FIAE - Schutz vor unbefugtem Zugriff auf Daten

[dirty bite]

Servus Forum,

nein diesmal gehts ned im einen Projektantrag, denn das ist von der IHK schon genehmigt.

Kurz zum Projekt:

Es sollen von den Rechnern einer Testumgebung Daten zur Hardware und dem System ausgelesen, unter anderem die jemals angemeldeten User, werden. Das Ergebniss meines Tools ist eine Liste auf der die ausgelesenen Daten enthalten sind. Wie oben schon erähnt, ist dies nur für eine Testumgebung mit unpersonalisierten Rechnern gedacht. Jedoch wird vom Benutzer bei Programmstart eine IP- Range angegeben, die gescannt wird. Alle antwortenden PCs werden bearbeitet, nach Beendigung des Programmlaufs sind keine Spuren (außer Netztraffic + Eventlog :floet: ) ersichtlich.

Prinzipiell kann man aber eben auch in der IP Range ein anderes Netz angeben und somit zu PC's zugeordnete Benutzer erhalten.

Wird mir, wenn ich hier keinen Sicherheitsmechanismus einbaue, der PA (IHK München) bei der Vorstellungen den Kopf abreisen? Oder kann ich das Thema Security, wie in einemalten Thread beschreiben, abwälzen?

Bin auf euere Meinungen gespannt und bedanke mich mit einem fetten

Merci

für eure Hilfe!

Greetz :marine

[Andreas_Bot]

Servus Forum,

nein diesmal gehts ned im einen Projektantrag, denn das ist von der IHK schon genehmigt.

Kurz zum Projekt:

Es sollen von den Rechnern einer Testumgebung Daten zur Hardware und dem System ausgelesen, unter anderem die jemals angemeldeten User, werden. Das Ergebniss meines Tools ist eine Liste auf der die ausgelesenen Daten enthalten sind. Wie oben schon erähnt, ist dies nur für eine Testumgebung mit unpersonalisierten Rechnern gedacht. Jedoch wird vom Benutzer bei Programmstart eine IP- Range angegeben, die gescannt wird. Alle antwortenden PCs werden bearbeitet, nach Beendigung des Programmlaufs sind keine Spuren (außer Netztraffic + Eventlog :floet: ) ersichtlich.

Prinzipiell kann man aber eben auch in der IP Range ein anderes Netz angeben und somit zu PC's zugeordnete Benutzer erhalten.

Wird mir, wenn ich hier keinen Sicherheitsmechanismus einbaue, der PA (IHK München) bei der Vorstellungen den Kopf abreisen? Oder kann ich das Thema Security, wie in einemalten Thread beschreiben, abwälzen?

Bin auf euere Meinungen gespannt und bedanke mich mit einem fetten

Merci

für eure Hilfe!

Greetz :marine

Wieso beschränkst du die IP-Range nicht einfach auf das zu testende Netz? Ich würde mich, ohne Sicherheitssperre, auf jeden Fall auf die Fragen der Prüfer gefasst machen (Datenschutz, Datensicherheit nach BundesDatenSchutzGesetz). Es wird denen sicherlich nicht gefallen .

Ich rede jetzt aber nur aus Erfahrung mit Projekten in der Berufsschule (wobei auch ein paar Leute von denen in Prüfungsausschüssen sitzen). Die Prüfer hat es gestört, wenn man unter root gearbeitet hat. Datenschutz/Sicherheit ist eben ein sensibles Thema in der Informationstechnologie.

[dirty bite]

Wieso beschränkst du die IP-Range nicht einfach auf das zu testende Netz?

Kurz und einfach, weils ned geht.

Wir haben bereits jetz mehrere unterschiedliche Netze, in Zukunft werden die sich weiter verändern. Eine feste Eintragung von einem oder ein paar Netzen ist also nicht möglich.

Als billige Lösung fiel mir eine Datenbank ein. Wenn da dein Name ned drin ist darfste ned. Und auf die Datenbank selbst hat auch wieder nur ein oder zwei User ne Berechtigung. Ich weiß, die Lösung ist mega :uli verdächtig...

[Chief Wiggum]

Reagieren die Clients ohne Authentifizierung?

Soll heissen, ein Sicherheitsfeature könnte sein, dass nur mit einem autorisierten Admin-Account die Daten ausgelesen werden können. Ist das Testnetz auch rechtemässig vom Produktivnetz abgeschottet (eigene Domain), kannst du doch andere PCs nicht auslesen.

Sollte die Authentifizierung fehlen, könnte man das als schweren Designfehler der Anwendung betrachten.

[dirty bite]

Clients reagieren ohne Authentifizierung.

Das Programm wird aus einer anderen Domäne gestartet, da im Testnetz nicht mit produktiven Usern gearbeitet werden darf/ kann. Das heist eben auch, das auf den Testkisten nur Testuser sein dürfen, für mich wirds nur problematisch wenn das Tool auf ein nicht Testnetz losgelassen wird.

Die Filterung nach IP Adressen in Kombination mit der Domäne hat mich aber auf eine andere Idee gebracht. Test- und Produktivuser unterscheiden sich in der Namenskonvention. Ich werde also weiterhin in der Engine alle Daten auslesen, jedoch nach dem User filtern. Alles was nicht der Namenskonvention einer Testumgebung entspricht wird nicht übermittelt.

So kann ein beliebiges Netz angegeben werden, das Tool läuft und wenn halt da nur Nontestuser drinn sind kommt nix zurück.

Ich denke das sollte gangbar sein?

[Chief Wiggum]

Ich denke das sollte gangbar sein?

Nein, da du dann statisch mit Userinformationen arbeitest.

Warum arbeitest du nicht mit Autentifizierung und dem Admin-Kontext?

Dann hast du keine Probleme, denn dein Admin ist entweder Admin in der Testdomäne und hat keine Rechte im Produktivnetz oder du arbeitest im Produktivnetz mit dem dortigen Admin.

Das ist eigentlich bei allen Inventory-Tools, die auf dem Markt sind, übliches Vorgehen.

[dirty bite]

Hatte mich mit nem Prüfer der IHK über das Thema unterhalten.

Die IHK darf sich nicht für diesen Punkt interessieren, einige Prüfer wechseln jedoch ihre Rolle mit der eines Datenschutzbeauftragtem :schlaf: .

Werde deshalb die Billigvariante mit einer Berechtigungsdatenbank :bimei implementieren, nach Meinung des Prüfers super als zusätzliche Absicherung .

Damit danke für eure Hilfe!

[timmi-bonn]

Die IHK darf sich nicht für diesen Punkt interessieren, einige Prüfer wechseln jedoch ihre Rolle mit der eines Datenschutzbeauftragtem.

Huch?!? Ist Datenschutz denn kein FI-Thema mehr?

gruss timmi (fragend)