8
Cloud, Outsourcing und Verschlüsselung
Das Verarbeiten von vetraulichen bzw. geheimen Daten in der Cloud ist ja vollkommen des Wahnsinns!
Damit die Daten in der Cloud verarbeitet werden können, müssen sie in unverschlüsselter Form vorliegen. Um die "Cloud" sinnvoll zu nutzen, können die Daten dort nicht verschlüsselt vorliegen, denn sonst nützt einem die Verarbeitung in der Cloud nichts.
Jetzt stellt euch mal vor wieviele Regierungen und Unternehmen, welche keinen Blassen von Datensicherheit haben, unsere Daten in irgendwelchen dubiosen US-Amerikanischen, chinesischen "Clouds" speichern und verarbeiten? Ist ja krank! Hier ein CDN, dort noch eins und da... für unsere Website. "Die wollen uns vor einem DDOS schützen! Der Basic Plan ist sogar kostenlos, guck mal!" Och nee, MITM und noch ein SPOF obendrein? Kaufen wir einfach das teurere Produkt, das muss besser sein! Gott lobe den grosszügigen Staat!
Jetzt dämmert es mir langsam, wieso ich soviel Steuern blechen muss.
Hört auf alles outzusourcen. Das ist die grosse Problematik. "Komm, geben wir denen unsere vertraulichen, personenbezogenen Kundendaten, das sind Profis!" Und schwupps, steht der Name deines Unternehmen am nächsten Morgen im Zusammenhang mit Datenleak oder Datenpanne bzw. Datenschutzvorfall in den Schlagzeilen. Profis. Genau. Es dünkt mich. Wer konnte das nur ahnen? Arbeiten dort eigentlich nur noch lauter Praktikanten und Quereinsteiger? Hauptsache schnell und spottbillig. Sicherheit? Darum kümmern wir uns später (wenn's knallt). Dafür haben wir weder Geld noch Zeit. Pfusch! Naja ok, häufig liegt es auch an den Projektleitern, welche Projekte entwerfen, welche weiter von der Realität entfernt sind, als die Milchstrasse von der Andromedagalaxie.
Niemand will verantwortlich sein, falls mal etwas schiefläuft. Schön immer mit dem Finger auf andere zeigen. Das ist das schöne an Outsourcing. Man kann immer die Schuld von sich weisen und sie bequem jemand anderem in die Schuhe schieben, statt sich mal an seine eigene Nase zu fassen und darüber nachzudenken, wer diesen dummen Entscheid überhaupt gefällt hat, etwas outzusourcen.
Die Cloud ist höchstens sicher, wenn die Daten vor der Übertragung zu einem Cloudanbieter mit einem eigenen Schlüssel verschlüsselt wurden. Und nein, der Schlüssel wird nicht hochgeladen, auch wenn der Anbieter dich darum bittet und anfleht. Der bleibt schön offline gespeichert in einem feuerfesten Tresor. Am besten für Kinder unerreichbar.
Verschlüsselung wird jedoch immer als Allheilmittel angesehen. "Verwenden Sie Verschlüsselung, dann kann keiner auf ihre Daten zugreifen." Das ist grober Unfug, jeder kann auf die Daten zugreifen, nur nicht auf eine Weise, in der die Daten Sinn ergeben, da dazu der Schlüssel benötigt wird. Verschlüsselung alleine bietet keinen Integritätsschutz.
Man sollte sich immer wieder vor Augen führen, dass uns Verschlüsselung lediglich einen kleinen Zeitvorsprung verschafft. Auch starke Verschlüsselung verhindert nicht unbedingt das Auslesen der Daten, es macht es nur sehr unwahrscheinlich, dass jemand die Daten lesen kann.
Verschlüsselung geht mit der Annahme einher, dass wenn die Daten in ferner Zukunft durch leistungsstärkere Computer entschlüsselt werden können, keinen Schaden mehr anrichten.
Es muss also davon ausgegangen werden, dass ein Angreifer zum Zeitpunkt der Übertragung eine Kopie der verschlüsselten Daten anlegt.
Vielen Dank fürs Lesen!
Es tut einfach gut, mal seine aufgestaute Wut zu kanalisieren.
Bitteschön, das Buffet ist eröffnet, gebt nun euren Senf dazu! Ich freue mich.
Damit die Daten in der Cloud verarbeitet werden können, müssen sie in unverschlüsselter Form vorliegen. Um die "Cloud" sinnvoll zu nutzen, können die Daten dort nicht verschlüsselt vorliegen, denn sonst nützt einem die Verarbeitung in der Cloud nichts.
Jetzt stellt euch mal vor wieviele Regierungen und Unternehmen, welche keinen Blassen von Datensicherheit haben, unsere Daten in irgendwelchen dubiosen US-Amerikanischen, chinesischen "Clouds" speichern und verarbeiten? Ist ja krank! Hier ein CDN, dort noch eins und da... für unsere Website. "Die wollen uns vor einem DDOS schützen! Der Basic Plan ist sogar kostenlos, guck mal!" Och nee, MITM und noch ein SPOF obendrein? Kaufen wir einfach das teurere Produkt, das muss besser sein! Gott lobe den grosszügigen Staat!
Jetzt dämmert es mir langsam, wieso ich soviel Steuern blechen muss.
Hört auf alles outzusourcen. Das ist die grosse Problematik. "Komm, geben wir denen unsere vertraulichen, personenbezogenen Kundendaten, das sind Profis!" Und schwupps, steht der Name deines Unternehmen am nächsten Morgen im Zusammenhang mit Datenleak oder Datenpanne bzw. Datenschutzvorfall in den Schlagzeilen. Profis. Genau. Es dünkt mich. Wer konnte das nur ahnen? Arbeiten dort eigentlich nur noch lauter Praktikanten und Quereinsteiger? Hauptsache schnell und spottbillig. Sicherheit? Darum kümmern wir uns später (wenn's knallt). Dafür haben wir weder Geld noch Zeit. Pfusch! Naja ok, häufig liegt es auch an den Projektleitern, welche Projekte entwerfen, welche weiter von der Realität entfernt sind, als die Milchstrasse von der Andromedagalaxie.
Niemand will verantwortlich sein, falls mal etwas schiefläuft. Schön immer mit dem Finger auf andere zeigen. Das ist das schöne an Outsourcing. Man kann immer die Schuld von sich weisen und sie bequem jemand anderem in die Schuhe schieben, statt sich mal an seine eigene Nase zu fassen und darüber nachzudenken, wer diesen dummen Entscheid überhaupt gefällt hat, etwas outzusourcen.
Die Cloud ist höchstens sicher, wenn die Daten vor der Übertragung zu einem Cloudanbieter mit einem eigenen Schlüssel verschlüsselt wurden. Und nein, der Schlüssel wird nicht hochgeladen, auch wenn der Anbieter dich darum bittet und anfleht. Der bleibt schön offline gespeichert in einem feuerfesten Tresor. Am besten für Kinder unerreichbar.
Verschlüsselung wird jedoch immer als Allheilmittel angesehen. "Verwenden Sie Verschlüsselung, dann kann keiner auf ihre Daten zugreifen." Das ist grober Unfug, jeder kann auf die Daten zugreifen, nur nicht auf eine Weise, in der die Daten Sinn ergeben, da dazu der Schlüssel benötigt wird. Verschlüsselung alleine bietet keinen Integritätsschutz.
Man sollte sich immer wieder vor Augen führen, dass uns Verschlüsselung lediglich einen kleinen Zeitvorsprung verschafft. Auch starke Verschlüsselung verhindert nicht unbedingt das Auslesen der Daten, es macht es nur sehr unwahrscheinlich, dass jemand die Daten lesen kann.
Verschlüsselung geht mit der Annahme einher, dass wenn die Daten in ferner Zukunft durch leistungsstärkere Computer entschlüsselt werden können, keinen Schaden mehr anrichten.
Es muss also davon ausgegangen werden, dass ein Angreifer zum Zeitpunkt der Übertragung eine Kopie der verschlüsselten Daten anlegt.
Vielen Dank fürs Lesen!
Es tut einfach gut, mal seine aufgestaute Wut zu kanalisieren.
Bitteschön, das Buffet ist eröffnet, gebt nun euren Senf dazu! Ich freue mich.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1671196978
Url: https://administrator.de/contentid/1671196978
Printed on: May 4, 2024 at 15:05 o'clock
8 Comments
Latest comment
Moin,
Als Elitehacker solltest Du nicht rumheulen, sondern etwas dagegen tun Du Weichei.
lks
Als Elitehacker solltest Du nicht rumheulen, sondern etwas dagegen tun Du Weichei.
lks
3
Moin,
fangen wir mal einfach an: Outsourcen ist für dich also das böse? Nun, und was machst du wenn genau dein INTERNER Mitarbeiter die Daten manipuliert, mitnimmt oder zerstört? Auch da ist das mit der "Verantwortlichkeit" nen schöner Traum - in der Realität eher selten erfolgreich. Denn klar - wenn so ein EliteHacker wie du beigeht dann ist das ggf. in den Logfiles drin. DANN ja. Wenn aber der simple Amateur bei geht der einfach der Firma schaden will - der sucht sich halt nen passenden Virus und führt den "Versehentlich" aus (weils z.B. nen VBA war und er ja nur die Datei anzeigen wollte). Schwupps -> deine Daten sind weg und trotzdem is derjenige nicht wirklich "verantwortlich".
Gleichzeitig gibt es auch intern ja Admins die Probleme z.B. mit statischen IPs haben und keine Ahnung haben wie die ihre Dienste konfigurieren. Super, wenn du den als "alleinverantwortlich" im Laden hast. Wenn man dagegen die Leistung rausgibt - dann besteht zumindest die CHANCE das die Firma an die man es gibt jemanden hat der weiss was er da tut. Und wenn beim Dienstleister jemand Kündigt und selbst im Streit geht dann hat der wenig interesse daran MEINE Daten zu zerstören (es sei denn ich habe das Pech das der eben ALLE Kundendaten des DL irgendwie anpackt).
Bei uns z.B. läufts so das div. Dinge ausgelagert wurden - was mir eben die Zeit gibt das Ergebnis auch anzusehen und zu sagen ob es is wie ich das will oder nicht. Klar kann ich auch alles selbst machen - und das Ergebnis wird sein das aufgrund Zeitmangel alles nur "irgendwie" läuft. Mit Sicherheit kein besseres Ergebnis.
Was wäre denn DEINE Lösung? In deiner Elite-Klasse kannst du da doch sicher was empfehlen. Klar kann man jetzt wieder hingehen und sich super tech. und pers. Maßnahmen überlegen. Jedes Admin-Konto nur mit 4 Augen Prinzip, Daten natürlich nur intern, Backup in nem anderem Gebäue, am besten anderer Kontinent,... Und du wirst feststellen das es nicht bezahlbar ist (ODER man holt sich eben viele Leute die billig sind aber dafür keine Ahnung haben wie die ne IP konfigurieren). Wenn du nämlich qualifizierte Personen willst - die sind für Gewöhnlich auch nen Euro teurer. Wenn du hier also nicht grad in einer Regierungsbehörde arbeitest sondern da wo man noch aufs Geld gucken muss -> viel Erfolg. Dann mag dein Laden sicher sein - aber Pleite. Zumal selbst dann noch absolut KEIN Schutz gegen Datenmitnahme durch Mitarbeiter besteht. Was bringt dir also der ganze Kram von Verschlüsselung, Cloud,... wenn der Mitarbeiter einfach sein Mobil-Tel nimmt und die Kundendatei schnell mal mitm Foto mitnimmt? Und solange du DAS Risiko nicht ausschließen kannst ist das dahinter fast noch egal. Denn die meisten Probleme hat man doch weil die Mitarbeiter das Wissen mitnehmen. Und wenn ich mal so in meinem Bereich gucke - hier trifft man immer dieselben Leute, nur die Firmennamen ändern sich..
fangen wir mal einfach an: Outsourcen ist für dich also das böse? Nun, und was machst du wenn genau dein INTERNER Mitarbeiter die Daten manipuliert, mitnimmt oder zerstört? Auch da ist das mit der "Verantwortlichkeit" nen schöner Traum - in der Realität eher selten erfolgreich. Denn klar - wenn so ein EliteHacker wie du beigeht dann ist das ggf. in den Logfiles drin. DANN ja. Wenn aber der simple Amateur bei geht der einfach der Firma schaden will - der sucht sich halt nen passenden Virus und führt den "Versehentlich" aus (weils z.B. nen VBA war und er ja nur die Datei anzeigen wollte). Schwupps -> deine Daten sind weg und trotzdem is derjenige nicht wirklich "verantwortlich".
Gleichzeitig gibt es auch intern ja Admins die Probleme z.B. mit statischen IPs haben und keine Ahnung haben wie die ihre Dienste konfigurieren. Super, wenn du den als "alleinverantwortlich" im Laden hast. Wenn man dagegen die Leistung rausgibt - dann besteht zumindest die CHANCE das die Firma an die man es gibt jemanden hat der weiss was er da tut. Und wenn beim Dienstleister jemand Kündigt und selbst im Streit geht dann hat der wenig interesse daran MEINE Daten zu zerstören (es sei denn ich habe das Pech das der eben ALLE Kundendaten des DL irgendwie anpackt).
Bei uns z.B. läufts so das div. Dinge ausgelagert wurden - was mir eben die Zeit gibt das Ergebnis auch anzusehen und zu sagen ob es is wie ich das will oder nicht. Klar kann ich auch alles selbst machen - und das Ergebnis wird sein das aufgrund Zeitmangel alles nur "irgendwie" läuft. Mit Sicherheit kein besseres Ergebnis.
Was wäre denn DEINE Lösung? In deiner Elite-Klasse kannst du da doch sicher was empfehlen. Klar kann man jetzt wieder hingehen und sich super tech. und pers. Maßnahmen überlegen. Jedes Admin-Konto nur mit 4 Augen Prinzip, Daten natürlich nur intern, Backup in nem anderem Gebäue, am besten anderer Kontinent,... Und du wirst feststellen das es nicht bezahlbar ist (ODER man holt sich eben viele Leute die billig sind aber dafür keine Ahnung haben wie die ne IP konfigurieren). Wenn du nämlich qualifizierte Personen willst - die sind für Gewöhnlich auch nen Euro teurer. Wenn du hier also nicht grad in einer Regierungsbehörde arbeitest sondern da wo man noch aufs Geld gucken muss -> viel Erfolg. Dann mag dein Laden sicher sein - aber Pleite. Zumal selbst dann noch absolut KEIN Schutz gegen Datenmitnahme durch Mitarbeiter besteht. Was bringt dir also der ganze Kram von Verschlüsselung, Cloud,... wenn der Mitarbeiter einfach sein Mobil-Tel nimmt und die Kundendatei schnell mal mitm Foto mitnimmt? Und solange du DAS Risiko nicht ausschließen kannst ist das dahinter fast noch egal. Denn die meisten Probleme hat man doch weil die Mitarbeiter das Wissen mitnehmen. Und wenn ich mal so in meinem Bereich gucke - hier trifft man immer dieselben Leute, nur die Firmennamen ändern sich..
1
Es tut einfach gut, mal seine aufgestaute Wut zu kanalisieren.
Dafür gibt es doch die Metaverse-Kloake, meine Güte! Schenk dir nen Brandy ein geh mal kacken, das hilft gegen alphabetischen Durchfall.2
Hab nach dem ersten Satz aufgehört, in der Textwand kann nichts sinnvolles drinstehen.
/Thomas
/Thomas
2
Moin....
als Elite Profi würdest du das ja auch nicht machen.... oder etwa doch?
ich drücke dir die Daumen.
bist du eigentlich erst heute wachgeworden? das ist doch alles ein alter Hut!
**kopf meets tischplatte``
Frank...
Jetzt dämmert es mir langsam, wieso ich soviel Steuern blechen muss.
Falsches Forum!Hört auf alles outzusourcen.
wer macht den sowas?Das ist die grosse Problematik. "Komm, geben wir denen unsere vertraulichen, personenbezogenen Kundendaten, > das sind Profis!" Und schwupps, steht der Name deines Unternehmen am nächsten Morgen im Zusammenhang mit Datenleak oder Datenpanne bzw. Datenschutzvorfall in den Schlagzeilen.
und genau deswegen machen Profis sowas auch nicht!als Elite Profi würdest du das ja auch nicht machen.... oder etwa doch?
Profis. Genau. Es dünkt mich.
was dünkt dich? etwa Profi zu werden?!?!... ein langer weg, das sag ich dir- aber mit der Zeit, und und etwas erfahrung wird das schon ich drücke dir die Daumen.Wer konnte das nur ahnen?
wir... also die meisten im Administrator Forum... warum fragst du?Arbeiten dort eigentlich nur noch lauter Praktikanten und Quereinsteiger? Hauptsache schnell und spottbillig. Sicherheit?
nun, die hatten alle Elite Hacker in ihrer Bewerbung stehen! bist du eigentlich erst heute wachgeworden? das ist doch alles ein alter Hut!
**kopf meets tischplatte``
Frank...
1Zitat von @EliteHacker:
...
Bitteschön, das Buffet ist eröffnet, gebt nun euren Senf dazu! Ich freue mich.
Scheint ein Veganes Buffet zu sein ...
Bitteschön, das Buffet ist eröffnet, gebt nun euren Senf dazu! Ich freue mich.
Hast du nicht n Telegramchannel, zu dem du sprechen / dozieren kannst?
Michael W findet das bestimmt auch gut.
Michael W findet das bestimmt auch gut.
1
Wenn ich mir deinen anderen Beitrag ansehe, vor allem den Teil mit dem gefesselt sein, und das hier...
Du solltest dir echt Hilfe suchen
Du solltest dir echt Hilfe suchen
1
