Unternehmens IT-Sicherheit wg. Trojaner

#1 Hallo zusammen,

ich arbeite für eine Beratungsfirma in Köln und wir hatte vor kurzem einen sog. Erpressungstrojaner wodruch sämtliche Datenbanken & Dateien seit dem letzten BackUp futsch waren! Sehr schmerzhaft..
Infolgedessen habe ich nun folgende Frage an euch:

Ausgangslage:
- Jeder Mitarbeiter (ca. 25) hat einen eigenen Computer/ Notebook und es gilt ausnahmslos seit Beginn: keine privates online surfen (oder priv. E-Mails). Dafür gibt es extra einen Internet-Surf-Raum.
- E-Mails in: sollen an einem (vom DatenBank-Server-Netzwerk exkludierten Netzwerk) empfangen/ gelesen/ gedruckt werden (im o.g. Surf-Raum)
- E-Mails out: jeweils vom jeweiligen Rechner

Fragen bzgl. Unternehmens-IT-Sicherheit:
1. Welche Möglichkeiten gibt es, die Internetverbindung lediglich für bestimmte Programme zu erlauben (z.B. nur E-Mail out + jegliche Datev-Anwendungen)
2. Einige nehmen die Notebooks mit nach Hause und schließe diese (wahrs.) auch an andere Netzwerke an. Welche Sicherheitsmaßnahmen kann man hier ergreifen, dass man eben keinen Trojaner mit in das Firmennetzwerk bringt? Andere Netzwerke sperren? Wächterkarte oder so etwas?
3. Viele nutzen die USB-Ports für Maus und Tastatur. Leider wohl nicht ausschließlich. Denn ein fremder USB-Stick kann ja leicht einen Trojaner in's Netzwerk holen.
Gibt es dafür eine Lösung? Tastatur & Maus weiterhin über die USB-Ports, USB-Sticks jedoch nur nachdem sie autorisiert wurden.
4.

Frage 2:
Vorab: Wir möchten keinen Arbeitnehmer ausspionieren, überwachen oder die Tastaturschläge loggen.

Gesucht wird eine Software, mit der nachvollzogen werden kann, welcher Prozess an einem Arbeitsplatz für welche Zeitraum benutzt wurde, damit die Arbeitszeit auf die Mandaten übertragen werden kann.
Außerdem besteht der Verdacht, dass der eine oder andere Mitarbeiter die Unternehmenssoftware für private Zwecke benutzt. Dafür wurde sehr wahrscheinlich ein USB-Stick als externe Datev-DatenBank benutzt. Das ist nicht gewollt und verletzt die internen Bestimmungen und führte wohl letztendendes zu der oben beschriebenen Situation.

Wir hoffen, ihr habt evtl. den ein oder anderen Hinweis für uns und bitten um eure Unterstützung.

Bis dann und viele Grüsse,
Tagé

#2 Hmm, du hast ja dein Post ganz schön im Netz verteilt...
Nichts desto trotz lässt sich deine Anfrage von der Ferne eher schlecht beantworten, da jedes Netz ja doch irgendwie individuell ist.

Zitat

Ausgangslage:
- Jeder Mitarbeiter (ca. 25) hat einen eigenen Computer/ Notebook und es gilt ausnahmslos seit Beginn: keine privates online surfen (oder priv. E-Mails). Dafür gibt es extra einen Internet-Surf-Raum.

Wird das auch kontrolliert, dass vom Firmennetz nicht gesurft wird?

Zitat

- E-Mails in: sollen an einem (vom DatenBank-Server-Netzwerk exkludierten Netzwerk) empfangen/ gelesen/ gedruckt werden (im o.g. Surf-Raum)
- E-Mails out: jeweils vom jeweiligen Rechner

Hört sich unpraktikabel an. Ein guten ASpam-/ Antivirenfilter und Sicherheitseinweisungen sollten da eigentlich sogar eher was bringen. Oder aber DatevNet?

Zitat

Frage 2:
Vorab: Wir möchten keinen Arbeitnehmer ausspionieren, überwachen oder die Tastaturschläge loggen.

Gesucht wird eine Software, mit der nachvollzogen werden kann, welcher Prozess an einem Arbeitsplatz für welche Zeitraum benutzt wurde, damit die Arbeitszeit auf die Mandaten übertragen werden kann.

Das bringt doch nichts. Ein Prozess läuft doch auch im Hintergrund. Zur Zeiterfassung bzw Rechnungserstellung ist das überhaupt nicht geeignet und datenschutz-/ arbeitsrechtlich bedenklich.

Zitat

Außerdem besteht der Verdacht, dass der eine oder andere Mitarbeiter die Unternehmenssoftware für private Zwecke benutzt. Dafür wurde sehr wahrscheinlich ein USB-Stick als externe Datev-DatenBank benutzt. Das ist nicht gewollt und verletzt die internen Bestimmungen und führte wohl letztendendes zu der oben beschriebenen Situation.

Auch hier hast du die Möglichkeit mit der USB- Software (s.o.) nur eigene USB- Sticks freizugeben und zu verschlüsseln. Letztendlich muss man aber ein gewisses Vertrauen den Mitarbeitern entgegenbringen.
Wo du ja oben Datev geschrieben hast... da gibt es es mE auch ein Programm von der Datev. Auch was das mit den Mails angeht, das könntest du z.B. mit DatevNet abfedern. Ist dir der administrative Aufwand zu hoch könnte man ja auch über DATEV.ASP nachdenken...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#3 Leider gibt es nirgendwo eine 100% Sicherheit .