Jump to content

Pitti259

Members
  • Content Count

    142
  • Joined

  • Last visited

Community Reputation

13 Neutral

About Pitti259

  • Rank
    Newbie
  • Birthday 09/25/1962

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. @tesso Nun ja, die wenig genutzten Optionen beim E-Mail-Versand müssen hier berücksichtigt werden. Ich weiß, kein Mensch verwendet diese, aber es könnte ja sein... Die Weiterleitung im Krankheitsfall darf vom Admin nach Anforderung des jeweiligen Vorgesetzten eingerichtet werden, wenn allen Mitarbeitern im Vorfeld bekannt ist dass dies im Krankheitsfall so gemacht wird.
  2. Rein formal geht das Weiterleiten nur, wenn die Privatnutzung des E-Mail-Accounts ausgeschlossen ist. Und zwar mit Richtlinie von ganz oben und Veröffentlichung dass allen dies bekannt ist und stichprobenartigen Prüfungen auf Einhaltung. In der Richtlinie für die E-Mail-Nutzung (idealerweise auch als Betriebsvereinbarung mit dem Betriebsrat gestaltet) MUSS drin stehen, dass die Weiterleitung von E-Mails bei geplanter Abwesenheit durch den Anwender selbst vorgenommen wird und bei ungeplanter Abwesenheit dies vom jeweiligen nächsthöheren Vorgesetzten angeordnet wird. Selbst wenn alles eingehalten wird, sind wir noch nicht ganz aus der Schlinge. Ich empfehle E-Mails mit der Markierung "privat" oder "persönlich" nicht weiter zu leiten. Denn der Anwender kann ja nichts dagegen machen, wenn ihm jemand eine private Mail schreibt. Euer Sicherheitsfuzzi
  3. Leider lässt sich das Problem nur durch einen Rechnerneustart beheben. Browser-Neustart hilft nicht. Auch ein hin- und herschieben zwischen den Monitoren bringt nichts.
  4. Hallo Welt, der hier beschriebene Effekt trifft alle Arten von Internet-Browsern. Getestet mit Firefox, IE 11, Edge und Chrome. Alle anderen Arten von Programmen sind nicht betroffen. Keine Gemeinsamkeiten bei den AddOns erkennbar. Nach einem Neustart des Rechners dauert es ca. 1 Stunde, danach ist auf einem der beiden Bildschirme der obere Rand des Browsers, also die Menüzeile, die Lesezeichenleiste und die Adresszeile nur noch als weißer Balken vorhanden. Klickt man in diesen Balken hinein, selektiert man das jeweilige Objekt hinter dem Browser-Fenster. Über Tasten lassen sich alle Funktionen noch ansprechen. Geht man von Maximaler Darstellung auf geringere Fenstergröße ist der Effekt weg. Ich kann die Browser also quasi bildschirmfüllend fahren, wenn ich auf den Vollbildmodus verzichte. Auf dem zweiten, kleineren Bildschirm funktioniert alles bestens. Das Problem ist nur auf einem Bildschirm vorhanden. Mit welchem Patch-Level dies möglicherweise eintrat lässt sich jetzt leider nicht mehr sagen. Das Ganze sieht ja sehr nach Hardwareproblem der Grafikkarte aus, aber warum nur für die verschiedenen Internet-Browser und nicht für alle anderen Programme? Das ist doch nicht logisch. Wer hat eine Idee? Ciao Pitti
  5. Frage: Was wird auf diesem Server laufen? Welche Anwendung erfordert dort welchen Schutzbedarf? Wie vertraulich sind die Daten die dort gehandelt werden? Wie wichtig ist die Verfügbarkeit dieser Daten für das Unternehmen? Welcher Schaden würde entstehen, wenn die Daten verfälscht würden? Wenn der mögliche Schaden für das Unternehmen klar ist, kann auch eine Entscheidung für deren Schutz getroffen werden. Und dann kann auch entschieden werden ob man dafür Geld ausgeben möchte oder nicht.
  6. Die Nichtabstreitbarkeit kommt zum Einen aus den Grundsätzen ordnungsgemäßer Buchführung, zum Anderen aus der DSGVO. Wenn ich das richtig sehe, ist die Authentizität der Daten bzw. die Nichtabstreitbarkeit für Datenerfassung und -veränderung an dieser Stelle nicht wirklich relevant.
  7. Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte.
  8. Nicht ganz, habe ein bisschen 27001 native reingemischt... Aber Danke für das "wunderbar".
  9. Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität. Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept. Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen.
  10. Ich fürchte mit einer Software Restriction Policy werden wir nicht besonders weit kommen. Die "bösen" Angebote im Internet, bestes Beispiel sei Salesforce, können ganz einfach über den Browser bedient werden. Die Daten werden über verschlüsselte Verbindungen rauf und runter geladen, was dann im eigenen Netz so landet oder welche Daten umgekehrt bei der Konkurrenz landen, darauf hat der eigenen Admin dann keinen Einfluss mehr. Diese Schatten-IT macht meinen Kunden viel mehr Sorgen als Dropbox. Meiner Ansicht nach, können wir solches Verhalten nur durch ein Data Leackage Prevention verhindern. Ist aber vom Einführungsaufwand so gigantisch, dass eine Kosten-/Nutzen-Rechnung meist dagegen spricht. Als kostenneutralen Ansatz, könnte man in den vorhandenen Verfahren den massenhaften Datenabzug unterbinden, so dass die Schatten-IT nur schlecht mit Produktivdaten gefüttert werden kann. Dropbox und Co. sehe ich eigentlich als beherrschbar an, ein bisschen Software Restriction Policy mit einigen Firewall-Blacklist-Einstellungen sollten hier helfen.
  11. Guten Morgen allerseits, ja, die IMAP liegen bei verschiedenen Anbietern. Outlook Version 1806 Build 1022820104. Suchmaschinen haben mir keine Problemlösung geliefert. Ciao Pitti
  12. Hallo Welt, habe mal wieder ein mysteriöses Problem. Auf einem Windows 10 Rechner mit Office 365 und Outlook 365 sind mehrere E-Mail-Accounts eingerichtet. Ein Exchange und verschiedene IMAPs. Beim Senden läuft alles wie erwartet, die gesendeten E-Mails landen im zugehörigen Ordner. Nun stelle ich durch Zufall fest, dass einige E-Mails nicht ankamen. Also nochmals gesendet, anderen Account verwendet, wieder nichts. Andere E-Mails gehen ganz normal raus und kommen auch an. Auf einem anderen Rechner das Outlook hochgefahren, siehe da, in den IMAP- und Exchange-Ordnern für gesendete Objekte sind die E-Mails, die nicht ankamen auch gar nicht vorhanden. Von diesem anderen Rechner aus, gehen auch alle E-Mails problemlos raus (selbe Firewall). Liegt also eindeutig an meinem Hauptrechner. Lokale Firewall weißt jede Schuld von sich, keine Protokolleinträge für E-Mails. Die Frechheit ist, dass das Outlook auf meinem Hauptrechner auch nach Neustart noch behauptet, die E-Mails wären rausgegangen. Wie das bei einem IMAP-Ordner für gesendete Objekte möglich ist, dass auf zwei Rechnern hier verschiedene Auflistungen erfolgen, ist mir schleierhaft. Hoffentlich kennt einer von euch das Problem oder hat eine Idee... Ciao der Sicherheitsfuzzi
  13. Hallo Stoffl, welchen Standard ihr verwendet, kommt ganz enorm darauf an was ihr damit erreichen wollt. Dienstleistungen für Behörden, dann solltet ihr ISO 27001 auf Basis IT-Grundschutz anwenden. Die native wäre nur die halbe Miete. Der große Vorteil ist, dass das GS-Kompendium (nachfolger der GS-Kataloge) euch genauer aufzeigt was zu tun ist. Den Grundschutz alt (Standards der 100er Reihe) solltest Du nicht mehr anwenden. Wenn ihr jetzt anfangt, könnt ihr in zwei Jahren die Zertifizierung angehen. Bis dahin gibt es den alten Standard nur noch für Altzertifizierte. Die ISO 27001 native lässt euch zwar mehr Freiraum, aber diesen Freiraum müsst ihr dann auch richtig füllen. Nicht ganz einfach. Zur Zertifzierung: Die ISO 27001 auf Basis IT-Grundschutz kann nur das BSI zertifizieren, ihr benötigt allerdings einen Auditor vom freien Markt (z.B. mich). Die ISO 27001 native können diverse DAkkS zertifizierte Unternehmen des freien Marktes durchführen. Du bezahlst diese und bekommst von denen einen Auditor hingesetzt. Je nach Zertifzierer ist die Zertifzierung einfach (gekauft) oder schwierig (weil korrekt durchgeführt). Die Vorbereitung kannst Du sicherlich alleine durchziehen, ich würde Dir aber für ein Coaching durch einen erfahrenen Berater raten. Das ISMS aus dem Hut zu zaubern hat nun mal was mit Magie Erfahrung zu tun. Beantwortet das Deine Fragen? Ciao Pitti (ISO 27001 auf Basis IT-Grundschutz Auditor und IS-Revisor und Kritis §8 Prüfer und und und [Angebermodus aus])
  14. Das Ziel muss sein, den Aufwand für die Entschlüsselung der Informationen so hoch zu treiben, dass er den Gewinn daraus übersteigt. Also, wie ist der Schutzbedarf der Informationen? Sind es firmenvertrauliche Informationen, personenbezogene Daten, besonders schützenswerte pers. Dat.? AES256 ist durchaus nicht schlecht als Verschlüsselung. Wie lang ist das Passwort? Welche Regeln (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen) gelten für das PW? Sorry, Deine Frage ist einfach zu globalgalaktisch gestellt.
×
×
  • Create New...