ag-waffenrecht AT lists.piratenpartei.de
Betreff: Mailingliste der AG Waffenrecht
Listenarchiv
- From: "volker t." <"volker+t."@news.piratenpartei.de>
- To: ag-waffenrecht AT lists.piratenpartei.de
- Subject: Re: [Ag-waffenrecht] Datensicherheit
- Date: Fri, 08 Nov 2013 18:14:49 +0000
- List-archive: <https://service.piratenpartei.de/pipermail/ag-waffenrecht>
- List-id: Mailingliste der AG Waffenrecht <ag-waffenrecht.lists.piratenpartei.de>
charly.strolchi schrieb:
Dass Bayern nun reagiert und den bis zu 40000 (!!!!) täglichen Angriffen auf die Daten der staatlichen Rechenzentren (Artikel der Frankenpost vom 05.11.13, Aussage Finanzminister Söder, jetzt zuständig für Datensicherheit)einen Riegel vorschieben will
Bei den 40000 täglichen Angriffen wird es sich in der Regel um von harmlosen Skript Kiddies verursachte Einträge in den Logdateien der Firewalls handeln. Die allerwenigsten Angriff von Aussen sind als tatsächlich gefährlich zu bewerten. Sollte es Hackern tatsächlich gelingen nur durch ausprobieren in einen IT-Verbund einzudringen muss das auf völlige Unfähigkeit der RZ-Betreiber zurückgeführt werden.
Ausserdem werden sensible Daten durch ein gestaffeltes Firewall-Konzept mit (Demilitarisierte Zonen) geschützt. Vorzugsweise sollten die einzelnen DMZen durch unterschiedliche Firewalls geschützt werden (Multi Vendor Strategy). Dann ist es natürlich auch von imenser Wichtigkeit die korrekten Regelsätze für die Firewalls zu definieren.
charly.strolchi schrieb:
"..Bisher sind 6 (in Worten: Sechs!!!) Fachleute in den beiden Rechenzentren für die Sicherheit zuständig. Künftig sollen es 20 sein..." Wir reden hier lt. Artikel von 135000 Arbeitsplätzen in 1600 Behördenstandorten und zwei Zentralrechnern.
IT-Sicherheit wird in jedem Unternehmen und auch in Behörden in der Regel durch wenige Mitarbeiter verantwortet, die in der Regel als Stabsstelle direkt unter der Geschäftsführung bzw. Ministerien aufgehängt sind. Aufgabe dieser Fachleute ist es die Regeln und Prozesse zur Sicherstellung der IT-Sicherheit zu definieren und _alle _Mitarbeiter entsprechend zu schulen bzw. zu unterweisen. Dabei können bestimmte Aufgaben auch deligiert oder sogar outgesourct werden. Wichtig ist hierbei nur, dass alle Mitarbeiter die Umgang mit sensiblen Daten und Systemen haben regelmäßig unterwiesen werden (Awareness schaffen) und die Fachleute in den RZen z.B. die Firewall-Admins und Netzwerker möglichst immer über einen aktuellen Wissensstand bezüglich Techniken und Technologien verfügen.
Insofern sind die 20 Fachleute für die Behörden nach meiner Erfahrung tatsächlich ausreichend. Wie gesagt hierbei handelt es sich um Stabsstellen die nur die Richtlinien und Prozesse vorgeben. Umgesetzt und gelebt werden muss IT-Sicherheit von allen Mitarbeitern.
Ausserdem ist es zwingend erforderlich, dass regelmäßig die IT-Sicherheit durch externe Gutachter auditiert wird. Dieser Punkt, weil sehr arbeitsintensiv und teuer, wird aber häufig vernachlässigt,
Ich will hoffen, dass die Behörden hier nicht den falschen Sparzwängen unterworfen werden, denn dann ist es nur noch eine Frage der Zeit bis es zum Daten-GAU kommt.
Das größte Sicherheitsrisiko stellen übrigens immer noch die eigenen Mitarbeiter dar. Entweder weil sie unmotiviert sind (Schlamperei, Fahrlässigkeit) oder weil sie Zorn auf den Arbeitgeber haben (Sabotage, Spionage).
Übrigens werden bei Penetrationstests nicht nur versucht die Technik auszutricksen, auch die möglichen Schwachstellen der Mitarbeiter werden hierbei ausgetestet.
charly.strolchi schrieb:
Bei all dem frage ich mich a) ob wir wirklich so naiv sind anzunehmen dass 6 Fachleute - oder dann 20 -für Bayern genug sind
Wie gesagt hier handelt es sich mit Sicherheit um Stabsstellen.
charly.strolchi schrieb:
mit unserem High Tech kann es ja nicht so weit her sein wenn wir nicht mal ein abhörsicheres Handy bauen können.
Abhörsichere Handys gibt es schon. Die sind aber exorbitant teuer. TopSec GSM z.B. verschlüsselt die Gesprächsdaten der Benutzer vor der eigentlichen Übertragung. Damit das funktioniert muss auch die Gegenstelle TopSec GSM verwenden. Sollte also Jemand mit dem Krypto-Handy auch mit anderen nicht abhörsicheren Handys kommunizieren wollen muss die Verschlüsselung abgeschaltet werden. Und hier ist gleich die entscheidende Sicherheitslücke; der Benutzer vergisst beim nächsten vertraulichen Gespräch die Kryptofunktion zu aktivieren.
Ausserdem lassen sich auch Krypto-Handys nicht maskieren. Damit besteht also immer noch die Möglichkeit Bewegungsprofile zu erstellen und Metadaten (Rufnummern, Anrufzeiten und Dauer der Anrufe) ausspähen.
charly.strolchi schrieb:
Für das Nationale Waffenregister mache ich mir da schon meine Sorgen.
Und diese Sorge teile ich uneingeschränkt mit dir. Bei den vielen Mitarbeitern die Zugriff auf das NWR haben werden ist menschliches Fehlverhalten - Unachtsamkeit oder krimineller Vorsatz - unvermeidlich. Vielleicht werden bald neben CDs mit Schweizer Bankdaten auch CDs mit Daten aus dem NWR gehandelt?
- [Ag-waffenrecht] Datensicherheit, charly.strolchi, 06.11.2013
- Re: [Ag-waffenrecht] Datensicherheit, volker t., 08.11.2013
Archiv bereitgestellt durch MHonArc 2.6.19.