Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: US-Cert warnt vor Man-In-The…

Leider alternativ-los...

  1. Thema

Neues Thema Ansicht wechseln


  1. Leider alternativ-los...

    Autor: RichardEb 22.03.17 - 20:44

    ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die Client-Virenscanner durch Eigenbastelleien zu umgehen.

    Und um das vorweg zu nehmen: Nein Mitarbeiter werden nicht aufhören das zu tun. Auch nicht mit Schulungen. Und nein man kann auch die Mitarbeiter nicht feuern. Dann sind nur noch 3 in der ganzen Firma.

  2. Re: Leider alternativ-los...

    Autor: Itchy 22.03.17 - 21:23

    Lösungen gibt es genug. Fängt vom Browser in einer VM-Sandbox an und hört beim Browser als RDP-App noch lange nicht auf.

    SSL Interceptoren im Unternehmensnetzwerk sind ja auch nicht per se schlecht. Nur haben die letzten Untersuchungen gezeigt, dass die meisten Geräte am Markt mehr Sicherheitslücken reinbringen (ging sogar soweit, dass ein Produkt den Hostnamen im Zertifikat des Servers nicht geprüft hat), als sie vermeintlich schließen.

  3. Re: Leider alternativ-los...

    Autor: Anonymer Nutzer 22.03.17 - 21:58

    ...wer mit 'alternativlos' kommt macht schon was falsch...

  4. Re: Leider alternativ-los...

    Autor: laserbeamer 22.03.17 - 22:49

    Die beste Lösung bisher in einer Firma die ich gesehen hatte:

    Nachdem durch Viren ein Backup und das Produktivsystem abgeschmiert sind, sind jetzt alles Hauptrechner einfach nicht mehr an das Internet angeschlossen, nur noch Intranet.
    Mitarbeiter die einen Internetzugang für die Arbeit brauchen haben einen extra PC (eigentlich hier nen MacBook) bekommen.

  5. Re: Leider alternativ-los...

    Autor: Neuro-Chef 22.03.17 - 22:50

    RichardEb schrieb:
    > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
    > Client-Virenscanner durch Eigenbastelleien zu umgehen.
    Welcher Scanner soll das sein?

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

  6. Re: Leider alternativ-los...

    Autor: Neuro-Chef 22.03.17 - 22:51

    laserbeamer schrieb:
    > Die beste Lösung bisher in einer Firma die ich gesehen hatte:
    >
    > Nachdem durch Viren ein Backup und das Produktivsystem abgeschmiert sind,
    > sind jetzt alles Hauptrechner einfach nicht mehr an das Internet
    > angeschlossen, nur noch Intranet.
    > Mitarbeiter die einen Internetzugang für die Arbeit brauchen haben einen
    > extra PC (eigentlich hier nen MacBook) bekommen.
    Hängt halt von der jeweiligen Firma und den auszuführenden Tätigkeiten ab, ob das praktikabel ist.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

  7. Re: Leider alternativ-los...

    Autor: Apfelbrot 23.03.17 - 02:59

    Neuro-Chef schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
    > > Client-Virenscanner durch Eigenbastelleien zu umgehen.
    > Welcher Scanner soll das sein?

    Meiner Erfahrung nach vermutlich jeder am Markt befindliche.

  8. Re: Leider alternativ-los...

    Autor: Neuro-Chef 23.03.17 - 05:24

    Apfelbrot schrieb:
    > Neuro-Chef schrieb:
    > > RichardEb schrieb:
    > > > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
    > > > Client-Virenscanner durch Eigenbastelleien zu umgehen.
    > > Welcher Scanner soll das sein?
    > Meiner Erfahrung nach vermutlich jeder am Markt befindliche.
    Ich fragte, weil "Eigenbasteleien" eher nach niederschwelligen Tricks klingt als nach einem tatsächlichen Angriff auf den Virenscanner mittels wie auch immer gearteter Programmierkenntnisse. Ersteres wäre schon ziemlich peinlich, wenn man damit z.B. den Passwortschutz des zentral verwalteten Malwareschutzes in der Enterprise Version (oder so) umgehen kann.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

  9. Re: Leider alternativ-los...

    Autor: MFGSparka 23.03.17 - 10:08

    Es gibt da so Erfahrungswerte die besagen, je restriktiver das Netzwerk ist, desto fantasiereicher werden die User versuchen diese Einschränkungen zu umgehen.
    Da werden zum Beispiel Webserver zum Download von Software und zum Surfen auf gesperrten Webseiten genutzt. Auf einmal stehen dann private LTE Modems im Büro und so weiter.

    Effektiv sinkt also langfristig die Sicherheit im Netz. Netzwerkadmins sollten sich eventuell mehr mit den Bedürfnissen der User beschäftigen und überlegen wie sie diese ohne ständiges generve befriedigen können statt alle paar Tage den Internetzugang noch weiter zu begränzen.

    Austauschzertifikate kommen mir nicht auf die Kiste. Dann schicke ich lieber meine Daten unverschlüsselt durch die Welt und verzichte darauf irgendwelche Seiten mit Login etc. zu verwenden.

  10. Re: Leider alternativ-los...

    Autor: andr_gin 25.03.17 - 23:48

    Ich frage mich ernsthaft wer von den ganzen Besserwissern hier in der Praxis schon einmal ein Firmennetzwerk betreut hat und damit meine ich wirklich dafür verantwortlich war anstatt nur schlaue Tipps von diversen Quellen aus dem Internet nachzuplappern.

    Fakt ist eine Firma braucht ab einer gewissen Größe eine vernünftige Firewalllösung und es ist einfach untragbar, wenn sich diese dadurch umgehen lässt, dass der Inhalt verschlüsselt wird. Hier gibt es lediglich 2 Möglichkeiten: Man leitet den kompletten Traffic über einen Proxy oder man hat eine transparente Lösung, die intern die Verschlüsselung aufbricht. In beiden Fällen wird entschlüsselt und wieder neu verschlüsselt.

    Nur einmal so zum Vergleich: Täglich bekommt unsere Firma in etwa 200 Spammails täglich pro Mitarbeiter. Davon können in etwa 98% vom Spamfilter abgefangen werden. Ein paar Mails sind harmlose Phising Mails, die einfach erkennbar sind und diverser anderer Werbemüll aber es bleiben dann in etwa 2 bis 3 Mails pro Mitarbeiter am Tag übrig, bei denen es sich um gezippten Schadcode handelt. Da zip Dateien als Ganzes nicht gesperrt werden können, Exchange und Outlook sich nicht um den Inhalt der zip Archive kümmern und die Detektionsrate der Virenscanner extrem niedrig ist (maximal 50% bei gutes VB Skripts mit dynamisch generiertem Inhalt) muss hier eine andere Lösung her. In unserem Fall ist es eine Firewalllösung, das die Verschlüsselung aufbricht, zip Dateien öffnet und Mails mit gewissen Dateianhängen abweist mit entsprechender Fehlermeldung an den Absender.

    So und jetzt einmal ehrlich: Wer hat in seinem Unternehmen schon einmal einen Virenbefall gehabt und wer hat einen nachweislichen Schaden durch Man in the middle Attacken gehabt? Beim Mailverkehr werden die Zertifikate sowieso nie geprüft, da sie sich in der Regel sowieso jeder selbst ausstellt.

  11. Re: Leider alternativ-los...

    Autor: Neuro-Chef 26.03.17 - 00:05

    andr_gin schrieb:
    > Fakt ist eine Firma braucht ab einer gewissen Größe eine vernünftige
    > Firewalllösung und es ist einfach untragbar, wenn sich diese dadurch
    > umgehen lässt, dass der Inhalt verschlüsselt wird. Hier gibt es lediglich 2
    > Möglichkeiten: Man leitet den kompletten Traffic über einen Proxy oder man
    > hat eine transparente Lösung, die intern die Verschlüsselung aufbricht. In
    > beiden Fällen wird entschlüsselt und wieder neu verschlüsselt.
    Das ist eine Meinung und kein Fakt.

    > Nur einmal so zum Vergleich: Täglich bekommt unsere Firma in etwa 200
    > Spammails täglich pro Mitarbeiter. Davon können in etwa 98% vom Spamfilter
    > abgefangen werden. Ein paar Mails sind harmlose Phising Mails, die einfach
    > erkennbar sind und diverser anderer Werbemüll aber es bleiben dann in etwa
    > 2 bis 3 Mails pro Mitarbeiter am Tag übrig, bei denen es sich um gezippten
    > Schadcode handelt. Da zip Dateien als Ganzes nicht gesperrt werden können,
    > Exchange und Outlook sich nicht um den Inhalt der zip Archive kümmern und
    > die Detektionsrate der Virenscanner extrem niedrig ist (maximal 50% bei
    > gutes VB Skripts mit dynamisch generiertem Inhalt) muss hier eine andere
    > Lösung her. In unserem Fall ist es eine Firewalllösung, das die
    > Verschlüsselung aufbricht, zip Dateien öffnet und Mails mit gewissen
    > Dateianhängen abweist mit entsprechender Fehlermeldung an den Absender.
    OK, aber was hat das Scannen von E-Mails jetzt mit dem Aufbrechen von HTTPS zu tun?
    Genau; nix.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schwarz Dienstleistung KG, Großbeeren
  2. Wirecard Service Technologies GmbH, Aschheim
  3. BWI GmbH, Bonn
  4. Triaz GmbH, Freiburg, Berlin, Hamburg (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 1,24€
  2. 2,99€
  3. (-20%) 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

    1. Docsis 3.1 Remote-MACPHY: 10 GBit/s-System für Kabelnetz besteht Modem-Test
      Docsis 3.1 Remote-MACPHY
      10 GBit/s-System für Kabelnetz besteht Modem-Test

      Distributed CCAP Nodes bringen 10 GBit/s im Kabelnetz. Ein Modemtest für Docsis 3.1 von DEV Systemtechnik ist dazu jetzt erfolgreich gewesen.

    2. Sindelfingen: Mercedes und Telefónica Deutschland errichten 5G-Netz
      Sindelfingen
      Mercedes und Telefónica Deutschland errichten 5G-Netz

      In Sindelfingen wird 5G in der laufenden Produktion eingesetzt. Es geht um die Ortung von Produkten und die Verarbeitung großer Datenmengen (Data Shower).

    3. Load Balancer: HAProxy 2.0 bringt Neuerungen für HTTP und die Cloud
      Load Balancer
      HAProxy 2.0 bringt Neuerungen für HTTP und die Cloud

      In der neuen LTS-Version 2.0 liefern die Entwickler des Open-Source-Load-Balancers HAProxy unter anderem mit einem Kubernetes Ingress Controller und einer Data-Plane-API aus. Auch den Linux-Support hat das Team vereinheitlicht.


    1. 18:42

    2. 16:53

    3. 15:35

    4. 14:23

    5. 12:30

    6. 12:04

    7. 11:34

    8. 11:22