Unternehmen + Sicherheit nach innen - Mitarbeiter = größeres Risiko als Hacker

#1 Der (un)geschützte Firmenrechner

ich habe das Gefühl den meisten Unternehmen ist das Risiko nicht bewusst:
Gefahr besteht nicht nur von aussen durch Hacker, Viren etc. im Computernetzwerk...

sondern viel mehr durch die Mitarbeiter/Azubis, die oft unkontrolliert Zugriff auf Datenbanken, sensible Informationen etc. haben.

* nicht nur offene USB Ports (für USB Sticks) sind ein Risiko
* auch der Anschluss eines Firmenrechners ans Internet ist heikel. Falls der Browser keine Downloads zuläßt, läßt er meiner Erfahrung nach zumindest Uploads also das hochladen von Dokumenten und Excel Dateien zu!
folgendes Unternehmen hat interessante News dazu.

Meine Frage nun:
* Wie sind Eure Erfahrungen? Sind Unternehmen wo ihr arbeitet in diesem Sinne genug gegen interes Hacking abgesichert?

freue mich auf eure Erfahrungen, Berichte, Skandale, Fragen und Vorschläge!

Greetz Lp

#2 Hi laser,

kurz und einfach : Nein, Garnicht!

Es is tatsächlich so das die meisten firmen (hab täglich mit grösseren unternehmen zu tun) keinerlei wert auf sicherheit im internen bereich legen, jeder mitarbeiter könnte nach belieben daten ins internet hochladen oder einfach auf cd brennen..
In den meisten fällen haben die mitarbeiter sogar uneingeschränkten zugriff auf den kompletten firmenserver.
Nachdem ich sie dann darauf hingewiesen habe, kam meistens nur ein oh ah ja das wissen wir und werden es umgehend beheben.. Was sie natürlich nicht tun.

Ich denke das hängt in der heutigen zeit mit den immensen kosten der ganzen security firmen zusammen, da die meisten halt keinen eigenen system administrator haben..
Und sowieso sind die mittel in den meisten fällen knapp, wo sicherheit speziell im internen bereich nicht ausreichend beachtet wird, und die "loyalität" der mit Mitarbeiter zu blauäugig betrachtet wird...


Mfg

Ceo
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>

#3 In dem Umfeld, in dem ich tätig bin wurde dieses Problem schon erkannt und es wird dem entsprechend gehandelt. Obwohl es auch gegen "Datenschwund" keine Patentlösung gibt. Die Daten können immer noch auf viele Arten und Weisen das Haus (wenn nicht digital, dann immer noch in Papierform z.B., auf eine Diskette passen ja meist auch schon mehrere Worddateien...) verlassen und es ist ein Balanceakt zwischen Sicherheit und Unhandlichkeit.

So wird in dem Umfeld in dem ich arbeite oft mit Whitelists für den Internetverkehr gearbeitet. Die Browser sind funktionstechnisch dermaßen verrammelt, daß viele Seiten gar nicht anzeigbar sind. Für das "freie Surfen" gibt es ein gesondertes Netz. In dem Netz befinden sich dann aber auch keine Kundendaten.
Der Emailverkehr wird in jeglicherweise Form "durchforstet". Zig Viren und Spamfilter. Emails mit Attachments werden -händisch- überprüft und weitergeleitet, Einverständniserklärung der Mitarbeiter natürlich vorausgesetzt Es werden auch nur eine handvoll Arten von Attachments erlaubt. Spaßmails unerwünscht.
USB- Sticks oder ähnliches wurden erst freigegeben, nachdem man genau mitloggen konnte, was wann wo von wem mit welcher Datei passiert ist.

Praktikanten, die nur kurz das Unternehmen besuchen bekommen keinen Netzzugriff.

Das Ganze kostet sicherlich eine Menge Geld, ist es denen, die es bezahlen aber anscheinend wert

Wie gesagt, es ist immer ein Balanceakt zwischen Handlichkeit und Sicherheit. Oft macht einen das Sicherheitsgehabe schon ziemlich ärgerlich, da man teilweise immens ausgebremst wird.

Grüße
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#4 Hallo Laser,

das Problem ist bekannt und einfach(!) lösbar.

1) "Juristisch sauber" den internen Zugriff / Datenweitergabe verbieten.

2) allgemeine Sicherungsmaßnahmen treffen (s.o.)

3) Die Festplatten forensisch untersuchen lassen(!)

Tschüß
Yakusana

P.S. Ich mache so etwas schon seit Jahren hauptberuflich in UK - ist auch für Deutschland anwendbar!