Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: US-Cert warnt vor Man-In-The…

Leider alternativ-los...

  1. Thema

Neues Thema Ansicht wechseln


  1. Leider alternativ-los...

    Autor: RichardEb 22.03.17 - 20:44

    ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die Client-Virenscanner durch Eigenbastelleien zu umgehen.

    Und um das vorweg zu nehmen: Nein Mitarbeiter werden nicht aufhören das zu tun. Auch nicht mit Schulungen. Und nein man kann auch die Mitarbeiter nicht feuern. Dann sind nur noch 3 in der ganzen Firma.

  2. Re: Leider alternativ-los...

    Autor: Itchy 22.03.17 - 21:23

    Lösungen gibt es genug. Fängt vom Browser in einer VM-Sandbox an und hört beim Browser als RDP-App noch lange nicht auf.

    SSL Interceptoren im Unternehmensnetzwerk sind ja auch nicht per se schlecht. Nur haben die letzten Untersuchungen gezeigt, dass die meisten Geräte am Markt mehr Sicherheitslücken reinbringen (ging sogar soweit, dass ein Produkt den Hostnamen im Zertifikat des Servers nicht geprüft hat), als sie vermeintlich schließen.

  3. Re: Leider alternativ-los...

    Autor: Prinzeumel 22.03.17 - 21:58

    ...wer mit 'alternativlos' kommt macht schon was falsch...

  4. Re: Leider alternativ-los...

    Autor: laserbeamer 22.03.17 - 22:49

    Die beste Lösung bisher in einer Firma die ich gesehen hatte:

    Nachdem durch Viren ein Backup und das Produktivsystem abgeschmiert sind, sind jetzt alles Hauptrechner einfach nicht mehr an das Internet angeschlossen, nur noch Intranet.
    Mitarbeiter die einen Internetzugang für die Arbeit brauchen haben einen extra PC (eigentlich hier nen MacBook) bekommen.

  5. Re: Leider alternativ-los...

    Autor: Neuro-Chef 22.03.17 - 22:50

    RichardEb schrieb:
    > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
    > Client-Virenscanner durch Eigenbastelleien zu umgehen.
    Welcher Scanner soll das sein?

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

  6. Re: Leider alternativ-los...

    Autor: Neuro-Chef 22.03.17 - 22:51

    laserbeamer schrieb:
    > Die beste Lösung bisher in einer Firma die ich gesehen hatte:
    >
    > Nachdem durch Viren ein Backup und das Produktivsystem abgeschmiert sind,
    > sind jetzt alles Hauptrechner einfach nicht mehr an das Internet
    > angeschlossen, nur noch Intranet.
    > Mitarbeiter die einen Internetzugang für die Arbeit brauchen haben einen
    > extra PC (eigentlich hier nen MacBook) bekommen.
    Hängt halt von der jeweiligen Firma und den auszuführenden Tätigkeiten ab, ob das praktikabel ist.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

  7. Re: Leider alternativ-los...

    Autor: Apfelbrot 23.03.17 - 02:59

    Neuro-Chef schrieb:
    --------------------------------------------------------------------------------
    > RichardEb schrieb:
    > > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
    > > Client-Virenscanner durch Eigenbastelleien zu umgehen.
    > Welcher Scanner soll das sein?

    Meiner Erfahrung nach vermutlich jeder am Markt befindliche.

  8. Re: Leider alternativ-los...

    Autor: Neuro-Chef 23.03.17 - 05:24

    Apfelbrot schrieb:
    > Neuro-Chef schrieb:
    > > RichardEb schrieb:
    > > > ...solange die Mitarbeiter alles anklicken und es sogar hinkriegen die
    > > > Client-Virenscanner durch Eigenbastelleien zu umgehen.
    > > Welcher Scanner soll das sein?
    > Meiner Erfahrung nach vermutlich jeder am Markt befindliche.
    Ich fragte, weil "Eigenbasteleien" eher nach niederschwelligen Tricks klingt als nach einem tatsächlichen Angriff auf den Virenscanner mittels wie auch immer gearteter Programmierkenntnisse. Ersteres wäre schon ziemlich peinlich, wenn man damit z.B. den Passwortschutz des zentral verwalteten Malwareschutzes in der Enterprise Version (oder so) umgehen kann.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

  9. Re: Leider alternativ-los...

    Autor: MFGSparka 23.03.17 - 10:08

    Es gibt da so Erfahrungswerte die besagen, je restriktiver das Netzwerk ist, desto fantasiereicher werden die User versuchen diese Einschränkungen zu umgehen.
    Da werden zum Beispiel Webserver zum Download von Software und zum Surfen auf gesperrten Webseiten genutzt. Auf einmal stehen dann private LTE Modems im Büro und so weiter.

    Effektiv sinkt also langfristig die Sicherheit im Netz. Netzwerkadmins sollten sich eventuell mehr mit den Bedürfnissen der User beschäftigen und überlegen wie sie diese ohne ständiges generve befriedigen können statt alle paar Tage den Internetzugang noch weiter zu begränzen.

    Austauschzertifikate kommen mir nicht auf die Kiste. Dann schicke ich lieber meine Daten unverschlüsselt durch die Welt und verzichte darauf irgendwelche Seiten mit Login etc. zu verwenden.

  10. Re: Leider alternativ-los...

    Autor: andr_gin 25.03.17 - 23:48

    Ich frage mich ernsthaft wer von den ganzen Besserwissern hier in der Praxis schon einmal ein Firmennetzwerk betreut hat und damit meine ich wirklich dafür verantwortlich war anstatt nur schlaue Tipps von diversen Quellen aus dem Internet nachzuplappern.

    Fakt ist eine Firma braucht ab einer gewissen Größe eine vernünftige Firewalllösung und es ist einfach untragbar, wenn sich diese dadurch umgehen lässt, dass der Inhalt verschlüsselt wird. Hier gibt es lediglich 2 Möglichkeiten: Man leitet den kompletten Traffic über einen Proxy oder man hat eine transparente Lösung, die intern die Verschlüsselung aufbricht. In beiden Fällen wird entschlüsselt und wieder neu verschlüsselt.

    Nur einmal so zum Vergleich: Täglich bekommt unsere Firma in etwa 200 Spammails täglich pro Mitarbeiter. Davon können in etwa 98% vom Spamfilter abgefangen werden. Ein paar Mails sind harmlose Phising Mails, die einfach erkennbar sind und diverser anderer Werbemüll aber es bleiben dann in etwa 2 bis 3 Mails pro Mitarbeiter am Tag übrig, bei denen es sich um gezippten Schadcode handelt. Da zip Dateien als Ganzes nicht gesperrt werden können, Exchange und Outlook sich nicht um den Inhalt der zip Archive kümmern und die Detektionsrate der Virenscanner extrem niedrig ist (maximal 50% bei gutes VB Skripts mit dynamisch generiertem Inhalt) muss hier eine andere Lösung her. In unserem Fall ist es eine Firewalllösung, das die Verschlüsselung aufbricht, zip Dateien öffnet und Mails mit gewissen Dateianhängen abweist mit entsprechender Fehlermeldung an den Absender.

    So und jetzt einmal ehrlich: Wer hat in seinem Unternehmen schon einmal einen Virenbefall gehabt und wer hat einen nachweislichen Schaden durch Man in the middle Attacken gehabt? Beim Mailverkehr werden die Zertifikate sowieso nie geprüft, da sie sich in der Regel sowieso jeder selbst ausstellt.

  11. Re: Leider alternativ-los...

    Autor: Neuro-Chef 26.03.17 - 00:05

    andr_gin schrieb:
    > Fakt ist eine Firma braucht ab einer gewissen Größe eine vernünftige
    > Firewalllösung und es ist einfach untragbar, wenn sich diese dadurch
    > umgehen lässt, dass der Inhalt verschlüsselt wird. Hier gibt es lediglich 2
    > Möglichkeiten: Man leitet den kompletten Traffic über einen Proxy oder man
    > hat eine transparente Lösung, die intern die Verschlüsselung aufbricht. In
    > beiden Fällen wird entschlüsselt und wieder neu verschlüsselt.
    Das ist eine Meinung und kein Fakt.

    > Nur einmal so zum Vergleich: Täglich bekommt unsere Firma in etwa 200
    > Spammails täglich pro Mitarbeiter. Davon können in etwa 98% vom Spamfilter
    > abgefangen werden. Ein paar Mails sind harmlose Phising Mails, die einfach
    > erkennbar sind und diverser anderer Werbemüll aber es bleiben dann in etwa
    > 2 bis 3 Mails pro Mitarbeiter am Tag übrig, bei denen es sich um gezippten
    > Schadcode handelt. Da zip Dateien als Ganzes nicht gesperrt werden können,
    > Exchange und Outlook sich nicht um den Inhalt der zip Archive kümmern und
    > die Detektionsrate der Virenscanner extrem niedrig ist (maximal 50% bei
    > gutes VB Skripts mit dynamisch generiertem Inhalt) muss hier eine andere
    > Lösung her. In unserem Fall ist es eine Firewalllösung, das die
    > Verschlüsselung aufbricht, zip Dateien öffnet und Mails mit gewissen
    > Dateianhängen abweist mit entsprechender Fehlermeldung an den Absender.
    OK, aber was hat das Scannen von E-Mails jetzt mit dem Aufbrechen von HTTPS zu tun?
    Genau; nix.

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. B. Strautmann & Söhne GmbH & Co. KG, Bad Laer
  2. BüchnerBarella Holding GmbH & Co. KG, Gießen
  3. T-Systems Multimedia Solutions GmbH, Dresden
  4. WBS GRUPPE, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. PSN Card 20€ für 17,99€, Assassin's Creed Odyssey für 24,99€ und Tropico 6 für 31...
  2. (u. a. Fallout 4 GOTY für 26,99€ und Season Pass für 14,99€, Skyrim Special Edition für 17...
  3. (u. a. Logitech G910 + G402 für 99€ und ASUS Dual Radeon RX 580 OC + SanDisk SSD Plus 240 GB...
  4. (aktuell u. a. Corsair CX750 für 64,90€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

TES Blades im Test: Tolles Tamriel trollt
TES Blades im Test
Tolles Tamriel trollt

In jedem The Elder Scrolls verbringe ich viel Zeit in Tamriel, in TES Blades allerdings am Smartphone statt am PC oder an der Konsole. Mich überzeugen Atmosphäre und Kämpfe des Rollenspiels; der Aufbau der Stadt und der Charakter-Fortschritt aber werden geblockt durch kostspielige Trolle.
Ein Test von Marc Sauter

  1. Bethesda TES Blades startet in den Early Access
  2. Bethesda The Elder Scrolls 6 erscheint für nächste Konsolengeneration

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

  1. Google Earth: Virtuell durch die US-Nationalparks spazieren
    Google Earth
    Virtuell durch die US-Nationalparks spazieren

    Zur Nationalpark-Gedenkwoche in den USA ermöglicht es Google, über Google Earth 31 der 59 Parks kennenzulernen. Über kleine Touren lassen sich die Weite des Grand Canyon, die Hoodoos des Bryce Canyon oder die Bäume des Redwood-Nationalparks anschauen.

  2. Patentstreit: Apple zahlt wohl bis zu 6 Milliarden US-Dollar an Qualcomm
    Patentstreit
    Apple zahlt wohl bis zu 6 Milliarden US-Dollar an Qualcomm

    Die Streitigkeiten zwischen Apple und Qualcomm sind beendet, über die Höhe der vereinbarten Zahlungen herrscht allerdings Schweigen. Ein Analyst geht davon aus, dass Apple fünf bis sechs Milliarden US-Dollar zahlt. Dazu kommen noch bis zu neun US-Dollar Lizenzgebühren pro iPhone.

  3. Elektronikhändler: Media Saturn soll vor drastischem Stellenabbau stehen
    Elektronikhändler
    Media Saturn soll vor drastischem Stellenabbau stehen

    Bei Media Markt und Saturn stehen offenbar starke Einschnitte bevor: Wie Insider berichten, sollen Hunderte Stellen abgebaut werden. Besonders betroffen soll die Verwaltung der Kette in Ingolstadt sein.


  1. 16:00

  2. 15:18

  3. 13:42

  4. 15:00

  5. 14:30

  6. 14:00

  7. 13:30

  8. 13:00