15. April 2007
Gut, der Artikel in The Register ist von August 2001, aber er zeigt wunderschön die Notwendigkeit der Datenverschlüsselung auf mobilen Geräten: Festplattenverschlüsselung auf Notebooks, Flash-Verschlüsselung auf PDAs und natürlich auch auf Blackberry und Co.
Und der Artikel liest sich wirklich schön:
„The survey, which quizzed 131 of the capital’s 24,000 licensed cab drivers, also claimed the more bizarre items left in cabs included a small girl, a cat, a goldfish in a water-filled bag, and a suitcase packed with diamonds and £2,000 in cash. „
Ein kleines Mädchen, soso … 🙂
Ach ja, als Argument für Kunden, für die Verschlüsselung Geld auszugeben, eignet sich der Artikel natürlich auch.
Ich erstelle aktuell mit Hilfe der SecureAware Software von Neupart eine komplexe Security Policy für einen Kunden. Dabei sind alle Schikanen enthalten, d.h. die Policy muss verschiedene Geschäftsbereiche mit komplett unterschiedlichen Sicherheitsanforderungen abdecken, es gibt Nutzer die unterschiedliche Bereiche der Policy sehen dürfen, andere Bereiche jedoch wieder nicht, wichtige Teile sind mit Betriebsvereinbarungen abgedeckt, Handlungsanweisungen sollen mit der Policy verknüpft werden … also das ganze Programm.
SecureAware erlaubt es, die Policy modular aus vielen kleinen Bausteinen aufzubauen und unterschiedliche Sichtweisen auf das Konzept zu erhalten. Beispielsweise gibt es mehrere Bereiche der Policy, die sich mit Passwort-Regelungen beschäftigen. Diese Bereiche befinden sich unangenehmerweise auch noch in verschiedenen Kapiteln. Wenn man da eine konsistente Policy erhalten will, muss man schon viel blättern. In SecureAware kann man nun die ganzen Bausteine, die sich mit Passwörtern beschäftigen, mit der Inhaltskategorie „Passwortpolicy“ verknüpfen und dann auf einen Blick alle Bausteine sehen, die sich mit Passwörtern beschäftigen. Selbstverständlich können Bausteine und Inhaltskategorien dabei frei erstellt und definiert werden.
Ein zweiter Vorteil ist, dass man einzelne Bausteine für unterschiedliche Benutzergruppen sichtbar oder unsichtbar machen kann. So gibt es jetzt eine Regelung für Benutzerpasswörter und eine Regelung für Administratorpasswörter. Die Regelung für die Administratorpasswörter bekommen normale Nutzer aber gar nicht angezeigt. Dadurch bleibt die Policy für diese Gruppe sehr klein und effizient, was wiederum die Chance erhöht, dass sie tatsächlich gelesen und verstanden wird.
Die in SecureAware enthaltenen Texte, überwiegendÜbersetzungen bzw. Anpassungen des ISO 27001 Standards helfen oft nur in einfachen Sicherheitskonzepten wirklich weiter. Entscheidend für mich ist jedoch die Fähigkeit von SecureAware, ein an die Anforderungen von Sicherheitskonzepten angepasstes Content Management System bereitzustellen. Die Möglichkeiten die sich geben sind wirklich gigantisch, weil man jeden Baustein einer Sicherheitskategorie, einer Inhaltskategorie und einer Zielgruppe zuordnen kann. Die vordefinierten Texte und Kategorien geben jedoch einen sehr guten Überblick der Fähigkeiten von SecureAware.
Zu den anderen Fähigkeiten von SecureAware, z.B. im Bereich Mitarbeiter-Awareness, Risikobewertung und Compliance demnächst mehr.
Fazit: Für die effiziente Erstellung und Verwaltung von Sicherheitskonzepten ist nach meiner Meinung SecureAware von Neupart die beste, aktuell auf dem Markt verfügbare Software, wenn man nicht selbst an die Programmierung Hand anlegen will.
Falls sich jemand für SecureAware und die Möglichkeiten (und Preise) interessiert, einfach eine kurze Mail schicken 🙂
Kurz nach Mitternacht nur eine kurze URL:
Ha.ckers.org XSS Cheat Sheet
Sehr praktisch, wenn mal wieder ein Webserver in einem Penetrationstest überprüft werden soll.