istike2
Goto Top

Mögliche Schlussfolgerungen bezüglich NSA - Tempora Enthüllungen

Hallo,

nach den echt skandallösen Infos des Herrn Snowden wurde auch gefragt was man in aller Welt machen sollte.

Ich habe eigentlich nur die altbewährten Lösungen Parat gehabt:

- Firmeninterne E-Mail-Lösungen (Also nicht auf Gmail-Basis) mit TLS / SSL
- Sicherherheitskritisches Surfen über gemeinsame IP (VPN) oder bei Bedarf über Jondo / Tor
- Wenn der Aufwand wert ist VOIP mit SRTP / TLS
usw.

Macht ihr etwas selbst mit Bezug auf die neuen Erkenntnisse?

Trotz der scheinheiligen "Empörung" der deutschen Politiker glaube ich kaum, dass diese Praxis sich ändern wird. Was meint ihr?

Gr. I.

Content-ID: 208679

Url: https://administrator.de/forum/moegliche-schlussfolgerungen-bezueglich-nsa-tempora-enthuellungen-208679.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

MrNetman
MrNetman 26.06.2013 um 13:04:57 Uhr
Goto Top
Immer schön selbst auf die wichtigen Daten (Cloud) aufpassen und Google oder Apple bloß nicht zu viel anvertrauen.
Und: Verschlüsseln ist nur eine einseitige Sache. Viele Dinge kommen beim Anderen nur im Klartext an.

Gruß
Netman
istike2
istike2 26.06.2013 um 13:21:16 Uhr
Goto Top
Zitat von @MrNetman:
Und: Verschlüsseln ist nur eine einseitige Sache. Viele Dinge kommen beim Anderen nur im Klartext an.

Dann ist mit der Verschlüsselung etwas ernshaft schiefgegangen ... face-smile

Ich meinte hier vor allem SMIME-Verschlüsselung. GNUPG ist nicht wirklich einsetzbar was BusinessUser betrifft.

Das wir kein Cloud-Dienste benutzen ist klar.

Jondo ist auch OK, ist allerdings etwas zu langsam und kostet Geld außerdem muss javaScript stets deaktiviert werden. Vor allem das fehlende JS macht das Leben der User schwerer.
AndiEoh
AndiEoh 26.06.2013 um 13:57:45 Uhr
Goto Top
Hallo,

das Problem ist politischer Natur und lässt sich deshalb auch nicht technisch lösen. Das vertrauliche Sachen verschlüsselt werden sollen ist schon länger klar, das Problem von PRISM/Tempora liegt darin das die freie (unbeobachtete) Meinungsäußerung und -bildung in Gefahr ist. Es ist erwiesen das sich Menschen anderst verhalten wenn Sie Wissen das Sie beobachtet werden. Es hat einen guten Grund warum in einer Demokratie geheime Wahlen Pflicht sind, auch wenn (oder gerade weil) es den Regierenden nicht gefällt. Damit sind diese unkontrollierten Überwachungssystem unabhängig von Inhaltsverschlüsselung und ähnlichem ein Angriff auf die demokratischen Grundpfeiler.

Um auch noch Technik einzubringen:
Wir haben in der Firma bereits seit ~4 Jahren ein S/MIME Gateway welches jedem Empfänger der uns vorher eine digital signierte e-Mails schickt, alle Antworten/weiteren Mails verschlüsselt zukommen lässt. Alle authentifizierten Mails gehen zudem digital signiert raus.

Gruß

Andi
istike2
istike2 26.06.2013 aktualisiert um 14:43:52 Uhr
Goto Top
Danke Andi,

gute Idee!

meine ich richtig, dass so ein Gateway nur innerhalb der Domain funktioniert. Kennst du eventuell Lösungen wo Empfänger mit unterschiedlichen Adressen (Domains sind alle von uns gehostet) mit einen Gateway integriert verwaltet werden können. Ich meine damit die einheitlichen Ein- und Ausgangregelverwaltung.

Meine Ziel wäre, dass die Kollegen möglichst wenig von der Umstellung spüren. Es muss halt einfach und intuitiv funktionieren.

Die Kollegen sind natürlich auch nicht in demselben Büro. Auf das Gateway müssten sie also ggf. via VPN zugreifen oder ich müsste die MX.Record bei Strato manuell auf die Kiste umleiten.

Wie funktioniert so etwas in der Praxis?

EDIT:

eine Option wäre z. B. http://www.djigzo.com/index.html
Ein Review: http://www.admin-magazin.de/Das-Heft/2009/03/Workshop-Automatische-E-Ma ...

oder

https://www.mailborder.com/

Es gibt also ausgereifte Freeware-Lösungen, MX-Umleitung ist offensichtlich auch kein Problem. Ich habe drei Domain mit ca. 30 Usern, die integriert werden müssten.

Gr. I.
AndiEoh
AndiEoh 26.06.2013 um 15:16:47 Uhr
Goto Top
Ist jetzt zwar schon OT aber im Prinzip funktioniert es folgendermaßen:

Alle eingehenden Mails müssen das Gateway durchlaufen und das Gateway sollte die letzte Instanz im Ausgang sein

Es muß ein sicherer Versand Kanal und Mailabruf angebunden sein

Danach sind nur noch je nach Geschackslage die Policies auf dem Gateway anzupassen

Bei uns wird das folgendermaßen angebunden:

- Alle Ausgangsmails die durch das Gateway behandelt werden kommen über Port 587 zwangsweise per TLS gesichert und mit Adresse<-->Account Prüfung rein
- Mailabholen ist nur per IMAP/POP3 mit SSL/TLS möglich
- Alle eingehenden Mails gehen durch das Gateway (~70 Benutzer, 6 DNS-Domains) damit die Zertifikate abgegriffen werden können

Ich weiß jetzt nicht wie eure Struktur ist aber das Gateway und der Mailstore sollten eine sicher Verbindung zueinander haben und logisch möglichst nahe beieinander stehen. Das ganze ist dann so einfach das keiner der Benutzer etwas bemerkt solange keiner anruft und fragt warum wir verschlüsselte Mails verschicken face-smile
istike2
istike2 26.06.2013 um 15:25:15 Uhr
Goto Top
Danke sehr für die Info.
Mulli79
Mulli79 28.05.2014 um 14:30:25 Uhr
Goto Top
Hallo,

die notwendige Umstellung für mehr Sicherheit beginnt bei jedem einzelnen Mitarbeiter. Dabei ist die private Einstellung zur Datensicherheit nicht das Thema des Arbeitgebers, jedoch kann die generelle Einstellung eines Mitarbeiters das Unternehmen auch gefährden. Wo bewegen wir uns also hin? Sollte jeder Arbeitgeber vor der Einstellung eines neuen Mitarbeiters prüfen wie sich dieser im Internet bewegt und wie sehr sorgfältig dieser mit seinen persönlichen Daten umgeht? Das ganze Thema ist schwierig.

Um die richtige Antwort auf die Frage: "Wie schütze ich unser Unternehmen vor Datenverlust...." zu finden habe ich in den vergangenen Monaten viele Security Veranstaltungen besucht. Auf den Veranstaltungen war natürlich "NSA..." ein großes Thema. Bei einem Event (erinnere mich nicht mehr so recht welches es war) wurde ein Live Hacking Angriff gemacht und im Anschluss ging es um Schwachstellen. Die Erkenntnis: Die Schwachstelle ist der gutgläubige User. Wir müssen erst das Verständnis bei jedem Mitarbeiter erreichen bevor wir uns sicher fühlen können. Natürlich sollen meine Gedankenergüsse nicht die Message verbreiten, dass keine Veränderungen in der IT notwendig sind oder das wir die Thematik Cloud Lösungen nicht kritisch betrachten sollten. Trotz allem bringen die Sicherheitslösungen nichts, wenn die Teilnehmer aus dem Kreis des Vertrauens face-smile also die Mitarbeiter nicht entsprechend handeln.

Freue mich auf eure Meinung.

Gruß
Mulli