100%ige Unternehmens-Sicherheit ? Ein ständiger (Alb-) Traum ?

[lizenzdoc 207]

Hallo,

 

Vorab: Ich möchte hier keinem „zu nahe treten“ …

 

Ich habe aus einem bestimmten Grund bis jetzt einiges hier schon gelesen
… und komme aus dem Staunen nicht mehr raus.

 

Schon fast zum Schmunzeln:
Sicherheitsvorkehrungen, wie Bauschaum im USB-Slot, gar kein Internetanschluss,
oder  noch schärfer … kein Strom
oder der letzte Schritt, gar keine Mitarbeiter und auch keine Daten,
führen wohl eher zur Aufgabe des Unternehmens,
aber dann brauche ich auch keine Sicherheit mehr ….

 

Am Ende des Tages habe ich das Gefühl, man muss sich nur 1 Frage deutlich und final stellen:
Wie hoch darf/muss das Restrisiko für die Unternehmens-Sicherheit sein,
mit dem Kosten-Nutzen-Faktoren … Manpower und Geldaufwand vs. Schutz.

 

Mein Fazit bis dato:
Wenn ein „cleverer, kreativer  Spezialist“
an meine „interessanten Unternehmens-Daten“
ran will, dann gibt es keinen 100%igen Schutz.

 

Sehe ich das mit dem Restrisiko so richtig?

 

VG, Franz

[NorbertFe 2.034]

Grundsätzlich richtig: wie überall im Leben wirst du keine 100% Sicherheit erreichen. Jedenfalls nicht, wenn Strom abbleiben soll.

[s_sonnen 20]

Hi Franz.

 

Mein Fazit bis dato:

Wenn ein „cleverer, kreativer  Spezialist“
an meine „interessanten Unternehmens-Daten“
ran will, dann gibt es keinen 100%igen Schutz.

 

Gegen ein gutes Maß kriminelle Energie gepaart mit Können und Erfahrung kommst Du wohl einfach nicht an.

Ich denke, 's läuft so wie mit der Softwareregel. Um ein relativ hohes Maß an Sicherheit zu bekommen brauchst Du die passenden Tools, Vorgehensweisen und, wohl hauptsächlich, Konsequenz das alles einzusetzen und durchzuführen. So dürfte sich mit realtiv geringem Einsatz ein recht hoher Sicherheitsstandard erreichen lassen, ... zumindest in der Theorie.  Damit Du im Bereich Sicherheit auf das höchstmöglichen Level kommen kannst muß Du wohl erstmal richtig Kohle in die Hand nehmen und mit einer, bestimmt nicht immer vernünftigen, Vergatterung Deiner MA anfangen.

Allerdings dürfte auch da irgendwann das Ende der Fahnenstange erreicht sein, die 100% Sicherheit allerdings wohl nicht (siehe Norbert). Solange da Menschen im Spiel sind wird das wohl nix werden, und bei Maschinen bin ich mir da auch nicht sicher.

Problematisch ist wohl auch, daß ein Verteidiger immer dem Angreifer hinterherlaufen muß, so lange Du nicht wirklich weißt wo Deine Schwachstellen sind hat immer jemand eine Chance die Dir noch unbekannten Möglichkeiten zu nutzen.

 

ciao und 'nen angenehmen Montag

M.

[daabm 1.354]

Such mal nach Marcus Murray und Paula Januszkiewicz... Gegen gezielte Attacken gibt es derzeit kaum eine Gegenwehr - außer Brain 2.0. Also schult Eure Mitarbeiter...

[Dunkelmann 96]

Am Ende des Tages habe ich das Gefühl, man muss sich nur 1 Frage deutlich und final stellen:

Wie hoch darf/muss das Restrisiko für die Unternehmens-Sicherheit sein,

mit dem Kosten-Nutzen-Faktoren … Manpower und Geldaufwand vs. Schutz.

Moin,

 

es ist mehr oder weniger einfach.

Die Schlagwörter aus dem Risikomanagment lauten: "vermeiden", "vermindern", "abwälzen", "selber tragen"

[lizenzdoc 207]

Hi,

danke, dass Ihr mich in dem Thema Restrisiko bestätigt.
Dann sehe ich das also nicht so verkehrt.

 

Es gibt Kunden, die aus dem Security-Grund bei RZ „unterschlüpfen“,
nach dem Motto … große RZs bieten auch einen größeren Schutz …
Aber wenn man z.B. den amerikanischen Gerichtsbeschluss vom 17.09. betrachtet,
wird jetzt Microsoft und damit sicherlich auch HP, ORACLE, Facebook, Google, etc.
final „per „ACT“ verdonnert“ bei „einem nationalem Interesse der USA“
doch wiederum Zugang zu „relevanten Daten“ zu ermöglichen …
Darunter fällt sicherlich auch Wirtschaftsspionage, da sich die USA-Regierung  ja verpflichtet hat,
seinen amerikanischen Unternehmen in solchen Fragen „zu helfen“… bzw. „Schaden“ abzuhalten.

 

Das mal wieder aufgegriffene Thema „Schengen-Routing“ ist für mich sehr fraglich,
ob es was bringen würde.
Eher sollten alle über eine hohe Verschlüsselung rasch nachdenken,
das würde den „Bösen“ das Leben viel mehr erschweren, oder sehe ich das falsch?

 

VG, Franz

[s_sonnen 20]

Hi Franz.

 

Ich glaube, den größten Wert sollte man auf gut geschulte, sich ihrer Verantwortung bewußten und sensible Mitarbeiter legen. Der Zeigefinger auf der Maustaste hängt immer noch am Gehirn dessen der vor dem Monitor sitzt, ... oder sollte das zumindest. Mein Standardspruch für die user lautet daher eigentlich immer gleich: guggn, lesen, denken, verstehen und dann, vielleicht, klicken. Bestimmt ist das in eher kleineren Firmen leichter, schließlich kennt man dann den größten Teil der Mitarbeiter wohl persönlich, in wirklich großen Firmen dürfte das etwas schwerer sein.

Außerdem dürfte wohl auch die Art der Firma eine Rolle spielen. Wenn der PC nur verwendet wird um bestimmte Aufgaben, meistens ja zusätzlich zur "normalen" Tagesarbeit, zu erledigen, und diese Vorgehensweisen fest sind, kommt wohl der Spieltrieb nicht so durch. Dafür gibt's da halt durchaus mal ein Problemchen bei der Einführung neuer Software. Aber mit Geduld, Spucke und etwas Einfühlungsvermögen des ITlers läßt sich das auch immer zur beiderseitigen Zufriedenheit lösen.

Wenn der Mitarbeiter "seinem" ITler über den Weg traut dann kommt er auch mit, für ihn, gefühlten "dummen" Fragen ohne Angst sich lächerlich zu machen, ... und das ist, meines Erachtens, meistens effizienter als alle Vorschriften und unterschriebene Formulare.

 

ciao und 'nen angenehmen Dienstag

M.

[Dunkelmann 96]

Verschlüsseln kann jeder - spannend wird es erst beim Entschlüsseln, besonders im Notfall. Der Alltag ist wie immer langweilig und unspektakulär.

 

Bei privaten Daten ist es persönliches Pech, wenn durch einen Vorfall der verschlüsselte Container beschädigt, das Kennwort vergessen oder das EFS Zertifikat verloren wird. Bei einem Unternehmen, kann Datenverlust die Existenz zerstören.

Es ist alles andere als trivial und preiswert, eine 'revisionssichere' Verschlüsselungsinfrastruktur aufzubauen und zu betreiben.

Man darf nicht vergessen: Daten werden zum Schutz vor unbefugtem Zugriff verschlüsselt und wenn ich mich nicht mehr gegenüber dem Verschlüsselungsmechnismus authentifizieren und autorisieren kann, gelte ich auch als unbefugt.

 

Ein weiter Faktor ist die Lebensdauer eines Verschlüsselungsalgorithmus. Die Lebensdauer der Verschlüsselung sollte auf jeden Fall den Zeitraum, über den ein Dokument geschützt werden soll, übersteigen. Nicht umsonst werden viele Daten aktuell einfach nur gesammelt um sie dann in 3, 5 oder auch 10 Jahren mittels Quantencomputer oder anderer massiv paralleler Rechenleistung zu entschlüsseln.

 

Wie s_sonnen schon schrieb, der beste Schutz ist ein loyaler, sensibilisierter und geschulter Mitarbeiter. Auch wenn es den 'Technischen Overkill' durch die Dienste gibt, kommen viele Erkenntnisse immer noch aus klassischen Quellen und werden mittels klassischer Methoden gewonnen.

bearbeitet 30. September 2014 von Dunkelmann

[Daniel -MSFT- 129]

BTW: Das von Dir zitierte Urteil ist kein letztinstanzliches Urteil. Wir haben dagegen Berufung eingelegt und weigern uns, die Daten auf diesem Weg herauszurücken.

 

Du spekulierst da ziemlich wild herum...hast Du auch einen Beweis, um Deine These zu,untermauern? Wo ist die überlegene amerikanische Wirtschaft, die den armen Deutschen ihre Wirtschaftsgeheimnisse ausspioniert und sie gnadenlos vermarktet, auf dass diese ins Hintertreffen geraten? Das Gegenteil ist doch wohl eher der Fall.

[s_sonnen 20]

Na, na, Jungs.

 

Bitte keine politische Diskussion draus machen, ... ich werf' jetzt einfach mal ein paar leichte Blutdrucktabletten in die Runde, darf sich gern' jeder eine nehmen, bei Bedarf natürlich auch zwei.

 

ciao und einen angenehmen Restdienstag

M.