Firmenintranet im Internet, wie sicher ist das?

#0
12.11.2008, 16:46
Member

Beiträge: 51
#1 Hallo liebe Forengemeinde,
meine Firma hat unseren Intranetauftritt (interne Infos) über das Internet zur Verfügung gestellt. Das bedeutet, jeder Mitarbeiter kann sich von jedem Rechner der Welt über https anmelden und seine dienstemails lesen, aber er kann auch z.B. seine Kontodaten ändern.
Wie ist eure Einschätzung, ist dieses Verfahren sicher? Gibt es Möglichkeiten, dass jemand trotz Verschlüsselung der Datenübertragung das Passwort herausfindet? Immerhin besteht so die Möglichkeit dass sich jemand das sauer verdiente Gehalt auch ins Ausland überweist....
Seitenanfang Seitenende
12.11.2008, 18:13
Member
Avatar Gool

Beiträge: 4730
#2 Viele Firmen machen das. Wie sicher es ist, kann man pauschal nicht sagen - das kommt ganz auf den/die Admin/s an, der/die dafür verantwortlich ist/sind, schließlich ist eine ganze Menge in Sachen IT-Security für solche Fälle zu beachten.

Und es gibt IMMER Möglichkeiten, ein Passwort herauszufinden - die Frage ist nur, ob es den Aufwand dann Wert ist (Kosten/Nutzen-Relation).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
12.11.2008, 18:17
Member

Themenstarter

Beiträge: 51
#3 Naja, ob es den Auwand Wert ist? Ich denke pro Passwort wären min. 2000€ drin und es wird um kleinere Summen schon Aufwand betrieben ;-)
Ich fürchte dass ausser der https Verschlüsselung nicht weiter auf Datenschutz geachtet wird.
Seitenanfang Seitenende
12.11.2008, 18:21
Member
Avatar Gool

Beiträge: 4730
#4 Datenschutz bedeutet nicht unbedingt technische Absicherung gegen Angriffe. Eine Verletzung des Datenschutzes wäre es bspw., wenn das System zwar top gegen Angriffe von außen abgesichert wäre, aber jeder Mitarbeiter die Gehaltsabrechnungen seiner Kollegen einsehen könnte. Da müssen wir also differenzieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
12.11.2008, 19:06
Member

Themenstarter

Beiträge: 51
#5 Bisher betrafen die "Maßnahmen" auch nur den Datenschutz und der ist ja bekanntlich sowieso nicht so wichtig. Die Frage ist, ob bei diesem tollen Projekt auch an die Sicherheit gedacht wurde. Der mailserver soll wegen des intranet mittlerweile vor der Hardwarefirewall stehen. Wir sind kein 5 Arbeitsplatzunternehmen sondern hier stehen etwa 3000 Rechner mit etwa der gleichen Anzahl Nutzerkennungen die eigentlich alle von irgendwo auf das Netz zugreifen können.
Es ist übrigens auch möglich, über eine website Texte und Fotos direkt in die Hauptdatenbank zu laden(ohne Virenscanner). Dabei geht es um Bewerbungsfotos und Zeugnisscans.
Ich halte diese Verfahren für ziemlich unsicher, habe aber keine Fakten und auf Sicherheit geprüft wurde das System nie.
Sorry, sowas blödes würde ich nicht mal im "Heimnetzwerk" machen *heul*
Seitenanfang Seitenende
12.11.2008, 21:26
Member
Avatar Gool

Beiträge: 4730
#6 Dass der Mailserver nicht durch eine Firewall geschützt wird, denke ich nicht. Eher hast Du da was falsch aufgefasst. Der Mailserver wird sich eher in einer demilitarisierten Zone (DMZ) befinden, ein Bereich, der vom internen Netz separiert ist und entsprechend andere Zugriffsregeln von außen hat. Insbesondere in einem Unternehmen, in dem es 3.000 PC-Arbeitsplätze gibt, wird nicht der Sohn vom Nachbarn sein Taschengeld aufbessern, indem er die IT-Verwaltung für ein Unternehmen dieser Größenordnung übernimmt. Eher habt ihr eine eigene Fachabteilung mit IT-Spezialisten oder ein externes Unternehmen damit beauftragt. Ich habe zwar schon eine Menge erlebt, aber für die kuriosen Dinge waren immer nur ein oder zwei Leute verantwortlich - keine ganze Abteilung oder ein ganzes Unternehmen. Wäre euer Unternehmen nur vielleicht 20 Mann stark, dann ist die Gefahr, dass man sich nen Pseudo-Experten ins Boot holt, größer, weil man als mittelständisches Unternehmen eher auf den Preis achtet (und für einen Laien ist es ja auch nicht ersichtlich, ob der angebliche Fachmann wirklich so fachmännisch ist, wie er tut). Leider wird oft genug auf den billigen Anbieter zurück gegriffen, eine One-Man-Show, mit den Folgen, dass Systemhäuser wie das, in dem ich angestellt bin, dann hinterher viel damit zu tun haben, aufzuräumen. Das kommt die Unternehmen dann teurer, als wenn sie sich gleich an einen wirklichen Profi gewendet hätten. Oh... ich schweife ab ;)

Also, ich hätte da keine Bedenken. Du wirst sicherlich auch keinen Plan der Netzinfrastruktur präsentieren können, anhand dessen man nach potentiellen Schwachstellen suchen kann.

Noch ein Nachtrag zum "Datenbankproblem". Die Daten werden nicht als ausführbare Dateien in der Datenbank gespeichert, sondern quasi nur als "Code". Man kann auch in einer Datenbank selbst keine Applikationen starten, somit ist es nicht möglich, dass sich die Datenbank aus sich heraus infiziert. Natürlich besteht ein Risiko, dass manipulierte Grafiken oder Text-Dokumente (insbesondere MS Word) in die Datenbank gelangen und dann den PC des Angestellten bedrohen, der diese Dateien auf seinem Windows-System öffnet. In aller Regel sind aber die Sicherheitsrichtlinien im Netzwerk so gesetzt, dass niemand mit administrativen Rechten arbeiten kann. Oft sind diese sogar so restriktiv, dass ein Schadprogramm gar nichts auszurichten vermag. Das paart man mit einer Antivirenlösung und schon hat man ein recht zuverlässiges System. Das gilt im Übrigen auch für Terminalserver. In einem 3.000 Mann(Frau) starken Unternehmen - sind das 3.000 PCs? Oder sind da auch Terminalserver-Lösungen mit ThinClients vorhanden?

Übrigens: woher weißt Du, dass das System nie auf Sicherheit geprüft wurde? Ich dachte, Du hättest da keine Fakten? Jedenfalls schreibst Du das in einem Satz.
Ich werde nicht schlau aus Dir. Auf der einen Seite äußerst Du bedenken, weißt aber gar nichts über die Hintergründe. Und dann auf einmal weißt Du Dinge, die Du eigentlich gar nicht wissen kannst, wenn Du nicht selbst mit dem Netzwerk betreut bist. Willst Du Dich hier bloß aufspielen oder bist Du schon immer ein Pessimist, der alles schlecht redet? Wenn Du es doch besser weißt, warum gehst Du nicht zu den Verantwortlichen und redest mit Ihnen über die Bedenken? Die werden Dir vielleicht erklären, warum was wie ist.

PS: Und bitte schreibe nur das, was Du wirklich weißt - und keine wagen Vermutungen, die eure IT-Abteilung oder das externe Unternehmen diskreditieren. Aussagen wie "wurde nie getestet" von jemandem, der gar keine Ahnung hat oder jemandem, der gar nicht mit der Aufgabe betreut ist, entbehren jeglichen Niveaus und find ich persönlich einfach nur sch****.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 12.11.2008 um 21:47 Uhr von Managor editiert.
Seitenanfang Seitenende
12.11.2008, 23:29
Member

Themenstarter

Beiträge: 51
#7 Danke erstmal für eure Antworten. Ich habe leider nur ein ungesundes halbwissen. Das Projekt Intranet ist so wichtig, dass der mailsever ausserhalb der DMZ gestellt wurde. Ich will niemanden diskreditieren und mich auch nicht wichtig machen, ich sehe verflixt viele Sicherheitslücken und kann nicht glauben, dass man in einem so grossen Unternehmen mit IT Profesionals so einen Murks machen kann. Jeder Mitarbeiter kann von Zuhause oder aus dem Internetcafe auf das Intranet zugreifen und auch SEINE Kontoverbindung ändern, Gehaltsabrechnungen einsehen und vertrauliche mails lesen (MS Webaccess).
Ich weiss einfach nicht bzw. mir fehlt das Faktenwissen ob es Cracker gibt die, wenn sie durch eine Gehackte Kennung erstmal nen Fuss im System haben weiter gehen können. Als ich mal was gesagt habe, hiess es, https ist sicher, da kann garnix passieren. Unsere IT ist eigentlich echt klasse und manche Probleme habe ich don ITlern gehört. Wenn der Chef allerdings irgendwas will, dann wird das auch so gebaut auch wenn das System dann unsicherer ist.
Wir haben keine Thin Clients, das ist aber in Planung. Natürlich werde und kann ich keine Infrastrukturen präsentieren.
Seitenanfang Seitenende
13.11.2008, 16:25
Member
Avatar Gool

Beiträge: 4730
#8 Ha, ich musste gestern ein paar Aggressionen abbauen ;) Wenn die IT sagt, dass sie das machen, was der Chef sagt, auch wenn es auf Kosten der Sicherheit geht, dann wäre das allerdings schon verantwortungslos. Wenn ich Änderungen vornehmen muss, die ich nicht verantworten kann, dann möchte ich das schriftlich haben. Aber zunächst sollte geschaut werden, ob es keine Alternativen gibt, die genau so (oder zumindest ähnlich) funktionieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
13.11.2008, 19:15
Member

Themenstarter

Beiträge: 51
#9 Och wie singen schon die Ärzte "Manchmal haben Frauen ein klein bisschen Haue gern..." Vielleicht kamen meine Postings auch etwas schräg rüber.
Wie gesagt, die meissten unserer ITler sind echt gut aber es gibt welche die haben einen Freibrief. Selbstsicheres Auftreten bei absoluter Ahnungslosigkeit.
Wer Kritik übt ist der ewige Mäkeler und Technikfeindlich. Normalerweise finde ich Technik toll und kann mich dafür begeistern.
Das Problem in unserer Firma ist, dass sich niemand vorstellen kann, dass auch gestümpert und gefrickelt wird. Vor allem werden die Mitarbeiter nicht über Risiken aufgeklärt. Auf der einen Seite gibt es bstrenge Sicherheitsmaßstäbe für Heimarbeitsplätze (VPN Zugang, TAN Verfahren etc) und auf der anderen Seite wird ohne Sicherheitsunterweisung 3000 Menschen der Zugriff auf den Arbeitsplatz per Kennwort gegeben. So jetzt hab ich ein wenig rumgeheult - muss ja auch mal sein ;-)
Das blöde ist, ich habe immer noch keinerleich handfeste Argumente gegen den Satz https ist sicher. Allerdings habe ich schon einige Wege gefunden wie ich mit meinem geringen Wissen mich mit dem Arbeitslohn meiner Kollegen bereichern könnte, allein es fehlt an kirimineller Energie ansonsten würde ich demnächst mit einer IP von den Malediven hier aufkreuzen ;-)
Seitenanfang Seitenende
13.11.2008, 23:13
Moderator
Avatar hevtig

Beiträge: 2310
#10 Naja, mit der Aussage "https ist sicher" scheinen die dich eher abwimmeln zu wollen.
Die Verbindung zum Server ist zwar gesichert, aber was mit mit den Rechnern?

Zitat

Das bedeutet, jeder Mitarbeiter kann sich von jedem Rechner der Welt über https anmelden und seine dienstemails lesen, aber er kann auch z.B. seine Kontodaten ändern.
und

Zitat

und auf der anderen Seite wird ohne Sicherheitsunterweisung 3000 Menschen der Zugriff auf den Arbeitsplatz per Kennwort gegeben
Das Risiko springt einem beim Lesen quasi schon an ;)

Aber naja, was soll man machen. Wenn der Chef es will :/
Wessen Brot ich ess, dessen Lied ich sing...

Dass das Ganze schon ein wenig... riskant ist... sollte den ITlern und deinem Chef ebenfalls bekannt sein. Andererseits weißt du (und wir) ja gar nicht, was da vielleicht noch für Mechanismen im Hintergrund laufen. Da gibt es ja ganz wilde Sachen ;)
Und wenn du kein ITler bist, werden die dir sicher auch nicht gerne über deren Struktur Auskunft geben. Die wissen ja evtl. selber von Sicherheitslücken oder Schwachstellen in deren System. Dazu sollen ja über 70% aller Angriffe von Innen kommen...
Bei einer Firma mit über 3000 Mitarbeitern gehe ich davon aus, dass da schon ein wenig Geld für Sicherheitsmassnahmen in die Hand genommen wurde... andererseits beweisen aktuelle Medienberichte auch in manchen (aufgedeckten) Fällen das Gegenteil.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
14.11.2008, 15:04
Member

Themenstarter

Beiträge: 51
#11 Ich glaube, ich werde mich dem Kampf gegen diese Windmühlen nicht stellen. Als kleiner Dummie habe ich da sowieso nicht viele Chancen, oder? Das schlimme ist ja, dass ich vieles über vorhandene und nichtvorhandene Sicherheitsmaßnahmen weiss aber keine Dokumente in der Hand habe die den Murks beweisen.
Ich hoffe mal mein Heimnetzwerk ist durch die DMZ so abgesichert, dass die Wahrscheinlichkeit eines Einbruchs minimal ist. Lehne mich zurüch und harre der Dinge die da kommen...
Seitenanfang Seitenende
14.11.2008, 19:22
Member
Avatar Gool

Beiträge: 4730
#12 Ich schätze, Du bräuchtest da wirklich ne Demo, wie Du das Netzwerk kompromittieren kannst, um was bewegen zu können.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.11.2008, 20:18
Member

Themenstarter

Beiträge: 51
#13 Ich habe die Idee einen Einbrecher zu engagieren schon mal auf den Weg durch die Gremien gebracht, fanden alle gut aber unnötig *urgs*. Ist ja alles sicher sagt der Herr XY von der IT. Warum der Herr unprofessionell arbeitet darüber kann ich nur spekulieren. Es fehlen Dokumentationen und um mal schnell was zu machen wir ein Port geöffnet ohne die Restliche IT zu informieren oder es wird mal schnell etwas auf einem produktiven System installiert auch ohne irgendjemanden zu informieren...

Da draussen sind so viele Leute die vor lauter langeweile oder mit krimineller Energie im Netz unterwegs sind, irgendwann wird es uns erwischen und ich hoffe es sind die Gehaltsüberweisungen oder Boni des Managements die auf fremden Konten landen.
Seitenanfang Seitenende
14.11.2008, 20:21
Member
Avatar Gool

Beiträge: 4730
#14 Ich würde frech behaupten: "Das Management kann es verkraften" ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: