pillermann2000
Goto Top

Tipps zum Thema Personal Device Security

Hallo zusammen

Ich sitze gerade an meiner Diplomarbeit über das Thema Personal Device Security.
Also Gefharen die mit dem arbeiten von mobilen Geräten wie PDA, Laptop, USB-Stick/USB-Festplatten, usw. auftreten können und die dazu gehörigen Sicherheitsmaßnahmen wie Festplattenverschlüsselung, PreBoot Authentication, Policy Mgt. für PnP Devices, Application specific Right Mgt etc.
Dazu soll ich die drei Softwarepakete von utimaco, safeboot und pointSec evaluieren(wurden so vorgegeben).

Jetzt zu meiner Frage bzw. Bitte.

Ich könnte da es sich ja um eine Wissenscaftliche Arbeit handelt für den theoretischen Teil einiges an Literaturhinweise benötigen, natürlich auch an Onlinequellen. Auch weitere Foren oder alles was hilft!

Falls jemand weitere Technologien kennt um diese Geräte zu sichern(jetzt bitte nicht Firewall, oder Anti-Virus, etc.) wäre ich auch sehr dankbar!

Für den praktischen Teil wäre ich auch über Tipps dankbar auf was ich umbedingt achten sollte wo die knackpunkte bei solchen Produkte/Technologien sind.
Bei was treten in der Praxis häufig Fehler auf.... Auf was muß man achten was sollte man nicht machen...

Und natürlich alles was ich jetzt vergessen hab!

Danke schon mal für eure Hilfe

Content-ID: 68017

Url: https://administrator.de/forum/tipps-zum-thema-personal-device-security-68017.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

spacyfreak
spacyfreak 06.09.2007 um 09:31:43 Uhr
Goto Top
Die drei Produkte kenne ich nicht.

Mein Patentrezept für die Sicherheit von mobilen Geräten wäre, garkeine Daten auf mobile Geräte transferieren zu lassen. Beim Fernzugriff kann man beispielsweise mit Citrix Terminaldiensten bewerkstelligen, dass die Daten nur online verfügbar / veränderbar / speicherbar sind.
Was der User sieht sind dann nur Mausbewegungen etc, er kann jedoch beispielsweise keine Word-Datei auf seinen lokalen PDA oder PC herunterladen. Der Vorteil liegt in der Datensicherheit (automatische Backups auf den Fileservern) sowie der Sicherheit vor Datenklau. Nachteil ist, dass der User immer eine Online Verbindung braucht um an die Daten zu kommen.

Risiken liegen ja nicht nur darin, dass z. B. ein Laptop geklaut wird, auf dem sich sensible Daten befinden könnten, sondern auch (oder vor allem) darin, dass Daten lokal gespeichert werden, und bei Verlust oder Defekt des Notebooks die Arbeit von Wochen verloren gehen kann oder Synchronisationsprobleme bei Versionsunterschieden von Online- und Offline-Daten. Daher kann es ratsam sein, den Benutzer zu seinem Glück zu "zwingen", Firmen-Daten online speichern zu müssen.

Ein Problem wäre erfahrungsgemäss - egal welches Verfahren man nutzt - die Kompatibilität.
Hat man in der Firma einen "Standard-Laptop" oder "Standard-PDA" der bei allen so ziemlich exakt gleich ist, und hat der User keine administrativen Rechte auf seinem Gerät, ist ne (relativ) komplexe Sicherheitslösung viel leichter integrierbar, als wenn es zig Varianten von Clients gibt, die mehr oder weniger kompatibel zur Sicherheitslösung sind.

Ein weiteres Problem wäre die Verringerung der Verfügbarkeit. Je mehr Sicherheit man einführt, desto mehr unvorhersehbare Probleme können (und werden) auftreteten, die auch den berechtigten User daran hindern können, an seine Daten zu kommen. Dieses Risiko steigt proportional zur technischen Komplexität der Lösung, der Anzahl der User und der Berechtigungen, die der einzelne User an seinem PC oder PDA hat.

Letztendlich liegt es immer an der "Art" der Firma und der Daten. Bei Aussendienstmitarbeitern einer Bank oder Mitarbeitern des Verteidigungsministeriums ist die Sicherheit oberstes Gebot. Da würde ich wohl nur Citrix Zugriff in Verbindung mit RSA Token erlauben - sicherer gehts ja fast nicht.
Eine kleine Klitsche wie "Holz-Geier & Apfelwurm GmbH" bei der selbst die Entwendung von Daten von Aussendienstmitarbeitern keine nachteilige Wirkung auf das Geschäft hätte, kann man auch "lockerer" handhaben. Ist immer eine Abwägung zwischen möglichen Risiken, Kosten und Handhabbarkeit.

Sinnvoll kann auch eine "Klassifizierung" der Daten sein - sprich Daten der Geschäftsleitung oder Entwicklungsabteilung (z. B. Geschäftsstrategie oder auch Erfindungen) sind besonders schützenswert und daher nur mit bestimmter Technik einsehbar, die tägliche Kantinen-Menue-Karte dagegen ist weniger schützenswert (vor allem bei DEM Fraß!) und daher leichter zugänglich.
pillermann2000
pillermann2000 06.09.2007 um 10:23:54 Uhr
Goto Top
Hallo

Das stimmt natürlich was du sagst, von der Sicherheit bzw. Version und Backup Problemen her.
Aber wenn die Mitarbeiter keine Verbindung haben müssen sie trotzdem Zugriff auf bestimmte Daten haben, deswegen kommen sie nicht drum herum sie lokal zu speichern.
Auch sind Daten wie Kontakte im PDA unter umständen schützenswert, denke nur mal an die Politker oder Promis falls diese Daten bekannt würden... oder auch Kalendereinträge...

außerdem muß ich ja was in die Richtung machen sinst wäre ja jetzt meine Diplomarbeit zu Ende face-sad
gnarff
gnarff 12.09.2007 um 17:43:46 Uhr
Goto Top
Hallo pille etc!

Eine Diplomarbeit ist eine wissenschaftliche Arbeit, die zur Erlangung eines Abschlusses (Diplom) an einer Universität, Fachhochschule oder Berufsakademie geschrieben werden muss und spiegelt wieder, dass der Student auch tatsächlich was während seines Studiums gelernt hat.
In der Regel wählt man sich ein Thema, von dem man etwas versteht

Wissenschaftliches Arbeiten setzt wissenschaftliches Denken voraus und das impliziert die Fähigkeit und den Willen zum Forschen oder Nachforschungen anzustellen.

Du schreibst, Du würdest gerade an einer Diplomarbeit zum Thema "Personal Device Security" sitzen, lässt uns wissen, dass Du drei Sicherheitslösungen bewerten sollst und fragst u.A. im gleichen Atemzug "Wo die Knackpunkte bei solchen Technologien sind".

Die Frage, die sich mir stellt ist, wie Du eine derartige Diplomarbeit schreiben willst, wenn Du Dir offensichtlich noch nicht einmal die Grundlagen zum Thema "Device Security"
verinnerlicht hast?!
1. End User Device Security

2. Device Security and Security Console V 1.0

3. Separating Data Ownership and Device Ownership

4. Im SANS Information Security Reading Room solltest Du ausreichend Whitepapers und weitere Literaturverweise finden.

Ich hoffe ich bin Dir mit meinem Kommentar nicht auf den Schlips getreten...

saludos
gnarff
pillermann2000
pillermann2000 13.09.2007 um 09:04:10 Uhr
Goto Top
Hallo gnarff

Erstmal danke für die unteren Links werde mir sie gleich mal anschauen!

Nun zum anderen was du geschrieben hast:

Ich sehe dein Problem nicht ganz, ich frage hier nicht ob mir jemand meine Arbeit schreibt sondern mache das was du sagst, ich forsche nach.
In der Informatik forscht man halt nicht in dem man steine klopft.

Wie du gelesen hast solch ich die drei Softwareprodukte testen, da du ja weißt das man dafür wie auch für die Diplomarbeit nicht ewig Zeit hat kann ich also keine langzeit tests machen auch habe ich keine 500 Laptops/PDAs zu Verfügung um massenrollouts durchzuführen was auch in so eine Bewertung sollte, auch kann ich es nicht im täglichen Leben testen sondern nur in meiner Teststellung und genau da bin ich auf Hilfe von anderen angewiesen.
Ein Buch spiegelt nur Erfahrung/Wissen von anderen Leuten wieder, also macht es keinen Unterschied ob ich 10 Administratoren befrag oder deren Bücher/Whitepapers etc. lese.
Den nur die tagtäglich damit arbeiten können mir sagen wo sie Probleme haben, das sagt mir der Hersteller nicht, auch gehen Bücher nicht auf die einzelne Produkte ein sondern sind oberflächlich geschrieben(was ja auch richtig ist). Auch werden mir die Hersteller ihre Produkte nicht schlecht reden.
Also bleibt mir nichts anderes übrig wie mich auf die Erfahrung von anderen Leuten was den Einsatz solcher Software angeht zu verlassen, natürlich mit genug objektivität.

Natürlich frag ich nach Knackpunkten da in keiner Quelle alles geschrieben steht.
Wie du auch weißt sind Bücher nicth auf dem neusten Stand also kann ich einem 2 -3 Jahre alten Buch nicht auf neue Dinge eingehen, auch ein 1 Jahr altes Buch kann mir keine Erfahrung liefern mit bezug auf Vista. Also bin ich wieder auf die Erfahrung anderen angewiesen.

Das soll nicht heißen das ich keine Bücher lese will, das tue ich.
Aber ein Buch sagt mir nicht über den Einsatz beispielsweise in einem Unternehmen mit 2000 Mitarbeiter mehrere Filialen vielen DAUs usw. ein Buch sagt mir wie besipielsweise Festplattenverschlüsselung funktioniert.
Ein Buch sagt mir auch nicht was ich bei der neusten Version alles falsch machen kann auch sagt mir die Doku dazu nur ein Teil, deshalb wieder die Erfahrung der anderen.

Ich denke du weist nun was ich von euch wissen wollte/will
und das ich nicht will das mir jemand meine Arbeit abnimmt.

Grüße
pillermann

p.s. wir haben einen Notenspiegel, da wir für jede Vorlesung/Paktikum eine Klausur/Hausarbeit/Praktikumsaufgaben abgeben müssen spiegelt dieser wieder ob wir was gelernt oder nicht gerlernt haben, die Diplomarbeit ist nur ein kleiner Teil des ganzen!
gnarff
gnarff 13.09.2007 um 22:33:57 Uhr
Goto Top
Hallo pille,

ha, fühlst Du Dich also doch ein wenig auf den Schlips getreten!
Ich habe meinen Kommentar deswegen ein wenig provokativ gestaltet, weil ich mir gewünscht hätte, dass Du Deine Frage- Problemvorstellung systematischer aufgebaut und präziser gestaltet hättest.
Zitat pille:"Und natürlich alles was ich jetzt vergessen hab!"....

Da Du ja drei Produkte untersuchen sollst, wäre es wünschenswert gewesen den Leser wissen zu lassen, nach welcher Methodik Du bei diesen Untersuchungen vorzugehen beabsichtigst.
Wenn Du nach Literaturhinweisen zur Device Security fragst, ist es sinnvoll dezidiert anzugeben zu welche Thema, da es sich um ein Schichtenmodell handelt; wie Du in meinem ersten Link feststellen konntest [End User Device Security].
Personal Device Security ist auch End Point Security, unter der Domain gibt es uebrigends auch ein Forum; sehr zu empfehlen.

Einerseits schriebst Du, Du möchtest über mögliche Threats informiert werden, im Zusammenhang mit mobile Computing und führst auch einige Gegenmaßnahmen ins Feld um ein paar Sätze später all dies wieder mit Nachfrage nach weiteren Sicherheits-Technologien "jetzt bitte nicht Firewall [...]" zu relativieren.

Sicherheit ist ein ganzheitlicher Prozess, dem verschiedene Prozessschritte zugeordnet sind und alle müssen beachtet und einer genaueren Betrachtung unterzogen werden um Sicherheit gewährleisten zu können; nur so kann man verstehen und nachvollziehen was Endpoint- oder Personal Device Security ist und nur so ist es möglich Prüfungskriterien für die von Dir zu untersuchenden Produkte zu erarbeiten. Damit kannst Du Dich in der Evaluierungsphase auf das Notwendige beschränken und gewinnst Zeit.
Dass Du Langzeittests machen musst, 500 Laptops oder PDA's brauchst, ganz zu schweigen von den angeführten "Massenrollouts" halte ich für übertrieben...

Die Erfahrungen von Benutzern der von Dir genannten Produkte sind nur Subjektiv. Du kannst Fragebögen erarbeiten und an die Benutzer via Email versenden.

Es geht doch wohl vornehmlich darum, die Sicherheit der Produkte einer Untersuchung zu unterziehen und nicht einen Verbrauchertest zu schreiben; war doch so, oder?

saludos
gnarff

PS: Wenn Du Schrott als Diplomarbeit ablieferst, interessiert sich kein Mensch für Deine Notenspiegel und Leistungsnachweise
pillermann2000
pillermann2000 14.09.2007 um 09:17:27 Uhr
Goto Top
Hallo gnarff

Dann schreib das doch gleich, ist ja klar das man sich da ein wenig angegriffen fühlt.
Aber lieber so als gar keine Antwort, hat mir ja auch geholfen...

OK das stimmt ich hab es schon oberflächlich geschrieben, liegt daran das ich gerade erst angefangen habe mit der DA. Also noch nicht wirklich genau auf einzelne Probleme gestoßen bin und somit auf Literatur etc. gefragt habe damit ich es vertiefen kann...
Des mit dem "alles was ich vergessen habe" schrieb ich da ich ja bestimmt nicht alles kenne und deshalb auch nicht schreiben kann... dort sind natürlich auch immer Erfahrungen wünschenswert alla "bei uns in der firma ist das und das passiert also mach das bevor du das machst"
Und das ich auf einen Post keine Antowrten wie Firewall will ist ja klar, weil so etwas selbstverständlich ist, das es zum ganzen dazu gehört. das es viele Unternehmen nicht machen steht wieder wo ganz anderes, aber klar ist es allen die sich mit dieser Materie beschäftigen.

Das stimmt schon das ich keine Massenrollouts machen muß auch Langzeittest gehen auf Grund der Zeit garnicht aber wenn ich Erkenntnis darüber habe ob diese gut gehen oder eben nicht dann hilft es mir weiter, und da diese DA auch eine Art Kaufempfehlung sein soll was eingeführt werden sollte ist dies schon wichtig, weil nur weil es auf meinem Notebook und PDA gut läuft muss das ja noch lange nicht gelten wenn es im ganzen Unternehmen eingeführt wird.

Das mit den Erfahrungen stimmt, habe ich ja aber auch geschrieben das man da objektiv ran sollte, aber soetwas könnte ich je nach Problem acnhstellen oder falls etwas öfter geschrieben wird kann man von ausgehen das es nicht ein einmaliges Problem war.
Fragebögen kann ich nur schreiben/versenden wenn ich jemand kenn der so ein Produkt einsetzt, dazu muss ich aber auch erstmal fragen... gut hätte ich en eigenen Thread aufmachen können...

Naja die Sicherheit ist ja eigentlich bei allen gegeben, es geht eher um ich denke 2 Szenarios die gemacht werden (steht noch nicht ganz fest) und welches Produkt sich in diesem bewähren auf Grund gefordeten funktionen... Token/mehre OS /PDA/externe Geräte/ zentrales Management/PuP/policies/....

Also es soll ne Art kaufentscheidung sein, und natürlich wird auch die Sicherheit betrachtet, aber nicht umbedingt vom Produkt sondern eher Produkt im bezug auf das Szenario also wo könnten die User oder auch die Einstellungen es noch versauen das beim Verlust doch jemand an die Daten rankommt (beispielsweise sind temporäre Daten verschlüsselt) oder eben Geräte die nicht gewollt sind eingesteckt werden usw.


Aber das mit dem Notenspiegel/ DA stimmt nicht, da man schon längst arbeitet bevor man seine Diplomnote überhaupt erfährt, geht je nach Prof so zwischen 2-4 Monate dann dauert es mindestens 1 Monat bis die DAs in den Notenspiegel kommen und nochmal ewig bis du das Diplom bekommst... Und bis dorthin arbeitet jeder irgendwo.. Ich weis nicht wie es an anderen Hochschulen ist ob die dort schneller sind, bei all meinen Freunden an anderen Hochschulen ist es wie bei unserer auch von rofs von anderen HS haben dies bestätigt(mag Ausnahemn geben).
Also ich gib ich wirklich ne sche... Arbeit ab fall ich natürlich durch hab ich aber ne schlechte bekomm ne 3 dann interesiert des den ersten Arbeitgeber recht wenig da man wie gesagt schon längst arbeitet bevor man die Note hat... bzw. der Arbeitgeber hat.
Mag Arbeitgeber geben die abwarten bis sie das Diplom sehen da es aber wie geschrieben mehrere Monate geht sind die Leute bis dorthin bei ner anderen Stelle, außer sie haben sonst auch keine überragende Noten. Aber von meinen ganzen Freunden/Bekannten an der Hochschule hat jeder sofort ne Arbeitstelle gefunden, also hat niemand die DA-Note geschweige den das Diplom als Papier in der Hand gehabt. Und nein ich habe von niemand gehört das er die DA an den Arbeitgeber gegeben hat...
Beworben wurde nur mit Notenspiegel bzw. anderen Zeugnissen/Zertifizierungen etc.


Wieder was oberflächliches face-smile
Falls mir weitere Tipps hast, immer her damit

Danke