Aaaah, OK

Alles klar.

Sorry 4 OT

Sherlock

BTT: Und eventuell als Denkanstoß an die IT: https://www.heise.de/newsticker/meld...g-3587871.html



Sherlock

So à la "bitte schneidet in den Zaun um unser Grundstück ein zirka 1 x 1 Meter großes Loch damit der Postbote uns dadurch Pakete zustellen kann. Wir vertrauen unserem Postboten ja."

Ach komm, das ist doch vollkommen normal, und wenn die IT will, daß produktiv gearbeitet wird, dann muß sie es auch erlauben. Immerhin ist das restliche Internet ja auch im Zugriff...

Kleines Anekdötchen am Rande: Die Briefkästen im Haus meiner Wohnung sind hinter der Haustür, so daß die Post einen Hausschlüssel bekommen hat. Sonst müßte der Briefträger immer klingeln.

Sherlock

Der Punkt ist, dass die IT nicht mehr in der Lage ist die übertragenen Daten auf Viren zu scannen, wenn man sie verschlüsselt per HTTPS an den Client durchlässt.

Was per HTTP übertragen wird, ist sowieso scanbar. Wenn die IT dann auf Wunsch manche HTTPS Verbindungen ohne Virenscan durchläßt, wäre die Firewall löchrig wie ein Schweizer Käse.

Wenn man bedenkt, daß die Definitionsdateien zu jeder Zeit veraltet sind, ist ein Schutz dieser Art inhärent unzuverlässig. Ich finde es da dann schon deutlich sinnvoller zB Flash und "bad sites" zu blockieren und Mails zu scannen. Damit erwischt man 95% von allem Blödsinn, und hält die Belegschaft nicht von der Arbeit ab. Gepaart mit per WSUS aktuell gehaltenen Clients und ordentlichen Backups dreht die IT in der Regel nur noch Däumchen.

Man kann Firewalls beliebig restriktiv konfigurieren, genauso wie man beliebig komplexe Passwortrichtlinien einrichten kann. Im Betrieb siegt der Faktor Mensch: Zu restriktive Firewalls führen zu nervenden, dauernden Anfragen bei der IT, die irgendwann kapituliert; zu restriktive Passwörter zu PostIts.

Und wie bereits geschrieben, diese https-Proxies sind auch nicht das gelbe vom Ei.

Aber das sind alles persönliche Meinungen, die vermutlich weit vom Topic entfernt sind. Sorry dafür.

Sherlock

Eigentlich sollte es die Aufgabe der IT sein, den Mitarbeitern ein reibungsloses Arbeiten zu ermöglichen und das System gegen Angriffe zu schützen. Leider stelle ich immer wieder fest, daß lediglich auf Letzteres Wert gelegt wird und Ersteres sich dem gefälligst unterzuordnen hat.

Ich wollte jetzt hier keine Grundsatzdiskussion auslösen

Habe endlich jemanden von der IT erreicht und er hat die Ausnahme in den Firewall-Regeln hinzugefügt. Jetzt funktioniert alles bestens.

Vielen Dank an alle!

Gruß,

Rainer