Willkommen, Gast ( Anmelden | Registrierung )

Zurück zum Board Index
3 Seiten V   1 2 3 >  
Reply to this topicStart new topic
> Cyber-Verteidigung ist nur eine Frage von Geld und Willen, Schließlich wurde jedes Mega-Projekt allein dadurch gelöst
MeckieMesser
Beitrag 21. Mar 2018, 09:13 | Beitrag #1
+Quote PostProfile CardPM
Oberleutnant
Beiträge: 1.364



Gruppe: VIP
Mitglied seit: 10.03.2007


Vergiss internationale Ansätze beim Thema Sicherheit.
Europäisch das Thema Datenschutz und Standards treiben und bei der Sicherheit Kompetenzen aufbauen.
Die Naivität bei uns im Bereich Cyber Defence ist grenzenlos.

Das Ministerien, Bundeswehr und Co. Windows Nutzen dürfen ist eine Kapitulation an sich.
Und unser BSI ist bestenfalls ein Papiertiger. Die gehen nicht in die Tiefe.
 
Schwabo Elite
Beitrag 21. Mar 2018, 10:02 | Beitrag #2
+Quote PostProfile CardPM
Generalmajor d.R.
Beiträge: 19.255



Gruppe: Moderator
Mitglied seit: 10.06.2002


ZITAT(MeckieMesser @ 21. Mar 2018, 09:13) *
Das Ministerien, Bundeswehr und Co. Windows Nutzen dürfen ist eine Kapitulation an sich.

Das hat nichts mit Kapitulation zu tun, sondern schlichtweg mit der fehlenden Verfügbarkeit einer Vielzahl von Programmen, die im Alltag bei Behörden notwendig sind. Und wer jetzt ankommt mit LibreOffice auf Linux-Derivat, der hat das Problem moderner Büroarbeit nicht begriffen. Abgesehen davon, dass alle Office-Pakete jenseits von Microsoft weit dahinter liegen in der Performanz. Behörden müssen innerhalb von einander und untereinander kommunizieren können. Genau das stellt Windows sicher.

Es ist schon problematisch genug Apple-Systeme in eine System- und Sicherheitsarchitektut auf Basis eines anderen Betriebssystems zu integrieren. Und das obwohl fast alle Apple spezifischen Produkte mittlerweile für Windows verfügbar sind. Wenn jetzt vermeintlich sicherere Systeme (Linux & Co.) eingeführt würden, müsste man erstmal hunderte Programme unter diesen OS zum laufen bringen.


--------------------
Sapere Aude & Liber et Infractus
"He uses statistics as a drunken man uses lamp-posts... for support rather than illumination." - Andrew Lang (1844-1912)
"Seit ich auf deutsche Erde trat, durchströmen mich Zaubersäfte. Der Riese hat wieder die Mutter berührt, Und es wuchsen ihm neue Kräfte." -- Heinrich Heine (1797-1856), Deutschland ein Wintermärchen, Caput I
Quidquid latine dictum, altum videtur. -- Nενικήκαμεν! -- #flapjackmafia
 
SailorGN
Beitrag 21. Mar 2018, 11:27 | Beitrag #3
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Mal ganz abgesehen von Nutzerschulungen für "neue" Programme, Akzeptanzmanagement und der Migration der tausendundeinem Vordrucke, Masken, Pivots und was weiss ich in den Behörden. Ist schon besch...eiden genug unabhängig von den pösen, pösen M$-Officeprodukten ein DMS als Ersatz für Explorer-Laufwerksstrukturen einzuführen^^

Von der Technik einmal abgesehen wären verbindliche Schulungen zur organisatorischen und persönlichen Datensicherheit aber nutzbringend. Die meisten Fehler kommen durch den Benutzer, sei es nun Phishing oder einfach Unbedarftheit.


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Schwabo Elite
Beitrag 21. Mar 2018, 12:01 | Beitrag #4
+Quote PostProfile CardPM
Generalmajor d.R.
Beiträge: 19.255



Gruppe: Moderator
Mitglied seit: 10.06.2002


Das ist wohl richtig. Uns ausgerechnet gegen Social Engineering hilft Linux nun nicht. Da das aber der wichtigste Vektor für Angriffe ist, macht die Aktion auch wenig Sinn aus der Perspektive.


--------------------
Sapere Aude & Liber et Infractus
"He uses statistics as a drunken man uses lamp-posts... for support rather than illumination." - Andrew Lang (1844-1912)
"Seit ich auf deutsche Erde trat, durchströmen mich Zaubersäfte. Der Riese hat wieder die Mutter berührt, Und es wuchsen ihm neue Kräfte." -- Heinrich Heine (1797-1856), Deutschland ein Wintermärchen, Caput I
Quidquid latine dictum, altum videtur. -- Nενικήκαμεν! -- #flapjackmafia
 
MeckieMesser
Beitrag 21. Mar 2018, 13:28 | Beitrag #5
+Quote PostProfile CardPM
Oberleutnant
Beiträge: 1.364



Gruppe: VIP
Mitglied seit: 10.03.2007


ZITAT(Schwabo Elite @ 21. Mar 2018, 10:02) *
ZITAT(MeckieMesser @ 21. Mar 2018, 09:13) *
Das Ministerien, Bundeswehr und Co. Windows Nutzen dürfen ist eine Kapitulation an sich.

Das hat nichts mit Kapitulation zu tun, sondern schlichtweg mit der fehlenden Verfügbarkeit einer Vielzahl von Programmen, die im Alltag bei Behörden notwendig sind. Und wer jetzt ankommt mit LibreOffice auf Linux-Derivat, der hat das Problem moderner Büroarbeit nicht begriffen. Abgesehen davon, dass alle Office-Pakete jenseits von Microsoft weit dahinter liegen in der Performanz. Behörden müssen innerhalb von einander und untereinander kommunizieren können. Genau das stellt Windows sicher.

Es ist schon problematisch genug Apple-Systeme in eine System- und Sicherheitsarchitektut auf Basis eines anderen Betriebssystems zu integrieren. Und das obwohl fast alle Apple spezifischen Produkte mittlerweile für Windows verfügbar sind. Wenn jetzt vermeintlich sicherere Systeme (Linux & Co.) eingeführt würden, müsste man erstmal hunderte Programme unter diesen OS zum laufen bringen.


Das ist sehr wohl Kapitulation. Nur über Jahrzehnte gewachsen. Vendor-Lock in seiner schlimmsten Form.
Es ist auch kein Problem der Formate oder Schulungen - es ist Faulheit. Schlichte Faulheit.

Der MAD hat schon vor 15 Jahren davor gewarnt, dass Redmond ein Einfallstor für Behörden ist.
Wenn irgendein US Geheimdienst Zero-Day Expoits braucht, bekommt er die auch. Dafür sorgt schon mal US-Recht.
Und dann übernimmt er die Infrastruktur über die Frickelsoftware Outlook.

IT Sicherheit ist in erster Linie mal: Keine Blackboxes. Du kannst nichts sichern, was Du nicht verstehst.

Welche Behörde in DE kann das von sich behaupten?

Vielleicht mal Richtung Google schauen, statt Redmond blind zu vertrauen.
 
SailorGN
Beitrag 21. Mar 2018, 13:35 | Beitrag #6
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Faulheit? Weisst du, was es für eine Behörde, geschweige denn eine Kommunalverwaltung bedeutet, wenn man dort "grundlegend" die IT umkrempelt? Das hat mit "Faulheit" nix zu tun, sondern mit Ausfallzeiten und entsprechenden Kosten, vom Vorlauf/Projektierung mal ganz zu schweigen. Da gibts überhaupt nicht die IT-Koryphäen, die die "Blackboxes" verstehen können. Ich hab hier regelmäßig "fancy" Angebote von hippnerdigen IT-Consultants, die das Blaue vom Himmel (nicht nur in der Sicherheit) versprechen, aber in erster Linie nur ihre überteuerten Beraterhonorare rechtfertigen wollen. Mehr als ppt (sic!)-Magie gibts da nicht, Garantien liefert keiner und sich im Changeprozess den Mitarbeitern stellen will sich von denen auch keiner. Geschweige denn für "unvorhergesehene" Ausfälle bei Bürgern und Kunden rechtfertigen^^


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Schwabo Elite
Beitrag 21. Mar 2018, 13:59 | Beitrag #7
+Quote PostProfile CardPM
Generalmajor d.R.
Beiträge: 19.255



Gruppe: Moderator
Mitglied seit: 10.06.2002


ZITAT(MeckieMesser @ 21. Mar 2018, 13:28) *
[...]
Wenn irgendein US Geheimdienst Zero-Day Expoits braucht, bekommt er die auch. Dafür sorgt schon mal US-Recht.

[...]

Vielleicht mal Richtung Google schauen, statt Redmond blind zu vertrauen.

O Rly? Mal im Ernst. Selbst wenn Google nicht auch ein US-Konzern wäre und damit in der gleichen juristischen Problematik säße wie Microsoft, was soll Google mir für eine Behörde bieten. Google Docs löst nichtmal die Hälfte der Alltagsprobleme, die sich MS-Office lösen lässt. Abgesehen davon, dass ich alles und jeden umschulen lassen müsste. Denn ich könnte auch keine Adobe-Produkte, Quarkxpress etc. pp. mehr nutzen.

Und meine Kollegin, die die Rechtsberatung macht, könnte nicht einmal auf die einschlägigen Datenbanken zugreifen, weil a) jeder Browser außer Opera aus den USA kommt (Market Share 2%) und die Datenbanken weitestgehend auch über US-Firmen laufen. Das schließt Schnittstellen für Netzwerkarchitekturen (Stichwort: Campus Lizenz) mit ein.

Klar können wir 40 Jahre EDV-Geschichte mit Internet-Vernetzung rückgängig machen wollen. Aber mal ehrlich: Mein Kollegium ist so jung, hier wissen vielleicht noch fünf Kolleg*innen am ganzen Campus, wie man ein Büro ohne PC führt. Denn genau das bliebe übrig, wenn wir die computernutzung wieder auf Prä-Microsoft-Zeiten zurücksetzen.

Im Übrigen: Kapitualtion ist ein einmaliger Vorgang. Man kann das semantisch gesehen nicht auf Raten machen.

Der Beitrag wurde von Schwabo Elite bearbeitet: 21. Mar 2018, 13:59


--------------------
Sapere Aude & Liber et Infractus
"He uses statistics as a drunken man uses lamp-posts... for support rather than illumination." - Andrew Lang (1844-1912)
"Seit ich auf deutsche Erde trat, durchströmen mich Zaubersäfte. Der Riese hat wieder die Mutter berührt, Und es wuchsen ihm neue Kräfte." -- Heinrich Heine (1797-1856), Deutschland ein Wintermärchen, Caput I
Quidquid latine dictum, altum videtur. -- Nενικήκαμεν! -- #flapjackmafia
 
Hummingbird
Beitrag 21. Mar 2018, 13:59 | Beitrag #8
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


Was denn sonst wenn nicht Resignation soll es denn sein, wenn Behörden Microsoft Outlook benutzen dürfen. In Russland wird Outlook für Behörden verboten und auf eine heimische Alternative umgestellt.
 
xena
Beitrag 21. Mar 2018, 14:56 | Beitrag #9
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 11.864



Gruppe: Members
Mitglied seit: 03.10.2002


ZITAT(Schwabo Elite @ 21. Mar 2018, 09:02) *
ZITAT(MeckieMesser @ 21. Mar 2018, 09:13) *
Das Ministerien, Bundeswehr und Co. Windows Nutzen dürfen ist eine Kapitulation an sich.

Das hat nichts mit Kapitulation zu tun, sondern schlichtweg mit der fehlenden Verfügbarkeit einer Vielzahl von Programmen, die im Alltag bei Behörden notwendig sind. Und wer jetzt ankommt mit LibreOffice auf Linux-Derivat, der hat das Problem moderner Büroarbeit nicht begriffen. Abgesehen davon, dass alle Office-Pakete jenseits von Microsoft weit dahinter liegen in der Performanz. Behörden müssen innerhalb von einander und untereinander kommunizieren können. Genau das stellt Windows sicher.

Es ist schon problematisch genug Apple-Systeme in eine System- und Sicherheitsarchitektut auf Basis eines anderen Betriebssystems zu integrieren. Und das obwohl fast alle Apple spezifischen Produkte mittlerweile für Windows verfügbar sind. Wenn jetzt vermeintlich sicherere Systeme (Linux & Co.) eingeführt würden, müsste man erstmal hunderte Programme unter diesen OS zum laufen bringen.

Eigentlich zeigt dieses Posting die Armut und Ignoranz gegenüber Softwarealternativen. Man ist von M$ so indoktriniert, dass man keine Alternativen mehr sieht bzw sehen will. Man begibt sich fatalistisch in seine Opferrolle, weil es angeblich keine Alternativen gibt. Soll das jetzt die Antwort sein, aus Unwillen die bekannten Schwachstellen zu belassen und nur etwas Schulung machen und glauben alles sei damit gut? Das ist, mit Verlaub, Bullshit. Das erinnert mich an die Autoindustrie, die mit etwas Software Diesel sauberer machen will. Jeder weiß, dass es Blödsinn ist, aber die Industrie bleibt trotzig und beharrt darauf, dass es so geht.

Ja, aus dieser Nummer, in der man sich blind hinein manövriert hat, kommt man so leicht nicht raus. Aber unmöglich ist es nicht. Jedes Softwaresystem lässt sich ändern und jeder Mensch lässt sich umschulen. Alles ein Frage der Zeit und des Willens. Es ist ein Unding, dass man in Behörden Software einsetzt, die in ganz andere Länder nach Hause telefoniert und Daten übermittelt, von denen keiner weiß was es für Daten sind. Software, die Backdoors von einer fremden Macht aufgebrummt bekommen haben. Und Du willst allen ernstes das dadurch verhindern, indem Du die Mitarbeiter darin schulst, sie sollen gefälligst keine Anhänge mehr öffnen? Das ist lachhaft.

Zu behaupten, dass jede Software weit hinter der Performance von M$ sei, ist sehr naiv und mutig. Nein, es ist engstirnig. Ich kenne genug ex Studenten, die an Word verzweifelt sind, damit ihre Doktorarbeit zu schreiben und auf Alternativen gewechselt sind. In Open Source muss nur Geld investiert werden und man bekommt dann das was man will, ganz ohne Backdoors, allerdings nicht nur für sich allein. Dumm nur, dass jede Behörde, die gegen solche schimpft, gerne auch solche in seine eigene Software einführen will. Auch die, die sich gegen Cyberangriffe wehren, würden gerne ihrerseits die Möglichkeit zu solchen haben. Das macht die Open Source Gemeinde nicht mit, bzw diese findet diese, wenn einer solche schweigend einführt. Z.B. Open Source Crypto-Software ist die sicherste die es gibt, weil sie garantiert keine Backdoors hat. Diese würden Behörden aber nicht einsetzen wollen, weil sie ihre eigenen Mitarbeiter auch gerne kontrollieren würden... Es ist auch interessant, dass nur diese gegen Open Source wettern, die selbst nichts mit Softwareentwicklung zu tun haben.


--------------------
Schon seit 20 Jahren: Waffen der Welt
 
SailorGN
Beitrag 21. Mar 2018, 15:05 | Beitrag #10
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Wieso Resignation? Welcher andere Bürosoftwareanbieter ausser Microsoft hat eine vergleichbare Palette mit dieser Nutzerbekanntheit? Office ist "beliebt" weil es seit Jahren DIE Anwendung für Büro UND Alltag ist. Wer ausserhalb der Spezialisten kennt OpenOffice, Latex oder andere?

Welche Alternative zu Outlook gibt es denn, die deutsch, sicher, anwenderfreundlich und vor allem verfügbar ist? Vor allem, was ist so schlimm an outlook, wenn man es über eigene Server laufen lässt?

Das Hauptproblem ist doch, dass es weder in D noch Europa einen leistungsfähigen Softwareanbieter gibt, der konkurrieren kann und dass es vor allem 20 Jahre lang politisch (von BR bis zum Bürger) keinerlei Konsens über einen einheitlichen Anforderungskatalog gibt. Gerade der sog. "Datenschutz", wie er gerade für Behörden von "den Bürgern" gefordert wird ist eine Bremse für jeden (privatwirtschaftlichen) Anbieter. Da es hier überhaupt keine Handlungssicherheit gibt, wird "Verwaltung" auch nicht tätig, weder mit "Bürgerkonto" noch irgendwelchen Portalen für wichtige Daten. Niemand will der nächste "Cambridge-Analytics"-Fall werden. Also wird man nicht tätig, wenns keinen Zwang gibt... und ist er da, dann meist so unausgegoren, dass es eine totgeburt ist, Stichwort DE-Mail, elektronischer Perso.

@xena: wunderbar ignorantes Meinungsstück. Wer übernimmt bei OpenSource denn die Gewährleistung, wenns nicht funktioniert? Wer übernimmt Verantwortung dafür, dass die versprochene Leistung auch erbracht wird? Wer garantiert vertraglich bei OS, dass die Software gewartet/gepatcht wird? Wer garantiert am Ende bei OS, dass nicht doch irgendein Hobbyhacker ne Backdoor installiert hat? Gewährleistung und OS beissen sich und gerade bei Behörden, die wirklich sensible Daten haben ist es extrem wichtig zu wissen, wen man auf der anderen Seite hat. Möchtest du deine Steuerdaten, Einwohnermeldedaten, Vorstrafenregister Programmen anvertrauen, bei denen eben nicht bekannt ist, wer eigentlich für geforderte Eigenschaften geradesteht? Ich nicht.

Und das mit der Mitarbeiterüberwachung kannst du dir sonst wohin schieben, damit kommt kein Vorgesetzter durch... gerade im öffentlichen Dienst ist das ein erstklassiger Kündigungsgrund. Wenn neue Programme kommen, wir die Leistungs- und Verhaltenskontrolle idR schon bei der Beschaffung ausgeschlossen, genauso die Datenverwendung zu diesem Zweck. Das geht soweit, dass etliche Programme nur in sehr engen Rahmen protokollieren, oftmals nicht nach Uhrzeit, sondern lediglich nach Datum.

Der Beitrag wurde von SailorGN bearbeitet: 21. Mar 2018, 15:16


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Schwabo Elite
Beitrag 21. Mar 2018, 15:29 | Beitrag #11
+Quote PostProfile CardPM
Generalmajor d.R.
Beiträge: 19.255



Gruppe: Moderator
Mitglied seit: 10.06.2002


ZITAT(SailorGN @ 21. Mar 2018, 15:05) *
@xena: wunderbar ignorantes Meinungsstück. Wer übernimmt bei OpenSource denn die Gewährleistung, wenns nicht funktioniert? Wer übernimmt Verantwortung dafür, dass die versprochene Leistung auch erbracht wird? Wer garantiert vertraglich bei OS, dass die Software gewartet/gepatcht wird? Wer garantiert am Ende bei OS, dass nicht doch irgendein Hobbyhacker ne Backdoor installiert hat? Gewährleistung und OS beissen sich und gerade bei Behörden, die wirklich sensible Daten haben ist es extrem wichtig zu wissen, wen man auf der anderen Seite hat. Möchtest du deine Steuerdaten, Einwohnermeldedaten, Vorstrafenregister Programmen anvertrauen, bei denen eben nicht bekannt ist, wer eigentlich für geforderte Eigenschaften geradesteht? Ich nicht.


Man muss sich die Konsequenzen auf nationaler (oder europäischer) Ebene mal vorstellen. Behörde X will, dass ein OS-Programm Fähigkeit Y hat. Behörde Z braucht was ganz anderes etc. pp. Ganz schnell schaffen die großen Behörden Lösungen für sich, mit der Folge, dass ähnliche, aber nicht kompatible Lösungen für Probleme in 16 Bundesländern existieren. Da die Spitzenprogrammierer ohnehin nicht zu den Behörden gehen sind alle diese Lösungen qualitativ nicht vergleichbar programmiert mit MS-Lösungen, aber wenigstens sind sie deutsch™. Macht die Zusammenarbeit mit Partnerländern leider völlig unmöglich, weil die ja auch alle im Chaos versinken.

Alternativlösung: Ein EU-weites "Ministerium für Programmieren und Softwareharmonisierung" (MiniProgSH) unter Oettinger. Staatssekretäre Orwell und Kafka.


--------------------
Sapere Aude & Liber et Infractus
"He uses statistics as a drunken man uses lamp-posts... for support rather than illumination." - Andrew Lang (1844-1912)
"Seit ich auf deutsche Erde trat, durchströmen mich Zaubersäfte. Der Riese hat wieder die Mutter berührt, Und es wuchsen ihm neue Kräfte." -- Heinrich Heine (1797-1856), Deutschland ein Wintermärchen, Caput I
Quidquid latine dictum, altum videtur. -- Nενικήκαμεν! -- #flapjackmafia
 
Hummingbird
Beitrag 21. Mar 2018, 15:32 | Beitrag #12
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


ZITAT(SailorGN @ 21. Mar 2018, 15:05) *
Welche Alternative zu Outlook gibt es denn, die deutsch, sicher, anwenderfreundlich und vor allem verfügbar ist? Vor allem, was ist so schlimm an outlook, wenn man es über eigene Server laufen lässt?

Das Hauptproblem ist doch, dass es weder in D noch Europa einen leistungsfähigen Softwareanbieter gibt, der konkurrieren kann
Das Bundesamt für Sicherheit in der Informationstechnik warnt seit Jahren immer wieder vor Outlook und der jüngst bekanntgewordene Bundeshack ist just über diese Schwachstelle erfolgt. Aber hey, gut zu wissen das der "moderne Büroalltag" so bequem ist. Den Funktionsumfang, den Outlook mit seinen ganzen Plugins und Schnittstellen bietet braucht niemand wirklich. Das bringt mehr Gefahren als tatsächlichen Nutzen. Ein simples und sichereres Email Programm für Behörden ist doch kein Hexenwerk. Sicherheit kostet halt was aber das als unmögliche Mammutaufgabe hinzustellen geht in die völlig falsche Richtung. Natürlich gibt es keine hundertprozentige Sicherheit, aber deshalb kann man doch nicht schlussfolgern alle Anstrengungen wären sinnlos. Microsoft Produkte sind so unsicher wie es nur geht. Jedes Scriptkiddie lacht sich da doch eins. Wenn jemand meint, dass er im Büro nicht auf MS Office verzichten kann, dann soll er es halt in Gottes Namen benutzen, aber das jemand in sicherheitsrelevanten Bereichen Outlook benutzt, ist unentschuldbar.

Der Beitrag wurde von Hummingbird bearbeitet: 21. Mar 2018, 16:30
 
rekrats
Beitrag 21. Mar 2018, 16:20 | Beitrag #13
+Quote PostProfile CardPM
Leutnant
Beiträge: 635



Gruppe: Members
Mitglied seit: 07.09.2001


Natürlich wäre eine heterogenere Softwarelandschaft in Europa möglich und sicherheitstechnisch wesentlich besser. Dazu wären aber nationalistische pro-europäische politische Schritte notwendig und genau diese werden kaum erfolgen. Mit der aktuellen Datenschutznovelle hat man sich ja inzwischen auf das Niveau der restlichen Welt begeben (USA, China, Russland) und erlaubt z.b.: nicht mehr einfach das speichern europöischer Daten außerhalb der EU. So etwas haben andere Staaten schon seit Jahren und selbst die Russen, mit ihrer maroden Volkswirtschaft, haben es seit einigen Jahren geschafft.

Genau das gleiche funktioniert problemlos bei der Software, wenn man es möchte. China hat eine völlig eigene SW Landschaft aufgebaut, Russland stellt im Behördenbereich darauf um und die USA hatten immer "ihre eigene" SW die zum Zuge kommt. Es in den USA undenkbar das russische, chinesische oder auch europäische Software im Sicherheitskritischen Bereich jemals zum Zuge kommt. Diese "restriktiven" Regeln sind übrigens auch einer der Gründe warum es kaum/keine große europäische Software gibt. Abgesehen von SAP, welches nicht wirklich kritisch ist, gibt es da recht wenig. Betriebssysteme, Netzwerkinfrastruktur usw., also die wirklich kritischen Dinge, sind überwiegend in asiatischer/amerikanischer Hand.

Eine gesetzliche Regelung auf EU Ebene dass Software die nicht in der EU entwickelt wurde nicht im sicherheitskritischen Bereich eingesetzt werden darf würde schon Berge versetzen. Den sicherheitskritischen Bereich muss man dann nur entsprechend weit definieren. Nach viele "Geschrei" würde es binnen kürzester Zeit entsprechende Lösungen geben denn dort wo Geld ist, gibt es auch Lösungen.
 
SailorGN
Beitrag 21. Mar 2018, 16:30 | Beitrag #14
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Ja und? Das BSI warnt vor möglichen Lücken, mahnt zeitnahe Updates an und gibt Hinweise zur sicheren Handhabung. Super. Darüber hinaus wurde auch beim Bundeshack festgestellt, dass die Täter über Mitarbeiter in die Netzwerke gekommen sind, Outlook war lediglich der Ausgang für Daten. Welches Kommunikationsprogramm ist denn bei gleicher Usability deutlich sicherer, marktverfügbar und genuin "deutsch"?



--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Hummingbird
Beitrag 21. Mar 2018, 16:38 | Beitrag #15
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


Ob vergleichbare "usability" tatsächlich nötig ist sei mal dahingestellt. Und wenn es kein verfügbares Angebot gibt, dann muss halt investiert werden.
 
SailorGN
Beitrag 21. Mar 2018, 17:01 | Beitrag #16
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Ja und woher soll die Kohle kommen? Das sind Steuergelder, da ist jeder scharf drauf und IT-Sicherheit ist für Politik und Bürger #neuland. Dafür gibts Minimalbeträge, vor allem muss man sich hinten anstellen: Kitas, Schulen, Straßen, Segelschulschiffe, CSU-Abgeordnete wollen auch finanziert werden. Vor der Finanzierung müsste dann aber auch der politische Wille vom BT bis ins kleinste Amt da sein, neue/andere IT einzuführen. Da wünsche ich in einem föderalen Bundesstaat viel Spass bei, das erste was alle schreien werden ist Konnexität! Somit ist das Thema überhaupt nicht so simpel und vor allem schnell mal eben gemacht. Das ist der erste Fehler, denen man ggü. IT-Beratern machen kann: Glauben, dass es so schnell und einfach geht wie sie versprechen^^ Der zweite ist übrigens "Stundennachweis unkontrolliert unterzeichnen" wink.gif biggrin.gif


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
SailorGN
Beitrag 21. Mar 2018, 17:04 | Beitrag #17
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Übrigens nur mal als Beispiel, was rauskommt, wenn "Staat" die eigene Goldrandlösung in der IT herstellen will: SASPF


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Hummingbird
Beitrag 21. Mar 2018, 17:11 | Beitrag #18
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


ZITAT(SailorGN @ 21. Mar 2018, 17:01) *
IT-Sicherheit ist für Politik und Bürger #neuland
IT an sich ist jetzt nicht wirklich neu. Neu ist lediglich das immer häufiger deutlich wird, wie angreifbar unsere Strukturen sind. Ich will gar nicht erst wissen wie sich die Militärs das mit ihrer totalen Vernetzung vorstellen. *erschauder*
 
SailorGN
Beitrag 21. Mar 2018, 17:16 | Beitrag #19
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Natürlich ist IT an sich nicht neu, aber was passiert wohl, wenn man sich hinstellt und sagt: Passt auf, Bürger und Politiker, wir brauchen Milliarden für einen Office-Klon, weil Office bäh und aus den USA und nicht Opensource und der pöse Hackerrusse kommt da selbst nach drei Flaschen Smirnoff im Schlaf noch rein.

Mal ohne Ironie: Neue Dinge sind immer angreifbar, idR entwickeln sich Technologien in einer Art und Weise, die anfangs vorbeugende Risikoanalysen unmöglich machen. Mit Risikoanalyse meine ich eine sachliche Bewertung, nicht etwa wie bei der Eisenbahn Beginn 19. Jahrhundert: Wenn du dein Gesicht bei der Geschwindigkeit aus dem Fenster hältst, schmilzt es! sondern im Grunde so, wie der TÜV entstanden ist: Kesselexplosionen passieren, wir wissen warum und führen Maßnahmen ein, die das Risiko minimieren. Genauso ist es in der IT, eigentlich sogar noch mehr als in der Ingenieurtechnik: Bei letzterer kann man messen, ob etwas die Standards erfüllt, bei IT eher nicht. Gerade in der IT ist QS und Sicherheit extrem zeit- und ressourcenaufwendiges, weil Codes gelesen werden müssen und vor allem auch selbst zwischen bereits geprüften "Bausteien" die Interaktionen geprüft werden müssen. Schnittstellen sind ein Dauerbrenner, bei jedem Patch für Spass zu haben und dann "veraltet" Software auch so rasend schnell. Ne Brücke plant man einmal ordentlich, die hält dann Jahrzehnte. Software hat deutlich kürzere Cycles, ein zielführendes Software-Leistungsverzeichnis braucht aber mittlerweile genausolange in der Erstellung wie ne gleichteure Baumaßnahme. Die Relationen sind hier massiv verzerrt, also sucht man sich "einfache Lösungen" und die gibts idR nur COTS.

Der Beitrag wurde von SailorGN bearbeitet: 21. Mar 2018, 17:29


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Hummingbird
Beitrag 21. Mar 2018, 17:52 | Beitrag #20
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


ZITAT(SailorGN @ 21. Mar 2018, 17:16) *
was passiert wohl, wenn man sich hinstellt und sagt: Passt auf, Bürger und Politiker, wir brauchen Milliarden für einen Office-Klon
Das ist doch genau die Denke warum tatsächlich vor der Herausforderung resigniert wird. Office Anwendungen sind nicht wirklich das Problem. Mail Programme sind es und eine Alternative für Outlook kostet keine Milliarden. Ernsthaft, wer Outlook benutzt gehört gehauen. Eine Rundum Alternative ist selbstverständlich nicht realistisch, aber wenigstens in sensiblen Schlüsselbereichen sollte man es den Angreifern nicht zu einfach machen.

Der Beitrag wurde von Hummingbird bearbeitet: 21. Mar 2018, 17:58
 
SailorGN
Beitrag 21. Mar 2018, 17:55 | Beitrag #21
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 10.410



Gruppe: VIP
Mitglied seit: 11.05.2003


Na dann Butter bei die Fische und eines benannt, was billig und sicher(er) ist...


--------------------
Dans ce pays-ci, il est bon de tuer de temps en temps un amiral pour encourager les autres - Voltaire
Im Gegensatz zum Hirn meldet sich der Magen, wenn er leer ist.
-------------------------------------------------------------
Deutsche Waffe mit großer Reichweite: NICHT Taurus
putins Waffe mit großer Reichweite: SPD
 
Hummingbird
Beitrag 21. Mar 2018, 18:05 | Beitrag #22
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


Mich würde vielmehr interessieren wer in den Bundesbehörden tatsächlich glaubhaft darlegen könnte, auf Outlook nicht gänzlich verzichten zu können. Dann können wir darüber diskutieren welcher Funktionsumfang tatsächlich erforderlich ist und was das kostet.
 
xena
Beitrag 21. Mar 2018, 18:32 | Beitrag #23
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 11.864



Gruppe: Members
Mitglied seit: 03.10.2002


ZITAT(Schwabo Elite @ 21. Mar 2018, 14:29) *
ZITAT(SailorGN @ 21. Mar 2018, 15:05) *
@xena: wunderbar ignorantes Meinungsstück. Wer übernimmt bei OpenSource denn die Gewährleistung, wenns nicht funktioniert? Wer übernimmt Verantwortung dafür, dass die versprochene Leistung auch erbracht wird? Wer garantiert vertraglich bei OS, dass die Software gewartet/gepatcht wird? Wer garantiert am Ende bei OS, dass nicht doch irgendein Hobbyhacker ne Backdoor installiert hat? Gewährleistung und OS beissen sich und gerade bei Behörden, die wirklich sensible Daten haben ist es extrem wichtig zu wissen, wen man auf der anderen Seite hat. Möchtest du deine Steuerdaten, Einwohnermeldedaten, Vorstrafenregister Programmen anvertrauen, bei denen eben nicht bekannt ist, wer eigentlich für geforderte Eigenschaften geradesteht? Ich nicht.


Man muss sich die Konsequenzen auf nationaler (oder europäischer) Ebene mal vorstellen. Behörde X will, dass ein OS-Programm Fähigkeit Y hat. Behörde Z braucht was ganz anderes etc. pp. Ganz schnell schaffen die großen Behörden Lösungen für sich, mit der Folge, dass ähnliche, aber nicht kompatible Lösungen für Probleme in 16 Bundesländern existieren. Da die Spitzenprogrammierer ohnehin nicht zu den Behörden gehen sind alle diese Lösungen qualitativ nicht vergleichbar programmiert mit MS-Lösungen, aber wenigstens sind sie deutsch™. Macht die Zusammenarbeit mit Partnerländern leider völlig unmöglich, weil die ja auch alle im Chaos versinken.


Eine sehr naive Sichtweise. Welche Gewärleistung übernimmt denn M$? Gar keine, außer, dass die Software funktioniert. Wer garantiert, dass M$ Produkte weiter entwickelt werden? Niemand, weil M$ jederzeit ihr Produkt einstellen kann. Wer Garantiert, dass die Sicherheitslücken geschlossen werden? Bei M$ niemand, weil die eh schon eine einzige Sicherheitslücke ist und Patches kommen wenn M$ Bock darauf hat. M$ kann nur garantieren, dass sie eine Backdoor der NSA drin hat. Welche 16 verschiedenen M$ Versionen für die 16 verschiedene Behörden gibt es denn? Lächerlich...

Leute, das sind alles Strohmannargumente, weil ihr nichts habt, was eure Argumente stützt. Ihr habt OS nicht verstanden, aber immer schön als M$-Versteher dagegen halten. Wenn in einem OS Projekt etwas eingebaut wird was gegen die Ethik der OS-Gemeinde ist, dann bekommt das einer sehr schnell raus und entfernt das wieder, weil viele, sehr viele Augen den Source Code immer wieder durchforsten, weiter entwickeln, verbessern usw... Sicherheitspatches waren in der OS Gemeinde schon immer wesentlich schneller behoben als bei M$. Und noch mehr. Meist kommen Sicherheitshinweise aus der OS Gemeinde, während M$ Sicherheitslücken regelmäßig verschweigt, verharmlost, vertuscht. OO als Standardsoftware, z.B., wird ständig weiter entwickelt. Jeder der mitmachen will, kann sich dort einbringen und zusätzliche Funktionen einbringen, die nicht mal M$ hat. Alles eine Frage der Nachfrage und wer es macht. Eine Behörde kann dort investieren und Funktionen fördern und wenn diese mal da sind, werden sie auch weiterhin gepflegt und weiter entwickelt. Im Prinzip könnte sich jede Behörde ihr eigenes OO machen, denn jeder darf den SourceCode für sich verwenden und verändern. Dann hat man auch jemanden, der dafür gerade steht. Garantien? LOL. Hat z.B. OO jemals nicht funktioniert?

M$ Office ist eine Standardsoftware. Welche Funktionen hat es, das Behörden unbedingt benötigen? Nun mal Butter zu den Fischen! Spezialisierte Software steht eh außen vor, weil die wird eh für spezielle Anwendungen gemacht. Da muss man auch nicht US-Firmen nehmen, das machen auch einheimische Softwareschmieden. Da wäre der BND mit Zucker gepudert, wenn sie das simple M$ Office für sicherheitsrelevante Dinge verwenden würden.

Und die Frage welches E-Mail Programm man anstelle von Outlook verwenden soll ist so was von drollig naiv, dass diese Frage in diesem Forum schon richtig weh tut. Leute, es gibt Massen an E-Mail Programmen, die um Welten sauberer, sicherer, übersichtlicher, frei von überflüssigen Gimmicks und resourcenschonender sind als Outlook. Wir reden hier von Behörden und nicht von Spielekiddies. rofl.gif

Open Source Software hat den Vorteil, dass Programmierer auf der ganzen Welt darauf achtet, dass die Software sauber ist. So hält man wenigstens die Standardsoftware sauber.

Soll man etwa alles so lassen wie gehabt, ein Hoch auf M$ und die NSA und Konsorten singen? Alles nur Verschwörungstheorien und Geschwurbel. Na denn...


--------------------
Schon seit 20 Jahren: Waffen der Welt
 
Arado-234
Beitrag 21. Mar 2018, 19:20 | Beitrag #24
+Quote PostProfile CardPM
Leutnant
Beiträge: 930



Gruppe: Members
Mitglied seit: 03.03.2010


ZITAT
Na dann Butter bei die Fische und eines benannt, was billig und sicher(er) ist...


Sorry, aber Microsoft Produkte sind nun mal weder billig noch sicher und dennoch werden sie eingesetzt.

Weiss noch jemand den genauen Grund, weshalb das Groupwise (Novell) als Pendant zu MS Outlook abgeschnitten wurde?


--------------------
Microsoft ist eine Kreuzung zwischen den Borg und den Ferengi. Leider nutzen sie die Borg für das Marketing und die Ferengi für das Programmieren, was dabei herauskommt sehen Sie selbst. . .
 
xena
Beitrag 21. Mar 2018, 19:38 | Beitrag #25
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 11.864



Gruppe: Members
Mitglied seit: 03.10.2002


Das Produkt gibt es doch immer noch und wird von Micro Focus vertrieben. Das ist aber ein etwas größeres Ding als Outlook. Novell hat IMHO die Sparte verkauft.

Der Beitrag wurde von xena bearbeitet: 21. Mar 2018, 19:42


--------------------
Schon seit 20 Jahren: Waffen der Welt
 
Schwabo Elite
Beitrag 21. Mar 2018, 21:08 | Beitrag #26
+Quote PostProfile CardPM
Generalmajor d.R.
Beiträge: 19.255



Gruppe: Moderator
Mitglied seit: 10.06.2002


ZITAT(Hummingbird @ 21. Mar 2018, 17:52) *
ZITAT(SailorGN @ 21. Mar 2018, 17:16) *
was passiert wohl, wenn man sich hinstellt und sagt: Passt auf, Bürger und Politiker, wir brauchen Milliarden für einen Office-Klon
Das ist doch genau die Denke warum tatsächlich vor der Herausforderung resigniert wird. Office Anwendungen sind nicht wirklich das Problem. Mail Programme sind es und eine Alternative für Outlook kostet keine Milliarden. Ernsthaft, wer Outlook benutzt gehört gehauen. Eine Rundum Alternative ist selbstverständlich nicht realistisch, aber wenigstens in sensiblen Schlüsselbereichen sollte man es den Angreifern nicht zu einfach machen.


Ich weiß ja nicht, wie Du Deinen mittelständischen Betrieb führst, aber Outlook ist kein Mailprogramm allein. Da laufen dann nebenbei noch Terminkoordinationen drüber, es gibt eine Schnittstelle zu SharePoint und über die gemeinsamen Server läft dann die ganze Behörde, inklusive Schnittstellen zu SAP etc. Und wo wir gerade bei "nicht kritisch" sind: Was soll SAP dann sein? Da laufen in vielen Firmen und Behörden praktische alle Personal- und Organisationsprozesse drüber ab.


--------------------
Sapere Aude & Liber et Infractus
"He uses statistics as a drunken man uses lamp-posts... for support rather than illumination." - Andrew Lang (1844-1912)
"Seit ich auf deutsche Erde trat, durchströmen mich Zaubersäfte. Der Riese hat wieder die Mutter berührt, Und es wuchsen ihm neue Kräfte." -- Heinrich Heine (1797-1856), Deutschland ein Wintermärchen, Caput I
Quidquid latine dictum, altum videtur. -- Nενικήκαμεν! -- #flapjackmafia
 
Hummingbird
Beitrag 21. Mar 2018, 21:16 | Beitrag #27
+Quote PostProfile CardPM
Oberstleutnant
Beiträge: 14.062



Gruppe: Members
Mitglied seit: 03.12.2004


Echt, oder?
 
Schwabo Elite
Beitrag 21. Mar 2018, 21:35 | Beitrag #28
+Quote PostProfile CardPM
Generalmajor d.R.
Beiträge: 19.255



Gruppe: Moderator
Mitglied seit: 10.06.2002


ZITAT(xena @ 21. Mar 2018, 18:32) *
Im Prinzip könnte sich jede Behörde ihr eigenes OO machen, denn jeder darf den SourceCode für sich verwenden und verändern. Dann hat man auch jemanden, der dafür gerade steht. Garantien? LOL. Hat z.B. OO jemals nicht funktioniert?
Genau das ist das Problem. Und zwar durch die Bank mit allen Open-Source-Lösungen. Da definiert jede Behörde ihre eigenen Standards und macht mit ihren Leuten was sie wollen - die müssten übrigens alle erstmal auf dem Mark sein und dann eingekauft werden - und am Ende nutzt nicht nur jeder ein andere Office, sondern auch zu einander nicht kompatible Systeme in anderen Bereichen. Genau mein Beispiel.

Und ob Open Office mal nicht funktioniert hat? Wie oft hab ich schon Texte von Studenten bekommen, bei denen die Formatierung verschoben ist, weil die ein anderen Office-Paket genutzt haben. Im Seminar ist das nur peinlich, aber hochgerechnet auf jeden Verwaltungsmitarbeitere in Deutschland sind 5 min Kompatibilitätsprobleme am Tag ganz schön viel Steuergelder.


--------------------
Sapere Aude & Liber et Infractus
"He uses statistics as a drunken man uses lamp-posts... for support rather than illumination." - Andrew Lang (1844-1912)
"Seit ich auf deutsche Erde trat, durchströmen mich Zaubersäfte. Der Riese hat wieder die Mutter berührt, Und es wuchsen ihm neue Kräfte." -- Heinrich Heine (1797-1856), Deutschland ein Wintermärchen, Caput I
Quidquid latine dictum, altum videtur. -- Nενικήκαμεν! -- #flapjackmafia
 
revolution
Beitrag 21. Mar 2018, 21:42 | Beitrag #29
+Quote PostProfile CardPM
Hauptmann
Beiträge: 4.748



Gruppe: Members
Mitglied seit: 22.04.2006


Die Stadt München, die Italienische Polizei, etc...haben bewiesen, dass der Umstieg auf Linux und Libre Office auf behördlicher Ebene funktioniert und deutlich Geld spart.
Darüber hinaus sind Office Makros nur ein möglicher Angriffsvektor, den man zudem mittels Sandboxing und entsprechenden Einstellungen in den Griff bekommt.

Viel entscheidender ist, dass man das Verhalten der IT Infrastruktur bzw den Datenverkehr beobachtet und unerwartetes Verhalten sofort erkennt und dann entscheidet, wie man reagiert.
Das geht nur mit Tools und Profis. DIESE holt man sich NICHT im Ausland.

Die Sicherheitstools und IT Spezialisten sitzen an zentralen Stellen und können quasi alles sehen und tun. Für Kaspersky, HUAWEI, ELBIT, etc...ist es sehr sehr sehr sehr spannend, einem Deutschen, Schweizerischen, ... Energienetzbetreiber, Telefonnetzbetreiber, Banken, etc..entsprechende Hardware und Dienstleistungen zu verkaufen und auf diese Weise ihre Trojaner aka "Sicherheitstools" einzuschleusen. Diese Firmen suchen sich zu exakt diesem Zweck hiesige Generalunternehmer, die sie unter falscher Flagge einschleusen. Damit wird IT Sicherheit selbst zum Sicherheitsproblem und zwar zu einem strategischen Problem. Daher braucht es nationale Kapazitäten in diesen Bereichen. Exakt aus diesem Grund.

Der Beitrag wurde von revolution bearbeitet: 21. Mar 2018, 21:46
 
Warhammer
Beitrag 21. Mar 2018, 21:48 | Beitrag #30
+Quote PostProfile CardPM
Major
Beiträge: 5.414



Gruppe: Members
Mitglied seit: 15.10.2002


Ich verstehe tatsächlich auch nicht, wie SAP nicht als kritisch eingestuft werden kann. Darüber laufen ja nicht nur X Industrie- und Dienstleistungsbetriebe sondern auch eine ganze Menge Banken, die das als Kernsystem im Einsatz haben.



--------------------
(\__/)
(O.o )
(> < ) This is Bunny. Copy Bunny into your signature to help him on his way to world domination!
 
 
 

3 Seiten V   1 2 3 >
Reply to this topicStart new topic


1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:




Vereinfachte Darstellung Aktuelles Datum: 28. March 2024 - 23:22