Als Ex-ISP Aktivist kenne ich die Überlegungen die man so anstellt zwischen Datenschutz und effektivem Abuse Management. Als guter Net-Citizen möchte man auf die Beschwerden (wegen Spams, Wurmschleudern, Scans, Hackangriffe oder Fehlkonfiguration) an das Abuse-Team natürlich eingehen. Gleichzeitig gibt es Bedenken, welche Daten gespeichert und weitergegeben werden können. Schon alleine die Frage ob man eine Beschwerde von einem unbekannten verifizieren kann hängt im wesentlichen von den geführten Logs ab.
In Deutschland ist der Datenschutz hier zum Glück sehr kleinlich: Keine Speicherung von personenbezogenen Daten ohne Gründe aus den Bereichen Abrechnung oder Betrieb. Die Auslegung, was nun technisch notwendig ist bereitet nicht nur den Abuse Teams der Provider Probleme.
Und die Strafverfolgung kommt hier als Grund nicht vor. So gesehen ist eine Regulierung in diesem Bereich überfällig, um die unklare Situation zu entschärfen. Jedoch schießt die Innenminister Konferenz mit ihrer Forderung nach Speicherung für ein Jahr über das Ziel hinaus: das belastet nicht nur die Infrastruktur, sondern das führt auch zu Datenansammlungen die (wie alle Datenansammlungen) missbraucht werden.
Dazu kommt dann noch die Entwicklung der letzten Jahre, dass dank Überwachungsverordnung (und Kontenabrufverfahren und und und) die Datensammelwut des Staates enorm zugenommen hat. Für das Bürger-Mining wollen die ISPs nun wirklich nicht sammeln.
In Deutschland ist der Datenschutz hier zum Glück sehr kleinlich: Keine Speicherung von personenbezogenen Daten ohne Gründe aus den Bereichen Abrechnung oder Betrieb. Die Auslegung, was nun technisch notwendig ist bereitet nicht nur den Abuse Teams der Provider Probleme.
Und die Strafverfolgung kommt hier als Grund nicht vor. So gesehen ist eine Regulierung in diesem Bereich überfällig, um die unklare Situation zu entschärfen. Jedoch schießt die Innenminister Konferenz mit ihrer Forderung nach Speicherung für ein Jahr über das Ziel hinaus: das belastet nicht nur die Infrastruktur, sondern das führt auch zu Datenansammlungen die (wie alle Datenansammlungen) missbraucht werden.
Dazu kommt dann noch die Entwicklung der letzten Jahre, dass dank Überwachungsverordnung (und Kontenabrufverfahren und und und) die Datensammelwut des Staates enorm zugenommen hat. Für das Bürger-Mining wollen die ISPs nun wirklich nicht sammeln.
Kris Köhntopp hat in Karlsruhe zum Geekend geladen. Neben Star Wars gab es von Ihm Vorträge zum Thema "Security Management" und zum Thema "Vortrag halten". Die Folien sind in seiner Blog-Zusammenfassung zu dem Event verfügbar.
Ein besonders interessanter Aspekt für mich war natürlich mal wieder die Praxis. Was tut man z.B. wenn zwischen dem Produktivstart einer neuen kritischen Anwendung nur noch die Security Policy steht. Kris hat hier richtig angeerkt dass ein Großteil der Arbeit eines Security Managers darin besteht genau solche Probleme zu lösen, und Anwendungen in Produktion zu nehmen, die komplett gegen die geltenden Regelungen verstoßen. Sein Tipp war hier ganz klar Fristen zu vereinbaren (um den Baracken-Effekt zu vermeiden.
Ich habe dazu ergänzt, dass man mit Intuition auch die größten Risiken einfach abdecken kann. Letztenendes nützt es nichts ein sicheres System in einem Betrieb zu haben der nicht mehr konkurenzfähig ist (und ja, es gibt sicher auch Fälle in denen der Schutz von Dritten vorgeht). Intuition als Werkzeug im Security Management wird nicht gerne gesehen, kommt in der BS7799 auch sicher nicht vor (wird aber auch nicht verboten!). Darüber hatte ich mich ja schon im letzten Artikel zu dem Thema ausgelassen.
Ein besonders interessanter Aspekt für mich war natürlich mal wieder die Praxis. Was tut man z.B. wenn zwischen dem Produktivstart einer neuen kritischen Anwendung nur noch die Security Policy steht. Kris hat hier richtig angeerkt dass ein Großteil der Arbeit eines Security Managers darin besteht genau solche Probleme zu lösen, und Anwendungen in Produktion zu nehmen, die komplett gegen die geltenden Regelungen verstoßen. Sein Tipp war hier ganz klar Fristen zu vereinbaren (um den Baracken-Effekt zu vermeiden.
Ich habe dazu ergänzt, dass man mit Intuition auch die größten Risiken einfach abdecken kann. Letztenendes nützt es nichts ein sicheres System in einem Betrieb zu haben der nicht mehr konkurenzfähig ist (und ja, es gibt sicher auch Fälle in denen der Schutz von Dritten vorgeht). Intuition als Werkzeug im Security Management wird nicht gerne gesehen, kommt in der BS7799 auch sicher nicht vor (wird aber auch nicht verboten!). Darüber hatte ich mich ja schon im letzten Artikel zu dem Thema ausgelassen.
Laut The Register hat Verisign eine Spass-Umfrage in der Innenstadt von San Fransico durchgeführt, bei der 66% der Befragten ihr Passwort für eine kostenlose Tasse Kaffee verraten haben. Über die genauen Umstände der Befragung kann man nur spekulieren. News.com berichtet zum Beispiel, dass man sein Login oder das entsprechende System dazu nicht angeben mußte. Unter den Umständen hätte ich auch einige Passwörter zu verraten (oder zu erfinden :).
Und damit dieser Eintrag nicht nur reine Bouevard Unterhaltung darstellt erkläre ich hier öffentlich mal wieder meine Passwörter durchzuwechseln. Das wird Lustig: führt regelmäßig dazu, dass mich der Windows Domain Controller sperrt, weil irgendweche Rechner noch Verbindungen zu Shares haben und diese mit alten Passwörtern aufbauen wollen. Typisches Beispiel für eine Sicherheitsmassnahme die nach hinten los geht.
Via ecin Newsletter.
Und damit dieser Eintrag nicht nur reine Bouevard Unterhaltung darstellt erkläre ich hier öffentlich mal wieder meine Passwörter durchzuwechseln. Das wird Lustig: führt regelmäßig dazu, dass mich der Windows Domain Controller sperrt, weil irgendweche Rechner noch Verbindungen zu Shares haben und diese mit alten Passwörtern aufbauen wollen. Typisches Beispiel für eine Sicherheitsmassnahme die nach hinten los geht.
Via ecin Newsletter.
« vorherige Seite
(Seite 2 von 2, insgesamt 18 Einträge)
Layout by Ricky Wilson | Serendipity Template by Carl Galloway | Login
Impressum
Bernd Eckenfels
Mörscher Str. 8
76185 Karlsruhe
bernd-08(a)eckenfels.net
Read More
Suche
Umfrage
Inhouse Coding?
Archive
Archive
Blog abonnieren
Blogsphere
Top Referers
www.google.de (26)
www.google.at (3)
209.85.135.104 (2)
extrabot.com (2)
www.google.ch (2)
search.live.com (1)
www.eckes.org (1)
www.google.hr (1)
www.keywordspy.com (1)
www.michaelreichart.de (1)
www.google.at (3)
209.85.135.104 (2)
extrabot.com (2)
www.google.ch (2)
search.live.com (1)
www.eckes.org (1)
www.google.hr (1)
www.keywordspy.com (1)
www.michaelreichart.de (1)
Kommentare
2008-08-12 16:59
2008-08-12 10:35
2008-08-12 09:04
2008-08-12 03:23
2008-07-21 20:44
2008-07-18 21:17
2008-07-15 19:00
2008-07-01 04:35
2008-06-12 14:47
2008-05-30 00:44