7
Mögliche Schlussfolgerungen bezüglich NSA - Tempora Enthüllungen
Hallo,
nach den echt skandallösen Infos des Herrn Snowden wurde auch gefragt was man in aller Welt machen sollte.
Ich habe eigentlich nur die altbewährten Lösungen Parat gehabt:
- Firmeninterne E-Mail-Lösungen (Also nicht auf Gmail-Basis) mit TLS / SSL
- Sicherherheitskritisches Surfen über gemeinsame IP (VPN) oder bei Bedarf über Jondo / Tor
- Wenn der Aufwand wert ist VOIP mit SRTP / TLS
usw.
Macht ihr etwas selbst mit Bezug auf die neuen Erkenntnisse?
Trotz der scheinheiligen "Empörung" der deutschen Politiker glaube ich kaum, dass diese Praxis sich ändern wird. Was meint ihr?
Gr. I.
nach den echt skandallösen Infos des Herrn Snowden wurde auch gefragt was man in aller Welt machen sollte.
Ich habe eigentlich nur die altbewährten Lösungen Parat gehabt:
- Firmeninterne E-Mail-Lösungen (Also nicht auf Gmail-Basis) mit TLS / SSL
- Sicherherheitskritisches Surfen über gemeinsame IP (VPN) oder bei Bedarf über Jondo / Tor
- Wenn der Aufwand wert ist VOIP mit SRTP / TLS
usw.
Macht ihr etwas selbst mit Bezug auf die neuen Erkenntnisse?
Trotz der scheinheiligen "Empörung" der deutschen Politiker glaube ich kaum, dass diese Praxis sich ändern wird. Was meint ihr?
Gr. I.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 208679
Url: https://administrator.de/contentid/208679
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Immer schön selbst auf die wichtigen Daten (Cloud) aufpassen und Google oder Apple bloß nicht zu viel anvertrauen.
Und: Verschlüsseln ist nur eine einseitige Sache. Viele Dinge kommen beim Anderen nur im Klartext an.
Gruß
Netman
Und: Verschlüsseln ist nur eine einseitige Sache. Viele Dinge kommen beim Anderen nur im Klartext an.
Gruß
Netman
Zitat von @MrNetman:
Und: Verschlüsseln ist nur eine einseitige Sache. Viele Dinge kommen beim Anderen nur im Klartext an.
Und: Verschlüsseln ist nur eine einseitige Sache. Viele Dinge kommen beim Anderen nur im Klartext an.
Dann ist mit der Verschlüsselung etwas ernshaft schiefgegangen ...
Ich meinte hier vor allem SMIME-Verschlüsselung. GNUPG ist nicht wirklich einsetzbar was BusinessUser betrifft.
Das wir kein Cloud-Dienste benutzen ist klar.
Jondo ist auch OK, ist allerdings etwas zu langsam und kostet Geld außerdem muss javaScript stets deaktiviert werden. Vor allem das fehlende JS macht das Leben der User schwerer.
Hallo,
das Problem ist politischer Natur und lässt sich deshalb auch nicht technisch lösen. Das vertrauliche Sachen verschlüsselt werden sollen ist schon länger klar, das Problem von PRISM/Tempora liegt darin das die freie (unbeobachtete) Meinungsäußerung und -bildung in Gefahr ist. Es ist erwiesen das sich Menschen anderst verhalten wenn Sie Wissen das Sie beobachtet werden. Es hat einen guten Grund warum in einer Demokratie geheime Wahlen Pflicht sind, auch wenn (oder gerade weil) es den Regierenden nicht gefällt. Damit sind diese unkontrollierten Überwachungssystem unabhängig von Inhaltsverschlüsselung und ähnlichem ein Angriff auf die demokratischen Grundpfeiler.
Um auch noch Technik einzubringen:
Wir haben in der Firma bereits seit ~4 Jahren ein S/MIME Gateway welches jedem Empfänger der uns vorher eine digital signierte e-Mails schickt, alle Antworten/weiteren Mails verschlüsselt zukommen lässt. Alle authentifizierten Mails gehen zudem digital signiert raus.
Gruß
Andi
das Problem ist politischer Natur und lässt sich deshalb auch nicht technisch lösen. Das vertrauliche Sachen verschlüsselt werden sollen ist schon länger klar, das Problem von PRISM/Tempora liegt darin das die freie (unbeobachtete) Meinungsäußerung und -bildung in Gefahr ist. Es ist erwiesen das sich Menschen anderst verhalten wenn Sie Wissen das Sie beobachtet werden. Es hat einen guten Grund warum in einer Demokratie geheime Wahlen Pflicht sind, auch wenn (oder gerade weil) es den Regierenden nicht gefällt. Damit sind diese unkontrollierten Überwachungssystem unabhängig von Inhaltsverschlüsselung und ähnlichem ein Angriff auf die demokratischen Grundpfeiler.
Um auch noch Technik einzubringen:
Wir haben in der Firma bereits seit ~4 Jahren ein S/MIME Gateway welches jedem Empfänger der uns vorher eine digital signierte e-Mails schickt, alle Antworten/weiteren Mails verschlüsselt zukommen lässt. Alle authentifizierten Mails gehen zudem digital signiert raus.
Gruß
Andi
Danke Andi,
gute Idee!
meine ich richtig, dass so ein Gateway nur innerhalb der Domain funktioniert. Kennst du eventuell Lösungen wo Empfänger mit unterschiedlichen Adressen (Domains sind alle von uns gehostet) mit einen Gateway integriert verwaltet werden können. Ich meine damit die einheitlichen Ein- und Ausgangregelverwaltung.
Meine Ziel wäre, dass die Kollegen möglichst wenig von der Umstellung spüren. Es muss halt einfach und intuitiv funktionieren.
Die Kollegen sind natürlich auch nicht in demselben Büro. Auf das Gateway müssten sie also ggf. via VPN zugreifen oder ich müsste die MX.Record bei Strato manuell auf die Kiste umleiten.
Wie funktioniert so etwas in der Praxis?
EDIT:
eine Option wäre z. B. http://www.djigzo.com/index.html
Ein Review: http://www.admin-magazin.de/Das-Heft/2009/03/Workshop-Automatische-E-Ma ...
oder
https://www.mailborder.com/
Es gibt also ausgereifte Freeware-Lösungen, MX-Umleitung ist offensichtlich auch kein Problem. Ich habe drei Domain mit ca. 30 Usern, die integriert werden müssten.
Gr. I.
gute Idee!
meine ich richtig, dass so ein Gateway nur innerhalb der Domain funktioniert. Kennst du eventuell Lösungen wo Empfänger mit unterschiedlichen Adressen (Domains sind alle von uns gehostet) mit einen Gateway integriert verwaltet werden können. Ich meine damit die einheitlichen Ein- und Ausgangregelverwaltung.
Meine Ziel wäre, dass die Kollegen möglichst wenig von der Umstellung spüren. Es muss halt einfach und intuitiv funktionieren.
Die Kollegen sind natürlich auch nicht in demselben Büro. Auf das Gateway müssten sie also ggf. via VPN zugreifen oder ich müsste die MX.Record bei Strato manuell auf die Kiste umleiten.
Wie funktioniert so etwas in der Praxis?
EDIT:
eine Option wäre z. B. http://www.djigzo.com/index.html
Ein Review: http://www.admin-magazin.de/Das-Heft/2009/03/Workshop-Automatische-E-Ma ...
oder
https://www.mailborder.com/
Es gibt also ausgereifte Freeware-Lösungen, MX-Umleitung ist offensichtlich auch kein Problem. Ich habe drei Domain mit ca. 30 Usern, die integriert werden müssten.
Gr. I.
Ist jetzt zwar schon OT aber im Prinzip funktioniert es folgendermaßen:
Alle eingehenden Mails müssen das Gateway durchlaufen und das Gateway sollte die letzte Instanz im Ausgang sein
Es muß ein sicherer Versand Kanal und Mailabruf angebunden sein
Danach sind nur noch je nach Geschackslage die Policies auf dem Gateway anzupassen
Bei uns wird das folgendermaßen angebunden:
- Alle Ausgangsmails die durch das Gateway behandelt werden kommen über Port 587 zwangsweise per TLS gesichert und mit Adresse<-->Account Prüfung rein
- Mailabholen ist nur per IMAP/POP3 mit SSL/TLS möglich
- Alle eingehenden Mails gehen durch das Gateway (~70 Benutzer, 6 DNS-Domains) damit die Zertifikate abgegriffen werden können
Ich weiß jetzt nicht wie eure Struktur ist aber das Gateway und der Mailstore sollten eine sicher Verbindung zueinander haben und logisch möglichst nahe beieinander stehen. Das ganze ist dann so einfach das keiner der Benutzer etwas bemerkt solange keiner anruft und fragt warum wir verschlüsselte Mails verschicken
Alle eingehenden Mails müssen das Gateway durchlaufen und das Gateway sollte die letzte Instanz im Ausgang sein
Es muß ein sicherer Versand Kanal und Mailabruf angebunden sein
Danach sind nur noch je nach Geschackslage die Policies auf dem Gateway anzupassen
Bei uns wird das folgendermaßen angebunden:
- Alle Ausgangsmails die durch das Gateway behandelt werden kommen über Port 587 zwangsweise per TLS gesichert und mit Adresse<-->Account Prüfung rein
- Mailabholen ist nur per IMAP/POP3 mit SSL/TLS möglich
- Alle eingehenden Mails gehen durch das Gateway (~70 Benutzer, 6 DNS-Domains) damit die Zertifikate abgegriffen werden können
Ich weiß jetzt nicht wie eure Struktur ist aber das Gateway und der Mailstore sollten eine sicher Verbindung zueinander haben und logisch möglichst nahe beieinander stehen. Das ganze ist dann so einfach das keiner der Benutzer etwas bemerkt solange keiner anruft und fragt warum wir verschlüsselte Mails verschicken
1
Danke sehr für die Info.
Hallo,
die notwendige Umstellung für mehr Sicherheit beginnt bei jedem einzelnen Mitarbeiter. Dabei ist die private Einstellung zur Datensicherheit nicht das Thema des Arbeitgebers, jedoch kann die generelle Einstellung eines Mitarbeiters das Unternehmen auch gefährden. Wo bewegen wir uns also hin? Sollte jeder Arbeitgeber vor der Einstellung eines neuen Mitarbeiters prüfen wie sich dieser im Internet bewegt und wie sehr sorgfältig dieser mit seinen persönlichen Daten umgeht? Das ganze Thema ist schwierig.
Um die richtige Antwort auf die Frage: "Wie schütze ich unser Unternehmen vor Datenverlust...." zu finden habe ich in den vergangenen Monaten viele Security Veranstaltungen besucht. Auf den Veranstaltungen war natürlich "NSA..." ein großes Thema. Bei einem Event (erinnere mich nicht mehr so recht welches es war) wurde ein Live Hacking Angriff gemacht und im Anschluss ging es um Schwachstellen. Die Erkenntnis: Die Schwachstelle ist der gutgläubige User. Wir müssen erst das Verständnis bei jedem Mitarbeiter erreichen bevor wir uns sicher fühlen können. Natürlich sollen meine Gedankenergüsse nicht die Message verbreiten, dass keine Veränderungen in der IT notwendig sind oder das wir die Thematik Cloud Lösungen nicht kritisch betrachten sollten. Trotz allem bringen die Sicherheitslösungen nichts, wenn die Teilnehmer aus dem Kreis des Vertrauens also die Mitarbeiter nicht entsprechend handeln.
Freue mich auf eure Meinung.
Gruß
Mulli
die notwendige Umstellung für mehr Sicherheit beginnt bei jedem einzelnen Mitarbeiter. Dabei ist die private Einstellung zur Datensicherheit nicht das Thema des Arbeitgebers, jedoch kann die generelle Einstellung eines Mitarbeiters das Unternehmen auch gefährden. Wo bewegen wir uns also hin? Sollte jeder Arbeitgeber vor der Einstellung eines neuen Mitarbeiters prüfen wie sich dieser im Internet bewegt und wie sehr sorgfältig dieser mit seinen persönlichen Daten umgeht? Das ganze Thema ist schwierig.
Um die richtige Antwort auf die Frage: "Wie schütze ich unser Unternehmen vor Datenverlust...." zu finden habe ich in den vergangenen Monaten viele Security Veranstaltungen besucht. Auf den Veranstaltungen war natürlich "NSA..." ein großes Thema. Bei einem Event (erinnere mich nicht mehr so recht welches es war) wurde ein Live Hacking Angriff gemacht und im Anschluss ging es um Schwachstellen. Die Erkenntnis: Die Schwachstelle ist der gutgläubige User. Wir müssen erst das Verständnis bei jedem Mitarbeiter erreichen bevor wir uns sicher fühlen können. Natürlich sollen meine Gedankenergüsse nicht die Message verbreiten, dass keine Veränderungen in der IT notwendig sind oder das wir die Thematik Cloud Lösungen nicht kritisch betrachten sollten. Trotz allem bringen die Sicherheitslösungen nichts, wenn die Teilnehmer aus dem Kreis des Vertrauens
also die Mitarbeiter nicht entsprechend handeln.Freue mich auf eure Meinung.
Gruß
Mulli
