[Bobby Shaftoe]

... kommt jetzt schon kaum nach, ihren IT-Grundschutzstandard zu pflegen. Wohin das führen kann, hat man am DE-Mail gesehen: Als Prestigeprojekt von Tante Merkel eifrig vor der CeBIT durchgewunken klaffen große Fragezeichen, die nie einen Sicherheitsaudit nach BSI-eigenen Regeln bestanden hätten. Warum zum Beispiel muss man für einen DE-Mail-Account eine Kopie des Personalausweises beim Hermes-Shop um die Ecke abgeben? Wo werden hier die Grundsätze der Datensparsamkeit und Zweckbindung eingehalten?
Für mich klingt die Aktion schwer danach, eine kleine Abteilung zu einer mächtigen Behörde aufzublähen und im Vorbeigehen mal schnell die Belegschaft zu verzwanzigfachen.

[SUPASLALOM]

Man kann die eigentliche Problematik, nämlich den laienhaften Umgang in Firmen mit Daten generell, nicht durch Verbote und Meldepflichten in den Griff bekommen.

Es ist schon vom Konzept her unsinnig, Daten die "geheim" bleiben sollen, in einer global vernetzten Struktur (Internet) vorzuhalten.

Warum ist vom Rechner eines Redakteurs die Kontenführung der Buchhaltung zu erreichen? Oder warum hat die Chefredaktion den selben "Netzanschluß" wie der Empfang in der Firmenzentrale?

Man muss solche Topologien physisch auftrennen und mit einer vernünftigen Rechteverwaltung absichern und dafür sorgen, das wirklich nur die Menschen Zugang haben, auch physisch, die ihn brauchen.

Sicherheit ist eine Ilusion. Keine technische Vorrichtung ist durch Missbrauch 100% abzusichern, vor allem dann nicht, wenn sie in einer öffentlichen Umgebung aufgestellt ist und damit, wenn auch durch Abschottungsmaßnahmen wie Firewalls begrenzt, Zugangsmöglichkeiten bestehen (Internet).

Und nur weil der BWL-geschulte Abteilungseiter das Gegenteil glaubt, wird es nicht wahrer.
Eigentlich muss er den teuer bezahlten System-Admins die Möglichkeit geben, ihn als den Vorgesetzten nicht nur nach dem Mund zu plappern, sondern die Wahrheit zu sagen - auch wenn diese Unbequem ist und Kosten nachsichzieht.

Und dann sollte man die Angestellten nicht quälen durch Diffuse Verbote und Schuldzuweisungen, sondern aufklären durch Schulungen, wie man überhaupt im Netz sicher surft.

Und diese Rechner sollten auf keinen Fall mit dem internen Netz kommunizieren, wieder muss strukturell getrennt werden!

Wenn ich lese, das sich die Washington Post oder die New York Times mit Anti-Viren Softwarre versuchte sich zu schützen... ich kann nur sagen: OMG!

AV-Programme helfen nicht bei gezielten Angriffen. Sie erkennen nur bereits bekannte und identifizierte Schädlinge die seit Monaten oder Wochen im Netz kursieren... sonst gar nichts!

Das hilft eine über Download-Portale oder Werbenetzwerke massenhaft in Verbreitung gebrachte Malware zu erkennen, aber nicht speziell gefertigte Trojaner.

Die ernst zu nehmende Teil der IT Sicherheitsindustrie nennt Anti-Viren Software "Schlangenöl" ... jenes Öl was die Quacksalber vor 150 Jahren auf den Dorfmarktplätzen der dummen Bevölkerung gegen jedes Leiden für teures Geld verkauften... wohl wissend deren Vertrauen und Ängste zu missbrauchen um sich selbst zu bereichern.


Hört doch alle mal bitte auf jene Menschen die qualifiziert sind und beendet die ewigen Selbstlügen. Das gilt generell im Leben,nicht nur bei IT Problemen die dann mit unsinniger Politik bekämpft werden.

Was das dem Steuerzahler allein an Kohle wieder kostet, hier Verwaltungsstrukturen aufzubauen... für rein gar nichts! :-/

[Bernd.Brincken]

Wenn sich "Hacker in das interne Redaktionsnetz eingewählt" haben, dann ging das nur, weil es nicht nach den Regeln der Zunft gesichert war.
Das ist erst einmal nicht anders als bei normalen Türen - wenn man sie nicht abschliesst, wird das Eindringen allzu einfach.

Und anders als bei materiellen Türen, wo ein entschlossener Einbrecher wohl immer, wenn er genug Aufwand treibt, eine Möglichkeit findet, ist es bei IT-Systemen mit den richtigen Maßnahmen möglich, Angriffe auch dann mit hoher Wahrscheinlichkeit scheitern zu lassen, wenn der Angreifer bereit ist viel Aufwand zu treiben.

Die Angriffe, deren IPs aus chinesischen Netzen kommen (ob es auch chinesische Hacker sind, ist damit übrigens nicht gesagt), machen es dann auch so, dass sie einfach großen Mengen Server nach Lücken abscannen - also auf Zufallstreffer setzen.

Vor diesem Hintergrund ist eine Meldepflicht für den Betroffenen tatsächlich peinlicher - und politisch fragwürdiger - als z.B. eine seltene Infektionskrankheit beim Menschen.

[suedseefrachter]

Die EU-Kommission hat ihre Pläne für eine Meldepflicht von Hackerangriffen konkretisiert: Unternehmen mehrerer Branchen sollen bei Vorfällen künftig die Behörden in ihrem Land einschalten. Viele Firmen scheuen die Transparenz, ein deutscher Konzern prescht nun vor.

EU-Kommission: 44.000 Firmen trifft Meldepflicht für Hackerangriffe - SPIEGEL ONLINE

selten so gelacht.

hatte beruflich einmal Zugang zu einem Behörden-Netz, wenn die kleinen Beamten wissen würden das alles was sie ansehen über nen proxy läuft und man sieht was sie ansurfen.... Pornoseiten waren da keine Seltenheit. Will nicht wissen was in den deutschen Behördenkämmerchen überall so abläuft...

[EchoRomeo]

Bevor der Telekomiker Obermann Forderungen stellt, soll er mal bei seiner T-Systems-Truppe nachfragen wie die das halten. Womöglich wäre ihm danach grottenschlecht.
Dann soll er seine - echten - Profis in dieser Truppe einmal danach fragen was die von den Polit-IT-Kapserle des BSI fachlich halten. Dann wäre ihm womöglich noch viel übler.
Und dann sollte er mal seine Consultants fragen, was deren Kunden davon halten wenn solche Infromationen, insbesondere die zu den Angriffsvektoren publik (gemacht) würden.
Nebenbei kann er sich dann auch mal - unter der Hand - bei seiner Truppe erkundigen, wie viele Infos die an die T-Kunden weitergeben, wenn sie selbst merken, daß die T-Datacenter Ziel einer Attacke sind.
Willkommen in der Cloud, wo alle Daten immer und überall jedem zur Verfügung stehen, der eins von vielen Hintertürchen entdeckt oder gebohrt hat. Fast schon Public Domain dieser Ansatz.

[albertdasschaf]

Google kauft sich in Frankreich frei, China attakiert Twitter, die USA verstärken in Expertenteam gegen Ciberangriffe, Meldepflicht bei Hackerattacken. Und das alles in einer Woche! Fliegt uns gerade das Internet um die Ohren? Natürlich kommt das alles völlig überraschend!

[rogerthetaxpayer]

Fragen wieviel "Hackerangriffe" die NSA so durchschnittlich taeglich durchfuehrt....

[nwjs]

"Bundesregierung arbeitet an IT-Sicherheitsgesetz"

wieso stellen sich mir da die Nackenhaare auf? Bisher hat man ja eher von populistischen Vorstößen wie Bundestrojaner, Impressumspflicht, Klarnamenpflicht, Pornoseitenverbot vor 23 Uhr, Killerspielverbot sowie rechtlich ungenügenden offiziellen Formulierungen für Gewerbe, die zum Abmahnen einladen, gehört. Ich kann mir schon lebhaft vorstellen, was für neue schwachsinnige Geistesblitze hier, durch Lobbyarbeit beflügelt, in Gesetzesform gegossen werden sollen.

[si tacuisses]

Man kann die eigentliche Problematik, nämlich den laienhaften Umgang in Firmen mit Daten generell, nicht durch Verbote und Meldepflichten in den Griff bekommen.

Es ist schon vom Konzept her unsinnig, Daten die "geheim" bleiben sollen, in einer global vernetzten Struktur (Internet) vorzuhalten.

Warum ist vom Rechner eines Redakteurs die Kontenführung der Buchhaltung zu erreichen? Oder warum hat die Chefredaktion den selben "Netzanschluß" wie der Empfang in der Firmenzentrale?

Man muss solche Topologien physisch auftrennen und mit einer vernünftigen Rechteverwaltung absichern und dafür sorgen, das wirklich nur die Menschen Zugang haben, auch physisch, die ihn brauchen.

Sicherheit ist eine Ilusion. Keine technische Vorrichtung ist durch Missbrauch 100% abzusichern, vor allem dann nicht, wenn sie in einer öffentlichen Umgebung aufgestellt ist und damit, wenn auch durch Abschottungsmaßnahmen wie Firewalls begrenzt, Zugangsmöglichkeiten bestehen (Internet).

Und nur weil der BWL-geschulte Abteilungseiter das Gegenteil glaubt, wird es nicht wahrer.
Eigentlich muss er den teuer bezahlten System-Admins die Möglichkeit geben, ihn als den Vorgesetzten nicht nur nach dem Mund zu plappern, sondern die Wahrheit zu sagen - auch wenn diese Unbequem ist und Kosten nachsichzieht.

Und dann sollte man die Angestellten nicht quälen durch Diffuse Verbote und Schuldzuweisungen, sondern aufklären durch Schulungen, wie man überhaupt im Netz sicher surft.

Und diese Rechner sollten auf keinen Fall mit dem internen Netz kommunizieren, wieder muss strukturell getrennt werden!

Wenn ich lese, das sich die Washington Post oder die New York Times mit Anti-Viren Softwarre versuchte sich zu schützen... ich kann nur sagen: OMG!

AV-Programme helfen nicht bei gezielten Angriffen. Sie erkennen nur bereits bekannte und identifizierte Schädlinge die seit Monaten oder Wochen im Netz kursieren... sonst gar nichts!

Das hilft eine über Download-Portale oder Werbenetzwerke massenhaft in Verbreitung gebrachte Malware zu erkennen, aber nicht speziell gefertigte Trojaner.

Die ernst zu nehmende Teil der IT Sicherheitsindustrie nennt Anti-Viren Software "Schlangenöl" ... jenes Öl was die Quacksalber vor 150 Jahren auf den Dorfmarktplätzen der dummen Bevölkerung gegen jedes Leiden für teures Geld verkauften... wohl wissend deren Vertrauen und Ängste zu missbrauchen um sich selbst zu bereichern.


Hört doch alle mal bitte auf jene Menschen die qualifiziert sind und beendet die ewigen Selbstlügen. Das gilt generell im Leben,nicht nur bei IT Problemen die dann mit unsinniger Politik bekämpft werden.

Was das dem Steuerzahler allein an Kohle wieder kostet, hier Verwaltungsstrukturen aufzubauen... für rein gar nichts! :-/

ist er noch immer nicht in der Lage zu schreiben.
Davon abgesehen dass es, was IT-Kompetenz in D angeht, das
Analphabetentum oft die Regel ist.