Kennst du dich als Softwareentwickler auch mit automatisiert durchgeführten Angriffen auf? Nicht kontrolliert durchgeführten Pentests wohlgemerkt, sondern dem ganz normalen Alltag im Internet? Mit Wörterbuchattacken auf 22, 23, 3389 und 9100? Mit automatisierten Exploits auf Port 80 und 443? Mit OpenRelay-Attacken auf Port 25? Mit vollautomatisierten SQL-Auth-Injections auf 3306 und 5432? Und noch viel wichtiger: traust du jedem einzelnen deiner 500.000 Mitarbeiter vernünftig und bedacht zu handeln?
Nur weil ein Risiko überschaubar ist heißt das noch lange nicht, dass es nicht ausgenutzt wird. Vor allem hast du keinen Einfluss auf die Mitarbeiter - eines der größten IT-Sicherheitsrisiken eines jeden Unternehmens sind nicht Sicherheitslücken sondern die eigenen Mitarbeiter. Du willst gar nicht wissen was ich schon alles erlebt habe. Das passt auf keine Kuhhaut
Danke für diese Belehrung und die Zurschaustellung deines Wissens
Ich mache das auch erst seit 20 Jahren, bekomme meine Kohle umsonst und kenne mich auch überhaupt nicht aus.
Die einzige SQL-Injection, die wir in all den Jahren hatten, entstand durch nicht auskommentierten Test-Code, in welcher die Query zu Überprüfungszwecken in die Zwischenablage und von dort bei einer bestimmten Tastenkombination in ein nicht weiter eingeschränktes Textfeld kopiert wurde, wodurch in der Datenbank einige Mailadressen von Mitarbeitern überschrieben wurden, die sich dadurch nicht mehr an bestimmten Sub-Systemen anmelden konnten.
Sorgte für viel Aufsehen, war aber am Ende ein Sturm im Wasserglas.
Ist nicht böse gemeint.
Du hast aber natürlich auch Recht: Das größte Risiko ist und bleibt der Benutzer. Bei all den angeblich so großen Sicherheitsrisiken sind es meist ganz banale menschliche Fehler oder eben sogar absichtliche Täuschung, die zu den großen IT-Katastrophen führen bzw. geführt haben.
Und ja: Man schenkt nicht jedem mal eben sein Vertrauen oder vergibt einfach mal so irgendwelche Privilegien.
ich mag aber keine Pauschalisierungen ala "alle Benutzer sind doof", wie sie in vielen IT-Abteilungen intern üblich ist.
IT ist für mich ein interner Dienstleister, der neben Sicherheit vor allem für bestmögliche Arbeitsbedingungen zu sorgen hat. Gerade in diesen Tagen stellt man schnell fest, wer hier seinen Job kann oder wer nicht.
Zu häufig versteckt man sich hinter dem Thema "Sicherheit" und tötet so jede Innovation - und schlimmstenfalls sogar jede Effizienz. Daher habe ich mich immer vehement dafür eingesetzt, das es - zumindest bei uns - eine gesunde Harmonie zwischen beidem gibt.
Kurz gesagt erwarte ich in solchen Fällen Innovation von der IT. Vielen meiner Kollegen macht das sogar Spaß, weil sie so mal anspruchsvollere Nüsse zu knacken haben, statt ihrem täglichen Einerlei nachgehen zu müssen. Für eine gute IT brauchst du nach meiner Erfahrung einige "vernünftige" Leute und ein paar "Verrückte". Zu viele von einer Sorte führen entweder zu Stillstand oder zu Chaos