Cool Master schrieb:
Unterschiedliche Netze, sei es physikalisch oder logisch und entsprechende Berechtigungen so wie 2FA für alles sollte doch heute Standard sein...
Beeindruckend naive Ansicht. Ich arbeite im IT Security Bereich und nein, das ist leider alles andere als Standard. Würde Microsoft für M365 nicht MFA inzwischen erzwingen, hätte das heute noch keine Sau, weil es "so unbequem ist".
Insbesondere GFs meinen, sie brauchen den schnellen Zugang, weil nur so schnelle Entscheidungen getroffen werden können. Dass das alles grob fahrlässig und selten dämlich ist, ist da schon fast egal.
Netztrennung ist ein ähnliches Thema. Wenn du auf einem Greenfield neu baust, hast du das. Klar. Aber viele ältere Umgebungen sind gerne mal Clients und Server in einem /16. "Netztrennung" bedeutet dann die .1 im dritten Oktet sind Server und die .2 sind Drucker und die .3-.10 sind Clients.
Und wenn du dann ankommst mit: "ist ja super, lässt sich leicht trennen, da braucht ihr ja nur eine aktuelle, leistungsstarke Firewall dazwischen und zack ist mit wenig Aufwand die Sicherheit massiv gesteigert", kommt unter Garantie "wasch desch koschd".
Es gibt wenige IT Bereiche, die frustriender sind, wie initial Firmen/GFs davon zu überzeugen, dass Security wichtig ist. Meist muss es erst den Vorfall geben und selbst dann habe ich schon einmal gehört: "naja, dann wurden die Daten halt gestohlen. Wir können ja weiter arbeiten." - "Sollen wir wenigstens die Passwörter ändern?" - "Nein, das erregt nur Aufsehen" - "Bekommen wir das schriftlich?" - "Hier bitte." (oder ab da wird einfach jedwede Kommunikation seitens des Kunden eingestellt. auch schon erlebt.
Cool Master schrieb:
Auch VPNs haben heute so viel neues mit Zero-Trust und Access-Controll über MACs etc.
Da muss sich aber jemand mit auskennen. Und jetzt rate mal, wie viel Zeit für Fortbildung bei interner IT vorhanden ist und was wir Dienstleister dafür bekommen, um das anzubieten und zu implementieren. Mal von den Schulungen für die Mitarbeiter für die neuen Vorgehensweisen ganz abgesehen.