will, dass sich in einem PDF wesentlich besser als in CSV und Markdown vortragen lässt.

PS: Das ist ja noch viel schlimmer als ich gedacht hätte:

https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-497/Adobe-Acrobat-Reader.html

Erklärung zu den Farben: Rot ist eine Warnfarbe.

Bearbeitet am 29.05.19 um 11:04 Uhr.

[re:1] am ++1 --

@dpazra: Klar, PDFs können auch schädlich sein, allerdings sind sie nicht ansatzweise so verbreitet (bei Trojanern) wie Office Formate.

Und Adobe Reader ist nicht der einzige PDF Reader, als darf nicht nur auf den schließen.

[re:1] am ++--2

@loo_i: Die katastrophale Sicherheitslage des Adobe Readers ist symptomatisch für die Komplexität des PDF-Formats aus der sich die Komplexität (und damit stark verbunden, die Anfälligkeit) des Adobe Reader ergibt. Da gibt es einen guten C3-Vortrag drüber.

https://m.youtube.com/watch?v=4F2xMw3987I&list=PLAEC70812B824A2FE&index=2&t=0s

Bearbeitet am 29.05.19 um 12:05 Uhr.

[re:3] am ++--

@loo_i: Das sage mal den deutschen Behörden, wenn man mit enen im Kontakt ist werden nur docx ausgetauscht. Final dann pdf aber vorher zur bearbeitung ausschliesslich word und excel.

[o3] am ++--

War da nicht auch was mit politisch gewollter Umstellung Linux -> Windows ab 2019 in Niedersachsens Finanzverwaltung?? Hmmm...

[o4] am ++2 --

Als ehemaliger aktiver Finanzbeamter: Es werden nur PDF-Datein angenommen - sonst nix.

[o5] am ++--

... Excel- oder Word-Dateien ...
...
... PDF ...
...
https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-497/Adobe-Acrobat-Reader.html
...

Ich habe da einen relativ radikalen Standpunkt:
- Zum Informationsaustausch genügt Text in deutscher Sprache (das wird von den meisten Finanzamtmitarbeitern sogar flüssig gesprochen) in ISO-8859-15 (kann von vielen Anwendungen sogar ohne Code-Execution-Vulnerabilities geparst werden)
- zur Formatierung genügen ein paar Ebenen Überschriften, Hervorhebung durch Fett- oder Kursivdruck, das genügt für einen formatierten Text
- Zahlen lassen sich relativ gut mit CSV-Dateien strukturieren.

Eine Anwendung für dieses Datenaustauschformat lässt sich in ein paar 100 Zeilen schreiben, das kriegt man sogar Bug-frei hin.

Einen bugfreien Viewer für Formate wie DOC, XLS, PDF und andere Standards deren ausgedruckter Umfang in kg Papier anschaulicher als in DIN A4 Seiten bemessen werden kann, wird es in absehbarer Zeit nicht geben.

[re:1] am ++--1

@dpazra: Und wenn Du Deine weisen Erkenntnisse auch noch den Absendern Erna Klotz und Lieschen Müller so vermitteln kannst, daß sie's kapieren und sich immer daran halten -> Glückwunsch, dann bräuchte es keine Anlagensperre beim Maileingang mehr.

Bis dahin werden Erna Klotz und Lieschen Müller weiterhin munter Word- und Excel-Dateien per Mail versenden. Und solange bleiben diese Dateitypen bei uns für den Maileingang von extern gesperrt. PDF kann ich nicht auch noch sperren, dann würden wir ja gar nichts mehr annehmen. Obwohl, JPG, BMP und TIFF vielleicht noch. Aber auch dazu wirst Du mich sicherlich mit Links versorgen, daß diese Formate auch gefährlich sein können.

Ganz ehrlich, dann kann man E-Mail auch komplett abschaffen. Oder nur noch Mails ohne Anlagen, also nur den Textkörper der Mail annehmen. Aber auch da besteht doch eine Gefahr bei HTML-Mails?

Ich nehme an, Du bist kein Admin in einer Firma oder Behörde? Denn wenn, müßte Dir klar sein, daß Deine Auslassungen zwar theoretisch richtig sein mögen, aber lächerlich praxisfremd, sorry.

[re:1] am ++--

@departure: Wie der Zufall es will, ist Teil meiner Tätigkeiten die Administration mehrer Server, ich bin also tatsächlich ein Admin. Und auf meinen Sicherheitsregeln auch wenn die ein paar Nutzern nicht gefallen:
- kein SSH-Login per Passwort (nur public-private-key)
- kein Root-Login (auch nicht in die DB)
- keine Webseiten ohne SSL-Zwang (und keine SSL-Zertifikate, die sich nicht in unseren automatischen Renewal-Mechanismus eingliedern)
- keine Webanwendungen (CMS, eCommerce-Systeme, usw.), die nicht un unserem automatischen Update-Workflow geupdatet werden
- keine unsicheren Dienste (z.B. FTP)
- keine Dienste, die nicht automatisch neustarten können
- keine schwachen Passwörter, wo Passwörter nötig sind (Nutzung von Passwortmanagern, wenn man sich keine 40 zufälligen Zeichen merken kann)
- wer kein Admin ist, kann sich nur ins chroot-Jail einloggen
usw.

Man kann schon ein ziemlich hohes Maß an Sicherheit erreichen, wenn man die Einhaltung von Best-Practices erzwingt. Wichtig ist, es dem Nutzer schwer zu machen, sich in den Fuß zu schießen und leicht, das richtige zu tun. Wenn die User keine Webdeveloper/-designer sind, ist es umso wichtiger, den richtigen Weg leicht zu machen und den schweren Weg zu verwehren.

Ich habe schon gehört, dass ActiveX-Steuerelemente für interne Webanwendungen unverzichtbar seien, wo ist ActiveX heute?
Wer hätte vor 5 Jahren gedacht, dass mal eine der ganz großen Certificate Authorities für seine Schlamperei zur Rechenschaft gezogen wird? Seitdem wurde dem Symantec Root Zertifikat das Vertrauen entzogen.

Ich sage dir nicht, dass du dich schon morgen am E-Mail-Server festketten sollst. Ich sage, dass wenn die Gefahren durch E-Mail-Anhänge langfristig in den Griff gekriegt werden sollen, dann wird man sich auf nicht-wahnsinnige Formate reduzieren müssen. Es ist schon vorstellbar, dass sich auf lange Sicht etwas wie Markdown für den Versand strukturierter Texte etabliert, dafür müsste es natürlich gute Unterstützung bei Enduser-Tools wie Word oder LibreWriter haben. Dass so eine Unterstützung kommt, ist nicht so unrealistisch, sogar Microsoft ist bekannt, dass Markdown ein vernünftiges Format für Informationsaustausch ist ( https://docs.microsoft.com/de-de/contribute/how-to-write-use-markdown ). Natürlich sind andere Lösungen für das DOC/PDF-Problem denkbar.

Lächerlich praxisfremd (sorry), ist die Idee, dass PDF etwas mit Sicherheit zu tun hätte. Hat es nicht. Das Format ist eine unfassbare Frankensteinkreation, und darüber nachzunkden ob Word oder Adobe Reader mehr Sicherheitslücken hat, ob Word nur häufiger angegriffen weil Adobe Reader (noch) das weniger lohnenswerte Ziel ist oder nicht, ist müßig. Das sind beides Scheunentore. Mit einem Wechsel von DOCX zu PDF macht man einen Schritt aus der Schusslinie, aber man steht immer auf freiem Feld und wenn der Rest folgt, werden die Schützen nachjustieren, das ist so sicher wie das Amen in der Kirche.

Ein einzelner Admin kann es vielleicht seinen Usern nicht verbieten, bevor eine Alternative der Allgemeinheit leicht zugänglich gemacht wurde, das ändert aber nichts an der Faktenlage, die empirisch anhand von Sicherheitsdaten belegbar ist.

Genauso lächerlich praxisfremd (sorry) ist die Behauptung, dass ja alles irgendwie unsicher wäre, wenn dabei impliziert werden soll, dass es Willkür wäre, was man gestattet und was nicht. Du hast ja die Beispiele angeführt und ich nehme sie gerne auf. BMP, JPEG und TIFF sind allesamt lange nicht so wahnsinnig wie XLS, DOC oder PDF. Das sieht man daran, dass Implementierungen der nötigen Verfahren für die Nutzung dieser Formate möglich sind, ohne dass die entsprechenden Bibliotheken endlos unsicher sind:

https://www.cvedetails.com/product/3881/Libtiff-Libtiff.html?vendor_id=2224
https://www.cvedetails.com/vulnerability-list/vendor_id-17990/product_id-46165/IJG-Libjpeg.html
https://www.cvedetails.com/vulnerability-list/vendor_id-17075/product_id-40849/Libjpeg-turbo-Libjpeg-turbo.html
(BMP ist sowieso ein triviales Format)