Projektbeispiel

Management: Was für Projekte haben wir? u.a.

Security and SD-WAN Network Project Management

Large scale Enterprise Network SD-WAN Rollout.

Rollout eines SD-WAN Networks auf Basis von Cisco Viptela und ZScaler. Mehrere hundert Standorte und Integration von anderen Enterprise-Netzwerken.

Bei einem Computer hat man die Virtualisierung schon als Begriff geprägt.
Ähnlich, wie man Rechner auf Blech virtualisiert, ging man dazu über, die Rechenzentren in ein SDL zu verwandeln. „Software Defined LAN“ und nun folgt das SD-WAN. Dies ist quasi eine Virtualisierung der Netzwerke, somit braucht man nicht mehr auf jedem Gerät (Router) einzeln Routen eintragen. Darüber hinaus wird der Verkehr nach Rahmenparametern gelenkt. Sogenanntes „Application Aware Routing“

Bei so einem Rollout gibt es viele verschiedene Bereiche und Teams, welche beachtet werden müssen. Wir hatten die Interaktion zischen den internationalen Teams zu verantworten. Die Stakeholder haben natürlich ihre eigenen Wünsche und gerade in produzierenden Betrieben bleibt die Produktionsfähigkeit ein Hauptaugenmerk bei den Umstellungen. Deswegen ist die richtige Vorbereitung ein wichtiger Faktor bei dem Rollout. Eine genaue Planung der Umstellung ist wichtig! Aber auch die Nachsorge in Form von Hypercare und schnellem Troubleshooting darf nicht unterlassen oder verzögert werden. In vielen Firmen ist die Datenqualität der Ansprechpartner, Antwortzeiten auf E-Mails und fehlende Wartung der Netze das Hauptproblem. Eine so umfangreiche Umstellung sollte nicht ohne vorherige Bereinigung der Netzwerk-Struktur stattfinden. Die Zeit, welche man dafür aufwendet, benötigt man hinterher nicht um Probleme zu lösen, das schafft auch eine bessere Akzeptanz bei den Stakeholdern.

Auch bei solchen Projekten braucht man einen strukturierten Plan.

Wenn ich acht Stunden Zeit hätte um einen Baum zu fällen, würde ich sechs Stunden Zeit nehmen um die Axt zu schleifen.

Abraham Lincoln

Erklärung: Warum Firewalls?

Erklärung: Warum Firewalls? Warum Firewalls, ist das nicht schon lange schon überholt?
Es werden täglich Tausende neue Zero-Day-Angriffe (unbekannte, ungepatchte Angriffe) gestartet und versteckte Bedrohungen stellen Erkennungstechnologien auf die Probe.

Sie sind vermutlich hier, weil Sie das Netzwerk indem Sie arbeiten, absichern wollen oder müssen. Es gibt Aussagen, welche Firewalls als obsolet bezeichnen. Virenschutz ist nicht mehr sicher. Wozu brauchen wir das dann noch? Sollte oder kann man darauf verzichten? Wie kann man die Rechner oder das Netz dann schützen? Ihre Daten sind wichtig, nicht nur wegen der DSGVO, sondern weil es Ihre Preise, Ihre Marge, Ihr Angebot, Ihre Lieferanten oder Ihre Patente sind.

„Erklärung: Warum Firewalls?“ weiterlesen

Stormshield (Airbus) + masterdigital

Wir bauen auf Stormshield als neuen (Europäischen) Partner

Common Criteria, EAL, was bitte? Ich will doch nur Sicherheit…

Angesichts der modernen Bedrohungen kann sich auch ein kleines Unternehmen nicht auf kleine Sicherheitsmaßnahmen verlassen. Im Zeitalter von Cryptotrojanern, IoT (Internet der Dinge) und der DSGVO erwacht bei vielen das Bewusstsein, wie hoch ihr Bedürfnis für mehr Sicherheit ihrer Daten und Infrastruktur tatsächlich ist.

Aber was hat das mit Common Criteria und EAL zu tun? Glücklicherweise handelt es sich hier nicht um ein weiteres Gesetzeskonstrukt á la DSGVO, das uns dazu zwingt noch mehr Geld in die Hand zu nehmen und Zeit aufzuwenden, die man eigentlich für andere Dinge bräuchte. Es beschreibt etwas, das dem Kunden Sicherheit garantiert.
Die Common Criteria (übersetzt „gemeinsame Kriterien“) wurden ins Leben gerufen um Software- und Hardware-Produkten einen internationalen Sicherheitsstandard zu geben.
Darin werden verschiedene Anforderungen beschrieben, die dazu dienen, festgelegte Sicherheitsziele zu erreichen. Ebenso legen die Common Criteria fest, wie jene Kriterien geprüft werden müssen, damit das Produkt für verschiedene Evaluierungslevel (EAL – Evaluation Assurance Level) zertifiziert werden kann.

Warum sollte ich das beachten?

Durch den Kauf nach Common Criteria zertifizierter Produkte, hat der Kunde die Gewissheit, dass die Funktion (EAL1), die Struktur (EAL2), die Methode (EAL3) und der Quellcode (EAL4) von unabhängigen Stellen getestet und überprüft (bei EAL4 auch durchgesehen und entwickelt) wurde.
Die Level bauen aufeinander auf und ab EAL5 kommen formale Spezifikations- und Verifikationsmethoden hinzu. Hier genügen herkömmliche Entwicklungsmethoden nicht mehr. Das Ziel der EAL-Zertifizierung ist bestätigen zu lassen, dass die angewandte Technologie tatsächlich auch den Zweck und die Funktion erfüllt, den der Hersteller seinem Produkt zuschreibt. Damit wird das Vertrauen der Kunden in die eigenen Produkte gestärkt.

Zu dem Hersteller

Das französische Unternehmen Stormshield, das mit bereits 20 Jahren Erfahrungen im Bereich IT Security ein Player der frühen Stunde in diesem Bereich ist, hat sich daher für die EAL3+ bzw. EAL4+ Zertifizierung entschieden.

Als europäischer Marktführer für den Schutz digitaler Infrastrukturen und als 100-prozentige Tochtergesellschaft von Airbus CyberSecurity (Airbus Defense & Space) bietet Stormshield vertrauenswürdige Spitzenlösungen, die nach höchsten europäischen Standards zertifiziert sind (neben EAL3+ und EAL4+ auch EU RESTRICTED, NATO und ANSSI).

Und da derzeit auf die BSI Zertifizierungen hin gearbeitet wird sollte demnächst das letzte Hindernis beseitigt werden, damit auch deutsche Ämter mit Lösungen von Stormshield ausgestattet werden können. Die adaptiven Lösungen von Stormshield lassen sich auf Ihr Unternehmen maßschneidern und sind bereits in der Standardversion wirksam und bedienerfreundlich und bieten für Organisationen aller Größen denselben Schutzgrad ohne die Ressourcen zu stark zu belasten.

DSGVO und Gedanken dazu

Die Regierungen haben sich wieder mal was geleistet

Jeden soll es treffen, keiner ist ausgenommen. Alle müssen sich damit auseinandersetzen. Und jeder weiß, wie es richtig geht. Und jeder schreibt was anderes.

So zumindest stellt es sich dar, wenn man im Internet nach Informationen zur DSGVO sucht.

Fragen

Darf ich meinen Cloud-Anbieter noch nutzen? Wenn ja, brauche ich einen Auftragsdantenverarbeitungsvertrag mit diesem Anbieter? Reicht es, wenn er nach DSGVO zertifiziert ist? Woran erkenne ich eine Zertifizierung? Was, wenn mein Handy das Adressbuch in der Cloud sichert? Brauche ich dann ein Einverständnis all derer, die im Adressbuch aufgeführt sind, dass ich ihre Daten in der Cloud bei eben diesem Anbieter sichern darf? Muss ich dann jeden einzelnen darüber informieren, welcher Anbieter das ist und wer der Ansprechpartner des Anbieters zum Löschen der Daten ist? Bedeutet das also, dass der Cloud-Anbieter offiziell Zugriff auf meine Daten haben muss?

Wenn ich meinen Kunden in deutlicher, klarer Sprache darüber informieren muss, was mit seinen Daten passiert, warum brauche ich dann einen Anwalt, der mir die DSGVO in klare Sprache für mein Unternehmen übersetzt? Welchen Aufwand muss ich betreiben, damit meine Mitarbeiter auf Ihren Firmen-Smartphones keine Apps (wie bspw. $Messenger) mehr nutzen, die Zugriff auf das Telefonbuch verlangen bzw. diesen Zugriff nicht mehr zulassen? Wie nutzen sie dann $Messenger? Müssen E-Mails zukünftig verschlüsselt werden? Es dürfen keine personenbezogenen Daten wie IP Adresse ohne Zustimmung gespeichert werden, aber jeder Webserver hängt hinter einer Firewall, die den Webtraffic analysiert und loggt.

Wir könnten einfach aufhören das Internet zu nutzen.

Was ist nun zulässig und wie ist das in der Praxis umzusetzen? Wenn man sich all die Fragen und dazu die Vielzahl an Antworten darauf im Netz anschaut wundert es nicht, dass einige noch immer abwarten und Tee trinken während andere das Ende der Datenfreiheit verkünden. Wer viel mit personenbezogenen Daten hantiert und Sicherheit haben will wird wohl nicht um das Konsultieren eines Fachanwaltes für Datenschutz kommen. Aber – wichtig! – immer darauf achten, dass dieser auch im Fall der Fälle dafür einsteht.

Interessant wird auch die Entwicklung der mit Werbung finanzierten Branchen in der Ära der DSGVO. Durch das enthaltene Kopplungsverbot, das festlegt, dass einem Benutzer die Nutzung eines Dienstes nicht verwehrt werden darf, wenn er die Datenspeicherung verweigert.
Es wird spannend werden, was sich z.B. werbefinanzierte Email-Anbieter wie $Maildienst & co. einfallen lassen werden um Neukunden abzuweisen, wenn sie die Speicherung&Verarbeitung ihrer Daten zu Werbezwecken verweigern. Dasselbe gilt für werbefinanzierte Webseiten, die bisher den Zugang verwehrt haben, wenn man einen Werbeblocker installiert hat.

Der allgemeine Tenor derer, die über die DSGVO im Internet informieren, lautet, dass die DSGVO gegen Facebook, Google und Co. eingeführt wurde. Wenn das so sein sollte, dann ist hier gewaltig etwas schief gelaufen! Natürlich müssen diese Konzerne Änderungen vornehmen und das ist auch richtig so. Aber jene Konzerne verfügen über Mittel und Anwälte um die entsprechenden Anpassungen vorzunehmen und werden Wege und Lücken finden um die Regulierungen zu umgehen, wenn es sein muss.

Am härtesten trifft die DSGVO die privaten Blogger oder Klein- und Kleinstunternehmen. die die Leidtragenden der DSGVO sind, die nicht nur sowieso häufig schon kapazitiv am Rande sind, sondern auch noch das oft schon knappe Budget in die Hand nehmen müssen um es den Profiteuren der DSGVO in den Rachen zu werfen. Profiteure sind neben den Anwälten, die Unterstützung zur Vorbereitung auf die DSGVO anbieten, hier vor allem die Anwälte und Vereine, deren Einkommensquelle Abmahnungen und Unterlassungserklärungen sind(*), und deren Angriffsfläche durch die DSGVO immens erweitert werden dürfte. Auch die Verpflichtung zur Nutzung aktuellster Technik zum Schutz der Kundendaten dürfte dem Budget der Klein(st)unternehmen nicht gerade zuträglich sein. So befinden wir uns wieder einmal mehr auf einem Nebenkriegsschauplatz, der uns davon abhält unsere Arbeit zu tun und damit Geld zu verdienen.

Mein Fazit

Es wird spannend werden, wie die werbefinanzierte Onlinewelt auf die Einführung der DSGVO reagieren wird. So interessant der Ansatz der DSGVO im Bezug auf Schutz vor Datenmissbrauch ist, so hängt ihre Effizienz doch letzten Endes davon ab, ob der Einzelne davon Gebrauch machen wird. Nachbesserungsbedarf besteht definitiv bei der Anwendung auf Klein(st)unternehmen und Hobbyblogger. Natürlich sollte auch hier der Datenschutz entsprechend zum Tragen kommen, jedoch dürfen die Konsequenzen bei Nichteinhaltung nicht unmittelbar zur Existenzbedrohung werden.

P.s. Daten, die nur privaten und familiären Kontakten dienen, sind bei der DSVGO ausgenommen.

Passwort ändern, wichtige Richtlinien

Das Passwort ändern

Seit Jahr und Tag wird verbreitet, dass man regelmäßig sein Passwort ändern soll. Viele Richtlinien benötigen ewig um von Anwendern umgesetzt zu werden. Aber manche schaffen es doch, nach Jahren, sich zu etablieren. Bei einem Kunden, muss ich alle 45 Tage mein Passwort ändern. Bei anderen Kunden manchmal auch alle 30 Tage, das ist jedenfalls sehr kurz hintereinander und auch irgendwo sehr arbeitsintensiv.
Man meint, die Sicherheit steigt dadurch, aber man verwechselt auch oft die Kennwörter und sperrt das Konto. Das ergibt Aufwand im Servicedesk.
Nur, solange ich keinen Hinweis darauf habe, dass das Konto kompromittiert wurde, brauche ich das Kennwort nicht ändern.
Es ist viel wichtiger, für jeden Login ein eigenes Passwort zu haben.
Und natürlich sollte das Passwort länger als 8 Zeichen sein, um einiges länger!

Im Bezug auf Sicherheitsüberprüfungen wollte ich vor einiger Zeit mal eine Datenbank für verschiedene Passwörter bei mir anlegen (errechnen lassen). Das Programm meinte, es wolle mal Passwörter von 1 – 13 Stellen erstellen und schreibt dann mal 1PB an Daten. Also Gigabyte * 1024 = Terabyte. Terabyte * 1024 = Petabyte …..
10 Hoch 15 Byte = 1 000 000 000 000 000 Byte
Ich meine, Plattenplatz kostet ja heutzutage nichts mehr, aber trotzdem ^^.
Wenn ich bedenke, dass meine Passwörter 15 – 25 Zeichen lang sind ….
Also, zusammenhängende Wörter, für jeden Login ein Passwort, unterschiedliche Längen der Passworte, Sonderzeichen, Groß-/Kleinschreibung.

Beispiele

D@s-Fenster!stoffen32  könnte zum Beispiel ein Passwort sein, das kann man noch ausschmücken. Eine Fremdsprache hinzufügen, Denglisch nutzen…
Ich-havemeinen1RechnerGeupgraded9 ……Viel Spaß beim errechnen. Wer das Passwort knackt, hat es verdient.

War es das jetzt?

Natürlich ist das keine 100% Richtlinie. Man kann das Kennwort auch mal alle paar Monate wechseln. Aber nicht alle 30 Tage, das finde ich übertrieben. Dann schon eher onetime Passwörter oder Smartcards oder andere Token.
Ich würde auch eine Unterscheidung machen, wie wichtig der Login ist. Admin Berechtigung mit längeren PW und öfter wechseln. Facebook …
Überhaupt nicht nutzen… Spaß. Facebook ist natürlich schon im Fokus, speziell für größere Firmen kann es heikel sein, falls der Account geknackt wurde.
Ich bin der Meinung, dass man keine komplett gleiche Vorgehensweise bei der Erstellung der Passwörter haben sollte.
Das ist meiner Meinung nach das sicherste Vorgehen.

Eine Übersicht zur Unterstützung der Verwaltung von Kennwörtern gibt es z.B. bei Wikipedia

In Browsern gibt es immer wieder Sicherheitslücken, welche die Passwörter auslesbar machen! Das Speichern im Browser sollte also nicht genutzt werden. Zu meinem Erstaunen hat Microsoft die verpflichtende Passwort wechsel Richtlinie entfernt. Seit einigen Wochen gibt es mehr zu dem Thema zum Beispiel „Time to rethink mandatory password changes“

Schlimme Passwörter sind:

Master
qwertz
123456……
111111
letmein
princess
passwort   <-echt jetzt?
fussball