magheinz

Dazu muss aber die Geschäftsleitung Stellung beziehen. Ansonsten ist man schnell in der Lage die Kollegen an der Arbeit zu hindern, denn anscheinend machen die ja nichts verbotenes. Es ist äußerst sinnvoll Verbote technisch auch durchzusetzen, es ist aber nicht Aufgabe der IT Verbote auszusprechen.

Wenn "investieren" Geld ausgeben bedeutet, dann wundert mich nix.

Was ist klein für dich? Wir sind ca 250 Leute und ich kann bei keinem der Punkt mit ruhigem Gewissen einen Haken machen...

Im Betrieb ja, bei der Fehlersuche siehts schon anders aus. Wer mal Plattenplatz auf der vcsa frei machen musste, der freut sich, wenn er Linux schon mal gesehen hat.

Wenn die Server wichtig sind nimm das womit du dich auskennst. Es gibt nix dooferes als sich bei Problemen helfen zu können weil man das eingesetzte Produkt nicht kennt.

tja, was soll ich dazu sagen? Man sichert sich selbst durch Aktennotizen und anderes schriftliches Zeug ab und das war's dann. In Sachen IT-Sicherheit allgemein gab es eine deutliche E-Mail von mir an die Geschäftsleitung. Im zweifel sind die jetzt verantwortlich. Ich passe nur noch auf keine "illegalen" Anweisungen umzusetzen. Im Zweifelsfall lege ich einen Fall dem Justiziar vor. Für die DSGVO ist der Datenschutzbeauftragte zuständig. Den Schuh ziehe ich mir nicht an. Ich weise da einmal, per E-Mail zum Nachweis, auf einen Mißststand hin und warte dann ob etwas passiert. Solange ich nicht aktiv an dem Verstoss mitarbeiten muss ist mir dass dann egal. Sollte ich einmal zu einen klaren Verstoss "gezwungen" werden, läut das auf einen Showdown heraus den ich in erster Instanz verliere. Zum Glück werden ITler gesucht. Ich hoffe nur ich würde in so einem Fall erfahren was dann die Aufsichtsbehörde dazu gesagt hat. Bisher konnte ich mich aber immer durchsetzen. Dann sind halt Anweisungen von weiter oben nicht umgesetzt worden.

Richtig. Private Daten dürfen nunmal nur sehr eingeschränkt gefiltert werden. Erlaubt oder duldet man die private Nutzung von Internet, E-Mail etc wird man zum Zugangsprovider und fällt unter das Telemediengesetz. Hier gelten dann so Dinge wie das Fernmeldegeheimnis etc. Das läßt sich auch nicht so einfach per Dienst-/Betriebsvereinbarung umgehen.

Solange die private Nutzung bei uns geduldet ist machen wir Deepinspection ausgehend nicht an. An ist das alles nur eingehend für unsere Server in der DMZ. Die cisco firepower könnte noch viel mehr, aber privat ist privat. Da lass ich dann auch nicht mit mir reden. Dazu kommt das "besondere" bei uns. Der Wissenschaftsbetrieb muss halt laufen. Im dümmsten Fall haben wir ein Projekt "Malware aus Deutschland und der soziokulturelle Hintergrund" oder "Hitler und seine Computerviren". Ich würde gerne Verwaltung und Wissenschaft trennen, das ist aber ein langer steiniger Weg. Das mit dem Bewusstsein ist halt so eine Sache. Mein Beispiel sind immer unsere Nachbarn. Denen hat man vor einiger Zeit, die älteren unter uns werden sich erinnern", eine 100Kg-Goldmünze geklaut. Trotzdem läuft der Betrieb weiter und es hatte keine, von außen sichtbaren Konsequenzen. Die Frage die sich daraus ergibt: welche Risiken haben wir eigentlich und was darf uns die Beseitigung kosten. Die klassische Einteilung und niedrig, mittel und hoch mit hoch=firmenpleite funktioniert halt bei einer Behörde nicht.

Ich wünsche auch allen frohe Weihnachten und IT-Notfall freie Tage. Genießt die Tage mir Familie, Freunden oder wie auch immer ihr Weihnachten feiert oder sonst die Tage verbringt.

Argumente? Wer hat was von Argumenten gesagt?

hehe Das wirklich gute daran bei einer Behörde zu arbeiten ist, das man die ganzen Katastrophen in Deutschland ziemlich genau verstehen kann.

genau. Ich sehe, du kennst das. Gleichzeitig bekommt man den Auftrag ein Informationssicherheitskonzept zu erstellen. Die Einschränkung ist: Grundschutz ist nicht erwünscht. Ein großes Beratungsunternehmen wurde damit beauftragt und ist komplett verzweifelt. Und das waren Leute die so etwas sonst für Frau von der Leyen machen...

Treffer... Jegliche Einschränkungen sind unerwünscht. Das gilt auch für die Geschäftsführung. Selbst ein MDM für die ganzen mobilen Geräte ist abgelehnt worden. Securitypolicys sind nur insoweit erwünscht wie klar ist, wie man sie umgehen kann.

Entweder ein Dokumentenformat nutzen welches solche Aktionen wie merge, split etc kennt, oder tatsächlich mit vielen Kopien arbeiten und das Mergen hinterher erledigen. Offline arbeiten und dann syncen ist einfach fast unmöglich.

Bei einigen Servern haben wir Prüfsummen der wichtigsten Dateien. Unter Linux gibt es dafür extra tools wie z.B. tripwire. Antivirussoftware welche auf einem System selber Alarm schlägt, ist eigentlich per Definition, nicht mehr vertrauenswürdig. Wir evaluieren derzeit deswegen VMware NSX um das Antivirus aus den Systemen selber heraus zu bekommen. Und ja, wir hatten schon verschlüsselte Rechner. Seit dem bekommen die Leute welche einen Verdacht haben direkt die Anweisung das Netzwerkkabel zu ziehen und im Normalfall werden die Rechner platt gemacht und neu deployt. Ab und an schauen wir uns einen Näher an. Bisher scheint das Einfallstor immer E-Mail gewesen zu sein. Eine Zeit lang haben wir noch Sensibiliesierungsmassnahmen gemacht und die Kollegen versucht zu schulen.

Unterschiedliche ADs sind unterschiedliche REALMs. Damit sollte man etwas machen können. Entweder lässt sich pam.ldap schon entsprechend konfigurieren oder könnte einen Radius dazwischenhängen.

Ich würde das Konstrukt umbauen und das GW in ins interne Netze holen. Vor allem wenn ja sogar schon der reversproxy da ist.

Setzt ihr schon eine monitoring Lösung ein? Ich würde ja etwas suchen was sich da einklinkt um nicht zwei systeme im Blick haben zu müssen.

Der Punkt ist: wie alte Daten benötigst du im Fall der Fälle und wie schnell würdest du bemerken dass die eeg, zerstört o.ä. sind? Das ergibt dann deine Vorhaltezeit der Backups. Ob dem FA Papier genügt musst du wissen, das sollte ja auch nur ein Beispiel sein.

Um mal Zahlen in den Raum zu werfen: "Unsere" ausgelagerten Mailfilter nutzen 3 Malwarescanner. Zwei kommerzielle und clamav. Alle drei haben eine ähnliche Erkennungsrate, aber jeder erkennt andere 70% der Gesamtmasse. Eine Erhöhung der Erkennungrate ergibt sich demnach erst durch die Anwendung mehrerer Filterprogramme. Die Erkennungsrate kann also kein Auswahlkriterium sein. Nimmt man den Preis, gewinnt logischerweise clamav. Das einzig technische, valide Kriterium wäre dann also das Featureset. Du musst also klären welche Funktionen du brauchst und willst.

Wir hatten einen Fall da lies sich die Verschlüsselung nachvollziehen.der atrojaner war seit etwas mehr als zwei Wochen aktiv bis er bemerkt wurde. Kommt dann noch Urlaub dazu sind schon 6Wochem rum. Musst du gesetzliche Auflagen erfüllen und z. B. Dateien 10Jahre fürs Finanzamt aufheben?

Tapes händisch auslagern geht halt ab einer gewissen Anzahl nicht mehr wirklich. Wie gesagt, wir haben uns in ein entsprechendes Archiv eingemietet und sobald wieder Zeit ist, testen wir da weiter. Die Größenordnung dürfte da ähnlich wie in Norbert Beispiel sein, eher größer. Bei denen ist alles doppelt, vorhanden womit jedes Bit zwei mal in jeweils einem Raum auf einem Band liegt. Diese sind aber seht wohl über ein hierarchisches FileSystem direkt per NFS ansprechbar. Die Backups auf den Storagesystemen sind ja keine klassischen NTFS-Laufwerke. Man kann sie aber durchaus als CIFS/NFS per UNC einbinden und ansprechen. Die sind readonly, da kann keine Maleware was drann machen. Tapes auslagern hies bei uns früher sie aus der library nehmen und in den 2Meter entfernten Holzschrank legen. Sorry, da hat die Autokorrektur am Handy zugeschlagen. Erstaunlich dass die "RFC" kennt.

Die diskbackups sind readonly Snapshots. Quasi "incremental forever". Der Witz mit den Tapes ist ja, die liegen im Bandroboter, sind also auch nur auf dem Papier offline. Da bei uns eine Vollsicherung mehrere Tage gedauert hatte und dieses dann nan auf mehreren Bändern verteilt war, ging das gar nicht anders. Trotzdem musste einmal die Woche jemand die Bänder tauschen. Bei uns sind die Risikoträger die Steuerzahler. Zum Glück machen die uns recht wenig Auflagen. Laut den wiki Artikel gehen die RFC bis 1TB. Da braucht man ja täglich eine 2Stellige Anzahl an Bändern. Das ist nicht wirklich händelbar.

Ok, mein Eindruck war halt bisher, dass sich tapes eher stark zurückentwickeln. Mag sein das mein Blick da durch die Werbung der Diskstorageanbieter in eine Richtung fokussiert wurde.

nunja, das haben wir vor Jahren abgeschafft. Die Daten liegen auf einem redundaten Filer und die Backups auf einem identischen Gerät im anderen Gebäude. Beide sichern über echte Kopien und Snapshots. Ohne Snapshots sind RPOs von einer Stunde nicht mehr umzusetzen. Unsere Restoreanforderungen in Sachen RTO in Kombination mit der heutigen Datenmenge lassen Bänder nicht wirklich zu. Im Desasterfall sind mit Bändern die Zeitanforderungen nicht einzuhalten. Ein Bandroboter mit der notwendigen Kapazität ist unbezahlbar. Bei bezahlbaren ist zu viel Handarbeit angesagt. Keiner hat die Zeit manuell Bänder zu wechseln. Sollte irgendwann ein dritter Backuport notwendig sein wird das ein dritter Filer oder ein object-Storage was eigentlich auch nur ein Filer ist. Witzigerweise hat unser IT-Sicherheitsbeauftragter, für eine spezielle Anwendung, die Nutzung von USB-Platten als zusätzliches Backupmedium angeordnet, was er aber auch selber durchführen muss. Zusätzlich haben wir uns in ein Langzeitarchiv eingemietet welches Bandroboter betreibt. Deren Anschaffung würde den Gesamt-IT-Etat bei uns übersteigen.