Tipps zum Thema Personal Device Security
Hallo zusammen
Ich sitze gerade an meiner Diplomarbeit über das Thema Personal Device Security.
Also Gefharen die mit dem arbeiten von mobilen Geräten wie PDA, Laptop, USB-Stick/USB-Festplatten, usw. auftreten können und die dazu gehörigen Sicherheitsmaßnahmen wie Festplattenverschlüsselung, PreBoot Authentication, Policy Mgt. für PnP Devices, Application specific Right Mgt etc.
Dazu soll ich die drei Softwarepakete von utimaco, safeboot und pointSec evaluieren(wurden so vorgegeben).
Jetzt zu meiner Frage bzw. Bitte.
Ich könnte da es sich ja um eine Wissenscaftliche Arbeit handelt für den theoretischen Teil einiges an Literaturhinweise benötigen, natürlich auch an Onlinequellen. Auch weitere Foren oder alles was hilft!
Falls jemand weitere Technologien kennt um diese Geräte zu sichern(jetzt bitte nicht Firewall, oder Anti-Virus, etc.) wäre ich auch sehr dankbar!
Für den praktischen Teil wäre ich auch über Tipps dankbar auf was ich umbedingt achten sollte wo die knackpunkte bei solchen Produkte/Technologien sind.
Bei was treten in der Praxis häufig Fehler auf.... Auf was muß man achten was sollte man nicht machen...
Und natürlich alles was ich jetzt vergessen hab!
Danke schon mal für eure Hilfe
Ich sitze gerade an meiner Diplomarbeit über das Thema Personal Device Security.
Also Gefharen die mit dem arbeiten von mobilen Geräten wie PDA, Laptop, USB-Stick/USB-Festplatten, usw. auftreten können und die dazu gehörigen Sicherheitsmaßnahmen wie Festplattenverschlüsselung, PreBoot Authentication, Policy Mgt. für PnP Devices, Application specific Right Mgt etc.
Dazu soll ich die drei Softwarepakete von utimaco, safeboot und pointSec evaluieren(wurden so vorgegeben).
Jetzt zu meiner Frage bzw. Bitte.
Ich könnte da es sich ja um eine Wissenscaftliche Arbeit handelt für den theoretischen Teil einiges an Literaturhinweise benötigen, natürlich auch an Onlinequellen. Auch weitere Foren oder alles was hilft!
Falls jemand weitere Technologien kennt um diese Geräte zu sichern(jetzt bitte nicht Firewall, oder Anti-Virus, etc.) wäre ich auch sehr dankbar!
Für den praktischen Teil wäre ich auch über Tipps dankbar auf was ich umbedingt achten sollte wo die knackpunkte bei solchen Produkte/Technologien sind.
Bei was treten in der Praxis häufig Fehler auf.... Auf was muß man achten was sollte man nicht machen...
Und natürlich alles was ich jetzt vergessen hab!
Danke schon mal für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 68017
Url: https://administrator.de/forum/tipps-zum-thema-personal-device-security-68017.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
6 Kommentare
Neuester Kommentar
Die drei Produkte kenne ich nicht.
Mein Patentrezept für die Sicherheit von mobilen Geräten wäre, garkeine Daten auf mobile Geräte transferieren zu lassen. Beim Fernzugriff kann man beispielsweise mit Citrix Terminaldiensten bewerkstelligen, dass die Daten nur online verfügbar / veränderbar / speicherbar sind.
Was der User sieht sind dann nur Mausbewegungen etc, er kann jedoch beispielsweise keine Word-Datei auf seinen lokalen PDA oder PC herunterladen. Der Vorteil liegt in der Datensicherheit (automatische Backups auf den Fileservern) sowie der Sicherheit vor Datenklau. Nachteil ist, dass der User immer eine Online Verbindung braucht um an die Daten zu kommen.
Risiken liegen ja nicht nur darin, dass z. B. ein Laptop geklaut wird, auf dem sich sensible Daten befinden könnten, sondern auch (oder vor allem) darin, dass Daten lokal gespeichert werden, und bei Verlust oder Defekt des Notebooks die Arbeit von Wochen verloren gehen kann oder Synchronisationsprobleme bei Versionsunterschieden von Online- und Offline-Daten. Daher kann es ratsam sein, den Benutzer zu seinem Glück zu "zwingen", Firmen-Daten online speichern zu müssen.
Ein Problem wäre erfahrungsgemäss - egal welches Verfahren man nutzt - die Kompatibilität.
Hat man in der Firma einen "Standard-Laptop" oder "Standard-PDA" der bei allen so ziemlich exakt gleich ist, und hat der User keine administrativen Rechte auf seinem Gerät, ist ne (relativ) komplexe Sicherheitslösung viel leichter integrierbar, als wenn es zig Varianten von Clients gibt, die mehr oder weniger kompatibel zur Sicherheitslösung sind.
Ein weiteres Problem wäre die Verringerung der Verfügbarkeit. Je mehr Sicherheit man einführt, desto mehr unvorhersehbare Probleme können (und werden) auftreteten, die auch den berechtigten User daran hindern können, an seine Daten zu kommen. Dieses Risiko steigt proportional zur technischen Komplexität der Lösung, der Anzahl der User und der Berechtigungen, die der einzelne User an seinem PC oder PDA hat.
Letztendlich liegt es immer an der "Art" der Firma und der Daten. Bei Aussendienstmitarbeitern einer Bank oder Mitarbeitern des Verteidigungsministeriums ist die Sicherheit oberstes Gebot. Da würde ich wohl nur Citrix Zugriff in Verbindung mit RSA Token erlauben - sicherer gehts ja fast nicht.
Eine kleine Klitsche wie "Holz-Geier & Apfelwurm GmbH" bei der selbst die Entwendung von Daten von Aussendienstmitarbeitern keine nachteilige Wirkung auf das Geschäft hätte, kann man auch "lockerer" handhaben. Ist immer eine Abwägung zwischen möglichen Risiken, Kosten und Handhabbarkeit.
Sinnvoll kann auch eine "Klassifizierung" der Daten sein - sprich Daten der Geschäftsleitung oder Entwicklungsabteilung (z. B. Geschäftsstrategie oder auch Erfindungen) sind besonders schützenswert und daher nur mit bestimmter Technik einsehbar, die tägliche Kantinen-Menue-Karte dagegen ist weniger schützenswert (vor allem bei DEM Fraß!) und daher leichter zugänglich.
Mein Patentrezept für die Sicherheit von mobilen Geräten wäre, garkeine Daten auf mobile Geräte transferieren zu lassen. Beim Fernzugriff kann man beispielsweise mit Citrix Terminaldiensten bewerkstelligen, dass die Daten nur online verfügbar / veränderbar / speicherbar sind.
Was der User sieht sind dann nur Mausbewegungen etc, er kann jedoch beispielsweise keine Word-Datei auf seinen lokalen PDA oder PC herunterladen. Der Vorteil liegt in der Datensicherheit (automatische Backups auf den Fileservern) sowie der Sicherheit vor Datenklau. Nachteil ist, dass der User immer eine Online Verbindung braucht um an die Daten zu kommen.
Risiken liegen ja nicht nur darin, dass z. B. ein Laptop geklaut wird, auf dem sich sensible Daten befinden könnten, sondern auch (oder vor allem) darin, dass Daten lokal gespeichert werden, und bei Verlust oder Defekt des Notebooks die Arbeit von Wochen verloren gehen kann oder Synchronisationsprobleme bei Versionsunterschieden von Online- und Offline-Daten. Daher kann es ratsam sein, den Benutzer zu seinem Glück zu "zwingen", Firmen-Daten online speichern zu müssen.
Ein Problem wäre erfahrungsgemäss - egal welches Verfahren man nutzt - die Kompatibilität.
Hat man in der Firma einen "Standard-Laptop" oder "Standard-PDA" der bei allen so ziemlich exakt gleich ist, und hat der User keine administrativen Rechte auf seinem Gerät, ist ne (relativ) komplexe Sicherheitslösung viel leichter integrierbar, als wenn es zig Varianten von Clients gibt, die mehr oder weniger kompatibel zur Sicherheitslösung sind.
Ein weiteres Problem wäre die Verringerung der Verfügbarkeit. Je mehr Sicherheit man einführt, desto mehr unvorhersehbare Probleme können (und werden) auftreteten, die auch den berechtigten User daran hindern können, an seine Daten zu kommen. Dieses Risiko steigt proportional zur technischen Komplexität der Lösung, der Anzahl der User und der Berechtigungen, die der einzelne User an seinem PC oder PDA hat.
Letztendlich liegt es immer an der "Art" der Firma und der Daten. Bei Aussendienstmitarbeitern einer Bank oder Mitarbeitern des Verteidigungsministeriums ist die Sicherheit oberstes Gebot. Da würde ich wohl nur Citrix Zugriff in Verbindung mit RSA Token erlauben - sicherer gehts ja fast nicht.
Eine kleine Klitsche wie "Holz-Geier & Apfelwurm GmbH" bei der selbst die Entwendung von Daten von Aussendienstmitarbeitern keine nachteilige Wirkung auf das Geschäft hätte, kann man auch "lockerer" handhaben. Ist immer eine Abwägung zwischen möglichen Risiken, Kosten und Handhabbarkeit.
Sinnvoll kann auch eine "Klassifizierung" der Daten sein - sprich Daten der Geschäftsleitung oder Entwicklungsabteilung (z. B. Geschäftsstrategie oder auch Erfindungen) sind besonders schützenswert und daher nur mit bestimmter Technik einsehbar, die tägliche Kantinen-Menue-Karte dagegen ist weniger schützenswert (vor allem bei DEM Fraß!) und daher leichter zugänglich.
Hallo pille etc!
Eine Diplomarbeit ist eine wissenschaftliche Arbeit, die zur Erlangung eines Abschlusses (Diplom) an einer Universität, Fachhochschule oder Berufsakademie geschrieben werden muss und spiegelt wieder, dass der Student auch tatsächlich was während seines Studiums gelernt hat.
In der Regel wählt man sich ein Thema, von dem man etwas versteht
Wissenschaftliches Arbeiten setzt wissenschaftliches Denken voraus und das impliziert die Fähigkeit und den Willen zum Forschen oder Nachforschungen anzustellen.
Du schreibst, Du würdest gerade an einer Diplomarbeit zum Thema "Personal Device Security" sitzen, lässt uns wissen, dass Du drei Sicherheitslösungen bewerten sollst und fragst u.A. im gleichen Atemzug "Wo die Knackpunkte bei solchen Technologien sind".
Die Frage, die sich mir stellt ist, wie Du eine derartige Diplomarbeit schreiben willst, wenn Du Dir offensichtlich noch nicht einmal die Grundlagen zum Thema "Device Security"
verinnerlicht hast?!
1. End User Device Security
2. Device Security and Security Console V 1.0
3. Separating Data Ownership and Device Ownership
4. Im SANS Information Security Reading Room solltest Du ausreichend Whitepapers und weitere Literaturverweise finden.
Ich hoffe ich bin Dir mit meinem Kommentar nicht auf den Schlips getreten...
saludos
gnarff
Eine Diplomarbeit ist eine wissenschaftliche Arbeit, die zur Erlangung eines Abschlusses (Diplom) an einer Universität, Fachhochschule oder Berufsakademie geschrieben werden muss und spiegelt wieder, dass der Student auch tatsächlich was während seines Studiums gelernt hat.
In der Regel wählt man sich ein Thema, von dem man etwas versteht
Wissenschaftliches Arbeiten setzt wissenschaftliches Denken voraus und das impliziert die Fähigkeit und den Willen zum Forschen oder Nachforschungen anzustellen.
Du schreibst, Du würdest gerade an einer Diplomarbeit zum Thema "Personal Device Security" sitzen, lässt uns wissen, dass Du drei Sicherheitslösungen bewerten sollst und fragst u.A. im gleichen Atemzug "Wo die Knackpunkte bei solchen Technologien sind".
Die Frage, die sich mir stellt ist, wie Du eine derartige Diplomarbeit schreiben willst, wenn Du Dir offensichtlich noch nicht einmal die Grundlagen zum Thema "Device Security"
verinnerlicht hast?!
1. End User Device Security
2. Device Security and Security Console V 1.0
3. Separating Data Ownership and Device Ownership
4. Im SANS Information Security Reading Room solltest Du ausreichend Whitepapers und weitere Literaturverweise finden.
Ich hoffe ich bin Dir mit meinem Kommentar nicht auf den Schlips getreten...
saludos
gnarff
Hallo pille,
ha, fühlst Du Dich also doch ein wenig auf den Schlips getreten!
Ich habe meinen Kommentar deswegen ein wenig provokativ gestaltet, weil ich mir gewünscht hätte, dass Du Deine Frage- Problemvorstellung systematischer aufgebaut und präziser gestaltet hättest.
Zitat pille:"Und natürlich alles was ich jetzt vergessen hab!"....
Da Du ja drei Produkte untersuchen sollst, wäre es wünschenswert gewesen den Leser wissen zu lassen, nach welcher Methodik Du bei diesen Untersuchungen vorzugehen beabsichtigst.
Wenn Du nach Literaturhinweisen zur Device Security fragst, ist es sinnvoll dezidiert anzugeben zu welche Thema, da es sich um ein Schichtenmodell handelt; wie Du in meinem ersten Link feststellen konntest [End User Device Security].
Personal Device Security ist auch End Point Security, unter der Domain gibt es uebrigends auch ein Forum; sehr zu empfehlen.
Einerseits schriebst Du, Du möchtest über mögliche Threats informiert werden, im Zusammenhang mit mobile Computing und führst auch einige Gegenmaßnahmen ins Feld um ein paar Sätze später all dies wieder mit Nachfrage nach weiteren Sicherheits-Technologien "jetzt bitte nicht Firewall [...]" zu relativieren.
Sicherheit ist ein ganzheitlicher Prozess, dem verschiedene Prozessschritte zugeordnet sind und alle müssen beachtet und einer genaueren Betrachtung unterzogen werden um Sicherheit gewährleisten zu können; nur so kann man verstehen und nachvollziehen was Endpoint- oder Personal Device Security ist und nur so ist es möglich Prüfungskriterien für die von Dir zu untersuchenden Produkte zu erarbeiten. Damit kannst Du Dich in der Evaluierungsphase auf das Notwendige beschränken und gewinnst Zeit.
Dass Du Langzeittests machen musst, 500 Laptops oder PDA's brauchst, ganz zu schweigen von den angeführten "Massenrollouts" halte ich für übertrieben...
Die Erfahrungen von Benutzern der von Dir genannten Produkte sind nur Subjektiv. Du kannst Fragebögen erarbeiten und an die Benutzer via Email versenden.
Es geht doch wohl vornehmlich darum, die Sicherheit der Produkte einer Untersuchung zu unterziehen und nicht einen Verbrauchertest zu schreiben; war doch so, oder?
saludos
gnarff
PS: Wenn Du Schrott als Diplomarbeit ablieferst, interessiert sich kein Mensch für Deine Notenspiegel und Leistungsnachweise
ha, fühlst Du Dich also doch ein wenig auf den Schlips getreten!
Ich habe meinen Kommentar deswegen ein wenig provokativ gestaltet, weil ich mir gewünscht hätte, dass Du Deine Frage- Problemvorstellung systematischer aufgebaut und präziser gestaltet hättest.
Zitat pille:"Und natürlich alles was ich jetzt vergessen hab!"....
Da Du ja drei Produkte untersuchen sollst, wäre es wünschenswert gewesen den Leser wissen zu lassen, nach welcher Methodik Du bei diesen Untersuchungen vorzugehen beabsichtigst.
Wenn Du nach Literaturhinweisen zur Device Security fragst, ist es sinnvoll dezidiert anzugeben zu welche Thema, da es sich um ein Schichtenmodell handelt; wie Du in meinem ersten Link feststellen konntest [End User Device Security].
Personal Device Security ist auch End Point Security, unter der Domain gibt es uebrigends auch ein Forum; sehr zu empfehlen.
Einerseits schriebst Du, Du möchtest über mögliche Threats informiert werden, im Zusammenhang mit mobile Computing und führst auch einige Gegenmaßnahmen ins Feld um ein paar Sätze später all dies wieder mit Nachfrage nach weiteren Sicherheits-Technologien "jetzt bitte nicht Firewall [...]" zu relativieren.
Sicherheit ist ein ganzheitlicher Prozess, dem verschiedene Prozessschritte zugeordnet sind und alle müssen beachtet und einer genaueren Betrachtung unterzogen werden um Sicherheit gewährleisten zu können; nur so kann man verstehen und nachvollziehen was Endpoint- oder Personal Device Security ist und nur so ist es möglich Prüfungskriterien für die von Dir zu untersuchenden Produkte zu erarbeiten. Damit kannst Du Dich in der Evaluierungsphase auf das Notwendige beschränken und gewinnst Zeit.
Dass Du Langzeittests machen musst, 500 Laptops oder PDA's brauchst, ganz zu schweigen von den angeführten "Massenrollouts" halte ich für übertrieben...
Die Erfahrungen von Benutzern der von Dir genannten Produkte sind nur Subjektiv. Du kannst Fragebögen erarbeiten und an die Benutzer via Email versenden.
Es geht doch wohl vornehmlich darum, die Sicherheit der Produkte einer Untersuchung zu unterziehen und nicht einen Verbrauchertest zu schreiben; war doch so, oder?
saludos
gnarff
PS: Wenn Du Schrott als Diplomarbeit ablieferst, interessiert sich kein Mensch für Deine Notenspiegel und Leistungsnachweise