Oct 20, 2009

9515

Grundlegene IT-Sicherheit für non-administrators

Hallo,

ich müsste unseren festen und freien Mitarbeitern eine Art "How-to" schreiben: Was sind die wichtigsten 5-10 Punkte, die auch ein normaler User (verhältnismäßig leicht) umsetzen kann und die die allgemeinen IT-Sicherheit unseres Teams erheblich erhöhen. Es ist ja wichtig auch für die Fa.

Mit fehlt etwas an Erfahrung aber ich habe die folgenden Punkte gefunden.

1. Benutze nach Möglichkeit einen sicheren Browser mit den neuesten Patches. Also nicht IE 6 sondern z. B. Firefox 3.1 usw.

2. Benutze statt Outlook Express entweder MS Outlook 2003 - 2007 oder Thunderbird, jeweils mit den neuesten Patches

3. Wenn du auch "unsichere" Seiten besuchst, erstelle für diesen Zweck einen Windows-Account mit eingeschränkten Rechten. (Also nicht also Administrator sollte man dubiose Seiten aufrufen)

Hier stell sich die Frage, ob es eine leichte Möglichkeit gibt zwischen Admin-Account und Internet-Account zu wechseln. Einige User haben diese Trennung als lästig empfunden, weil bestimmte Programme nur mit Admin-Rechten gingen und dann musste man stets wechseln. Gibt es eventuell was bequemeres?

4. Sollte der Inhalt deiner E-Mail ein bißchen "heikler" sein oder vermutlich Geschäftssgeheimnis, kannst du die Mail / die Datei veschlüsseln. (--> GPG4WIN)

5. Bist du viel im Aussendienst überlege dir, ob es sich lohnen würde dein Notebook zu verschlüßeln.

Diesen Punkt haben wir mit TrueCrypt getestet. Bisher alles ok. Die einzige Änderung, dass die Ikons vom Desktop verschwunden sind

Dies kann man aber nachträglich in Ordnung bringen. Die ganze Arbeitsweise und die Zuverlässigkeit der Software ist schon toll. Ohne Formattierung, ohne (echten) Datenverlust hat sie die Systempartition verschlüßelt.

6. Falls du unbedingt einen online Archive haben möchtest wähl einen Provider, der die Daten wirklich sicher speichert und verwaltet. Achte darauf, dass das Datentransport verschlüßelt durchgeführt wird. Speichere keine "sensible Daten" auf einem einfachen FTP-Server.

Was diesen Punkt betrifft wir haben den verschlüsselten WebDAV-Speicher von Humyo getestet, worauf wir mit der Software "Allway Sync" zugreifen. Beide sind kostenlos und die Daten sind angeblich sehr sicher gespeichert. Bei der eigenen Software von Humyo mussten wir extrem aufpassen, da wir dadurch Daten verloren haben. Sie wurden gelöscht. Das it bisher die beste Lösung die wir unseren Usern empfehlen können.

7. Falls du deine Geschäftsdaten auch auf einem USB-Stick speichern möchtest, kannst du den Stick mit Truecrypt (als portables Stick) auch verschlüsseln.

8. Installiere eine zuverlässige Virensoftware und aktualisiere täglich.

zu diesem Punkt haben wir einfach Zonealarm empfohlen, da es bisher ok war.

9. Falls du WLAN benutzt achte auf die entsprechende Verschlüsselung. Du solltest auch zu Hause nie unverschlüsseltes WLAN einrichten. Mit entsprechender Antenne, kann es auch von größeren Distanzen missbraucht werden.

10. Falls du im Alltag ausser Büroanwendungen nichts anderes brauchst überlege dir auf Ubuntu umzusteigen. (Firefox, Thundebird, GIMP und Open Office werden für die meisten Probleme ausreichen)

Ich kann also mehr Ideen für den Alltagsbetrieb nicht zusammensammeln, die die Leute gleichzeitig ohne (extrem) spezielle Kenntnisse umsetzen können.

Was macht man "Bedrohungen", wie z. B. unser "Bundestrojaner"? Micht nervt es schon (rein von Prinzip her), weiß allerdings nicht, ob es Sinn ergibt jetzt mir den Kopf diesbezüglich zu zerbrechen. Kriminelle sind wir ja nicht. Es ist halt nur deftig, dass jemand so "Staatsviren" bewusst auf meinem PC installiren möchte...

(((

Danke für eure Vorschläge für Anfänger.

Gr. I.

Please also mark the comments that contributed to the solution of the article

Content-Key: 127577

Url: https://administrator.de/contentid/127577

Printed on: May 12, 2024 at 16:05 o'clock

8 Comments

Latest comment

Zitat von @Istike:

Kleiner Tip: Holt euch externen Berater den so Pauschal hier im Forum wird das nichts werden

1. Benutze nach Möglichkeit einen sicheren Browser mit den
neuesten Patches. Also nicht IE 6 sondern z. B. Firefox 3.1 usw.

Laut einer aktuellen Untersuchung ist Firefox auch gespickt mit Sicherheitslöchern.

2. Benutze statt Outlook Express entweder MS Outlook 2003 - 2007 oder
Thunderbird, jeweils mit den neuesten Patches

Sollte schon eine einheitliches E-Mail Programm geben in der Firma.

3. Wenn du auch "unsichere" Seiten besuchst, erstelle
für diesen Zweck einen Windows-Account mit eingeschränkten
Rechten. (Also nicht also Administrator sollte man dubiose Seiten
aufrufen)

Naja normale Anwender sollten keine Adminrechte besitzen auf den PC

Hier stell sich die Frage, ob es eine leichte Möglichkeit gibt
zwischen Admin-Account und Internet-Account zu wechseln. Einige User
haben diese Trennung als lästig empfunden, weil bestimmte
Programme nur mit Admin-Rechten gingen und dann musste man stets
wechseln. Gibt es eventuell was bequemeres?

Das geheimniss nennt sich runas. aber Ihr solltet euch überlegen ob eure Software nicht müll ist wenn Ihr Adminrechte für das Programm braucht.

4. Sollte der Inhalt deiner E-Mail ein bißchen
"heikler" sein oder vermutlich Geschäftssgeheimnis,
kannst du die Mail / die Datei veschlüsseln. (--> GPG4WIN)

Vielleicht doch lieber in Papierform verschicken?

5. Bist du viel im Aussendienst überlege dir, ob es sich lohnen
würde dein Notebook zu verschlüßeln.

Laptops in Aussendienst sollten immer verschlüsselt sein den geklaut ist es schnell.

Diesen Punkt haben wir mit TrueCrypt getestet. Bisher alles ok. Die
einzige Änderung, dass die Ikons vom Desktop verschwunden sind

Dies kann man aber nachträglich in Ordnung bringen. Die ganze
Arbeitsweise und die Zuverlässigkeit der Software ist schon toll.
Ohne Formattierung, ohne (echten) Datenverlust hat sie die
Systempartition verschlüßelt.

Schön. so einfach geht es. und auch ausprobiert ob keiner ran kommt an die daten wenn sie Verschlüsselt sind? wäre ärgerlich wenn das laptop weg ist und der Dieb ganz einfach an die daten kommt.

Naja ### anbieter. sorry aber wenn daten weg sind ist es ein grund den anbieter zu wechseln. Aber warum nicht InHouse lösung? Kostenlose anbieter finde ich nicht sicher was ist wenn die in 1-2 Jahren dicht machen weil kein geld mehr da ist?

7. Falls du deine Geschäftsdaten auch auf einem USB-Stick
speichern möchtest, kannst du den Stick mit Truecrypt (als
portables Stick) auch verschlüsseln.

Naja sollte genau überlegt werden wer daten auf USB Stick speichern darf

8. Installiere eine zuverlässige Virensoftware und aktualisiere
täglich.

zu diesem Punkt haben wir einfach Zonealarm empfohlen, da es bisher
ok war.

Zonealarm ist kein zuverlässiger Virenscanner. Es sollte ein Scanner installiert werden der nur von Bestimmten Personen deactiviert werden kann.

9. Falls du WLAN benutzt achte auf die entsprechende
Verschlüsselung. Du solltest auch zu Hause nie
unverschlüsseltes WLAN einrichten. Mit entsprechender Antenne,
kann es auch von größeren Distanzen missbraucht werden.

Richtig. aber auch verschlüsseltes WLan ist unsicher. daher ganz drauf verzichten.

10. Falls du im Alltag ausser Büroanwendungen nichts anderes
brauchst überlege dir auf Ubuntu umzusteigen. (Firefox,
Thundebird, GIMP und Open Office werden für die meisten Probleme
ausreichen)

Was ihr braucht muss euer Admin wissen was anderes gehört nicht auf die Kiste.

Ich kann also mehr Ideen für den Alltagsbetrieb nicht
zusammensammeln, die die Leute gleichzeitig ohne (extrem) spezielle
Kenntnisse umsetzen können.

Was macht man "Bedrohungen", wie z. B. unser
"Bundestrojaner"? Micht nervt es schon (rein von Prinzip
her), weiß allerdings nicht, ob es Sinn ergibt jetzt mir den
Kopf diesbezüglich zu zerbrechen. Kriminelle sind wir ja nicht.
Es ist halt nur deftig, dass jemand so "Staatsviren" bewusst
auf meinem PC installiren möchte...

(((

Danke für eure Vorschläge für Anfänger.

Gr. I.

Wie oben gesagt: sucht euch eine Externe Firma oder einen ausgebildeten Admin der für die Pflege der PC usw verantwortlich ist. den all das was du da aufgezählt hast ist in der regel den "normalen" User ### egal und solange er machen kann was er will wirst du nie sicherheit in dein System bekommen den 1ner ist immer dabei der die schwachstelle ist. Adminrechte für USER ist schwachstelle NO.1 im Netzwerk da er machen kann was er will.

Der Ansatz die "User Awerness" zu steigern ist grundsaetzlich begruessenswert, allerdings wird sich kein User sich an deine "Empfehlungen" halten. Was sagt denn euer IT-Sicherheitskonzept zu dem Thema? Gibt es denn keine verbindlichen Sicherheitsrichtlinien? Gibt es denn jemanden der fuer eure IT-Sicherheit zustaendig ist? Ach, das ist bei euch ein Nebenjob der vom Praktikanten nach dem er mit dem Kopieren fertig ist gemacht wird? Tja dann ist das vieleicht euer Problem.

Ansonsten kann ich dir nur das IT Grundschutzhandbuch empfehlen: https://www.bsi.bund.de/cln_174/DE/Themen/ITGrundschutz/ITGrundschutzSta ...

Hallo.
Da Du keine Beschreibung abgibst, was Du schützt und was Du als Bedrohung ansiehst, noch, was für Fehler Deine Benutzer in der Vergangenheit begangen haben, wird hier guter Rat nicht einfach sein.
Bei einem Rechner, der ins Internet geht, aber gleichzeitig schützenswerte Daten enthält, sollten zumindest
-Benutzerrechte verwendet werden
-Anwendungen und Windows gepatcht sein
-die potentiellen Startbereiche für Viren im Benutzerkontext dichtgemacht werden (HKCU...RUN und Autostart). Dazu hat die CT das Tool kafu vorgestellt: http://www.heise.de/software/download/kafu.exe/30682
-keine (in Worten K E I N E) unsicheren Seiten wissentlich besucht werden - und das ist nun wirklich nicht schwer, wenn man sich auf Berufliches beschränkt.

Die Frage ist auch, was eine Empfehlung bleibt und was durch wen umgesetzt wird - sollen die Nutzer AV-Software einrichten, selbst Ihre Rechner verschlüsseln und auf Ubuntu umsteigen? Dann sind das keine Nutzer, sondern Admins.

Hallo,

Danke an Euch alle für die Vorschläge:

es wäre natürlich gut einen Profi zu beauftrage. Die Fa zahlt ihn aber einfach nicht. Ich bin zwar ein halber Informatiker aber kein erfahrener Admin.

Von dem Chef habe ich die Möglichkeit bekommen die Sachen halbwegs in Ordnung zu bringen... Jetzt muss ich mich halt einarbeiten.

Das "Unverständnis" der User ist das größte Problem... Sie kapieren nicht mal, dass man auf einem PC, wo - leider - es sowohl private wie auch Geschäftsdaten gibt keine Chatsoftware benutzen sollte und die wichtigste E-Mail sollten möglichts verschlüsselt zugeschickt werden.

Ich schau mal was ich aus den Plänen überhaupt umsetzen kann:

1. jeder User wird ein eigenes Account haben mit den entsprechenden Einschränkungen

2. die Chatprogramme werde ich entfernen und wir werden nur in einem einzigen Account die Open Source Chatmanager "Pidgin" einsetzen. Es ist wohl sicherer als die dutzenden Chatsoftware die kein Mensch durchblickt.

3. ich werde für die Daten der User eine größere Festplatte kaufen, wo jeder User seine verschlüßelte Truecrypt-Laufwerk haben wird. (je 50GB).

4. Jede Laufwerk wird mit einer anderen Truecrypt-Laufwerk auf einem LAN-Festplatte (wie Mybook Studio nur mit LAN-Anschluß) gespiegelt. (Mittels Allway Sync: manuelle oder autom. Synchronisierung)

5. Ich blockiere die Webinterfaces von WEB.de, Hotmail, usw. in dem Router und alle E-Mails können in der Firma nur Local - durch Thunderbird / Outlook (IMAP) - gelesen werden. Mal schauen, wo ich überhaupt die Möglichkeit habe SSL zu benutzen.

Ich gehe mal davon aus, dass Thunderbird mit einem lokalen Virenscanner sicherer ist als wenn der User stets sich via Browser einloggen müsste.

6. Die Accounts werden bei Thunderbird mit "Enigmail" und bei Outlook mit "GPG4WIN" default versehen.

Mehr kann ich ja nicht machen, dass ich allen Usern die entsprechende Verschlüsselung-Tools zur Verfügung stelle. Ich hoffe, dass sie den Verstand ab und zu einschalten.

7. Ich installiere die Software "KAFU" und schliesse die Lücken für die 6-7 Accounts / Users, die sich am Büro-PC regelmäßig einloggen, zu.

8. Ich werde mal versuchen zu erreichen, dass die Kollegen im Außendienst ihre Notebook-Laufwerke mittels Truecrypt verschlüsseln.

Die Sicherheit des Login-Kennworts von Windows Vista / 7 reicht wohl nur solange bis jemand die Festplatten nicht ausbaut. Dafür ist die Truecrypt-Lösung optimal.

Ich sehe also momentan keine sonstigen Möglichkeiten... Mal schauen,ob ich künftig mehr Spielraum bekommen.

Noch eine Frage hätte ich:

Während meiner Überzeugungsarbeit stellte sich die Frage, wer überhaupt unsere Mails mitlesen kann. (die Frage ist ja warum es so sinnvoll ist die Mails zu verschlüsseln.)

In dem Moment konnte ich die Frage auch nicht so vielseitig benatworten, weil ich technisch nicht weiss, wer die Mail "unterwegs" lesen könnte. Jemand könnte also die unverschlüsselten Mails in unserem Netzwerk bzw. auf dem Mailserver des jeweiligen Providers lesen. Die beiden sind allerdings gesichert. Es gibt aber Leute die sagen, dass es auch möglich ist zwischen dem eigenen Netzwerk und dem Provider die Mails mitzulesen.

Wie ist es möglich? Wie weit ist es wirklich einfach? Wenn nur die Nachrichtendienste oder die Polizei so etwas machen könnte, wäre es nicht so tragisch... Wir haben eher Angst von "bad guys", die aus purem "Bosheit" Sachen kaputtmachen oder von Wettbewerbern die sich eventuell für unseren Firmentätigkeit interessieren.

Ich habe auch einen Freund, der als Anwalt eine Kanzlei hat. Dort geht wirklich um sehr viel Geld und vor Allem um Ruf. Hier könnten also extreme Schaden entstehen.

Wie weit sind also diese "Bedrohungen" Realität oder Science Fiction für ein kleines Unternehmen

Ich halte persönlich die Sicherheit für wichtig aber nur im "gesunden" Rahmen.

Danke für eure Tipps.

Gr. I.

"Wie weit sind also diese "Bedrohungen" Realität oder Science Fiction für ein kleines Unternehmen"

Das kann man so pauschal gar nicht beantworten. Dafuer wird in der Regel eine Bedrohungs/-Risikoanalyse und Bewertung durch gefuehrt.

Wenn deine Geschaeftsfuehrung der Meinung das von dir geschilderte Szenario zu akzeptieren und damit auch das Risiko dann kann man da nichts machen.

Gerade fuer ein kleines Unternehmen sollte IT-Sicherheit sehr ernst nehmen. Wie teuer wird es denn wenn saemtliche wichtigen Geschaeftsdaten ploetzlich weg sind oder veraendert worden sind? Wie teuer waere denn eine Klage eines Kunden weil seine Daten im Netz verfuegbar sind? Wie teuer waere der Ausfall von vitalen IT-Strukturen?

Nebenbei..... die Tuer in euer Firma... wurde die auch von einem Hobbyschreiner angefertigt? Wird die abgeschlossen oder bleibt die ubernacht auch offen weil es zu umstaendlich/ zu teuer ist jeden einem Schluessel zu geben?

Bei deiner Beschreibung der aktuellen Sicherheitslage deiner Firma wuerde ich aus meiner taeglichen Arbeit schliessen das ihr es den "Bad Guyes" extrem einfach macht. Also such dich schon mal nach einem neuen Arbeitsplatz um.

Es gibt aber Leute die sagen, dass es auch möglich ist zwischen dem eigenen Netzwerk und dem Provider die Mails mitzulesen.

Ja ist es wenn die Mails nicht per SSL oder einer andern verschlüsselung verschickt werden.

Ich schliesse mich da Gagarin an, und lege noch eines nach. du setzt jetzt das alles um. Die User befolgen aber die Anweisungen nicht und die BAD GAY kommen doch an eure daten ran. in 1. Moment hast du die A-Karte den du solltest dich darum kümmern das das nicht passiert.

Wie Gagarin sagte: Nur ein Fachmann schaft es wirklich sicher. und dann sollte es eine BV für alle Mitarbeiter geben die jeder Unterschreiben muss. Dann ist die nächste frage wie gross ist das Unternehmen. In Kanzleien die mehr sind als 6 Mitarbeitern ist ein EXTERNER Datenschutzbeauftragter nötig. Die helfen einen auch beim Thema Unternehmensicherheit weiter. Also wenn ihr sowas habt bei euch rede mit dem DASCHU. Und wenn die Firma klein ist brauch dein Chef jemanden internen der gewisse Schulungen hatte.

Aber lege deinen Chef wirklich ans herz zusätzlich eine Fachfirma zu beauftragen. den deine Kostenlosen programme sind alle knackbar.

Hallo "Education",

du hast natürlich Recht ... Ich weiß allerdings, dass nichts passieren wird, wenn ich jetzt mit einer externen Fa. argumentiere... Alles bleibt so wie es ist.

"den deine Kostenlosen programme sind alle knackbar."

So pauschal kann man es wirklich nicht sagen:

Humyo: unser "Fileserver" benutzt 256bit RSA Verschlüsselung, so weit ich weiss
Allway Sync: synchronisiert die Daten auch verschlüsselt (SSL)
Truecrypt: es ist nur extrem sehr eingeschränkt knackbar, erst dann (vielleicht) wenn jemand Zugriff zu einem lauenden PC hat. Ich glaube nicht, dass man einen genügend langen TC-Key (10-20 Buchstaben) bei einem ausgeschalteten PC knackt.
GnuPG: ist zwar Open Source ist aber entspricht der Sicherheit von PGP.

"Die User befolgen aber die Anweisungen nicht"

Ich sehe die Gefahr auch, deswegen versuche ich jetzt Lösungen zu finden, die ich als "Admin" allein einrichten kann und dann als fertiges System den Usern überlassen kann. Gegen Dummheit kann ich natürlich nichts machen. Wenn sie also ihre Kennwörter untereinander austauschen würde ich nichts machen können...

Danke sonst wirklich an Euch alle für die Hilfe.

EDIT: ich habe das folgende Buch gefunden, der ein großer Teil meiner Fragen beantwortet hat: https://www.awxcnx.de/download/privacy-handbuch.pdf

Gr. I.

Hi istike,

ich würde auch per GPO einstellen, das der Bildschirmschoner schon nach 10min den PC sperrt. Nicht das deine User nicht einmal die Mühe machen den PC zu sperren.
Weil der PC schon offen wie ein Scheunentor ist, dann brauch man auch keine Verschlüsselung - der Dieb konnte ja schon vorher alles kopieren, was er brauchte.

Gruss

Holli

German solved Question Security

Hotly discussed

EdgeRouter Lite 3 IPv6 configurationLinuxero - 3 Comments