[radyr]

Zitat (funky_monkey: 01.12.2009, 13:36)

Also zumindest von VMware gibt es Software mit Crypto-Funktionalität auch für Linux - Windows sowieso und ich nehme mal schwer an, auch für OS X. Bei Solasris und *BSD bin ich mir nicht 100%ig sicher, aber für beide gibt's zumindest VBox.

Ja, aber das System in der VM ist ja dann doch wieder ein Windowssystem.

Gibt es irgendwelche rechtlichen Tipps oder Kniffe, von denen ihr wisst?

[Twisty]

rehleinkiller sagte:

Die Probleme ergeben sich doch auch schon jetzt. Es hat wie gesagt jeder Mitarbeiter ein Notebook, welches aber bisher von uns ausgegeben wurde.

Mir wäre das viel zu Unsicher. Man merkt das euer Konzept noch gar nicht steht und ihr euch sogar über die Sicherheitsaspekte völlig uneinig seid.

Frag am besten mal die 5(?) Mitarbeiter was denen bei einer solchen Möglichkeit wichtig wäre, dann gleicht das mit euren Sicherheitskonzept ab. Die Vorstellungen beider Parteien werden mit Sicherheit völlig verschieden sein.

Und solang jeder Mitarbeiter ohne vorherige Schulung/Seminar den Vollzugriff auf seinem Notebook hat, halte ich die Idee mehr als... fragwürdig.

[radyr]

Zitat (Twisty: 01.12.2009, 15:11)

Mir wäre das viel zu Unsicher. Man merkt das euer Konzept noch gar nicht steht und ihr euch sogar über die Sicherheitsaspekte völlig uneinig seid.

Unser bisheriges Konzept steht stabil auf seinen Beinen und das mittlerweile 5 Jahre lang mit durchschnittlich 60 Mitarbeitern. Wir fahren bei uns die "lockere" Schiene, da wir den Mitarbeitern möglichst viel Flexibilität bieten möchten. Selbst wenn es zum Diebstahl eines Notebooks kommen sollte und die Hardwareverschlüsselung geknackt werden sollte, sind die relevanten Daten im Lotus Notes System und unzugänglich für den Dieb, da extra verschlüsselt und bei gemeldetem Diebstahl an die IT ist der Zugang sowieso gesperrt.

Was ist so fragwürdig an dem Gedanken, dass jeder Vollzugriff auf sein Notebook hat? Was kann denn schlimmstenfalls passieren? Wir haben einen der führenden Virenscanner auf jedem System installiert, der sich nicht ohne ein Adminkennwort (das nur die IT hat) ausschalten oder verändern lässt, wir verteilen Policies über das AD und wir haben gesetzlich bindende Verträge mit Richtlinien, die die Kollegen einzuhalten haben.

Irgendwie ist mir hier die Angst zu groß und es scheint niemand offen für andere Wege oder alternative Konzepte zu sein... Schade.

[Twisty]

rehleinkiller sagte:

Unser bisheriges Konzept steht stabil auf seinen Beinen und das mittlerweile 5 Jahre lang mit durchschnittlich 60 Mitarbeitern.

Dagegen sagt auch keiner etwas. Aber bisher erweckt es von meiner Seite her den Eindruck das ihr meint euer bisheriges Konzept reicht weiterhin aus.

rehleinkiller sagte:

Was ist so fragwürdig an dem Gedanken, dass jeder Vollzugriff auf sein Notebook hat? Was kann denn schlimmstenfalls passieren?

Ich würde die Mitarbeiter halbjährlich zu einem Seminar schicken, wo auf deren Niveau über neue Techniken und Möglichkeiten von Malware unterrichtet wird. Man kann als Mitarbeiter nicht alles wissen und durch solche Schulungen (oder wie man es nennen möchte) kann zumindest dem Mitarbeiter gezeigt werden wo Gefahren lauern und wie man sich selber davor schützt bevor man den Schaden hat.
Bei Vollzugriff besteht die Gefahr, egal ob Top-AV-Scanner, dass man sich Malware an Board holt. Und viele Außenmitarbeiter arbeiten aus Bequemlichkeit immer mit/unter Vollzugriff. Ich habe selber schon die Erfahrungen sammeln dürfen und ich kann dir sagen, es war alles andere als hilfreich.

rehleinkiller sagte:

Irgendwie ist mir hier die Angst zu groß und es scheint niemand offen für andere Wege oder alternative Konzepte zu sein... Schade.

Ist denn die Angst so unbegründet? Andere Konzepte erfordern andere Sicherheitsmaßnahmen und nur weil man diese hinterfragt, heißt es nicht das man generell dagegen ist. Es wäre auch möglich das du/ihr ein Aspekt gar nicht bedacht habt. Ich für meinen Teil bin nicht dagegen, sondern eher zu kritisch.

[radyr]

Zitat (Twisty: 01.12.2009, 15:54)

Ich würde die Mitarbeiter halbjährlich zu einem Seminar schicken, wo auf deren Niveau über neue Techniken und Möglichkeiten von Malware unterrichtet wird. Man kann als Mitarbeiter nicht alles wissen und durch solche Schulungen (oder wie man es nennen möchte) kann zumindest dem Mitarbeiter gezeigt werden wo Gefahren lauern und wie man sich selber davor schützt bevor man den Schaden hat.
Bei Vollzugriff besteht die Gefahr, egal ob Top-AV-Scanner, dass man sich Malware an Board holt. Und viele Außenmitarbeiter arbeiten aus Bequemlichkeit immer mit/unter Vollzugriff. Ich habe selber schon die Erfahrungen sammeln dürfen und ich kann dir sagen, es war alles andere als hilfreich.

Es ist bei uns auch so, dass wir viele externe Mitarbeiter haben. Diese bekommen von ihrem privaten Notebook schon jetzt Zugriff auf bestimmte Datenbanken und können mit dem System, auf das die IT keinerlei Einfluss hat, arbeiten. Ob diese Mitarbeiter jetzt top ausgebildet sind und sich allen Gefahren bewusst sind, oder sich aus Dummheit Malware einfangen, kann uns relativ egal sein, da diese dann halt in der Zeit bis das System wieder tut nicht einsatzfähig sind und somit kein Geld verdienen. Exakt so verhält es sich dann mit den Mitarbeitern hier, die ein eigenes Notebook nutzen.

Die Policy/der Vertrag zur Nutzung eines privaten Notebooks muss nur restriktiv genug formuliert werden und alle Eventualitäten abdecken und damit ist die Plicht, das Notebook sicher zu halten auf die Seite des Mitarbeiters abgewälzt. Ich denke sowieso, dass gerade die Nutzer, die ihr Notebook auch privat nutzen, mehr auf die Sicherheit achten, da sie ja dann meist auch private Daten mit sich rumschleppen.

Welche Erfahrungen hast du denn gesammelt? Was war der Aufwand, oder welche Folgen hatte es?

[Twisty]

Ich hatte 'nur' ein Praktikum bei einer Versicherung. Die Außenmitarbeiteranzahl war laut Angaben des Unternehmens bei ein paar Tausend Nutzer, die aber auf verschiedene Außenstellen verteilt waren.

Meine Erfahrungen waren weniger berauschend, ob das nur an dem Mitarbeiterstab lag oder an der Unfähigkeit der Administration weiß ich nicht. Aber ich hatte folgende Probleme bemerkt:

- Angriffe auf den Mainserver ((D)DOS, Bots oder wahrscheinlich andere Tools) - hab ich mit Portknocking "behoben". Was aber später durch Willkür abgeschafft wurde.
- Viren und anderes Ungeziefer - Trotz deren Superausstattung kam Ungeziefer in den sensiblen Datenereich. Irgend ein Administratordepp hat Ausnahmen in den Regeln festgelegt (bspw. für sql-Dateien)
- Verseuchte Notbooks bei den Routinedurchsichten. - Trackingsoftware, Toolbars, dubiose Malware in Form von kleinen "Helfern".
- veraltete Software und Null Wartung. Patchstand lag oftmals Monate zurück.
- Passwörter wurden in einer Textdatei auf dem Desktop gespeichert.
- Passwörter waren max. 8 Buchstaben(!!) lang.
- Nichtlizensierte Programme wurden genutzt, sprich Schwarzkopien. Die Frage ist dabei immer, wer hat Schuld wenn so ein Teil im Firmennetzwerk hängt und die Kontrolle anwesend ist?
- Null Dokumentationen, keine Logauswertung, kein Notfallplan usw.
- Mangelnde Backupstrategien
- Inkonsequente Rechteverwaltung

Der Aufwand stand in keiner Relation zum Nutzen. Letztlich wurde ich nur geholt, damit die kostengünstig ihre Probleme gelöst bekommen.

rehleinkiller sagte:

Ich denke sowieso, dass gerade die Nutzer, die ihr Notebook auch privat nutzen, mehr auf die Sicherheit achten, da sie ja dann meist auch private Daten mit sich rumschleppen.

Kommt darauf an. Viele meinen ja noch immer das eine Desktopfirewall und ein AV-Programm einen vor Gefahren schützen. Die Definition von sensiblen Daten und Sicherheit liegt bei vielen Nutzern weit auseinander. Deswegen würde ich deine These nicht als Garantie nehmen.

[radyr]

Ja, es ist natürlich der Wunschtraum aller Admins und ITler, dass die Mitarbeiter geschult werden, im Umgang mit dem PC und mit dem Internet. Leider befürchte ich, dass das in der Realität nicht möglich ist, da sich a) kaum die Zeit für sowas findet und es b) auf freiwilliger Basis passieren würde und dann würde keiner hingehen, weil sie dann ja eingestehen würden, dass sie nicht alles wissen.

Zu deinen aufgelisteten Punkten oben: Das ist echt bitter! Sowas gibt es bei uns (zum Glück) nicht!

[Twisty]

Ich würde mir zumindest eine Sensibilisierung wünschen. Seminarbesuche sollten 1x im (Halb-)Jahr pflicht sein, für jeden Mitarbeiter. Es geht dabei ja nicht darum den Mitarbeiter zu schikanieren sondern ihn auf mögliche Probleme und Gefahren hinzuweisen. Wenn man es schaffen würde diese Problematik auf deren Niveau verständlich rüber zu bringen, wäre ein Erfolg nicht auszuschließen. Aber da liegt der Hund begraben, leider.

rehleinkiller sagte:

Zu deinen aufgelisteten Punkten oben: Das ist echt bitter! Sowas gibt es bei uns (zum Glück) nicht!

Es wurden einzig nur (halbgar) die Vorgaben von der Zentrale umgesetzt, mehr nicht. Die anderen Administratoren sind vollkommen überfordert (und unterbezahlt). Ich will bei weitem nicht mit denen tauschen wollen.

[karstenschilder]

Zitat (rehleinkiller: 02.12.2009, 09:17)

Ja, es ist natürlich der Wunschtraum aller Admins und ITler, dass die Mitarbeiter geschult werden, im Umgang mit dem PC und mit dem Internet. Leider befürchte ich, dass das in der Realität nicht möglich ist

Das ist IMHO einer der entscheidensten Punkte, warum ein geschlossenes System sicherheitstechnisch unvermeidbar ist. Wir haben bei uns eine IT Landschaft mit etwa 11000 Arbeitsplätzen, die alle zentral vernetzt sind. Die Praxis hat gezeigt, dass das ganze nur dann auf Dauer funktioniert, wenn ein einheitliches Standardimage verwendet wird und wirklich jeder "Furz" durch Gruppenrichtlinien zentral geregelt ist, so dass die Leute außer Arbeiten nix weiter machen können mit den Maschinen.

[radyr]

Ja. Bei 11000 Arbeitsplätzen würde ich das exakt so handhaben. Bei 50 Mitarbeitern ist das eben etwas anderes...