Appstreaming.... Das ist ein toller Vorschlag, mit Citrix XenApp problemlos möglich. Soweit sogut, jetzt braucht die Software aber ja Adminrechte, d.h. der TS Usr braucht lokal auf dem Terminalserver Vollzugriff. Streaming hin oder her, irgendwo muss die Software laufen und da gibts dann lokalen Adminzugang. Sowas kann einfach nicht sein, man muss diese Probleme an der Wurzel angehen und nicht einen Umweg schaffen, um irgendein mega Sicherheitsrisiko - vor allem im Hinblick auf die Patentiendaten - nicht ablösen zu müssen.
Nach mehr als 10 Jahren Erfahrung in der IT muss ich sagen, dass in meinen Augen der einzig brauchbare Weg eine Terminalserver-Lösung ist, wo die User mit absoluten Lowrechten arbeiten. Die TS-Server müssen gehärtet sein, sie müssen vollautomatisch im Problemfall neu installiert werden können (z.B. HEAT DSM, Citrix vDisk, etc.), die Software muss vollständig geprüft und einheitlich gepatcht sein. Das ganze kombiniert mit ThinClients sorgt in meinen Augen für ein ordentliches Maß an Security, wenn die Server selbst anständig gehärtet sind. Eine Client/Server-Lösung mit FAT-Clients ist ab einer gewissen Größenordnung nicht mehr anständig umsetzbar.
Ich sag dir jetzt mal die Realität, wie sie in 80-90% aller mittelständischen Firmen stattfindet:
- Passwörter laufen nicht regelmäßig ab
- Wenn Passwörter doch ablaufen, heften die User an ihren Bildschirm/Tastatur ein Postit mit dem aktuellen Passwort
- E-Mails werden unverschlüsselt versendet und empfangen
- Anonymous Relay ist seitens EXCH global aktiviert
- SPF/TXT-Einträge sind überhaupt nicht vorhanden, jeder kann prinzipiell Mails von der Domäne als SPAM verschicken
- Versionssichere Archivierung von Mail - eigentlich gesetzlich vorgeschrieben - (Enterprise Vault z.B.) gibt es nicht
- OWA und co sind von extern ohne 2-Faktor-Authentifizierung erreichbar
- Der SPAM-Filter akzeptiert Archiv-Anhänge, weil sonst irgendein Möchtegern seine mit Makros gefluteten Excelfiles nicht verschicken kann und einen Aufstand bei der Geschäftsleitung verursacht, die dann dem Möchtegern nachgibt und die IT überstimmt
- Administrator-Benutzer sind nicht personalisiert, nach dem Austritt von Administratoren werden die Kennwörter der Zugänge nicht geändert, da niemand weiß, wo der Administrator denn als Serviceaccount für Dienste oder Scheduled Tasks eingetragen sind
- Webfilter (Proxy) und Dokumentation des Webverkehrs für z.B. Streitfälle (Kreditkartenbetrug, MP3 Downloads etc) gibt es nicht oder nicht brauchbar
- Fileserver Berechtigungen und Struktur sind fast immer Historisch gewachsen und in katastrophalem Zustand, meistens haben Azubis am Ende ihrer Ausbildung mehr Rechte, als der Vorstand, weil die in jeder Abteilung gewesen sind und die Abteilungen zwar stets den Zugriff angefordert haben, diesen aber nur selten später wieder entfernen haben lassen
- Die Windows-Firewall ist idealerweise gleich komplett global per GPO deaktiviert, damit man ja keine Ports für seine Apps serverseitig freischalten muss
- Die Server der DMZ sind in der Domäne und daher ist von DMZ zu LAN ein rießen Berg an Ports geöffnet, was den Sinn der DMZ entfernt
Ich könnte noch weitere 50 Punkte aufzählen, die IT Sicherheit ist durch die Bank bei allen Firmen, außer bei Großkonzernen eine absolute Katastrophe, weil die Kosten für eine anständig IT meist die aktuelle Situation um das X-fache übersteigen würde und das KnowHow doch in Firmen mit 3-5 Admins gar nicht existiert.
Und jetzt zurück zum Thema, solche Manager von z.B. der Telekom suggerieren den Kunden mit Präsentationen dieser Art ein Gefühl von Sicherheit. Es gibt eine Härtung, ein Audit und anschließend ein guter Score, der die Geschäftsleitung zufriedenstellt. Die Realität ist meistens aber trotzdem eine Katastrophe, weil viele Lücken einfach verschwiegen werden, man hat eben nicht hingesehen. Solche Konzepte müssen von KOMPETENTEN TECHNIKERN stammen und nicht von irgendwelchen Managern, die BWL und Wirtschaftspsychologie studiert haben. Und das ist - das verspreche ich dir hoch und heilig - bei der TELEKOM NICHT DER FALL.
