Aber auch das all Firmen potentiell "gefangen" sind auf unsichere Windows + Office Systeme.
Ich hab die Alternativen dazu bereits in der Praxis gesehen - und die sind nicht wirklich besser, zumindest aus Sicht der Leute, die beim Aufräumen helfen, wenn unweigerlich etwas passiert. Man kann über das Ökosystem von Microsoft sagen was man möchte, aber du bist im Regelfall zumindest nicht komplett aufgeschmissen, wenn du Forensik machen möchtest. Es gibt robustes, frei verfügbares Tooling dafür (dass es das Tooling gibt weil es so viele Sicherheitsvorfälle gibt bei denen genau der von dir beschriebene Technik-Stack zum Einsatz kommt .. andere Büchse der Pandora).
Wenn du Glück hast, dann ist unter Linux zentrales Logging aktiviert, vielleicht läuft sogar ein nicht komplett fehlkonfigurierter
auditd. Das war's aber auch schon. Memory Forensik? Da musst du Glück haben, dass ein passendes Profil für Volatility da ist. Unter macOS hast du eigentlich genau zwei Möglichkeiten. Du kannst entweder ernsthafte Mengen Geld für kommerzielle Software ausgeben oder über weiteste Teile aufgeben und versuchen, so viel wie möglich über Netzwerkforensik herauszufinden. Unter Windows bist du vor dem Angriff am Arsch. Bei anderen Betriebssystemen danach.
Aber hey, NIS2 wird das bestimmt alles besser machen.
Wird NIS2 alles besser machen? Nein, dafür ist die Situation aus den verschiedensten Gründen über die letzten zwanzig Jahre (fast schon fahrlässig) an die Wand gefahren worden. Aber NIS2 ist ein großer, wichtiger Schritt nach vorne. Ich bin in meinem Heimatland peripher(st) an der Umsetzung der NIS2-Richtlinie in nationales Recht "beteiligt" (aka ich höre regelmäßig die fliegenden Fetzen zwischen Jurist:innen und Techniker:innen). Und die Art und Weise, wie manche Branchen, Unternehmen, Organisationen und sogar Bundesländer mit Händen, Füßen und kreativsten Ausreden versuchen, sich aus der Verantwortung zu stehlen zeigt sehr deutlich, wie sehr die Dinge im Argen liegen.
Es gibt endlich absolute Mindeststandards für technische Sicherheitsmaßnahmen. Die im Rahmen unabhängiger, staatlicher Audits geprüft werden. Und nicht reine Papiertigerei wie ISO27001 und Konsorten, bei denen die zu auditierende Firma den Auditor zahlt - der sich natürlich das Geschäft nicht vermiesen will und dementsprechend höchst zahm ist. Es gibt endlich Meldepflichten, bei deren Verletzung tatsächlich spürbare Konsequenzen drohen Zum Vergleich: die einzig mir hierzulande bekannte verhängte Strafe wegen eines Verstoßes gegen NIS1 betrug 20 Euro. Nicht 20 Millionen, nicht 20.000. Zwanzig Euro.
Und auch für (vor allem) nationale CSIRTs, die in vielen Mitgliedsstaaten immer noch mit teilweise lächerlichen Problemen konfrontiert sind, weil es für das Konzept eines CERT / CSIRT keinerlei rechtliche Rahmenbedingungen gibt. Um ein Beispiel für die Lächerlichkeit zu bringen: Androhung von Beugehaft weil man den Melder einer Sicherheitslücke nicht preisgeben will. Oder Klagedrohungen wegen eines HEAD-Requests. Von der Finanzierung solcher Institutionen ganz zu schweigen. Bei weitem nicht alle Länder sind mit einem BSI gesegnet .. oder verflucht, wer weiß das schon.
NIS2 hat einen Haufen Probleme. Einen riesigen Haufen Probleme. Vor allem auch den unnötigen Bürokratieapparat, den sich manche Länder da heranzüchten. Aber ich bin froh, dass sich zumindest irgendwas in der Richtung bewegt, was nicht nur reine Lippenbekenntnisse sind.