Archiv der Kategorie: Security

Sicherheitsrelevante Themen

Updateritis

Mein AV-Receiver – so was ähnliches hieß früher mal Verstärker – hat eine kleine Fehlfunktion. Google sagt die neueste Firmware behebt diesen Fehler. Gesagt getan: Herstellerseite aufsuchen, Gerät finden, ZIP-Archiv herunterladen, USB-Stick befüllen, Installationsschritte befolgen, „Keine gültige Firmware gefunden“, Fehlermeldung nachsuchen, anderen USB-Stick probieren, Update 5%, 17%, 54%, 78%, Neustart, Post-Installation 10%, 35%, 60%, Update success. Nun nur noch alle Einstellungen zurück-basteln. Kaum zwei Stunden später läuft alles wieder.

Was sich nicht alles Updaten will oder muss! Ich bin ja so dumm und lese IT News und weiß somit über Sicherheitskritische Fehler meines elektronischen Fuhrparks.

  • Das Navi im Auto will nicht nur Karten, sondern auch dann und wann die Applikation updaten
  • Mein kleiner Audioplayer hat schon die 2-te neue verbesserte Firmware, mein eBook-Reader auch
  • Multimedia Geräte wie Receiver, Fernseher, Blu-Ray-Player
  • Die diversen Tablets die zu Hause rumfliegen wollen Betriebssystem und Apps updaten, darunter etliche Apps, die ich nie nutzen werde
  • Die Netzkomponenten (Router, WLAN Repater) im Heimnetzwerk wollen Security-Updates
  • Rund um den Computer sind es nicht nur Betriebssystem und Applikationen sondern heutzutage
    • BIOS Update Aufgrund von Security Warnungen
    • Ja, sogar eine Festplatten Firmware durfte ich einer SSD zukommen lassen
  • Mein Drucker wies mich auf ein wichtiges Update hin, dazu musste ich
    • Windows VM booten (für andere Betriebssysteme gibt es zwar Druckertreiber aber das Update Programm nicht)
    • 150 MB Druckerverwaltungszeugs installieren
    • Update Applikation starten, die 1,5 MB Firmware herunterlud und einspielte

Manche Updates funktionieren automatisch im Hintergrund, aber einiges erfordert etliche Klicks oder sogar USB-Sticks, Boot-CDs und danach Neueinrichtung des Geräts. Sagt mal muss das sein? Wenn man sich schon darauf einstellen muss, dass Sicherheits-Updates notwendig sind, so sollte dies maximal Kundenfreundlich sein. Das Gerät sollte das selber können, Daten und Einstellungen beibehalten. Am besten den Download und Installation im Hintergrund ausführen können. Alles andere ist Zeitvergeudung.

Der Unterschied zwischen Bürokratie und Prozess

Wie Ihr Leser schon wisst bin ich was IT Service Management ein Freund von smarten, pragmatischen Ansätzen. Aber bitte nicht schlampig werden. Das Ziel, die Richtung und die Person(en) müssen schon stimmen. Ein lustiges Beispiel, dass das nicht alle so sehen ist mir neulich passiert:

Ich war zu einem Arbeitskreis eingeladen, der bei einer ungenannten Firma stattfand. Gästeparkplatz, Pförtnerhäuschen. Dort angekommen registrierte man mich als angemeldeten Besucher und sprach: „Ich muss ihr Handy hier behalten, das können Sie sich beim herausgehen wieder abholen!“. Ich fragte, warum man denn mein Mobiltelefon benötige, die Antwort war: „Wegen der eingebauten Kamera“. Daraufhin zeigte ich mein Handy und wies darauf hin, dass dies über keine Kamera verfüge, ich jedoch eine kleine Kamera in der Tasche hätte, die ich gerne abgeben könne. Der Herr schaute kurz auf seinen Block: „Nein, die Kamera müssen Sie nicht abgeben“.

Was auf dem Einlagerungsbeleg nicht aufgeführt ist darf mit rein. Vermutlich wollen die nicht, dann man Ihre schönen Entwicklungen mit einer miesen 3-Megapixel-Mini-Kamera knipst, sondern mindestens mit einer 8-Megapixel-Kompaktkamera. 🙂

EXIN ISO/IEC 27002 Information Security Foundation

EXIN bietet eine Foundation Prüfung zu dem Informationssicherheit Code of Practice ISO/IEC 27002 an. Wer nicht weiß was das ist, sollte hier mit dem Lesen beginnen: ISO/IEC 27001.

An sich finde ich das nicht so spannend, interessant ist das kostenfreie .PDF-Handbuch und die Prüfungsfragen, die sehen mir nach einer sehr brauchbaren Lernunterlage aus.
EXIN Übersichtsseite Information Security Foundation based on ISO/IEC 27002

Handbuch: http://www.exin-exams.com/exams/exam-program/iso-iec-27000/~/media/Documents/ISFS%20book%20%20%20English%20%20%20Final%20incl%20index%20pdf.ashx

Passworte weit entfernt von Simplified Sign On

Die personalisierte Web-Sites verlangen immer einen Benutzernamen und ein Passwort. Also Benutzernamen ausgedacht und noch ein Passwort, leicht zu merken, trotzdem sicher und die erste Registrierung erfolgreich durchlaufen. Einige Wochen später die zweite und dritte und vierte Web-Seite, die einen persönlichen Account benötigt. Schnell kommt die Stelle an der der Benutzername schon vergeben ist oder das Passwort als zu einfach zurückgewiesen wird. Da Herr der Lage zu bleiben ist schwer, es wäre doch schön, wenn es nur ein Passwort und Zugang gäbe…

Weiterlesen

IT Fundamentals — IT Sicherheit — Teil 1

Aus aktuellem Anlass „Milliardenverlust bei Société Générale“ beginne ich mit dem Thema IT Sicherheit. Dieses Thema ist so vielschichtig und steckt voller Trugschlüsse, dass dies nicht in einem Beitrag abgehandelt werden kann. An der Diskussion, ob ein Einzeltäter sämtliche Sicherheitsmaßnahmen einer Geschäftsbank umgehen konnte, werde ich einige entscheidende Aspekte von IT Sicherkeit erläutern. Weiterlesen