The six dumbest ideas in Computer Security

Marcus Ranum schreibt über die sechs dümmsten Ideen im Berich der Computersicherheit (The six dumbest ideas in Computer Security.)

Wenn ich ihm auch nicht in allen seinen Thesen vorbehaltlos zustimmen kann, lesenswert ist der Artikel allemal.

Gefunden: fast überall.

Continue reading "The six dumbest ideas in Computer Security"

Social Engineering

merlix berichtet darüber, wie sich ein Dieb als telefonierendes Anhängsel eines Hardwaretechnikers in eine Firma eingeschlichen hat und - zum Glück "nur" - Portemonnaies und Wertgegenstände eingesammelt hat. Man möchte gar nicht wissen, was für ein Schaden hätte entstehen können, wenn der Eindringling nach den Geschäftsgeheimnissen des Unternehmens aus gewesen wäre.

Ich persönlich finde es zwar superlästig, erstmal am Empfang seitenlang Formulare mit persönlichen Angaben ausfüllen zu müssen, um dann meinen Ausweis gegen einen offen zu tragenden Hausausweis eintauschen zu dürfen und den ganzen Tag als "Auswärtiger" gebrandmarkt herumzulaufen, kann aber immer mehr verstehen, dass Unternehmen ab einer gewissen Größe gerne kontrollieren wollen, wer sich auf dem Gelände bewegt.

Um so mehr verwundert es mich, dass manche, auch gerade große Firmen, solche Verfahren zwar in den Ansätzen realisiert haben, aber in die Prozesse Sicherheitslücken eingebaut haben, durch die man mit einem ganzen Möbelwagen durchfahren könnte. Nicht selten erlebt man Verfahren, die die Nachteile genauer Zugangskontrolle ("lästig") mit den Nachteilen nicht stattfindender Zugangskontrolle ("wir wissen weder, ob der Besucher wirklich dort war wo er behauptete hinzuwollen, noch ob er schon wieder gegangen ist") verbindet.

In Deutschland scheint es diesbezüglich besonders hohen Beratungsbedarf zu geben. Ob man diesbezügliche Bratungsleistungen in den Rundum-Sorglos-Securityservice mit aufnehmen sollte?