Pitti259

Schlechter Berater! WhatsApp sollte nicht verwendet werden, weil die Anwender mit ihren Daten zahlen. D.h. Informationen, welche über WhatsApp versandt werden, gehören nicht mehr dem Sender sondern WhatsApp. Wenn sich mein Beraterkollege auf Gesetze beruft, dann kann es bei einem "normalen" Unternehmen nur das BDSG §9 sein (Dies ist keine Rechtsberatung!). Personenbezogene Daten dürfen nicht unverschlüsselt über fremde Netze übertragen werden. Es kommt immer darauf an, was ihr mit dem WhatsApp machen wollt. Verabredungen zum Mittagessen? Wenn kein Kunde dabei einbezogen wird, kein Problem. Vertragsbedingungen ausbaldowern? Ganz dumme Idee. Bewerbungen diskutieren? No Go! Wenn ihr so ein Tool unbedingt braucht, verwendet www.sicher.de oder http://get.chiffry.de. Dann bekommt ihr auch keinen Ärger mit dem Gesetz.

Hi Leute, als BSI zertifizierter Auditor muss ich doch gleich mal meinen Senf dazu geben. Der Ansatz ein Sicherheitskonzept zu schreiben ist ja schon mal ausgesprochen gut. Aber, ein Sicherheitskonzept für ein Unternehmen ist keine technische Beschreibung zum Umgang mit USB-Anschlüssen, sondern eine strategisch/organisatorische Beschreibung der Vorgehensweise zur Umsetzung der Sicherheitsziele des Unternehmens, eventuell gewürzt um die technische Realisierung. Welche Sicherheitsziele wurden eigentlich von euren Chefs aufgestellt? Als erstes müssen die Kronjuwelen gefunden werden, nennt sich Einstufung von Informationen. Welche Informationen im Unternehmen sind wie schützenswert? Die Vorgehensweise um diese zu identifizieren gehört in das Sicherheitskonzept. Dann folgen die Vorgaben zum Umgang mit den Informationen in den verschiedenen Sicherheitsstufen. Wenn dann z.B. von der GL entschieden wurde, Informationen der Stufe "vertraulich" dürfen nicht auf externe Speichermedien verbracht werden, dann können wir uns über den Weg dorthin Gedanken machen. Wenn identifiziert wurde, welche Informationen immer verfügbar sein müssen, können wir uns Gedanken zu Datensicherung und Wiederherstellbarkeit machen. Wenn herausgefunden wurde, welche Informationen keinesfalls verfälscht werden dürfen, können wir uns Gedanken zu deren Schutz und Prüfung machen. Für alle weiteren Maßnahmen, Regelungen und den technischen Umsetzungen gilt selbiges. Technische Maßnahmen sind nicht Selbstzweck, sondern dienen der Umsetzung der Sicherheitsziele. Dieser zweite Teil des Sicherheitskonzeptes war wohl hier gemeint. Ich selbst tendiere hier zu eigenen, themenspezifischen Konzepten und Richtlinien. Kann man aber auch im globalen Konzept mit unterbringen. Wichtig ist, dass vor den technischen Umsetzungen dazu passende organisatorische Regelungen für die Mitarbeiter und auch die Administratoren von der GL herausgegeben werden. Sonst schimpfen wieder alle auf die pösen Admins und versuchen die Technik auszutricksen. Wenn für solch einen Versuch die Abmahnung droht, schaut das anders aus. Beispiel aus der Praxis: Richtlinie der GL zur Umgang mit Informationen, Daten der Stufe vertraulich oder höher und personenbezogene Daten dürfen nicht auf externe Datenträger verbracht oder per E-Mail an externe Stellen versandt werden...Ausnahmen werden durch die GL genehmigt. Um die Mitarbeiter vor versehentlichen Verstößen gegen diese Regelungen zu schützen, werden für Bedarfsträger hardwareverschlüsselte Sticks ausgegeben, die alleine an den Rechnern im Unternehmen verwendet werden dürfen. Technische Maßnahme hierzu war das Upgrade der Virenscanner-Software auf die Variante zum Management von Schnittstellen. Nur für die Seriennummern der intern gelisteten verschlüsselten USB-Sticks sind die Ports freigeschaltet, DVD-Brenner sind ebenfalls gesperrt. Am Thema Dropbox und Konsorten arbeite ich unterschiedlich. Hier ist vor allem die Unternehmenskultur und Schutzwürdigkeit der Information einzubeziehen. Zwischen alles erlauben, einbeziehen in den Geschäftsablauf, filtern von Informationen in der Firewall bis hin zur Sperrung der bekanntesten Dienste gibt es da alles. Hoffentlich liest jetzt auch jemand meinen Roman... Ciao Pitti

In diesem Fall wäre meine Empfehlung entweder Truecrypt, interessiert ja nicht ob die NSA dies entschlüsseln könnte, oder als "professionellere" Variante Bitlocker mit TPM. Guten Nacht Pitti

Ich habe bei Kunden eingeführt: pgp FullDiskEncryption bevor es Symantec wurde, Truecrypt, SafeGuard Easy und Enterprise, Secunet schießmichtot, Secude Full Disk Encryption vor dem Verkauf an EgoSecure, bisher leider noch nicht Bitlocker. Jedem Tierchen sein Pläsierchen. Kommt auf die Anforderung an. Und genau die kenne ich in diesem Fall nicht wirklich. Eingeführt ist schnell, damit leben müssen die Anwender von AG1 dann ziemlich lang.

Na ja, benötigen wir tatsächlich eine vollständige Verschlüsselung, oder reicht ein Container? Muss die Software eine Fernwartungsfunktion haben? Muss sie einen Generalschlüssel haben? Wenn die Daten zwar Vertraulich sind, aber im Unternehmen eh vorhanden sind, dann kann ein, wegen eines vergessenen Passwortes unzugänglicher Rechner einfach neu aufgesetzt werden. Dann brauche ich keine Hintertür. Wenn das Notebook vor Ort nicht unbedingt funktionieren muss, brauche ich keine Fernfreischaltung. Wenn die Daten gesetzlichen Vertraulichkeitsbestimmungen unterliegen, brauche ich dagegen eine entsprechend freigegebene Software zur Verschlüsselung. Werden von dem Notebook Daten auf externe Speicher geschrieben, brauche ich möglicherweise eine automatisierte Verschlüsselung dieser Daten beim Schreiben. Danach kann ich die Software auswählen.

Ok, Account ist eingerichtet, es läuft. Besten Dank Daniel.

Tschuldigung wenn jetzt wieder der Korinthenkacker aus der Deckung kommt. Bevor irgendein Verfahren ausgewählt wird, folgende Fragen: Welchen Informationen werden auf den Notebooks gespeichert? Welchen Wert haben diese Informationen für das Unternehmen (Schutzbedarf)? Was passiert, wenn diese Informationen in die falschen Hände fallen? Was passiert, wenn diese Informationen morgen in der Bild Zeitung stehen? Sind Backup-Szenarien notwendig, sprich werden auf diesen Geräten Daten erfasst welche dann im Unternehmen benötigt werden? Ist der Zugang zu den Notebooks beim mobilen Einsatz unbedingt notwendig, so dass eine Fernentsperrung benötigt wird? Wenn diese Fragen beantwortet sind, dann kann die Auswahl eines Verschlüsselungsproduktes erfolgen. Ciao Pitti

So, Meldung: GDATA entfernt und Avira installiert, keine Änderung. Outlook 2007 durch 2013 ersetzt, keine Änderung. Deinstallation aller anderer möglicherweise bösartiger Buben, wie Syncing.net, keine Änderung. Schließlich Deinstallation des Microsoft Office Outlook Hotmail Connector, alles wieder paletti. Alle Konten lassen sich wieder korrekt abrufen, Outlook hängt sich nicht mehr auf. Jetzt suche ich halt nach einer Lösung für die Aktualisierung von Kalender, Kontakten und Aufgaben mit dem Windowsphone. Akruto wäre ja ganz nett, macht aber nur Kalender. Hat jemand Erfahrung mit CodeTwo? Oder andere Empfehlungen? Ciao Pitti

Version 12.0.6691.5000 SP3 MSO 12.0.6683.5000 GDATA Internet-Security Hmm, ich würde ausgesprochen ungern jetzt 9 meiner 10 Konten deaktivieren. Aber, auch wenn ich nur ein einziges Konto abrufe, bleibt es unabhängig vom Konto selbst immer wieder hängen. Ich könnte natürlich mal das Microsoft-Konto rauswerfen. Probiere ich sofort aus!

Hallo Welt, auf einem Windows 7 Gerät mit Outlook 2007 musste ich den Microsoft Office Outlook Hotmail Connector installieren plus ein Konto bei Microsoft anlegen plus dieses Konto im Outlook konfigurieren, um Termine und Kontakte mit meinem neuen Windowsphone zu synchronisieren. Die Effekte treiben mich zum Wahnsinn. Outlook startet normal, kann aber nicht alle Konten abrufen, bleibt bei ein bis drei Konten (jedesmal andere) hängen. Beim starten von Outlook werden noch nicht gesendete E-Mails gesendet, gleich welches Konto diese verwenden. Danach bleiben alle neu erstellten E-Mails im Postausgang hängen. Fehlermeldungen gibt es nicht. Beende ich Outlook, bleibt der Prozess immer aktiv. Ich muss ihn immer per Task-Man abschießen. In der Ereignisanzeige erhalte ich lediglich die Info, dass der Outlook-Prozess unerwartet beendet wurde. Sonstige Seiteneffekte wie die Reparatur der pst-Dateien weil nicht ordentlich geschlossen treten natürlich auch auf. Andere Sync's wie OneNote und Syncing.net habe ich bereits deaktiviert. Hat auch nix gebracht. Kennt jemand diese Effekte, oder hat einer von euch Spezialisten eine Idee? Für jeden Tipp (außer schmeiß Dein Winphone weg) dankbar Pitti

Ja und Nein. Bei der Risikoanalyse musst Du ja neben den ganzen organisatorischen Faktoren (Personalausfall, Regelfehler, Doku-schwächen...) auch eine Unzahl technischer Faktoren bewerten. Ausfallwahrscheinlichkeiten, Angreifbarkeit, integrierte Schutzmaßnahmen technischer Komponenten etc. Aber worauf ich eigentlich hinaus wollte, als allererstes sollten die ISMS-Prozesse laufen, in der ersten Management-Sitzung kannst Du die Kategorisierung und die Definition der Schwellwerte für die Schadenseinstufungen einfordern. In diesem Zusammenhang kannst Du dann auch die Frage nach der Tool-Unterstützung in den Raum stellen. Deine, entschuldige wenn ich dies polemisch ausdrücke, Fixiertheit auf ein Tool von dem Du dann eine quasi automatisierte Einführung der ISO27001 erwartest, meinte ich mit "Du hängst zu sehr an der Technik". Das Tool kommt irgendwann später, wenn der Security-Circle die Mars***richtung festgelegt hat. Dies war wirklich nicht gedacht Dich anzupöbeln, sondern als Hilfestellung gemeint. Ciao Pitti

Ich fürchte, Du hängst immer noch zu sehr an der Technik. Was die Methodik der Risikoanalysen angeht, schau Dir doch mal die ISO 31000 an. Genauer beschrieben wirst Du es nirgends finden. Ciao Pitti P.S. Die ISO-Normungsgremien haben sich auf die Abschaffung des Begriffes "Leitlinie" geeinigt. Zukünftig heißt es auch im Deutschen "Policy". Mit all der Verwechslungsgefahr von technisch- / organisatorischen Policies mit strategischen Policies. Die spinnen die Normer...

Die ISO 27001 in der native Ausprägung ist in aller erster Linie eine Verwaltungsnorm. Den ganzen technischen Kram und auch die Risikoanalysen würde ich erst mal hinten anstellen und mit dem ISMS, den Prozessen zum Management der Risiken beginnen. Ohne das ISMS bekommst Du keine Bewertungsgrundlagen für die Risikoanalyse. Auch wenn ihr die native-Variante wählt, nimm Dir doch mal den Grundschutzbaustein 1.0 vor. Die Maßnahmen daraus müssen auch in der native umgesetzt werden und wenn diese tatsächlich umgesetzt sind, wird alles andere viel klarer. Alleine die Policy (Leitlinie in der GS-Semantik) beinhaltet hundert Weichenstellungen. Wenn diese Weichen alle gestellt sind, dann ist es an der Zeit die weitere Vorgehensweise zu definieren nach der dann auch möglicherweise Tools zur Umsetzung ausgewählt werden können. Ciao Pitti

Oh mei, der Platz hier würde für eine qualifizierte Antwort kaum reichen. Grundsätzlich: Ein Unternehmen, welches eine Zertifizierung im Informationssicherheitsbereich durchgeführt hat, musste sich zumindest mal sehr intensiv mit seinen Risiken und deren Behandlung auseinandergesetzt haben. Außerdem muß ein IS-Management aufgesetzt sein. Über das tatsächliche Sicherheitsniveau sagen die meisten Zertifikate aber nichts aus. Speziell bei der ISO 27001 in der native Ausprägung kommt es nicht auf das Sicherheitsniveau an, sondern auf die Verwaltung der Risiken. Besser ist hier die Ausprägung nach ISO 27001 auf Basis IT-Grundschutz, weil hier zumindest die grundsätzlichen Sicherheitsmaßnahmen flächendeckend umgesetzt sein müssen und darauf die Verwaltung der "Restrisiken" aufbaut. Das wichtigste überhaupt, auf was bezieht sich das Zertifikat? Viele Blender zertifizieren ihre interne IT und lassen den Kundenbereich außen vor. Dann besagt so ein Zertifikat gleich null. Dann gibt es natürlich noch Zertifikate von Verbänden der Cloud-Industrie. Die Richtlinienwerke dahinter sind gut, ob diese wirklich umgesetzt sind würde ich bei einem Zertifikat eines Interessenverbands nicht beschwören wollen. Die SAS70-Zertifizierung macht nur bei der Auslagerung des Rechnungswesens in die Cloud einen Sinn. Und dann auch nur bei Verwendung der internationalen Rechnungswesen-Standards. Dreh den Spieß doch erst mal um. Was möchtet ihr eigentlich in die Cloud verlagern? Welche Sicherheitsanforderungen habt ihr an die Informationen welche ausgelagert werden sollen? Welche gesetzlichen Vorgaben sind zu berücksichtigen? Hilfreich hierfür wäre auch: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02251.html Aufgrund der vorherigen ermittelten Anforderungen lasst ihr euch von den Anbietern erläutern, wie diese Anforderungen denn von den Cloud-lern im Detail umgesetzt werden. Und nicht abspeisen lassen mit dem Hinweis "wir sind doch zertifiziert, da ist alle in Ordnung". Nicht vergessen, wenn ihr personenbezogene Daten in die Cloud auslagert, müsst ihr laut Gesetz auch regelmäßig vor Ort die Einhaltung der Sicherheitsbestimmungen prüfen. Cloud-Anbieter die sich hier zieren, könnt ihr schon mal aussortieren. Eine Zertifizierung, so sie sich auf die Cloud-Dienstleistung bezieht, ist nach jedem System hilfreich für eine Vorauswahl. Sie kann aber die Erstellung eines eigenen Sicherheitskonzeptes mit darauf folgendem Abgleich mit dem Cloud-Anbieter nicht ersetzen. Die Verantwortung für die Sicherheit (Haftung) eurer Informationen bleibt bei euch. Wenn der Cloud-Anbieter schlampt, ist das in erster Linie euer Problem. Genug für Heute, hth Pitti (der Audits für solche Zertifizierungen durchführt)

Geht leider nicht. Die bauen die Rechner in Maschinen ein und müssen daher den vollen Zugriff auf die "PC"s haben.

OK, die MAC-Filterung hatte ich als IT-SiBe bereits vorgeschlagen, die IT hat mit Hinweis auf den Aufwand dies strikt abgelehnt. Eine Org-Anweisung für die Entwicklungsabteilungen hinsichtlich der zu verwendenden IP-Adressen ist schon auf dem Weg. Allerdings sind die Entwickler bei uns Heilige Kühe. Ob einem Entwickler was passiert wenn er sich nicht dran hält, na ja... Wir haben ein buntes Sammelsurium an Switchen im Einsatz, auch HP. Die Geschichte mit dem HP-Switch klingt gut. Das werde ich mal gegenüber dem IT-Leiter anbringen. Dagegen kann er dann schlecht argumentieren. Danke schon mal alle miteinander.

Hallo Netzler, hat mir doch heute ein Anwender den Zugang zu den outgesourcten Systemen lahmgelegt, indem er einen Testrechner mit fester IP-Adresse, nämlich der des Standardgateways ins Netz hing. Dass nichts mehr ging verstehe ich. Aber wie kann ich sowas eigentlich verhindern? Nein, eine MAC-Adress-Filterung kriege ich hier nicht durch. Was könnt ihr mir raten? Danke Pitti

Erledigt. Habe unter W8 ein neues Zertifikat erstellt, mit diesem funktioniert sowohl auf dem W8er-Notebook, als auch auf dem Vista-Desktop das ver- und entschlüsseln im Outlook problemlos. Bin zwar verwirrt, aber man muss ja nicht alles verstehen. Danke fürs mitüberlegen. Pitti

Hi Zahni, ja genau. Auf dem Vista-Rechner mit privatem Teil exportiert, auf dem W8er Notebook importiert. Dann im Outlook-Sicherheitscenter unter E-Mail-Sicherheit dem Standard-Profil zugeordnet. Mach ich eigentlich immer so, bisher hat es auch immer funktioniert. Hatte allerdings noch keinen Windows 8 Rechner dabei.

Hallo Welt, eine Mitarbeiterin hat ein Notebook erhalten, damit sie auch vom Home-Office aus arbeiten kann. Ihre digitalen Zertifikate zur E-Mail-Verschlüsselung habe ich erst nach zwei Wochen, in denen Outlook problemlos funktionierte, von ihrem alten Windows-Vista Rechner exportiert und auf ihrem Notebook importiert. Daraufhin hängt sich Outlook beim öffnen einer verschlüsselten E-Mail auf dem Notebook auf. Prozess lässt sich per Task-Manager abschießen. Steht jetzt in ihrem Posteingang an erster Stelle eine verschlüsselte E-Mail, startet Outlook gar nicht mehr. Ab dem Outlook-Logo hängt die Kiste. Also certmgr gestartet, das Zertifikat gelöscht, Outlook geht wieder... Bis zu dem Zeitpunkt, wo eine verschlüsselte E-Mail reinkommt. Verschlüsselt von einem Kollegen natürlich mit dem öffentlichen Teil des bereits bekannten Zertifikates unserer Mitarbeiterin. Outlook blockierte sofort, Mitarbeiterin bootet die Kiste, Outlook lässt sich nicht mehr starten. Kein digitales Zertifikat der Mitarbeiterin im Zertifikatestore. Wie komme ich jetzt dem Problem auf die Spur? Gibt es eine Möglichkeit ein logging einzuschalten (bei den Parametern habe ich nichts gefunden)? Kennt vielleicht jemand das Problem? Ich zögere noch etwas die clean...Parameter anzuwenden. Teilweise verstehe ich diese auch nicht. Bin ich hier zu ängstlich? Für jeden Hinweis dankbar Pitti

Hallo Welt, mag vielleicht eine Dummie-Frage sein, aber ich bekomme eine VPN-Verbindung nicht zum laufen. Ich versuche über einen Sonicwall VPN-Client ein Netgear FVG318 anzuklinken. Sollte eigentlich machbar sein, glaube ich. Beim Verbindungsversuch bekomme ich immer: Error processing incoming aggressive mode packet. Current state ((null)) does not match expected state (AUTH). Was will er denn? Für jeden Hinweis dankbar Pitti

@james103: Was soll uns dies sagen?

Jetzt geht's ans eingemachte. Die BSI 100-4 kann nicht zertifiziert werden. Aber, wenn diese vollständig umgesetzt wurde, kann nach ISO-22301 zertifiziert werden. Die Norm ist damit praktisch vollständig umgesetzt. Das Informationssicherheitsmanagement ISMS umfasst neben der Verfügbarkeit auch noch Vertraulichkeit, Integrität, Authentizität usw. Das Busines Continuity Management BCM setzt praktisch nur auf die Verfügbarkeit. Dafür geht es an dieser Stelle aber viel weiter. So interessiert mich im ISMS ein pleite gehender Hauptlieferant für wichtige Teile nicht die Bohne. Im BCM schon. Im ISMS interessiere ich mich nicht für die sicher gestellte Liquidität des Unternehmens. Im BCM schon. Für die Zertifizierung nach ISO 27001 native oder auch auf Basis IT-Grundschutz zählt nur die IT-Notfallvorsorge. Nicht das Business Continuity Management. Ein IT-Notfallmanagement basierend auf einer Person würde ich als Auditor nicht akzeptieren. Das Notfallvorsorgemanagement wäre mit einer Person denkbar. Aber das Notfall-Team? Eine Person als Notfallmanager, Notfall-Response-Team, Notfallkoordinator. Denken, Lenken und arbeiten gleichzeitig. Koordinieren, alarmieren, Notfallmaßnahmen umsetzen, alles gleichzeitig? Vergiss es! Wenn ich es richtig aus Deiner Mail gelesen habe, wollt ihr ein IT-Notfallmanagement für ausgewählte Geschäftsprozesse. Nimm Dir den Baustein 1.3 aus den GS-Katalogen und bastel Dir eine kleine, technische BIA drüber. Ohne Dich jetzt demotivieren zu wollen, von einer Zertifizierung, egal nach welcher Norm, seit ihr Lichtjahre entfernt. Rede das möglichst schnell Deiner GL aus. Ciao Pitti

Hallo Drivemast, woran hangelst Du Dich jetzt entlang? Können wir Dir noch helfen? Ciao Pitti

Hallo Mändü, grundsätzlichster Unterschied zwischen dem Baustein Notfallmanagement und den beiden anderen Ansätzen ist, dass für den B 1.3 die IT im Vordergrund steht. Bei der 100-4 und der ISO steht das Business Continuity als Ganzes, also über die IT hinaus im Fokus. D.h. Du musst erst mal den grundsätzlichen Ansatz Deiner Geschäftsleitung herausbekommen, dann kannst Du weiter analysieren. Wollt ihr Zertifizieren? Wenn ja nach was? Der B 1.3 hilft Dir ohne die anderen GS-Bausteine relativ wenig, weil viele Vorsorgemaßnahmen in den andern Bausteinen gelistet werden. Für eine Zertifizierung nach ISO 27001 braucht ihr übrigens keine 100-4 oder ISO 22301 umsetzen. Aber ihr braucht ein IT-Notfallmanagement. Also, was will Deine GL? Ciao Pitti (ISO 27001-Auditor)