Pitti259

Oh mei, der Platz hier würde für eine qualifizierte Antwort kaum reichen.

Grundsätzlich: Ein Unternehmen, welches eine Zertifizierung im Informationssicherheitsbereich durchgeführt hat, musste sich zumindest mal sehr intensiv mit seinen Risiken und deren Behandlung auseinandergesetzt haben. Außerdem muß ein IS-Management aufgesetzt sein.

Über das tatsächliche Sicherheitsniveau sagen die meisten Zertifikate aber nichts aus. Speziell bei der ISO 27001 in der native Ausprägung kommt es nicht auf das Sicherheitsniveau an, sondern auf die Verwaltung der Risiken. Besser ist hier die Ausprägung nach ISO 27001 auf Basis IT-Grundschutz, weil hier zumindest die grundsätzlichen Sicherheitsmaßnahmen flächendeckend umgesetzt sein müssen und darauf die Verwaltung der "Restrisiken" aufbaut.

Das wichtigste überhaupt, auf was bezieht sich das Zertifikat? Viele Blender zertifizieren ihre interne IT und lassen den Kundenbereich außen vor. Dann besagt so ein Zertifikat gleich null.

Dann gibt es natürlich noch Zertifikate von Verbänden der Cloud-Industrie. Die Richtlinienwerke dahinter sind gut, ob diese wirklich umgesetzt sind würde ich bei einem Zertifikat eines Interessenverbands nicht beschwören wollen.

Die SAS70-Zertifizierung macht nur bei der Auslagerung des Rechnungswesens in die Cloud einen Sinn. Und dann auch nur bei Verwendung der internationalen Rechnungswesen-Standards.

Dreh den Spieß doch erst mal um. Was möchtet ihr eigentlich in die Cloud verlagern? Welche Sicherheitsanforderungen habt ihr an die Informationen welche ausgelagert werden sollen? Welche gesetzlichen Vorgaben sind zu berücksichtigen? Hilfreich hierfür wäre auch: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02251.html

Aufgrund der vorherigen ermittelten Anforderungen lasst ihr euch von den Anbietern erläutern, wie diese Anforderungen denn von den Cloud-lern im Detail umgesetzt werden. Und nicht abspeisen lassen mit dem Hinweis "wir sind doch zertifiziert, da ist alle in Ordnung". Nicht vergessen, wenn ihr personenbezogene Daten in die Cloud auslagert, müsst ihr laut Gesetz auch regelmäßig vor Ort die Einhaltung der Sicherheitsbestimmungen prüfen. Cloud-Anbieter die sich hier zieren, könnt ihr schon mal aussortieren.

Eine Zertifizierung, so sie sich auf die Cloud-Dienstleistung bezieht, ist nach jedem System hilfreich für eine Vorauswahl. Sie kann aber die Erstellung eines eigenen Sicherheitskonzeptes mit darauf folgendem Abgleich mit dem Cloud-Anbieter nicht ersetzen. Die Verantwortung für die Sicherheit (Haftung) eurer Informationen bleibt bei euch. Wenn der Cloud-Anbieter schlampt, ist das in erster Linie euer Problem.

Genug für Heute, hth

  Pitti (der Audits für solche Zertifizierungen durchführt)

Lokale Adminrechte wegnehmen. Einsatz fremder PC's verbieten.

Geht leider nicht. Die bauen die Rechner in Maschinen ein und müssen daher den vollen Zugriff auf die "PC"s haben.

OK, die MAC-Filterung hatte ich als IT-SiBe bereits vorgeschlagen, die IT hat mit Hinweis auf den Aufwand dies strikt abgelehnt.

Eine Org-Anweisung für die Entwicklungsabteilungen hinsichtlich der zu verwendenden IP-Adressen ist schon auf dem Weg. Allerdings sind die Entwickler bei uns Heilige Kühe. Ob einem Entwickler was passiert wenn er sich nicht dran hält, na ja...

Wir haben ein buntes Sammelsurium an Switchen im Einsatz, auch HP. Die Geschichte mit dem HP-Switch klingt gut. Das werde ich mal gegenüber dem IT-Leiter anbringen. Dagegen kann er dann schlecht argumentieren.

Danke schon mal alle miteinander.

Hallo Netzler,

hat mir doch heute ein Anwender den Zugang zu den outgesourcten Systemen lahmgelegt, indem er einen Testrechner mit fester IP-Adresse, nämlich der des Standardgateways ins Netz hing. Dass nichts mehr ging verstehe ich. Aber wie kann ich sowas eigentlich verhindern? Nein, eine MAC-Adress-Filterung kriege ich hier nicht durch.

Was könnt ihr mir raten?

Danke

  Pitti

Erledigt.

Habe unter W8 ein neues Zertifikat erstellt, mit diesem funktioniert sowohl auf dem W8er-Notebook, als auch auf dem Vista-Desktop das ver- und entschlüsseln im Outlook problemlos.

Bin zwar verwirrt, aber man muss ja nicht alles verstehen.

Danke fürs mitüberlegen.

  Pitti

Hi Zahni,

ja genau. Auf dem Vista-Rechner mit privatem Teil exportiert, auf dem W8er Notebook importiert. Dann im Outlook-Sicherheitscenter unter E-Mail-Sicherheit dem Standard-Profil zugeordnet. Mach ich eigentlich immer so, bisher hat es auch immer funktioniert. Hatte allerdings noch keinen Windows 8 Rechner dabei.

Hallo Welt,

eine Mitarbeiterin hat ein Notebook erhalten, damit sie auch vom Home-Office aus arbeiten kann. Ihre digitalen Zertifikate zur E-Mail-Verschlüsselung habe ich erst nach zwei Wochen, in denen Outlook problemlos funktionierte, von ihrem alten Windows-Vista Rechner exportiert und auf ihrem Notebook importiert. Daraufhin hängt sich Outlook beim öffnen einer verschlüsselten E-Mail auf dem Notebook auf. Prozess lässt sich per Task-Manager abschießen.

Steht jetzt in ihrem Posteingang an erster Stelle eine verschlüsselte E-Mail, startet Outlook gar nicht mehr. Ab dem Outlook-Logo hängt die Kiste.

Also certmgr gestartet, das Zertifikat gelöscht, Outlook geht wieder...

Bis zu dem Zeitpunkt, wo eine verschlüsselte E-Mail reinkommt. Verschlüsselt von einem Kollegen natürlich mit dem öffentlichen Teil des bereits bekannten Zertifikates unserer Mitarbeiterin. Outlook blockierte sofort, Mitarbeiterin bootet die Kiste, Outlook lässt sich nicht mehr starten. Kein digitales Zertifikat der Mitarbeiterin im Zertifikatestore.

Wie komme ich jetzt dem Problem auf die Spur? Gibt es eine Möglichkeit ein logging einzuschalten (bei den Parametern habe ich nichts gefunden)? Kennt vielleicht jemand das Problem?

Ich zögere noch etwas die clean...Parameter anzuwenden. Teilweise verstehe ich diese auch nicht. Bin ich hier zu ängstlich?

Für jeden Hinweis dankbar

  Pitti

Hallo Welt,

mag vielleicht eine Dummie-Frage sein, aber ich bekomme eine VPN-Verbindung nicht zum laufen. Ich versuche über einen Sonicwall VPN-Client ein Netgear FVG318 anzuklinken. Sollte eigentlich machbar sein, glaube ich.

Beim Verbindungsversuch bekomme ich immer: Error processing incoming aggressive mode packet. Current state ((null)) does not match expected state (AUTH).

Was will er denn?

Für jeden Hinweis dankbar

  Pitti

@james103: Was soll uns dies sagen?

Jetzt geht's ans eingemachte.

Die BSI 100-4 kann nicht zertifiziert werden. Aber, wenn diese vollständig umgesetzt wurde, kann nach ISO-22301 zertifiziert werden. Die Norm ist damit praktisch vollständig umgesetzt.

Das Informationssicherheitsmanagement ISMS umfasst neben der Verfügbarkeit auch noch Vertraulichkeit, Integrität, Authentizität usw. Das Busines Continuity Management BCM setzt praktisch nur auf die Verfügbarkeit. Dafür geht es an dieser Stelle aber viel weiter. So interessiert mich im ISMS ein pleite gehender Hauptlieferant für wichtige Teile nicht die Bohne. Im BCM schon. Im ISMS interessiere ich mich nicht für die sicher gestellte Liquidität des Unternehmens. Im BCM schon.

Für die Zertifizierung nach ISO 27001 native oder auch auf Basis IT-Grundschutz zählt nur die IT-Notfallvorsorge. Nicht das Business Continuity Management.

Ein IT-Notfallmanagement basierend auf einer Person würde ich als Auditor nicht akzeptieren. Das Notfallvorsorgemanagement wäre mit einer Person denkbar. Aber das Notfall-Team? Eine Person als Notfallmanager, Notfall-Response-Team, Notfallkoordinator. Denken, Lenken und arbeiten gleichzeitig. Koordinieren, alarmieren, Notfallmaßnahmen umsetzen, alles gleichzeitig? Vergiss es!

Wenn ich es richtig aus Deiner Mail gelesen habe, wollt ihr ein IT-Notfallmanagement für ausgewählte Geschäftsprozesse. Nimm Dir den Baustein 1.3 aus den GS-Katalogen und bastel Dir eine kleine, technische BIA drüber.

Ohne Dich jetzt demotivieren zu wollen, von einer Zertifizierung, egal nach welcher Norm, seit ihr Lichtjahre entfernt. Rede das möglichst schnell Deiner GL aus.

Ciao

  Pitti

Hallo Drivemast,

woran hangelst Du Dich jetzt entlang? Können wir Dir noch helfen?

Ciao

  Pitti

Hallo Mändü,

grundsätzlichster Unterschied zwischen dem Baustein Notfallmanagement und den beiden anderen Ansätzen ist, dass für den B 1.3 die IT im Vordergrund steht. Bei der 100-4 und der ISO steht das Business Continuity als Ganzes, also über die IT hinaus im Fokus. D.h. Du musst erst mal den grundsätzlichen Ansatz Deiner Geschäftsleitung herausbekommen, dann kannst Du weiter analysieren. Wollt ihr Zertifizieren? Wenn ja nach was?

Der B 1.3 hilft Dir ohne die anderen GS-Bausteine relativ wenig, weil viele Vorsorgemaßnahmen in den andern Bausteinen gelistet werden. Für eine Zertifizierung nach ISO 27001 braucht ihr übrigens keine 100-4 oder ISO 22301 umsetzen. Aber ihr braucht ein IT-Notfallmanagement.

Also, was will Deine GL?

Ciao

  Pitti (ISO 27001-Auditor)

Hey Hippo,

rein Interessehalber, was macht ihr jetzt?

Ciao

 Pitti

Hey Makana,

welche 27001er Zertifizierung habt ihr gemacht? Native oder IT-Grundschutz?

Innerhalb eines Jahres umgesetzt ist ausgesprochen gut. Wie groß ist euer Laden?

Ciao

 Pitti

Hallo allerseits,

als BSI lizenzierter Auditor bin ich vielleicht etwas voreingenommen, werde aber versuchen möglichst objektiv zu raten.

Wenn die Idee zur Zertifizierung aus der IT kommt, ist das Ganze schon mal zum scheitern verurteilt. Speziell die ISO 27001, aber auch der darunter liegende IT-Grundschutz betreffen alle Abteilungen des Unternehmens. Wenn die GL nicht die Zertifizierung als Ziel für sich entdeckt hat, wird es nicht funkionieren. Eine ISO 9001 oder 14001 als Grundlage wäre auch gut, dann kann man viele der einzuführenden Prozesse schon mal beim QM abladen.

Neben den Prozessen sind die Grundschutzkataloge des BSI das Thema an sich. Darin sind die technischen und organisatorischen Regelungen für die Herstellunge eines grundsätzlichen Sicherheitslevels geregelt. Die technischen Maßnahmen sind meist schnell und effizient umsetzbar. Bei den organisatorischen Geschichten muss viel Papier und noch mehr Diskussion mit Fachabteilungen aufgebaut werden. Das macht man nicht mal nebenbei.

Wenn ihr ernsthaft die Zertifizierung angehen wollt, setzt ein Projekt über zwei Jahre auf. Nehmt euch einen entsprechenden Berater, der selbst schon Zertifizierungsaudits durchgeführt hat. Nur so Einer weiß, was wirklich gebraucht wird.

Zu den Kosten:

Die internen Kosten und die Kosten für die Umsetzung von Maßnahmen sind natürlich ausgesprochen individuell. Keine Schätzung möglich.

Der Berater sollte nicht mehr als 1100 Euronen pro Tag kosten und durchschnittlich ein bis zwei PT pro Monat vorstellig werden.

Die Zertifizierung beim BSI kosten 2500 Euro.

Das Audit für die Zertifizierung könnte ihr mit 15000 bis 20000 Euros einplanen.

Der unterschied zwischen ISO 27001 native und ISO 27001 auf Basis IT-Grundschutz ist das benötigte Sicherheitslevel. Bei native zertifiziert man ledigliche das System, eine Aussage zum Sicherheitsniveau gibt es nicht. Bei der Grundschutzvariante müssen einige hundert technische und organisatorische Sicherheitsmaßnahmen umgesetzt sein, damit das Zertifikat erteilt wird.

Alle Klarheiten beseitigt?

Ciao

  Pitti

Hi Joe,

was hast Du denn unter freigegebene Ordner im NAS-Menü eingetragen? Wenn ich bei mir, ohne Domäne, auf den Netzwerknamen gehe, bekomme ich nur die Verzeichnisse (mit Unterverzeichnissen natürlich), die ich in der Freigabe angegeben habe. Gehe ich mit der IP drauf, bekomme ich auch eins mehr.

Hast Du im Authentifizierungs-Setup den Schalter auf externen SMB gesetzt? Sollte in Deinem Fall eigentlich sein.

Hallo,

mir fällt zum Thema Firewall gerade noch was ein. Nimm doch mal den BSI-Grundschutzbaustein https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03301.html her, zieh Dir die Maßnahmen der Stufe A heraus und prüfe eure "Firewall" auf Umsetzbarkeit der Maßnahmen. Wenn machbar, dann umsetzen der Maßnahmen (einiges an Papierarbeit). Wetten eurem Datenschützer fällt dann nichts mehr ein :-).

Ciao

Pitti

Hallo Welt,

in einem kleinen, serverlosen Netz, wurde ein Vista-Rechner durch Trojaner beschädigt. Der Virenscanner erkannte die Übeltäter zwar sehr schnell, aber wohl doch zu spät. Nach der Bereinigung, c't Desinfect sei Dank, laufen auf diesem Rechner das Sicherheitscenter, die Windows Firewall und der Windows Defender nicht mehr. Einschalten ist nicht, Meldung "Der angegebene Dienst ist kein installierter Dienst".

Die Registry-Einträge für diese Dienste habe ich bereits manuell angepasst, den Defender auch wieder in die Run eingetragen, bringt aber alles nichts.

Frage: Wie bekomme ich die Dienste für das Sicherheitscenter, die Windows-Firewall und den Windows-Defender wieder ans Laufen?

Für jeden Hinweis dankbar

Pitti

P.S. Der Virenscanner (G Data) war nach dem Desinfect ebenfalls hinüber, konnte ich aber deinstallieren und bereinigen. Habe jetzt vorläufig mal Security Essential drauf, damit mir die G Data-Firewall nicht in meine Konfigurationsversuche spuckt.

P.P.S. Die Rechner befinden sich hinter einer ordentlichen Hardware-Firewall, daher keine akute Panik von meiner Seite.

Habe Adobe 9 neu installiert, die Fehlermeldung bleibt auf "keine Daten".

 

Und wenn Du SP3 für O2007 wieder deinstallierst, funktioniert dann alles wieder?

Ähemm, auch auf die Gefahr hin als DAU hier zu stehen, bei den installierten Updates kann ich das SP3 nicht deinstallieren. Der Knopf für deinstallieren verschwindet, sobald ich das Update anklicke. Bei den meisten anderen Updates würde es funktionieren. Ausgerechnet hier aber nicht.

Stelle ich mich gerade besonders Intelligent an oder was bedeutet das?

Wäre ja eigentlich kein Problem, habe die Adobe 9.0 Vollversion.

Aber, wenn ich einen normalen pdf-Druck anstoße werden die Inhaltsverzeichnisse nicht als Verzeichnis exportiert, sondern halt gedruckt. Eine Unzahl von Links im Dokument sind dann nicht direkt anwählbar, sondern gedruckt. Daher also nur eine Notlösung.

Du hast mich damit allerdings auf die Idee gebracht, im Acrobat die Word-Datei zu öffnen und in pdf zu konvertieren. Funktioniert auch nicht mehr. Acorbat meldet, öffnen der Applikation und dann eine abstruse Fehlermeldung von wegen fehlender Daten.

Trotzdem besten Dank.

Hallo Welt,

habe den Fehler begangen, das SP 3 bei mir zu Hause einzuspielen. Jetzt gehen die Export-Funktionen pdf und xps nicht mehr. Da ich ständig Berichte tippen und als pdf abgeben muss, eine Katastrophe.

2008 gab es für die Fehlermeldung "unerwarteter Fehler beim exportieren" schon mal einen Hot-Fix, aber dieses uralte Ding einzuspielen wäre wohl kontraproduktiv.

Ach ja, natürlich habe ich diverse Berechtigungsprobleme abgeklopft, exportieren gelingt nirgendwohin, auch nicht als Admin, weder lokal noch über Netz.

Fragen:

Das halbe Dutzend Updates inklusive SP 3 von dieser Woche zu deinstallieren, haltet ihr dies für klug?

Hat jemand eine Lösung in Petto?

Vielen Dank im Voraus

Pitti

 

da nicht so schlimm ist, wenn man auf einen einfachen Sprinkler setzt.

Aufpassen, es gibt mehr Schäden durch von außen eindringendes Wasser als durch Feuer in RZs

Dass die Türen strahlen nach einem Brand ist eigenlich so logisch-so sehr logisch, dass ich es total vergessen hab^.^ Nun gut, im größten Notfall kann man noch immer dann die T90 kühlen lassen,

Nicht so, wie Du es augenblicklich glaubst. Eine heiße Tür "strahlt". Nicht Radioaktiv sondern Thermisch. D.h. die Strahlungsenergie muss abgeleitet werden. Schon mal über eine Schleuse mit zwei Türen nachgedacht?

Es ist richtig, dass das Kind schon in den Brunnen gefallen ist, wenn diese Löschmittel zum Einsatz kommen und wohl eher wirksamer sind, wenn es nur kleinen Brand in irgendeiner Ecke geht. Und dann sollte man wohl mit Hilfe eines Rauchmelders die Löschanlagen sofort bei einer geringen Lichttrübung schon aktivieren lassen.

Oh oh, ein Nachteil der Brandfrühesterkennung ist eine relative hohe Fehlerrate. Mit ein bis zwei Fehlalarmen pro Jahr müsst ihr rechnen. Eine Novec-Füllung kostet bei einem kleineren Raum ca. 10.000 Euronen. Das erklär mal dem Controller.

Nun was die "Sprinter-Person" angeht.. da gibt es noch die geniale Idee von IP Kameras, welche einem im Notfall ein "Auge" in den Raum schenken könnten. Und eine Fernabschaltung bzw. die Möglichkeit, dass die Server sauber gedownt werden, ist schon was feines!

IP-Nase wäre besser. Im ernst, wenn Du über die Kamera etwas siehst ist es zu spät. Dann haben die korrosiven Gase aus dem Schmorbrand schon Schäden in anderen Geräten angerichtet. Du brauchst eine reale Person, die hinter dem schmoren herschnüffelt und den richtigen Stecker zieht. Fernabschaltung, ja, aber mit Netztrennung! Nicht einfach runter fahren...

Hast du, was die Wände angeht, eine Firma, die du empfehlen kannst? (es handelt sich um Trockenbau)

edit: hab die Firma Knauf gefunden. Gibt es da Erfahrungswerte?

Im Prinzip ja, aber nur mit Fireboard kommst Du nicht weit. Jetzt kommen wir aber in den Bereich meiner Betriebsgeheimnisse. Wir haben lange getüftelt, um aus Modulen der Trockenbaufirmen zertifizierbare RZ-Wände zu gestalten.

Ciao

Pitti

Hallo,

Brände außerhalb des RZs:

Beim Schutz von RZs ist das Zwiebelprinzip wichtig. Bereits im näheren Umfeld des RZs sollten keine Brände entstehen können, oder so schnell gelöscht werden, dass eine Gefährdung des RZs unwahrscheinlich wird. T90 für Türen oder F90 für Wände bedeutet, dass auf der brandabgewandten Seite die Temperatur innerhalb von 90 Minuten "nur" um 140 Grad steigen darf. Innerhalb von 90 Minuten sind in Deutschland alle Menschen aus einem brennenden Gebäude gerettet, wer rettet die Server? Darüber hinaus strahlt eine Brandschutztür noch 8 Stunden nach dem Brand eine beträchtliche Hitze aus. Spätestens dann sind die Server hinüber. Daher ist es wichtiger die Umgebung zu schützen.

Brände innerhalb des RZs:

Löschanlagen, ob mit CO2 oder Novec oder was auch immer sind ja recht nett, schlagen aber erst zu, wenn das Kind bereits im Brunnen liegt sprich einige Server im Eimer sind. Die bei einem Brand entstehenden korrosiven Gase demolieren Dir ruckzuck die anderen Server noch bevor die Löschung beginnt. Richtiger wäre entweder die bereits angesprochene Sauerstoffreduktion (teuer), oder eine Brandfrühesterkennung, Detektion bei mind. 0,05% Lichttrübung. Bringt allerdings nur was, wenn jemand da ist der bei Alarm hinsprintet und den Stecker zieht. Die Brandfrühesterkennung schlägt ca. 10 Minuten vor dem eigentlichen Brand an, also eigentlich genügend Zeit.

Für die Wände gibt es verschiedene Lösungen. Kommt drauf an, wie diese augenblicklich aussehen. Beton, ganz schlecht, baut woanders. Gemauert, dann zieht eine zweite 11,5 Mauer hoch mit Dämmung dazwischen. Trockenbau, gibt es die Fireboards, zusätzlich hochgezogen mit Dämmung zur bisherigen, geht auch gut. Feuerüberschlag über die Decke beachten, gegebenenfalls extra dämmen. Boden, was ist drunter? Wie ist der Boden gefertigt? Stahlbau, dann wirds teuer, neuer Boden ist angesagt. Beton, Dämmung und Dampfsperren, zusätzlich brandgeschützte Träger einziehen. Sonst findet ihr euer RZ vielleicht im Keller wieder.

Die Klima muss übrigens dem Brandschutzkonzept angepasst werden.

Das war jetzt ein kleiner Abriss, wenn ich ein RZ entsprechend aufrüste brauche ich für das Konzept zwischen einer Woche und einem halben Jahr. Wenn ihr jemanden beauftragt, auf keinen Fall einen normalen Architekten. Es gibt genügend Anbieter für den RZ-Bau. Räumliche Nähe ist von Vorteil. Bei der Auswahl den Tier Level nach TIA 942 ansprechen. Wenn der Anbieter nicht weiss was das ist, rauswerfen.

Hth

Pitti

Erledigt. Die Perflib war defekt. Event-ID 1008, Fehler 49152. Behoben durch Kommando Lodctr /R.

Besten Dank für die Unterstützung an alle!

Ciao

Pitti

P.S. Was die Performance-Library mit dem Grafiktreiber für den externen Monitor zu tun hat erschließt sich mir leider nicht.

Und welche 3rd Party Dienste und Programme starten dort mit?

Und jetzt sind wir genau beim Punkt. Ich brauche ein Protokoll über die gestarteten Dienste und Programme bei der User-Anmeldung. Die Ereignisanzeige sagt immer aus, dass das Protokoll wegen des überraschenden Neustarts des Rechners nicht gespeichert werden konnte. Auf welchem Weg kann ich den Start von Diensten und Programmen bei der Anmeldung protokollieren? Wohlgemerkt bei der Anmeldung, nicht beim Hochfahren des Rechners bis zur Anmeldemaske.