ThomasAnderson

Hi, die TLS Lösung geht dann doch durch das Email GW durch und kann nicht von diesem gescannt / aussortiert / gefiltert werden, da sie am Exchange ansetzt?

Die Ciscolösung hat noch niemand ausprobiert?

Hallo, habt Ihr Empfehlungen für eine Gateway basierte Email Verschlüsselungs-Lösung. Anforderungen: - einfache Integration (Exchange) - transparent (ohne User Interaktion) bspw. durch Filterfunktionen zur Überprüfung der Inhalte der Mail - Zusammenarbeit mit anderen PGP S/MIME Systemen - zentral administrierbar - am besten auch noch mit alternativem Weg für verschlüsselte Email (verschlüsselte PDF oder Webportal) Was haltet ihr von der: http://www.alpha2000.de/download/ironport_email_verschluesselung.pdf Danke für die Tipps. PS.: Falls jemand eine nicht PGP basierte sondern bspw. TLS Lösung o.Ä. empfehlen möchte, scheut Euch nicht :)

Genau so hab ich das auch in Erinnerung, vielen Dank. Was VLANs sind und in welchen Fällen sie durchaus sinnvoll sind ist mir bekannt. Vielen Dank für Eure Erfahrungswerte.

Also habe ich ja eigentlich mit meiner Aussage recht, denn Du bestätigst das ja noch einmal. Alles ist beschaffbar. Am sinnvollsten wäre eine strikte Trennung durch 2 redundante Firewalls und eine (nicht virtualisierte) DMZ. Alle VLANs sollten spätestens an der internen FW zusammentreffen und es sollte keine Möglichkeiten geben diese zu umgehen. Bei den Firewallpreisen kann ich mir jedoch nicht vorstellen, dass jedes Unternehmen eine redundante Firewall besitzt?

Hi, ich meine mit physikalische Trennung die richtige physikalische Trennung und mit Layer 2 die logische wie Du geschrieben hat. Wenn für mich eine physikalische Verbindung nur von FW -> DMZ -> FW geht dann müssen diese schonmal immer passiert werden. Wenn jedoch -> Router -> FW -> DMZ -> FW -> Router ------------------------------> Router die beiden Verbindungen existieren und das NW so konfiguriert ist, dass die Verbindung rein logisch (also auf Layer 2 über VLANs) nur über die FWs möglich ist, jedoch von der Anbindung trotz Layer 2 Trennung auch anders möglich wäre. Ich dachte immer, mir wurde das so beigebracht, dass die sicherste Lösung auch die sauberste Lösung ist. Oder ist das Paranoid? Wie gestaltet ihr denn die DMZ? Heißt es am Ende doch mein Prof war wahnwitzig und eine VLAN Sicherung reicht locker auf. Bitte kein "es kommt drauf an", sondern einfach wie man hast heutzutage am sinnvollsten löst.

Hat noch jemand so ein Beispiel wie @lefg: das ist echt top!

Hallo, ich kenne aus den Vorlesungen die strikte Trennung: Internet<--->Firewall<--->DMZ<--->Firewall<--->internes Netz rot - orange - grün Beim NW Redesign geht es jetzt darum, die Netze nicht nur redundant auszulegen sondern auch eventuelle Sicherheitsfehler zu beheben. Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar. Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.). Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich. Wir haben Drucker Netzte etc. auch "nur" über VLANs getrennt, wie es ja eigentlich üblich ist. Aber ich denke nicht, dass diese Trennung einem FW Konzept von der Schwere her gleich gilt. Vielen Dank für Eure Tipps. Gruß

:D ???

Hallo, mal eine reine Interessefrage. Wie handhabt ihr die Sicherheit Eurer sensiblen Daten im RZ? Also alles was Kunden oder Eure eigenen Daten betrifft (Projekte, Konfigurationen etc.). Klar, über das jeweilige Rechtekonzept, durch ein Backup und ein vernünftiges Raid-System. Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft? Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)? Ist SW-seitig in einer KMU überhaupt sinnvoll? Reichen die Userberechtigungen schon aus für einen vernünftigen "Grundschutz". LG

Hi, habe mir den Thread mal angeschaut. Bei uns geht es leider um etwas andere Datensätze. Bspw. "dokumentierte" Zugänge zu Kundenswitchen und deren Adressen. Passwortsafe sieht ganz gut aus und vielleicht würde sich mit der richtigen Ordnerstruktur das aktuelle Konzept auch realisieren lassen. Hat jemand anders noch Ideen? Cyber-Arc gefällt mir leider gar nicht, habe nur ein Video dazu gefunden und das Programm ist wirklich sehr auf Internetnutzung ausgelegt. GIbts dafür überhaupt ein deutsches Sprachpaket? Keepass hat leider keine zentrale Datenbank. Anforderungen: - USB fähig ist oder im Offlinemodus möglich (für die Servicetechniker). - Rechteverwaltung natürlich - Verschleierung der Eingabe - Logging - Creme de la Creme, wenn nur die wirklich zugänglichen Daten sichtbar sind. ( Von Fraunhofer gabs ja einen Manager, der einen immer passieren lässt und so eine Art Honeypott darstell) - Darüber hinaus RAM löschen - hohe Verschlüsselung - Als optionales Feature eine 2-stufige Authentisierung (mit so einem Masterpasswort kann man schon einiges anfangen). - Backup sollte selbstverständlich sein. - Optional AD Import der User Ansonsten ist die vorgefertigte Eingabe für Anwendungen im Passwortsafe richtig gut gemacht finde ich. Hat jemand Ideen? Danke für die Tipps. €: Hat jemand Erfahrungen mit Onetime-Pad Lösungen wie Lin OTP?

Hallo liebe Gemeinde, ich bin auf der Suche nach einer passenden Managementlösung für die Verwaltung für Kundendaten wie IP-Adressen von Access Points / Switchen / Core Komponenten, aber auch VLans und den zugehörigen Passwörtern. Bisher habe ich noch keine Managementlösung gefunden die allen Anforderungen entspricht, bzw. nicht einmal eine die überhaupt mehrere Punkte gleichzeitig erfüllt. Die Lösungen sind alle nur für Passwort / User Ablage gedacht. Wäre es sinnvoller die IP Adressen (oder gar gesamte Excel Sheets) verschlüsselt über die ERP SW zugänglich zu machen und bei den passenden Kunden zu hinterlegen? Sollten die Logindaten und Passwörter besser noch gleich getrennt aufbewahrt werden? Wie regeln so etwas "größere" Unternehmen und gibt es ein standardisiertes Verfahren oder Best Practices für die Verwaltung der Netzwerkdaten (eine Art Active Directory für Kundennetzwerke). Vielen Dank für Tipps, Anregungen oder Eure Umsetzungsbeispiele.

Ich weiss schon wie Du es meinst, Danke. Für mich gehören die Risikokriterien und Schwellwerte zum Beispiel zur Risikoanalyse :). Kategorisiert wurde schon. Dass die technischen Faktoren länger dauern ist klar, aber wir wollen uns auch nicht an Details kaputt klamüsern, sondern effektiv und schnell die aktuell wichtigsten Risiken herausfinden und passende Maßnahmen umsetzen! Alles andere kommt im Lebenszyklus des ISMS. Jetz weiss ich wenigstens was Du meinst, ich dachte mir schon andauernd ich mache doch gar nichts technisches. Das Problem ist ja, dass jede Risikomethode anders abläuft. Als Schwellwerte kann ich mir vorstellen, dass einfach qualitative Werte genommen werden, da in vielen Fällen keine Zahlen und Wahrscheinlichkeiten möglich sind, und dabei nur unrealistische Zahlenwerte rauskommen würden.

Das ist doch gar nicht technisch :confused: Sondern einfach nur sehr organisatorisch :wink2:

Hi, ich bräuchte ein paar Tipps zur Risikoanalyse. Also mittlerweile habe ich zig verschiedene Ansätze gesehen und einige Tools durchgeschaut, aber die meisten sind zu ausführlich, unnütz oder schießen am Ziel vorbei. Gefordert sind: - Risikoakzeptanzkriterien - Risikobeurteilung für die 3 Sicherheitsziele - Risikoeigentümer - Analyse der Risiken - Auswirkung beurteilen - Wahrscheinlichkeit beurteilen - Risikostufen - Bewertung der Risiken - Prioritäten festlegen Welches pragmatische aber dennoch effektive Vorgehen hierzu gibt es denn? Die Informationswerte wurden gesammelt und kategorisiert. Laut Lektüre gibt es zig verschiedene Möglichkeiten, qualitativ, quantitativ, semi-quantitativ und so weiter. Eine qualitative Methode würde völlig ausreichen. Lieber vernünftig und nicht so umfangreich, als zu umfangreich und unsauber. Das Vorgehen das ich so gelesen habe lautet: 1. Klassifizierung der Informationswerte = wofür soll das gut sein, wenn ich das Schadenspotential eh später nochmal bestimmen muss 2. Bedrohungs- und Schwachstellenanalyse (parallel aktuelle Maßnahmen / IST-Zustand) = Risiko 3. Individualrisiken finden 4. Risikobewertung = an einer Skala / Matrix spiegeln. 5. Risikoakzeptanz = Abwägung ob Risiko tragbar ist anhand der Prioritätskennzahlen 6. Risikoeinschätzung = Dokumentation der Ergebnisse 7. Risikobehandlung = Maßnahmenauswahl, Outsourcing, Risiken akzeptieren Das ist ja viel zu viel und in Excel Tabellen und Word Dateien total unübersichtlich darzustellen. Kennt Ihr eine sinnvolle Möglichkeit für die Risikoanalyse. Alle Blogs und Webseiten reden zwar immer von Risikoanalyse,und was Risken sind und so weiter, aber keiner bringt mal ein vernünftiges Beispiel oder eine Ausarbeitung. Ich hab so das Gefühl überall findet man die Definitionen und die Theorie, aber keiner weiss so recht wie die Anwendung läuft. In einem Buch habe ich auch schon gelesen, dass es völlig egal ist und die Norm einem komplett freistehen lässt wie man die Risikoanalyse umsetzt. Das stimmt doch eigentlich nicht im dem Bezug auf die Forderungen durch die Norm? Danke für Eure Hilfe

Danke für Deinen Tipp. Ich finde die Risikoanalyse allein ist so riesig. Hier kann man ja einfach abwägen, in welchem Ausmaß und Ermessen es am sinnvollsten für das jeweilige Unternehmen ist. Was darf ich bei der Identifikation der Informationswerte nicht vergessen? Verantwortliche zuordnen und eine Beschreibung der Werte. Kategorisiert / Gruppiert werden Sie wie du gesagt hast. Der Detaillierungsgrad hängt je von der Asset Wichtigkeit fürs Unternehmen ab. Ich finde leider kein Beispiel zur ISO 27001, sondern nur zum Grundschutz. Und hier werden ja Beziehungen mit einer Matrix (Anwendung und IT-System) aufgezeigt, Status, Anwender, Aufstellungsort, Plattform und alles sehr detailliert und umfangreich dargestellt und das schon in der Strukturanalyse. Dann in welchen Räumen die sich befinden usw.

Hi WSCWSC, das klingt etwas sehr nach Werbung? ;) Wie groß ist Euer Unternehmen denn, nach Deinen Aussagen habt Ihr keinen IT-Grundschutz miteinbezogen? Welches Tool habt Ihr verwendet (das von crisam?? Habt Ihr eine detaillierte Risikoanalyse gemacht? Vor der BIA müssen die Werte doch identifiziert werden. Die Leitlinie wurde quasi mit Deinen ersten beiden Punkte definiert? Danke für Deinen Tipp, aber hier wurden schon 2 Zertifizierungen ohne einen Dienstleistungspartner als Hilfe mit eingeführt und das ist jetzt wieder angestrebt! €: Eine Frage, bedeutet die Neuerung in der 27001:2013 , dass man keine Informationswerte mehr bei der Bestandsaufnahme Identifizieren soll, sondern direkt mit der Risikoanalyse beginnt? Identifizierung der Werte, Impact Analyse, Bedrohungs & Schwachstellenanalyse gehören doch komplett zur Risikoanalyse dazu? Oder verstehe ich das falsch? In anderen Normerläuterungen habe ich nur gefunden, dass das Risikomanagement eine höhere Bedeutung zugespielt bekommt, aber nicht, dass sich das Vorgehen hier so grundlegend geändert hat. Link zur Info: http://www.compliance-net.de/iso27001_2013

Ich schau jetzt mal was sich diese Woche so ergibt und melde mich dann wieder. Danke für Deine Hilfestellung

Ich weiss, aber das ist ja nicht der Plan. Vielen Dank für die hilfreiche Antwort, das hab ich bisher noch nirgendwo so gelesen. Business Impact Analyse hat aber nichts mit Schwachstellen Analyse zutun oder? Von der Einordnung her gehört diese ja mit zum BCM (Business Continuity Management). Nach meinen Infos nimmt man 5-10 sehr kritische Prozesse, führt für diese die BIA durch und macht dann mit der Risikoanalyse weiter? Die Bewertung den Schadenpotentials gehört doch unter die Risikoanalyse? Und wie geht man denn bei einer Bestandsaufnahme am sinnvollsten vor. Gibt es hierfür auch irgendwelche Leitfäden? Oder gehe ich einfach nach den "Maßnahmen" aus der 27001 vor und schaue was wie umgesetzt ist? €: und dann hab ich noch eine Frage. Der Maßnahmenkatalog aus ISO 27001. Ist der komplett umzusetzen. Oder sind das nur Maßnahmen die erwähnt werden, um die Probleme bei der Risikoanalyse abdecken zu können. Oder hängen die beiden gar nicht zusammen und sind getrennt zu sehen. Irgendwie macht es schon Sinn, auf das Risiko (je nach Abwägung) eine Maßnahme anzuwenden. Aber irgendwie auch nicht, da man ja einfach anhand des Maßnahmenkatalogs vorgehen könnte und bei der oberen Methode einige Maßnahmen auslässt. Ich mein, die wirklichen Beispielsvorgehensweisen sind ja in der ISO 27002 und die 27001 soll nur einen Leitfaden darstellen?

Das GS Tool kenne ich, aber das ist ja mehr auf den IT Grundschutz ausgelegt. Ja ich denke 500€ sollten kein Problem sein, aber die Ausgabe möchte ich nicht nach 2 Wochen veranschlagen, sondern erst, wenn es sicher ist, dass verinice dann auch genutzt wird. :) Hat keiner von Euch im Unternehmen schon mal die ISO 27001 mit eingeführt? Klar, das ist ein langwieriger Prozess. Aber wie habt Ihr angefangen, was sind die Basics und was sind die ersten Schwerpunktthemen. Bsp.: 3. Bestandsaufnahme & Ist-Zustand feststellen. Einfach alle Dokumente sammeln über die interne Struktur? Das sind ja mehrere 100 Dokumente, gibt's hier Checklisten oder ein bestimmtes Vorgehen? 4. Veranschlagt man den Soll Zustand nur anhand der Maßnahmen?

Hi Dukel, ich weiss, dass die Tools technisch sind. Aber es geht ja nicht nur um Management, sondern auch um die technischen Aspekte bei den Maßnahmenzielen. Deshalb meinte ich, ob es auch hier noch hilfreiche OpenSource Produkte gibt, die man auch ohne Dienstleister sinnvoll verwenden kann. Der Risikokatalog bei Verinice kostet 500€, und ansonsten habe ich noch nirgends eine Orientierungshilfe für Risikos gefunden. Wie ist hier das Vorgehen um sich diesen Prozess zu vereinfachen und nicht zwanghaft nach irgendwelchen Lücken suchen zu müssen.

Hallo liebe Community, im Auftrag einer Abschlussarbeit darf ich eine ISO 27001 Zertifizierung mitbegleiten (oder eher mit Einführen / Anstoßen). Nun habe ich mir schon reichlich Lektüre geholt und den Maßnahmenkatalog auch schon durchgeackert, um mal einen groben Überblick zu bekommen. Trotz der Hilfestellungen der Bücher bin ich mir jedoch nicht so sicher, wie ich jetzt weitermachen soll. Nach meinem Verständnis funktioniert das ganze von der "Reihenfolge" her so: 1. Wille der Leitung / Management sichern 2. Geltungsbereich definieren (ganzes Unternehmen) 3. Bestandsaufnahme: Welche Doku, Prozesse und Maßnahmen wurden im Geltungsbereich schon umgesetzt. Analyse und Doku der Ist-Situation. Was wurde durch andere ISOs schon eingeführt. 4. GAP Analyse. Ergebnisse aus der Bestandsaufnahme und Delta zum Sollzustand erarbeiten. Identifizierung fehlender Maßnahmen. 4. Risikoanalyse und Einschätzung. Wo ist noch Schutzbedarf nötig? 5. Maßnahmen ableiten und Arbeitspakete erstellen = Security Prozesse einführen. 6. Maßnahmen umsetzen = quasi Implementierung des ISMS. 7. Business Continuity Planung = ISMS up-to-date halten. Soooooooo. Eigentlich müsste doch jetzt zuerst mit "Punkt 2" die Leitlinie aufgesetzt werden und dann eine Bestandsaufnahme gemacht werden. Wie gehe ich hier am besten vor, gibt es Tools die mich dabei unterstützen können? Open VAS ist ja riesig, ich weiss nicht ob das für ein kleineres Unternehmen nicht falsch gewählt ist. Gibt es vernünftige Open Source Tools die mich dabei unterstützen können? nmap habe ich mir angeschaut. Ich konnte keine detaillierte Ausführung finden, in welchen Punkten sich die ISOs überschneiden, dann hätte ich hier verschiedene Maßnahmen schon mal ausschließen können. Verinice ist ja ganz net von der Funktion her, aber bringt mir ohne den passenden Risikokatalog auch nicht so viel. "Punkt 4" habe ich zweimal genannt, von meinem Verständnis her gehören diese zwei Punkte ja zusammen. Also durch die Analyse kann ich die Risiko s ja auch teilweise Identifizieren. Aber, gibt es auch irgendwo einen vorgefertigten Risikokatalog um einen Ansatz zu haben, auf welche Risiken achten kann / soll? Hier muss man das Rad ja nicht neuerfinden, sondern nur anpassen und eben noch die eigenen Risiken weiteridentifizieren. Aber eine kleine Starthilfe wäre schonmal schön. Ist das grundlegende Vorgehen so schlüssig oder fange ich total falsch an? Ja ich weiss, ich bin nicht allein dafür Zuständig, und das ganze ist ein langfristiger Prozess usw. Aber ich würde eben gerne auch etwas selbstständiger arbeiten. Alles was man an Informationen so findet ist leider sehr sperrlich und theoretisch, wenn ich 10mal was von PDCA lese und diese auch schon aus der Vorlesung kenne, hilft mir das trotzdem nicht unbedingt bei meinem Vorgehen weiter. Durch das viele lesen habe ich schon die ein oder anderen guten und auch schlüssigen Tipps gefunden, aber ein roter Faden oder eine bessere Orientierung vorallem für den Beginn wäre schön. Viele Dank für Eure Unterstützung.