News Viele Firmen sind auf Hacker-Angriffe schlecht vorbereitet

[JamesFunk]

Und die Sekretärin hat genau wie viel Ahnung von IT Sicherheit? Da ists eher wahrscheinlich, dass sie nichts versteht, es aber ganz toll findet und bei einer Freundin von dem neuen Sicherheitsplan erzählt, während der Sohnemann der Freundin ganz begeistert zuhört.

Die Sekretärin muss damit aber täglich arbeiten und wir halten es immer so, dass ALLE Mitarbeiter, die von Entscheidungen betroffen sind, auch mitentscheiden dürfen.

Wenn wir die gute Frau nicht dabei haben, dann wissen wir ja auch gar nicht, was für sie wichtig ist und wie ihre Arbeit von Zuhause aussieht.


Schön, dass du es witzig findest, dass ich keine Gefahr sehe, wenn jemand die Website hakt.
Auf dem Server der Website ist nicts, was man nicht auch direkt über die Website sehen könnte.
Da liegen nur die html Datein der Website und die Fotos, die auf der Website sind.
Die kann man sich auch so mit dem Browser speichern und muss dafür nichts hacken.

Es gibt einen Server, über den die Emails laufen. Da wäre es schon blöd, wenn der gehackt würde, weil die Emails ja niemanden ausser uns was angehen, aber der Server der Website kann keinen Schaden anrichten.

Es wäre blöd, wenn jemand die Inhalte ändern würde. Aber das fällt hoffentlich direkt auf und ich würde die Originalseite wieder einspielen.

Zu den Daten: an die kommt niemand. Die PCs haben fast 30 Zeichen Passwortlänge (ich meine kein BIOS oder Windows Passwort, sondern Truecrypt). Wenn jemand so einen PC hat, dann habe ich keine Sorge, dass der das Passwort knackt.

Und selbst wenn er es schaffen sollte, dann läuft Windows. Für den Container mit den Daten fehlt das nächste Passwort und den Webzugriff für die Netzwerksachen habe ich dann sofort geändert.

Bei uns ist die strikte Anweisung, dass ich direkt angerufen werden, wenn ein Einbruch stattfindet oder ein PC abhanden kommt. Egal wann.

Zugriffe von außen per VPN. Kein FTP, nur SSH. Und so weiter.
Dafür gibt es Firmen, die euch da beraten. Gib deinem Chef den Rat, ein wenig Geld in die Hand zu nehmen damit die euch auf den aktuellsten Stand bringen.

Kannst du mir noch etwas zu VPN über SSH sagen?
Ich schlage es dann Mittwoch meinem Chef vor. Es ist immer blöd, wenn ich nur Bruchstücke weiß und es ihm unterbreite.
Wenn es ihn überzeugt, dann werden wir uns um sowas kümmern.

Mir wäre es am liebsten, wenn die Daten auf der Netzwerkplatten verschlüsselt wären und ich (und alle andeen) die von zuhause (mit Passwort) öffnen könnten.

 

[Hellbend]

Nur mal zur Klarstellung: es gibt auch heute noch meldepflichtige Krankheiten - was daran fragwürdig ist erschließt sich mir nicht. Es geht dabei nicht um den öffentlichen Pranger aus dem Mittelalter, sondern der Arzt muss diese Erkrankung dem Gesundheitsamt / den Behörden melden. Wo ist dabei das Problem? Und wo wäre das Problem wenn man das in der IT auch so macht?

Genau die noch meldepflichtigen Krankheiten schau dir mal genauer an und die Meldepflicht erschließt sich einem ganz schnell.
Anders als bei den Krankheiten, deren Behandlung mittlererweile Standard geworden ist. Standard geworden, weil es mittlereweile genug wirksame Medikamente und Behandlungen gibt und genau damit kehren wir zum Thema zurück...

...für den Bereich Netz- und Informationssicherheit gibt es, umgangssprachlich, einen Arsch voll Medikamente und Behandlungsmethoden.
Das diese nicht richtig genutzt werden liegt vielleicht (Betonung liegt auf VIELLEICHT) daran, das dann kein ernstzunehmendes Argument für verkaufte und verschluderte Daten mehr existiert, wenn man Kompromittierung nicht mehr anführen könnte.

Der Sinn und Unsinn eines Prangers über Meldepflicht erschließt sich mir nicht.

Es gäbe andere Methoden und Möglichkeiten dort nachhaltiger vorzugehen.

 

[Madman1209]

Hi,

ich sehe trotzdem nicht, wieso eine Meldepflicht hier schaden würde. Welche anderen Methoden und Möglichkeiten um dort nachhaltiger vorzugehen siehst du denn? Würde mich ernsthaft interessieren

@OT

Zu den meldepflichtigen Krankheiten gehören (je nach Arbeit oder Hintergrund) auch Grippe, Masern, Scharlach, Mumps, Windpocken oder Salmonellen. Wüsste nicht, was daran jetzt so schlecht oder fragwürdig wäre, die zu melden Mir geht es nicht um HIV, Ebola oder Dengue-Fieber

VG,
Mad

 

[Boum [GER]]

@JamesFunk: Was du ansprichst fällt aber teilweise unter den vielschichtigen Punkt des "Gesundheitmanagementes".

Sprich das zufrieden, gesund und produktiv haltens der Mitarbeiter. Es gibt m.M.n. wenig sinnloseres als entnervt und unkonzentriert seine Arbeit runter zu tippen. Schusselfehler und langsameres Arbeiten sind da vorprogramiert.

Über den Sinn und Unsinn der einzelnen Ausstattung lässt sich sicher streiten. Ein Ruheraum um mal 15min bei einem Tee runterzukommen ist aber eine feine Sache (mann soll ja nicht stundenlang schlafen). Ebenso haben wir einen Massageraum, Lauf- und Fahrradgruppen (Freizeit). Die Sekretärin einer mir bekannten Firma kauft wöchentlich einen großen Korb mit Obst/ Gemüse wo sich die Leute bedienen können. Regelmäßig haben wir eine Augenärztin da. Wer wünscht bekommt ergonomischere Arbeitsplatzausrüstung.

Will sagen, wir werden alle nicht jünger und ein gesunder, produktiver Mitarbeiter bringt unterm Stich mehr als ein kranker.

Soweit meine Meinung zu

Ich finde die Sachen allesamt total unproduktiv.

 

[JamesFunk]

Vielleicht bin ich da auch etwas krasser drauf, als andere, habe ja noch nicht so lange gearbeitet, wie andere. Wenn man Ende 50 ist, dann sind das oft deutlich über 30 Jahre und da geht es nicht mehr alles so schnell bzw. Sachen, die für mich selbstverständlich sind, gehen da langsamer (ich meine insbesondere PC Bedienung).

Für mich ist es kein Problem, 9 Stunden am Tag im Büro zu sein. Ich trinke da meistens Saft, bekomme dabei keinen Hunger bzw. esse zwischendurch immer 1 Apfel (oft werdne es zwei) und kann den ganzen Tag am Schreibtisch sitzen.
Zur Mittagspause werde ich eigentlich immer "weggenötigt".

Mir ist das so ganz lieb, weil ich dann flott fertig bin und nicht eine Stunde länger bleiben muss, weil ich zig mal eine Rauchen war (mache ich nicht) und Wii gespielt habe/mich ne Runde aufs Ohr gelegt habe.


Von mir aus kann das jeder so machen, wie er möchte, mir gehts nur echt auf die Nerven, wenn da eien Sekretärin ist, die das alles mitmacht und sich (finde ich) die Arbeitszeit so gemütlich, wie nötig macht und andere darunter leiden/mehr machen.

Ich gucke mir das zweimal an, dann sage ich da meine Meinung zu.
Es kann (finde ich) nicht sein, dass "meine" Sekretärin immer für jeden Mist in andere Abteilungen muss und die Weihnachtskarten für den ganzne Bertrieb eintütet, weil es so aussieht, als ob sie am wenigsten zu tun hat.
Die spielt auch keine Wii und legt sich nichts aufs Sofa, obwohl ich ihr gesagt habe, dass sie das von mir aus machen kann.
Ich sag ihr auch immer um kurz vor drei, dass sie gleich Feierabend hat, weil sie sonst länger bleibt.
Das Resultat aus guter Organisation, wenigen Pausen (und keinen aus meiner Sicht unproduktiven) sowie in der Regel pünktlichem Feierabend macht leider den Eindruck, als wenn da wenig zu tun wäre.

Ich halte nichts davon, immer locker zu machen und jede Gelegenheit mitzunehmen, um Pause zu machen, damit man dann eine halbe Stunde nach regulärem Feierabend noch da sitzt und einen Haufgen unerledigter Arbeit hat.

Vielleicht kann ich in 20 Jahren aber auch nicht mehr so, wie heute.
Vielleicht stresst mich dann auch die Autofahrt ins Büro, wenn Stau ist. Bis jetzt genieße ich jedes Anfahren mit Vollgas und bin ziemlich entspannt.

Aber das ist ziemlich OT.

Es ging ja eigentlich darum, dass Unternehmen angeblich keien Ausgaben machen, die nicht (in)direkt Umsatz generieren.
Und das stimmt so nicht.

Dass die Datensicherheit ziemlich vernachlässigt wird glaube ich schon.
Aber man muss auch mal sehen, dass das Hacken eine Straftat ist. Natürlich sollte man es den Hackern nicht so leicht, wie möglich machen, aber alles auf die Geschädigten abschieben finde ich auch nicht okay.

 

[PuscHELL76]

...das kann ich nur unterschreiben...bei uns in der firma koennen die admins nichtmal die ou´s richtig einstellen...
naja ich hab auf der arbeit internet obwohl ich offiziel keines hab weil es "kostenpflichtig" ist(externer EDV dienstleister).
wenn die nichtmal die gruppenrichtlinien richtig setzen moechte ich gar nicht nach den sicherheitseinstellungen fragen :S

 

[pmkrefeld]

"Der Anfang jeder Katastrophe ist eine beschissene Vermutung". (Zitat aus Alarmstufe Rot 2)

Rep +1 von mir fürs Zitat

Ganz ehrlich finde ich es aber fast unmöglich sich vor Hacker-Attaken zu schützen, wenn einer rein will kommt er auch rein, ich meine hier nicht Kiddies die mit NetBus rumspielen, sondern Hacker.

Wenn Firmen wie Sony zum Hackopfer werden, wie soll man dann von einer SW-Firma mit 20 Mitarbeitern dann erwarten es nicht zu tun. Geschweige denn Sachen wie Stuxnet, die im Netz jahrelang rumgeistern bevor einer rafft was los ist.

Es ist leicht von jemandem zu verlangen mehr für die Sicherheit zu tun, die Umsetzung scheitert aber meistens schon an der Wirtschaftlichen Komponente.

 

[philster91]

Für die Anbieter gängiger Internetdienste sei eine Meldepflicht allerdings nicht gerechtfertigt: Neben dem bürokratischen Aufwand würden viele Unternehmen einen Imageschaden befürchten, wenn IT-Sicherheitsvorfälle öffentlich bekannt werden.

genau darum geht es doch! wer einen image-schaden fürchtet, hat endlich mal (auch aus wirtschaftlicher, finanzieller sicht) einen grund, sich um dinge wie datensicherheit ernsthaft einen kopf zu machen!!!!11

 

[Krik]

Wenn Firmen wie Sony zum Hackopfer werden, wie soll man dann von einer SW-Firma mit 20 Mitarbeitern dann erwarten es nicht zu tun.

Nur weil die anderen aus dem Fenster springen, können wir auch nicht anders: Wir müssen hinterher.
So klingt deine Aussage in meinen Ohren.

Sony wird wegen seiner Größe und Bekanntheit wesentlich härter, ausdauernder und professioneller angegriffen als eine durchschnittliche Mittelstandsfirma es wahrscheinlich je wird. Dort gibt es auch was zu holen, bei einer kleinen Firma eher nicht.
Es geht hier eher darum, dass sich eine kleine Firma mit nur einigen wenigen Handgriffen, die außer ein wenig Arbeit des Administratoren quasi nix kosten, aber die Sicherheit enorm verbessern.

Ein erster Schritt wäre schon getan, wenn der Admin zufällige Passwörter vergibt. Die meisten Formen setzen bspw. auf ablaufende Passwörter (das ist i. O.), die vom User (das ist nicht i. O.) alle paar Monate geändert werden. Da kommen dann so Dinge wie "Liebe1", "Liebe2" oder auch "Januar2013", "Februar2013", etc. raus. Solche Art Passwörter sind nicht sicher, da genau diese als allererste bei einem einfachen Brute-Force-Angriff durchprobiert werden.
Aber eigentlich braucht man oft nicht mal ein Passwort, da einige Dienste auf einem Server von, sorry, einem Deppen konfiguriert wurden. Da sind die Systeme darüber so sperrangelweit offen, da fast man sich an den Kopf.

Schon mit ein paar einfachen Dingen kann man die Sicherheit enorm verbessern, in den meisten Fällen kostet das nicht mal Geld, da es nur Einstellungssache ist.

 

[HighTech-Freak]

Neben dem bürokratischen Aufwand würden viele Unternehmen einen Imageschaden befürchten, wenn IT-Sicherheitsvorfälle öffentlich bekannt werden.

Zu Recht! Kann man nur befürworten...

Dass die Chefetagen kaum/keinen Plan von IT haben ist leider ein weit verbreitetes Problem.

@MrTengu: An FTP is nix falsch, nur sollte es IMPLICIT SSL sein, also vollverschlüsselt über Port 990. Sollten tatsächlich vertrauliche Daten übertragen werden sollte es sowieso über ein VPN geschehen. Is ja nicht sonderlich schwer einen VPN-Server bereitzustellen.
Allerdings -und da liegt das Kernproblem- nützt einem die besten Sicherheitsvorkehrungen nichts, wenn an anderer Stelle schwache Passwörter benutzt werden oder dergleichen...

MfG, Thomas

 

[Luxuspur]

Es ging ja eigentlich darum, dass Unternehmen angeblich keien Ausgaben machen, die nicht (in)direkt Umsatz generieren.
Und das stimmt so nicht.

Doch das stimmt so ... die Ausgaben die du nicht verstehst bringen ebenso mehr Umsatz: den ein entspannter zufriedener Mitarbeiter arbeitet besser schneller effektiver ... was letztendlich auch mehr Umsatz bringt! ... Aber das zu verstehen scheinst du echt noch nicht lange in der Arbeitswelt zu leben!

Man kann natürlich auch das letzte aus den Mitarbeitern rauspressen und ersetzen wenn die Leistung nachlässt ... bringt auch entsprechenden Umsatz, geht aber nicht in jeder Branche, da das "anlernen" dann wieder zu sehr bremst ... wo das "anlernen >5min dauert aber durchaus machbar

 

[SvenK70]

genau darum geht es doch! wer einen image-schaden fürchtet, hat endlich mal (auch aus wirtschaftlicher, finanzieller sicht) einen grund, sich um dinge wie datensicherheit ernsthaft einen kopf zu machen!!!!11

Das sehe ich auch so. In diesem Artikel über Hackerangriffe sind auch einige Beispielfirmen aufgelistet, z.B. die Telekom und ihr Vorgehen gegen solche Angriffe. Vielleicht kann die Telekom hier ja mal als eine Vorbildfunktion für andere Firmen stehen (Imageverlust schaffen die ja leider schon durch andere Sachen).