Über Mich
Eine fiktive Situation:
Ein eiskalter Wind weht durch Ihren Arbeitsvertrag, wenn das Netzwerk, für welches Sie verantwortlich sind kompromittiert wird. Sie arbeiten unermüdlich, um den Patch-Level der Server und Workstations auf dem aktuellsten Stand zu halten. Sie härten Systeme und erarbeiten Richtlinien und Policies die von Usern befolgt werden müssen. Sie nutzen zugängliche Informationen, um auf den aktuellsten Stand der Sicherheitslöcher zu sein.
Doch plötzlich finden Sie sich im Büro des Chefs wieder.:
Was ist passiert?
Was ging schief?
Wie wurden wir gehackt?
Ich dachte immer unser Netzwerk wäre sicher?
Finden Sie das Problem und beseitigen Sie es?
Und der eiskalte Wind beginnt zu wehen….. Und schweißgebadet wacht man aus diesem Traum auf!!
So ähnlich erging es mir, als ich alleinverantwortlich die IT-Abteilung eines jungen StartUP-Unternehmens übernahm. Der Chef:
Wir hatten eine externe Firma, die sich um alles gekümmert hat….
Firewall und Virenscanner ham wa auch….
Eingeschränkte Privilegien der User… wat isn das??
Ok ein Job, eine Herausforderung… ich war schwer motiviert……….
3 Tage später, die Bestandaufnahme:
PCs –> Windows 2000 bis WindowsXP Home (Rechteeinschränkung???) Jeder User war lokaler Admin!!!
Firewall ja…. aber Webinterface über Internet erreichbar, SSH über Internet erreichbar (ssh public key authentication???) NÖ!!
Webserver ja aber direkt im internen Netz mit Portforwarding über die Firewall ….(DMZ???) natürlich!!! aber man hätte ein Kabel in die dritte Karte der FW stecken müssen!
Wireless gabs auch (WEP) ….ohne Worte!!
Patchlevel??? natürlich…. User waren angehalten die Windows Update Seite regelmäßig zu besuchen!!
Internet für User??? …. wurde großzügig behandelt…. Voller Zugriff auf alle Dienste!!!
Virenschutz –> Einzellizenzen Antivir auf jedem PC ..Kopfschüttel…
Backup –> der Mailserver wurde gesichert… die anderen Server hatten doch schließlich ein RAID 1 (mir lief das Wasser den Rücken runter!!)
usw….
usw….
Somit war ich in der fiktiven Situation angelangt… nur mit dem Unterschied, ich musst nicht aus dem Traum aufwachen….
ICH KONNTE GAR NICHT EINSCHLAFEN!!
Ich hyperventilierte….. 
Wochen und viel Arbeit später… Die fiktive Situation ist niemals eingetreten. Meine Auftraggeber lieben mich und aus meinen Verträgen scheint permanent die Sonne. Die Firma ist jetzt ISO/IEC27002 zertifiziert.
IT-Sicherheit und Informationsmanagement sind meine zentralen Themen.
In diesem Sinne:
Augen offen halten, eine gewisse Paranoia an den Tag legen, zugängliche Informationen im Auge behalten und Sicherheitssysteme ständig auf Funktionalität testen. In diesem Sinne, nicht hyperventilieren ….
