ThomasAnderson

Hi,

die TLS Lösung geht dann doch durch das Email GW durch und kann nicht von diesem gescannt / aussortiert / gefiltert werden, da sie am Exchange ansetzt?

Die Ciscolösung hat noch niemand ausprobiert?

Hallo,

habt Ihr Empfehlungen für eine Gateway basierte Email Verschlüsselungs-Lösung.

Anforderungen:

- einfache Integration (Exchange)

- transparent (ohne User Interaktion) bspw. durch Filterfunktionen zur Überprüfung der Inhalte der Mail

- Zusammenarbeit mit anderen PGP S/MIME Systemen

- zentral administrierbar

- am besten auch noch mit alternativem Weg für verschlüsselte Email (verschlüsselte PDF oder Webportal)

Was haltet ihr von der:

http://www.alpha2000.de/download/ironport_email_verschluesselung.pdf

Danke für die Tipps.

PS.: Falls jemand eine nicht PGP basierte sondern bspw. TLS Lösung o.Ä. empfehlen möchte, scheut Euch nicht :)
 

Vielleicht stellst Du die Frage einmal andersherum: Warum verwendet man VLANs? Mir fällt da spontan die Einrichtung von Broadcast Domains in großen Netzwerken ein. Dann natürlich Quality of Service - das lässt sich leichter sicherstellen, wenn man z.B. VoIP, Video Conferencing und Daten in separate VLANs trennt. Das IP-Adressmanagement läßt sich dadurch vereinfachen (separate Netze für Clients, Server, Stockwerke, Gebäude, etc.). Netzwerkresourcen lassen sich konsolidieren, wenn man auf einem Switch mehrere Netze über VLANs getrennt verwalten kann. Schließlich auch der Sicherheitsaspekt:

 

 

Wenn es multifunktionale Drucker sind, steckt da meist ein eigener kleiner Computer drin. Die würde ich auf jeden Fall in ein eigenes VLAN packen und nur die Printserver darauf eingehend zugreifen lassen. Das gleiche gilt für Telefone.

 

Bei einer DMZ geht es mehr um die sichere Netzwerktrennung. Die würde ich immer physikalisch auslegen, nicht (nur) durch VLANs. Ich würde eine DMZ auch nicht auf einem Virtualisierungshost mischem mit internen Netzwerkresourcen. Es gab schon genug Beispiele für Ausbrüche aus dem Gast in das Hostsystem und Kompromittierung der anderen Gäste. Oder Kompromittierung beim Wiederverwenden von virtuellen Festplatten. Oder falschen Netzwerkkonfigurationen.

 

Have fun!

Daniel

Genau so hab ich das auch in Erinnerung, vielen Dank.

Was VLANs sind und in welchen Fällen sie durchaus sinnvoll sind ist mir bekannt.

Vielen Dank für Eure Erfahrungswerte.

Also habe ich ja eigentlich mit meiner Aussage recht, denn Du bestätigst das ja noch einmal.

Alles ist beschaffbar.

Am sinnvollsten wäre eine strikte Trennung durch 2 redundante Firewalls und eine (nicht virtualisierte) DMZ.

Alle VLANs sollten spätestens an der internen FW zusammentreffen und es sollte keine Möglichkeiten geben diese zu umgehen.

Bei den Firewallpreisen kann ich mir jedoch nicht vorstellen, dass jedes Unternehmen eine redundante Firewall besitzt?

Hi, ich meine mit physikalische Trennung die richtige physikalische Trennung und mit Layer 2 die logische wie Du geschrieben hat.

Wenn für mich eine physikalische Verbindung nur von FW -> DMZ -> FW geht dann müssen diese schonmal immer passiert werden.

Wenn jedoch -> Router -> FW -> DMZ -> FW -> Router

                                      ------------------------------> Router

die beiden Verbindungen existieren und das NW so konfiguriert ist, dass die Verbindung rein logisch (also auf Layer 2 über VLANs) nur über die FWs möglich ist, jedoch von der Anbindung trotz Layer 2 Trennung auch anders möglich wäre.

Ich dachte immer, mir wurde das so beigebracht, dass die sicherste Lösung auch die sauberste Lösung ist. Oder ist das Paranoid? Wie gestaltet ihr denn die DMZ? Heißt es am Ende doch mein Prof war wahnwitzig und eine VLAN Sicherung reicht locker auf. Bitte kein "es kommt drauf an", sondern einfach wie man hast heutzutage am sinnvollsten löst.

 

Hat noch jemand so ein Beispiel wie @lefg: das ist echt top!

Hallo,

ich kenne aus den Vorlesungen die strikte Trennung:

Internet<--->Firewall<--->DMZ<--->Firewall<--->internes Netz

rot - orange - grün

Beim NW Redesign geht es jetzt darum, die Netze nicht nur redundant auszulegen sondern auch eventuelle Sicherheitsfehler zu beheben.

Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar.

Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.).

Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich.

Wir haben Drucker Netzte etc. auch "nur" über VLANs getrennt, wie es ja eigentlich üblich ist. Aber ich denke nicht, dass diese Trennung einem FW Konzept von der Schwere her gleich gilt.

Vielen Dank für Eure Tipps.

Gruß

:D ???

Hallo,

mal eine reine Interessefrage.

Wie handhabt ihr die Sicherheit Eurer sensiblen Daten im RZ?
Also alles was Kunden oder Eure eigenen Daten betrifft (Projekte, Konfigurationen etc.).

Klar, über das jeweilige Rechtekonzept, durch ein Backup und ein vernünftiges Raid-System.

Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft?

Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)?

Ist SW-seitig in einer KMU überhaupt sinnvoll?

Reichen die Userberechtigungen schon aus für einen vernünftigen "Grundschutz".
 

LG

Hi,

habe mir den Thread mal angeschaut.
Bei uns geht es leider um etwas andere Datensätze. Bspw. "dokumentierte" Zugänge zu Kundenswitchen und deren Adressen.

Passwortsafe sieht ganz gut aus und vielleicht würde sich mit der richtigen Ordnerstruktur das aktuelle Konzept auch realisieren lassen.

Hat jemand anders noch Ideen?

Cyber-Arc gefällt mir leider gar nicht, habe nur ein Video dazu gefunden und das Programm ist wirklich sehr auf Internetnutzung ausgelegt.

GIbts dafür überhaupt ein deutsches Sprachpaket?

Keepass hat leider keine zentrale Datenbank.

Anforderungen:

- USB fähig ist oder im Offlinemodus möglich (für die Servicetechniker).

- Rechteverwaltung natürlich

- Verschleierung der Eingabe

- Logging

- Creme de la Creme, wenn nur die wirklich zugänglichen Daten sichtbar sind. ( Von Fraunhofer gabs ja einen Manager, der einen immer passieren lässt und so eine Art Honeypott darstell)

- Darüber hinaus RAM löschen

- hohe Verschlüsselung

- Als optionales Feature eine 2-stufige Authentisierung (mit so einem Masterpasswort kann man schon einiges anfangen).

- Backup sollte selbstverständlich sein.

- Optional AD Import der User

Ansonsten ist die vorgefertigte Eingabe für Anwendungen im Passwortsafe richtig gut gemacht finde ich.

Hat jemand Ideen?
Danke für die Tipps.

€: Hat jemand Erfahrungen mit Onetime-Pad Lösungen wie Lin OTP?

Hallo liebe Gemeinde,

ich bin auf der Suche nach einer passenden Managementlösung für die Verwaltung für Kundendaten wie IP-Adressen von Access Points / Switchen / Core Komponenten, aber auch VLans und den zugehörigen Passwörtern.
Bisher habe ich noch keine Managementlösung gefunden die allen Anforderungen entspricht, bzw. nicht einmal eine die überhaupt mehrere Punkte gleichzeitig erfüllt. Die Lösungen sind alle nur für Passwort / User Ablage gedacht.

Wäre es sinnvoller die IP Adressen (oder gar gesamte Excel Sheets) verschlüsselt über die ERP SW zugänglich zu machen und bei den passenden Kunden zu hinterlegen? Sollten die Logindaten und Passwörter besser noch gleich getrennt aufbewahrt werden?

Wie regeln so etwas "größere" Unternehmen und gibt es ein standardisiertes Verfahren oder Best Practices für die Verwaltung der Netzwerkdaten (eine Art Active Directory für Kundennetzwerke).

Vielen Dank für Tipps, Anregungen oder Eure Umsetzungsbeispiele.

Ich weiss schon wie Du es meinst, Danke. Für mich gehören die Risikokriterien und Schwellwerte zum Beispiel zur Risikoanalyse :).
Kategorisiert wurde schon.

Dass die technischen Faktoren länger dauern ist klar, aber wir wollen uns auch nicht an Details kaputt klamüsern, sondern effektiv und schnell die aktuell wichtigsten Risiken herausfinden und passende Maßnahmen umsetzen!
Alles andere kommt im Lebenszyklus des ISMS.
Jetz weiss ich wenigstens was Du meinst, ich dachte mir schon andauernd ich mache doch gar nichts technisches.

Das Problem ist ja, dass jede Risikomethode anders abläuft. Als Schwellwerte kann ich mir vorstellen, dass einfach qualitative Werte genommen werden, da in vielen Fällen keine Zahlen und Wahrscheinlichkeiten möglich sind, und dabei nur unrealistische Zahlenwerte rauskommen würden.

 

Das ist doch gar nicht technisch :confused:

Sondern einfach nur sehr organisatorisch :wink2:

Hi,

ich bräuchte ein paar Tipps zur Risikoanalyse. Also mittlerweile habe ich zig verschiedene Ansätze gesehen und einige Tools durchgeschaut, aber die meisten sind zu ausführlich, unnütz oder schießen am Ziel vorbei.

Gefordert sind:

- Risikoakzeptanzkriterien

- Risikobeurteilung für die 3 Sicherheitsziele

- Risikoeigentümer

- Analyse der Risiken

- Auswirkung beurteilen

- Wahrscheinlichkeit beurteilen

- Risikostufen

- Bewertung der Risiken

- Prioritäten festlegen

Welches pragmatische aber dennoch effektive Vorgehen hierzu gibt es denn?
Die Informationswerte wurden gesammelt und kategorisiert.

Laut Lektüre gibt es zig verschiedene Möglichkeiten, qualitativ, quantitativ, semi-quantitativ und so weiter.

Eine qualitative Methode würde völlig ausreichen.

Lieber vernünftig und nicht so umfangreich, als zu umfangreich und unsauber.

Das Vorgehen das ich so gelesen habe lautet:

1. Klassifizierung der Informationswerte = wofür soll das gut sein, wenn ich das Schadenspotential eh später nochmal bestimmen muss

2. Bedrohungs- und Schwachstellenanalyse (parallel aktuelle Maßnahmen / IST-Zustand) = Risiko

3. Individualrisiken finden

4. Risikobewertung = an einer Skala / Matrix spiegeln.

5. Risikoakzeptanz = Abwägung ob Risiko tragbar ist anhand der Prioritätskennzahlen

6. Risikoeinschätzung = Dokumentation der Ergebnisse

7. Risikobehandlung = Maßnahmenauswahl, Outsourcing, Risiken akzeptieren

Das ist ja viel zu viel und in Excel Tabellen und Word Dateien total unübersichtlich darzustellen.

Kennt Ihr eine sinnvolle Möglichkeit für die Risikoanalyse. Alle Blogs und Webseiten reden zwar immer von Risikoanalyse,und was Risken sind und so weiter, aber keiner bringt mal ein vernünftiges Beispiel oder eine Ausarbeitung. Ich hab so das Gefühl überall findet man die Definitionen und die Theorie, aber keiner weiss so recht wie die Anwendung läuft.

In einem Buch habe ich auch schon gelesen, dass es völlig egal ist und die Norm einem komplett freistehen lässt wie man die Risikoanalyse umsetzt. Das stimmt doch eigentlich nicht im dem Bezug auf die Forderungen durch die Norm?

Danke für Eure Hilfe

Danke für Deinen Tipp.

Ich finde die Risikoanalyse allein ist so riesig. Hier kann man ja einfach abwägen, in welchem Ausmaß und Ermessen es am sinnvollsten für das jeweilige Unternehmen ist.

Was darf ich bei der Identifikation der Informationswerte nicht vergessen?
Verantwortliche zuordnen und eine Beschreibung der Werte.

Kategorisiert / Gruppiert werden Sie wie du gesagt hast.

Der Detaillierungsgrad hängt je von der Asset Wichtigkeit fürs Unternehmen ab.

Ich finde leider kein Beispiel zur ISO 27001, sondern nur zum Grundschutz. Und hier werden ja Beziehungen mit einer Matrix (Anwendung und IT-System) aufgezeigt, Status, Anwender, Aufstellungsort, Plattform und alles sehr detailliert und umfangreich dargestellt und das schon in der Strukturanalyse. Dann in welchen Räumen die sich befinden usw.

Hi WSCWSC,

das klingt etwas sehr nach Werbung? ;)
Wie groß ist Euer Unternehmen denn, nach Deinen Aussagen habt Ihr keinen IT-Grundschutz miteinbezogen?
Welches Tool habt Ihr verwendet (das von crisam??
Habt Ihr eine detaillierte Risikoanalyse gemacht?

Vor der BIA müssen die Werte doch identifiziert werden.

Die Leitlinie wurde quasi mit Deinen ersten beiden Punkte definiert?

Danke für Deinen Tipp, aber hier wurden schon 2 Zertifizierungen ohne einen Dienstleistungspartner als Hilfe mit eingeführt

und das ist jetzt wieder angestrebt!

€: Eine Frage,

bedeutet die Neuerung in der 27001:2013

Risk assessment

Identification of assets, threats and vulnerabilities is no longer a prerequisite for the identification of information security risks

, dass man keine Informationswerte mehr bei der Bestandsaufnahme Identifizieren soll, sondern direkt mit der Risikoanalyse beginnt?

Identifizierung der Werte, Impact Analyse, Bedrohungs & Schwachstellenanalyse gehören doch komplett zur Risikoanalyse dazu?

Oder verstehe ich das falsch?

In anderen Normerläuterungen habe ich nur gefunden, dass das Risikomanagement eine höhere Bedeutung zugespielt bekommt, aber nicht, dass sich das Vorgehen hier so grundlegend geändert hat.

Link zur Info:

http://www.compliance-net.de/iso27001_2013

Die Ermittlung des Schadenspotentials ist direkt oder indirekt Bestandteil aller drei Blöcke.

• Im BCM werden auf dieser Basis notwendige und angemessene Maßnahmen zur Aufrechterhaltung und Widerherstellung des Betriebs festgelegt. (z.Bsp.: HA und DR)
• Im Risikomanagement werden die verschidenen Risiken (technische und nicht-technische Risiken) bewertet und Maßnahmen bzw. Verhaltensweisen für den Umgang festgelegt. In erster Linie sind es unternehmenspolitische bzw. -strategische Entscheidungen. Hier ist das mögliche Schadenspotential ein Faktor bei der Strategiefindung. (vermeiden, vermindern, abwälzen, selber tragen)
• Bei ISO 27001 muss ein Maßnahmenkatalog erarbeitet werden. Der leitet sich im Prinzip aus der Risikoanalyse und -bewertung ab. Somit wird indirekt auch das Schadenspotetial benötigt.

 

Das Vorgehen hängt von der Organisation ab. Im Idealfall gibt es bereits vorhandenes Material.

Man kann es Top-Down oder Button-Up angehen. Also von einem Geschäftsprozess auf die einzelnen Systeme und Systemkomponenten runterbrechen oder die vom System abhängigen Geschäftsprozesse ermitteln.

Ich denke bei uns wird es ein Top-Down Ansatz werden.

 

Die Maßnahmen lt. ISO 27001 sind nur sehr global gehalten. Der konkrete Umfang der Umsetzung ist entscheidend (s. Risikomanagement).

Hier íst eine kombinierte Risikoanalyse angepeilt. (Alles von "normal - hoch" mit Grundschutz abdecken und für "sehr hoch" auf detaillierte Risikoanalyse zurückgreifen)

Ich schau jetzt mal was sich diese Woche so ergibt und melde mich dann wieder. Danke für Deine Hilfestellung

Du kannst auf Basis von IT Grundschutz ISO 27001 zertifizieren.

 

VG Java

Ich weiss, aber das ist ja nicht der Plan.

Moin,

 

neben dem BSI Grundschutz könntest Du auch mal einen Blick ins MOF werfen. Z.B.: Reliability und GRC SMF

http://technet.microsoft.com/en-us/solutionaccelerators/dd320379.aspx

 

Zwischen 3 und 4 sehe ich eine Lücke:

Wer hat den 'Sollzustand' auf Basis welcher Vorgaben definiert?

 

Nach der ersten Bestandsaufnahme sollte mMn zunächst eine BIA (Business Impakt Analysis) erfolgen um die wirklich kritischen Prozesse zu identifizieren.

Erst nach der BIA inkl. Bewertung des Schadenspotentials, kann ich einen Sollzustand festlegen und geeignete sowie angemessene Maßnahmen auswählen.

Vielen Dank für die hilfreiche Antwort, das hab ich bisher noch nirgendwo so gelesen.

Business Impact Analyse hat aber nichts mit Schwachstellen Analyse zutun oder? Von der Einordnung her gehört diese ja mit zum BCM (Business Continuity Management). Nach meinen Infos nimmt man 5-10 sehr kritische Prozesse, führt für diese die BIA durch und macht dann mit der Risikoanalyse weiter?

Die Bewertung den Schadenpotentials gehört doch unter die Risikoanalyse?

Und wie geht man denn bei einer Bestandsaufnahme am sinnvollsten vor.

Gibt es hierfür auch irgendwelche Leitfäden? Oder gehe ich einfach nach den "Maßnahmen" aus der 27001 vor und schaue was wie umgesetzt ist?

€: und dann hab ich noch eine Frage. Der Maßnahmenkatalog aus ISO 27001. Ist der komplett umzusetzen. Oder sind das nur Maßnahmen die erwähnt werden, um die Probleme bei der Risikoanalyse abdecken zu können. Oder hängen die beiden gar nicht zusammen und sind getrennt zu sehen.

Irgendwie macht es schon Sinn, auf das Risiko (je nach Abwägung) eine Maßnahme anzuwenden.

Aber irgendwie auch nicht, da man ja einfach anhand des Maßnahmenkatalogs vorgehen könnte und bei der oberen Methode einige Maßnahmen auslässt. Ich mein, die wirklichen Beispielsvorgehensweisen sind ja in der ISO 27002 und die 27001 soll nur einen Leitfaden darstellen?

Das GS Tool kenne ich, aber das ist ja mehr auf den IT Grundschutz ausgelegt.

Ja ich denke 500€ sollten kein Problem sein, aber die Ausgabe möchte ich nicht nach 2 Wochen veranschlagen,

sondern erst, wenn es sicher ist, dass verinice dann auch genutzt wird. :)

Hat keiner von Euch im Unternehmen schon mal die ISO 27001 mit eingeführt?

Klar, das ist ein langwieriger Prozess. Aber wie habt Ihr angefangen, was sind die Basics und was sind die ersten Schwerpunktthemen.

Bsp.: 3. Bestandsaufnahme & Ist-Zustand feststellen.

Einfach alle Dokumente sammeln über die interne Struktur?

Das sind ja mehrere 100 Dokumente, gibt's hier Checklisten oder ein bestimmtes Vorgehen?

4. Veranschlagt man den Soll Zustand nur anhand der Maßnahmen?
 

 

Hi Dukel,

ich weiss, dass die Tools technisch sind. Aber es geht ja nicht nur um Management, sondern auch um

die technischen Aspekte bei den Maßnahmenzielen. Deshalb meinte ich, ob es auch hier noch hilfreiche OpenSource Produkte gibt,

die man auch ohne Dienstleister sinnvoll verwenden kann.

Der Risikokatalog bei Verinice kostet 500€, und ansonsten habe ich noch nirgends eine Orientierungshilfe für Risikos gefunden.

Wie ist hier das Vorgehen um sich diesen Prozess zu vereinfachen und nicht zwanghaft nach irgendwelchen Lücken suchen zu müssen.

Hallo liebe Community,

im Auftrag einer Abschlussarbeit darf ich eine ISO 27001 Zertifizierung mitbegleiten (oder eher mit Einführen / Anstoßen).

Nun habe ich mir schon reichlich Lektüre geholt und den Maßnahmenkatalog auch schon durchgeackert, um mal einen groben Überblick zu bekommen. Trotz der Hilfestellungen der Bücher bin ich mir jedoch nicht so sicher, wie ich jetzt weitermachen soll.

Nach meinem Verständnis funktioniert das ganze von der "Reihenfolge" her so:

1. Wille der Leitung / Management sichern

2. Geltungsbereich definieren (ganzes Unternehmen)

3. Bestandsaufnahme: Welche Doku, Prozesse und Maßnahmen wurden im Geltungsbereich schon umgesetzt. Analyse und Doku der Ist-Situation. Was wurde durch andere ISOs schon eingeführt.

4. GAP Analyse. Ergebnisse aus der Bestandsaufnahme und Delta zum Sollzustand erarbeiten. Identifizierung fehlender Maßnahmen.

4. Risikoanalyse und Einschätzung. Wo ist noch Schutzbedarf nötig?

5. Maßnahmen ableiten und Arbeitspakete erstellen = Security Prozesse einführen.

6. Maßnahmen umsetzen = quasi Implementierung des ISMS.

7. Business Continuity Planung = ISMS up-to-date halten.

Soooooooo.

Eigentlich müsste doch jetzt zuerst mit "Punkt 2" die Leitlinie aufgesetzt werden und dann eine Bestandsaufnahme gemacht werden.

Wie gehe ich hier am besten vor, gibt es Tools die mich dabei unterstützen können? Open VAS ist ja riesig, ich weiss nicht ob das für ein kleineres Unternehmen nicht falsch gewählt ist. Gibt es vernünftige Open Source Tools die mich dabei unterstützen können? nmap habe ich mir angeschaut.  Ich konnte keine detaillierte Ausführung finden, in welchen Punkten sich die ISOs überschneiden, dann hätte ich hier verschiedene Maßnahmen schon mal ausschließen können. Verinice ist ja ganz net von der Funktion her, aber bringt mir ohne den passenden Risikokatalog auch nicht so viel.

"Punkt 4" habe ich zweimal genannt, von meinem Verständnis her gehören diese zwei Punkte ja zusammen. Also durch die Analyse kann ich die Risiko s ja auch teilweise Identifizieren. Aber, gibt es auch irgendwo einen vorgefertigten Risikokatalog um einen Ansatz zu haben, auf welche Risiken achten kann / soll? Hier muss man das Rad ja nicht neuerfinden, sondern nur anpassen und eben noch die eigenen Risiken weiteridentifizieren. Aber eine kleine Starthilfe wäre schonmal schön.

Ist das grundlegende Vorgehen so schlüssig oder fange ich total falsch an?

Ja ich weiss, ich bin nicht allein dafür Zuständig, und das ganze ist ein langfristiger Prozess usw. Aber ich würde eben gerne auch etwas selbstständiger arbeiten. Alles was man an Informationen so findet ist leider sehr sperrlich und theoretisch, wenn ich 10mal was von PDCA lese und diese auch schon aus der Vorlesung kenne, hilft mir das trotzdem nicht unbedingt bei meinem Vorgehen weiter.

Durch das viele lesen habe ich schon die ein oder anderen guten und auch schlüssigen Tipps gefunden, aber ein roter Faden oder eine bessere Orientierung vorallem für den Beginn wäre schön.

Viele Dank für Eure Unterstützung.