Heute mal ein anderes Thema

by Volker Weber

Nach wissenschaftlichen Einschätzungen entwickelt sich die Informationssicherheit in so genannten Wellen bzw. Entwicklungsstufen, die sich aufgrund ihrer zeitlichen und inhaltlichen Dimensionen unterscheiden lassen. Charakteristisch für die erste Welle ist die technologische Ausprägung (Firewall, Proxy-Gateway, IDS-Systeme), für die zweite Welle die Erkenntnisse eines notwendigen Managements (Policies, Procedures) und für die dritte Welle die Einführung der Best Practices, Standards, Zertifizierungen, Mess- und Monitormethoden. Die derzeitige vierte Welle erzwingt von den Unternehmen ein Information Security Governance indem sie die Berücksichtigung von rechtlichen, regulatorischen und institutionellen Vorgaben fordert (Compliance). Als Synonym dieser Vorgaben steht der Sarbanes Oxley Act (SOX) aus dem Jahre 2002, der aufgrund der Bilanzskandale von Enron und WorldCom ins Leben gerufen wurde. Die enorme Sensibilität dieser Thematik lässt sich von den hohen Sanktionen herleiten, die gegen Manager, die Bilanzskandale zu verantworten haben, verhängt worden sind.

Ich bin gespannt, was ich heute lerne.

More >

Comments

Das halte ich alles für ausgemachten Blödsinn, da eben nur mit Technik an den Symptomen rumgedoktort wird, anstatt die Ursachen zu bekämpfen. Solange jeder DAU wild auf alle möglichen Attachments klickt, bestimmte Mailclients und Betriebssystem verwendet, solange wird an der grundsätzlichen Problematik sich nichts ändern. Solange kein Bewusstsein für die Problematik in den Köpfen jedes Einzelnen (und nicht nur von Admins oder interessierten) vorhanden ist, solange kann man natürlich versuchem, mit hochgezüchteter Technik Abhilfe zu schaffen. Wir sehen aber täglich aufs Neue, dass eben genau das ein Irrweg ist.

Ich bin nach wie vor dafür, dass man erst dann einen Rechner in Betrieb nehmen darf, wenn man die grundsätzliche Eignung, das Ding auch vernünftig zu benutzen, unter Beweis gestellt hat. Analog zum Moppedschein: da darf man sich auch nicht gleich auf eine 180PS-Schüssel setzen. 2 Jahre hat man 34PS, dann muss man nachweisen, dass man eine gewisse Fahrpraxis erworben hat, erst dann darf man die Busa ausdrehen. Ähnlich sollte das mit Rechnern laufen: bevor man so ein Ding in die Finger bekommt, erstmal einen Nachweis erbringen, dass man wenigstens theoretisch weiß, was man tut. Dann zwei Jahre "Probezeit": fängt man sich einen Virus ein, einen Trojaner, nimmt der Rechner an DDoS-Angriffen teil, oder was auch immer, weg ist das Ding. Dann alle 2 Jahre eine "Nachprüfung", in der man zu beweisen hat, dass man sich mit der Materie auseinanderseetzt und auf dem Laufenden bleibt. Passiert was mit der Kiste (s.o.), z.B. 3 Vorfälle in 2 Jahren, Nachschulung, Probezeit verlängert sich, Punkte analog zum Flensburger Register. Verschärfte Bedingungen für den Einsatz bestimmter Betriebssysteme oder anderer bekanntermaßen unsichere Software. Ab X Punkten, weg ist die Büchse, Sperrfrist, Nachschulung, für Zeitraum Y nur eine abgespeckte, vorkonfigurierte, in der Config nicht änderbare Kiste (486er reicht wohl für 80% aller DAUs), 33.6er Modem, eventuell OS nur von R/O-Medien bootbar (z.B. Knoppix), Zwangsreboot alle 24 Stunden um etwaige Schadsoftware wieder loszuwerden.

Ich gebe zu, das ist vielleicht etwas radikal. Es macht schon einen Unterschied, ob ich eine 180PS-Feile nicht unter Kontrolle hab und damit jemanden umniete, oder eben "nur" einen DDoS-Angriff fahre. Die Betroffenen sind da aber bestimmt anderer Meinung. Da der Deutsche Michel eben nicht hören, sondern nur fühlen will und zu bequem und/oder zu dämlich ist, Eigeninitiative zu ergreifen und über den eigenen Tellerrand zu blicken, muss man ihn eben so kommen. Anders begreift er es halt nicht. Warum Leute, die nicht einmal Showview in ihren Videorecorder programmieren können, aber mit 3GHz-Boliden und 6MBit/s-Pipes hantieren dürfen, das erschließt sich mir jedenfalls nicht.

Ralf Stellmacher, 2007-02-22

Ja, da freut sich der EU-Beamte, wenn er noch eine EU-PC-Führerscheinprüfungs-Verordnung verordnen kann. Am besten gleich mit DRM-Klauseln, Punktekonto in Flensburg und einer passenden PC- und Internetpolizei. Und mit soviel Sarkasmus dürfte ich meinen PC oder Mac gleich in Sicherheitsverwahrung abgeben... ;-)

Don Rorlach, 2007-02-22

Ja, dessen bin ich mir durchaus bewusst, dass es dann noch mehr Regelungen, noch mehr Ausnahmen, noch mehr Kontrolle, noch mehr Überwachung und auch noch mehr Geldverschwendung gäbe. Aber wie biegst du das den Leuten bei, wenn sie nicht hören wollen, zu blöd oder schlicht und ergreifend zu desinteressiert sind? Ja, ich weiß, meine Idee ist in der Form nicht praktikabel und schon gar nicht wünschenswert. Aber irgendwann hatte heise mal Zahlen genannt, wieviel die Rumspammerei und DDoS-Attacken kosten (bin grad zu faul zum Suchen), das waren Milliarden. Ich denke schon, dass es sich rechnen würde. Da zudem ja ohnehin genug Geld für nichts verpulvert wird und die Grundrechte auch immer weiter eingeschränkt werden, macht das den Kohl nu auch nicht mehr fett (ich hätte nie gedacht, dass ich das mal sage, ist heute nicht mein Tag...).

Fakt ist doch, dass immer mehr Resourcen eingesetzt werden (müssen), um die Ignoranz und die Dummheit der Mehrzahl der Leute zu kompensieren. Ok, das sichert einigen von uns den Job, zugegeben. Aber davon abgesehen, dass es in sich unlogisch und unwirtschaftlich ist, ist es erwiesenermaßen einfach nicht machbar.

Ralf Stellmacher, 2007-02-22

Lieber Ralf,
mir ist eine zugespamte e-Welt aber 10000 mal lieber als ein zwangs-DRM (Digital Restriction Managment) für alle.

Martin Forisch, 2007-02-22

Kurzer Bericht wäre prima

Gruss
Olaf

Olaf Boerner, 2007-02-22

Lieber Martin,
da werde ich kaum gegenargumentieren. Aber für mich stellt sich die Sache denkbar einfach dar: lass eben alles weg, was dieses unselige Zeugs enthält. Niemand ist auf Musik, Videos oder ähnliches derart dringend angewiesen, dass es DRM rechtfertigt. Btw: Musik, Videos etc. kann man auch auf Datenträgern kaufen, man muss nicht zwangsläufig Apple und Konsorten Geld in den Rachen werfen. Und wenn es Warner, Sony und Konsorten einfällt, eben nur noch verstümmelte Datenträger zu verscheuern, die auch vernünftige Hard- und Software nicht wieder grade biegen können, tja, dann gibt es eben kein Geld mehr. Jedenfalls nicht von mir. Niemand ist gezwungen, sich das anzutun. Allerdings ist jeder von uns gezwungen, tagtäglich unnötigen Ramsch aus seiner Mailbox zu fischen, bzw. zu prüfen, ob der Filter nicht zu übereifrig war.

Allerdings ist mir im Moment der Zusammenhang zwischen einer zwangsweisen Userschulung und DRM nicht so ganz klar. Aber egal, es wird eh nicht soweit kommen. Mit der Userschulung nicht. Mit DRM wohl leider Gottes schon. Obwohl auch hier immer mehr Leute einsehen, dass das wohl ein Irrweg sein wird. Hoffnung jedenfalls hab ich noch...

Ralf Stellmacher, 2007-02-23

Solange wie ich iTunes Songs auf CD brennen und anschließend im MP3-Format rippen kann, soll mir DRM mal die Pupe schmatzen. DVD sind mir zu kurzlebig. Den Film 3 x gesehen und wech. Da geh ich eher in die Videothek . Ich muss eh nicht immer den neuesten Steifen sehen.

DRM wird nicht aufzuhalten sein, solange Verbraucher die Produkte wie z.B. Un-CDs kaufen. Die Hersteller sollten verpflichtet werden eine Warnung wie auf den Zigarettenschachteln anzubringen. "Beim Kauf dieser CD werden Sie verarscht!". Lustig wird es erst wenn DRM dazu benutzt wird meinem Computer zu sagen welche Programme funktionieren sollen und welche nicht. Oder welche Treiber funktionieren dürfen. Wer sich z.B. von Winzigweich keine Lizenz kauft bleibt aussen vor. So einfach ist das. Hab ich das Monopol, hab ich die Macht.

Wolfgang Pries, 2007-02-23

Ja und Nein. Du hast insofern Recht, als dass du als Monopolist versuchen kannst zu diktieren, was wann wer wie wo laufen lassen darf. Funktioniert aber auch nur solange, wie die User sich das gefallen lassen. Es zwingt dich ja niemand, die Produkte von Mickischrott einzusetzen. Jedenfalls nicht zu Hause. Wer es dennoch tut und das auch noch wider besseren Wissens, dem ist nicht zu helfen, der hat halt Pech gehabt.

Dass aber DRM sich nicht zwangsläufig durchsetzen muss (und hier kommen wir zum "Nein"), ist durchaus möglich:

Midem: Musikmarktexperten diskutieren über eine Welt ohne DRM
Yahoo-Manager rechnet mit Ende des digitalen Kopierschutzes
Steve Jobs spricht sich gegen DRM aus
Klub der Kopierschützer lädt Steve Jobs ein
usw. usf.


Auch wenn ich (wie wahrscheinlich schon deutlich geworden) einen großen Teil der PC-Benutzer für dumm halte, auch die werden irgendwann aufwachen, wenn ihnen nämlich die Gängelung -so sie denn kommt- erstmal gehörig gegen den Strich geht; der Leidensdruck muss einfach nur groß genug sein. Weil dann das Geschrei aber groß sein wird, wird niemand auf die grandiose Idee kommen, das erst zu versuchen. Kein Apple, keine RIAA, kein Mickischrott. Hoffe ich zumindest. Und selbst wenn: na und? Ich brauche kein Windows, ich brauche keine validen Signaturen in Treibern und schon gar nicht brauche ich DRM oder sonstwas, was mir sagt, was ich -selbstverständlich nur gegen Bares- tun darf. Wer aber der Ansicht ist, er muss das haben (aus welchen Gründen auch immer), der soll halt glücklich damit werden. Oder auch nicht, mir auch egal...

Ralf Stellmacher, 2007-02-23

Gab es Foliensätze für die Allgemeinheit?
Gruss, Luis

Luis Folch, 2007-02-23

@Wolfgang: Ich dachte, die Musiklabels müssen inzwischen einen Warnhinweis auf die CDs drucken, wenn diese nicht auf allen CD Playern (wie eben bspw. PCs) abgespielt werden können? Zugegeben, diese Hinweise haben noch lange nicht das Format und die Auffälligkeit der Hinweise auf den Zigarettenpackungen...

Ragnar Schierholz, 2007-02-23

und wo ist der Bericht von vowe ?

Olaf Boerner, 2007-02-23

Wolfgang Böhmer?? Ohje...

Also wer die VPN-Vorlesung von ihm kennt, wird sich sicher seinen Teil denken, war eine der schlechtesten Vorlesungen des ganzen Studiums. Was macht der eigentlich an der TUD?

Aber sein Vortrag ist ja auch nur Buzzword-Bingo:

Compliance Profiling - a new challenge for an information security management system

Es wird ein Modell zur Compliance-Analyse vorgestellt, dass auf das fallbasierte Schließen (CBR) in Kombination mit gerichteten Graphen (DAG) basiert. Es können definierte Pfade auf den Graphen und Pfadabweichungen als ein viel versprechender Ansatz eingestuft werden, um automatisierte Fragestellungen (W7) hinsichtlich einer Compliance beantworten zu können. Die in diesem Modell aus der Kriminalistik entlehnte Vorgehensweise wird als Compliance-Profiling bezeichnet.

Kai Liebrecht, 2007-02-23

Das hab ich heute gefunden.
Hier kurz mal nachlesen.

Wolfgang Pries, 2007-02-24

Old vowe.net archive pages

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Paypal vowe