Pitti259

Geht noch besser: Schutzbedarfsfeststellungsanalysen auf Basis einer risikotheoretischen Berechnung. :D

Hallo Franz, Du hast noch meine persönliche Cash-Cow vergessen, bestehen Unternehmen aus mehreren selbständigen Firmen, z.B. eine Holding und einige GmbHs, müssen zwischen all diesen Firmen entsprechende DViA-Verträge abgeschlossen werden. In den DViA-Verträgen müssen ja die auszutauschenden Informationen benannt und der Umgang und der Schutz derselben definiert werden. Was für ein Spaß :rolleyes: Durch diesen Passus in der Novellierung von 2009 habe ich schon viel Geld verdient... Der Vorteil für die Unternehmen besteht darin, dass sie sich tatsächlich mal über den Schutzbedarf ihrer Informationen bewusst werden. Ob sie dann auch was draus machen steht auf einem anderen Blatt. Ciao Pitti

Das scannen der Speichermedien ist schon mal sehr gut. Aber, wer braucht denn tatsächlich diese externen Speicher? Und wozu? Die Gefahr, dass jemand, aus welchen Gründen auch immer, Daten unverschlüsselt auf den Stick oder die Karte oder auf DVD speichert und dieses dann verliert ist systemimmanent (sprich so gut wie sicher...). Pack Dir doch mal Deinen Datenschutzbeauftragten, der soll der GL mal erzählen wie hoch die Strafen für unverschlüsselten Transport von personenbezogenen Daten sind. Speziell wenn diese verloren gehen...

Also gut, IronKey Personal oder Digittrade SecurityStick, bzw. besser die High Security Schiene.

Ja klar, ich erinnere mich gut an den Stick mit der Tastatur für die PIN-Eingabe, wenn man diese Tastatur kurzschloss war der Zugriff auf die Daten frei... Nein, von so einem Zeugs rede ich eigentlich nicht. Auch nicht von Sticks mit intern festen Schlüsseln, welche nur den Zugang mit individuellen Passworten schützen. Auch solche sind natürlich rausgeschmissenes Geld. Es gibt aber auch einige richtig gute Produkte zu vernünftigen Kosten. Empfehlungsanfragen bitte per PN. Und nein, ich verdiene nichts an Produktempfehlungen! Ich glaube, wir sind jetzt ziemlich weit vom Thema abgekommen ;)

Gebe ich Dir schon Recht, aber wir reden hier von Konzepten die erlauben, dass sich von jedem x-beliebigen Gerät aus eine Verbindung herstellen lässt. Die Sicherheitsfunktionen sind auf dem Terminalserver bzw. der Session des Terminalservers installiert, was auf dem privaten Gerät abgeht interessiert mich dann nicht. Bei VPN-Clients auf privaten Endgeräten fängt aber schon die Grauzone an. Da kommen dann Aussagen wie: Eure VPN-Software hat meinen Rechner zerschossen, den müsst ihr mir wieder herstellen und meine Programme neu installiern... Nach einer ausgesprochen erquicklichen Sitzung mit dem Betriebsrat eines mittelständischen Unternehmens, werde ich auch nie wieder versuchen den Anwendern Sicherheitsvorgaben für ihre privten Geräte zu machen.

Wo hast Du die Informationen zum Aushebeln der Hardwareverschlüsselung her? Ein mit Harz vergossener Stick, der beim öffnen kaputt geht ist meiner Ansicht nach hinreichend sicher. Man muss nicht unbedingt die Hochsicherheits-Sticks für staatliche Verschlusssachen verwenden. Diese sind dann aber richtig sicher. Allerdings vom handling her wieder problematisch. Und da ist der eigentliche Punkt. Natürlich kann ich auf jedem billigen Speichermedium meine Daten in verschlüsselter Form sicher ablegen. Dies bedeutet aber für den User, dass er sich damit auskennen muss und dies auch wirklich tun muss. Ja okay, ich kann auf den Rechnern eine entsprechende Software einrichten welche grundsätzlich alle nach außen gehenden Dateien verschlüsselt. Auch ein guter Weg, wenn die Geschäftsleitung diesen mitgeht. Mit Bitlocker habe ich mich ehrlich gesagt noch nicht wirklich auseinander gesetzt. Kann ich damit verschlüsselte Daten auf einem Stick speichern und auf einem anderen, nicht der CA zugehörigem Rechner z.B. per Passwort entschlüsseln?

Hallo allerseits, wie setze ich als Sicherheitsberater das Thema USB bei Kunden um? Die USB-Anschlüsse werden per Software für Speichermedien o.ä. grundsätzlich gesperrt, bzw. nur Tastaturen und Mäuse werden erlaubt (zum Keyboard-Virus komme ich noch). Für dienstliche Zwecke wird ein ausreichende Anzahl von hardwareverschlüsselten Sticks angeschafft, welche dann jeweils auf definierten Rechnern verwendet werden können. Jeder, der einen Stick benötigt, bekommt auch einen (sind weniger als man denkt...). Ein paar Ausnahmen für dienstliche Kameras etc. gibts auch immer. Das Thema mit den auf dem Parkplatz gefundenen Sticks und der Speicherung von Firmendaten auf ungesicherten Werbegeschenken etc. ist damit vom Tisch. Hätte sich hierdurch der Vorfall im Kanzleramt verhindern lassen? Nein! Dann wäre Regin eben über einen hardwareverschlüsselten, für den Rechner freigeschalteten Stick reingekommen. Oder per E-Mail. Oder durch Download vom WebDav. Private Geräte in die Sicherheitsstrukturen einzubinden, funktioniert aus meiner Erfahrung heraus nicht. Würdet ihr euch von eurem Arbeitgeber den Umgang mit euren privaten Geräten vorschreiben lassen? Nein, es funktioniert nur so, dass Mitarbeiter dienstliche Daten nur auf dienstlichen Geräten bearbeiten dürfen. Und für die dienstliche Umgebung muss eine am Schutzbedarf der Informationen angemessene Sicherheitsstrategie gefahren werden. Desweiteren benötigen wir Sensibilisierung, Sensibilisierung und Sensibilisierung der Mitarbeiter. Und daran mangelt es am meisten. Kurz zum Keyboard-Virus, entgegen der Medien-Meinung ist das Thema nicht neu! Bisher wurden meist Mäuse mit einer Zusatzhardware versehen, die sich beim Anstecken als Maus plus Tastatur anmeldet und über Tastatureingaben dann einen Trojaner im Rechner installiert, oder sonstigen Blödsinn anstellt. Es gibt inzwischen einige kleine Progrämmchen, die beim Anmelden einer Tastatur nachfragen, bevor die Tastatur akzeptiert wird. Nach der Möglichkeit eine größere Anzahl von Rechnern möglichst automatisiert zu schützen suche ich noch. So, Silvester kann kommen, für das nächste Jahr sehe ich viel Arbeit für mich als Sicherheitsfuzzy, Ein frohes, erfolgreiches und virenarmes 2015 wünsche ich euch allen. Pitti

Also, wenn wir Evernote glauben wollen, werden alle Informationen zwischen Deinem Endgerät und dem Server verschlüsselt. Also auch die Benutzerkennung und das Passwort. Die einzige Möglichkeit die Deinem IT-Techniker bleibt, ist tatsächlich ein Keylogger oder ein ähnlicher Sniffer direkt auf Deinem Rechner. Dazu gehört aber schon eine beträchtliche kriminelle Energie. Ja, ich kenne Admins bei Kunden denen ich dies zutrauen würde. Sind denn Deine Daten für Dein berufliches Umfeld interessant? Da Du vermutlich nicht auf den Umgang mit Deinen privaten Daten verzichten möchtest, sprich doch mal Deinen Chef an, sag ihm dass er für eine mangelhafte Unterweisung seiner Mitarbeiter hinsichtliche BDSG, TKG, BGB und Betriebsverfassungsgesetz haftet (dies stellt keine Rechtsberatung dar!) und doch mal eine Kurzunterweisung durch einen externen Fachkundigen beauftragen soll. Kostet nicht viel und bringt ihn aus der Haftung. Die meisten Admins wissen nämlich nicht, dass sie selbst bei ihrer normalen Arbeit schon mit einem Bein im Gefängnis stehen. Einen Keylogger auf einem Rechner zu installieren kann mehrere Jahre Gefängnis einbringen (auch dies ist keine Rechtsberatung, sondern stellt meine persönliche Expertise dar). Damit erreichst Du möglicherweise mehr, als durch Misstrauen die Firmenstimmung zu vergiften. Letztes Mittel: Lass Dein privates zu Hause... Ciao Pitti

Ich sags ja nur ungern, aber ein Sicherheitsprojekt oder auch nur ein paar neue Sicherheitsmaßnahmen ohne Engagement der Geschäftsleitung sind zum Scheitern verurteilt. Nur wenn die GL den Mitarbeitern deutlich sagt, dass es eine neue Kultur hinsichtlich der Informationssicherheit gibt, nur dann gibt es Aussicht auf Erfolg. Michi, schicke Deinen Chef auf ein Sensibilisierungsseminar auf einen Workshop oder einfach nur auf einen entsprechenden Vortrag der IHK oder seines Unternehmerverbandes. Da gibt es so viel. Habt ihr eine Weihnachtsfeier? Dort wäre der ideale Ort den Mitarbeitern quasi informell zu erläutern, dass die Informationssicherheit deren Arbeitsplätze sichern soll und er als Chef hinter der Sache steht. Ciao Pitti

Hallo Welt, auf meinem Hauptrechner habe ich E-Mail-Accounts für verschiedene Firmen. Alle per IMAP angebunden. Nun kommen über die verschiedenen Accounts diverse Terminanfragen rein. Wenn ich diese bestätige, landen die Termine in verschiedenen Kalendern. Natürlich kann ich diese zwischen den Kalendern hin und her kopieren, ist aber ausgesprochen lästig. Wie kann ich dafür sorgen, dass alle Termine in einem bestimmten Kalender, oder gar in allen Kalendern landen? Weder in der HIlfe, noch im Internet konnte ich bisher eine Lösung finden. Hoffe nun auf euch. Danke schon mal. Pitti

Ok ok, schon bereinigt. War mal wieder ein Knoten im Hirn. Ich meinte selbstverständlich WhatsApp!

Schlechter Berater! WhatsApp sollte nicht verwendet werden, weil die Anwender mit ihren Daten zahlen. D.h. Informationen, welche über WhatsApp versandt werden, gehören nicht mehr dem Sender sondern WhatsApp. Wenn sich mein Beraterkollege auf Gesetze beruft, dann kann es bei einem "normalen" Unternehmen nur das BDSG §9 sein (Dies ist keine Rechtsberatung!). Personenbezogene Daten dürfen nicht unverschlüsselt über fremde Netze übertragen werden. Es kommt immer darauf an, was ihr mit dem WhatsApp machen wollt. Verabredungen zum Mittagessen? Wenn kein Kunde dabei einbezogen wird, kein Problem. Vertragsbedingungen ausbaldowern? Ganz dumme Idee. Bewerbungen diskutieren? No Go! Wenn ihr so ein Tool unbedingt braucht, verwendet www.sicher.de oder http://get.chiffry.de. Dann bekommt ihr auch keinen Ärger mit dem Gesetz.

Hi Leute, als BSI zertifizierter Auditor muss ich doch gleich mal meinen Senf dazu geben. Der Ansatz ein Sicherheitskonzept zu schreiben ist ja schon mal ausgesprochen gut. Aber, ein Sicherheitskonzept für ein Unternehmen ist keine technische Beschreibung zum Umgang mit USB-Anschlüssen, sondern eine strategisch/organisatorische Beschreibung der Vorgehensweise zur Umsetzung der Sicherheitsziele des Unternehmens, eventuell gewürzt um die technische Realisierung. Welche Sicherheitsziele wurden eigentlich von euren Chefs aufgestellt? Als erstes müssen die Kronjuwelen gefunden werden, nennt sich Einstufung von Informationen. Welche Informationen im Unternehmen sind wie schützenswert? Die Vorgehensweise um diese zu identifizieren gehört in das Sicherheitskonzept. Dann folgen die Vorgaben zum Umgang mit den Informationen in den verschiedenen Sicherheitsstufen. Wenn dann z.B. von der GL entschieden wurde, Informationen der Stufe "vertraulich" dürfen nicht auf externe Speichermedien verbracht werden, dann können wir uns über den Weg dorthin Gedanken machen. Wenn identifiziert wurde, welche Informationen immer verfügbar sein müssen, können wir uns Gedanken zu Datensicherung und Wiederherstellbarkeit machen. Wenn herausgefunden wurde, welche Informationen keinesfalls verfälscht werden dürfen, können wir uns Gedanken zu deren Schutz und Prüfung machen. Für alle weiteren Maßnahmen, Regelungen und den technischen Umsetzungen gilt selbiges. Technische Maßnahmen sind nicht Selbstzweck, sondern dienen der Umsetzung der Sicherheitsziele. Dieser zweite Teil des Sicherheitskonzeptes war wohl hier gemeint. Ich selbst tendiere hier zu eigenen, themenspezifischen Konzepten und Richtlinien. Kann man aber auch im globalen Konzept mit unterbringen. Wichtig ist, dass vor den technischen Umsetzungen dazu passende organisatorische Regelungen für die Mitarbeiter und auch die Administratoren von der GL herausgegeben werden. Sonst schimpfen wieder alle auf die pösen Admins und versuchen die Technik auszutricksen. Wenn für solch einen Versuch die Abmahnung droht, schaut das anders aus. Beispiel aus der Praxis: Richtlinie der GL zur Umgang mit Informationen, Daten der Stufe vertraulich oder höher und personenbezogene Daten dürfen nicht auf externe Datenträger verbracht oder per E-Mail an externe Stellen versandt werden...Ausnahmen werden durch die GL genehmigt. Um die Mitarbeiter vor versehentlichen Verstößen gegen diese Regelungen zu schützen, werden für Bedarfsträger hardwareverschlüsselte Sticks ausgegeben, die alleine an den Rechnern im Unternehmen verwendet werden dürfen. Technische Maßnahme hierzu war das Upgrade der Virenscanner-Software auf die Variante zum Management von Schnittstellen. Nur für die Seriennummern der intern gelisteten verschlüsselten USB-Sticks sind die Ports freigeschaltet, DVD-Brenner sind ebenfalls gesperrt. Am Thema Dropbox und Konsorten arbeite ich unterschiedlich. Hier ist vor allem die Unternehmenskultur und Schutzwürdigkeit der Information einzubeziehen. Zwischen alles erlauben, einbeziehen in den Geschäftsablauf, filtern von Informationen in der Firewall bis hin zur Sperrung der bekanntesten Dienste gibt es da alles. Hoffentlich liest jetzt auch jemand meinen Roman... Ciao Pitti

In diesem Fall wäre meine Empfehlung entweder Truecrypt, interessiert ja nicht ob die NSA dies entschlüsseln könnte, oder als "professionellere" Variante Bitlocker mit TPM. Guten Nacht Pitti

Ich habe bei Kunden eingeführt: pgp FullDiskEncryption bevor es Symantec wurde, Truecrypt, SafeGuard Easy und Enterprise, Secunet schießmichtot, Secude Full Disk Encryption vor dem Verkauf an EgoSecure, bisher leider noch nicht Bitlocker. Jedem Tierchen sein Pläsierchen. Kommt auf die Anforderung an. Und genau die kenne ich in diesem Fall nicht wirklich. Eingeführt ist schnell, damit leben müssen die Anwender von AG1 dann ziemlich lang.

Na ja, benötigen wir tatsächlich eine vollständige Verschlüsselung, oder reicht ein Container? Muss die Software eine Fernwartungsfunktion haben? Muss sie einen Generalschlüssel haben? Wenn die Daten zwar Vertraulich sind, aber im Unternehmen eh vorhanden sind, dann kann ein, wegen eines vergessenen Passwortes unzugänglicher Rechner einfach neu aufgesetzt werden. Dann brauche ich keine Hintertür. Wenn das Notebook vor Ort nicht unbedingt funktionieren muss, brauche ich keine Fernfreischaltung. Wenn die Daten gesetzlichen Vertraulichkeitsbestimmungen unterliegen, brauche ich dagegen eine entsprechend freigegebene Software zur Verschlüsselung. Werden von dem Notebook Daten auf externe Speicher geschrieben, brauche ich möglicherweise eine automatisierte Verschlüsselung dieser Daten beim Schreiben. Danach kann ich die Software auswählen.

Ok, Account ist eingerichtet, es läuft. Besten Dank Daniel.

Tschuldigung wenn jetzt wieder der Korinthenkacker aus der Deckung kommt. Bevor irgendein Verfahren ausgewählt wird, folgende Fragen: Welchen Informationen werden auf den Notebooks gespeichert? Welchen Wert haben diese Informationen für das Unternehmen (Schutzbedarf)? Was passiert, wenn diese Informationen in die falschen Hände fallen? Was passiert, wenn diese Informationen morgen in der Bild Zeitung stehen? Sind Backup-Szenarien notwendig, sprich werden auf diesen Geräten Daten erfasst welche dann im Unternehmen benötigt werden? Ist der Zugang zu den Notebooks beim mobilen Einsatz unbedingt notwendig, so dass eine Fernentsperrung benötigt wird? Wenn diese Fragen beantwortet sind, dann kann die Auswahl eines Verschlüsselungsproduktes erfolgen. Ciao Pitti

So, Meldung: GDATA entfernt und Avira installiert, keine Änderung. Outlook 2007 durch 2013 ersetzt, keine Änderung. Deinstallation aller anderer möglicherweise bösartiger Buben, wie Syncing.net, keine Änderung. Schließlich Deinstallation des Microsoft Office Outlook Hotmail Connector, alles wieder paletti. Alle Konten lassen sich wieder korrekt abrufen, Outlook hängt sich nicht mehr auf. Jetzt suche ich halt nach einer Lösung für die Aktualisierung von Kalender, Kontakten und Aufgaben mit dem Windowsphone. Akruto wäre ja ganz nett, macht aber nur Kalender. Hat jemand Erfahrung mit CodeTwo? Oder andere Empfehlungen? Ciao Pitti

Version 12.0.6691.5000 SP3 MSO 12.0.6683.5000 GDATA Internet-Security Hmm, ich würde ausgesprochen ungern jetzt 9 meiner 10 Konten deaktivieren. Aber, auch wenn ich nur ein einziges Konto abrufe, bleibt es unabhängig vom Konto selbst immer wieder hängen. Ich könnte natürlich mal das Microsoft-Konto rauswerfen. Probiere ich sofort aus!

Hallo Welt, auf einem Windows 7 Gerät mit Outlook 2007 musste ich den Microsoft Office Outlook Hotmail Connector installieren plus ein Konto bei Microsoft anlegen plus dieses Konto im Outlook konfigurieren, um Termine und Kontakte mit meinem neuen Windowsphone zu synchronisieren. Die Effekte treiben mich zum Wahnsinn. Outlook startet normal, kann aber nicht alle Konten abrufen, bleibt bei ein bis drei Konten (jedesmal andere) hängen. Beim starten von Outlook werden noch nicht gesendete E-Mails gesendet, gleich welches Konto diese verwenden. Danach bleiben alle neu erstellten E-Mails im Postausgang hängen. Fehlermeldungen gibt es nicht. Beende ich Outlook, bleibt der Prozess immer aktiv. Ich muss ihn immer per Task-Man abschießen. In der Ereignisanzeige erhalte ich lediglich die Info, dass der Outlook-Prozess unerwartet beendet wurde. Sonstige Seiteneffekte wie die Reparatur der pst-Dateien weil nicht ordentlich geschlossen treten natürlich auch auf. Andere Sync's wie OneNote und Syncing.net habe ich bereits deaktiviert. Hat auch nix gebracht. Kennt jemand diese Effekte, oder hat einer von euch Spezialisten eine Idee? Für jeden Tipp (außer schmeiß Dein Winphone weg) dankbar Pitti

Ja und Nein. Bei der Risikoanalyse musst Du ja neben den ganzen organisatorischen Faktoren (Personalausfall, Regelfehler, Doku-schwächen...) auch eine Unzahl technischer Faktoren bewerten. Ausfallwahrscheinlichkeiten, Angreifbarkeit, integrierte Schutzmaßnahmen technischer Komponenten etc. Aber worauf ich eigentlich hinaus wollte, als allererstes sollten die ISMS-Prozesse laufen, in der ersten Management-Sitzung kannst Du die Kategorisierung und die Definition der Schwellwerte für die Schadenseinstufungen einfordern. In diesem Zusammenhang kannst Du dann auch die Frage nach der Tool-Unterstützung in den Raum stellen. Deine, entschuldige wenn ich dies polemisch ausdrücke, Fixiertheit auf ein Tool von dem Du dann eine quasi automatisierte Einführung der ISO27001 erwartest, meinte ich mit "Du hängst zu sehr an der Technik". Das Tool kommt irgendwann später, wenn der Security-Circle die Mars***richtung festgelegt hat. Dies war wirklich nicht gedacht Dich anzupöbeln, sondern als Hilfestellung gemeint. Ciao Pitti

Ich fürchte, Du hängst immer noch zu sehr an der Technik. Was die Methodik der Risikoanalysen angeht, schau Dir doch mal die ISO 31000 an. Genauer beschrieben wirst Du es nirgends finden. Ciao Pitti P.S. Die ISO-Normungsgremien haben sich auf die Abschaffung des Begriffes "Leitlinie" geeinigt. Zukünftig heißt es auch im Deutschen "Policy". Mit all der Verwechslungsgefahr von technisch- / organisatorischen Policies mit strategischen Policies. Die spinnen die Normer...

Die ISO 27001 in der native Ausprägung ist in aller erster Linie eine Verwaltungsnorm. Den ganzen technischen Kram und auch die Risikoanalysen würde ich erst mal hinten anstellen und mit dem ISMS, den Prozessen zum Management der Risiken beginnen. Ohne das ISMS bekommst Du keine Bewertungsgrundlagen für die Risikoanalyse. Auch wenn ihr die native-Variante wählt, nimm Dir doch mal den Grundschutzbaustein 1.0 vor. Die Maßnahmen daraus müssen auch in der native umgesetzt werden und wenn diese tatsächlich umgesetzt sind, wird alles andere viel klarer. Alleine die Policy (Leitlinie in der GS-Semantik) beinhaltet hundert Weichenstellungen. Wenn diese Weichen alle gestellt sind, dann ist es an der Zeit die weitere Vorgehensweise zu definieren nach der dann auch möglicherweise Tools zur Umsetzung ausgewählt werden können. Ciao Pitti