wean 10 Geschrieben 18. Juni 2003 Melden Teilen Geschrieben 18. Juni 2003 Ist euch bekannt, dass Personaldaten über das Internet nicht übertragen werden dürfen? Weiss einer von euch hierzu evtl Näheres? Ob verschlüsselt, oder unverschlüsselt - Mindest-Verschlüsselung usw? Soll angeblich eine Festlegung vom Bund dazu geben. In den MOC-Szenarien waren auf jeden Fall Übertragungen von Personaldaten dabei ;) Anscheinend gilt das nicht für die Staaten. :p Hab mich heute den ganzen Tag darüber ärgen müssen, da eine Fremdfirma dies "behauptet" hat und mein ganzes Netzwerkkonzept beim Kunden umwarf. :mad: wean Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 20. Juni 2003 Melden Teilen Geschrieben 20. Juni 2003 Könntest du mal etwas genauer beschreiben um was es ging. Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 20. Juni 2003 Autor Melden Teilen Geschrieben 20. Juni 2003 Wir sind die Netzwerkverwalter einer Personalvermittlungsagentur FirmaX. Die Datenbank der FirmaX wird von einer weiteren FirmaY monatlich mit "Personaldaten" gefüttert. (ist momentan wegen der oben genannten Thematik noch nicht passiert) Nun wollte die FirmaY, dass ich "LapLink" auf den Server hau' und diese die zu übertragenden Daten einspielen können.(Direktverbindung -> ISDN-Wählverbindung) Laplink, brachte den Server aber zum Absturz, worauf ich ihn vom Backup wieder herstellen musste. (Darüber hinaus, halte ich LapLink in der heutigen Zeit für etwas überholt :D ) Nun bot ich der FirmaY an, sich entweder Direkt mit dem RRAS-Dienst über ISDN zu verbinden. FirmaY meinte daraufhin dass LapLink die Daten aber komprimieren würde, und diese dadurch Kosten sparen würden (wir reden hier von ca. 8MB!!!!! - solche Knauser :p ). Dann habe ich denen gesagt, dass dann halt mit dem RRAS-Dienst statt 30 Minuten ca 45 Minuten dauern würde. (Ist ja auch eine gewissen Software-Komprimierung dabei). Und wie ich dann auf VPN zu sprechen kam, meinten diese: "Wir übertagen doch keine Personal-Daten über das Internet. Haben Sie denn noch nie von der Festlegung des Bundes gehört, was dieses Thema angeht" [/Quote] Dem kann ich halt nicht ganz folgen. Ich meine, alle Daten sind ja in irgend einer Art und Weise "sensibel". Und ne 128Bit Verschlüsselung ist schon eine Menge Holz. Selbst Banken, nutzen z.B die SSL-Technologie für Ihre Kunden zum Online-Banken etc. Das sind auch sensible Daten. Naja, deswegen kann ich mir kaum vorstellen, dass es ein Urteil darüber gibt, wie und auf welche Art und Weise Personaldaten übertragen werden dürfen und wie nicht. - Oder doch? Wäa scho kuhl, wenn Dir da was einfallen würde Doc :) bussi wean Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. Juni 2003 Melden Teilen Geschrieben 20. Juni 2003 Vermutlich haben die auf das BSI-Handbuch angespielt, das man für entsprechend geringes Entgelt erwerben kann. Das ist Sicherheitstechnisch in vielen Bereichen Grundlage von Analyse und Planung, für ein Teil, das von einer Bundeseinrichtung stammt erstaunlich aktuell, und teilweise bzw. in Zukunft auch mehr Grundlage für Basel II Kriterien, z.B. bei der Vergabe von Bankkrediten etc. Ich gestehe zu meiner Schande, habe noch nicht mal reingeguckt :( Mehr Informationen findet du hier: http://www.bsi.bund.de/gshb/ grizzly999 Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 20. Juni 2003 Autor Melden Teilen Geschrieben 20. Juni 2003 Na DAS nenn ich mal hilfreich :-) Danke Grizzly - Aber sind das denn empfohlene Richtlinien oder Vorschriften? wean Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 20. Juni 2003 Autor Melden Teilen Geschrieben 20. Juni 2003 ........nur wer liest lernt dazu - Ist eine Empfehlung :p Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 21. Juni 2003 Melden Teilen Geschrieben 21. Juni 2003 Ich kenne die Seite vom BSI. Das sind Empfehlungen, keine Vorschriften. Im Prinzip hat der Typ von der "FirmaX" schon Recht, wenn du einen VPN Tunnel benutzt gehen die Daten durch das Internet. Das er diese Methode aber als unsicher bezeichnet, outet ihn als EDV-Nullchecker. Wenn du deinen Tunnel vernünftig einrichtest und anständige Firewalls für seine Berechnung einsetzt, ist das auf alle Fälle sicher. Eine direkte Wählverbindung ist zwar noch sicherer, da sie nur mit grossem Aufwand abhörbar ist (wer will kommt aber trotzdem an die Daten ran), aber VPN Tunnel sind ebenfalls sicher, da die Daten stark verschlüsselt werden. Die Frage ist auch immer: Welchen Aufwand will jemand treiben um an die Daten ranzukommen? Wenn er will kommt er immer ran. Er muss sich aber bei beiden Lösungen stark ins Zeug legen. Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 23. Juni 2003 Autor Melden Teilen Geschrieben 23. Juni 2003 genauso sehe ich das auch Doc, laut meines MCT's werden die Verschlüsselungstechniken und deren Entschlüsselung eh erst dann publiziert, wenn der amerikanische Geheimdienst in der Lage ist, diese zu entschlüsseln. Kannst Du das evtl bestätigen? Ich mein, wo fängt man an, und wo hört man auf wenn die Firma ohnehin kein Weltkonzern ist ;) Davon abgesehen ist doch der grösste Risikofaktor eh der Benutzer selbst, der seine Passwörter und Benutzernamen auf den Bildschirm klebt oder auf die Arbeitsmappe schreibt. :p Aber das mit dem BSI ist schon einmal eine Sache. Danke grizzly - wünsch euch ne heisse Woche :p Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 23. Juni 2003 Melden Teilen Geschrieben 23. Juni 2003 Original geschrieben von wean laut meines MCT's werden die Verschlüsselungstechniken und deren Entschlüsselung eh erst dann publiziert, wenn der amerikanische Geheimdienst in der Lage ist, diese zu entschlüsseln. Kannst Du das evtl bestätigen? Das halte ich für Blödsinn! Wie diese Verschlüsselung funktioniert ist allgemain bekannt. Ausserdem, warum sollte der amerikanische Geheimdienst rumerzählen, dass er die Schlüssel knacken kann (wenn er das könnte), da wäre er ziemlich dämlich! Warum wird ausgerechnet der amerikanische Geheimdienst als Referenz genommen? Wenn die Russen oder die Franzosen den Code knacken, wird er nicht veröffentlichet??? Ich habe das Gefühl dein MCT wollte nur ein wenig schlauschwätzen. Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 23. Juni 2003 Melden Teilen Geschrieben 23. Juni 2003 Original geschrieben von Dr.Melzer Ich habe das Gefühl dein MCT wollte nur ein wenig schlauschwätzen. Auch ohne konstruktive Beiträge zum ursprünglichen Problem muss ich hier Dr.M mal beipflichten. *und ziemlich grinsen, ob der seltsamen MCT-Aussage* --> Such mal nach "Public-Key-Encryption" oder "RSA", da findest du Algorithmen, Crack-Ansätze und Programme zum Hacken ebenso wie einen Vergleich der Zeiten zum Hacken bei unterschiedlichen Schlüssellängen - nix mit NSA und CIA. :cool: Grüße Olaf Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 23. Juni 2003 Melden Teilen Geschrieben 23. Juni 2003 Mmh, es gab mal Bestrebungen, die verschiedenen Anbieter per Gesetz zu verpflichten, eine Art Generalschlüssel bei den betreffenden "Regierungsstellen" zu hinterlegen, um der Computerkriminalität beizukommen. ;) . Neben den USA fällt mir da noch Frankreich ein. Vielleicht hat der bewußte MCT das noch im Hinterstübchen gehabt. Haben die Franzosen das dann eigentlich durchgesetzt, daß bei denen Verschlüsselung im Internet verboten wird ? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. Juni 2003 Melden Teilen Geschrieben 23. Juni 2003 Ich bin auch kein Verschlüsselungsexperte, aber ich von der Funktionsweise der Algorithmen her, die ich so grob kenne, gibt es keinen Generalschlüssel. Denn normalerweise generieren die beteiligten Rechner den benutzten Schlüssel zufallsmässig selber. Einen Hacking-Ansatz gibt es IMHO bekanntermassen nur, wenn jemand Teile des Schlüssels kennt. Dann müssten in einer BruteForce-Attack weniger Bits als der gesamte Schlüssel hat, durchprobiert werden -> weniger benötigte Zeit. Ein anderer Ansatz wäre, wenn die Schlüsselerzeugung gar nicht sooo zufallsmässig wäre -> weniger Möglichkeiten, weniger Zeit. Oder der dritte Ansatz, aber wohl der unwahrscheinlichste: hinter fast allen Verschlüsselungsalgorithmen stecken math. "Probleme", z.B. das der Zerlegung von sehr sehr grossen Zahlen in Primzahlfaktoren. Wenn dafür jemand unbemerkt vom Rest der Mathematikwelt eine mathematische "Abkürzung" finden würde, könnte man diese Schlüssel auch schneller knacken. grizzly999 Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 30. Juni 2003 Autor Melden Teilen Geschrieben 30. Juni 2003 Sorry, dass ich so lange nichts von mir hören lies. Warum wird ausgerechnet der amerikanische Geheimdienst als Referenz genommen... [/Quote] Die exakte Aussage meines MCT's war: (Isch habbs leider nur in einen Satz packen können :D ) dass bei Authentifierungsmethoden (wie z.B Kerberos), wo verschlüsselte Authentifizierungs-Tickets nur über eine gewisse Zeit gültig sind (aufgrund des Zeitstempels), diese an sich erst freigegeben werden, wenn der "Geheimdienst" (bestimmt ein grosser schwarzer Mann mit Sonnenbrille und langem Mantel :cool: ), in der Lage wäre, diese auch innerhalb dieses kleinen Zeitfensters zu knacken (Basierend auf deren High-End Rechner - oder so ähnlich :p ). Aber warum jetzt ausgerechnet der amerikanische Geheimdienst - Keine Ahnung :-) Vielleicht weil die ehem. StaSi nicht über derartige Rechner verfügte? :p Aber wer die Fäden der Welt tatsächlich in der Hand hat - Dazu gibt es ja die verschiedensten Theorien. Vielleicht war ja mein MCT Anhänger irgendeiner Verschwörungstheorie :p wean Zitieren Link zu diesem Kommentar
pandur 10 Geschrieben 30. Juni 2003 Melden Teilen Geschrieben 30. Juni 2003 Ich will ja jetzt hier niemandem die Laune verderben, aber um mal auf die ursprüngliche Frage zurückzukommen: Es gibt eine Vorschrift: Das Bundesdatenschutzsgesetz. Was das BSI heruasgibt, sind Empfehlungen für Firmen und Privatleute und mehr oder weniger Vorschriften für Bundesbehörden. Schlecht ist das, was man da erfährt nicht, nur teilweise etwas überholt. Eine Behörde kann mit ihren starren Strukturen leider nicht dem raschen Wandel der Bedrohung folgen... Das BDSG gibt's mit Ausführungsbestimmungen im Netz auf der Seite des Bundesdatenschutzbeauftragten http://www.bundesdatenschutzbeauftragter.de/ Ich halte dieses Thema für sehr "touchy", weil der fahrlässige Umgang mit Personenbezogenen Daten richtig Ärger geben kann, habe da schon so einiges erlebt... Zitieren Link zu diesem Kommentar
wean 10 Geschrieben 4. Juli 2003 Autor Melden Teilen Geschrieben 4. Juli 2003 ta pandur, hab mich in den letzten Tagen ein "wenig" umgesehen und bin allmählich der Überzeugung, dass wir alle kleine dumme ahnungslose Schafe sind :-) http://www.heise.de/newsticker/data/ae-09.01.98-000/ und das war 1998 :) Wozu sind die erst nach 15 Jahren drastischer Entwicklungszeit in der Lage??? Ausserdem habe ich noch einiges über ein Projekt gelesen, welches von dem Verschlüsselungs-Software-Hersteller RSA ausgeschrieben wurde: (Das war '97, auch hier wieder 6 Jahre Zeit :p ) ...mit dem Ziel, die von der US-Regierung als ausreichend sicher bezeichneten Codes zu knacken, ging Anfang Februar 1997 in die zweite Phase. Nachdem der 40-Bit-Code am 28. Januar '97 mit Hilfe von 1200 Rechnern binnen vier Stunden gebrochen war, dauerte der Prozeß für das 48-Bit- Pendant 13 Tage. Doch selbst eine 56-Bit-Verschlüsselung ist nicht mehr sicher. Nach einer Umfrage der Computerworld USA unter Kryptographen braucht ein privater Hacker mit einem Budget von umgerechnet 600 Mark theoretisch 38 Jahre, um einen solchen Code zu knacken. Ein Unternehmen, das 450.000 Mark einsetzt, schafft dies in drei Stunden. Und Geheimdiensten mit einer Ausrüstung für 450 Millionen Mark reichen zwölf Sekunden. [/Quote] Evtl waren das die Ereignisse, auf die mein MCT angespielt hat :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.