drcox
Goto Top

Risikohöhe von Web- und Fileserver auf gemeinsammen System

Wir haben ein neues Zeiterfassungssystem im Unternehmen erhalten. Damit dieses auch von außerhalb erreichbar ist, habe ich mir überlegt, dass es auch mit einer öffentlichen IP ausgestattet wird.

Nun ist auf dem Platz auf dem der Webserver läuft allerdings auch unser Fileserver, der etwa 1,5 TB an Daten enthält. Dieser ist auch über VPN erreichbar. Meine Frage ist jetzt, wie einfach ist es, dass über den Webserver jemand zum Fileserver kommt. Er bräuchte da wohl eine Sicherheitslücke, die er ausnutzen kann und dann könnte er wohl auf alle Daten zugreifen. Frage ist auch, ob dann auch auf Daten zugegriffen werden kann, die nur für einen Personenkreis freigegeben sind, wie zB Buchhaltung.

Wie groß seht ihr das Risiko bei einem mittelgroßen Unternehmen welches Daten hat, die nicht unbedingt für externe Menschen interessant sind, allerdings unter Umständen für interne Mitarbeiter.

Content-ID: 369213

Url: https://administrator.de/forum/risikohoehe-von-web-und-fileserver-auf-gemeinsammen-system-369213.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

StefanKittel
StefanKittel 25.03.2018 aktualisiert um 01:17:36 Uhr
Goto Top
Hallo,

bei solchen Sicherheitsfragen ist die eigentliche Frage nicht ob sondern wann dies zu einem Problem wird.
Ich würde die Zeiterfassung auslagern und in eine DMZ verlagern.

Warum solltest DU das Rikso eingehen und später dafür was hinter die Ohren bekommen?
Wer weiß viele Bugs in deren Software sind?

Stefan
Vision2015
Vision2015 25.03.2018 um 08:01:05 Uhr
Goto Top
Moin..
Zitat von @DrCox:

Wir haben ein neues Zeiterfassungssystem im Unternehmen erhalten. Damit dieses auch von außerhalb erreichbar ist, habe ich mir überlegt, dass es auch mit einer öffentlichen IP ausgestattet wird.
aha... na dann... port forwarding wäre nicht gegangen?
hat das Zeiterfassungssystem auch einen Namen?

Nun ist auf dem Platz auf dem der Webserver läuft allerdings auch unser Fileserver, der etwa 1,5 TB an Daten enthält. Dieser ist auch über VPN erreichbar. Meine Frage ist jetzt, wie einfach ist es, dass über den Webserver jemand zum Fileserver kommt. Er bräuchte da wohl eine Sicherheitslücke, die er ausnutzen kann und dann könnte er wohl auf alle Daten zugreifen. Frage ist auch, ob dann auch auf Daten zugegriffen werden kann, die nur für einen Personenkreis freigegeben sind, wie zB Buchhaltung.
ufff...
warum hat den das zeiterfassungssystem kein eigenen server?
wenn überhaubt, kommt sowas dann in eine DMZ!

Wie groß seht ihr das Risiko bei einem mittelgroßen Unternehmen welches Daten hat, die nicht unbedingt für externe Menschen interessant sind, allerdings unter Umständen für interne Mitarbeiter.
ist schon sehr hoch!
um nicht zu sagen... sag mal, geht es noch?

Frank
Lochkartenstanzer
Lochkartenstanzer 25.03.2018 aktualisiert um 09:11:17 Uhr
Goto Top
Du wirst zu 100% gehackt!

Nur der Zeitpunkt ist unbestimmt.

lks

PS: Warum beschränkst Du die Zeiterfassung nicht auch aufs VPN?
Dani
Dani 25.03.2018 um 10:59:59 Uhr
Goto Top
Moin,
Wir haben ein neues Zeiterfassungssystem im Unternehmen erhalten. Damit dieses auch von außerhalb erreichbar ist, habe ich mir überlegt, dass es auch mit einer öffentlichen IP ausgestattet wird.
wie kommt man auf eine solche (Schnaps)Idee? Hat das ein Datenschutzbeauftragter bzw. der IT-Leiter abgesegnet? Ich hofft, dass Konstrukt ist nicht auf deinem Mist gewachsen. Weil das kommt aus meiner Sicht schon sehr Nahe an grobe Fahrlässigkeit hin!

Wie groß seht ihr das Risiko bei einem mittelgroßen Unternehmen welches Daten hat, die nicht unbedingt für externe Menschen interessant sind, allerdings unter Umständen für interne Mitarbeiter.
Falls du die Medienberichte der letzten Jahre verfolgt hast, solltest du solche eine Frage gar nicht stellen müssen. Weil du es dir selber beantworten kannst. *kopfschüttel* Überarbeitet das Desgin so schnell wie möglich und haltet dich an Standards wie (VPN, DMZ, etc...) und alle können nachts wieder ruhig schlafen.


Gruß,
Dani
aqui
aqui 25.03.2018 aktualisiert um 12:24:40 Uhr
Goto Top
Fragt man sich warum ein Zeiterfassungs System von außen erreichbar sein muss ??
Und dann auch noch mit einer öffentlichen IP ?
Scheinbar sind dem TO Schlagwörter wie VPN usw. eher Fremdworte... ?! face-sad Die Fragestellung an sich lässt ja auch schon Schlimmes in puncto Fachkenntniss vermuten.
Muss man deshalb wohl auch nicht weiter kommentieren so einen Unsinn.