Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Interception: Sophos-Firewall…

Works as designed...

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Works as designed...

    Autor: Seelbreaker 21.04.17 - 13:25

    Die sind lustig... Wahrscheinlich wissen die ganzen User nicht einmal das deren https traffic gescanned wurde...

  2. Re: Works as designed...

    Autor: Sea 21.04.17 - 13:51

    täusch dich da mal nicht. Meine User quatschen mich ständig voll von wegen Überwachung von deren Traffic bla bla bla. Dabei haben wir das noch nie. Interessiert weder mich noch die GF wohin die User surfen.

    Abgesehen davon geht es ja bei der Sophos nicht darum, dass das Sufverhalten mitgeschrieben wird, sondern das der Content durch den Virenscanner der Sophos gejagt werden kann. DARAN hat man nunmal berechtigterweise ein Interesse

  3. Re: Works as designed...

    Autor: stiGGG 21.04.17 - 14:11

    Sea schrieb:
    --------------------------------------------------------------------------------
    > Abgesehen davon geht es ja bei der Sophos nicht darum, dass das
    > Sufverhalten mitgeschrieben wird, sondern das der Content durch den
    > Virenscanner der Sophos gejagt werden kann. DARAN hat man nunmal
    > berechtigterweise ein Interesse

    OMG, gibts solchen Murks immer noch? Damit eröffnest du doch am Ende des Tages nur neue Angriffsflächen. Neben Exploits im Browser bist du nun auch auf Grund Exploits im Virenscanner gefährdet und gerade Sophos ist bekannt für ihren schludrigen Code. Finden tut der Quatsch doch nichts sinnvolles, das ist 100% Schlangenöl.
    Als ich vor 10 Jahren noch Webentwicklung betrieben habe, hatte wir mal einen Fall, dass unsere Webapp bei einem Kunden Probleme gemacht hat. Nach wochenlangen hin und her haben wir dann rausgefunden, dass der Sophos Virenscanner auf den Clents der Kunden Schuld war und der Fix dafür war am Ende die Umbenennung einer Variable (!) im Javascript Code. Sophos hat den alten Bezeichner für böse eigestuft und einfach aus der Seite entfernt. Was hatten wir einen Hals...

  4. Re: Works as designed...

    Autor: ayngush 21.04.17 - 14:30

    Deren Traffic muss überwacht werden, das ist nun mal das Interesse des Unternehmens.

    Aus diversen Rechtsnachfolgen ergeben sich Schutzinteressen von Aktionären, Kunden, Inhabern aber auch das "Kaufmännische Treu und Glauben" der Geschäftsführung spielt dabei eine Rolle.
    Dir wird als verantwortlicher Administrator ein organisatorisches Versagen zur Last gelegt, sollte vom Firmeninternetzugang aus etwas schwer strafbares wie Kipo oder so etwas wie "Bundestagshacks" stattfinden und du dann nicht nachweisen kannst, welcher User zu dem Zeitpunkt von welchem Rechner aus welche URLs aufgerufen hat. Das ist nämlich das, was die Ermittlungsbehörden von Dir bzw. dem Unternehmen dann zur Beweissicherung ausgehändigt bekommen möchte, da kommt im Zweifelsfall auch das BSI / CERT mit um die Ecke. 90 Tage lang hast Du eine Aufbewahrungspflicht. Diese Logdateien dürfen natürlich nicht einfach so ausgewertet werden, müssen aber angelegt werden.

    Bei E-Mail, die einen geschäftsbrieflichen Charakter haben oder über die Aufträge abgewickelt oder angebahnt werden gelten noch schärfere Regelungen und Aufbewahrungspflichten.

    Informiere dich da mal und dann ist es deiner Treupflicht geboten die GF darüber in Kenntnis zu setzen.

    Grüße

  5. Re: Works as designed...

    Autor: peter.kleibert 21.04.17 - 14:30

    >Abgesehen davon geht es ja bei der Sophos nicht darum, dass das Sufverhalten
    >mitgeschrieben wird, sondern das der Content durch den Virenscanner der Sophos
    >gejagt werden kann. DARAN hat man nunmal berechtigterweise ein Interesse

    Bitte Sea, gibt mir dein Email-Konto und Passwort. Ich bin ja bekanntermassen einer von den Guten, mir kannst du vertrauen!

  6. Re: Works as designed...

    Autor: peter.kleibert 21.04.17 - 14:36

    >Deren Traffic muss überwacht werden, das ist nun mal das Interesse des
    >Unternehmens.
    Also dazu hätte ich gerne mal Beweise. Wenn das so wäre, würden 99% aller Unternehmen ihre Pflichten nicht erfüllen.

    "Pflicht zur Überwachung der Mitarbeiter" selten so was ***** gehört. Vielleicht schon mal was von Privatsphäre gehört? Da gibts übrigens ganz viele Urteile, welche den Unternehmen verbietet, Mitarbeiter generell zu überwachen.

  7. Re: Works as designed...

    Autor: narfomat 21.04.17 - 14:39

    >Nach wochenlangen hin und her haben wir dann rausgefunden

    wieso hattet ihr da nen hals? dafür seit ihr ja hoffentlich bezahlt worden? oder habt ihr das "problem beim kunden" für diesen kostenlos gefixt? also es gibt sicher kleinigkeiten die man in so nem fall mal ignorieren kann aber geht der aufwand dafür in die zweistelligen mannstunden, dann sollte das ja hoffentlich vom kunden bezahlt worden sein... sowas MUSS man schon aus prinzip machen, weil sich so ne scheisse sonst nämlich einbürgert und der kunde der meinung ist mit seinem sys wäre alles top, ich kenn das genauso und hab daraus gelernt. aufgrund von "sicherheitsmassnahmen" beim kunden kommts doch regelmässig zu vglb. incidents, da muss man den kunden auch mal spüren lassen das seine security policy ein "compliance-problem" hat. wenn ich wegen irgendwelcher zutritts- oder zugriffsberechtigungsprobleme 30min warte, kostet das den kunden geld. wenn ich, weil der admin auf der anderen seite seine firewall nicht beherrscht und erst nen "hersteller-spezialisten" in eine konferenzschaltung holen muss, um das VPN problem (auf SEINEM vpngw) zu klären, werd ich dafür bezahlt, und zwar für jede gottverdammte minute die ich dafür am telefon hänge... internes routing : "bei uns kommt nix an, da müssen sie mal bei sich nachschauen was da falsch läuft..." -> na klaaar, moment... =)
    am besten sind ja noch java versionsprobleme mit software... juuunge, wenn ich bei sowas jedesmal umsonst arbeiten würde, da müsste ich meinen stundensatz erhöhen...

  8. Re: Works as designed...

    Autor: My1 21.04.17 - 14:53

    ob man bezahlt wird oder nicht, einen fehler den man selbst nicht reproduzieren kann und dann auch noch wegen so nbem scheiß wie den namen einer Wariable, wie soll man auf sowas überhaupt kommen? natürlich nervt das extrem.

    Asperger inside(tm)

  9. Re: Works as designed...

    Autor: ChoMar 21.04.17 - 15:02

    Ich finde, das Interesse, verschlüsselten Traffic zu zertifizikatsbasierten Seiten aufzubrechen erst einmal nur begrenzt sinnvoll.
    Das ganze durch eine Firewall machen zu lassen, welche seit 17 Jahren veraltete Mechanismen einsetzt, ist wohl eher grobe Fahrlässigkeit als irgend etwas anderes.
    Dummerweise kann man von Administratoren nicht *verlangen* sich mit so etwas auseinanderzusetzen. So lange das irgend wie ein üblicher Standard ist (sprich: verkauft wird), ist es erledigt. Das ist als würden Autos ohne Bremsen zugelassen, wenn sie genug Leute kaufen.
    Ich bezweifle das der Virenscanner irgend etwas findet, was die Chrome- und Windowsschutzmaßnahmen nicht ebenfalls abfangen können (Was bei weitem nicht alles ist) sofern das ganze sauber konfiguriert ist. (z.B. gibt es die Notwendigkeit, das die Mitarbeiter Dateien mit Macros aus dem Internet laden? Wenn nein: Blockieren)

  10. Re: Works as designed...

    Autor: MoonShade 21.04.17 - 16:00

    Wenn es soviel berechtigtes "Schutzinteresse" von so vielen wichtigen Stakeholdern gibt, sollte man ja statt Sophos einfach auf allen Rechnern Linux verwenden und sich einen guten Admin zu holen, scheint mir die effektivste Methode zu sein, um das Schutzniveau im Unternehmen erheblich anzuheben.



    1 mal bearbeitet, zuletzt am 21.04.17 16:01 durch MoonShade.

  11. Re: Works as designed...

    Autor: 486dx4-160 21.04.17 - 16:14

    ayngush schrieb:
    --------------------------------------------------------------------------------
    > Deren Traffic muss überwacht werden, das ist nun mal das Interesse des
    > Unternehmens.
    >
    > Aus diversen Rechtsnachfolgen ergeben sich Schutzinteressen von Aktionären,
    > Kunden, Inhabern aber auch das "Kaufmännische Treu und Glauben" der
    > Geschäftsführung spielt dabei eine Rolle.
    > Dir wird als verantwortlicher Administrator ein organisatorisches Versagen
    > zur Last gelegt, sollte vom Firmeninternetzugang aus etwas schwer
    > strafbares wie Kipo oder so etwas wie "Bundestagshacks" stattfinden und du
    > dann nicht nachweisen kannst, welcher User zu dem Zeitpunkt von welchem
    > Rechner aus welche URLs aufgerufen hat. Das ist nämlich das, was die
    > Ermittlungsbehörden von Dir bzw. dem Unternehmen dann zur Beweissicherung
    > ausgehändigt bekommen möchte, da kommt im Zweifelsfall auch das BSI / CERT
    > mit um die Ecke. 90 Tage lang hast Du eine Aufbewahrungspflicht. Diese
    > Logdateien dürfen natürlich nicht einfach so ausgewertet werden, müssen
    > aber angelegt werden.

    Ich weiß nicht wer dir das erzählt hat, aber es ist schlicht falsch. Alles. Wenn deine Ausführungen euer Datenschutzbeauftragter liest ist die Kacke am dampfen. Und zwar ordentlich. Das ist kein Spaß.

  12. Re: Works as designed...

    Autor: Sea 21.04.17 - 16:16

    öhm... mein Text gelesen? Ich schreibe ja extra das es keinen Interessiert was der User da für Zeug konsumiert. Entsprechend wird es nicht gelesen, wenn einer da sein privates Mailpasswort über den geschäftlichen Äther schickt.

    Und zum Sophos Thema(und nein, wir setzen den Sophos Webfilter nicht ein): Es wird lediglich aus technischen gründen der MitM benötigt, nicht aus Schnüffelgründen.
    Wenn man darauf wert legt, muss man Software einsetzen, die Certificate Pinning einsetzt. Dann verweigert diese die Kommunikation über eine entsprechende Lösung.

  13. Re: Works as designed...

    Autor: ayngush 21.04.17 - 16:21

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > >Deren Traffic muss überwacht werden, das ist nun mal das Interesse des
    > >Unternehmens.
    > Also dazu hätte ich gerne mal Beweise. Wenn das so wäre, würden 99% aller
    > Unternehmen ihre Pflichten nicht erfüllen.
    >
    > "Pflicht zur Überwachung der Mitarbeiter" selten so was ***** gehört.
    > Vielleicht schon mal was von Privatsphäre gehört? Da gibts übrigens ganz
    > viele Urteile, welche den Unternehmen verbietet, Mitarbeiter generell zu
    > überwachen.

    Du glaubst gar nicht, wie viele Firmen ihre Pflichten nicht ordnungsgemäß erfüllen...
    Aber such doch selber bei Google, musst ohnehin immer auf den individuell anzuwendenden Fall schauen, da sich daraus die pflichten unterschiedlich ableiten. Teilweise muss man die Logs auswerten, teilweise nur führen...

    Ein Artikel dazu wäre: http://www.tecchannel.de/a/log-management-wichtige-gesetzliche-pflicht-fuer-unternehmen,2021947

    Aber wie gesagt, wer so freundlich wie Du auftrittst kann sich seine Infos selber zusammen suchen. Ich habe so ein kram halt im Modul "IT-Sicherheit und Datenschutz" gelernt. Wie wäre es mit anderen nicht gleich ihr Wissen in abrede zu stellen, nur weil man selber ein Bildungsdefizit hat?

  14. Re: Works as designed...

    Autor: ayngush 21.04.17 - 16:23

    Es ist halt (fallbezogen) eben nicht schlicht falsch. Unser IT-Sicherheitsbeauftragter achtet auf die ordnungsgemäße Einhaltung dieser Vorgaben.
    Nur weil Du keine Ahnung von IT-Organisation zu haben scheinst heißt das nicht, dass es keine IT-Organisation gibt.

  15. Re: Works as designed...

    Autor: Sea 21.04.17 - 16:26

    Hi

    du würfelst da ein paar Dinge durcheinander.
    Ich bin in keinster Weise dazu verpflichtet den Traffic meiner User zu loggen. Tatsächlich ist das sogar ausschliesslich dann erlaubt, wenn ein begründeter Verdacht vorliegt, wie z.B der Mitarbeiter veruntreut Daten usw.

    Was du vermutlich mal irgendwo aufgeschnappt hast, ist das mit den ISPs. Ab einer gewissen grösse fallen die in eine Kategorie, in der sie aufgrund de anlasslosen VDS gewisse Daten mitschreiben müssen.
    Wäre auch witzig, wenn Irgendwelche mittelständischen und Kleinbetriebe plötzlich anfangen müssten diese Daten zu erfassen. Stell dir das mal bei einem Betrieb vor, der quasi nur über RDP/Citrix arbeitet. Das braucht schon etwas mehr KnowHow um deiner IT beizubringen WELCHER User da gerade surft. Die meisten solcher Gerätschaften kann das nämlich nur anhand MAC/IP loggen. Dann weisst du genau so ivel wie davor.

    Geschäftliche Kommunikation, also Mails, Faxe usw sind da ein ganz anderes Thema, aber ja, da gibt es diverse Pflichten. Teils geradezu irrwitzige ...

  16. Re: Works as designed...

    Autor: JackApple 21.04.17 - 16:43

    Eure Diskussionen sind irgendwie witzig und trotzdem absurd...
    Bisher JEDES Unternehmen in dem ich gearbeitet habe, hat zu Mindest Proxys im Einsatz gehabt und wie jeder hier wissen sollte, loggt schon allein u.a. Sqid die Meta-Daten (Wer will wo hin?) mit... und genau solche Informationen ist ein Unternehmen sogar berechtigt zu sammeln und 90 Tage für Strafverfolgungsbehörden vorzuhalten. Ein Datenschutzverstoß liegt dabei erst dann vor, wenn zum Beispiel ein Admin ohne berechtigten Grund (zum Bsp. ein begründeter Verdacht auf eine Straftat) diese Daten durchsucht. Die Berechtigung ergibt sich dabei daraus, dass Unternehmen ein Interesse daran haben, sich vor einem Missbrauch ihres Internetanschlusses zu schützen. Gute Beispiele dafür wären u.a. KiPo, Warez, Computersabotage, etc...

  17. Re: Works as designed...

    Autor: ayngush 21.04.17 - 16:45

    Sea schrieb:
    --------------------------------------------------------------------------------
    > Hi
    >
    > du würfelst da ein paar Dinge durcheinander.
    > Ich bin in keinster Weise dazu verpflichtet den Traffic meiner User zu
    > loggen. Tatsächlich ist das sogar ausschliesslich dann erlaubt, wenn ein
    > begründeter Verdacht vorliegt, wie z.B der Mitarbeiter veruntreut Daten
    > usw.
    >
    > Was du vermutlich mal irgendwo aufgeschnappt hast, ist das mit den ISPs. Ab
    > einer gewissen grösse fallen die in eine Kategorie, in der sie aufgrund de
    > anlasslosen VDS gewisse Daten mitschreiben müssen.
    > Wäre auch witzig, wenn Irgendwelche mittelständischen und Kleinbetriebe
    > plötzlich anfangen müssten diese Daten zu erfassen. Stell dir das mal bei
    > einem Betrieb vor, der quasi nur über RDP/Citrix arbeitet. Das braucht
    > schon etwas mehr KnowHow um deiner IT beizubringen WELCHER User da gerade
    > surft. Die meisten solcher Gerätschaften kann das nämlich nur anhand MAC/IP
    > loggen. Dann weisst du genau so ivel wie davor.
    >
    > Geschäftliche Kommunikation, also Mails, Faxe usw sind da ein ganz anderes
    > Thema, aber ja, da gibt es diverse Pflichten. Teils geradezu irrwitzige ...

    Nein, ich verwechsel da rein gar nichts. Je nach Unternehmen und Branche gelten entsprechende Rechtsnachfolgen, durch Basel2 zum Beispiel, oder durch das TMG, wenn du als Diensteanbieter auftrittst (gilt wohl auch für Universitäten und das DFN).

    Für unser Unternehmen gilt in erster Linie das Aktiengesetz, gesetzliche Ordnungen zum Thema Versicherungen und das Telemediengesetz aufgrund des Hotspots in unseren Seminarräumen und diverse alte und neue EU Richtlinien aus dem Insurance Bereich - zukünftig wohl zusätzlich noch IDD... ich bin gespannt.

    KRITIS wäre da der nächste Punkt.

    Gemein haben alle, dass dort Formulierungen auftauchen, die einen zu einer ordnungsgemäßen IT-Organisation verpflichten und dass alle Maßnahmen ergriffen werden müssen, die zumutbar sind um Schaden vom Unternehmen, den Eigentümern des Unternehmens und den Kunden des Unternehmens abzuwenden. Wobei zu komplex nicht "unzumutbar" heißt, zu teuer jedoch schon usw. uswf.

    Die genauen Vorgaben und durchzuführenden Maßnahmen muss man sich dann ohnehin von Fall zu Fall individuell anschauen und kann dazu pauschal recht wenig sagen, jedoch ist nahezu jede Unternehmung zu "Treu und Glauben" verpflichtet und das beinhaltet auch den ordnungsgemäßen Umgang mit der IT des Unternehmens und den damit verbundenen Daten.

    Eine mir bekannte Behörde hatte mal einen IT-Sicherheitsvorfall gehabt, bei dem sich dann das BSI und die Staatsanwaltschaft mit einschaltete, da ging es dann genau um das Thema Logs und Aufbewahrungspflichten... Die waren nämlich auch der Meinung, dass keine Proxy-Logs angelegt werden dürfen, weil man damit ja das "private" Surfverhalten der Mitarbeiter überwachen würde... Seitdem wurden sie eines besseren Belehrt.

    Kann nur empfehlen sich in dem Bereich mal Kenntnisse anzueignen. Ist sehr spannend. Aber Achtung: Da tun sich aus IT Sicht teilweise Abgründe auf.

    Die Rechtswissenschaften sind jedenfalls ein spannendes Betätigungsfeld...

  18. Re: Works as designed...

    Autor: ayngush 21.04.17 - 16:46

    Danke, wenigstens einer, der es kapiert hat.

  19. Re: Works as designed...

    Autor: stiGGG 21.04.17 - 17:16

    narfomat schrieb:
    --------------------------------------------------------------------------------
    > >Nach wochenlangen hin und her haben wir dann rausgefunden
    >
    > wieso hattet ihr da nen hals? dafür seit ihr ja hoffentlich bezahlt worden?
    > oder habt ihr das "problem beim kunden" für diesen kostenlos gefixt? also
    > es gibt sicher kleinigkeiten die man in so nem fall mal ignorieren kann
    > aber geht der aufwand dafür in die zweistelligen mannstunden, dann sollte
    > das ja hoffentlich vom kunden bezahlt worden sein... sowas MUSS man schon
    > aus prinzip machen, weil sich so ne scheisse sonst nämlich einbürgert und
    > der kunde der meinung ist mit seinem sys wäre alles top, ich kenn das
    > genauso und hab daraus gelernt.

    War damals nur einfacher Angestellter, schon von daher war es mir egal ob die Stunden vom Kunden bezahlt wurden oder nicht. Aber kennst doch sicher wie das in Firmen ist und was das Management in so einem Fall blubbert... das ist ein strategisch wichtiger neuer Kunde, wir haben gerade einen Fuß in der Tür, da kommen noch mehr Projekte wenn sie zufrieden sind...

  20. Re: Works as designed...

    Autor: stiGGG 21.04.17 - 17:20

    MoonShade schrieb:
    --------------------------------------------------------------------------------
    > Wenn es soviel berechtigtes "Schutzinteresse" von so vielen wichtigen
    > Stakeholdern gibt, sollte man ja statt Sophos einfach auf allen Rechnern
    > Linux verwenden und sich einen guten Admin zu holen, scheint mir die
    > effektivste Methode zu sein, um das Schutzniveau im Unternehmen erheblich
    > anzuheben.

    Weißt du was das schlimmste ist? Dieser Sophos Crap ist keine Windowsgeschichte, den gibt es sogar für Linux und macOS ;)

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Aarsleff Rohrsanierung GmbH, Röthenbach a.d. Pegnitz (Metropolregion Nürnberg)
  2. Deutsche Telekom AG, verschiedene Standorte
  3. Verve Consulting GmbH, Hamburg, Köln
  4. SSI Schäfer Automation GmbH, Giebelstadt bei Würzburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-20%) 35,99€
  2. 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

  1. Mirai-Nachfolger: Experten warnen vor "Cyber-Hurrican" durch neues Botnetz
    Mirai-Nachfolger
    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

    Kriminelle nutzen Sicherheitslücken in IoT-Geräten zum Aufbau eines großen Botnetzes aus. Dabei verwendet der Bot Code von Mirai, unterscheidet sich jedoch von seinem prominenten Vorgänger.

  2. Europol: EU will "Entschlüsselungsplattform" ausbauen
    Europol
    EU will "Entschlüsselungsplattform" ausbauen

    Die Verschlüsselung privater Kommunikation soll auch auf europäischer Ebene angegriffen werden. Da der Einbau von Hintertüren offenbar vom Tisch ist, geht es nun um Schwachstellen bei der Implementierung und das Hacken von Passwörtern.

  3. Krack-Angriff: AVM liefert erste Updates für Repeater und Powerline
    Krack-Angriff
    AVM liefert erste Updates für Repeater und Powerline

    Nach dem Bekanntwerden der WPA2-Schwäche Krack hat AVM nun erste Geräte gepatcht. Weitere Patches sollen folgen, jedoch nicht für Fritzboxen.


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59