magheinz 110 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 (bearbeitet) vor 4 Minuten schrieb Nobbyaushb: Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden Vorgabe Behörde - KRITS Daher unsere Idee mit den Chips, da jeder MA einen hat ECOS hat eine BSI-Zulassung zumindest für NfD. Die Bootssticks von denen haben eine smartcard und man muss eine PIN eingeben=2 Faktoren. Und für Bundesbehörden: man kann sie über das KdB beziehen! bearbeitet 22. April 2020 von magheinz Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 (bearbeitet) vor 14 Minuten schrieb Nobbyaushb: Geht leider nicht, da nur ein eingeschränkter Personenkreis iPhones hat - und private Smartphones dürfen sich nicht mit dem Firmennetz verbinden Es gibt mehrere Möglichkeiten, so eine Authenticator App zu benutzen - z.B. kann man sich einen Zahlencode erzeugen lassen. Das ist dann das gleiche wie ein Hardware-Token ... nur eben in Software. Oder man lässt den Authentifizierungsprovider (MS) beim Smartphone anfragen, ob eine gerade anstehende Autorisierung genehmigt werden soll. Das ist etwas komfortabler, da man auf dem Phone nur noch - nach Entsperrung (gegebenenfalls mit Fingerabdruck) - bestätigen muss. Aber das Smartphone verbindet sich nicht mit dem Firmennetz. Aber wenn's sooo spezielle Anforderungen gibt, isses dann vielleicht nix für Euch. bearbeitet 22. April 2020 von BOfH_666 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Es gibt auch komplett zertifizierte Notebooks die auch für höhere Geheimhaltungsstufen zugelassen sind. Das setzt dann vermutlich eine sina-box voraus oder wie die jetzt heisst... Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 31 Minuten schrieb BOfH_666: Das ist etwas komfortabler, da man auf dem Phone nur noch - nach Entsperrung (gegebenenfalls mit Fingerabdruck) - bestätigen muss. Und dann kommt die "Duo Bypass App" um die Ecke: https://blog.workinghardinit.work/2019/11/13/the-darwin-award-with-mfa-push-notifications/ oder der User bestätigt eben jede Anfrage :-D 1 Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 vor 51 Minuten schrieb testperson: .... oder der User bestätigt eben jede Anfrage :-D Wie Mark Minasi immer zu sagen pflegte "There's no silicon based solution for a carbon based problem". 2 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Wundert mich, daß noch niemand den MS Security Artikel dazu verlinkt hat Der interessierte Leser findet den sicher leicht selber... Zitieren Link zu diesem Kommentar
CoNtAcT2000 15 Geschrieben 22. April 2020 Melden Teilen Geschrieben 22. April 2020 Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch. 2 Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 23. April 2020 Autor Melden Teilen Geschrieben 23. April 2020 @daabm ...."Danke für's Stöckchen" Hab' jetzt mal gegoogelt - meintest Du den folgenden Artikel? Danke Dir https://docs.microsoft.com/de-de/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903 <=> https://redmondmag.com/articles/2019/04/26/microsoft-password-expirations-windows-security.aspx An Alle: Ich freu' mich ja grundsätzlich über eine rege Diskussionsteilnahme.... - über Beiträge, die zu meinem Eingangspost passen, freue ich mich aber noch mehr Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 23. April 2020 Melden Teilen Geschrieben 23. April 2020 vor 8 Stunden schrieb CoNtAcT2000: Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln weil sie einen Verdacht haben, dass es kompromitiert sein könnte - dann wäre das Passwort bis zur Rente/Pension identisch. (Die meisten müssten wohl erst nachschlagen, was überhaupt mit kompromittiert gemeint ist). Evtl. schnappt das Passwort mal ein Arbeitskollege auf und der Benutzer merkt es nicht. In der Regel würde das von den Endanwendern bei uns kein Schwein merken, wenn sein PW weg ist, da gehe ich jede Wette ein. Oder aber der User nutzt zum Beispiel Remotezugänge/Anwendungen vom Privatgerät aus. Wer weiß wo der überall die selben Zugangsdaten verwendet...da kann es schon hilfreich sein, wenn das Passwort nach Zeitraum x gewechselt werden muss. Das mag in Unternehmen mit fitten Leuten ja klappen es nicht zu wechseln und komplexer zu gestalten, aber im ÖD Leute mit technischem Verständnis zu finden und für diese Änderungen den nötigen Rückhalt in der Verwaltung zu bekommen - der Horror! Bei den jungen Leuten gehts ja (oft, aber nicht immer), aber der Altersdurchschnitt ist halt leider recht hoch. Dem kann man ja mit einem zweiten Faktor (Smartcard / Yubikey / Token) entgegen wirken. Ebenfalls gibt es Möglichkeiten zu überwachen, von wo eine Anmeldung versucht wird / erfolgt. Sollten bei einer Behörde dann Anmeldeversuche / Anmeldungen aus China o.ä erfolgen, dann ist wohl was faul im Staate Dänemark Deutschland. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 23. April 2020 Melden Teilen Geschrieben 23. April 2020 vor 37 Minuten schrieb testperson: entgegen wirken Ist im ÖD aber eben auch nicht immer so einfach. ;) Wieviele Kunden kennst du denn, die derzeit für interne Verwendung (Anmeldung am PC) einen zweiten Faktor nutzen? Ich hab zwar haufenweise Kunden die das für Clouddienste oder bspw. Citrix und VPN nutzen, aber bisher keinen der das für die PC Anmeldung nutzt. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 23. April 2020 Melden Teilen Geschrieben 23. April 2020 vor 27 Minuten schrieb NorbertFe: Wieviele Kunden kennst du denn, die derzeit für interne Verwendung (Anmeldung am PC) einen zweiten Faktor nutzen? Es sind max. ein bis zwei Hände voll. Da ist es halt praktisch, dass viele unserer Kunden so oder so alle eine Smartcard von DATEV haben, mit der man das eben umsetzen kann. Ein Kunde testet das grade mit RCDevs und Softtoken. Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 23. April 2020 Melden Teilen Geschrieben 23. April 2020 Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant. Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten. Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren. Zitieren Link zu diesem Kommentar
CoNtAcT2000 15 Geschrieben 23. April 2020 Melden Teilen Geschrieben 23. April 2020 vor 1 Stunde schrieb falkebo: Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant. Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten. Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren. Für die Nutzer die bei uns Home Office machen, haben wir die zwanghafte Passwortänderung derzeit außer Kraft gesetzt. Wollten da nicht noch unnötig in Probleme stolpern, hatten aktuell genug mit anderen Dingen zu tun. 1 Zitieren Link zu diesem Kommentar
noobi 4 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 Moin moin, also wir hatten bei uns auch immer Passwörter ohne Ablaufdatum. 2019 haben wir uns dazu entschlossen eine Cyberrisiko-Versicherung abzuschließen. Damit sind folgende Punkte abgedeckt: Cyber-Spionage Cyber-Vertrauensschadendeckung Cyber-Betriebsunterbrechung bei Cloud-Ausfall Cyber-Betriebsunterbrechung bei Systemausfall und technischen Problemen Grundvorraussetzung für diese Versicherung ist eine Passwortrichtlinie: Zitat Obliegenheit: Passwortrichtlinie für individuelle und komplexe Passwörter Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen eine Passwortrichtlinie angewendet wird, die sicherstellt, dass alle Mitarbeiter individuelle und komplexe Passwörter verwenden. Wenn eine solche Passwortrichtlinie noch nicht eingerichtet ist, müssen Sie dieses innerhalb eines Monats nach Vertragsbeginn nachholen. Was beinhaltet eine Passwortrichtlinie beispielsweise? • Vorgaben zur Komplexität von zulässigen Passwörtern (mind. 8-stellig, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, keine Namen etc.). • Vorgaben dazu, dass das Passwort nicht mehrfach (für andere Accounts) verwendet werden darf. • Vorgaben, dass alle herstellerseitig voreingestellten Passwörter innerhalb Ihres IT-Systems (z.B. von Routern, IP-Kameras, Druckern, etc.) geändert wurden und durch komplexe Passwörter ersetzt wurden. Obliegenheit: Sichere Aufbewahrung der Datensicherung Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen die aktuellste, sowie die beiden letzten Datensicherungen auf einem vom Ursprungsspeicherort räumlich getrennten Medium aufbewahrt werden, so dass diese Datensicherungen bei einem Schadenfall der Originaldaten voraussichtlich nicht gleichzeitig betroffen sein können. Wenn eine sichere Aufbewahrung der Datensicherungen bisher nicht eingerichtet ist, muss diese innerhalb eines Monats nach Vertragsbeginn eingerichtet werden. Obliegenheit: Regelmäßige Datensicherung aller versicherten Daten Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen eine mindestens wöchentliche Datensicherung aller versicherten Daten durchgeführt wird. Wenn eine solche regelmäßige Datensicherung noch nicht eingerichtet ist, muss innerhalb eines Monats nach Vertragsbeginn eine solche Datensicherung eingerichtet werden. Obliegenheit: Test der Wiederherstellung wichtiger IT-Infrastruktur Voraussetzung für den Versicherungsschutz ist, dass in Ihrem Unternehmen die Wiederherstellung wichtiger IT-Infrastruktur, z.B. von Servern oder Datenbanken aus den gesicherten Daten regelmäßig (aber mindestens einmal) erfolgreich getestet wurde. Eine Überprüfung der Wiederherstellung aus den gesicherten Daten ist besonders dann notwendig, wenn Änderungen an der IT-Infrastruktur vorgenommen wurden. Wenn ein solcher Test noch nicht erfolgt ist, muss innerhalb von einem Monat nach Vertragsbeginn ein solcher Test durchgeführt und dokumentiert werden. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 Da steht aber nix von Wechseln der Kennworte, oder hab ich das überlesen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.