Jump to content

Pitti259

Members
  • Gesamte Inhalte

    159
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Pitti259

  1. Also, eure Fragen: Der Kunde war und ist echt, habe parallel zu den Mail-Problemen mit ihm telefoniert. Bis 07.02. ging alles wunderbar, diese Woche dann nicht mehr. Der Kunde hatte zwischen dem 07.02. und dem 12.02. nichts an der Konfiguration geändert. Als er dann auf meinen Hinweis hin die S/Mime-Bestätigung aus dem Profil rausnahm, konnten wir wieder bestens verschlüsselt kommunizieren. Mit der Fehleranzeige im Event-Log kam ich leider nicht weiter. Name der fehlerhaften Anwendung: OUTLOOK.EXE, Version: 16.0.17231.20194, Zeitstempel: 0x65bb0b80 Name des fehlerhaften Moduls: exsec32.dll, Version: 16.0.17231.20036, Zeitstempel: 0x659b9359 Ausnahmecode: 0xc0000005 Fehleroffset: 0x00018aea Doch doch, ich bin des googlen mächtig. Half mir leider nicht weiter.
  2. Hallo Welt, im Rahmen von MS365 beziehen wir von MS den Exchange-Service. Heute bekomme ich S/Mime verschlüsselte E-Mails von einem, seit langem mit uns verschlüsselt kommunizierenden Kunden. Auf erstem Rechner schmiert outlook sofort ohne Meldung ab, auf anderem Rechner sah es erst mal gut aus, dann fragt outlook "... eine S/Mime Bestätigung senden", nach Bestätigung ist Outlook wech. In beiden Fällen ist nicht mal mehr ein Hintergrundprozess übrig, Outlook ist einfach geschlossen. Auch im geschützten Modus ergibt sich selbiges Bild. Ältere verschlüsselte Nachrichten lassen sich problemlos öffnen und entschlüsseln, daher ist es wohl die S/Mime-Bestätigung. Leider merkt sich Outlook irgendwo, dass man automatisch eine S/Mime-Bestätigung auslösen möchte. Diese Einstellung finde ich nirgends, kann diese also nicht abschalten. Hat jemand eine Idee? Ciao Pitti
  3. Der grundsätzliche Unterschied zwischen native und BSI ist, dass die Risikoanalyse beim BSI nach hinten geschoben wurde. Das BSI sagt, wenn Du die Vorgehensweise nach 200-1 (ISMS) und 200-2 (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung und Grundschutzcheck) umgesetzt hast, dann hast Du ein zertifizierbares Sicherheitsniveau erreicht. Außer, Du hättest einen erhöhten Schutzbedarf, dann muss eine Risikoanalyse erfolgen um die Restrisiken zu identifizieren und ein Risikobehandlungsplan für die identifizierten Risiken erstellt werden. Die Risikoanalysen kannst Du dann nach 200-3 machen, oder nach 27005, oder nach eigener Senfsoße. Den 200-4 brauchst Du nicht beachten, der ist nicht zeritifizierungsrelevant. Deine Firma will vermutlich die ISO 27001 auf Basis IT-Grundschutz, weil bei Ausschreibungen im öffentlichen Bereich zukünftig ohne BSI-Zertifizierung des Auftragnehmers keine Klo-Reparatur mehr von Behörden beauftragt wird. Zu Deutsch, der Drops ist gelutsch und Du musst mit. Außer ihr seid nicht im öffentlichen Bereich unterwegs, dann leg Dir mal ein paar Argumente gegen den Grundschutz zurecht. Ciao Pitti (seit 2003 als Grundschutz-Fuzzi unterwegs)
  4. In der .reg den Schreibfehler bei Powerpoint beachten. Richtig ist Powerpnt.exe statt PowerPoint.exe.
  5. Habe heute erstmals so eine E-Mail im Outlook erhalten. Mit Ctrl.a und Ctrl.c nach Notepad gebracht und dort gut lesen können. Kommt so was jetzt öfters?
  6. Unterschiedlich, je nach Bundesland oder Bund. Beim Bund ist es der UP-Bund. Bei den Ländern z.B. Bayerisches-eGovernment-Gesetz, Baden-Württemberg, E-Government-Gesetz NRW ...
  7. Das kommt jetzt ein bisschen drauf an, was das Ziel der Kompendium-Umsetzung ist. Die Anforderung APP.2.2.A5 ist eine Basis-Anforderung, d.h. die in der Anforderung mit MÜSSEN angeführten Punkte, müssen für eine Zertifizierung umgesetzt werden. Sonst darf ich als Auditor die Zertifizierung nicht empfehlen. Bei der Erfüllung der Anforderung sind wir frei, die Umsetzungsempfehlungen des BSI sind nur Empfehlungen. Worauf will ich hinaus? Für eine Steigerung der Sicherheit meiner Systeme kann ich das Grundschutzkompendium als Katalog hernehmen und mir raussuchen was mir sinnvoll erscheint. Ist das Ziel aber eine Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz, dann fehlt mir diese Freiheit. Die Anforderungen, vor allem die Basis-Anforderungen müssen bedient werden. Ach ja, handelt es sich um eine Bundes- oder Landesbehörde, so ist die Umsetzung des GS-Kompendiums für die eingesetzte IT gesetzlich vorgeschrieben. Da befinden wir uns dann in einer Zwittersituation, weil zwar die Anforderungen stringent beachtet werden müssen, aber die Umsetzung der Anforderung auch für, na sagen wir mal übernächstes Jahr eingeplant werden kann. Ciao Pitti
  8. Hallo Welt, nach 20 Jahren verschlüsselter Mail-Kommunikation sollte eigentlich alles so weit geklärt sein, weit gefehlt. Einstellung in meinem Outlook, sämtliche E-Mails werden per S/Mime signiert und verschlüsselt. Ich schreibe eine neue E-Mail. Da ich noch zusätzliche Informationen benötige, speichere ich zwischendurch mal. Beim späteren Senden sagt mir Outlook, kein Empfängerzertifikat, also wird verschlüsseln abgewählt. E-Mail geht raus. Rückmeldung aller Empfänger, E-Mail nicht lesbar. Auch potentiell mit S/Mime Zertifikat bekannte Empfänger sind davon betroffen. E-Mail im gesendet Ordner, nicht lesbar, "Der Name ihrer digitalen ID kann im zugrundeliegenden Sicherheitssystem nicht gefunden werden". Wenn ich vor dem Speichern die Verschlüsselung UND die Signatur abwähle, tritt der Effekt nicht auf. Aber bereits die Signatur alleine reicht dafür aus. Mein Freund Google ist auch ratlos, oder ich bin zu doof zum suchen. Kennt einer von euch diesen Effekt? Ciao Pitti
  9. Ja, das hat sie im Augenblick. Aber wie das nun mal nach gescheiterten Beziehungen so ist, will der Herr sie komplett loswerden. Wie bekommt sie also den E-Mail-Account transferiert?
  10. Hallo Welt, eine Freundin betreibt als Einzelperson ein winzig Business. Sie nutzt eine, mir vom Lizenzstatus her unbekannte MS365 Lizenz ihres neuerdings Ex-Lebensgefährten. Da muss sie nun raus. Ihr Bruder hat eine MS365 Family Lizenz, da will sie jetzt rein. Das Problem ist ihr beruflicher E-Mail-Account, der auf dem Exchange ihres Ex läuft. Wie bekommt sie ihren E-Mail-Account ohne große Unterbrechung von einer Lizenz zur Anderen? Danke schon mal. Pitti
  11. Hallo Welt, kann mir einer von euch erklären, warum die Sandbox seit dem letzten Windows-Update ohne Admin-PW-Abfrage startet? Danke und Ciao Pitti
  12. Jetzt mal langsam. Die Mail-Archivierung wird aufgrund gesetzlicher Vorgaben gemäß Abgabenordnung gemacht. D.h. die Archivierung muss jeglichen rechnungslegungsrelevanten Beleg umfassen. Da eine manuelle Einordnung von E-Mails in das jeweilige Archiv sehr fehlerbehaftet ist, die Entscheidung was rechnungsrelevante ist und was nicht ist kein Zuckerschlecken aber die nachträgliche Archivierung dedizierter E-Mails ist durchaus erlaubt, werden normalerweise alle ein-und ausgehenden E-Mails ins schwarze Loch namens Mail-Archiv geschoben. Dort können sie verrotten. Die Wirtschaftsprüfer und die Steuerbehörden haben dann das Recht, bestimmte, einem betriebswirtschaftlichen Vorgang zuordenbare Mails mit rechnungslegungsrelevanten Informationen aus dem Archiv zu erhalten. So weit hat der Datenschutz noch nichts zu sagen. Eine anderweitige Auswertung der archivierten Mails ist eine andere Qualität. Ist die Privatnutzung des Mail-Accounts bei euch erlaubt, wäre jeder Zugriff auf das Mail-Archiv absolut tabu. Nannte man mal Postgeheimnis. Ist die Privatnutzung nicht erlaubt, kommt es auf den Zweck der Auswertung an. Zu Deiner Frage, es gibt einige Behörden, die sich um die Führerschaft hier streiten. Am stärksten ist das Finanzamt, dann die Datenschutzaufsicht, dann die Gewerbeaufsicht... Was ist der Hintergrund Deiner Frage nach den Behörden?
  13. Jetzt nochmals für die kleinen Dummies wie mich. Meine Annahme: Wenn ich eine Transportverschlüsselung mit mx.Zielserver.com initiiere, wandert meine E-Mail zwar über n andere Server, ist aber bis zum Zielserver verschlüsselt und kann auf den Zwischenstationen nicht gelesen werden. Richtig oder Falsch? Wenn ich testperson richtig interpretiere, würde immer nur zwischen den einzlnen Vermittlungsservern eine TLS aufgebaut. Auf den Zwischenstationen wäre also meine Mail lesbar.
  14. Damit rennst Du im Prinzip bei mir offene Türen ein. Aber an dieser Stelle habe ich das Problem, dass mein Mandant seinen Kunden (einige tausend Privatpersonen) E-Mails senden muss. 99% davon sind nur einfache personenbezogene Daten, eine Verpflichtung für die Ende zu Ende Verschlüsselung besteht nur für die besonderen Kategorien nach Art. 9 DSGVO. Jetzt versuch doch mal Lieschen Müller davon zu überzeugen sich ein S/Mime Zertifikat zuzulegen oder sich einen pgp Schlüssel zu erzeugen. Ja ich weiß, Austauschplattform. Macht mein Mandant bereits, jeder Kunde hat sein Kundenkonto und erhält nur eine E-Mail mit der Info über neue Messages. Ähnliches haben wir für die Geschäftsanbahnung probiert, eine Austauschplattform und nur den Link auf die jeweiligen Daten per Mail versandt. Die Auftragsabschlüsse brachen radikal ein. Keiner wollte das so haben. Auch verschlüsselte ZIPs mit Passwort über Handy wurden von den potentiellen Kunden nicht akzeptiert. Sch... aber auch, was willste da noch machen?
  15. Vorgabe der DSK: "Die Bezeichnung der zum Empfang autorisierten Mailserver und ihre IP-Adressen wurden auf Empfängerseite per DNSSEC signiert. Die Signaturen der DNS-Einträge werden auf Senderseite überprüft." Kann der Mail-Server dies prüfen? Wen das DSK-Papier interessiert: https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf Ciao Pitti
  16. Hallo allerseits, als technisch halbgebildeter Datenschützer muss ich mich mit einer Frage an euch wenden. Die Übertragung von E-Mails mit personenbezogenen Daten ist nur dann erlaubt, wenn neben der Transportverschlüsselung auch der Empfänger seine Adresse per DNSSEC zertifiziert hat. Kann ich als sendender Mail-Server denn prüfen, ob hier ein entsprechndes DNSSEC Zertifikat beim Empfänger vorhanden ist? Danke schon mal Pitti
  17. Neulich erlebt, die Office-Extensions sind alle blockiert, kommt eine rtf rein, ist aber nur mit der Extension rtf versehen und in Wirklichkeit eine docm, Word erkennt dies selbständig und führt die Datei als docm aus. Welche "sicheren" Dateitypen bleiben uns denn noch?
  18. @tesso Nun ja, die wenig genutzten Optionen beim E-Mail-Versand müssen hier berücksichtigt werden. Ich weiß, kein Mensch verwendet diese, aber es könnte ja sein... Die Weiterleitung im Krankheitsfall darf vom Admin nach Anforderung des jeweiligen Vorgesetzten eingerichtet werden, wenn allen Mitarbeitern im Vorfeld bekannt ist dass dies im Krankheitsfall so gemacht wird.
  19. Rein formal geht das Weiterleiten nur, wenn die Privatnutzung des E-Mail-Accounts ausgeschlossen ist. Und zwar mit Richtlinie von ganz oben und Veröffentlichung dass allen dies bekannt ist und stichprobenartigen Prüfungen auf Einhaltung. In der Richtlinie für die E-Mail-Nutzung (idealerweise auch als Betriebsvereinbarung mit dem Betriebsrat gestaltet) MUSS drin stehen, dass die Weiterleitung von E-Mails bei geplanter Abwesenheit durch den Anwender selbst vorgenommen wird und bei ungeplanter Abwesenheit dies vom jeweiligen nächsthöheren Vorgesetzten angeordnet wird. Selbst wenn alles eingehalten wird, sind wir noch nicht ganz aus der Schlinge. Ich empfehle E-Mails mit der Markierung "privat" oder "persönlich" nicht weiter zu leiten. Denn der Anwender kann ja nichts dagegen machen, wenn ihm jemand eine private Mail schreibt. Euer Sicherheitsfuzzi
  20. Leider lässt sich das Problem nur durch einen Rechnerneustart beheben. Browser-Neustart hilft nicht. Auch ein hin- und herschieben zwischen den Monitoren bringt nichts.
  21. Hallo Welt, der hier beschriebene Effekt trifft alle Arten von Internet-Browsern. Getestet mit Firefox, IE 11, Edge und Chrome. Alle anderen Arten von Programmen sind nicht betroffen. Keine Gemeinsamkeiten bei den AddOns erkennbar. Nach einem Neustart des Rechners dauert es ca. 1 Stunde, danach ist auf einem der beiden Bildschirme der obere Rand des Browsers, also die Menüzeile, die Lesezeichenleiste und die Adresszeile nur noch als weißer Balken vorhanden. Klickt man in diesen Balken hinein, selektiert man das jeweilige Objekt hinter dem Browser-Fenster. Über Tasten lassen sich alle Funktionen noch ansprechen. Geht man von Maximaler Darstellung auf geringere Fenstergröße ist der Effekt weg. Ich kann die Browser also quasi bildschirmfüllend fahren, wenn ich auf den Vollbildmodus verzichte. Auf dem zweiten, kleineren Bildschirm funktioniert alles bestens. Das Problem ist nur auf einem Bildschirm vorhanden. Mit welchem Patch-Level dies möglicherweise eintrat lässt sich jetzt leider nicht mehr sagen. Das Ganze sieht ja sehr nach Hardwareproblem der Grafikkarte aus, aber warum nur für die verschiedenen Internet-Browser und nicht für alle anderen Programme? Das ist doch nicht logisch. Wer hat eine Idee? Ciao Pitti
  22. Frage: Was wird auf diesem Server laufen? Welche Anwendung erfordert dort welchen Schutzbedarf? Wie vertraulich sind die Daten die dort gehandelt werden? Wie wichtig ist die Verfügbarkeit dieser Daten für das Unternehmen? Welcher Schaden würde entstehen, wenn die Daten verfälscht würden? Wenn der mögliche Schaden für das Unternehmen klar ist, kann auch eine Entscheidung für deren Schutz getroffen werden. Und dann kann auch entschieden werden ob man dafür Geld ausgeben möchte oder nicht.
  23. Die Nichtabstreitbarkeit kommt zum Einen aus den Grundsätzen ordnungsgemäßer Buchführung, zum Anderen aus der DSGVO. Wenn ich das richtig sehe, ist die Authentizität der Daten bzw. die Nichtabstreitbarkeit für Datenerfassung und -veränderung an dieser Stelle nicht wirklich relevant.
  24. Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte.
×
×
  • Neu erstellen...