Jump to content

Pitti259

Newbie
  • Content Count

    147
  • Joined

  • Last visited

Community Reputation

13 Neutral

About Pitti259

  • Rank
    Newbie
  • Birthday 09/25/1962

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Jetzt nochmals für die kleinen Dummies wie mich. Meine Annahme: Wenn ich eine Transportverschlüsselung mit mx.Zielserver.com initiiere, wandert meine E-Mail zwar über n andere Server, ist aber bis zum Zielserver verschlüsselt und kann auf den Zwischenstationen nicht gelesen werden. Richtig oder Falsch? Wenn ich testperson richtig interpretiere, würde immer nur zwischen den einzlnen Vermittlungsservern eine TLS aufgebaut. Auf den Zwischenstationen wäre also meine Mail lesbar.
  2. Damit rennst Du im Prinzip bei mir offene Türen ein. Aber an dieser Stelle habe ich das Problem, dass mein Mandant seinen Kunden (einige tausend Privatpersonen) E-Mails senden muss. 99% davon sind nur einfache personenbezogene Daten, eine Verpflichtung für die Ende zu Ende Verschlüsselung besteht nur für die besonderen Kategorien nach Art. 9 DSGVO. Jetzt versuch doch mal Lieschen Müller davon zu überzeugen sich ein S/Mime Zertifikat zuzulegen oder sich einen pgp Schlüssel zu erzeugen. Ja ich weiß, Austauschplattform. Macht mein Mandant bereits, jeder Kunde hat sein Kundenkonto und erhält nur eine E-Mail mit der Info über neue Messages. Ähnliches haben wir für die Geschäftsanbahnung probiert, eine Austauschplattform und nur den Link auf die jeweiligen Daten per Mail versandt. Die Auftragsabschlüsse brachen radikal ein. Keiner wollte das so haben. Auch verschlüsselte ZIPs mit Passwort über Handy wurden von den potentiellen Kunden nicht akzeptiert. Sch... aber auch, was willste da noch machen?
  3. Vorgabe der DSK: "Die Bezeichnung der zum Empfang autorisierten Mailserver und ihre IP-Adressen wurden auf Empfängerseite per DNSSEC signiert. Die Signaturen der DNS-Einträge werden auf Senderseite überprüft." Kann der Mail-Server dies prüfen? Wen das DSK-Papier interessiert: https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf Ciao Pitti
  4. Hallo allerseits, als technisch halbgebildeter Datenschützer muss ich mich mit einer Frage an euch wenden. Die Übertragung von E-Mails mit personenbezogenen Daten ist nur dann erlaubt, wenn neben der Transportverschlüsselung auch der Empfänger seine Adresse per DNSSEC zertifiziert hat. Kann ich als sendender Mail-Server denn prüfen, ob hier ein entsprechndes DNSSEC Zertifikat beim Empfänger vorhanden ist? Danke schon mal Pitti
  5. Neulich erlebt, die Office-Extensions sind alle blockiert, kommt eine rtf rein, ist aber nur mit der Extension rtf versehen und in Wirklichkeit eine docm, Word erkennt dies selbständig und führt die Datei als docm aus. Welche "sicheren" Dateitypen bleiben uns denn noch?
  6. @tesso Nun ja, die wenig genutzten Optionen beim E-Mail-Versand müssen hier berücksichtigt werden. Ich weiß, kein Mensch verwendet diese, aber es könnte ja sein... Die Weiterleitung im Krankheitsfall darf vom Admin nach Anforderung des jeweiligen Vorgesetzten eingerichtet werden, wenn allen Mitarbeitern im Vorfeld bekannt ist dass dies im Krankheitsfall so gemacht wird.
  7. Rein formal geht das Weiterleiten nur, wenn die Privatnutzung des E-Mail-Accounts ausgeschlossen ist. Und zwar mit Richtlinie von ganz oben und Veröffentlichung dass allen dies bekannt ist und stichprobenartigen Prüfungen auf Einhaltung. In der Richtlinie für die E-Mail-Nutzung (idealerweise auch als Betriebsvereinbarung mit dem Betriebsrat gestaltet) MUSS drin stehen, dass die Weiterleitung von E-Mails bei geplanter Abwesenheit durch den Anwender selbst vorgenommen wird und bei ungeplanter Abwesenheit dies vom jeweiligen nächsthöheren Vorgesetzten angeordnet wird. Selbst wenn alles eingehalten wird, sind wir noch nicht ganz aus der Schlinge. Ich empfehle E-Mails mit der Markierung "privat" oder "persönlich" nicht weiter zu leiten. Denn der Anwender kann ja nichts dagegen machen, wenn ihm jemand eine private Mail schreibt. Euer Sicherheitsfuzzi
  8. Leider lässt sich das Problem nur durch einen Rechnerneustart beheben. Browser-Neustart hilft nicht. Auch ein hin- und herschieben zwischen den Monitoren bringt nichts.
  9. Hallo Welt, der hier beschriebene Effekt trifft alle Arten von Internet-Browsern. Getestet mit Firefox, IE 11, Edge und Chrome. Alle anderen Arten von Programmen sind nicht betroffen. Keine Gemeinsamkeiten bei den AddOns erkennbar. Nach einem Neustart des Rechners dauert es ca. 1 Stunde, danach ist auf einem der beiden Bildschirme der obere Rand des Browsers, also die Menüzeile, die Lesezeichenleiste und die Adresszeile nur noch als weißer Balken vorhanden. Klickt man in diesen Balken hinein, selektiert man das jeweilige Objekt hinter dem Browser-Fenster. Über Tasten lassen sich alle Funktionen noch ansprechen. Geht man von Maximaler Darstellung auf geringere Fenstergröße ist der Effekt weg. Ich kann die Browser also quasi bildschirmfüllend fahren, wenn ich auf den Vollbildmodus verzichte. Auf dem zweiten, kleineren Bildschirm funktioniert alles bestens. Das Problem ist nur auf einem Bildschirm vorhanden. Mit welchem Patch-Level dies möglicherweise eintrat lässt sich jetzt leider nicht mehr sagen. Das Ganze sieht ja sehr nach Hardwareproblem der Grafikkarte aus, aber warum nur für die verschiedenen Internet-Browser und nicht für alle anderen Programme? Das ist doch nicht logisch. Wer hat eine Idee? Ciao Pitti
  10. Frage: Was wird auf diesem Server laufen? Welche Anwendung erfordert dort welchen Schutzbedarf? Wie vertraulich sind die Daten die dort gehandelt werden? Wie wichtig ist die Verfügbarkeit dieser Daten für das Unternehmen? Welcher Schaden würde entstehen, wenn die Daten verfälscht würden? Wenn der mögliche Schaden für das Unternehmen klar ist, kann auch eine Entscheidung für deren Schutz getroffen werden. Und dann kann auch entschieden werden ob man dafür Geld ausgeben möchte oder nicht.
  11. Die Nichtabstreitbarkeit kommt zum Einen aus den Grundsätzen ordnungsgemäßer Buchführung, zum Anderen aus der DSGVO. Wenn ich das richtig sehe, ist die Authentizität der Daten bzw. die Nichtabstreitbarkeit für Datenerfassung und -veränderung an dieser Stelle nicht wirklich relevant.
  12. Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte.
  13. Nicht ganz, habe ein bisschen 27001 native reingemischt... Aber Danke für das "wunderbar".
  14. Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität. Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept. Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen.
×
×
  • Create New...