Nutzt ihr den IT-Grundschutzkatalog des BSI

Jump to last post
1

127.0.0.1

Neu angemeldet
Registriert
7 März 2015
Beiträge
39
Ort
Stuttgart
Hallo, ich weiß nicht, ob es heir richtig ist, sollte ne Umfage sein. Mich würed interessieren: nutzt ihr den IT-Grundschutzkatalog? Das wäre eine echt interessante Sache, wenn man das hier auch behandeln würde. Bin vor einiegr Zeit daruf gestoßen, also es um IT-Sicherheit ging. Von Heise.de bin ich auf die SEite des BSI gekomme nund dort "hängen" geblieben. SEHR interessant. Nutzt ihr ihn? Wie geht ihr vor? Wenn ihr die Kataloge nutzen, welche? Woher weiß man, ob man die Prüffragen richtig beantwortet hat oder ob es wirklich rchtig verschlüsselt ist, z.B. W-LAN?

Ich hoffe, dass ich euch etwas zur Diskussion anregen kann, da es mich persönlich interessiert und schaden kann das nie, also wenn man richtig vorgeht.
 
Manche Firmen sind nach IT-
You do not have permission to view link please Anmelden or Registrieren
zertifiziert (BS- oder ISO-Norm), daher habe ich damit recht viel zu tun.

Aber das jetzt privat umzusetzen... warum? Hast ja keine Policies, an die sich alle halten müssen. Frage mich auch, was man damit bezwecken würde – ich selbst habe genug Ahnung, um auch ohne Anleitung nur mit gesundem ITler-Menschenverstand im Heim alles sicher zu machen. Gab bisher noch kein Datenleck oder Einbruch bei mir. Wichtiger als IT-Maßnahmen sind zu Hause phsyischer Zugangs- und Zugriffsschutz – eine sichere Haus- und Wohnungstür, ein Briefkasten mit Bartschlüssel, ein Schredder für wichtige Dokumente...

Ob man die Prüffragen richtig beantwortet, weiß man mit genügend Fachkenntnis. Ausreichende WLAN-Verschlüsselung bietet z.B. derzeit nur WPA(2) mit AES.

Wenn du Fragen hast, kannst du die ja einfach hier posten und wir beantworten sie dir.
 
  • Thread Starter Thread Starter
  • #3
EIN HOCH AUF DAS RICHTIGE!!!!! GULLI BOARD!!!

Erstmal danke! Ja, akrl, wenn man danach zertifiziert ist, dann ist es was anderes. Naja, privat macht es keinen Sinn, da hast du wohl recht. Nur, also bei kleineren Firmen denke ich lohnt sich das ach. Z.B., dass Fentser- und Türen siche verschlossen werden, wenn Feierabend ist. Dass man, falls ein Stromausfall kommt (was vor kurzem heir einige Zeit der Fall war), einen USV hat, um es zu überbrücken. Oder eben andere Probleme/Fehler, also z.B. regelmäßiges Passwort ändenr etc.pp

Ausreichende WLAN-Verschlüsselung bietet z.B. derzeit nur WPA(2) mit AES.
Zum Vergrößern anklicken....

Ja, das weiß ich. Ich selbst nutze aber nur LAN, habe zwar W-LAN, und WPA2 codeirt und einen 55-stelligen code:) Da machst keinen Sinn, zu bruteforcen, soweiso nicht, da ich alle 2-3 Moante wechlse.

Wenn du Fragen hast, kannst du die ja einfach hier posten und wir beantworten sie dir.
Zum Vergrößern anklicken....

Ja, danke, aber nicht, dass ich denkt, habe gar keine Ahnung:o
 
Ich dachte, schreien dürfen hier nur die Mods? :p

Ich würde auch privat meine Fenster und Türen sicher verschließen. Fenster sind das häufigste Einfallstor für Kleinkriminelle.

In meiner Tätigkeit als IT-Berater für Startups kam das Zertifizierungsthema erst ab einer
You do not have permission to view link please Anmelden or Registrieren
zur Sprache, kleinere Firmen haben ja nicht mal einen
You do not have permission to view link please Anmelden or Registrieren
.

Lange Passwörter sind sinnvoll, aber 55 Stellen wäre mir zu aufwendig. Selbst in den Firmen, in denen ich gearbeitet habe, war nach 20 Stellen Schluss. Um die Sicherheit darüber hinaus zu verbessern, gibt es in großen Firmen
You do not have permission to view link please Anmelden or Registrieren
,
You do not have permission to view link please Anmelden or Registrieren
und
You do not have permission to view link please Anmelden or Registrieren
, von denen allerdings nur RADIUS wirklich gut nutzbar ist.

Passwort wechseln ist auch eine sehr gute Idee, sollte ich vielleicht auch mal tun.

EDIT: "Wer nicht fragt, bleibt dumm" – Nachfragen ist also kein Zeichen von Dummheit, sondern von Intelligenz und Wissbegierigkeit. Demnach ist es vollkommen okay, wenn du ganz viel fragst.
 
  • Thread Starter Thread Starter
  • #5
@phre4k

Danke! Hehe, ja, im positiven Sinne denke ich dürfen es auch "normale" User:)

Ich würde auch privat meine Fenster und Türen sicher verschließen. Fenster sind das häufigste Einfallstor für Kleinkriminelle.
Zum Vergrößern anklicken....

Sicher, da hast du recht! Das msus immer gewährleistet sein.

In meiner Tätigkeit als IT-Berater für Startups
Zum Vergrößern anklicken....

Ah, wow! Ja, berätst du in allen Bereichen? Also welche Hardware? Hardwarefirewall etc.?

kleinere Firmen haben ja nicht mal einen Datenschutzbeauftragten
Zum Vergrößern anklicken....

Ja, das stimmt schon. Ich finde es halt auch total interessant - manche finden sowas natürlich mega lanmgweilig:)

er 55 Stellen wäre mir zu aufwendig.
Zum Vergrößern anklicken....

Was Datensicherheit, Passwörter bzw. deren Länge und Festplattenverschlüsselung angeht (hier wären mir beim Maximum, das TC hergibt), bin ich etwas, ja, eigen. 20 Stellen sind, sofern es auch noch Sonderzeichen beinhaltet, defintiv ausreichend, zumindets, wwnn man einen Brute-Force Angriff nutzen muss. Haben die Passwörter Bezug zur PErson, wird es schnell kritisch. Ich habe hier eine Frage: wenn man 20 Stellen nutzt, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, dann dauert es länger, als ein Leben, gemäß der Berechnung auf
You do not have permission to view link please Anmelden or Registrieren
- warum ist das so? Klar, es können bei 55 Stellen Trilliarden von Möglichkeiten sein, aebr ein Prozessor schafft doch je nach dem, tausende von Keys/sekunde. Das verstehe ich nicht ganz.

Ah, danke für dei Programme. Ja, ist RADIUS schwer zu bedienen?

Und danke, ja, man muss nachragen, das stimmt)
 
Der von dir verlinkte
You do not have permission to view link please Anmelden or Registrieren
ist gar nicht mal so schlecht. Zum Knacken von TrueCrypt-Passwörtern könnte man z.B. das in
You do not have permission to view link please Anmelden or Registrieren
You do not have permission to view link please Anmelden or Registrieren
You do not have permission to view link please Anmelden or Registrieren
nutzen. Auf deren Google-Code-Seite steht für eine GTX 680, dass sie weniger als 500 Kombinationen pro Sekunde schafft. Das liegt daran, dass der verwendete Algorithmus (
You do not have permission to view link please Anmelden or Registrieren
) durch die Verkettung aus HMAC und Salt sehr rechenintensiv ist. Die Erstellung von
You do not have permission to view link please Anmelden or Registrieren
wird dadurch auch erschwert.

RADIUS zu bedienen ist nicht das Schwere, die
You do not have permission to view link please Anmelden or Registrieren
ist es. Als Benutzer bekommst du z.B. für WLAN ein Zertifikat, welches du dann zur Authentifizierung mit dem Netzwerk benutzt. Genau dasselbe für
You do not have permission to view link please Anmelden or Registrieren
-Verbindungen. Man könnte die RADIUS-Authentifizierung auch an ein AD angekoppelt per NTLMv2 durchführen und ich glaube,
You do not have permission to view link please Anmelden or Registrieren
geht auch.
 
  • Thread Starter Thread Starter
  • #7
um Knacken von TrueCrypt-Passwörtern könnte man z.B. das in Kali enthaltene TrueCrack
Zum Vergrößern anklicken....

Oder TrueCrypt Brute. Mit dem kanns auch klappen. Wordlists kann man sich ja besorgen, falls man eine Dictionary-Attack nutzen will.

ADIUS zu bedienen ist nicht das Schwere, die Einrichtung
Zum Vergrößern anklicken....

Danke für den Link! Sehr interesant, werde ich mir ansehen!
 
RADIUS empfinde ich im privaten Bereich allerdings als echten Overkill :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben