Aha? Eingangstüren in Häusern zur eigenen Wohnung auch? Und woher willst du sichergehen, dass die Programme und der Kernel von ipfire sicher sind? Wohl kaum alles selbst geschrieben, oder?

Analoge Vergleiche mit Eingangstüren sind in einer digitalen Welt nur bedingt geeignet einen Sachverhalt zu erklären. Dein ganzer Vergleich hinkt ohnehin dahingehend, da in 99% des Billig-China-Consumer Drecks eben genau die gleiche Open-Source Linux zum Einsatz kommt wie in professionell aufgezogenen Systemen oder kommerziellen Firewalls namhafter Hersteller. Der Unterschied ist eben genau die kontinuierliche Softwarepflege. Und ja ein zig Jahre altes Zeugs ist unsicherer wie ein Zeugs auf aktuellem Patchlevel.

Ach, und woher kommt eigentlich dein vertrauenswürdiger VDSL-PHY? Schön mit einem FPGA selbst gestrickt?

Schmunzel, VDSL? Nicht doch, wir leben im rückständigsten Land Europas was das anbetrifft (siehe meine Grafik im Nachbarthread). Im Office habe ich zwar immerhin 50 MBit, daheim von wo ich Dir gerade antworte reicht's nur für DSL16000. Aber hey, ich bin froh, daß mein Zeugs nicht BSI zertifiziert und von Infineon kommt. Benutzt Du MS Bitlocker oder Yubikey Lösungen? Dann dürfte das hier interessant für Dich sein: https://www.securityweek.com/tech-giants-warn-crypto-flaw-infineon-chips

Der Router kriegt, anders als die internen Geräte, ungefiltert alles aus dem Internet ab und muss dementsprechend gesichert sein. Bricht der Routerdamm, hat man eh verloren.

Falsch hier liegt wohl ein fundamentaler Irrtum vor was Dein Verständnis für Router und Firewalls betrifft. Zu Deiner Entlastung kann ich nur vorbringen, daß leider sehr viele so denken und teilweise Ihre ganzes Unternehmen hinter einen Router packen. Weisst Du welche Hintertürchen ein Hersteller wirklich eingebaut hat? Oder ob der unterbezahlter Programmierer in China wirklich die notwendige Sorge beim zimmern der Firmware walten ließ? Hinter jeden Router gehört eine vernünftige Firewall, wo Ursprung und Ziel eines jedes IP-Pakets kontrolliert werden kann und wo ein IDS/IPS sofort dazwischen grätschen kann, wenn Anomalien auftreten. Und das alles nach den Regeln, die Du bestimmst und nicht irgendjemand sonst, am Ende möglicherweise irgendein Unternehmen oder Staat, der sich seine Hintertürchen wahren will. Wer zum Beispiel den UTM Dreck von Fortinet einsetzt, gibt nicht nur sein eigenes Surfverhalten sondern auch das aller seiner Mitarbeiter in einem Firmennetz an die Werbeindustrie weiter, durch die Fortinet AGB abgesegnet. Bin schon gespannt auf die EU-DSGVO kommendes Jahr.

Ein Fehler bei der Implementierung von Flugmanövern und zack schlägt man im Boden ein. Life is dangerous.

Auch dieser analoge Vergleich hinkt. Beim Crash sind im worst-case "nur" meine Passagiere und meine Wenigkeit betroffen. Bei einem gekaperten Router, Smartphone oder einer WebCam hingegen wirst Du zum Teil eines Großen DDOS Angriffes. Es handelt sich um eine Massenvernichtungswaffe wie eindrucksvoll bei Notpetya gesehen. Jemand anderes hat die Kontrolle über Dein digitales Leben übernommen. Begreifbar wird das für die meisten erst dann, wenn z.B. die privaten Kontakt- und Kundendaten aus Deinem Adressbuch gestreut werden. Wie steht es um Dein Vertrauen bei Deinen Mitmenschen, wenn jemand von Deinem Gerät mit Deiner Email eine Nachricht erhält, im sauberen deutsch geschrieben mit persönlicher Anrede und der Bitte "schau Dir bitte das hier an, ich rufe Dich gleich an". Wer ist dann der Schuldige, wenn derjenige wirklich drauf klickt und so eine Firma mit einem Verschlüsselungstrojaner beglückt, die wochenlang nicht produzieren kann?

Die kann die Bilder auf einen FTP-Server hochladen, oder man wählt sich per VPN ein. Letzteres wird von mir praktiziert.

Sorry, wer heute noch FTP benutzt, der braucht mir nicht wirklich versuchen Begriffe oder Funktionsweisen zu erklären.

Panikmache. Jeder hat bei dem Zeugs selbst in der Hand, die Erreichbarkeit und den Netzzugriff adäquat einzuschränken. Drucker, Webcam, IoT-Zeugs stecken bei mir im Embedded-VLAN ohne Internetzugriff, Streamingsticks im Gäste-Internet-VLAN ohne Zugriff auf die anderen internen Netze.

Und das stimmt genau NICHT! Du hast rein gar nichts in der Hand sondern musst den Aussagen eines Herstellers vertrauen, der in den meisten Fällen gar keine Softwarepflege betreibt und im Grunde alles egal ist, was außerhalb der Incoterms liegt. Während Du bei einem analogen Produkt noch nach äußeren Merkmalen auf Qualität, Stabilität oder Lebensdauer schliessen kannst klappt das in der digitalen z.B. mit einem Algorithmus nicht. Die digitale Welt ist höchst intransparent und voll von ver-nudgten und mit allen Tricks der Werbewirtschaft gespickten Falschaussagen. Open-Source Software und die Möglichkeit ein System selbst patchen zu können sind Qualitätsmerkmale, das leider nur wenige anbieten weil sie mangels Größe und Kompetenz alles unter Verschluß halten wollen und lieber Ihr eigenes Branding auf den Geräten sehen wollen. Eben genau deswegen existiert ein Smartphone-Markt wo nur 3% aller Androiden die aktuelle Betriebssystemversion nutzen.

Bottomline: Das Mitteilen bis wann ein Produkt mit Softwareupdates gepflegt wird fördert die Transparenz und stellt ein Qualitätsmerkmal dar. In Zeiten wo das Leben immer mehr digital wird und jeder seinen persönlichen digitalen Assistenten mit sich herumträgt und eine immer bessere KI beginnt für uns im Hintergrund Dinge zu übernehmen wie z.B. Autos und Flüge zu buchen, Waren einzukaufen, eine Wohnung zu heizen oder den Mitmenschen Nachrichten und Sachverhalte zukommen zu lassen, brauchen wir diese Transparenz mehr denn je.

Ohne spoilern zu wollen: Dan Brown hat dieses Thema literarisch in seinem jüngsten Buch Origin sehr schön verpackt, echt lesenswert!

und während wir uns hier in höchsten technischen Sphären bewegen passiert still und heimlich das hier:

https://augengeradeaus.net/2017/10/kein-einziges-deutsches-u-boot-faehrt-mehr/

Vor 75 Jahren operierten noch hunderte deutsche U-Boote gleichzeitig und weltweit... auch eine Art Fortschritt und Werbung für den High-Tech Standort Deutschland.

Deine Argumente triefen leider nur so von technisch nicht nachvollziehbaren Annahmen (Router mit integrierter Firewall sind unsicher?), unpassenden Vergleichen ("Kontrolle über digitales Leben verloren"), aus der Luft gegriffenen Schlussfolgerungen (FTP) und Herumreiten auf Spitzfindigkeiten ("fundamentaler Irrtum" bei Routern und Firewalls). Da hilft auch das Festhalten an weltfremden Geschwurbel über Massenvernichtungswaffen nicht mehr. Du drehst dir deine Argumente immer wieder so zurecht, wie es dir gerade in den Kram passt. Gleiches Schema wie bei den Umkehrkurven.

Ich habe gesagt, dass potentiell unsichere Geräte in geschützten Netzen ein vernachlässigbares Risiko sind, solange das Filtergerät (bei Heimanwendern der Router) auf aktuellem Softwarestand ist (Hersteller wie AVM sind darin gut) und die Geräte den Müll aus dem Internet nicht abbekommen. Dann stellst du die Behauptung auf, vom Hersteller gut gepflegte Router seien unsicher und mit Hintertüren. Dass deine gesamte Argumentation für ein Ablaufdatum aller Geräte wie ein Kartenhaus zusammenbricht, weil du beliebigen Geräten Hintertüren unterstellst, merkst du selbst, oder?

Hinter jeden Router gehört eine vernünftige Firewall, wo Ursprung und Ziel eines jedes IP-Pakets kontrolliert werden kann und wo ein IDS/IPS sofort dazwischen grätschen kann, wenn Anomalien auftreten. Und das alles nach den Regeln, die Du bestimmst und nicht irgendjemand sonst, am Ende möglicherweise irgendein Unternehmen oder Staat, der sich seine Hintertürchen wahren will.

Jaja, du lötest wie bei den bereits erwähnten VDSL-Modems deine Prozessoren und Ethernet-PHYs/-MACs, Wifi-Radios und sonstige Netzwerkschnittstellen mit Zugriff auf den Systembus dieser "vernünftigen Firewalls" auch garantiert selbst zusammen. So wie dein Smartphone mitsamt Basisband, oder etwa nicht? Obwohl ein Herr Jakobs wohl auch wie jeder andere Mensch ab und zu Fehler produzieren dürfte.

der braucht mir nicht wirklich versuchen Begriffe oder Funktionsweisen zu erklären

Ja, ich vergaß, bei jemandem mit bekannten Resistenzen braucht man wirklich nicht versuchen, etwas zu erklären, kommt nicht wieder vor. Er hat ja, so sicher wie er sich fühlt, im Vergleich zu meinem vernachlässigbaren CCNA wohl hunderte Zertifikate zu Netzwerksicherheitsthemen.

Ich habe gesagt, dass potentiell unsichere Geräte in geschützten Netzen ein vernachlässigbares Risiko sind, solange das Filtergerät (bei Heimanwendern der Router) auf aktuellem Softwarestand ist (Hersteller wie AVM sind darin gut) und die Geräte den Müll aus dem Internet nicht abbekommen. Dann stellst du die Behauptung auf, vom Hersteller gut gepflegte Router seien unsicher und mit Hintertüren. Dass deine gesamte Argumentation für ein Ablaufdatum aller Geräte wie ein Kartenhaus zusammenbricht, weil du beliebigen Geräten Hintertüren unterstellst, merkst du selbst, oder?

Sorry leider vollkommen daneben. Von der persönliche Anmache bei eigener Argumentationsarmut abgesehen.

• ein dummer Router/Firewall am allerwenigsten ein AVM Gerät mit in der Regel offenen Ports 80,443 merkt von einem kompromitierten Gerät nichts. Wie gesagt Dir scheint der Unterschied zwischen Router und Firewall nicht bekannt zu sein oder kannst Du mit GeoIP alles östlich vom Baltikum und südlich von Italien in Deiner AVM Fritzbox wegblocken oder mit einem IDS/IPS und SNORT Regeln umgehen?
• Selbstverständlich ist ein einzelnes Gerät in vorderster Linie, wo neben Telefonie, WLAN, Switch noch zahlreiche andere Dienste und Services mitlaufen einfacher und schneller gehackt. Und das beste dann, man steht mit einem Bein direkt im internen Netz wenn keine Firewall dazwischen ist. Nochmals zum Mitschreiben: Wer seinen Router von Telekom, Vodafone whatever direkt ins interne Netz hängt, der handelt fahrlässig.
• Hauptangriffsvektor ist zu 95% immer "von innen" meist durch Userm mit komprimitierten Rechnern oder eben durch verbaute und nicht mehr unterstütze Drecks-Hardware in Form von WebCams, Druckern mit Webservern NAS-Geräten. Die Meinung, daß eine Gefahr von Außen kommt zeugt - milde formuliert - von einem grob gestrickten Security-Verständnis. Zu meinen, potentiell unsichere Geräte im internen Netz bedenkenlos betreiben zu können, ist ebenfalls grob fahrlässig.
• Unverschlüsseltes FTP mit offen Kennwörtern nutzen und zugleich meinen mich in Sachen Security belehren zu müssen, selten so laut gelacht!

Ja, ich vergaß, bei jemandem mit bekannten Resistenzen braucht man wirklich nicht versuchen, etwas zu erklären, kommt nicht wieder vor. Er hat ja, so sicher wie er sich fühlt, im Vergleich zu meinem vernachlässigbaren CCNA wohl hunderte Zertifikate zu Netzwerksicherheitsthemen.

Das ist ja echt der Brüller, wenn das alles, was Du hier in Sachen Security von Dir gibst inkl. dem Abrutschen in die persönliche Anmache das Ergebnis eines zertifizierten CCNA sein soll, dann verwundert mich nichts mehr. Leute, die sich hinter einem Zertifikat verstecken, süss.. werkelt an einem IOS mit dokumentierten NSA Hintertürchen herum und bezichtigt mich, daß ich Geräten dieses unterstelle... ist ja fast genauso witzig wie Möchte-Gern-Windows-Admins, die immer meinen wie toll sie sind weil sie mehr wie 100 Benutzer und 10 Server administrieren... bis ich denen dann zeige wie schnell ich an Ihre Passwörter gelange. Stichwort Mimikatz, aber das Tool ist Dir bestimmt völlig fremd Deinen Beiträgen nach zu urteilen.

Oh Gott, wer soll denn das alles lesen? Mach mal IR und gehe fliegen, bevor die Vereisungsgrenze sich zu weit absenkt ;-).

Aber danke für die Info über die Marine, passt genau in den Fred DWD Flugwetter App :-).

;-) Du hast Recht, wir geraten offtopic...

Und wann machst du IR?

Da muss er erst mal PPL haben und dann belehrt er und mit Umkehrkurve in einer CU bei Vereisungswarnungen mit 60 Grad bank weil man dann schneller wieder draussen ist. :-))

Wobei ich irgendwas munkeln hörte, das er PPL anfing...

Schade, ich hatte gerade schon Salzstangen und Schokocrossies besorgt...

Wo stand denn das mit der Kurve in CU und 60 Grad ?

Erik, das war ein Blick in die Zukunft, sofern unser "Forumsmasterfluglehrer" wirklich IFR macht und neue und "sichere" Vorschläge macht. Also quasi Science Fiction..... :-)))

...wäre ja insgesamt zu begrüßen, dann hört dieser Umkehrkurvenblödsinn von selbst auf. Die IR Ausbildung hat diesen besinnlichen Effekt. Und CBIR ist ja scheinbar sehr erfolgreich, Anzahl der IR Privatpiloten hat sich in einem Jahr verdoppelt !

Blubbdiblubb

Dein Gequatsche über Disqualifizierung von Ciscohardware wegen irgendwelcher Hintertüren bestätigt leider nur, dass du keinerlei Schimmer von großen Netzwerken hast. Deine tollen Eigenentwicklungen kannst du meinetwegen Arztpraxen oder sonstigen Kleinkunden, vermutlich inkl. teurem Supportvertrag, andrehen. Dummerweise ist dein toller Selbstbau-Firewallansatz ab einer bestimmten Schnittstellenbandbreite eine Sackgasse, weil man für die Routing- und Filtervorgänge Hardwaremodule in Form von ASICs benötigt - wenn wir schon von Großnetzen schwadronieren, um die es eigentlich nie ging.

bis ich denen dann zeige wie schnell ich an Ihre Passwörter gelange

Ja, dein Attribut sollte von GröULFLAZ (Größter UL-Fluglehrer aller Zeiten) auf GröULFLNeSeExAZ (Größter UL-Fluglehrer, Netzwerk-, Security Experte aller Zeiten) erweitert werden. Wir sind ja schließlich im Vergleich dazu alle Dummtrottel.

Dein Gequatsche über Disqualifizierung von Ciscohardware wegen irgendwelcher Hintertüren bestätigt leider nur, dass du keinerlei Schimmer von großen Netzwerken hast. Deine tollen Eigenentwicklungen kannst du meinetwegen Arztpraxen oder sonstigen Kleinkunden, vermutlich inkl. teurem Supportvertrag, andrehen. Dummerweise ist dein toller Selbstbau-Firewallansatz ab einer bestimmten Schnittstellenbandbreite eine Sackgasse, weil man für die Routing- und Filtervorgänge Hardwaremodule in Form von ASICs benötigt - wenn wir schon von Großnetzen schwadronieren, um die es eigentlich nie ging.

Soso Eigenentwicklungen, interessant habe zwar davon nichts geschrieben. Aber na gut mit Exaktheit, Lesen und Verstehen scheinst bei Dir im Moment vorbei zu sein, denn anscheinend bist Du getroffen und schlägst wild um Dich herum. Komm mal her zum Onkel TJ, setz Dich neben mich und laß' Dir kurz die Welt erklären. Dein tolles IOS basiert zum größten Teil auf den gleichen Open Source Sicherheitslösungen, die ich propagiere. Linux, IPCop, Squid, OpenSSL, Snort etc. Ironischerweise wurde erst kürzlich Sourcefire, Entwickler von Snort Ende der 90er Jahre und de facto Standard bei allem was mit IDS/IPS zu tun von Cisco übernommen. Auch wenn Cisco und Du es vehement bestreiten, die Backdoors sind dokumentiert und grundsätzliches Problem von jedem propietären Zeugs. Security by Obscurity hat noch nie funktioniert, aber manche lernen es halt nie. Darüberhinaus geht es gar nicht um Backdoors sondern um Patches und es ist pups egal, mit was irgendein Zeugs im Netz betrieben wird. Wenn es nicht vom Hersteller mit Patches versorgt wird, verursacht selbst Dein ungepatchter Apotheken-IOS-Cisco-Router aus dem Jahr 2005 sicherheitstechnisch ein mildes Lächeln bei einem, der sich ein wenig mit Cipher, Heartbleed und den entsprechenden Tools auskennt.

Bevor Du also noch mehr Einblicke in Dein profunden Nicht-Wissen zum Besten gibst und nunmehr auf die persönliche Schiene abrutschst, würde ein Innehalten und Nachdenken Dir eindeutig besser stehen.

In diesem Sinne, einen schönen Sonntag.

Gähn.... getroffene Hunde bellen am Lautesten. Und dann so viel Text im falschen Fred zu lesen, tststs ;-).

Komm TJ, rette die Welt und mache IR. Erik hat recht.

Die arme ATO........!

Wer seinen Router von Telekom, Vodafone whatever direkt ins interne Netz hängt, der handelt fahrlässig.

Klar kann man in Hausnetzen jede Menge Firewalling-Monitoring-IDS-Zusatzgerätschaften betreiben, nur kommt dummerweise Strom nicht einfach so aus der Steckdose.

Unverschlüsseltes FTP mit offen Kennwörtern nutzen und zugleich meinen mich in Sachen Security belehren zu müssen, selten so laut gelacht!

Es ist ja auch unheimlich schrecklich, die Bilder einer Außenkamera unverschlüsselt auf einen Server hochzuladen. Die Frage ist nur, wie viel furchtbarer es ist, seinen Abfall in den gelben Säcken vor der Entsorgung nicht zu verschlüsseln.

Dein tolles IOS basiert zum größten Teil auf den gleichen Open Source Sicherheitslösungen, die ich propagiere.

Auf ner ASA Firewall läuft kein IOS. Und alle Pakete in Software durch den IP-Stack zu werfen, wäre viel zu langsam.

und grundsätzliches Problem von jedem propietären Zeugs

Die schnellen Systeme für Großnetze gehen nun mal nur mit Hardware Processing Fabrics alias "propietären Zeugs".

Bevor Du also noch mehr Einblicke in Dein profunden Nicht-Wissen zum Besten gibs [...] würde ein Innehalten und Nachdenken Dir eindeutig besser stehen.

Deine selbstironischen Scherzchen bringen immer wieder ein Schmunzeln!

und nunmehr auf die persönliche Schiene abrutschst

"Denkfehler", "fundamentaler Irrtum". Wald & Schall.

...Open Source Sicherheitslösungen, die ich propagiere. Linux, IPCop, Squid, OpenSSL, Snort etc....

Nur, dass

• auch erst letztens ein großer Bug in OpenSSL geschlossen wurde
• insbesondere Linux (und Android) in ihrer WPA2-Implementierung noch leichter angreifbar sind als Windows oder macOS (und es für die meisten Android-Besitzer wohl für ihre "alten" Handys auch keine Updates geben wird)

und zusätzlich bei OpenSource-Produkten dass Risiko besteht, dass niemand einen Bug fixt, weil eben auch niemand dazu eine Verpflichtung hat. Das Risiko (auch wenn es üblicherweise nicht sehr hoch ist) erklärst Du hoffentlich Deinen Kunden?

Olaf

Nur, dass, auch erst letztens ein großer Bug in OpenSSL geschlossen wurde. Insbesondere Linux (und Android) in ihrer WPA2-Implementierung noch leichter angreifbar sind als Windows oder macOS (und es für die meisten Android-Besitzer wohl für ihre "alten" Handys auch keine Updates geben wird)

Du meine Güte wenn das Dein letzter Stand ist? Jeden Tag laufen CVEs und CERT-Bund über den Ticker mit duzendweise Bugs in irgendeiner Open-Source-Software. Das Schlimme dabei ist, dass Closed-Source eben nicht in Audits und durch Security-Experten und Kunden überprüfbar ist. Du scheinst den signifikanten Unterschied zwischen Full Disclosure und Security through Obscurity nicht verstanden zu haben.

und zusätzlich bei OpenSource-Produkten dass Risiko besteht, dass niemand einen Bug fixt, weil eben auch niemand dazu eine Verpflichtung hat. Das Risiko (auch wenn es üblicherweise nicht sehr hoch ist) erklärst Du hoffentlich Deinen Kunden?

Diese Aussage ist insofern falsch ist, weil das selbstverständlich ganz vom Projekt und Deiner Entscheidung abhängt. Du darfst gerne z.B. bei der Apache Foundation nachschauen, wie viele Projekte und Entwickler dahinter stecken. Oder in einschlägigen Bug-Trackern, wie schnell Pakete zur Verfügung gestellt werden. Im Gegenteil Closed-Source Unternehmen sitzen monate- oder jahrelang auf Ihrem Schrott, ja begreifen häufig gar nicht, was Ihnen die Security Experten vorlegen. Ich nenne als jüngstes Negativbeispiel die Software PC-WAHL. Am Ende hatte der CCC sogar Mitleid und hat Ihnen den Patch kostenlos gespendet.

Jepp PC-WAHL und die die Diesel-Softwaremanipulationen - Deutschlands einzige Beiträge zur Digitalisierung...

Dafür benutzt er dann die Analogie der Umkehrkurve: Tolles Video, geiler Hecht, braucht man zwar fast nie, wenn nur in einem engen Höhenband bei exzellentem Trainingszustand, aber wenn er kompetent rüberkommt - kann er brav weiter Rechnungen schreiben :-).

Du meine Güte wenn das Dein letzter Stand ist? Jeden Tag laufen CVEs und CERT-Bund über den Ticker mit duzendweise Bugs in irgendeiner Open-Source-Software.

Stimmt, aber ich muss mich damit nicht befassen. Daher habe ich nur die „dicken Brocken“ genannt. Meine Brötchen verdiene ich zwar auch in der Informatik, aber an anderer Stelle. Und zu Hause brauche ich das auch nicht, zumindest nicht in dieser Frequenz.

Olaf

Moin Olaf, ich muss in einer größeren Firma in Sachen Security vor allem OpenSSL, Apache sowie Java und Tomcat im Auge behalten (plus Bibliotheken). Zeitweise gab es die Tendenz, z.B. auf "SSL-Overloader" etc. auszuweichen. Oder die Idee, "Web-Application-Firewalls" für mehr Sicherheit einzusetzen.

Meine Wahrnehmung ist, dass diese Kombination der "Closed-Boxes" aus Hardware und Software i.d.R. auf den gleichen OpenSource-Bibliotheken basiert, aber nicht ansatzweise in der gleichen Geschwindigkeit wie z.B. eben eine neue OpenSSL-Version veröffentlicht ist, mit ihren Patches nachziehen. D.h., wer auf "Closed-Source"-Lösungen setzt (und der GPL-Verweis wird ja gerne vergessen), hat die gleichen Risiken wie bei "offenem" OpenSource (statt geklautem OpenSource), aber die neu entdeckten Scheunentore deutlich länger offenstehen.

Ist nur meine bescheidene Berufserfahrung der letzten 1-2 Jahrzehnte... Insofern bin ich da näher an TJ mit seiner Forderung nach langfristiger und zugleich schneller Patchversorgung - "Vendorlösungen" sind da eher eine Scheinsicherheit, und der Verweis auf OpenSSL von Dir trifft viel mehr Produkte, auf denen OpenSSL nicht offen draufsteht.

...wer auf "Closed-Source"-Lösungen setzt (und der GPL-Verweis wird ja gerne vergessen), hat die gleichen Risiken wie bei "offenem" OpenSource (statt geklautem OpenSource), aber die neu entdeckten Scheunentore deutlich länger offenstehen.

Absolut richtige Beobachtung. In diesem Zusammenhang fällt mir nur Fortinet ein, das sich schamlos an offener Software bedient, das eigene Branding und propietäres Deep-Inspection, Crypto- und Werbe-Zeugs hinzupappt und anschliessend den Mist als Enterprise-Security teuer verkauft.

Warum macht jemand sowas? Warum verschlechtert ein Unternehmen, das immer nur ein begrenztes Maß an Ressourcen haben kann, einfache und millionenfach bewährte Lösungen? Warum wurden z.B. mit SSL Interception verschlüsselte Verbindungen bewusst aufgebrochen, nur um diese dann fehlerbehaftet neu zu verschlüsseln? Die Antwort ist einfach: Kontrolle.

Kontrolle um künftig Produkte nicht nur anzubieten sondern einem ahnungslosen Kunden zwangsweise zu verkaufen. Denn eine Infrastruktur wechselt man nicht "mal eben". Besonders kriminell wird's bei den "Connected UTM" Cloud-Diensten, wo die eigenen Daten und Surfverläufe am Ende in den Händen von Datenverkäufern landen. Man kann Fortinet da noch nicht mal vorwerfen zu betrügen denn in deren AGBs und Privacy-Bestimmungen steht's schwarz auf weiß. Aber der typische, deutsche, mittelständische Michel mit seiner Bauernschläue vertraut lieber Hochglanzprospekten und einem Marketing/Nudging Geschätz. "Nein ein App-Whitelisting können wir nicht machen, das schränkt die Mitarbeiter zu sehr ein. Wir vertrauen lieber dem AV-Security-Schlangenölprodukt XYZ." oder "Welcher Hersteller steckt hinter Open-Source?".

Bitteschön, mache wollen eben leiden und lieber den schwierigen und schmerzhaften Lernprozess durchlaufen. Mir soll's sogar Recht sein, denn dann verstummen auch die elenden Diskussionen was Honor- und Tagessätze anbetrifft... zumindest für 4-6 Wochen nach einem Daten GAU. Schwarmdummheit nennt Günther Dueck sowas.

Apropo Günther Dueck und Fortinet-Zeugs. Benutzt irgendjemand hier privat oder für seine Firma für VPN und so unwichtigem Kram eine FortiGATE? Ungepatched? Der sollte längst seinem Dienstleister auf die Füsse getreten haben: DUHK Attack

Vor 75 Jahren operierten noch hunderte deutsche U-Boote gleichzeitig und weltweit... auch eine Art Fortschritt und Werbung für den High-Tech Standort Deutschland.

Du bist wirklich von allen guten Geistern verlassen. Ein viel besseres Beispiel für die strukturelle misalliance von technischem Sachverstand mit mangelndem Urteilsvermögen hättest Du kaum geben können.

... einfach mal den Stock aus dem Arsch nehmen. Wer Zynismus nicht erkennen kann und (bewusst) falsch zitiert, dem kann nicht mehr geholfen werden...