Sicherheitsleck auf der Arbeit?!

S

sTOrM41

Admiral , HWLUXX Superstar
Thread Starter
Mitglied seit
13.10.2005
Beiträge
22.318
Mich beschäftigt schon eine Weile ein ziemlich heikles Thema.

Ich arbeite für einen wirklich großen IT-Dienstleister.

Da wir mit sensiblen Daten arbeiten wird das Thema Sicherheit großgeschrieben.
Zugangsbeschränkungen, My-Cards, regelmäßige Sicherheitschecks etc.

Da ich neugierig bin habe ich mir vor einer weile mal den Spaß erlaubt und meinen Arbeitsrechner auf Absicherung gegen Spectre und Meltdown geprüft.
inSpectre - Download - ComputerBase

> Abgesichert gegen Meltdown JA > gegen Spectre NEIN.
Da hier prinzipiell alle Rechner identisch sind, gehe ich daher davon aus, das dann alle Rechner nicht gegen Spectre geschützt sind.

Ich vertrete die Meinung dass das im privaten Umfeld nicht ganz so dramatisch ist.
Beim Umgang mit sensiblen Daten wie hier im Büro finde ich das aber schon kritisch.


Ich überlege daher schon eine Weile ob ich das einem unserer Sicherheits-beauftragten mal mitteile.

Problem an der Sache: ich weiß von diesem Sicherheitsleck nur, weil ich eine Software ausgeführt habe, die ich hier eigentlich gar nicht ausführen darf..


Wie würdet ihr das ganze handhaben?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hast du einen Betriebsrat?
Wenn ja, dann kannst du das dem mal mitteilen und eben unterstreichen das du eine Software dafür genutzt hast, die nicht freigegeben war. Was du aber damit begründen kannst, dass es eben bei einem "Einbruch" in das System auch keine Rolle spielt ob man was darf oder nicht.
Der kann es dann weitertragen oder gemeinsam mit dir weitere Schritte einleiten.

Justmy2Cents: Spectre oder Meltdown sind große Lücken, das stimmt. Aber um überhaupt an die Lücke ranzukommen bedarf ist ja erst mal enormer Arbeit da ran zu kommen (und ich glaube DANN ist sowieso alles zu spät).
 
Wer eine entsprechende Sicherheitskultur hat sollte auch eine Stelle haben, bei der solche Sachen (anonym) gemeldet werden können. Ist das nicht der Fall wäre im Zweifel auch der BR meine erste Anlaufstelle. Die können sowas eher neutral weitergeben.
 
Vielleicht ganz scheinheilig mal nachfragen, ob die Systeme dagegen gesichert sind? Allgemeines Interesse an dem Thema ist ja in einem IT-Unternehmen nicht ganz abwegig..
 
sayer schrieb:
Wer eine entsprechende Sicherheitskultur hat sollte auch eine Stelle haben, bei der solche Sachen (anonym) gemeldet werden können.
Zum Vergrößern anklicken....

anonym melden kann ich das tatsächlich.. aber will ich das^^?

mit etwas glück winkt eine belohnung wenn ich es nicht anonym mache, mit noch etwas mehr glück vllt sogar ein besserer job.

andererseits wäre eine kündigung halt auch nicht so cool :fresse:



WutzDieSau schrieb:
Vielleicht ganz scheinheilig mal nachfragen, ob die Systeme dagegen gesichert sind? Allgemeines Interesse an dem Thema ist ja in einem IT-Unternehmen nicht ganz abwegig..
Zum Vergrößern anklicken....

das wäre vllt wirklich die sinnvollste lösung..
 
Zuletzt bearbeitet:
mit noch etwas mehr Glück = Knast wegen Whistleblowing. und dann kommt Geschlechtsumwandlung, unzählige Berichte und Shows

überlege es dir gut
 
Zuletzt bearbeitet:
Wenn schon so sehr auf Datensicherheit geachtet wird. Wäre dann nicht auch noch die Frage offen, warum es überhaupt möglich war eine nicht freigegebene Software zu nutzen?
Daß durch Nutzung dieser Lücke eine weitere bestätigt wurde könnte die Argumentationen gegen das Team nochmehr stärken.
Wobbei ich soetwas dann wohl doch lieber erst öffentlich machen würde, wenn der neue Arbeitsvertrag schon bereit liegt. Die Kollegen werden danach nichtmehr sehr freundlich eingestellt sein.
 
Spannenderweise hab ich das schon von mehreren Leuten gehört die in IT-Diensleistungsunternehmen beschäftigt sind - Wobei ich das eher kritisch Empfinde, schließlich erwarte ich als Kunde von meinem Systemdienstleister/Betreuer ja die optimale Beratung. Bei Sicherheitskritischen Themen noch viel mehr!
Und wenn mein Dienstleister schon intern nicht darauf bedacht ist weiß ich nicht wie das bei meiner Umgebung aussehen würde.

BTW:
Ich patche aktuell unsere ESX Umgebung und ziehe die Microcodes hoch, die Desktop Maschinen werden alle gegen Terminals getauscht.


Ich würde das aber auch melden, beim BR kannst du das ja vorsichtig einkippen oder wahlweise in der entsprechenden Abteilung selber fragen wie da die einhellige Meinung ist und dann über den BR gehen.
 
Wieviel weißt Du über Spectre/Meltdown und die Angriffsvektoren die diese ermöglichen?
 
l0n schrieb:
Spannenderweise hab ich das schon von mehreren Leuten gehört die in IT-Diensleistungsunternehmen beschäftigt sind - Wobei ich das eher kritisch Empfinde, schließlich erwarte ich als Kunde von meinem Systemdienstleister/Betreuer ja die optimale Beratung. Bei Sicherheitskritischen Themen noch viel mehr!
Und wenn mein Dienstleister schon intern nicht darauf bedacht ist weiß ich nicht wie das bei meiner Umgebung aussehen würde.

BTW:
Ich patche aktuell unsere ESX Umgebung und ziehe die Microcodes hoch, die Desktop Maschinen werden alle gegen Terminals getauscht.


Ich würde das aber auch melden, beim BR kannst du das ja vorsichtig einkippen oder wahlweise in der entsprechenden Abteilung selber fragen wie da die einhellige Meinung ist und dann über den BR gehen.
Zum Vergrößern anklicken....

Aus sicherer Quelle kann ich dir sagen: Die besten Schuster haben die schlechtesten Leisten.
Da wird geflickt und verschleppt und nur das nötigste "von oben" gewollt, weil das schließlich alles Zeit und Geld kostet was man bei dem Kunden viel besser verdienen kann.
 
Naja, bei einem normalen IT-Dienstleister, ist halt die Frage, ob der 0815-MA, der auch im Kundenbereich tätig ist, auch einen Admin-account für "seine" Arbeitsstation hat.
Ich kenne das so, als auch anders.

Dahingegen war es bei meinen IT-Securitydienstleister damals eben ganz normal, das die Jungs auf ihren Kisten das OS ihrer Wahl hatten - kommt wohl eben auf die Sichtweise drauf an.
- Wenn ich bedenke, was dann teilweise so "rumläuft" an gepatchten und ungepatchten Systemen... - Da ist dann Meltdown wohl das geringere übel - und war nicht aktuell schon wieder ein Artikel über diverse Nachfolger?
Das Problem liegt ja in der Architektur der CPUs - von daher ist wohl die beste Absicherung, nicht unbedingt lokal am System zu suchen, sondern einfach die Angriffsvektoren von außerhalb zu minimieren - ansonsten "willkommen in Paranoia"

-
Was mir noch einfällt, gibts für "Dein" System denn überhaupt die entsprechenden Patches, die oben genannte Lücke "schließt" ?
 
Anmelden, um zu antworten.

Ähnliche Themen

M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
2K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh