[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: Versicherungsdaten
- To: debate@lists.fitug.de
- Subject: RE: Versicherungsdaten
- From: Christian Kahlo <C.Kahlo@intershop.de>
- Date: Wed, 13 Nov 2002 14:45:39 +0100
- Delivered-To: mailing list debate@lists.fitug.de
- Delivered-To: moderator for debate@lists.fitug.de
- List-Help: <mailto:debate-help@lists.fitug.de>
- List-Id: <debate.lists.fitug.de>
- List-Post: <mailto:debate@lists.fitug.de>
- List-Subscribe: <mailto:debate-subscribe@lists.fitug.de>
- List-Unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
- Mailing-List: contact debate-help@lists.fitug.de; run by ezmlm
> > Z.B.: Reicht ein "geheimes" Unterverzeichnis z.B. aus oder
> > muessen schon HTTP-Passwoerter vergeben werden?
> Beides reicht nicht. Passworte werden nach herrschender
> Meinung als Schutz, nicht aber als besonderer Schutz bewertet.
Ich habe in Security Workshops selbst haeufiger den Begriff
"versierter Outsider" in Bezug auf die verschiedenen Sicht-
weisen von Angreifern (Insider, Outsider, versierter Insider,
versierter Outsider) vorgebracht.
Es hat zwar kein Angriff im klassischen Sinne stattgefunden,
lediglich eine Beweissicherung, aber gehen wir mal vom An-
griffsmodell aus. Jemand der Daten auf oeffentlich erreich-
baren und beworbenen Maschinen (huk24 Werbung) zur Verfuegung
stellt muss damit rechnen potentiell saemtliche Gruppen von
Angreifern anzuziehen. Der versierte Insider in Form eines
frustierten Mitarbeiters koennte den meisten Schaden anrichten,
haeufig gelingt es dem versierten Insider auch den Angriff
zu vertuschen - es sei denn es war als DoS geplant. Der
versierte Insider macht sich i.d.R. immer strafbar, da seine
Absicht vorzugsweise boesartig ist und er mindestens gegen
arbeitsrechtliche Normen verstoesst. Der versierte Outsider
hingegen informiert sich ueber das System und handelt
Situationsbedingt (System zugaenglich/nicht zugaenglich)
und gemaess seiner persoenlichen Einstellung (Betreiber
informieren/Luecke ausnutzen).
Als versierten Outsider definiere ich z.B. Regulars von
de.comp.security.*, Berufsgruppen wie RZ Admins, Software
Entwickler, Security Consultants, Bevoelkerungsgruppen[1] wie
die Technikfreaks aus dem CCC Umfeld, u.ae.
Alles in Allem ergibt sich daraus eine groessere Menge Leute,
die beim Beantragen z.B. einer Online KFZ Versicherung ueber
solche Sicherheitsluecken unfreiwillig stolpert.
Als "besonderen Schutz" (man koennte jetzt eine Umfrage
starten) moechte ich bei dieser Gruppe Menschen im vor-
liegenden Fall eine HTTPS-Verbindung mit Client
Authentication + User-Login und Passwort ansehen. Der
Brisanz der Daten entsprechend waere eher noch eine
Bindung an eine Client IP bzw. ein ausschliesslicher
VPN Zugriff angebracht. Das waere "besonderer Schutz".
Diese Kombination von Wissen (Login+Passwort) und Haben
(Client Zertifikat) ist der Erfahrung geschuldet, dass
Versicherungsmitarbeiter anscheinend hinundwieder sensible
Daten unbeaufsichtigt herumliegen lassen.
Gruesse,
Christian
[1]: Gemaess Landeskennzeichen "CCC".
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de