13. Juni 2009

Ursula von der Leyen lügt

Category: Politik — Christian @ 15:58

Durch eine Anfrage der FTPFDP-Bundestagsfraktion und die offizielle Stellungnahme der Regierung ist nun also amtlich: Zensursula, die Familienministerin Ursula von der Leyen hat gelogen.

Zensursula

Aber immer wieder interessant zu sehen, wie schamlos so eine Ministerin die Öffentlichkeit belügt, obwohl sie völlig ahnungslos in der Materie rumstochert.

Details u.a. bei Netzpolitik und Alvar Freude, der auch das PDF hat.

Hier steht das nur deshalb, weil man gar nicht oft genug schreiben kann, dass Ursula von der Leyen die Bürger, also ihre Wähler belügt.

Cloud Content Security Snakeoil?

Category: Produkte — Christian @ 15:51

Im Grunde genommen finde ich die Idee ja nicht schlecht:

Spezialisierte Unternehmen (ich habe z.B. mit BlackSpider vor der Übernahme durch Websense erfreulich gute Erfahrungen gemacht) bieten einen zentral verwalteten Scanner für Viren, Spam und sonstigen E-Mail Schadcode an und verkaufen das als Dienstleistung.

Ein grundsätzliches Problem ist natürlich, dass man dem beteiligten Unternehmen vertrauen muss, mit den E-Mails keinen besonderen Unsinn anzustellen. Gerade bei US-Anbietern kann das ein Problem sein, weil die dortigen Behörden auf Recht und Gesetz wenig Rücksicht nehmen und gerne mal fremde Mails mitlesen. Wenn man sich jedoch wegen Industriespionage keine besonderen Sorgen machen muss halte ich das Scannen eingehender Mails „in der Cloud“ grundsätzlich mal für keine schlechte Idee.

Etwas schwieriger wird es jetzt jedoch mit Zusatzleistungen. Die Firma Zscaler hat mir neulich eine unverlangte Werbe-Massenemail mit einem gaaanz tollen Whitepaper (PDF) über ihre Web Security Cloud Services geschickt. Die technischen Informationen tendieren zwar wie zu erwarten gegen Null, dafür gewinnt man mit den Buzzwörtern darin jedes Bullshit Bingo. Ein paar Auszüge gefällig? TeraCloud (klingt groooß und bezeichnet anscheinend deren Rechenzentrum). Oder NanoLog (komprimierte, aufbereitete Logfiles; erinnert mich aber irgendwie an den Schaumschläger Steve Gibson, kennt den noch jemand?). Und nicht zu vergessen SafeSearch (filtert Pron aus Google/Yahoo/Bing-Suchergebnissen). Aber gut. Ist ja Werbung, auch wenn Whitepaper drüber steht.

Stutzig bin ich dann aber bei der Funktionsübersicht geworden. Zscaler bietet für ausgehende E-Mails und Web-Traffic in der Cloud auch Data Loss Protection (DLP) an. Ich persönlich halte ja DLP an sich schon für reichlich überschätzt und gehypt. Data Loss Protection in der Cloud finde ich aber komplett daneben. Die sensiblen Daten haben das Unternehmen schließlich schon verlassen, sind auf nicht abhörsicheren (genaugenommen von der CIA und NSA garantiert abgehörten) Leitungen ins Zscaler-Rechenzentrum in die USA gewandert und werden da dann elegant rausgefiltert, wenn es praktisch schon zu spät ist. Und um dem ganzen die Krönung aufzusetzen fand ich in der Mail auch noch ein lustiges PDF von Gartner, warum Zscaler „cool“ ist.

Ich frage mich jetzt nur noch, ob Zscaler den hauseigenen Spam auch rausfiltert oder ob dafür extra eine Whitelist eingerichtet wurde.

Areas of Security

Category: Work — Christian @ 14:52

Der Versuch einer Gliederung. Hab ich was wichtiges vergessen? Oder würde man das anders gliedern?

Klar, VPN oder IPS ordnen viele Hersteller bei Firewalls mit ein, weil die Produkte auf dem Markt das integrieren. Desktop Clients bieten inzwischen auch Virenscanner, Intrusion Detection, Personal Firewall und Plattenverschlüsselung in einem an.  Ich möchte aber nach technischen Verfahren gliedern und da ist Firewall halt was anderes als Verschlüsselung als Virenscanner.

  • Authentisierung
    • Passwörter
    • Einmalpasswörter
      • Zeitsynchronisierte Token
      • Eventsynchronisierte Token
    • Zertifikate
      • Digitale Signaturen
      • Chipkarten/SmartCards
      • USB Zertifikatsspeicher
    • Biometrische Verfahren
  • Netzwerksicherheit
    • Firewall
      • Access Control Lists (ACL)
      • Proxy-Server
      • Stateful Filtering
    • Network Access Control (NAC/NAP/UAC)
    • VLAN Sicherheit
    • Wireless LAN
      • Wired Equivalent Privacy (WEP)
      • Wifi Protected Access (WPA, WPA2)
  • Verschlüsselung
    • Virtual Private Networks (VPN)
      • IPSec
      • SSL-VPN
    • E-Mail
      • PGP/OpenPGP
      • S/MIME
    • Dateiverschlüsselung
    • Festplattenverschlüsselung
    • Steganografie
  • Content Security
    • Antivirus (AV)
    • Antispam
      • Real-Time Blocklisten (RBL)
      • Reputation-Listen
      • Bayes’sche Filter
    • URL-Filter
    • Antispyware
    • Data Leak Protection (DLP)
  • Monitoring/Überwachung
    • Security Information and Event Monitoring (SIEM)
    • Vulnerability Tracking
    • Intrusion Detection / Prevention
      • Host-basierte Intrusion Detection (HIDS)
      • Netzwerk-basierte Intrusion Detection (NIDS)
      • Intrusion Prevention (IPS)
      • Honeypots
  • Datensicherung
    • Backup
    • Archivierung
    • Dokumentenmanagement
  • Systemsicherheit
    • System Hardening
    • Patchmanagement
  • Hochverfügbarkeit
    • USV/Notstromversorgung
    • Clustering
  • Compliance / IT-Governance
    • Auditierung
      • IDW PS 330
      • ISO 27001
      • BSI Grundschutz
      • Payment Card Industry Data Security Standard (PCI)
  • Penetration Testing
    • Externe/Interne Penetrationstests
    • Code Review
    • Social Engineering
  • Social Security
    • Mitarbeitersensibilisierung
    • Schulung

Ach ja, Physical Security habe ich bewußt weggelassen.