SSF und SSL?

GwenDragon

Registered User
Kurz erklärt: Server müssen nach allgemeinem technischen Standard abgesichert werden und Betreiber von Diensten durch Verschlüsselung sicherstellen, dass Informationen von Nutzern nicht abgefischt werden können, Datenintegrität und Authentizität müssen gewährleistet werden. Störungen, die den Betrieb beeinträchtigen der Dienste, Einbrüche, Datenklau müssen gemeldet werden.

Welche Standards und Vorschriften wirklich befolgt werden müssen, steht noch aus, angeblich wie BSI-Grundschutz.

Bitte selbst einlesen:
http://www.bmi.bund.de/SharedDocs/K...schließt-it-sicherheitsgesetz.html?nn=3446780
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
https://www.bsi.bund.de/DE/Themen/I...chutzKataloge/itgrundschutzkataloge_node.html
 
Last edited by a moderator:

Joe User

Zentrum der Macht
Danke Gwen. Zum "Stand der Technik" zählt dann auch der Softwarestack, beginnend beim OS bis hin zu den WebApps. Damit sind Debian und Konsorten als OS für Server nicht mehr zulässig, da sie auf Grund ihrer viel zu konservativen Paketierung nicht dem "Stand der Technik" entsprechen. Rolling Release Distros oder BSDs sind dann angesagt.

Auch die vom SSF verwendete vBulletin Version 3.8 entspricht nicht dem "Stand der Technik", denn der ist beim vBulletin derzeit Version 5.0.

Um zumindest den restlichen Auflagen des Gesetzes weitestgehend zu entkommen müsste das SSF auch vollständig auf Werbung und bezahlte Accounts verzichten, so wie es beim RF schon immer war, ist und bleibt.

Wird viel Arbeit für Thorsten...
 

marce

Well-Known Member
Damit sind Debian und Konsorten als OS für Server nicht mehr zulässig, da sie auf Grund ihrer viel zu konservativen Paketierung nicht dem "Stand der Technik" entsprechen.
da würde ich wiedersprechen.

Solange das OS noch supported ist ist der "Applikationsversionsnummerstand" egal.

Wobei wir damit dann zumindest auf einen Schlag auch alle Windows-Server los wären.
 

TerraX

Active Member
Lieber Joe, Du verwechselt Stand der Technik mit Bleeding Edge Software. Nein, die Verfügbarkeit von Sicherheitsupdates ist maßgeblich. Ein Blick in die MaRisk AT 7 zeigt deutlicher wohin das Gesetz gehen wird (ähnliches ist nämlich für Banken bereits normiert). Etwas ähnliches findet sich im Standard IDW RS FAIT 1 und 2 sowie dem daraus resultierenden IDW PS 330. Ergo in großen Teilen der Wirtschaft gibt es bereits schon heute quasi-rechtliche Vorgaben und ähnlich allgemein wird auch das Gesetz ausfallen, welches dann für alle gilt.

Es gibt also keinen Grund plötzlich alles über Bord zu werfen und neu aufsetzen zu müssen. Daraus folgt in Zukunft werden sich alle per Gesetz an anerkannte Standards wie eben BSI IT-Grundschutz (wobei das eher für mittleren Schutzbedarf oder wie der Name schon sagt "cover-your-ass-security" ist - also Basis; für hohen Schutzbedarf sind sowieso individuelle Analysen und Maßnahmen erforderlich), ITIL, Cobit sowie die ISO/IEC 27000-Reihe sind.

Fakt ist, dass man eigentlich schon heute im Falle eines Falles vor Gericht genau daran gemessen wird (u.a. mit Bezug auf das BDSG), wenn es um das Thema Bewertung der Fahrlässigkeit geht.
 
Last edited by a moderator:

Thorsten

SSF Facilitymanagement
Staff member
Ergänzung der Nutzungsbedingungen zum 01. Januar 2015
  • Windows 7 entspricht nicht mehr dem Stand der Technik! Ab sofort sind nur noch Microsoft Clients mit einem aktuell gepatchtem Windows >= 8.1 auf zugelassen.
  • Firefox Benutzer die nicht das Nightly Build einsetzten müssen bitte auch draußen bleiben.
  • Kennworte sind ab 01.01.2015 mindestens 10 Stellig. Wobei zwingend 2 Sonderzeichen, 6 Groß- und Kleinbuchstaben sowie 2 Ziffern zum Einsatz kommen müssen.
  • Die Kennworthistorie beträgt 365 Tage, der Wechsel ist alle 14 Tage verpflichtend.
  • Die Registrierung ist nur noch möglich, wenn die Email Adresse des potentiellen Benutzers ausschließlich in Deutschland gehostet wird.
  • Für hier veröffentlichte Bilder ist in jedem Einzelfall ein Urheberrechtsnachweis zu erbringen.
  • Jeder hier registrierte Benutzer verpflichtet sich, den PC mit dem das Forum besucht werden soll täglich mit einem aktuellen Virenscanner zu untersuchen. Ebenso verpflichtet er sich, keine Malware auf seinem PC installiert zu haben. Dies gilt insbesondere für unbekannte Schadsoftware.
  • Der Zutritt zu diesem Forum ist ausschließlich volljährigen Benutzern gestattet. Zur Überprüfung setzten wird das Post Ident Verfahren ein. Die Kosten hierfür trägt der Benutzer.
  • Zur Sicherstellung des Forenbetriebs ist es notwendig, dass der Benutzer kein Straftäter ist. Das hierfür notwendige, aktuelle Führungszeugnis ist jährlich an das Forum zu senden. Kopien sind zu beglaubigen. Die Kosten hierfür trägt der Benutzer.
  • Werden vorsätzlich falsche Angaben in Beiträgen gemacht, stimmt der Urheber einer Vertragsstrafe von €5.001 für jeden Einzelfall zu.
  • Für durch das Forum erlangte Informationen sind bei Einsatz in Industrie und Wirtschaft Lizenzgebühren zu entrichten. Die Höhe wird für jeden Einzelfall individuell festgelegt.
TBC

Vor zwei Jahren war es die Vorratsdatenspeicherung, dann kam Snowden. In diesem Winter ist SSL und das IT Gesetz. Mal sehen, was der Osterhase bringt.

In diesem Sinne
Thorsten ....
 

Joe User

Zentrum der Macht
Lieber Joe, Du verwechselt Stand der Technik mit Bleeding Edge Software. Nein, die Verfügbarkeit von Sicherheitsupdates ist maßgeblich.
Sicherheitsupdates bekomme ich auch noch für WinNT4 alias Win2000, dennoch ist WinNT4 weit vom Stand der Technik entfernt.
Wenn Du dem widersprechen willst, bitte, aber das ändert nichts an den Fakten.
 

djrick

Registered User
Ab sofort sind nur noch Microsoft Clients mit einem aktuell gepatchtem Windows >= 8.1 auf zugelassen.
Rechtschreibfehler "auf". :D
Werden vorsätzlich falsche Angaben in Beiträgen gemacht, stimmt der Urheber einer Vertragsstrafe von €5.001 für jeden Einzelfall zu.
Sehr gut. Können wir noch eine Vertragsstrafe für Nichteinhaltung der Postingregeln einrichten? :D
 

djrick

Registered User
Blödfug.
Es sei denn er zahlt 100 000 Euro pro.....Oh man Leute. Lasst es doch einfach gut sein. Wenn es euch zu unsicher ist, nutzt das SSF halt nicht und für alle die sich wirklichen Problemen widmen wollen: Schaut in die anderen offenen Threads. Man kann Sachen auch kaputt diskutieren.
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo!

Also ich bekomme auch noch Sicherheitsupdates für vBulletin 3.8.x. Aber wenn ich das richtig verstanden habe darf ich mein Ubuntu - das auch noch mit Updates versorgt wird - sowieso nicht mehr nutzen.

mfg
Thorsten
 

nexus

Well-Known Member
Achtung, Sarkasmus!

so wie es beim RF schon immer war, ist und bleibt
Da das RF auf der Startseite einen Spendenbutton hat, müßte man ja eigentlich davon ausgehen, daß es (zumindest theoretisch) Einnahmen generiert. Dementsprechend könnte doch ein Verweis vom RF-Betreiber dorthin auch als Werbung eingestuft werden.
Ist dafür nicht hier im SSF ein gewerblicher Account notwendig...?:rolleyes:
 
D

Deleted member 15972

Guest
Relevant sind für die Sicherheit prinzipiell zwei Kategorien:
1) Updates zur Schließung von Lücken
2) Zeit gewinnen über Methoden wie Sandboxing, ASLR, etc...

Wenn sich also an Kategorie zwei nichts ändert mit einer neuen Version aber immer noch Patches verfügbar gemacht werden, sehe ich keinen Grund, dass man updaten muss.
Edit: kein Update im Sinne auf einen neuen Majorrelease. Sicherheitsupdates sind natürlich IMMER durchzuführen.
 
Last edited by a moderator:

Joe User

Zentrum der Macht
Da das RF auf der Startseite einen Spendenbutton hat, müßte man ja eigentlich davon ausgehen, daß es (zumindest theoretisch) Einnahmen generiert.
195€ abzüglich der Paypal-Gebühren in vier Jahren, denen allein Server-Mietkosten von ~2400€ im selben Zeitraum gegenüber stehen. Domain-, Wartungs- und sonstige Nebenkosten nichtmal mitgerechnet. Knapp 100€ dieser Spenden wurden zudem als Zuschuss für ein RF-User-Grillfest aufgewendet. Der Button generiert also kaum nennenswerte Einnahmen.

Das sieht beim SSF deutlich anders aus, aber das ist Thorstens Entscheidung und die akzeptiere ich selbstverständlich und zugegebenerweise beneide ich diese manchmal so gar. Dennoch bleiben wir uns dem zur Eröffnung gesetzten Grundsatz im RF treu und maltretieren unsere User weder mit Werbebannern noch mit kostenpflichtigen Features. Ein Luxus den man heute nur noch sehr selten im Netz findet.

So, genug OT.
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo!

Aha, und die unterstützenden Unternehmen im RF bringen ab und zu mal was vom Imbiss mit?

PS: SSL sollte jetzt rudimentär funktionieren. Lesend und nur im Forum. Der Login sollte via SSL keine Probleme machen.

mfG
Thorsten
 

Joe User

Zentrum der Macht
Die haben uns vor ein paar Jahren mal Testumgebungen zur Verfügung gestellt und eines der Unternehmen stellt uns seit den Anfängen eine Weboberfläche zum Management unserer brachliegenden .de-Domain bereit. Ist aber Alles offen bei uns im Forum nachzulesen.
 

rolapp

Fan vom SSF
Hallo Thorsten,

beim Firefox 34 mit Ubuntu sieht es im Moment so aus
Nach dem login ist die Seite wieder unverschlüsselt.
 

Attachments

  • Bildschirmfoto.jpg
    Bildschirmfoto.jpg
    139 KB · Views: 269
Top