IT Sicherheit in Unternehmen

[Jochen]

Ausgelöst durch "Vorfälle" wird nun jeder Zugriff auf Seiten im www verboten.
Zugriff auf vetrauenswürdige Seiten im www wird erlaubt.
Falls man auf eine Seite klickt die nicht freigeschaltet ist, kann man beantragen, dass sie freigeschaltet wird.
Die Freischaltung kommt dann einige Tage später - oder auch nicht.

Nun gut soweit die Theorie.

Nun ist es ja so, dass das www ja eine Fundgrube auch für legale Informationen ist.
Man hat ein technisches Problem.
Man benötigt eine schnelle Lösung.
Man sucht was mittels Suchmaschinen, z.B. google und es werden Treffer angezeigt.
Die Treffer lassen sich aber nicht anzeigen da Seite nicht freigegeben.
Man weiss ja auch nicht was sich hinter der Seite  verbirgt, ich gehe mal davon aus, dass es keine Seite mit Schadsoftware ist.

Wie wird denn sowas technisch gehändelt ?
Nach welchen Kriterien ?

Im übrigen, hier komme ich drauf.

Jochen

[MacFlieger]

Wie wird denn sowas technisch gehändelt ?
Nach welchen Kriterien ?

Technisch ist das doch simpel. Einfach erst einmal alle Zugriffe in der Firewall oder im Proxy verbieten und dann eine Liste von erlaubten Adressen führen und pflegen, für die das Verbot nicht gilt.
Die Kriterien kann das Unternehmen beliebig festlegen. Da es ja eine White-List ist, ist es nicht besonders schwer und benötigt nicht viel Logik. Der Admin schaut sich die Seite an, deren Freischaltung man beantragt hat, prüft die vorgegebenen Kriterien und trägt die Seite evtl. in erlaubt ein. Fertig.

Oder was meintest Du?

[Jochen]

Wie wird denn sowas technisch gehändelt ?
Nach welchen Kriterien ?

Technisch ist das doch simpel. Einfach erst einmal alle Zugriffe in der Firewall oder im Proxy verbieten und dann eine Liste von erlaubten Adressen führen und pflegen, für die das Verbot nicht gilt.
Die Kriterien kann das Unternehmen beliebig festlegen. Da es ja eine White-List ist, ist es nicht besonders schwer und benötigt nicht viel Logik. Der Admin schaut sich die Seite an, deren Freischaltung man beantragt hat, prüft die vorgegebenen Kriterien und trägt die Seite evtl. in erlaubt ein. Fertig.

Oder was meintest Du?

Das Unternehmen hat ca. 20.000 MA in diversen Ländern ;-)

Jochen

[fränk]

Das Unternehmen hat ca. 20.000 MA in diversen Ländern ;-)

Du wirst dich wundern, wie wenig Internetseiten diese 20.000 Mitarbeiter benötigen um ihre Arbeit zu erledigen.

[Jochen]

Das Unternehmen hat ca. 20.000 MA in diversen Ländern ;-)

Du wirst dich wundern, wie wenig Internetseiten diese 20.000 Mitarbeiter benötigen um ihre Arbeit zu erledigen.

Das ist schon richtig.
Es gibt aber durchaus Abteilungen in denen Forschung und Entwicklung betrieben wird.
Diese nutzen google u.ä. um nach Infos zu suchen.
Diese benötigen Daten von Unterlieferanten.
Und da ist es nicht hilfreich wenn eine Freischaltung erst nach einer Woche kommt.
Gut, man kann natürlich nun sagen > dauert nun halt alles länger ;-)

Da klemmt es doch schon derzeit.

Jochen

[MacFlieger]

Ah, es geht Dir weniger um die technische Umsetzung, als darum, dass so etwas grundsätzlich langsam und hinderlich ist.

Ja, da hast Du Recht. Die müssen entweder sehr viel Geld und Arbeitskraft in das Pflegen der Filterliste investieren oder es wird alles extrem lange dauern und/oder nach einiger Zeit ganz schlecht funktionieren.
Das ist der große Nachteil von Whitelists.

Aber ob sich die Leute, die derartiges entschieden haben, um solche Details kümmern, ist eher fraglich. Die kriegen zu hören "So ist das sicher und einfach" und schon ist es entschieden. Wenn jemand aufgrund dessen langsamer arbeiten kann oder Sachen später fertig werden, dann interessiert es eben nicht.

[fränk]

Es gibt aber durchaus Abteilungen in denen Forschung und Entwicklung betrieben wird.
Diese nutzen google u.ä. um nach Infos zu suchen.
Diese benötigen Daten von Unterlieferanten.

Keine Angst, diese Kollegen haben uneingeschränkten Zugang ins WWW.

Die dürfen es euch „während-der-Arbeitszeit-private-ebay-Deals-Abwicklern“ nur nicht sagen.

[Jochen]

"Keine Angst, diese Kollegen haben uneingeschränkten Zugang ins WWW."

Das wüsste ich aber, falls ich da tätig wäre.

Jochen

[Jochen]

Die Kriterien kann das Unternehmen beliebig festlegen.

Man kann sich beliebige Kriterien überlegen al la alles was dem Admin nicht gefällt wird gesprerrt.
Ich gehe aber mal davon aus, dass es technisch nachvollziehbare Kriterien sind.
Welche könnten es dann sein ?

Jochen

[MacFlieger]

Ich gehe aber mal davon aus, dass es technisch nachvollziehbare Kriterien sind.

Da gehe ich nicht von aus. Ich könnte mir vorstellen, dass die irgendwelche Regeln in der Art festgelegt haben, dass die Seite für die berufliche Tätigkeit wichtig sein soll. Also schaut der Admin drauf, ob da private oder dienstliche Sachen drauf sind und fertig. Zudem werden wohl wenige einen Antrag stellen, damit private Sachen (z.B. eigene Facebook-Seite) erreichbar ist.

Ist halt eben die Frage, was da vorgefallen war und was in Zukunft verhindert werden soll. Das ist weniger eine Frage von technisch nachvollziehbaren Regeln als mehr eine von Frage von "Was soll der Angestellte dürfen?".

[Jochen]

Ist halt eben die Frage, was da vorgefallen war und was in Zukunft verhindert werden soll. Das ist weniger eine Frage von technisch nachvollziehbaren Regeln als mehr eine von Frage von "Was soll der Angestellte dürfen?".

Ich bin ja kein Fachmann, aber das IT Netz und der Zugriff aufs www wird ja nicht von einem Admin betreut.
Es gibt da ja eine ganze Abteilung in D und F und USA.
Da arbeiten gewiss auch Hilfkräfte (Studenten) .
Die werden ja nicht nach Lust und Laune entscheiden, sondern gewisse Kriterien haben.
Bei Beantragung öffnet er die Seite und schaut in seiner Kriterienliste nach.
Es gibt ja englische, französische, deutsche Seiten.
Da gibt es gewiss einen Kriterienfilter.
Bevor das strengere jetzt eingeführt wurde, waren ja bestimmte Seiten auch schon gesperrt
ebay, musikdownload, porno …

apfelinsel ist ja harmlos und funktioniert derzeit und ist privat >>>> oder auch nicht.
Ich kann ja hier auch mit "Fachleuten" über Dinge diskutieren die mir dienstlich auch weiter helfen.

Jochen

[warlord]

Welche Kriterien Dein Arbeitgeber fürs Freischalten von Sites festgelegt hat, wird Dir hier aber niemand beantworten können. Das wird am ehesten im Betrieb selbst herauszufinden sein. Obwohl der Arbeitgeber womöglich ein Interesse daran hat, dass die Kriterien nicht allgemein bekannt werden.

[Jochen]

Welche Kriterien Dein Arbeitgeber fürs Freischalten von Sites festgelegt hat, wird Dir hier aber niemand beantworten können. Das wird am ehesten im Betrieb selbst herauszufinden sein. Obwohl der Arbeitgeber womöglich ein Interesse daran hat, dass die Kriterien nicht allgemein bekannt werden.

Das ist mir klar.
Ich dachte es gäbe da so allgemeingültige Dinge:

http://www.kennst.net/blue.security.shtml
http://www.gutefrage.net/frage/woran-erkennt-man-eine-sichere-website
http://www.commoncraft.com/video/common-craft-erklärt-ihnen-sichere-webseiten
http://blog.die-web-architektin.de/index.php?/archives/94-10-Punkte-fuer-eine-sichere-Website.html

Jochen

[warlord]

Ich dachte es gäbe da so allgemeingültige Dinge:

Nein, gibt es nicht. Und ich denke, jeder der etwas anderes behauptet, lügt oder hat keine Ahnung.

Natürlich gibt es auch fürs Internet ein Gegenstück zur "Strassenweisheit", jenem auf Erfahrung basierenden Bauchgefühl, welche Situationen nun eher zu meiden und welche eher risikoarm sind. Ich behaupte aber, das wird niemand in einen brauchbaren "Katalog" schwarz auf weiss umwandeln können. Denn ein solcher kann nur für vergangene, "bekannte" Situationen erstellt werden. Für die Risikoeinschätzung von "zukünftigen" Situationen gibt es gegenwärtig (und noch lange) nichts anderes, als ein menschliches Gehirn, dem Wissen, Erfahrung und die Fähigkeit zu vernetztem Denken beiseite stehen.

Zudem dürfte Sicherheit meist nur vorgeschobenes Argument eines Arbeitgebers für solche Massnahmen sein. Effektiv geht es bei solchen Massnahmen nicht primär um Sicherheit (dazu eignet sich ein aktuell gehaltener Malwareschutz wohl besser), sondern darum, dass die Mitarbeiter während der Arbeit arbeiten sollen und nicht private Dinge auf E-Bay verhökern, Pornos schauen etc. etc.  Was eine Firma ihren Mitarbeitern erlauben will (bzw. muss), kann also wohl noch weniger allgemein gültig definiert werden, sondern unterscheidet sich von Firma zu Firma.

[MacFlieger]

Sehe ich ganz genauso wie warlord.
Das da nicht nur ein einsamer Admin sitzt und das die gewisse Regeln haben, ist klar. Was im konkreten Fall für Regeln da sind und ob und inwieweit die was mit technischen Gründen zu tun haben, lässt sich nicht erspekulieren.