http://www.goebel-consult.de Die monatliche Kolumne von Hartmut Goebel daily 1 2010-08-19T15:26:54Z http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2012-12-in-die-cloud-in-die-cloud-ab-wo-soll-die-sein Seit Jahren berichten die Marktforscher, dass der Mittelstand in die Cloud zieht. Mail- und Webserver laufen ja ohnehin schon lange bei irgendeinem Provider. Da liegt es nahe, auch Server, Backup, Archiv oder gar das ERP in die Rechenzentren externer Serviceprovider auszulagern. Doch Vorsicht: Wenn geschäftsrelevante Prozesse zum externen ISP wandern, muss der einige grundlegende sicherheitstechnische Voraussetzungen erfüllen. Denn verantwortlich als Eigentümer der Daten sind nach wie vor Sie. No publisher hartmut 2012-01-16T11:00:28Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2011-11-in-troja-nichts-neues Große Aufregung um den Bayern- und Bundes-Trojaner allerorten. Doch Security-Fachleute hat all das nicht wirklich überrascht. Dennoch können Sie als Info-Sec-Beauftragter aus dem Vorfall Ihre Lehren ziehen und sich damit peinliche Befragungen ersparen, wie sie unser Innenminister durchstehen musste. No publisher hartmut 2011-11-08T09:25:17Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2011-10-aus-der-schublade-in-die-koepfe Grade Mitarbeiter, die ihren Job motiviert und engagiert erledigen wollen, bergen mehr sicherheitsrelevanten Sprengstoff für ihre Arbeitgeberfirma als Viren, lückenhafter Programmcode oder Trojaner. Nur: Sie sind sich dessen nicht bewusst! Die Herausforderung für uns Sicherheitsspezialisten ist deshalb: Das Regelwerk der Security-Policies muss ins Bewusstsein der Kollegen und ins gelebte Daily Business. Erstmals helfen pfiffige Ansätze von Herstellerseite dabei. No publisher hartmut 2011-10-17T10:51:24Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2011-09-kommerz-uber-recht-fdp-die-gefaellt-mir-partei Mitte August hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) alle Website-Betreiber in Schleswig-Holstein aufgefordert, Social-Plugins wie den "Gefällt-mir"-Button auf ihren Webseiten bis Ende September zu entfernen. Der Grund: Beim Aufruf von Web-Seiten, die den Facebook-Button nutzen, werden sowohl angemeldete als auch nicht angemeldet Nutzer erfasst. Das ist ein Verstoß gegen das Datenschutzgesetz und soll künftig geahndet werden. Das gefällt dem „FDP-Netzexperten“ Manuel Höferlin nicht, er will das „Rechtssystem anpassen“. No publisher hartmut 2011-09-01T18:30:08Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2011-08-horrorszenario-bring-your-own-device Um junge, kreative Menschen als Mitarbeiter zu gewinnen, muss ein Arbeitgeber nun erlauben, dass sie ihre eigenen Smartphones, Tablets, Notebooks verwenden, so fordert es der neue Trend "Bring you own device". Das spart den Firmen Geld und motiviert auch nach Feierabend zu Überstunden. Sehr schön. Aber halt mal, soll Kollege Müller wirklich mit seinem privaten iPhone zu Hause auf die aktuellen Verkaufszahlen zugreifen dürfen? No publisher hartmut 2011-08-03T09:56:09Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2011-02-fleisige-datensammler-fur-lukratives-geschaeftsmodell-gesucht Ein kleiner Hobby-Forumsbetreiber bekam Ärger mit dem Datenschutzbeauftragten von NRW. Der Grund: Er verwendete IVW-Besucherzählung, das Amazon-Partnerprogramm und Google-AdSense, alles Tools, die Besucherdaten sammeln und diese Daten an die "Besitzer" weitergegeben. Eine Bagatelle? Ich denke nicht, denn jeder noch so Kleine arbeitet damit den Großen in die Tasche. No publisher hartmut 2011-02-25T14:34:41Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-01-hinterturen-allen-ortes Hintertüren in weit verbreiteter Krypto-Software ist der GAU. Im Herbst sind zwei Fälle bekannt geworden, die uns zu Denken geben sollten. No publisher hartmut 2011-08-03T09:49:34Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-11-it-sicherheit-im-unternehmen-eine-interne-oder-externe-angelegenheit Die Verantwortung für IT Security liegt bei der Geschäftsführung. So steht es eindeutig im Grundschutzhandbuch und so definiert es die Sicherheitsnorm ISO 27001. Doch das Feld IT-Sicherheit ist anspruchsvoll und vielschichtig und verlangt enormes Fachwissen. Dafür braucht der Chef kompetente Fachleute – die meist nicht im Unternehmen zu finden sind. Ist Outsourcing aber eine gangbare Lösung für das sensible Thema Sicherheit? No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-09-mut-zur-beschraenkung Wenn von Beschränkung von Benutzerrechten und Logging die Rede ist, geschieht das meinst unter dem Aspekt, absichtliche Veränderungen durch Nutzer zu verhindern. Ein reelles Anliegen. Doch fast noch nützlicher sind diese Maßnahmen, um User oder auch Experten vor unabsichtlichen Eingriffen zu schützen. No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-08-scheingefechte-um-rim Ein heftiger Streit tobt: Einige Staaten wollen unbedingt Zugriff auf die verschlüsselten Blackberry-Messages und damit verhindern, dass sich staatsfeindliche Bösewichte unbeobachtet austauschen. Aber was soll eigentlich die Aufregung? Jeder kann doch seine Gespräche und Mails verschlüsselt übertragen – an allen Überwachungsorganen vorbei und ganz ohne Blackberry. No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-07-passwoerter-lieben-lernen Wohin mit all den Passwörtern, die Benutzer sich tagtäglich merken sollen? Auf Zettel? In eine Word-Datei? Oder doch immer wieder das gleiche Password variieren? Mit kleinen Tools zum Speichern von Passwörtern machen Sie den Benutzern das Leben leicht – und mancher beginnt gar Passwörter zu lieben, No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-06-adobe-und-der-maiszunsler Adobe hat es geschafft, dass viele Menschen den Acrobat Reader als Synonym für PDF-Reader verstehen – und entsprechend ist seine sehr flächendeckende Einsatz. Eine riskante Entwicklung, denn einmal ist Acrobat berühmt-berüchtigt für seine Schwachstellen, zum anderen ziehen solche „Software-Monokulturen“ Hacker geradezu magisch an. Wer also Acrobat empfiehlt, züchtet sich quasi seine Angreifer selbst. No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-05-finger-weg-von-google-analytics Trotz aller Warnungen, die derzeit kursieren: Alle lieben Google Analytics – und tragen fleißig Daten im Dienst von Google zusammen. Dass sie dabei die Profile ihrer Kunden an Google überantworten, ist wenigen bewusst oder es ist ihnen egal. Dass der Einsatz auch gesetzlich verboten ist, eben so wenig. Der Nutzen, den das Tool bringt, steht jedenfalls nicht dafür. No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-04-studie-uber-cloud-ignoriert-security Und noch ´ne neue Studie über Cloud Computing. Diesmal untersucht die Experton Group, welche Anbieter in Deutschland Cloud-Leistungen anbieten und wie gut sie das machen. Ganz ohne wenn und aber nimmt das Marktforschungsinstitut die Position ein, dass Cloud Computing den ultimativen Evolutionsschritt zur Industrialisierung der IIT darstellt – wie anno dunnemals die Dampfmaschine. Eine gewagte These. No publisher hartmut 2011-02-21T11:38:30Z Seite http://www.goebel-consult.de/hartmut-goebel/cissp-gefluester/2010-03-java-frameworks-gefaehrden-die-sicherheit „Session Fixation“ etikettierte ich bisher schlichtweg als Problem von PHP-Anwendungen. Ganz einfach deshalb, weil sich mein langjähriges Vorurteil immer wieder bestätigt: PHP-Anwendungen haben viele Lücken. Einer der Gründe dafür ist, dass PHP-Programmierer das Rad immer wieder neu erfinden – statt einfach Frameworks zu verwenden. Nun wurde ich eines Besseren belehrt: Viele Java-Anwendungen sind unsicher, eben weil sie ein Framework verwenden. No publisher hartmut 2011-02-21T11:38:30Z Seite