Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheitsprüfung, wie würdet Ihr das angehen?

Mitglied: sixtie4

sixtie4 (Level 1) - Jetzt verbinden

17.07.2010, aktualisiert 20:29 Uhr, 4762 Aufrufe, 9 Kommentare

Erst einmal ein Hallo an alle aus Frankreich.

Ich betreue unter anderen ein Firmennetzwerk mit 4 Servern und 48 Clients, dieses Netzwerk läuft seit sage und schreibe fast 17 Jahren ohne nennenswerte Ausfälle.
Nun habe ich nächste Woche eine Sicherheitsprüfung, aber nicht durch einen unabhängigen IT-Sachverständigen, sondern durch einen Konkurrenten von neben an.

Wie objektiv soll das den sein? Und da ich im Moment keine schriftliche Genehmigung der Geschäftsleitung habe, das diese Firma auf die Server und Clients zugreifen darf, werde ich jeglichen Zugriff erst einmal verweigern.

Hintergrund ist wohl, das der neue Controller von Outsourcing träumt und diese ganze Sache ins Laufen gebracht hat.

Hattet Ihr so etwas auch schon mal und würdet Ihr auch erst einmal jeglichen Zugriff verweigern, zumal es sein, das am Tag der Prüfung die Geschäftsleitung gar nicht im Haus ist.

Viele Grüße
Andreas
Mitglied: wiesi200
17.07.2010 um 20:32 Uhr
Hallo,

ob das jetzt objektiv ist oder nicht würde da für mich nicht mal die Frage sein.
Bei mir darf da eben aus Sicherheitsgründen keiner drauf außer ich oder die GL sag das Passt.

Wie viele Rechte bei euch das Controlling hat bzw. für was es genau zuständig ist, das ist ne andere Sache.
Bitte warten ..
Mitglied: fishscorer
17.07.2010 um 21:10 Uhr
Hi Andreas,

ich sehe das genauso wie wiesi200. Selbst wenn die Geschäftsleitung eine (schriftliche) Genehmigung rausgibt, würde ich noch hinterfragen WAS dieses Prüfungsteam an Daten sehen darf. Was ich nicht so ganz verstehe: Wieso lässt man sein eigenes Firmennetzwerk der Sicherheitsprüfung eines Konkurrenten unterziehen? Freiwillig in die Karten gucken lassen kann sich doch heutzutage eigentlich keiner mehr leisten.
Aber gut, wenn der neue Controller outsourcen will wird schon mal zu ziemlich üblen Mitteln gegriffen.

Sicher Dich gut ab, dann sollte alles glatt laufen.

Gruß
Danny
Bitte warten ..
Mitglied: NetWolf
17.07.2010 um 23:02 Uhr
N'abend,

Ich betreue unter anderen ein Firmennetzwerk mit 4 Servern und 48 Clients, dieses Netzwerk läuft seit sage und schreibe fast
17 Jahren ohne nennenswerte Ausfälle.
eben ... das ist der Grund warum man keinen Admin mehr braucht, es läuft ja alles!

Nun habe ich nächste Woche eine Sicherheitsprüfung, aber nicht durch einen unabhängigen IT-Sachverständigen,
sondern durch einen Konkurrenten von neben an.
genau! das IST die Sicherheitsprüfung! Der will nur testen, ob er an die Daten ran kommt, mehr nicht!

Ohne schriftliche Genehmigung durch den GF = Tür zu und keinen an die PCs lassen! Ggf. die Polizei rufen!
Wenn's sein muss den Controller (falls er anwesend ist) gleich mit verhaften lassen.
Kein Witz, sonst bist du den Job los!

Grüße aus Rostock
Wolfgang
(Netwolf)
Bitte warten ..
Mitglied: sixtie4
17.07.2010 um 23:40 Uhr
Ohne schriftliche Genehmigung durch den GF = Tür zu und keinen an die PCs lassen! Ggf. die Polizei rufen!
Wenn's sein muss den Controller (falls er anwesend ist) gleich mit verhaften lassen.

Na das würd mir gefallen!!! Aber im Ernst, vielen Dank für die Tipps, ich fühle mich in meiner geplanten rigorosen Vorgehensweise bestätigt.

Gruß
Andreas
Bitte warten ..
Mitglied: n.o.b.o.d.y
18.07.2010 um 08:42 Uhr
Hallo,

vor allem würde ich mir von dem Tester vorher ein Testszenario vorlegen lassen. Das würde ich dann mit deinen Kommentaren und Empfehlungen über Sinn und Unsinn an die GF geben und mir schriftlich freigeben lassen.
Was auch klar sein muß, ist der Controller dir weisungsbefungt? Wenn nicht, würde ich da ohne ausdrückliche Genehmigung durch deinen Vorgesetzten/GF keinen irgendwo ranlassen. Der Hinweis mit dem Datenschutz kam ja schon.

Gruß!
Bitte warten ..
Mitglied: 60730
18.07.2010 um 09:42 Uhr
moin,

ich machs kurz - denn eigentlich stricker ich grad unsere Server neu..
Zitat von n.o.b.o.d.y:
Hallo,

vor allem würde ich mir von dem Tester vorher ein Testszenario vorlegen lassen.
  • yupp
  • Und die "Zettel" vom "Tester" zeigen lassen, nicht jeder Wald und Wiesentester hat das Wissen und damit man das beweisen kann - gibts die "Zettel"
  • "Sniffen" kanns nicht sein, sonst wüßte das der BR oder Du.
Das würde ich dann mit deinen Kommentaren und Empfehlungen über Sinn und Unsinn an die GF geben und mir schriftlich freigeben lassen.
  • dito
Was auch klar sein muß, ist der Controller dir weisungsbefungt?
  • nein das ist Jacke wie Hose, der wird sich das Ok schon irgendwo geholt haben.
  • Die Gegenfrage lautet - Ist der Controller neu - Controller "kontrollieren" die Kohle und da er deinen Job nicht kontrollieren kann - holt er sich jemanden.
  • Vielleicht jemanden, mit dem er schon gute Erfahrungen gesammelt hat - übliches Spiel.
  • Dann gibt es auch mindestens zwei Typen.
  • Der eine erstellt ein Aufmass anhand dessen man eine Ausschreibung startet - und ist entweder dabei im Boot (darf auch am Auschreinungskuchen mitessen) oder nicht.
(Das ersteres eigentlich bedeutet - er kriegt den Job und zweiteres - das "Aufmass" wird teuer - ist klar)

Wenn nicht, würde ich da ohne ausdrückliche Genehmigung durch deinen Vorgesetzten/GF keinen irgendwo ranlassen.
  • eh klar
  • Auch da gilt - weder gucken noch anfassen
Der Hinweis mit dem Datenschutz kam ja schon.

  • Also testet der nur auf alte Software - oder auf Passwörter mit dem Inhalt "geheim" oder auf Freigaben Jeder Alles
  • Vielleicht testet der auch nur, ob es nach heutigem Mass so sinn macht, wie alles aufgebaut ist.

Gruß!
dito
Bitte warten ..
Mitglied: derhoeppi
19.07.2010 um 14:49 Uhr
Hallo Andreas,

ich würde die Angelegenheit nicht hochkochen. Lass Dir vor dem Termin einen Leitfaden zusenden. Wir stehen auch kurz vor einer Prüfung. Wir haben einen Leitfaden, der von unserer GF ausgearbeitet wurden und danach wird geprüft. Klar ist es unschön, wenn man Angst davor haben muss, dass die Abteilung Outgesourced wird. Ich sehe es bei uns jedoch so, dass es um eine reine Überprüfung geht. Jedes System hat Stellen an denen es verbessert werden kann. Im Laufe der Zeit kann bei ständiger Modifikation und entpsrechender Tätigkeitsbandbreite das eine oder andere Übersehen werden, was im normalen Betrieb gar nicht auffällt. Ich sehe es als Chance und denke, dass es zwar das ein oder andere zu bemängeln gibt, aber im großen und ganzen läuft der Laden und das ziemlich zuverlässig.

Mängel die aufgedeckt werden, müssen beseitigt werden, aber sonst befürchte ich nichts. Zugriff auf unser Netz bekommen die Prüfer im übrigen nicht. Es geht eher um eine theoretische Prüfung. Einzig bei den NTFS Permissions werden die Prüfer einen Useraccount erhalten. Als Administrator sollte man jedoch wissen, wie man so einen Account modifizieren kann, so dass er nur das darf was er soll.

Nun aber mal ein paar Themen, die bei uns auf der Liste stehen:

- Sichtung der Serverräume (Server, Netzwerk, USV, allgemeine Ordnung, Klima und Zutrittskontrolle)
- Dokumentation vorhandener Hard- und Software (Migrationen, etc.)
- Verträge und Reaktionszeiten von externen Dienstleistern
- Firewallkonfiguration / Virenschutz
- Sicherheitkonfiguration (NTFS Rechte, AD, Benutzergruppen und Differenzierung der Administratoren)
- Datensicherung und Rücksicherung


Gruß
derhoeppi
Bitte warten ..
Mitglied: sixtie4
19.07.2010 um 16:01 Uhr
ich würde die Angelegenheit nicht hochkochen
Nö, ist mir zu stressig. Aber ich bin gerne vorbereitet, lasse mich ungerne ins Bockshorn jagen und bin Anderen gerne einen Schritt voraus.

Uns wurde der Fragebogen zugeschickt und eigentlich sollte man uns dazu nicht viel sagen.
Und scheinbar wissen die involvierten Personen nicht so genau was notwendig ist und nicht: Was? Unterschrift des GF? und noch ein paar andere Auffälligkeiten.

Gruß
Bitte warten ..
Mitglied: harald21
19.07.2010 um 17:41 Uhr
Hallo,

halt uns bitte auf dem Laufenden, wie es abgelaufen ist und was dabei herausgekommen ist.
Natürlich nur, sofern du dein NDA nicht verletzt.

mfg
Harald
Bitte warten ..
Ähnliche Inhalte
Monitoring

Welches Monitoring würdet ihr empfehlen?

Frage von Hansi1985Monitoring6 Kommentare

Hallo, Ich möchte in einer Schule mit lauter Windows Servern (2 Hauptserver und viele Virtuelle Server mit Windows server ...

Server-Hardware

Welche Komponenten würdet Ihr empfehlen?

gelöst Frage von CyberurmelServer-Hardware11 Kommentare

Hi all, in meinem Netzwerkschrank (geringe Tiefe max 35 cm) würde ich mir gern einen 1 HE Server einbauen, ...

Off Topic

Höhe des Gehaltes ? Was würdet ihr vorschlagen ?

gelöst Frage von ZweterPegatOff Topic6 Kommentare

Hallo Zusammen, ich habe bald mein Jahresgespräch und somit auch wieder Gehaltsverhandlungen. Ich wollte wissen was Ihr so ansetzen ...

Festplatten, SSD, Raid

Welche SSD würdet ihr empfehlen?

gelöst Frage von glandy5Festplatten, SSD, Raid20 Kommentare

Guten Tag, wir überlegen ob wir in bestimmten Bereichen unsere PCs mit SSD Festplatten aufrüsten. Der Zugriff bei unseren ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 4 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...