Umfrage Netzsicherheit, bester Kompromiss zwischen Nutzerfreundlichkeit und Sicherheit
Hallo,
ich beschäftige mich jetzt schon ein paar Wochen mit den verschieden Themen rund um die IT-Sicherheit. Speziell interessiert mich hier die Sicherheit privater Netzwerke. Mit ein paar Kollegen hatte ich hier bereits schon eine sehr spannende Diskussion, weshalb ich mir dachte ich könnte die Frage mal an eine etwas breitere Masse stellen.
Da dies ja ein relativ breites Themengebiet ist und jeder den Begriff Sicherheit ein wenig anders definiert vielleicht mal ein paar Begriffsdefinitionen:
-Sicherheit: Soll bedeuten das meine persönlichen Daten vor unbefugten Zugriffen geschützt sind und alle Daten möglichst auch als Backup vorhanden sind um Naturkatastrophen oder ähnlichen unvorhersehbaren Ereignissen vorzubeugen. Außerdem verstehe ich unter Sicherheit, das alle Daten die mein "sicheres" Netzwerk verlassen (Zugangsdaten, Passwörter, Bankdaten, Persönliche Daten), nicht durch Dritte ausgespäht werden können.
- Was verstehe ich unter Nutzerfreundlichkeit? Ich denke das ein System das einen gewissen Grad an Komfort bietet, grundsätzlich damit auch immer etwas unsicherer wird. Allerdings wird der Durchschnittsuser nur schwer darauf verzichten wollen. Also gilt es einen Kompromiss zu finden. Also Nutzerfreundlichkeit bedeutet, die heute alltäglich gewordenen Funktionen nutzen zu können. Zum Beispiel:
-WLAN für alle Netzwerkfähigen Geräte
-Zentraler Zugriff auf meine Daten (im eigenen Netz und aus dem Internet)
-Zugriff auf meine Email und Kontakt Daten (im eigenen Netz und aus dem Internet)
-eigener Webserver
-Steuerung diverser lokaler Dienste über das Internet (Programmierung von Filmaufnahmen, Steuerung Smarthome, etc.)
-Internetzugang von jedem Rechner
Wenn wir jetzt die oben genannten Parameter nehmen und uns den normalen User vorstellen, wie er denke ich derzeit am häufigsten vorkommt (Oder vorkommen sollte), würde ich diesen Zustand als Standart und somit zum Soll erklären.
Da wären zum Beispiel ein Internetzugang mit einem Router und eingebauter Firewall (Fritzbox), vielleicht ein eigenes NAS oder Server mit Datenfreigabe, Netzwerkdrucker, sowie die einzelnen Clients mit Virenscanner (für Windows) oder Laptops halt über WLAN. Sämtliche Einrichtungen sind den heutigen Standarts entsprechend, also WLAN mit WPA2 verschlüsselt, Passwörter die regelmässig gewechselt werden und entsprechend komplex sind, abgestufte Userrechte, immer die neusten Updates und Virenpattern, vielleicht noch einen verschlüsselten Container für die ganz sensiblen Daten.
Wenn wir jetzt einmal den Faktor Mensch aussen vorlassen ist dies ja bereits ein relativ sicheres Netzwerk, wenn wir davon ausgehen das ein potenzieller Datendieb nicht unbeschränkte Ressourcen und Zeit hat.
Was aber wenn man ein etwas gesteigertes Sicherheitsbedürfnis hat? Wo seht ihr den idealen Kompromiss zwischen Sicherheit und Komfort wenn einem der oben beschriebene Standart nicht reicht (Die Gründe hierfür will ich erst einmal außer Acht lassen)? Speziell interessiert mich hier der Aufbau des Netzwerks und welche Sicherheitsmechanismen ihr verwenden würdet. Vielleicht kann man hier ja noch einmal unterscheiden zwischen "erweiterter Sicherheit" und "höchster Sicherheit".
Noch einmal, es geht um Privatanwender, welche gerne den vollen Komfort heutiger Netze nutzen wollen und trotzdem sicher unterwegs sein wollen. Wo ist der ideale Kompromiss für diese drei Sicherheitsbedürfnisse:
- Standart Sicherheit
- Erweiterte Sicherheit
- Höchste Sicherheit
Mir ist durchaus bewusst das es absolute Sicherheit nicht gibt und man mit entsprechendem Aufwand alles irgendwie umgehen kann, aber darum soll es erst einmal nicht gehen.
Würde mich über sachliche Kommentare und eure ehrlichen Meinungen freuen.
Gruß
Joe
ich beschäftige mich jetzt schon ein paar Wochen mit den verschieden Themen rund um die IT-Sicherheit. Speziell interessiert mich hier die Sicherheit privater Netzwerke. Mit ein paar Kollegen hatte ich hier bereits schon eine sehr spannende Diskussion, weshalb ich mir dachte ich könnte die Frage mal an eine etwas breitere Masse stellen.
Da dies ja ein relativ breites Themengebiet ist und jeder den Begriff Sicherheit ein wenig anders definiert vielleicht mal ein paar Begriffsdefinitionen:
-Sicherheit: Soll bedeuten das meine persönlichen Daten vor unbefugten Zugriffen geschützt sind und alle Daten möglichst auch als Backup vorhanden sind um Naturkatastrophen oder ähnlichen unvorhersehbaren Ereignissen vorzubeugen. Außerdem verstehe ich unter Sicherheit, das alle Daten die mein "sicheres" Netzwerk verlassen (Zugangsdaten, Passwörter, Bankdaten, Persönliche Daten), nicht durch Dritte ausgespäht werden können.
- Was verstehe ich unter Nutzerfreundlichkeit? Ich denke das ein System das einen gewissen Grad an Komfort bietet, grundsätzlich damit auch immer etwas unsicherer wird. Allerdings wird der Durchschnittsuser nur schwer darauf verzichten wollen. Also gilt es einen Kompromiss zu finden. Also Nutzerfreundlichkeit bedeutet, die heute alltäglich gewordenen Funktionen nutzen zu können. Zum Beispiel:
-WLAN für alle Netzwerkfähigen Geräte
-Zentraler Zugriff auf meine Daten (im eigenen Netz und aus dem Internet)
-Zugriff auf meine Email und Kontakt Daten (im eigenen Netz und aus dem Internet)
-eigener Webserver
-Steuerung diverser lokaler Dienste über das Internet (Programmierung von Filmaufnahmen, Steuerung Smarthome, etc.)
-Internetzugang von jedem Rechner
Wenn wir jetzt die oben genannten Parameter nehmen und uns den normalen User vorstellen, wie er denke ich derzeit am häufigsten vorkommt (Oder vorkommen sollte), würde ich diesen Zustand als Standart und somit zum Soll erklären.
Da wären zum Beispiel ein Internetzugang mit einem Router und eingebauter Firewall (Fritzbox), vielleicht ein eigenes NAS oder Server mit Datenfreigabe, Netzwerkdrucker, sowie die einzelnen Clients mit Virenscanner (für Windows) oder Laptops halt über WLAN. Sämtliche Einrichtungen sind den heutigen Standarts entsprechend, also WLAN mit WPA2 verschlüsselt, Passwörter die regelmässig gewechselt werden und entsprechend komplex sind, abgestufte Userrechte, immer die neusten Updates und Virenpattern, vielleicht noch einen verschlüsselten Container für die ganz sensiblen Daten.
Wenn wir jetzt einmal den Faktor Mensch aussen vorlassen ist dies ja bereits ein relativ sicheres Netzwerk, wenn wir davon ausgehen das ein potenzieller Datendieb nicht unbeschränkte Ressourcen und Zeit hat.
Was aber wenn man ein etwas gesteigertes Sicherheitsbedürfnis hat? Wo seht ihr den idealen Kompromiss zwischen Sicherheit und Komfort wenn einem der oben beschriebene Standart nicht reicht (Die Gründe hierfür will ich erst einmal außer Acht lassen)? Speziell interessiert mich hier der Aufbau des Netzwerks und welche Sicherheitsmechanismen ihr verwenden würdet. Vielleicht kann man hier ja noch einmal unterscheiden zwischen "erweiterter Sicherheit" und "höchster Sicherheit".
Noch einmal, es geht um Privatanwender, welche gerne den vollen Komfort heutiger Netze nutzen wollen und trotzdem sicher unterwegs sein wollen. Wo ist der ideale Kompromiss für diese drei Sicherheitsbedürfnisse:
- Standart Sicherheit
- Erweiterte Sicherheit
- Höchste Sicherheit
Mir ist durchaus bewusst das es absolute Sicherheit nicht gibt und man mit entsprechendem Aufwand alles irgendwie umgehen kann, aber darum soll es erst einmal nicht gehen.
Würde mich über sachliche Kommentare und eure ehrlichen Meinungen freuen.
Gruß
Joe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188757
Url: https://administrator.de/forum/umfrage-netzsicherheit-bester-kompromiss-zwischen-nutzerfreundlichkeit-und-sicherheit-188757.html
Ausgedruckt am: 24.12.2024 um 14:12 Uhr
17 Kommentare
Neuester Kommentar
Wenn du nur mal die FAQs gelesen hättest hättest du auch gesehen das du es SELBER mit ein paar Mausklicks in die richtige Rubrik schieben kannst, damit es auch die richtigen Leute lesen hier !!
Auf deinen Usernamen klicken oben, dann Fragen, Thread auswählen, auf "Bearbeiten" klicken und dann unten rechts die neue und "richtige" Rubrik auswählen.... Fertisch !
Manchmal hilft lesen und sich informieren wirklich !!
Auf deinen Usernamen klicken oben, dann Fragen, Thread auswählen, auf "Bearbeiten" klicken und dann unten rechts die neue und "richtige" Rubrik auswählen.... Fertisch !
Manchmal hilft lesen und sich informieren wirklich !!
Hallo,
bei Privatanwender glaub ich kann man hier keine Abstufung machen.
Jeder wird sich das Netzt so komfortabel machen wie er's brauch bzw. will. Auch die anzubinden Komponenten fallen sehr unterschiedlich aus.
Was mir persönlich aber noch nie eingeleuchtet hat, warum hat man als Privatperson ein "erweitertes Sicherheitsbedürfniss". Gut das man eine vernünftige Virenlösung, eine Firewall für externe Zugriffe braucht und das W-Lan sicher muss ist klar. Nicht das jemand aus Spaß das netzt killt. Aber bis auf die vielleicht eigenen Kinder, denen man nicht genug Aufmerksamkeit gibt, hat man doch z.b. keine Man in the Middle Attacken.
Gut, wenn man noch externen Zugriff will, kommt noch VPN hinzu.
Ob ich z.b. ein NAS haben will muss ich doch für mich selbst entscheiden brauch/will ich ein's oder nicht?
Will ich einen Webserver (warum auch immer) Zuhause stehen haben.
Zweck's deinen "Bankdaten" z.b. die das Hausnetz verlassen. Wenn du sowas per E-Mail verschickst kann man dir nicht helfen. Aber Homebanking wird ja eh schon von der Bank aus verschlüsselt da kannst du nicht mal stark eingreifen.
Wenn's um Firmen gehen würde, dann Sie die Sache dann vielleicht kpl. anders aus. Denn hier muss meiner Meinung nach wirklich ein Spagat zwischen Komfort und Sicherheit gemacht werden. Denn was hilft's wenn alles absolut sicher ist aber man alles so sperrt das jeder User vom Arbeiten gehindert wird.
bei Privatanwender glaub ich kann man hier keine Abstufung machen.
Jeder wird sich das Netzt so komfortabel machen wie er's brauch bzw. will. Auch die anzubinden Komponenten fallen sehr unterschiedlich aus.
Was mir persönlich aber noch nie eingeleuchtet hat, warum hat man als Privatperson ein "erweitertes Sicherheitsbedürfniss". Gut das man eine vernünftige Virenlösung, eine Firewall für externe Zugriffe braucht und das W-Lan sicher muss ist klar. Nicht das jemand aus Spaß das netzt killt. Aber bis auf die vielleicht eigenen Kinder, denen man nicht genug Aufmerksamkeit gibt, hat man doch z.b. keine Man in the Middle Attacken.
Gut, wenn man noch externen Zugriff will, kommt noch VPN hinzu.
Ob ich z.b. ein NAS haben will muss ich doch für mich selbst entscheiden brauch/will ich ein's oder nicht?
Will ich einen Webserver (warum auch immer) Zuhause stehen haben.
Zweck's deinen "Bankdaten" z.b. die das Hausnetz verlassen. Wenn du sowas per E-Mail verschickst kann man dir nicht helfen. Aber Homebanking wird ja eh schon von der Bank aus verschlüsselt da kannst du nicht mal stark eingreifen.
Wenn's um Firmen gehen würde, dann Sie die Sache dann vielleicht kpl. anders aus. Denn hier muss meiner Meinung nach wirklich ein Spagat zwischen Komfort und Sicherheit gemacht werden. Denn was hilft's wenn alles absolut sicher ist aber man alles so sperrt das jeder User vom Arbeiten gehindert wird.
Die größten Sicherheitslücken sind wie immer das WLAN und ggf. LAN Ports wobei letztere ja noch in der eigenen Hoheit sind, nicht aber das WLAN, da man da ja Funkwellen bekanntermaßen nicht einsperren kann.
WPA2 mit einem statischen Key ist hier dann bei gesteigerten Anforderungen de facto nicht ausreichend sondern es sollten mindestens Zertifikate mit 802.1x zum Einsatz kommen.
Das gleiche gilt für VPN Verbindungen von Extern.
Genauso wie im LAN Bereich mit Zertifikats basierender .1x Port Security. Das verhindert dann wasserdicht unbefugten Zugriff. Verschlüsselung der lokalen Daten usw. ist dann so oder so Standard.
Das sind aber alles uralte und bekannte Binsenweisheiten die auch jeder IT Laie schon seit Jahren kennt...
Bei erhöhten Sicherheitsanforderungen gibt es keinerlei "Spagat" oder sowas sondern einen knallharte Sicherheitspolicy der sich jeder und jeder Anforderung zu unterwerfen hat ohne wenn und aber. Alles andere höhlt diese Vorgaben aus und der TO fragt ja ganz genau danach und nicht das jeder Couch Surfer zuhause macht (..oder auch nicht).
WPA2 mit einem statischen Key ist hier dann bei gesteigerten Anforderungen de facto nicht ausreichend sondern es sollten mindestens Zertifikate mit 802.1x zum Einsatz kommen.
Das gleiche gilt für VPN Verbindungen von Extern.
Genauso wie im LAN Bereich mit Zertifikats basierender .1x Port Security. Das verhindert dann wasserdicht unbefugten Zugriff. Verschlüsselung der lokalen Daten usw. ist dann so oder so Standard.
Das sind aber alles uralte und bekannte Binsenweisheiten die auch jeder IT Laie schon seit Jahren kennt...
Bei erhöhten Sicherheitsanforderungen gibt es keinerlei "Spagat" oder sowas sondern einen knallharte Sicherheitspolicy der sich jeder und jeder Anforderung zu unterwerfen hat ohne wenn und aber. Alles andere höhlt diese Vorgaben aus und der TO fragt ja ganz genau danach und nicht das jeder Couch Surfer zuhause macht (..oder auch nicht).
Im Privatbereich soll es prinzipiell billig und einfach sein.
Am einfachste / geeignetsten scheint mir da eine USB Platte zu sein.
USB rein, kopieren, fertig. Braucht man die Daten auf einem anderen Rechner, USB Platte abstöpseln, an den andren Rechner dran- läuft. NAS etc geht natürlich auch, ist aber meines Erachtens in den meisten Fällen schon oversized, vor allem wenn das Teil ständig läuft und Strom frisst.
Praktikabel ist auch das Versenden von Daten z. B. zu seinem privaten e-mail Postfach im Internet bei web.de oder yahoo-mail, google mail usw.
Sich selber eine Mail schicken mit den Daten im Anhang (geeignet bei kleineren Datenmengen).
Ansonsten gilt - sehr sensible Daten stets daheim lassen und nicht google, dropbox oder dem gratis-mail-anbieter zuspielen, man weiss nie was das Gegenüber dann mit den DAten macht. Ich gehe davon aus dass alle Mail-Anbieter systematisch und automatisiert die Postfächer durchforsten und Profile ihrer Clienten erstellen. Besser Daten daheim auf 2tes Medium kopieren, ggfs. Verschlüsseln des Mediums. Man muss ja nicht ohne Not bei der Migration von Demokratie zu Überwachungsstaat mithelfen wenn man es auch einfach umgehen kann. Nur die Daten können (ggfs. gegen dich) verwendet werden, die du hochlädtst..
Automatische Windows Updates aktivieren.
Acronis oder Drivesnapshot vom System machen vor/nach Installation neuer Software.
Kann man immer wieder auf einen "sauberen" Ausgangsstand binnen Sekunden springen ohne Neuinstallation.
WLAN WPA2 mit langem komplexen PSK reicht völlig aus daheim.
PSK "aof!sp"§FFAS564645SUOPpSSsd234ljAJF2z6!!"231364154FASDGUIfao"§!!sasd!" zu knacken dürfte schon paar Jährchen dauern..
Wenn man mag kann man auch mit MAC-Adress Filter den Zugang nochmal erschweren und auch die SSID Broadcast abschalten um das WLAN für gängige Endgeräte "unsichtbar" zu machen. Das ist jedoch eher als "kleine Schmankerl" zu werten, zusätzliche Hürden und nicht verlässliche Sicherheitsmaßnahmen.
Die Sicherheit kommt hauptsächlich vom komplexen langen PSK bei WPA2.
Wenn einem langweilig ist kann man das PSK jährlich ändern.
- Backup der Daten:
Am einfachste / geeignetsten scheint mir da eine USB Platte zu sein.
USB rein, kopieren, fertig. Braucht man die Daten auf einem anderen Rechner, USB Platte abstöpseln, an den andren Rechner dran- läuft. NAS etc geht natürlich auch, ist aber meines Erachtens in den meisten Fällen schon oversized, vor allem wenn das Teil ständig läuft und Strom frisst.
Praktikabel ist auch das Versenden von Daten z. B. zu seinem privaten e-mail Postfach im Internet bei web.de oder yahoo-mail, google mail usw.
Sich selber eine Mail schicken mit den Daten im Anhang (geeignet bei kleineren Datenmengen).
Ansonsten gilt - sehr sensible Daten stets daheim lassen und nicht google, dropbox oder dem gratis-mail-anbieter zuspielen, man weiss nie was das Gegenüber dann mit den DAten macht. Ich gehe davon aus dass alle Mail-Anbieter systematisch und automatisiert die Postfächer durchforsten und Profile ihrer Clienten erstellen. Besser Daten daheim auf 2tes Medium kopieren, ggfs. Verschlüsseln des Mediums. Man muss ja nicht ohne Not bei der Migration von Demokratie zu Überwachungsstaat mithelfen wenn man es auch einfach umgehen kann. Nur die Daten können (ggfs. gegen dich) verwendet werden, die du hochlädtst..
- Cientsicherheit:
Automatische Windows Updates aktivieren.
Acronis oder Drivesnapshot vom System machen vor/nach Installation neuer Software.
Kann man immer wieder auf einen "sauberen" Ausgangsstand binnen Sekunden springen ohne Neuinstallation.
- Netzwerksicherheit:
WLAN WPA2 mit langem komplexen PSK reicht völlig aus daheim.
PSK "aof!sp"§FFAS564645SUOPpSSsd234ljAJF2z6!!"231364154FASDGUIfao"§!!sasd!" zu knacken dürfte schon paar Jährchen dauern..
Wenn man mag kann man auch mit MAC-Adress Filter den Zugang nochmal erschweren und auch die SSID Broadcast abschalten um das WLAN für gängige Endgeräte "unsichtbar" zu machen. Das ist jedoch eher als "kleine Schmankerl" zu werten, zusätzliche Hürden und nicht verlässliche Sicherheitsmaßnahmen.
Die Sicherheit kommt hauptsächlich vom komplexen langen PSK bei WPA2.
Wenn einem langweilig ist kann man das PSK jährlich ändern.
...nicht wirklich, aber du kannst versuchen sie in "code" "/code" Parameter zu setzen, dann kann man es besser erkennen:
Formatierungen in den Beiträgen --> Quellcode
Ansonsten kannst du über die schöne Bilder Hochlad Funktion hier im Forum auch ein Viso o.ä Bild einbinden
Generell kann der kundige Netzwerker sich das Design aber schon zusammenreimen...
Ansonsten gibts da wenig auszusetzen. Für ein Privatnetzwerk hast du schon das Maximum herausgekitzelt.
Formatierungen in den Beiträgen --> Quellcode
Ansonsten kannst du über die schöne Bilder Hochlad Funktion hier im Forum auch ein Viso o.ä Bild einbinden
Generell kann der kundige Netzwerker sich das Design aber schon zusammenreimen...
Ansonsten gibts da wenig auszusetzen. Für ein Privatnetzwerk hast du schon das Maximum herausgekitzelt.
Nö, war schon so gemeint wie geschrieben.
Bei mir zu Hause braucht man eigentlich nicht mal ein W-Lan Passwort.
Der nächste Nachbar 1km entfernt. Auf der einen Seite des Hauses ein Hügel und auf der anderen einige eigene Gebäude, damit's sogar mit Richtfunkantenen schwer würde alles schön einsehbar und einen großen Hund damit keiner unbemerkt in die Nähe kommt.
Bis auf auf den zweiten Squid und das die erste FW eine CISCO ASA ist sieht's eigentlich recht ähnlich aus.
Was mich auch auf die Idee bringt. Du setzt Firewall's vom gleichen Typ ein, wenn eine einen Sicherheitslücke in der Software hat dann die andere auch.
Bei mir zu Hause braucht man eigentlich nicht mal ein W-Lan Passwort.
Der nächste Nachbar 1km entfernt. Auf der einen Seite des Hauses ein Hügel und auf der anderen einige eigene Gebäude, damit's sogar mit Richtfunkantenen schwer würde alles schön einsehbar und einen großen Hund damit keiner unbemerkt in die Nähe kommt.
Bis auf auf den zweiten Squid und das die erste FW eine CISCO ASA ist sieht's eigentlich recht ähnlich aus.
Was mich auch auf die Idee bringt. Du setzt Firewall's vom gleichen Typ ein, wenn eine einen Sicherheitslücke in der Software hat dann die andere auch.
Bei den Fierewall's kann ich dir jetzt keinen Tipp geben.
Als HAVP läuft bei mir was von Trendmicro. Hier am besten auch von nem andern Hersteller als die lokalen Scanner.
Externen Zugriff auf Webinterfaces könntest du wenn nicht ueber VPN mit einen Reverse Proxy absichern hier vielleicht auch mit einer Radius Anmeldung (nie getestet).
Bei mir laeuft sowas auf getrennten Rechnern. Es könnte ja auch wenn sowas glaub ich noch nie passiert ist jemand den Hypervisor kapern.
Als HAVP läuft bei mir was von Trendmicro. Hier am besten auch von nem andern Hersteller als die lokalen Scanner.
Externen Zugriff auf Webinterfaces könntest du wenn nicht ueber VPN mit einen Reverse Proxy absichern hier vielleicht auch mit einer Radius Anmeldung (nie getestet).
Bei mir laeuft sowas auf getrennten Rechnern. Es könnte ja auch wenn sowas glaub ich noch nie passiert ist jemand den Hypervisor kapern.