Pitti259

Nicht ganz, habe ein bisschen 27001 native reingemischt... Aber Danke für das "wunderbar".

Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität. Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept. Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen.

Ich fürchte mit einer Software Restriction Policy werden wir nicht besonders weit kommen. Die "bösen" Angebote im Internet, bestes Beispiel sei Salesforce, können ganz einfach über den Browser bedient werden. Die Daten werden über verschlüsselte Verbindungen rauf und runter geladen, was dann im eigenen Netz so landet oder welche Daten umgekehrt bei der Konkurrenz landen, darauf hat der eigenen Admin dann keinen Einfluss mehr. Diese Schatten-IT macht meinen Kunden viel mehr Sorgen als Dropbox. Meiner Ansicht nach, können wir solches Verhalten nur durch ein Data Leackage Prevention verhindern. Ist aber vom Einführungsaufwand so gigantisch, dass eine Kosten-/Nutzen-Rechnung meist dagegen spricht. Als kostenneutralen Ansatz, könnte man in den vorhandenen Verfahren den massenhaften Datenabzug unterbinden, so dass die Schatten-IT nur schlecht mit Produktivdaten gefüttert werden kann. Dropbox und Co. sehe ich eigentlich als beherrschbar an, ein bisschen Software Restriction Policy mit einigen Firewall-Blacklist-Einstellungen sollten hier helfen.

Guten Morgen allerseits, ja, die IMAP liegen bei verschiedenen Anbietern. Outlook Version 1806 Build 1022820104. Suchmaschinen haben mir keine Problemlösung geliefert. Ciao Pitti

Hallo Welt, habe mal wieder ein mysteriöses Problem. Auf einem Windows 10 Rechner mit Office 365 und Outlook 365 sind mehrere E-Mail-Accounts eingerichtet. Ein Exchange und verschiedene IMAPs. Beim Senden läuft alles wie erwartet, die gesendeten E-Mails landen im zugehörigen Ordner. Nun stelle ich durch Zufall fest, dass einige E-Mails nicht ankamen. Also nochmals gesendet, anderen Account verwendet, wieder nichts. Andere E-Mails gehen ganz normal raus und kommen auch an. Auf einem anderen Rechner das Outlook hochgefahren, siehe da, in den IMAP- und Exchange-Ordnern für gesendete Objekte sind die E-Mails, die nicht ankamen auch gar nicht vorhanden. Von diesem anderen Rechner aus, gehen auch alle E-Mails problemlos raus (selbe Firewall). Liegt also eindeutig an meinem Hauptrechner. Lokale Firewall weißt jede Schuld von sich, keine Protokolleinträge für E-Mails. Die Frechheit ist, dass das Outlook auf meinem Hauptrechner auch nach Neustart noch behauptet, die E-Mails wären rausgegangen. Wie das bei einem IMAP-Ordner für gesendete Objekte möglich ist, dass auf zwei Rechnern hier verschiedene Auflistungen erfolgen, ist mir schleierhaft. Hoffentlich kennt einer von euch das Problem oder hat eine Idee... Ciao der Sicherheitsfuzzi

Hallo Stoffl, welchen Standard ihr verwendet, kommt ganz enorm darauf an was ihr damit erreichen wollt. Dienstleistungen für Behörden, dann solltet ihr ISO 27001 auf Basis IT-Grundschutz anwenden. Die native wäre nur die halbe Miete. Der große Vorteil ist, dass das GS-Kompendium (nachfolger der GS-Kataloge) euch genauer aufzeigt was zu tun ist. Den Grundschutz alt (Standards der 100er Reihe) solltest Du nicht mehr anwenden. Wenn ihr jetzt anfangt, könnt ihr in zwei Jahren die Zertifizierung angehen. Bis dahin gibt es den alten Standard nur noch für Altzertifizierte. Die ISO 27001 native lässt euch zwar mehr Freiraum, aber diesen Freiraum müsst ihr dann auch richtig füllen. Nicht ganz einfach. Zur Zertifzierung: Die ISO 27001 auf Basis IT-Grundschutz kann nur das BSI zertifizieren, ihr benötigt allerdings einen Auditor vom freien Markt (z.B. mich). Die ISO 27001 native können diverse DAkkS zertifizierte Unternehmen des freien Marktes durchführen. Du bezahlst diese und bekommst von denen einen Auditor hingesetzt. Je nach Zertifzierer ist die Zertifzierung einfach (gekauft) oder schwierig (weil korrekt durchgeführt). Die Vorbereitung kannst Du sicherlich alleine durchziehen, ich würde Dir aber für ein Coaching durch einen erfahrenen Berater raten. Das ISMS aus dem Hut zu zaubern hat nun mal was mit Magie Erfahrung zu tun. Beantwortet das Deine Fragen? Ciao Pitti (ISO 27001 auf Basis IT-Grundschutz Auditor und IS-Revisor und Kritis §8 Prüfer und und und [Angebermodus aus])

Das Ziel muss sein, den Aufwand für die Entschlüsselung der Informationen so hoch zu treiben, dass er den Gewinn daraus übersteigt. Also, wie ist der Schutzbedarf der Informationen? Sind es firmenvertrauliche Informationen, personenbezogene Daten, besonders schützenswerte pers. Dat.? AES256 ist durchaus nicht schlecht als Verschlüsselung. Wie lang ist das Passwort? Welche Regeln (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen) gelten für das PW? Sorry, Deine Frage ist einfach zu globalgalaktisch gestellt.

Hallo Welt, auf einem Win10 Rechner bekam ich plötzlich Probleme mit den Sockets. Waren dauernd belegt und nicht für die diversen Citrix Receiver verfügbar. Bei der Suche nach der Ursache stieß ich im Microsoft Message Analyzer auf ein Modul namens NdisEtwProvider, welches sich mit 35.163.182.235, also Amazon Amerika unterhielt. Die Adresse war ja schnell in der Firewall geblockt, aber den dahinter liegenden Prozess finde ich nicht. Im Regedit ist der Begriff auch nicht vorhanden. Nun meine Fragen: Ist das ein Trojaner? Wie finde ich den zugehörigen Prozess? Danke schon mal. Ciao Pitti

Der Hinweis auf den Kartenleser, wenn auch keiner am Gerät vorhanden, hat mich auf die richtige Spur gebracht. In der Datenträgerverwaltung war der Laufwerksbuchstabe vergeben. Ohne irgendeinem Gerät dahinter. Dort gelöscht und schon konnte das Laufwerk wieder verbunden werden. Danke euch allen! Ciao Pitti

Hallo Welt, auf einem Windows 10 Client kam mal wieder die Meldung "Netzwerklaufwerk konnte nicht verbunden werden". Altbekannt; aus der Registry unter MountedDevices den Laufwerkbuchstaben löschen, booten, neu verbinden. Neu verbinden funktioniert nicht, weil Laufwerksbuchstabe schon vorhanden. Tatsache, in der Registry ist der Laufwerksbuchstabe wieder vorhanden. Ich kann ihn löschen so oft ich will, nach dem Neustart ist er wieder in der Registry vorhanden. Einem richtigen Zombie könnte man wenigstens den Kopf wegpusten, aber was mach ich mit einem Laufwerks-Zombie? Bitte scheut euch nicht mir einfach zu sagen wenn ich mich lediglich dumm anstelle. Hauptsache ihr helft mir. Danke Pitti

Das ist in der Tat seltsam. Der einzige Vorteil einer gekauften Signatur ist ja, dass irgendwo ein Trust-Center steht um auf Basis meiner digitalen Signatur meine reale Identität zu bestätigen. Für ein eigenerstelltes Zertifikat würde ich es ja noch verstehen... Übrigens finde ich nirgends ein Forderung zum Einsenden der Sig-Karte. Welchen Zertifikate-Aussteller trifft das?

Zum zweiten Teil der Frage, ja, die pdf-Dateien werden dann mittels des Zertifikates mit einer digitalen Signatur versehen. Bitte nicht mit der "sogenannten" digitalen Signatur von Outlook und Konsorten verwechseln. Allerdings kann seit Acrobat DC der Reader dies nicht mehr in der kostenfreien Variante. Ihr müsst das Werkzeug "Zertifikate" dazu kaufen. Wieder, nicht mit dem Werkzeug "Ausfüllen und unterschreiben" oder "zum unterschreiben senden" verwechseln.

Den Effekt kenne ich von einige Win7- und Vista-Rechnern mit GData. Beim Pattern-Update zieht dieser die gesamte Systemleistung. Lösung (außer warten bis Aktualisierung durch ist) habe ich aber keine. Wehe einer lästert wegen der Vista-Rechner!

Nachtreten ist gemein!

Moin, schon wieder so ein komischer Effekt. Auf einem Rechner unter Windows 10 passierte es zum zweiten Mal in zwei Wochen, dass nach dem Neustart ein Netzlaufwerk nicht mehr verbunden wurde. Der Laufwerksbuchstabe war noch vorhanden, aber eben mit rotem Kreuz markiert. Was solls denkt sich der Pseudoadmin, einfach trennen und neu verbinden. Trennen kein Problem, Neuverbinden geht aber nicht weil der Laufwerksbuchstabe noch in Benutzung wäre. Mut zum boot, hilft nix. Dann über regedit die gemounteten Laufwerke gesucht, den betreffenden Buchstaben gelöscht und neu gestartet. Siehe an, neu verbinden geht wieder. Nach dem erstmaligen Verbinden wird das Laufwerk auch beim Neustart korrekt wieder angebunden. Stellt sich nur die Frage, wo kommt der Effekt her? Wieso kann der PC die Verbindung nicht herstellen und gibt dann auch noch den Laufwerksbuchstaben nicht mehr her? Irgendeine Idee? Ciao Pitti

Den Satz hänge ich mir an die Wand! Wer Daten mit Zertifikaten verschlüsselt, muss mindestens ein separates Backup des privaten Schlüssels haben.

Ihr hattet ja so recht, der private Schlüssel is wech :mad: . Verstehe zwar noch nicht warum der nicht in der Sicherung landete, aber ist halt so. Mal sehen, wann die ersten Probleme wegen der nicht entschlüsselbaren E-Mails auftauchen... Ciao Pitti

Hallo Welt, nach einem Systemcrash wurde ein Rechner neu aufgesetzt. Das Zertifikat für signieren und verschlüsseln wurde neu installiert. Das Zertifikat des Herausgebers in die Liste der vertrauenswürdigen Herausgeber aufgenommen. Sollte es ja eigentlich sein. Leider ist es auf dem Rechner jetzt nicht möglich, enpfangene verschlüsselte E-Mails zu öffnen. Der Name Ihrer digitalen ID kann ... nicht gefunden werden. Beim senden wird es noch interessanter. Verschlüsselte E-Mails zu senden ist kein Problem, signieren geht aber nicht. Beim signieren kommt die gleich Meldung wie beim öffnen von empfangenen verschlüsselten E-Mails. In den Sicherheitseinstellungen ist das entsprechende Zertifikat eingetragen, beim Signaturzertifikat fehlt aber der Hashalgorithmus. Ausgegraut. In den Zertifikatseigenschaften ist das Signieren aber in der Schlüsselverwendung angegeben. Allerdins steht bei der Schlüsselverwendung ein gelbes Warnschildchen dran. Leider finde ich keine Möglichkeit die Ursache für das Warnschild zu erhalten. Jetzt bin ich mit meinem Latein am Ende. Hat einer von euch eine Idee? Danke schon mal Pitti

Hallo Verschlüsselungsprofis, wenn ich per S/Mime verschlüsselte E-Mails erhalte, die ich problemlos im Outlook öffnen kann, diese dann wiederum verschlüsselt weiterleite, dann müssten doch die weitergeleiteten E-Mails mit meinem Zertifikat neu verschlüsselt werden. Sind sie aber nicht. Der Empfänger dieser weitergeleiteten E-Mails kann diese dann nicht öffnen. Anscheinend verbleibt die ursprüngliche Verschlüsselung. Kann mir jemand erklären wieso dies so ist? Gibt es eine Möglichkeit, einen Parameter o.ä. um dies zu ändern? Danke Pitti

Jo mei, so manches Gesetz finde ich lästig :D. Die Strafen gibt es und sie wurden auch schon ausgeführt. Dass die betroffenen Unternehmen dies nicht an die große Glocke hängen, ist wohl klar. Dass wir DSBs unbequem, ja lästig sind, liegt in der Natur der Sache. Aber ok, engagier einen 30 Euro DSB und Du hast Ruhe. Mit Glück passiert nix. Bei Pech machen sie Dir den Laden dicht. Übrigens steigen die Strafen für Verstöße gegen den Datenschutz von bisher 350.000,- mit der EUDSGVO auf 20 Millionen.

Datenbanklösungen für Personalabteilungen sind nicht das Problem. Da gibt es Unzählige. Aber auch professionelle HR-Abteilungen haben noch unzählige Informationen auf File-Ebene, die teilweise halt besonderen Schutzbedarf haben. Da werden Auswertungen zu Krankenständen gemacht, Unfallberichte geschrieben, Bewerbungen mit ihren Bewertungen gespeichert usw. Im BDSG ist klar geregelt, diese Daten dürfen nicht gespeichert werden, außer sie werden für einen bestimmten Zweck mit Einverständnis der betroffenen Person gespeichert. Sobald die Zweckgebundenheit verfällt, dürfen diese Daten auch nicht mehr gespeichert werden. Sie müssen, nach Stand der Technik, sicher gelöscht werden. Hoffentlich gilt das jetzt nicht als Rechtsberatung. Als bestellter externer Datenschutzbeauftragter bin ich in der Haftung, auch wenn der eigentliche Verantwortliche ja der Chef des Kundenunternehmens ist. Aus der Haftung komme ich nur, wenn ich auf einen Mangel hinweise, das Risiko aufzeige und der Kunde dieses Risiko per Unterschrift übernimmt. Ich könnte mich immer kringeln, wenn potentielle Kunden mir Angebote meiner Mitbewerber zeigen, welche für 30 Euro pro Monat diese Funktion übernehmen. Die Strafen für fahrlässiges Handeln als DSB fangen im sechstelligen Bereich mal an...

Ich. Gerade Dein Beitrag zeigte mir, dass es keine echte Lösung für das Problem gibt, was ja auch eine Lösung der Frage darstellt. Die einzige Chance ist, dass der gesamte Share verschlüsselt wird. Das erschwert die Wiederherstellung derart, dass das sichere Löschen gewährleistet wäre. Mit den Aussagen hier, speziell Deinem Posting, kann ich dies der Geschäftsleitung des Kunden auch so erläutern und nochmals eine Verschlüsselung vorschlagen. Wenn Die das dann immer noch nicht wollen, müssen Die mir die Übernahme des Risikos unterschreiben und gut ist. Ich bin dann aus der Haftung. Daher also nochmals besten Dank. Ciao Pitti

Interessant, Du meinst also ich mach kein ordentliche Beratung. Bin ja auch erst seit 15 Jahren in diesem Bereich tätig. Und zum fachlichen Teil: Besonders schützenswerte personenbezogene Daten sind, solange sie nicht den geschützten Bereich verlassen, nicht unbedingt verschlüsselt zu speichern. Auch wenn ich dies immer empfehle, einen gesetzlichen Zwang hierzu gibt es nicht. Aber es gibt den gesetzlichen Zwang für diese besonders schützenswerten personenbezogenen Daten, nach Ablauf der Verwendung diese zu vernichten. Die ISO-Normen helfen im übrigen leider gar nicht, weil der Datenschutz nach BDSG eine Deutsche oder seit 25. Mai nach EUDSGV eine Europäische Spielart ist, ISO-Normen sind international ausgerichtet. Wenn überhaupt, dann kann der Baustein 1.5 der Grundschutzkataloge herangezogen werden, wo aber auch nur die Verpflichtung zum sicheren Löschen drin steht. Dass es für mein augenblickliches Anliegen nur die Möglichkeit der Verschlüsselung gibt, weil die Umsetzung der gesetzlichen Anforderung technisch nicht möglich ist, habe ich verstanden und kann ich auch so verwenden. Vielen Dank an alle, die mit ihren hilfreichen Hinweisen dazu beitrugen. Euer Sicherheitsfuzzi

Hatte ich bereits vorgeschlagen, der Kunde will nicht. Sparen, koste es was es wolle... Wir könnten uns den ganzen Zinober sparen.

Leider nicht wirklich, hatte ich schon gecheckt. Das BSI hat eine komplette Seite zu dem Thema, hilft aber nur bei lokal gespeicherten Daten...