Liebe Entwickler der programmierenden Zunft, ich schlage mich derzeit in der Firma mit dem Thema Informationssicherheit herum. Die Situation ist dem Einen oder Anderen vielleicht hinreichend bekannt: Einerseits werden ausführbare Dateien am laufenden Band produziert, andererseits will sich die Firma vor genau diesen Dateien schützen: Selbst wenn eine Datei an den Torwächtern (Virenscanner) vorbei in das Firmennetz gelangen konnte, sollte die Datei nicht ohne weiteres ausführbar sein. Dass der Entwickler an sich gar keine Viren produziert, ist vielleicht eine interessante Erkenntnis, bringt aber irgendwie nicht weiter. Das Thema kann auf unterschiedliche Art und Weise angegangen werden, z.B. über eine Whitelist der ausführbaren Dateien (umständlich), Austattung der Entwickler mit Sonderrechten, um Dateien in die Produktion zu überführen uswusf. Wurdet Ihr schon mit dem Thema konfrontiert? Wie sieht Euer Lösungsansatz oder Workflow aus, der die Handlungsfreiheit und Reaktionsfähigkeit nicht zu sehr einschränkt? Wie läuft es strukturiert oder in großen Firmen? (Ja, der Administrator hat auch Vorschläge, die gefallen aber der Geschäftsleitung mehr, wie dem Programmierer, siehe oben)
Die größten Gefahrenquellen lassen sich schon mit recht einfachen Mitteln entschärfen. Mails und deren Anhänge werden generell gescannt. Ausführbare Dateien (auch in zip-files) werden erst garnicht zugelassen. Makros in Officedateien müssen generell bestätig werden. Das sollten ja wohl die Standardeinstellungen eines jeden Mailservers sein. Wers nicht wirklich braucht hat kein Internet, wenn internet dann mit Contenfilter - (exotische) domains wie *.me, *.cv, *.td aber auch *.ru werden gernell geblockt und benötigen eine (temporäre) Freigabe (für die jeweilige Domain - NICHT tld). Workstatiosn bekommen nur eingeschränkte Rechte ohne Installationsmöglichkeiten, Der Netzwerkzugriff wird über den Anmeldename geregelt und beinhaltet ein restriktive Usermanagment, insbesondere bei Schreibrechten im Netzwerk. Dann hast Du schon viel gewonnen! Bei uns haben SW/HW-Entwickler Adminrechte am lokalen PC - nicht optimal, aber hier wird etwas "mehr Hirn" beim klicken als im Lager und der Kantine vorraus gesetzt...
Jeffrey L. schrieb: > Das sollten ja wohl die Standardeinstellungen eines jeden Mailservers > sein. Eher die eines Mailfilters, er ggf. im Mailserver integriert ist, aber auch ein Durchlauferhitzer sein kann. > Workstatiosn bekommen nur eingeschränkte Rechte ohne > Installationsmöglichkeiten, Der Netzwerkzugriff wird über den > Anmeldename geregelt und beinhaltet ein restriktive Usermanagment, > insbesondere bei Schreibrechten im Netzwerk. Recht nützlich ist es auch, wenn ein normaler PC nur über einen expliziten Proxy (ggf. mit automatischer Erkennung) ins unbeschränkte Internet kommt. Viele Schädlinge versuchen es direkt und scheitern.
Downloads sind ein weiterer interessanter Punkt. Ausführbares zu blockieren ist eine Sache, wobei man erst einmal ein System haben muss, dass die sperren kann, besonders im SSL-Zeitalter. SSL-Decryption kann nötig sein, liebt aber nicht jeder. Eine zwischengeschaltete Webseite "willst du wirklich virus.exe downloaden?" ist nett, nützt aber wenig wenn der Entwickler mit irgendwelchen Tools arbeitet, die nötige Libs direkt ziehen. Freischaltung von IP-Adressen geht nicht, wenn es keine eindeutigen Adressen gibt, wie im Extremfall bei Akamai. Wir haben deshalb die Web-Entwickler in einen Giftschrank gesperrt, aus dem heraus sie intern nur begrenzt Unfug stiften können. Dafür dürfen sie leichter nach draussen als normale Anwender. Virtualisierung machts möglich: Ein solcher Entwickler hat einen normalen PC mit Office, Mail etc - und VMware-WS. Darin läuft ein virtueller Entwicklungsrechner, der über ein separates Netzwerk arbeitet. Darin haben sie Admin-Recht, im Blech-PC nicht. PS: Ich bin in diesem Fall Admin, nicht Programmierer. Aber die Entwickler müssen schliesslich arbeiten können. Also muss man zu einer Lösung kommen, mit der alle leben können.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.