Archiv der Kategorie: IT

Information Technology

Unterschätzte Risiken: Selbstorganisierte Telearbeit

Freundlich zum Nutzer, IT, Nebenwirkung, Security, Unterschätzte Risiken, Unterwegs,

Telearbeit erscheint als Sicherheitsrisiko. Mitarbeiter und IT an dezentralen Heimarbeitsplätzen, das kann nicht gutgehen, da haben wir doch gar keine Kontrolle. Schlichtere Naturen könnten dies für eine fundierte Bedrohungsanalyse halten. Es ist aber keine, solange der Realitätsabgleich fehlt. Wenn Mitarbeiter Telearbeit wollen, aber nicht bekommen, kann das Ergebnis nämlich so aussehen:

»Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten.«

(Datenpanne bei der WestLB – Betreff: Geheime Daten)

Dann vielleicht doch lieber eine offizielle Erlaubnis, verbunden mit angemessener IT-Unterstützung.

Merke:
Der Benutzer wird stets sein persönliches Problem lösen. Er wird dazu alle verfügbaren Mittel und Werkzeuge nutzen. Wo wir ihm keine geben, sucht er sich eigene.

Update: Bei Juristen, genauer: Richtern, scheint es üblich zu sein, dass man solche Workarounds erzwingt, lange bevor das Reich der Sonderwünsche beginnt. Wer ist bei den Gerichten eigentlich für die IT zuständig?

Hirntot

IT, Nebenwirkung, Security, Vulnerability, Zwischenruf, , , ,

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Plattenverschlüsselung: viermal mangelhaft

IT, Security, Testlabor, , , , , ,

Delivering bad news since 2004:

Meine Kollegen aus dem Testlabor IT-Sicherheit haben sich wieder einmal mit Verschlüsselungssoftware beschäftigt. Diesmal im Auftrag der Zeitschrift Computerbild, in deren aktuelles Heft die Ergebnisse eingeflossen sind. Ausgabe 20/2008 berichtet ab Seite 70 über den Test, zu dem unser Institut die Sicherheitsuntersuchung und -bewertung beigetragen hat.

Vier von acht untersuchten Programmen sind durchgefallen. Ich gratuliere. Den Kollegen, nicht den Programmen. Wir haben so etwas vor drei Jahren schon einmal gemacht, damals waren es nur zwei. Eines davon ist jetzt allerdings wieder auf einem der hinteren Plätze gelandet. So einfach ist das eben nicht mit der Sicherheit.

Nach fünf Minuten gehackt? Heise will es wissen

Forschung, IT, Security, ,

Heise Security fragt sich, was eigentlich zu halten sei von der immer wieder kolportierten Behauptung, ein ungepatchtes System am Netz sei nach wenigen Minuten kompromittiert. Am Ende steht eine Wette:

»Und wer’s nicht glaubt: Ich wette einen Kasten Flens, dass man ein Windows XP SP2 ohne weitere Patches in der Default-Konfiguration eine Woche direkt ans Internet hängen kann und da passiert gar nichts. Wer hält dagegen?«

Ich erst mal nicht, aber wir übernehmen gerne unparteiisch und wissenschaftlich das Experiment zu Klärung. Wobei es wohl schlauer wäre, einen Hiwi dranzusetzen, Daten zu sammeln und sich ggf. die Kiste Bier zu holen, falls der Redakteur sich irrt. Wer möchte? Und was sagen die Kollegen aus Mannheim dazu? [Update: das sagen sie dazu. Und hier zweifelt noch einer.]

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2)

eBürokratie, Fundbüro, ID, IT, Security,

[Teil 1 – Teil 2 – Teil 3Teil 4]

Ich hatte vor einem halben Jahr bereits verhalten gejubelt. Anlass war damals die Meldung, dass Kommunen in ihren eVerwaltungs-Angeboten auf den Zwang zur digitalen Signatur verzichten wollen, damit die Bürger diese Dienste auch nutzen. Jetzt fragt Sascha Kremer in seinem Blog rhetorisch: »Qualifizierte Signaturen: zum Scheitern verurteilt?« und weist sogleich auf das für Juristen offensichtlichste Problem dieser Technik hin:

»Tatsächlich schafft der Verbraucher mit der via qualifizierter elektronischer Signatur sicheren und vielleicht sogar verschlüsselten elektronischen Kommunikation zunächst einmal einen Beweistatbestand gegen sich selbst. Und genau das ist es, woran der Verbraucher weder im E-Commerce noch im Web 2.0 Interesse hat.«

Mein Reden seit Jahren und übrigens exakt der Grund, aus dem ich höchst selten E-Mail signiere. Der Rest seines Textes ist auch äußerst lesenswert, eine knappe, aber gute Analyse der Situation. R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2) weiterlesen