30
Umgang mit einem Fremdsystem im Intranet
Mahlzeit Admins,
folgende These bei welcher Ihr verantwortlich für die IT Sicherheit seid:
Welche Gefahren/Probleme seht ihr bezüglich IT Sicherheit?
Oder seht ihr es eher unkritisch?
Wie sichert ihr euch ab?
Im Hinterkopf habe ich noch einen Beitrag mit dem Titel "IT-Recht für Admins: Mit einem Bein im Knast?"
Vielen Dank für konstruktive Meinungen oder Erfahrungen diesbezüglich aus eurem IT Alltag.
folgende These bei welcher Ihr verantwortlich für die IT Sicherheit seid:
- Eine Abteilung möchte ein Windows-System internen Netzwerk platzieren, es handelt sich um eine LTS Version, Updates für Windows gäbe es noch ein paar Jahre.
- Dieses System benötigt eine bidirektionale Verbindung, u.a. zum RDS Server, ein paar Windowsclients der Endanwender,... damit indirekt Zugriff auf alle Systeme, wenn auch möglichst durch Segmente getrennt.
- Ihr bekommt zu dem Gerät keinen administrativen Zugang, könnt eure Endpoint Protection nicht verwenden, kein Asset Management,... das System bleibt ein Stück Schatten IT.
- Das System lässt sich nicht dediziert abgeschottet betreiben.
Welche Gefahren/Probleme seht ihr bezüglich IT Sicherheit?
Oder seht ihr es eher unkritisch?
Wie sichert ihr euch ab?
Im Hinterkopf habe ich noch einen Beitrag mit dem Titel "IT-Recht für Admins: Mit einem Bein im Knast?"
Vielen Dank für konstruktive Meinungen oder Erfahrungen diesbezüglich aus eurem IT Alltag.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21666480016
Url: https://administrator.de/contentid/21666480016
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
30 Kommentare
Neuester Kommentar
Was für eine Verbindung zum RDS Server/Windowsclients würde benötigt? Ich denke an der Art der Verzahnung wird es dann liegen, ob du das verantworten kannst oder nicht...
1
Ist das eine Hausaufgabe, Prüfungsfrage? Diese sind Freitags zu stellen.
Außerdem: Nichts sagende Informationen, wie man eine Frage richtig stellt.
In Anbetracht des Textes: NEIN, ein solches System kommt definitiv NICHT in unser Netzwerk!
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Außerdem: Nichts sagende Informationen, wie man eine Frage richtig stellt.
In Anbetracht des Textes: NEIN, ein solches System kommt definitiv NICHT in unser Netzwerk!
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
3
Moin,
es gibt eigentlich nur zwei Möglichkeiten:
1. Das wird so nicht umgesetzt.
2. Kündigen.
Liebe Grüße
Erik
es gibt eigentlich nur zwei Möglichkeiten:
1. Das wird so nicht umgesetzt.
2. Kündigen.
Liebe Grüße
Erik
4
Moin,
Was letztlich nicht geht. Wie willst Du denn nachweisen, dass die eingeschleuste Schadsoftware über dieses Gerät ins Netz gelangt ist. Das Vorhaben darf so nicht durchgeführt werden.
Liebe Grüße
Erik
Zitat von @Penny.Cilin:
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Was letztlich nicht geht. Wie willst Du denn nachweisen, dass die eingeschleuste Schadsoftware über dieses Gerät ins Netz gelangt ist. Das Vorhaben darf so nicht durchgeführt werden.
Liebe Grüße
Erik
5
Da man in dem Szenario die Sicherheit nicht gewährleisten kann, muss man das Weite suchen, so das denn tatsächlich umgesetzt wird.
2
Man müsste wesentlich mehr Details wissen um hier eine Entscheidung zu treffen. In jedem Fall muss geklärt werden, wie die Abhängigkeiten zu euren Systemen ist und wer das Fremdsystem installiert und betreut. Ist die fachliche Qualifikation zum sicheren Betrieb des Fremdsystems vorhanden?
Ich würde Anforderungen zum Betrieb des Fremdsystems festlegen (Zuständigkeiten, Virenschutz, Updates, Backup) und regelmäßig auditieren.
Das Fremdsystem zwingend in ein anderes Netzsegment und beide Segmente über eine Firewall abzusichern.
Strenges Firewallregelwerk und falls möglich z.b. nur ausgehende Verbindungen für die notwendigen Ports in das Fremdnetz zulassen.
Aber es kommt auf die Details an und wie genau die Äbgänigkeiten zwischen Euren Systemen und dem Fremdsystem ist. Das muss geklärt werden.
Möglicherweise wäre dann z.b. auch ein Terminalserver im Fremdnetz eine Option um hier mehr Sicherheit zu gewährleisten.
Ich würde Anforderungen zum Betrieb des Fremdsystems festlegen (Zuständigkeiten, Virenschutz, Updates, Backup) und regelmäßig auditieren.
Das Fremdsystem zwingend in ein anderes Netzsegment und beide Segmente über eine Firewall abzusichern.
Strenges Firewallregelwerk und falls möglich z.b. nur ausgehende Verbindungen für die notwendigen Ports in das Fremdnetz zulassen.
Aber es kommt auf die Details an und wie genau die Äbgänigkeiten zwischen Euren Systemen und dem Fremdsystem ist. Das muss geklärt werden.
Möglicherweise wäre dann z.b. auch ein Terminalserver im Fremdnetz eine Option um hier mehr Sicherheit zu gewährleisten.
1
Moin,
Einzige Option die ich bei sowas mittlerweile sehe, ist eine ZeroTrust Umgebung und eine XDR Lösung auf allen fassbaren Clients.
Ansonsten wird jeder vernünftige Mensch sowas ablehnen.
Gruß
Spirit
Einzige Option die ich bei sowas mittlerweile sehe, ist eine ZeroTrust Umgebung und eine XDR Lösung auf allen fassbaren Clients.
Ansonsten wird jeder vernünftige Mensch sowas ablehnen.
Gruß
Spirit
2
Moin,
der Knackpunkt ist ganz einfach: Wenn ich keinen Adminzugang zu dem gerät bekomme, dass kommt das Gerät nicht in mein Netzwerk. Punkt aus. Debatte erledigt.
Über das meiste andere, kann man theoretisch nachdenken und technische Lösungen finden. Ich kann meinen regulären Endpoint-Proetection nicht verwenden? Ok, damit kann ich leben. Wir haben selbst Clients, wo das nicht geht. Aber: Dann installier ich einen anderen. Ich hab selbst Geräte hier, die mehr oder weniger ein Schatten-Dasein führen, weil sie speziell sind. das fängt schon damit an, dass da eine Software drauf ist, die es nicht mag, wenn sich die Uhr umstellt, da sie es als Manipulation ansieht, was in Bezug auf MHDs bei Lebensmittel, schon kritisch sind. Ja und die Software sperrt sich sogar bei Sommer-/Winterzeit. Dann ist das halt so, dass die Uhrzeit nie synchron mit den anderen Systemen läuft. Damit kann ich leben, aber ich hab da immer noch den Adminzugang zu.
Die Kernfrage lässt du aber offen. Wieso eine biderektionale Verbind. Wir haben auch reine RDP-Clients, zwischen denen kein Datenaustausch via RDP möglich ist. Da geht auch alles, nur sind die in einem separaten Netz und jeglicher Traffic zum Verwaltungsnetz wird via Firewall geblockt, mit Ausnahme des RDP-Dienstes. Was für daten müssen hier getauscht werden? Das ist alles sehr schwammig formuliert, so das wir dir gar nicht alle möglichen Probleme und Risiken nennen können.
Gruß
Doskias
der Knackpunkt ist ganz einfach: Wenn ich keinen Adminzugang zu dem gerät bekomme, dass kommt das Gerät nicht in mein Netzwerk. Punkt aus. Debatte erledigt.
Über das meiste andere, kann man theoretisch nachdenken und technische Lösungen finden. Ich kann meinen regulären Endpoint-Proetection nicht verwenden? Ok, damit kann ich leben. Wir haben selbst Clients, wo das nicht geht. Aber: Dann installier ich einen anderen. Ich hab selbst Geräte hier, die mehr oder weniger ein Schatten-Dasein führen, weil sie speziell sind. das fängt schon damit an, dass da eine Software drauf ist, die es nicht mag, wenn sich die Uhr umstellt, da sie es als Manipulation ansieht, was in Bezug auf MHDs bei Lebensmittel, schon kritisch sind. Ja und die Software sperrt sich sogar bei Sommer-/Winterzeit. Dann ist das halt so, dass die Uhrzeit nie synchron mit den anderen Systemen läuft. Damit kann ich leben, aber ich hab da immer noch den Adminzugang zu.
Die Kernfrage lässt du aber offen. Wieso eine biderektionale Verbind. Wir haben auch reine RDP-Clients, zwischen denen kein Datenaustausch via RDP möglich ist. Da geht auch alles, nur sind die in einem separaten Netz und jeglicher Traffic zum Verwaltungsnetz wird via Firewall geblockt, mit Ausnahme des RDP-Dienstes. Was für daten müssen hier getauscht werden? Das ist alles sehr schwammig formuliert, so das wir dir gar nicht alle möglichen Probleme und Risiken nennen können.
Gruß
Doskias
1Zitat von @erikro:
Moin,
Was letztlich nicht geht. Wie willst Du denn nachweisen, dass die eingeschleuste Schadsoftware über dieses Gerät ins Netz gelangt ist. Das Vorhaben darf so nicht durchgeführt werden.
Hm, stimmt. Kann schwierig werden. Stellt sich die Frage, ob mittels umfangreicher forensischer Analyse das gerät ermittelt wird, welches die Schadsoftware eingeschleust hat.Moin,
Zitat von @Penny.Cilin:
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Was letztlich nicht geht. Wie willst Du denn nachweisen, dass die eingeschleuste Schadsoftware über dieses Gerät ins Netz gelangt ist. Das Vorhaben darf so nicht durchgeführt werden.
Liebe Grüße
Erik
Gruss Penny.
Guten Morgen und vielen Dank für die bisherigen Meinungen.
Die Verbindung zur RDS Farm würde zwar per Segmentierung reduziert, von da aus geht es aber schon Richtung ERP, PDM,... quasi in die höchste Risikostufe. Eine Umgebung nur für das Fremdsystem zu schaffen ist ausgeschlossen.
Allgemein gefragt: Ist ein System sicher wenn ich ihm über die Firewall die Internetverbindung verbiete (z.B. wie beim Druckersegment)?
Die Verbindung zur RDS Farm würde zwar per Segmentierung reduziert, von da aus geht es aber schon Richtung ERP, PDM,... quasi in die höchste Risikostufe. Eine Umgebung nur für das Fremdsystem zu schaffen ist ausgeschlossen.
Zitat von @Penny.Cilin:
Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Ein IT-Jurist wäre also gefragt. Interessant hätte ich auch die Bewertung einer Cybersecurity Versicherung gefunden, das aber nur nebenbei.Es sei denn, die Abteilung bzw. deren Mitarbeiter übernehmen haften für JEGLICHE Konsequenzen, welche daraus entstehen können. Und das wird wasserdicht vertraglich geregelt!!!
Zitat von @Banana.Joe:
Ist die fachliche Qualifikation zum sicheren Betrieb des Fremdsystems vorhanden?
Eher nein.Ist die fachliche Qualifikation zum sicheren Betrieb des Fremdsystems vorhanden?
Ich würde Anforderungen zum Betrieb des Fremdsystems festlegen (Zuständigkeiten, Virenschutz, Updates, Backup) und regelmäßig auditieren.
Das ist eine gute Idee, mal schauen welche Konventionalstrafe vereinbart würde.Das Fremdsystem zwingend in ein anderes Netzsegment und beide Segmente über eine Firewall abzusichern.
Strenges Firewallregelwerk und falls möglich z.b. nur ausgehende Verbindungen für die notwendigen Ports in das Fremdnetz zulassen.
Das sowieso, aber es tunnelt in einer leider nicht optimale Segmentierung in Richtung ERP, PDM,... .Strenges Firewallregelwerk und falls möglich z.b. nur ausgehende Verbindungen für die notwendigen Ports in das Fremdnetz zulassen.
Möglicherweise wäre dann z.b. auch ein Terminalserver im Fremdnetz eine Option um hier mehr Sicherheit zu gewährleisten.
Leider nein, da es u.a. vom PDM System gefüttert wird, dieses wiederum mit noch mehr Segmenten verbundne ist.Allgemein gefragt: Ist ein System sicher wenn ich ihm über die Firewall die Internetverbindung verbiete (z.B. wie beim Druckersegment)?
Zitat von @nachgefragt:
Allgemein gefragt: Ist ein System sicher wenn ich ihm über die Firewall die Internetverbindung verbiete (z.B. wie beim Druckersegment)?
Solange du da was mit USB oder dergleichen einstöpseln (und drauf zugreifen) kannst nein.Allgemein gefragt: Ist ein System sicher wenn ich ihm über die Firewall die Internetverbindung verbiete (z.B. wie beim Druckersegment)?
Wenns rein passiv ist, dann eher ja.
Zitat von @kpunkt:
> Solange du da was mit USB oder dergleichen einstöpseln (und drauf zugreifen) kannst nein.
Wenns rein passiv ist, dann eher ja.
Übertrieben gesagt,> Solange du da was mit USB oder dergleichen einstöpseln (und drauf zugreifen) kannst nein.
Wenns rein passiv ist, dann eher ja.
dann kann ich meine Windows XP und Windows 7 Clients wieder aus dem Keller holen, deren Zugriff ins Internet verbieten und bin sicher? TOMs "Stand der Technik" mal außen vor.
Klar. Du darfst dann halt keine Schadsoftware drauf lassen. Ob per Internet oder USB ist doch wumpe.
Ich hab hier auch ein virtualisiertes XP, weil eine Software dafür benötigt wird.
Systeme sind nicht per se unsicher. Aber wenn ein unauthorisierter Zugriff drauf stattfinden kann sieht es anders aus.
Ich hab hier auch ein virtualisiertes XP, weil eine Software dafür benötigt wird.
Systeme sind nicht per se unsicher. Aber wenn ein unauthorisierter Zugriff drauf stattfinden kann sieht es anders aus.
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?
mein aktueller Stand
Über ein Segment (z.B. ohne Internet nur nur bestimmte Ports) ist ein Risiko reduzierbar, aber noch immer vorhanden.
Im Szenario müsste das Fremdsystem eine Verbindung zum RDS Server haben, dieser wiederum ist von quasi überall aus erreichbar. Eine Zero Trust Umgebung ist also nicht vorhanden und jede (ungewollte) Bewegung müsste über eine XDR Lösung erstmal gesperrt, hinterfragt, und erst dann freigegeben werden.
Denke ich an sowas wie Log4j, ich weiß ja nicht was alles auf der Kiste installiert ist, könnte das Thema künftig weiter ausarten.
mein aktueller Stand
Über ein Segment (z.B. ohne Internet nur nur bestimmte Ports) ist ein Risiko reduzierbar, aber noch immer vorhanden.
Im Szenario müsste das Fremdsystem eine Verbindung zum RDS Server haben, dieser wiederum ist von quasi überall aus erreichbar. Eine Zero Trust Umgebung ist also nicht vorhanden und jede (ungewollte) Bewegung müsste über eine XDR Lösung erstmal gesperrt, hinterfragt, und erst dann freigegeben werden.
Denke ich an sowas wie Log4j, ich weiß ja nicht was alles auf der Kiste installiert ist, könnte das Thema künftig weiter ausarten.
Zitat von @nachgefragt:
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?
Gar nicht. Du sagst ja selber, dass das System nicht abgeschottet werden kann. Aber da war ja jetzt auch nicht deine neue Fragestellung.Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?
1
Moin,
Wenn Du keine Kontrolle über das System hast, gar nicht. Und deshalb (neben diverser anderer Gründe) kann das so nicht umgesetzt werden.
Liebe Grüße
Erik
Zitat von @nachgefragt:
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?
Wie mach ich das in der Praxis, bezogen auf das Thema (siehe Überschrift und Beitrag #1)?
Wenn Du keine Kontrolle über das System hast, gar nicht. Und deshalb (neben diverser anderer Gründe) kann das so nicht umgesetzt werden.
Liebe Grüße
Erik
1
In einer der der Antworten von @nachgefragt war die Rede von ERP, PDM Systemen.
Wieso sollen auf diesen Systemen die Administratoren KEINEN Zugriff haben?
Schließlich müssen dieses Systeme auch gewartet werden.
Wer macht das dann?
Schatten IT ist immer schlecht, weil man keinen Überblick / keine Kontrolle über die möglichen Konsequenzen hat.
@nachgefragt:
Hier ein paar Fragen, welche sich mir stellen. Das wäre eine Möglichkeit, die Risiken / Nebenwirkungen den zuständigen Personen / Verantwortlichen mit einem Fragenkatalog antworten zu lassen. Dir fallen bestimmt auch weitere Fragen ein. Oder auch den Forumsteilnehmern.
Gruss Penny.
Wieso sollen auf diesen Systemen die Administratoren KEINEN Zugriff haben?
Schließlich müssen dieses Systeme auch gewartet werden.
Wer macht das dann?
Schatten IT ist immer schlecht, weil man keinen Überblick / keine Kontrolle über die möglichen Konsequenzen hat.
@nachgefragt:
Hier ein paar Fragen, welche sich mir stellen. Das wäre eine Möglichkeit, die Risiken / Nebenwirkungen den zuständigen Personen / Verantwortlichen mit einem Fragenkatalog antworten zu lassen. Dir fallen bestimmt auch weitere Fragen ein. Oder auch den Forumsteilnehmern.
- Wer ist auf diese abstruse Idee gekommen?
- Stelle dem Personenkreis einen dedizierten Fragenkatalog
- Wer ist für die Administration der Systeme verantwortlich?
- Warum soll die interne IT aus der Administration / Zugriff / Verwaltung ausgeschlossen werden?
- Wer übernimmt die Verantwortung bei Ausfall?
- Wer übernimmt die Verantwortung bei Virenbefall / Verschlüsselung?
- Wer übernimmt die Verantwortung, wenn die komplette Unternehmens IT durch diese Schatten IT lahmgelegt wird?
Gruss Penny.
1
ich würde ein eigenes VLAN erstellen, das System dort allein reinhängen.
Dann per Hardware Firewall Rules klar definieren was es darf und nicht darf.
Bedeutet es darf defintiv nicht in unser Netz Daten kommunizieren.
VLAN >> normales LAN >> DENY ALL
Möchte man Daten Transferieren dann nur per PULL aus dem LAN.
Also z.B. Server aus dem LAN darf auf den Share von der Maschine und synct per AUfgaben Planer alle 5 Minuten
ein Share von dem Dedizierten Gerät raus auf einen File Server Share >> und / oder umgekehrt Daten rein.
Das ist dann die Datenschleuse.
Und von mir aus darf man dann auch per RDP auf die Maschine drauf vom LAN >> auf die Giftige Maschine.
Internet bekommt die Maschine auch nicht und wenn dann nur Punktuell... und in dem kleinen Netzwerkgefängnis darf sie dann machen was sie will...
So oder eben nicht, wenns nicht gefällt.
Alternative die Abteilung holt sich nen Cloud Virtuellen Rechner im Internet und kann sich dann per RDP hin verbinden wie sie wollen... aber nicht bei uns im Firmengelände und Netzwerk.
Und ohne IT Support, sprich existiert dann einfach nicht...
Dann per Hardware Firewall Rules klar definieren was es darf und nicht darf.
Bedeutet es darf defintiv nicht in unser Netz Daten kommunizieren.
VLAN >> normales LAN >> DENY ALL
Möchte man Daten Transferieren dann nur per PULL aus dem LAN.
Also z.B. Server aus dem LAN darf auf den Share von der Maschine und synct per AUfgaben Planer alle 5 Minuten
ein Share von dem Dedizierten Gerät raus auf einen File Server Share >> und / oder umgekehrt Daten rein.
Das ist dann die Datenschleuse.
Und von mir aus darf man dann auch per RDP auf die Maschine drauf vom LAN >> auf die Giftige Maschine.
Internet bekommt die Maschine auch nicht und wenn dann nur Punktuell... und in dem kleinen Netzwerkgefängnis darf sie dann machen was sie will...
So oder eben nicht, wenns nicht gefällt.
Alternative die Abteilung holt sich nen Cloud Virtuellen Rechner im Internet und kann sich dann per RDP hin verbinden wie sie wollen... aber nicht bei uns im Firmengelände und Netzwerk.
Und ohne IT Support, sprich existiert dann einfach nicht...
@ThePinky777
Die Idee ist nett, aber geht leider nicht weil:
Die Idee ist nett, aber geht leider nicht weil:
- Eine bidirektionale Verbindung mit Teilen des Intranets ist notwendig, und auch das Intranet kann nicht ohne weiteres tiefer segmentiert werden.
- SMB Port 139 braucht es nicht, den würde ich auch nicht zusätzlich öffnen müssen.
- Die Idee mit der Datenschleuse fällt damit weg, ebenfalls Cloud.
- RDP ist auf der "giftige Maschinen" ebenfalls ein Port den ich zulassen dürfte, und auch gar nicht aktivieren könnte da administrative Rechte fehlten mir einen RDP Benutzer einzurichten.
Servus,
verstehe echt die Frage nicht, das System soll Zugriff auf den TS haben, aber dennoch eigene Clients anbinden? Dann musst schon mal das ganze an den DC anbinden und da hört sich der Spass auf bei einer solchen Konstellation.
Ist das eine Überwachungsanlage die Kameras an Arbeitsplätzen verwaltet ? klingt so ganz danach.
Würde mich da strikt weigern, ein solches System einzubinden.
verstehe echt die Frage nicht, das System soll Zugriff auf den TS haben, aber dennoch eigene Clients anbinden? Dann musst schon mal das ganze an den DC anbinden und da hört sich der Spass auf bei einer solchen Konstellation.
Ist das eine Überwachungsanlage die Kameras an Arbeitsplätzen verwaltet ? klingt so ganz danach.
Würde mich da strikt weigern, ein solches System einzubinden.
Das macht nichts, die bisher Kommentierenden konnten den Kern schon erfassen, ziemlich einstimmig.
3
Moin,
Liebe Grüße
Erik
Zitat von @Penny.Cilin:
* Wer ist auf diese abstruse Idee gekommen?
- Stelle dem Personenkreis einen dedizierten Fragenkatalog
- Wer ist für die Administration der Systeme verantwortlich?
- Warum soll die interne IT aus der Administration / Zugriff / Verwaltung ausgeschlossen werden?
- Wer übernimmt die Verantwortung bei Ausfall?
- Wer übernimmt die Verantwortung bei Virenbefall / Verschlüsselung?
- Wer übernimmt die Verantwortung, wenn die komplette Unternehmens IT durch diese Schatten IT lahmgelegt wird?
- Wer macht die Backups?
- Wer spielt Sie zurück?
- Wer macht die Updates?
- Wer administriert das Netz, in dem die Büchse steht?
- Was soll das eigentlich?
Liebe Grüße
Erik
1
Im Beispielfall musst du erklären warum ein Fremdsystem im Intranet nichts verloren hat, welche Gefahren es mit sich bringt und wie ein Versicherungsvertreter Risiken gegen Kosten abwägen.
Zum Schluss sollst du noch verbindlich aufzeigen wie ein möglicher Angriff aussieht, du aber selbst kein Hacker bist. Aussagen wie z.B. "Das System hat dann noch kein Internet, ist doch dann sicher",... kommen auf dich zu.
Zum Schluss sollst du noch verbindlich aufzeigen wie ein möglicher Angriff aussieht, du aber selbst kein Hacker bist. Aussagen wie z.B. "Das System hat dann noch kein Internet, ist doch dann sicher",... kommen auf dich zu.
Also doch eine Hausaufgabe.
Na dann mach das doch, was die wollen.
Na dann mach das doch, was die wollen.
Naja zumindest deute ich, dass es Mehrheitlich wirklich nur Theorie ist, d.h. in der Praxis nicht wirklich zur Debatte steht. Aber wir wissen ja, Ausnahmen bestätigen jede Regel.Zitat von @nachgefragt:
Im Beispielfall musst du erklären warum ein Fremdsystem im Intranet nichts verloren hat, welche Gefahren es mit sich bringt und wie ein Versicherungsvertreter Risiken gegen Kosten abwägen.
Im Beispielfall musst du erklären warum ein Fremdsystem im Intranet nichts verloren hat, welche Gefahren es mit sich bringt und wie ein Versicherungsvertreter Risiken gegen Kosten abwägen.
Na wenn da eine Versicherung beteiligt ist, dann wird das nichts. Die wird die Prämie derart exorbitant erhöhen, dass jede GF nein sagt.
1Zitat von @erikro:
Na wenn da eine Versicherung beteiligt ist, dann wird das nichts. Die wird die Prämie derart exorbitant erhöhen, dass jede GF nein sagt.
Ja, wie schon erwähnt hätte mich die Bewertung einer Versicherung auch interessiert, nur würden von der Analyse bis hin zum Vertragsabschluss Wochen vergehen.Na wenn da eine Versicherung beteiligt ist, dann wird das nichts. Die wird die Prämie derart exorbitant erhöhen, dass jede GF nein sagt.
Die Bewertung der Versicherung ist da ganz einfach. Ist es so wie du beschrieben hast, dann zeichnet da keine Versicherung. Zumindest, wenn da eine gebräuchliche Leistung dahinter steht. Ist die ebenfalls selbstgestrickt, dann findet sich schon der ein oder andere Underwriter, der zustimmt. Aber mit sehr hohem Beitrag und einem sehr niedrigem Risiko für den explizit vereinbarten Leistungsfall.
Das Risiko ist einfach zu hoch, dass der Leistungsfall eintritt. Da könnte sogar die BaFin was dagegen haben, bzw. müsste der Versicherer eine entsprechende Erklärung abgeben (was er aber nicht können wird).
Das Risiko ist einfach zu hoch, dass der Leistungsfall eintritt. Da könnte sogar die BaFin was dagegen haben, bzw. müsste der Versicherer eine entsprechende Erklärung abgeben (was er aber nicht können wird).
1
Hallo,
Gerät abschotten.
Dann ein https://guacamole.apache.org/ davor dass somit nur 80/443 auf den RDP Server darf.
BZW. Ne Sophos hat ein HTML Gateway drin.
Vielleicht wäre sowas die Lösung.
Kein Copy&Paste etc.
Gruß
Gerät abschotten.
Dann ein https://guacamole.apache.org/ davor dass somit nur 80/443 auf den RDP Server darf.
BZW. Ne Sophos hat ein HTML Gateway drin.
Vielleicht wäre sowas die Lösung.
Kein Copy&Paste etc.
Gruß
Wie bereits erwähnt ist eine bidirektionale Verbindung erforderlich.
https://www.google.com/search?q=port+443+sicherheitsl%C3%BCcke
Dann ein https://guacamole.apache.org davor
Das bringt mir welchen Nutzen?dass somit nur 80/443 auf den RDP Server darf.
Und dann ist Angriffe über den unverschlüsselten Port 80 oder über SLL Port 443 100% unmöglich?https://www.google.com/search?q=port+443+sicherheitsl%C3%BCcke
