GwenDragon
Registered User
Kurz erklärt: Server müssen nach allgemeinem technischen Standard abgesichert werden und Betreiber von Diensten durch Verschlüsselung sicherstellen, dass Informationen von Nutzern nicht abgefischt werden können, Datenintegrität und Authentizität müssen gewährleistet werden. Störungen, die den Betrieb beeinträchtigen der Dienste, Einbrüche, Datenklau müssen gemeldet werden.
Welche Standards und Vorschriften wirklich befolgt werden müssen, steht noch aus, angeblich wie BSI-Grundschutz.
Bitte selbst einlesen:
http://www.bmi.bund.de/SharedDocs/K...schließt-it-sicherheitsgesetz.html?nn=3446780
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
https://www.bsi.bund.de/DE/Themen/I...chutzKataloge/itgrundschutzkataloge_node.html
Welche Standards und Vorschriften wirklich befolgt werden müssen, steht noch aus, angeblich wie BSI-Grundschutz.
Bitte selbst einlesen:
http://www.bmi.bund.de/SharedDocs/K...schließt-it-sicherheitsgesetz.html?nn=3446780
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
https://www.bsi.bund.de/DE/Themen/I...chutzKataloge/itgrundschutzkataloge_node.html
Last edited by a moderator:
Joe User
Zentrum der Macht
Danke Gwen. Zum "Stand der Technik" zählt dann auch der Softwarestack, beginnend beim OS bis hin zu den WebApps. Damit sind Debian und Konsorten als OS für Server nicht mehr zulässig, da sie auf Grund ihrer viel zu konservativen Paketierung nicht dem "Stand der Technik" entsprechen. Rolling Release Distros oder BSDs sind dann angesagt.
Auch die vom SSF verwendete vBulletin Version 3.8 entspricht nicht dem "Stand der Technik", denn der ist beim vBulletin derzeit Version 5.0.
Um zumindest den restlichen Auflagen des Gesetzes weitestgehend zu entkommen müsste das SSF auch vollständig auf Werbung und bezahlte Accounts verzichten, so wie es beim RF schon immer war, ist und bleibt.
Wird viel Arbeit für Thorsten...
Auch die vom SSF verwendete vBulletin Version 3.8 entspricht nicht dem "Stand der Technik", denn der ist beim vBulletin derzeit Version 5.0.
Um zumindest den restlichen Auflagen des Gesetzes weitestgehend zu entkommen müsste das SSF auch vollständig auf Werbung und bezahlte Accounts verzichten, so wie es beim RF schon immer war, ist und bleibt.
Wird viel Arbeit für Thorsten...
da würde ich wiedersprechen.
Solange das OS noch supported ist ist der "Applikationsversionsnummerstand" egal.
Wobei wir damit dann zumindest auf einen Schlag auch alle Windows-Server los wären.
Lieber Joe, Du verwechselt Stand der Technik mit Bleeding Edge Software. Nein, die Verfügbarkeit von Sicherheitsupdates ist maßgeblich. Ein Blick in die MaRisk AT 7 zeigt deutlicher wohin das Gesetz gehen wird (ähnliches ist nämlich für Banken bereits normiert). Etwas ähnliches findet sich im Standard IDW RS FAIT 1 und 2 sowie dem daraus resultierenden IDW PS 330. Ergo in großen Teilen der Wirtschaft gibt es bereits schon heute quasi-rechtliche Vorgaben und ähnlich allgemein wird auch das Gesetz ausfallen, welches dann für alle gilt.
Es gibt also keinen Grund plötzlich alles über Bord zu werfen und neu aufsetzen zu müssen. Daraus folgt in Zukunft werden sich alle per Gesetz an anerkannte Standards wie eben BSI IT-Grundschutz (wobei das eher für mittleren Schutzbedarf oder wie der Name schon sagt "cover-your-ass-security" ist - also Basis; für hohen Schutzbedarf sind sowieso individuelle Analysen und Maßnahmen erforderlich), ITIL, Cobit sowie die ISO/IEC 27000-Reihe sind.
Fakt ist, dass man eigentlich schon heute im Falle eines Falles vor Gericht genau daran gemessen wird (u.a. mit Bezug auf das BDSG), wenn es um das Thema Bewertung der Fahrlässigkeit geht.
Es gibt also keinen Grund plötzlich alles über Bord zu werfen und neu aufsetzen zu müssen. Daraus folgt in Zukunft werden sich alle per Gesetz an anerkannte Standards wie eben BSI IT-Grundschutz (wobei das eher für mittleren Schutzbedarf oder wie der Name schon sagt "cover-your-ass-security" ist - also Basis; für hohen Schutzbedarf sind sowieso individuelle Analysen und Maßnahmen erforderlich), ITIL, Cobit sowie die ISO/IEC 27000-Reihe sind.
Fakt ist, dass man eigentlich schon heute im Falle eines Falles vor Gericht genau daran gemessen wird (u.a. mit Bezug auf das BDSG), wenn es um das Thema Bewertung der Fahrlässigkeit geht.
Last edited by a moderator:
Ergänzung der Nutzungsbedingungen zum 01. Januar 2015
Vor zwei Jahren war es die Vorratsdatenspeicherung, dann kam Snowden. In diesem Winter ist SSL und das IT Gesetz. Mal sehen, was der Osterhase bringt.
In diesem Sinne
Thorsten ....
- Windows 7 entspricht nicht mehr dem Stand der Technik! Ab sofort sind nur noch Microsoft Clients mit einem aktuell gepatchtem Windows >= 8.1 auf zugelassen.
- Firefox Benutzer die nicht das Nightly Build einsetzten müssen bitte auch draußen bleiben.
- Kennworte sind ab 01.01.2015 mindestens 10 Stellig. Wobei zwingend 2 Sonderzeichen, 6 Groß- und Kleinbuchstaben sowie 2 Ziffern zum Einsatz kommen müssen.
- Die Kennworthistorie beträgt 365 Tage, der Wechsel ist alle 14 Tage verpflichtend.
- Die Registrierung ist nur noch möglich, wenn die Email Adresse des potentiellen Benutzers ausschließlich in Deutschland gehostet wird.
- Für hier veröffentlichte Bilder ist in jedem Einzelfall ein Urheberrechtsnachweis zu erbringen.
- Jeder hier registrierte Benutzer verpflichtet sich, den PC mit dem das Forum besucht werden soll täglich mit einem aktuellen Virenscanner zu untersuchen. Ebenso verpflichtet er sich, keine Malware auf seinem PC installiert zu haben. Dies gilt insbesondere für unbekannte Schadsoftware.
- Der Zutritt zu diesem Forum ist ausschließlich volljährigen Benutzern gestattet. Zur Überprüfung setzten wird das Post Ident Verfahren ein. Die Kosten hierfür trägt der Benutzer.
- Zur Sicherstellung des Forenbetriebs ist es notwendig, dass der Benutzer kein Straftäter ist. Das hierfür notwendige, aktuelle Führungszeugnis ist jährlich an das Forum zu senden. Kopien sind zu beglaubigen. Die Kosten hierfür trägt der Benutzer.
- Werden vorsätzlich falsche Angaben in Beiträgen gemacht, stimmt der Urheber einer Vertragsstrafe von €5.001 für jeden Einzelfall zu.
- Für durch das Forum erlangte Informationen sind bei Einsatz in Industrie und Wirtschaft Lizenzgebühren zu entrichten. Die Höhe wird für jeden Einzelfall individuell festgelegt.
Vor zwei Jahren war es die Vorratsdatenspeicherung, dann kam Snowden. In diesem Winter ist SSL und das IT Gesetz. Mal sehen, was der Osterhase bringt.
In diesem Sinne
Thorsten ....
Joe User
Zentrum der Macht
Sicherheitsupdates bekomme ich auch noch für WinNT4 alias Win2000, dennoch ist WinNT4 weit vom Stand der Technik entfernt.
Wenn Du dem widersprechen willst, bitte, aber das ändert nichts an den Fakten.
Rechtschreibfehler "auf".
Sehr gut. Können wir noch eine Vertragsstrafe für Nichteinhaltung der Postingregeln einrichten?
Es sei denn er zahlt 100 000 Euro pro.....Oh man Leute. Lasst es doch einfach gut sein. Wenn es euch zu unsicher ist, nutzt das SSF halt nicht und für alle die sich wirklichen Problemen widmen wollen: Schaut in die anderen offenen Threads. Man kann Sachen auch kaputt diskutieren.
Joe User
Zentrum der Macht
Von kostenfreien und/oder öffentlich zugänglichen Sicherheitsupdates schrieb ich auch nicht. Gegen Cash ist es hingegen kein Problem.
nexus
Well-Known Member
Achtung, Sarkasmus!
Ist dafür nicht hier im SSF ein gewerblicher Account notwendig...?
Da das RF auf der Startseite einen Spendenbutton hat, müßte man ja eigentlich davon ausgehen, daß es (zumindest theoretisch) Einnahmen generiert. Dementsprechend könnte doch ein Verweis vom RF-Betreiber dorthin auch als Werbung eingestuft werden.
Ist dafür nicht hier im SSF ein gewerblicher Account notwendig...?
D
Deleted member 15972
Guest
Relevant sind für die Sicherheit prinzipiell zwei Kategorien:
1) Updates zur Schließung von Lücken
2) Zeit gewinnen über Methoden wie Sandboxing, ASLR, etc...
Wenn sich also an Kategorie zwei nichts ändert mit einer neuen Version aber immer noch Patches verfügbar gemacht werden, sehe ich keinen Grund, dass man updaten muss.
Edit: kein Update im Sinne auf einen neuen Majorrelease. Sicherheitsupdates sind natürlich IMMER durchzuführen.
1) Updates zur Schließung von Lücken
2) Zeit gewinnen über Methoden wie Sandboxing, ASLR, etc...
Wenn sich also an Kategorie zwei nichts ändert mit einer neuen Version aber immer noch Patches verfügbar gemacht werden, sehe ich keinen Grund, dass man updaten muss.
Edit: kein Update im Sinne auf einen neuen Majorrelease. Sicherheitsupdates sind natürlich IMMER durchzuführen.
Last edited by a moderator:
http://www.heise.de/security/meldung/Spearphishing-Jeder-Fuenfte-geht-in-die-Falle-2461982.html
Wenn ich den Artikel lese, sehe ich ein ganz anderes Problem.
Wenn ich den Artikel lese, sehe ich ein ganz anderes Problem.
Verschlüsselung mal hin oder her, wer für ein Forum die selben Passwörter wie für Email oder Onlinebanking benutzt dem ist sowieso nicht zu helfen.
Joe User
Zentrum der Macht
195€ abzüglich der Paypal-Gebühren in vier Jahren, denen allein Server-Mietkosten von ~2400€ im selben Zeitraum gegenüber stehen. Domain-, Wartungs- und sonstige Nebenkosten nichtmal mitgerechnet. Knapp 100€ dieser Spenden wurden zudem als Zuschuss für ein RF-User-Grillfest aufgewendet. Der Button generiert also kaum nennenswerte Einnahmen.
Das sieht beim SSF deutlich anders aus, aber das ist Thorstens Entscheidung und die akzeptiere ich selbstverständlich und zugegebenerweise beneide ich diese manchmal so gar. Dennoch bleiben wir uns dem zur Eröffnung gesetzten Grundsatz im RF treu und maltretieren unsere User weder mit Werbebannern noch mit kostenpflichtigen Features. Ein Luxus den man heute nur noch sehr selten im Netz findet.
So, genug OT.
Hallo!
Ich hebe die signifikanten Stellen mal im Text hervor.
Thorsten
Ich hebe die signifikanten Stellen mal im Text hervor.
mfG
Thorsten