Ungeschützte IT Systeme im Firmennetz

**challanger** · 11.01.2011, 11:08

Hallo,

mal ne Frage an die Admin Kollegen in dieser Welt. Wie geht Ihr mit Ungeschützten IT Systemen (Windows, Linux) in euren Netzen um, wo ihr keine Adminrechte und Zugriffsrechte besitzt? Kommen die bei euch in die Firmennetze - trennt ihr die....? Was macht ihr mit solchen Systemen im Bereich Datenschutz, Anbindung-Datentransfer zwischen geschützen und ungeschützten Systemen? Wie verhindert ihr, dass solche Systeme interne Daten nach außen weitergeben?

Warum frage ich dies? Wir wollen bei uns einen neuen Service Katalog für das Unternehmen schreiben. Da wir in letzter Zeit immer mehr ungeschützte Systeme anzubinden haben (wir haben als IT leider keine Mitsprache bei der Auswahl der Spezialsysteme), wir jedoch ungeschützte Systeme nicht einfach so anbinden wollen, kommt es immer wieder zu festen Diskusionen --> größter Vorwurf, wir sind zu streng bei der Sicherheit. Nun interessiert mich, wie ihr diese Themen angeht´s.
Lieben Dank schon jetzt für eure Antworten.

**Tilo2300** · 11.01.2011, 12:48

Zitat von challanger

... wo ihr keine Adminrechte und Zugriffsrechte besitzt?

Als Admin bin ich Gott.
Es gibt keine Systeme, wo ich keinen Zugriff drauf habe, wenn ich als Admin dafür verantwortlich bin.

Zitat von challanger

--> größter Vorwurf, wir sind zu streng bei der Sicherheit. Nun interessiert mich, wie ihr diese Themen angeht´s.

Ich setze mich an meine Station und bombardiere die ungeschützten Systeme solange mit "Müll", bis sich irgendjemand beschwert und fordert, daß die Systeme geschützt werden.

Wenn man mir als Admin den Zugriff und den Schutz dieser Systeme verwehrt, würde ich mir das schriftlich geben lassen, daß ich nicht dafür verantwortlich zu machen bin, wenn da was passiert.
Und Support, Reparaturen, Malware-Entfernung usw. an diesen Systemen würde ich auch ablehnen. Wenn die Obrigkeit nicht will, daß ihr da dran geht, dann laßt euch schriftlich geben, daß ihr absolut nichts damit zu tun habt!

**challanger** · 11.01.2011, 17:41

Gruezi,

bin prinz. ganz deiner Meinung, ich sollte daher ergänzen, dass es sich dabei um medizinische Geräte handelt, teilweise Menschenleben davon abhängen und wir sie somit nicht zu Tode bomben. Leider sind die MedGeräte Hersteller nur auf Umsatz und Profit bedacht, die Software- und Sicherheitsqualität ist leider sehr oft nicht vorhanden und wird bei Hinweis darauf als "überflüssig" und "übertrieben" abgetan. Tatsächlich erschweren auch die Gesetze hier die eine oder andere Maßnahme. So darf ein "MedGerät" nach seiner Abnahme als solches nicht von Unbefugten verändert werden- soll bedeuten: sogar ein Antivirusupdate verändert die gelieferte Anlage --> irre oder? Geliefert wird ein Windows gestütztes System, wo es ja Gott sei Dank keine Viren gibt....

Und das mit den schriftlich ist auch so eine Sache für sich: Ja wir können uns vieles unterschreiben lassen, aber ändert dies wirklich was an den Problemen die wir uns eintreten? Und wer bleibt im Regelfall ohnehin auf der Strecke - eher selten die oben.

Ja, Admins könnten theoretisch alles - darum sind wir ja auch Admins, aber dürfen wir auch wirklich alles? Aber dies ist wohl eine philosophische Frage.

**Joerg** · 13.01.2011, 07:50

Systeme, auf die ich keinerlei Zugriff habe werden grundsätzlich isoliert. Die kriegen ein eigenes VLAN, der Hersteller hat mir darzulegen, über welche Ports das System mit welchem anderen System kommuniziert und dann werden die Server mit entsprechenden Access Listen abgeschottet.
Das löst noch nicht das grundlegende Problem, minimiert allerdings das Risiko enorm.
Das mit den nicht zu verändernden Geräten ist in der Pharma Welt normal. Man sagt dazu eigentlich regulierte Systeme.

Was ihr als Unternehmen braucht ist keine Unterschrift der da oben, sondern eine Darlegung des Problems und eine entsprechende Haftungsausschlußerklärung. Bei sowas nehme ich die Hersteller gnadenlos in die Pflicht.

**challanger** · 13.01.2011, 09:29

Hallo Jörg,

danke für deinen Beitrag. Die Idee mit dem Haftungsausschluss ist sehr gut, werden wir bei unserem SC berücksichtigen.

Auch bei uns kommen derartige Geräte in ein eigenes VLan.

lieben dank für die Info.