9
Sicherheitsprüfung, wie würdet Ihr das angehen?
Erst einmal ein Hallo an alle aus Frankreich.
Ich betreue unter anderen ein Firmennetzwerk mit 4 Servern und 48 Clients, dieses Netzwerk läuft seit sage und schreibe fast 17 Jahren ohne nennenswerte Ausfälle.
Nun habe ich nächste Woche eine Sicherheitsprüfung, aber nicht durch einen unabhängigen IT-Sachverständigen, sondern durch einen Konkurrenten von neben an.
Wie objektiv soll das den sein? Und da ich im Moment keine schriftliche Genehmigung der Geschäftsleitung habe, das diese Firma auf die Server und Clients zugreifen darf, werde ich jeglichen Zugriff erst einmal verweigern.
Hintergrund ist wohl, das der neue Controller von Outsourcing träumt und diese ganze Sache ins Laufen gebracht hat.
Hattet Ihr so etwas auch schon mal und würdet Ihr auch erst einmal jeglichen Zugriff verweigern, zumal es sein, das am Tag der Prüfung die Geschäftsleitung gar nicht im Haus ist.
Viele Grüße
Andreas
Nun habe ich nächste Woche eine Sicherheitsprüfung, aber nicht durch einen unabhängigen IT-Sachverständigen, sondern durch einen Konkurrenten von neben an.
Wie objektiv soll das den sein? Und da ich im Moment keine schriftliche Genehmigung der Geschäftsleitung habe, das diese Firma auf die Server und Clients zugreifen darf, werde ich jeglichen Zugriff erst einmal verweigern.
Hintergrund ist wohl, das der neue Controller von Outsourcing träumt und diese ganze Sache ins Laufen gebracht hat.
Hattet Ihr so etwas auch schon mal und würdet Ihr auch erst einmal jeglichen Zugriff verweigern, zumal es sein, das am Tag der Prüfung die Geschäftsleitung gar nicht im Haus ist.
Viele Grüße
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 147106
Url: https://administrator.de/contentid/147106
Printed on: April 24, 2024 at 13:04 o'clock
9 Comments
Latest comment
Hallo,
ob das jetzt objektiv ist oder nicht würde da für mich nicht mal die Frage sein.
Bei mir darf da eben aus Sicherheitsgründen keiner drauf außer ich oder die GL sag das Passt.
Wie viele Rechte bei euch das Controlling hat bzw. für was es genau zuständig ist, das ist ne andere Sache.
ob das jetzt objektiv ist oder nicht würde da für mich nicht mal die Frage sein.
Bei mir darf da eben aus Sicherheitsgründen keiner drauf außer ich oder die GL sag das Passt.
Wie viele Rechte bei euch das Controlling hat bzw. für was es genau zuständig ist, das ist ne andere Sache.
Hi Andreas,
ich sehe das genauso wie wiesi200. Selbst wenn die Geschäftsleitung eine (schriftliche) Genehmigung rausgibt, würde ich noch hinterfragen WAS dieses Prüfungsteam an Daten sehen darf. Was ich nicht so ganz verstehe: Wieso lässt man sein eigenes Firmennetzwerk der Sicherheitsprüfung eines Konkurrenten unterziehen? Freiwillig in die Karten gucken lassen kann sich doch heutzutage eigentlich keiner mehr leisten.
Aber gut, wenn der neue Controller outsourcen will wird schon mal zu ziemlich üblen Mitteln gegriffen.
Sicher Dich gut ab, dann sollte alles glatt laufen.
Gruß
Danny
ich sehe das genauso wie wiesi200. Selbst wenn die Geschäftsleitung eine (schriftliche) Genehmigung rausgibt, würde ich noch hinterfragen WAS dieses Prüfungsteam an Daten sehen darf. Was ich nicht so ganz verstehe: Wieso lässt man sein eigenes Firmennetzwerk der Sicherheitsprüfung eines Konkurrenten unterziehen? Freiwillig in die Karten gucken lassen kann sich doch heutzutage eigentlich keiner mehr leisten.
Aber gut, wenn der neue Controller outsourcen will wird schon mal zu ziemlich üblen Mitteln gegriffen.
Sicher Dich gut ab, dann sollte alles glatt laufen.
Gruß
Danny
N'abend,
Ohne schriftliche Genehmigung durch den GF = Tür zu und keinen an die PCs lassen! Ggf. die Polizei rufen!
Wenn's sein muss den Controller (falls er anwesend ist) gleich mit verhaften lassen.
Kein Witz, sonst bist du den Job los!
Grüße aus Rostock
Wolfgang
(Netwolf)
Ich betreue unter anderen ein Firmennetzwerk mit 4 Servern und 48 Clients, dieses Netzwerk läuft seit sage und schreibe fast
17 Jahren ohne nennenswerte Ausfälle.
eben ... das ist der Grund warum man keinen Admin mehr braucht, es läuft ja alles!17 Jahren ohne nennenswerte Ausfälle.
Nun habe ich nächste Woche eine Sicherheitsprüfung, aber nicht durch einen unabhängigen IT-Sachverständigen,
sondern durch einen Konkurrenten von neben an.
genau! das IST die Sicherheitsprüfung! Der will nur testen, ob er an die Daten ran kommt, mehr nicht!sondern durch einen Konkurrenten von neben an.
Ohne schriftliche Genehmigung durch den GF = Tür zu und keinen an die PCs lassen! Ggf. die Polizei rufen!
Wenn's sein muss den Controller (falls er anwesend ist) gleich mit verhaften lassen.
Kein Witz, sonst bist du den Job los!
Grüße aus Rostock
Wolfgang
(Netwolf)
Ohne schriftliche Genehmigung durch den GF = Tür zu und keinen an die PCs lassen! Ggf. die Polizei rufen!
Wenn's sein muss den Controller (falls er anwesend ist) gleich mit verhaften lassen.
Wenn's sein muss den Controller (falls er anwesend ist) gleich mit verhaften lassen.
Na das würd mir gefallen!!! Aber im Ernst, vielen Dank für die Tipps, ich fühle mich in meiner geplanten rigorosen Vorgehensweise bestätigt.
Gruß
Andreas
Hallo,
vor allem würde ich mir von dem Tester vorher ein Testszenario vorlegen lassen. Das würde ich dann mit deinen Kommentaren und Empfehlungen über Sinn und Unsinn an die GF geben und mir schriftlich freigeben lassen.
Was auch klar sein muß, ist der Controller dir weisungsbefungt? Wenn nicht, würde ich da ohne ausdrückliche Genehmigung durch deinen Vorgesetzten/GF keinen irgendwo ranlassen. Der Hinweis mit dem Datenschutz kam ja schon.
Gruß!
vor allem würde ich mir von dem Tester vorher ein Testszenario vorlegen lassen. Das würde ich dann mit deinen Kommentaren und Empfehlungen über Sinn und Unsinn an die GF geben und mir schriftlich freigeben lassen.
Was auch klar sein muß, ist der Controller dir weisungsbefungt? Wenn nicht, würde ich da ohne ausdrückliche Genehmigung durch deinen Vorgesetzten/GF keinen irgendwo ranlassen. Der Hinweis mit dem Datenschutz kam ja schon.
Gruß!
moin,
ich machs kurz - denn eigentlich stricker ich grad unsere Server neu..
Gruß!
dito
ich machs kurz - denn eigentlich stricker ich grad unsere Server neu..
Zitat von @n.o.b.o.d.y:
Hallo,
vor allem würde ich mir von dem Tester vorher ein Testszenario vorlegen lassen.
Hallo,
vor allem würde ich mir von dem Tester vorher ein Testszenario vorlegen lassen.
- yupp
- Und die "Zettel" vom "Tester" zeigen lassen, nicht jeder Wald und Wiesentester hat das Wissen und damit man das beweisen kann - gibts die "Zettel"
- "Sniffen" kanns nicht sein, sonst wüßte das der BR oder Du.
Das würde ich dann mit deinen Kommentaren und Empfehlungen über Sinn und Unsinn an die GF geben und mir schriftlich freigeben lassen.
- dito
Was auch klar sein muß, ist der Controller dir weisungsbefungt?
- nein das ist Jacke wie Hose, der wird sich das Ok schon irgendwo geholt haben.
- Die Gegenfrage lautet - Ist der Controller neu - Controller "kontrollieren" die Kohle und da er deinen Job nicht kontrollieren kann - holt er sich jemanden.
- Vielleicht jemanden, mit dem er schon gute Erfahrungen gesammelt hat - übliches Spiel.
- Dann gibt es auch mindestens zwei Typen.
- Der eine erstellt ein Aufmass anhand dessen man eine Ausschreibung startet - und ist entweder dabei im Boot (darf auch am Auschreinungskuchen mitessen) oder nicht.
Wenn nicht, würde ich da ohne ausdrückliche Genehmigung durch deinen Vorgesetzten/GF keinen irgendwo ranlassen.
- eh klar
- Auch da gilt - weder gucken noch anfassen
Der Hinweis mit dem Datenschutz kam ja schon.
- Also testet der nur auf alte Software - oder auf Passwörter mit dem Inhalt "geheim" oder auf Freigaben Jeder Alles
- Vielleicht testet der auch nur, ob es nach heutigem Mass so sinn macht, wie alles aufgebaut ist.
Gruß!
Hallo Andreas,
ich würde die Angelegenheit nicht hochkochen. Lass Dir vor dem Termin einen Leitfaden zusenden. Wir stehen auch kurz vor einer Prüfung. Wir haben einen Leitfaden, der von unserer GF ausgearbeitet wurden und danach wird geprüft. Klar ist es unschön, wenn man Angst davor haben muss, dass die Abteilung Outgesourced wird. Ich sehe es bei uns jedoch so, dass es um eine reine Überprüfung geht. Jedes System hat Stellen an denen es verbessert werden kann. Im Laufe der Zeit kann bei ständiger Modifikation und entpsrechender Tätigkeitsbandbreite das eine oder andere Übersehen werden, was im normalen Betrieb gar nicht auffällt. Ich sehe es als Chance und denke, dass es zwar das ein oder andere zu bemängeln gibt, aber im großen und ganzen läuft der Laden und das ziemlich zuverlässig.
Mängel die aufgedeckt werden, müssen beseitigt werden, aber sonst befürchte ich nichts. Zugriff auf unser Netz bekommen die Prüfer im übrigen nicht. Es geht eher um eine theoretische Prüfung. Einzig bei den NTFS Permissions werden die Prüfer einen Useraccount erhalten. Als Administrator sollte man jedoch wissen, wie man so einen Account modifizieren kann, so dass er nur das darf was er soll.
Nun aber mal ein paar Themen, die bei uns auf der Liste stehen:
- Sichtung der Serverräume (Server, Netzwerk, USV, allgemeine Ordnung, Klima und Zutrittskontrolle)
- Dokumentation vorhandener Hard- und Software (Migrationen, etc.)
- Verträge und Reaktionszeiten von externen Dienstleistern
- Firewallkonfiguration / Virenschutz
- Sicherheitkonfiguration (NTFS Rechte, AD, Benutzergruppen und Differenzierung der Administratoren)
- Datensicherung und Rücksicherung
Gruß
derhoeppi
ich würde die Angelegenheit nicht hochkochen. Lass Dir vor dem Termin einen Leitfaden zusenden. Wir stehen auch kurz vor einer Prüfung. Wir haben einen Leitfaden, der von unserer GF ausgearbeitet wurden und danach wird geprüft. Klar ist es unschön, wenn man Angst davor haben muss, dass die Abteilung Outgesourced wird. Ich sehe es bei uns jedoch so, dass es um eine reine Überprüfung geht. Jedes System hat Stellen an denen es verbessert werden kann. Im Laufe der Zeit kann bei ständiger Modifikation und entpsrechender Tätigkeitsbandbreite das eine oder andere Übersehen werden, was im normalen Betrieb gar nicht auffällt. Ich sehe es als Chance und denke, dass es zwar das ein oder andere zu bemängeln gibt, aber im großen und ganzen läuft der Laden und das ziemlich zuverlässig.
Mängel die aufgedeckt werden, müssen beseitigt werden, aber sonst befürchte ich nichts. Zugriff auf unser Netz bekommen die Prüfer im übrigen nicht. Es geht eher um eine theoretische Prüfung. Einzig bei den NTFS Permissions werden die Prüfer einen Useraccount erhalten. Als Administrator sollte man jedoch wissen, wie man so einen Account modifizieren kann, so dass er nur das darf was er soll.
Nun aber mal ein paar Themen, die bei uns auf der Liste stehen:
- Sichtung der Serverräume (Server, Netzwerk, USV, allgemeine Ordnung, Klima und Zutrittskontrolle)
- Dokumentation vorhandener Hard- und Software (Migrationen, etc.)
- Verträge und Reaktionszeiten von externen Dienstleistern
- Firewallkonfiguration / Virenschutz
- Sicherheitkonfiguration (NTFS Rechte, AD, Benutzergruppen und Differenzierung der Administratoren)
- Datensicherung und Rücksicherung
Gruß
derhoeppi
ich würde die Angelegenheit nicht hochkochen
Nö, ist mir zu stressig. Aber ich bin gerne vorbereitet, lasse mich ungerne ins Bockshorn jagen und bin Anderen gerne einen Schritt voraus.Uns wurde der Fragebogen zugeschickt und eigentlich sollte man uns dazu nicht viel sagen.
Und scheinbar wissen die involvierten Personen nicht so genau was notwendig ist und nicht: Was? Unterschrift des GF? und noch ein paar andere Auffälligkeiten.
Gruß
Hallo,
halt uns bitte auf dem Laufenden, wie es abgelaufen ist und was dabei herausgekommen ist.
Natürlich nur, sofern du dein NDA nicht verletzt.
mfg
Harald
halt uns bitte auf dem Laufenden, wie es abgelaufen ist und was dabei herausgekommen ist.
Natürlich nur, sofern du dein NDA nicht verletzt.
mfg
Harald
