Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Hartmut Goebel CISSP-Geflüster

CISSP-Geflüster

Die monatliche Kolumne von Hartmut Goebel
2009-05: Common Vulnerability Scoring System
Die Kunst, Schwachstellen richtig einzuschätzen und zu bewerten
2009-12: Schlechtes Systemmanagement gefährdet die Sicherheit
Prozesse, die zu umständlich sind oder zu lange dauern, veranlassen Mitarbeiter zu Umgehungsstrategien. Damit gefährden sie die IT-Sicherheit – obwohl sie einfach nur arbeiten wollen.
2009-11: NAT bringt keine Sicherheit
Immer wieder ist zu lesen, NAT (Native Address Translation) würde zur Sicherheit des Firmennetzwerks beitragen. Erst vor einigen Wochen nahm ein Leserbriefschreiber im iX Magazin diese Mär' gar als Argument gegen IPv6. Das ist schlichtweg ziemlicher Blödsinn!
2009-10: Schwarz-Gelb: Barrierefreier Datenzugang
Was bedeutet der Ausgang der Bundestagswahl für die Informationssicherheit?
2009-09: Backup allein genügt nicht
Datensicherungen müssen auch außerhalb gelagert werden
2009-08: Die falsche Programmiersprache gefährdet das Internet
2009-07: Wie vertraulich sind MPLS-VPN?
Wenn ein Virtual Private Network gar nicht so privat ist, wie man denkt.
2009-06: Filtern Sie PDFs an der Firewall? Nein? Sollten Sie aber!
Haben Sie in den letzten Wochen mal darüber nachgedacht, ob Sie alle PDF-Dokumente, Excel-Dateien und Powerpoint-Präsentationen an der Firewall ausfiltern sollten? Haben Sie nicht? War keine Thema bei Ihnen? Das sollten Sie ändern!
2010-11: IT-Sicherheit im Unternehmen: Eine interne oder externe Angelegenheit?
Die Verantwortung für IT Security liegt bei der Geschäftsführung. So steht es eindeutig im Grundschutzhandbuch und so definiert es die Sicherheitsnorm ISO 27001. Doch das Feld IT-Sicherheit ist anspruchsvoll und vielschichtig und verlangt enormes Fachwissen. Dafür braucht der Chef kompetente Fachleute – die meist nicht im Unternehmen zu finden sind. Ist Outsourcing aber eine gangbare Lösung für das sensible Thema Sicherheit?
2010-09: Mut zur Beschränkung
Wenn von Beschränkung von Benutzerrechten und Logging die Rede ist, geschieht das meinst unter dem Aspekt, absichtliche Veränderungen durch Nutzer zu verhindern. Ein reelles Anliegen. Doch fast noch nützlicher sind diese Maßnahmen, um User oder auch Experten vor unabsichtlichen Eingriffen zu schützen.
2010-08: Scheingefechte um RIM
Ein heftiger Streit tobt: Einige Staaten wollen unbedingt Zugriff auf die verschlüsselten Blackberry-Messages und damit verhindern, dass sich staatsfeindliche Bösewichte unbeobachtet austauschen. Aber was soll eigentlich die Aufregung? Jeder kann doch seine Gespräche und Mails verschlüsselt übertragen – an allen Überwachungsorganen vorbei und ganz ohne Blackberry.
2010-07: Passwörter lieben lernen
Wohin mit all den Passwörtern, die Benutzer sich tagtäglich merken sollen? Auf Zettel? In eine Word-Datei? Oder doch immer wieder das gleiche Password variieren? Mit kleinen Tools zum Speichern von Passwörtern machen Sie den Benutzern das Leben leicht – und mancher beginnt gar Passwörter zu lieben,
2010-06: Adobe und der Maiszünsler
Adobe hat es geschafft, dass viele Menschen den Acrobat Reader als Synonym für PDF-Reader verstehen – und entsprechend ist seine sehr flächendeckende Einsatz. Eine riskante Entwicklung, denn einmal ist Acrobat berühmt-berüchtigt für seine Schwachstellen, zum anderen ziehen solche „Software-Monokulturen“ Hacker geradezu magisch an. Wer also Acrobat empfiehlt, züchtet sich quasi seine Angreifer selbst.
2010-05: Finger weg von Google Analytics
Trotz aller Warnungen, die derzeit kursieren: Alle lieben Google Analytics – und tragen fleißig Daten im Dienst von Google zusammen. Dass sie dabei die Profile ihrer Kunden an Google überantworten, ist wenigen bewusst oder es ist ihnen egal. Dass der Einsatz auch gesetzlich verboten ist, eben so wenig. Der Nutzen, den das Tool bringt, steht jedenfalls nicht dafür.
2010-04: Studie über Cloud ignoriert Security
Und noch ´ne neue Studie über Cloud Computing. Diesmal untersucht die Experton Group, welche Anbieter in Deutschland Cloud-Leistungen anbieten und wie gut sie das machen. Ganz ohne wenn und aber nimmt das Marktforschungsinstitut die Position ein, dass Cloud Computing den ultimativen Evolutionsschritt zur Industrialisierung der IIT darstellt – wie anno dunnemals die Dampfmaschine. Eine gewagte These.
2010-03: Java-Frameworks gefährden die Sicherheit
„Session Fixation“ etikettierte ich bisher schlichtweg als Problem von PHP-Anwendungen. Ganz einfach deshalb, weil sich mein langjähriges Vorurteil immer wieder bestätigt: PHP-Anwendungen haben viele Lücken. Einer der Gründe dafür ist, dass PHP-Programmierer das Rad immer wieder neu erfinden – statt einfach Frameworks zu verwenden. Nun wurde ich eines Besseren belehrt: Viele Java-Anwendungen sind unsicher, eben weil sie ein Framework verwenden.
2010-02: Sicher bis zum Stillstand
Anschläge einer neuen Qualität bedrohen Flughäfen wie Landesgerichte. Denial of Service, also DoS, heißt die Zauberwaffe, die hier mitnichten Server und Netzwerke zum Ziel hat. Genial dabei: Die Sicherheitswächter der Legislative und Judikative schalten sich selber aus.
2010-01: Der Weitblick für den Weitblick
Alles wieder unter Kontrolle! Das Chaos mit den“kaputten“ Chips auf den EC-Karten gehört der Vergangenheit an – hoffentlich. Hoffentlich nutzen die Verantwortlichen auch die kalten Tage auch wirklich, um zu Hause zu bleiben und machen sich in aller Ruhe bei einer Kanne Tee und dem Rest des Weihnachtsstollens über die wirklichen Ursachen des Desasters Gedanken.
CISSP-Geflüster
Die monatliche Kolumne von Hartmut Goebel
2010-12: Hintertüren allen Ortes
Hintertüren in weit verbreiteter Krypto-Software ist der GAU. Im Herbst sind zwei Fälle bekannt geworden, die uns zu Denken geben sollten.
2011-02: Fleißige Datensammler für lukratives Geschäftsmodell gesucht
Ein kleiner Hobby-Forumsbetreiber bekam Ärger mit dem Datenschutzbeauftragten von NRW. Der Grund: Er verwendete IVW-Besucherzählung, das Amazon-Partnerprogramm und Google-AdSense, alles Tools, die Besucherdaten sammeln und diese Daten an die "Besitzer" weitergegeben. Eine Bagatelle? Ich denke nicht, denn jeder noch so Kleine arbeitet damit den Großen in die Tasche.
2011-08: Gefährliches Managerspielzeug
Um junge, kreative Menschen als Mitarbeiter zu gewinnen, muss ein Arbeitgeber nun erlauben, dass sie ihre eigenen Smartphones, Tablets, Notebooks verwenden, so fordert es der neue Trend "Bring you own device". Das spart den Firmen Geld und motiviert auch nach Feierabend zu Überstunden. Sehr schön. Aber halt mal, soll Kollege Müller wirklich mit seinem privaten iPhone zu Hause auf die aktuellen Verkaufszahlen zugreifen dürfen?
2011-09: Kommerz über Recht - FDP, die "Gefällt-mir"-Partei
Mitte August hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) alle Website-Betreiber in Schleswig-Holstein aufgefordert, Social-Plugins wie den "Gefällt-mir"-Button auf ihren Webseiten bis Ende September zu entfernen. Der Grund: Beim Aufruf von Web-Seiten, die den Facebook-Button nutzen, werden sowohl angemeldete als auch nicht angemeldet Nutzer erfasst. Das ist ein Verstoß gegen das Datenschutzgesetz und soll künftig geahndet werden. Das gefällt dem „FDP-Netzexperten“ Manuel Höferlin nicht, er will das „Rechtssystem anpassen“.
2011-10: Aus der Schublade in die Köpfe
Grade Mitarbeiter, die ihren Job motiviert und engagiert erledigen wollen, bergen mehr sicherheitsrelevanten Sprengstoff für ihre Arbeitgeberfirma als Viren, lückenhafter Programmcode oder Trojaner. Nur: Sie sind sich dessen nicht bewusst! Die Herausforderung für uns Sicherheitsspezialisten ist deshalb: Das Regelwerk der Security-Policies muss ins Bewusstsein der Kollegen und ins gelebte Daily Business. Erstmals helfen pfiffige Ansätze von Herstellerseite dabei.
2011-11: In Troja nichts Neues
Große Aufregung um den Bayern- und Bundes-Trojaner allerorten. Doch Security-Fachleute hat all das nicht wirklich überrascht. Dennoch können Sie als Info-Sec-Beauftragter aus dem Vorfall Ihre Lehren ziehen und sich damit peinliche Befragungen ersparen, wie sie unser Innenminister durchstehen musste.
2012-01: In die Cloud! In die Cloud! Aber wo soll die sein?
Seit Jahren berichten die Marktforscher, dass der Mittelstand in die Cloud zieht. Mail- und Webserver laufen ja ohnehin schon lange bei irgendeinem Provider. Da liegt es nahe, auch Server, Backup, Archiv oder gar das ERP in die Rechenzentren externer Serviceprovider auszulagern. Doch Vorsicht: Wenn geschäftsrelevante Prozesse zum externen ISP wandern, muss der einige grundlegende sicherheitstechnische Voraussetzungen erfüllen. Denn verantwortlich als Eigentümer der Daten sind nach wie vor Sie.
2012-02: Bring Your Own Life (Glosse)
Firmen, die ihren Mitarbeitern nicht erlauben, ihr eigenes Smartphone, ihr eigenes Notebook oder ihren eigenen Tablet mitzubringen, sind intolerabel, missgeliebt, ganz einfach out. Keine Firma will seine Reputation als „innovativer und attraktiver Arbeitgeber“ aufs Spiel setzen.
2012-04: Compliance bringt keine Sicherheit
Compliance ist ein viel bemühter Begriff in der IT-Security-Branche. Compliance-Officer, Security-Anbieter und Wirtschaftsberater proklamieren „Compliance“ als Wundermittel gegen Bedrohungsszenarien jeder Art, egal ob aus dem Internet, durch Korruption oder unachtsame Mitarbeiter. Und die Geschäftsführer nicken teure Compliance-Maßnahmen ab – aus Angst um ihre Unternehmenssicherheit und vor gesetzlichen Repressalien
2012-09: „Steht ein Manta-Fahrer vor der Uni ...“
Microsoft kündigt an, die Weiterentwicklung des Internet Security and Acceleration Server (ISA), der inzwischen Forefront Threat Management Gateway 2010 (TMG) heißt, einzustellen. Die Kunden bleiben im Regen stehen.
rss