Pitti259

Jetzt nochmals für die kleinen Dummies wie mich. Meine Annahme: Wenn ich eine Transportverschlüsselung mit mx.Zielserver.com initiiere, wandert meine E-Mail zwar über n andere Server, ist aber bis zum Zielserver verschlüsselt und kann auf den Zwischenstationen nicht gelesen werden. Richtig oder Falsch? Wenn ich testperson richtig interpretiere, würde immer nur zwischen den einzlnen Vermittlungsservern eine TLS aufgebaut. Auf den Zwischenstationen wäre also meine Mail lesbar.

Damit rennst Du im Prinzip bei mir offene Türen ein. Aber an dieser Stelle habe ich das Problem, dass mein Mandant seinen Kunden (einige tausend Privatpersonen) E-Mails senden muss. 99% davon sind nur einfache personenbezogene Daten, eine Verpflichtung für die Ende zu Ende Verschlüsselung besteht nur für die besonderen Kategorien nach Art. 9 DSGVO. Jetzt versuch doch mal Lieschen Müller davon zu überzeugen sich ein S/Mime Zertifikat zuzulegen oder sich einen pgp Schlüssel zu erzeugen. Ja ich weiß, Austauschplattform. Macht mein Mandant bereits, jeder Kunde hat sein Kundenkonto und erhält nur eine E-Mail mit der Info über neue Messages. Ähnliches haben wir für die Geschäftsanbahnung probiert, eine Austauschplattform und nur den Link auf die jeweiligen Daten per Mail versandt. Die Auftragsabschlüsse brachen radikal ein. Keiner wollte das so haben. Auch verschlüsselte ZIPs mit Passwort über Handy wurden von den potentiellen Kunden nicht akzeptiert. Sch... aber auch, was willste da noch machen?

Vorgabe der DSK: "Die Bezeichnung der zum Empfang autorisierten Mailserver und ihre IP-Adressen wurden auf Empfängerseite per DNSSEC signiert. Die Signaturen der DNS-Einträge werden auf Senderseite überprüft." Kann der Mail-Server dies prüfen? Wen das DSK-Papier interessiert: https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf Ciao Pitti

Hallo allerseits, als technisch halbgebildeter Datenschützer muss ich mich mit einer Frage an euch wenden. Die Übertragung von E-Mails mit personenbezogenen Daten ist nur dann erlaubt, wenn neben der Transportverschlüsselung auch der Empfänger seine Adresse per DNSSEC zertifiziert hat. Kann ich als sendender Mail-Server denn prüfen, ob hier ein entsprechndes DNSSEC Zertifikat beim Empfänger vorhanden ist? Danke schon mal Pitti

Neulich erlebt, die Office-Extensions sind alle blockiert, kommt eine rtf rein, ist aber nur mit der Extension rtf versehen und in Wirklichkeit eine docm, Word erkennt dies selbständig und führt die Datei als docm aus. Welche "sicheren" Dateitypen bleiben uns denn noch?

Warum?

@tesso Nun ja, die wenig genutzten Optionen beim E-Mail-Versand müssen hier berücksichtigt werden. Ich weiß, kein Mensch verwendet diese, aber es könnte ja sein... Die Weiterleitung im Krankheitsfall darf vom Admin nach Anforderung des jeweiligen Vorgesetzten eingerichtet werden, wenn allen Mitarbeitern im Vorfeld bekannt ist dass dies im Krankheitsfall so gemacht wird.

Rein formal geht das Weiterleiten nur, wenn die Privatnutzung des E-Mail-Accounts ausgeschlossen ist. Und zwar mit Richtlinie von ganz oben und Veröffentlichung dass allen dies bekannt ist und stichprobenartigen Prüfungen auf Einhaltung. In der Richtlinie für die E-Mail-Nutzung (idealerweise auch als Betriebsvereinbarung mit dem Betriebsrat gestaltet) MUSS drin stehen, dass die Weiterleitung von E-Mails bei geplanter Abwesenheit durch den Anwender selbst vorgenommen wird und bei ungeplanter Abwesenheit dies vom jeweiligen nächsthöheren Vorgesetzten angeordnet wird. Selbst wenn alles eingehalten wird, sind wir noch nicht ganz aus der Schlinge. Ich empfehle E-Mails mit der Markierung "privat" oder "persönlich" nicht weiter zu leiten. Denn der Anwender kann ja nichts dagegen machen, wenn ihm jemand eine private Mail schreibt. Euer Sicherheitsfuzzi

Leider lässt sich das Problem nur durch einen Rechnerneustart beheben. Browser-Neustart hilft nicht. Auch ein hin- und herschieben zwischen den Monitoren bringt nichts.

Hallo Welt, der hier beschriebene Effekt trifft alle Arten von Internet-Browsern. Getestet mit Firefox, IE 11, Edge und Chrome. Alle anderen Arten von Programmen sind nicht betroffen. Keine Gemeinsamkeiten bei den AddOns erkennbar. Nach einem Neustart des Rechners dauert es ca. 1 Stunde, danach ist auf einem der beiden Bildschirme der obere Rand des Browsers, also die Menüzeile, die Lesezeichenleiste und die Adresszeile nur noch als weißer Balken vorhanden. Klickt man in diesen Balken hinein, selektiert man das jeweilige Objekt hinter dem Browser-Fenster. Über Tasten lassen sich alle Funktionen noch ansprechen. Geht man von Maximaler Darstellung auf geringere Fenstergröße ist der Effekt weg. Ich kann die Browser also quasi bildschirmfüllend fahren, wenn ich auf den Vollbildmodus verzichte. Auf dem zweiten, kleineren Bildschirm funktioniert alles bestens. Das Problem ist nur auf einem Bildschirm vorhanden. Mit welchem Patch-Level dies möglicherweise eintrat lässt sich jetzt leider nicht mehr sagen. Das Ganze sieht ja sehr nach Hardwareproblem der Grafikkarte aus, aber warum nur für die verschiedenen Internet-Browser und nicht für alle anderen Programme? Das ist doch nicht logisch. Wer hat eine Idee? Ciao Pitti

Frage: Was wird auf diesem Server laufen? Welche Anwendung erfordert dort welchen Schutzbedarf? Wie vertraulich sind die Daten die dort gehandelt werden? Wie wichtig ist die Verfügbarkeit dieser Daten für das Unternehmen? Welcher Schaden würde entstehen, wenn die Daten verfälscht würden? Wenn der mögliche Schaden für das Unternehmen klar ist, kann auch eine Entscheidung für deren Schutz getroffen werden. Und dann kann auch entschieden werden ob man dafür Geld ausgeben möchte oder nicht.

Die Nichtabstreitbarkeit kommt zum Einen aus den Grundsätzen ordnungsgemäßer Buchführung, zum Anderen aus der DSGVO. Wenn ich das richtig sehe, ist die Authentizität der Daten bzw. die Nichtabstreitbarkeit für Datenerfassung und -veränderung an dieser Stelle nicht wirklich relevant.

Oh mei, nach 14 Jahren als Auditor kann ich schwer sagen wo ich mir das erlesen habe. Aber wenn es um den Grundschutz geht, dann ist der kostenfreie Online-Kurs auf den BSI-Seiten wohl recht zielführend. Auch der BSI-Standard 200-2 wäre für IT-fachlich versierte Sicherheitseinstieger einigermaßen verständlich. Für die ISO 27001 in der internationalen Variante gibt es recht viel Literatur. Die Norm selbst ist schwere Kost, die empfiehlt sich erst für bereits Geschädigte.

Nicht ganz, habe ein bisschen 27001 native reingemischt... Aber Danke für das "wunderbar".

Von der Stange wird es so ein Konzept nicht geben. magheinz hat es schon richtig geschrieben, der spätere Betreiber dieses Notebooks muss die Sicherheitsanforderungen benennen. Wie immer zählen hier die drei Kategorien, Verfügbarkeit, Vertraulichkeit, Integrität. Dann werden die möglichen Gefährdungen mit ihren Auswirkungen und Eintrittswahrscheinlichkeit ermittelt. Nennt sich Risikoanalyse. Auf die erkannten Risiken werden Maßnahmen angewandt, um die Risiken abzuwenden. Dies wird runter geschrieben und schon hat man ein einfaches Sicherheitskonzept. Eine gewisse Basis-Sicherheit, Virenscanner, deaktivierte "böse" Dienste, Heimtelefonieren etc. sollte aber grundsätzlich unabhängig vom Sicherheitsniveau des AG schon bestehen.

Ich fürchte mit einer Software Restriction Policy werden wir nicht besonders weit kommen. Die "bösen" Angebote im Internet, bestes Beispiel sei Salesforce, können ganz einfach über den Browser bedient werden. Die Daten werden über verschlüsselte Verbindungen rauf und runter geladen, was dann im eigenen Netz so landet oder welche Daten umgekehrt bei der Konkurrenz landen, darauf hat der eigenen Admin dann keinen Einfluss mehr. Diese Schatten-IT macht meinen Kunden viel mehr Sorgen als Dropbox. Meiner Ansicht nach, können wir solches Verhalten nur durch ein Data Leackage Prevention verhindern. Ist aber vom Einführungsaufwand so gigantisch, dass eine Kosten-/Nutzen-Rechnung meist dagegen spricht. Als kostenneutralen Ansatz, könnte man in den vorhandenen Verfahren den massenhaften Datenabzug unterbinden, so dass die Schatten-IT nur schlecht mit Produktivdaten gefüttert werden kann. Dropbox und Co. sehe ich eigentlich als beherrschbar an, ein bisschen Software Restriction Policy mit einigen Firewall-Blacklist-Einstellungen sollten hier helfen.

Guten Morgen allerseits, ja, die IMAP liegen bei verschiedenen Anbietern. Outlook Version 1806 Build 1022820104. Suchmaschinen haben mir keine Problemlösung geliefert. Ciao Pitti

Hallo Welt, habe mal wieder ein mysteriöses Problem. Auf einem Windows 10 Rechner mit Office 365 und Outlook 365 sind mehrere E-Mail-Accounts eingerichtet. Ein Exchange und verschiedene IMAPs. Beim Senden läuft alles wie erwartet, die gesendeten E-Mails landen im zugehörigen Ordner. Nun stelle ich durch Zufall fest, dass einige E-Mails nicht ankamen. Also nochmals gesendet, anderen Account verwendet, wieder nichts. Andere E-Mails gehen ganz normal raus und kommen auch an. Auf einem anderen Rechner das Outlook hochgefahren, siehe da, in den IMAP- und Exchange-Ordnern für gesendete Objekte sind die E-Mails, die nicht ankamen auch gar nicht vorhanden. Von diesem anderen Rechner aus, gehen auch alle E-Mails problemlos raus (selbe Firewall). Liegt also eindeutig an meinem Hauptrechner. Lokale Firewall weißt jede Schuld von sich, keine Protokolleinträge für E-Mails. Die Frechheit ist, dass das Outlook auf meinem Hauptrechner auch nach Neustart noch behauptet, die E-Mails wären rausgegangen. Wie das bei einem IMAP-Ordner für gesendete Objekte möglich ist, dass auf zwei Rechnern hier verschiedene Auflistungen erfolgen, ist mir schleierhaft. Hoffentlich kennt einer von euch das Problem oder hat eine Idee... Ciao der Sicherheitsfuzzi

Hallo Stoffl, welchen Standard ihr verwendet, kommt ganz enorm darauf an was ihr damit erreichen wollt. Dienstleistungen für Behörden, dann solltet ihr ISO 27001 auf Basis IT-Grundschutz anwenden. Die native wäre nur die halbe Miete. Der große Vorteil ist, dass das GS-Kompendium (nachfolger der GS-Kataloge) euch genauer aufzeigt was zu tun ist. Den Grundschutz alt (Standards der 100er Reihe) solltest Du nicht mehr anwenden. Wenn ihr jetzt anfangt, könnt ihr in zwei Jahren die Zertifizierung angehen. Bis dahin gibt es den alten Standard nur noch für Altzertifizierte. Die ISO 27001 native lässt euch zwar mehr Freiraum, aber diesen Freiraum müsst ihr dann auch richtig füllen. Nicht ganz einfach. Zur Zertifzierung: Die ISO 27001 auf Basis IT-Grundschutz kann nur das BSI zertifizieren, ihr benötigt allerdings einen Auditor vom freien Markt (z.B. mich). Die ISO 27001 native können diverse DAkkS zertifizierte Unternehmen des freien Marktes durchführen. Du bezahlst diese und bekommst von denen einen Auditor hingesetzt. Je nach Zertifzierer ist die Zertifzierung einfach (gekauft) oder schwierig (weil korrekt durchgeführt). Die Vorbereitung kannst Du sicherlich alleine durchziehen, ich würde Dir aber für ein Coaching durch einen erfahrenen Berater raten. Das ISMS aus dem Hut zu zaubern hat nun mal was mit Magie Erfahrung zu tun. Beantwortet das Deine Fragen? Ciao Pitti (ISO 27001 auf Basis IT-Grundschutz Auditor und IS-Revisor und Kritis §8 Prüfer und und und [Angebermodus aus])

Das Ziel muss sein, den Aufwand für die Entschlüsselung der Informationen so hoch zu treiben, dass er den Gewinn daraus übersteigt. Also, wie ist der Schutzbedarf der Informationen? Sind es firmenvertrauliche Informationen, personenbezogene Daten, besonders schützenswerte pers. Dat.? AES256 ist durchaus nicht schlecht als Verschlüsselung. Wie lang ist das Passwort? Welche Regeln (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen) gelten für das PW? Sorry, Deine Frage ist einfach zu globalgalaktisch gestellt.

Hallo Welt, auf einem Win10 Rechner bekam ich plötzlich Probleme mit den Sockets. Waren dauernd belegt und nicht für die diversen Citrix Receiver verfügbar. Bei der Suche nach der Ursache stieß ich im Microsoft Message Analyzer auf ein Modul namens NdisEtwProvider, welches sich mit 35.163.182.235, also Amazon Amerika unterhielt. Die Adresse war ja schnell in der Firewall geblockt, aber den dahinter liegenden Prozess finde ich nicht. Im Regedit ist der Begriff auch nicht vorhanden. Nun meine Fragen: Ist das ein Trojaner? Wie finde ich den zugehörigen Prozess? Danke schon mal. Ciao Pitti

Der Hinweis auf den Kartenleser, wenn auch keiner am Gerät vorhanden, hat mich auf die richtige Spur gebracht. In der Datenträgerverwaltung war der Laufwerksbuchstabe vergeben. Ohne irgendeinem Gerät dahinter. Dort gelöscht und schon konnte das Laufwerk wieder verbunden werden. Danke euch allen! Ciao Pitti

Hallo Welt, auf einem Windows 10 Client kam mal wieder die Meldung "Netzwerklaufwerk konnte nicht verbunden werden". Altbekannt; aus der Registry unter MountedDevices den Laufwerkbuchstaben löschen, booten, neu verbinden. Neu verbinden funktioniert nicht, weil Laufwerksbuchstabe schon vorhanden. Tatsache, in der Registry ist der Laufwerksbuchstabe wieder vorhanden. Ich kann ihn löschen so oft ich will, nach dem Neustart ist er wieder in der Registry vorhanden. Einem richtigen Zombie könnte man wenigstens den Kopf wegpusten, aber was mach ich mit einem Laufwerks-Zombie? Bitte scheut euch nicht mir einfach zu sagen wenn ich mich lediglich dumm anstelle. Hauptsache ihr helft mir. Danke Pitti

Das ist in der Tat seltsam. Der einzige Vorteil einer gekauften Signatur ist ja, dass irgendwo ein Trust-Center steht um auf Basis meiner digitalen Signatur meine reale Identität zu bestätigen. Für ein eigenerstelltes Zertifikat würde ich es ja noch verstehen... Übrigens finde ich nirgends ein Forderung zum Einsenden der Sig-Karte. Welchen Zertifikate-Aussteller trifft das?

Zum zweiten Teil der Frage, ja, die pdf-Dateien werden dann mittels des Zertifikates mit einer digitalen Signatur versehen. Bitte nicht mit der "sogenannten" digitalen Signatur von Outlook und Konsorten verwechseln. Allerdings kann seit Acrobat DC der Reader dies nicht mehr in der kostenfreien Variante. Ihr müsst das Werkzeug "Zertifikate" dazu kaufen. Wieder, nicht mit dem Werkzeug "Ausfüllen und unterschreiben" oder "zum unterschreiben senden" verwechseln.