7
Sicherheitsanalyse
Dokumentation
Hallo an alle,
habe als Aufgabe das Netzwerk zu analysieren und zu dokumentieren, sowie seinen Aufbau und potentielle Schwachstellen zu findne. (Sicherheitsanalyse)
z.B.
- Infrastrukture
- Personal
- Organisation
- Hard und Software
Weis jemand wo ich eventuell ein beispiel bekomme wie so eine dokumentation auszusehen hat, bzw. welche ganzen Inhalte dort integriert sein müssen?
Heise und BSI waren bedingt nutzbar, da ich dort background wissen bekommen habe jedoch nicht die form und strukture einer dokumentation.
wäre nett wenn ich hier etwas unterstützung kriege würde.
gruß
Andreas
habe als Aufgabe das Netzwerk zu analysieren und zu dokumentieren, sowie seinen Aufbau und potentielle Schwachstellen zu findne. (Sicherheitsanalyse)
z.B.
- Infrastrukture
- Personal
- Organisation
- Hard und Software
Weis jemand wo ich eventuell ein beispiel bekomme wie so eine dokumentation auszusehen hat, bzw. welche ganzen Inhalte dort integriert sein müssen?
Heise und BSI waren bedingt nutzbar, da ich dort background wissen bekommen habe jedoch nicht die form und strukture einer dokumentation.
wäre nett wenn ich hier etwas unterstützung kriege würde.
gruß
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 51572
Url: https://administrator.de/contentid/51572
Printed on: April 16, 2024 at 06:04 o'clock
7 Comments
Latest comment
Hallo Andreas,
sieh mal nach Deutschland sicher im Netz. Dort findest du alle möglichen Infos, Checklisten und Anslysetools. Vermutlich ist in dem Zusammenhang besonders die Mittelstands-Initiative interessant.
geTuemII
sieh mal nach Deutschland sicher im Netz. Dort findest du alle möglichen Infos, Checklisten und Anslysetools. Vermutlich ist in dem Zusammenhang besonders die Mittelstands-Initiative interessant.
geTuemII
Hihihi, so Initiativen sind in meinen Augen leider nur Augenwischerei.
Nett, daß sich Microsoft als Lücken-Anbieter #1 auch darum kümmert
Mal im Ernst:
Ich kenne so viele Sicherheitslücken, die
a) unbekannt sind, und auch nicht bekannt gemacht werden
b) bekannt sind, aber vom Hersteller keine Lösung existiert
c) bekannt sind, aber vom Netzwerk-Admin ignoriert werden
. . .
Lonesome Walker
Nett, daß sich Microsoft als Lücken-Anbieter #1 auch darum kümmert
Mal im Ernst:
Ich kenne so viele Sicherheitslücken, die
a) unbekannt sind, und auch nicht bekannt gemacht werden
b) bekannt sind, aber vom Hersteller keine Lösung existiert
c) bekannt sind, aber vom Netzwerk-Admin ignoriert werden
. . .
Lonesome Walker
Ich kenne so viele Sicherheitslücken, die
a) unbekannt sind, und auch nicht bekannt gemacht werden
a) unbekannt sind, und auch nicht bekannt gemacht werden
Hallo Walker,
ich wußte ja schon immer, daß du was ganz besonderes bist
Aber auch mal im Ernst:
Für einen ersten Überblick und als Vorlage, wie sowas aussehen kann, sind die og Tools sicher nicht falsch. Besonders, wenn man keine Vorstellung hat, wie man an so eine Sache überhaupt herangehen soll. Daß das bei weitem nicht der Weisheit letzter Schluß ist, ist uns sicherlich allen klar. Also sei doch nicht so.
geTuemII
Hihihi, so Initiativen sind in meinen Augen
leider nur Augenwischerei.
leider nur Augenwischerei.
Also, um mal eines zu sagen....
Ich will keine Patches entwickeln, sondern lediglich die netzwerkstruktur analysieren.
Und eventuelle offensichtliche Schwachstellen aufzeigen.
das beinhaltet das Gebäude, die Raümlichkeiten, Backup(Datensicherung), ActiveDirectory, Organigramm usw. usw.
Also nicht, wie kann ich Microsoft hacken......
Mit einem Gesunden Know How weiss man doch wie man sowas selber durchführt also die sogenannten hackangriffe.....
Mit diesem Post ging es mir lediglich darum wie ich so eine Dokumentation aufbaue um eine Sicherheitsanalyse durchzuführen.
Ich kenne so viele Sicherheitslücken, die
a) unbekannt sind, und auch nicht bekannt gemacht werden
a) unbekannt sind, und auch nicht bekannt gemacht werden
Wie eine EDV, so ganz theoretisch nach deutscher Beamtengründlichkeit, geplant und geprüft wird steht im IT-Grundschutz-Kataloge vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik.
http://www.bsi.de/gshb/index.htm
Viele Kollegen in diesem Forum werden sagen, das dieses Hanbuch überkorrekt und pingelig oder altmodisch und angestaubt ist. Aber in einem offiziellen Sicherheitsaudit, also etwas für das du bezahlt wirst, solltest du das dieses Werk zumindest kennen.
Aus den Gefährdungskatalogen, G1 bis G5 würde ich mir jeweils 5 bis 10 Überschriften aussuchen und dann Vorort überprüfen und die geeigneten Maßnahmen empfehlen. Die Kunst ist es nun Kosten und Nutzen abzuwägen. Also Dinge zu empfehlen die wirklich wichtig, sinnvoll und realistisch sind.
Beispiel: Ein Brandmelder im Serverraum muss sein. Auf eine automatische Brandbekämpfung im Serverraum würde ich verzichten wenn immer ein aktuelles Backup außerhaus gelagert wird. Hier kann man durch eine geschickte organisatorische Maßnahme hohe Anschaffungs- und Wartungskosten vermeiden.
Gruß Rafiki
http://www.bsi.de/gshb/index.htm
Viele Kollegen in diesem Forum werden sagen, das dieses Hanbuch überkorrekt und pingelig oder altmodisch und angestaubt ist. Aber in einem offiziellen Sicherheitsaudit, also etwas für das du bezahlt wirst, solltest du das dieses Werk zumindest kennen.
Aus den Gefährdungskatalogen, G1 bis G5 würde ich mir jeweils 5 bis 10 Überschriften aussuchen und dann Vorort überprüfen und die geeigneten Maßnahmen empfehlen. Die Kunst ist es nun Kosten und Nutzen abzuwägen. Also Dinge zu empfehlen die wirklich wichtig, sinnvoll und realistisch sind.
Beispiel: Ein Brandmelder im Serverraum muss sein. Auf eine automatische Brandbekämpfung im Serverraum würde ich verzichten wenn immer ein aktuelles Backup außerhaus gelagert wird. Hier kann man durch eine geschickte organisatorische Maßnahme hohe Anschaffungs- und Wartungskosten vermeiden.
Gruß Rafiki
Sehe ich genauso.
Lonesome Walker
Lonesome Walker
Hallo,
ich glaube nicht, dass du eine Anleitung finden wirst, dürfte zumindest schwierig werden. Denke auch nicht, dass eine Firma ohre Betrachtung ins Netz stellt.. ;)
Kann aber nachvollziehen, wie es dir geht.. Hatte ähnliches Problem, als wir noch im Rahmen von QS 'hieb- und standfeste' Sicherheitsbetrachtungen von allem Möglichen machen mussten (das noch in einer wahnsinns Zeit).
Ich kann dir den Tipp geben, wie Rafiki beschrieben, suche dir je nachdem was ihr alles habt, Windows-/Linux-/... Server, Räumlichkeiten, Vernetzung, Zugriffs-/Zugangsmöglichkeiten, Passwortvorgabe usw. - alles was du eben betrachten sollst, aus dem BSI raus, mache ein Inhaltsverzeichnis und klappere das ab.
Ich habe meine Betrachtungen nach folgenden drei Säulen versucht zu durchleuchten:
Vertraulichkeit (Confidentiality)
Integrität (Integrity)
Verfügbarkeit (Availability)
Google mal den o.g. Begriffen.
Hinzugefügt habe ich noch:
Gefährdungspotential (?risk potential).
Wenn gefordert und du das auch weisst, kannst dann relativ einfach, zumindest übersichtlich, die Massnahmen beschreiben.
Je nach Zeitdruck, kann das Spaß machen Wünsche dir jedenfalls viel Erfolg!
Gruß T.
ich glaube nicht, dass du eine Anleitung finden wirst, dürfte zumindest schwierig werden. Denke auch nicht, dass eine Firma ohre Betrachtung ins Netz stellt.. ;)
Kann aber nachvollziehen, wie es dir geht.. Hatte ähnliches Problem, als wir noch im Rahmen von QS 'hieb- und standfeste' Sicherheitsbetrachtungen von allem Möglichen machen mussten (das noch in einer wahnsinns Zeit).
Ich kann dir den Tipp geben, wie Rafiki beschrieben, suche dir je nachdem was ihr alles habt, Windows-/Linux-/... Server, Räumlichkeiten, Vernetzung, Zugriffs-/Zugangsmöglichkeiten, Passwortvorgabe usw. - alles was du eben betrachten sollst, aus dem BSI raus, mache ein Inhaltsverzeichnis und klappere das ab.
Ich habe meine Betrachtungen nach folgenden drei Säulen versucht zu durchleuchten:
Vertraulichkeit (Confidentiality)
Integrität (Integrity)
Verfügbarkeit (Availability)
Google mal den o.g. Begriffen.
Hinzugefügt habe ich noch:
Gefährdungspotential (?risk potential).
Wenn gefordert und du das auch weisst, kannst dann relativ einfach, zumindest übersichtlich, die Massnahmen beschreiben.
Je nach Zeitdruck, kann das Spaß machen
Wünsche dir jedenfalls viel Erfolg!Gruß T.