Lexx schrieb am 14.11.2007 22:50
Steffen:
(1) Mein Professor ist also noch immer Student? Oder wie sonst erklärt es sich, dass er kostenlos an MSDNAA-Lizenzen kommt? Und seine Mitarbeiter - auch alls Studenten? Die setzen die Lizenzen ebenfalls ein.
Die haben also nur weniger Lizenzkosten, aber Zeitverlust (ich nehme stark an, im Gegensatz zu Dir ist denen ihre (Arbeits-)Zeit was wert). Und Zeit ist Geld. Oder installiert sich bei Euch alles von alleine? Neues OS? Was ist bei Inkompatibilitäten von Sicherheitsupdates? Wie wird innerhalb des Netzes sichergestellt, dass alle Rechner sicherheitstechnisch up-to-date sind? Wie ist das Netz nach außen abgeschirmt - doch hoffentlich nicht durch die Windows-Firewall pro Rechner? Wie sieht es mit Virenscannern aus? Wer prüft Software, die auf Rechnern innerhalb des Intranets installiert wird?
Es kann natürlich sein, dass Euch Sicherheit scheissegal ist und deshalb nichts von dem, was ich aufgelistet habe, gemacht wird. Auch eine Einstellung. Entspricht dann ungefähr der Abschaffung der Polizei und des Grenzschutzes.
Genügt das jetzt, um Deine Aussagen "Am PC hat der Nutzer inzwischen überhauptkeinen Aufwand durch Sicherheitsupdates." und "PC-Sicherheit verursacht weder laufenden Aufwand noch laufende Kosten" ad absurdum zu führen?
Ein Gutes hat es ja: Ich kenne Leute, die ziehen sich eine ganze Menge Informationen von schlecht geschützten Unirechnern runter. Das spart zumindest denen Zeit und Geld .
Wir werden in diesem Thread nicht zu einem Konsens kommen, dafür haben sich beide Seiten zu weit von der Sachdiskussion entfernt. Wenn man sich nurnoch gegenseitig mit Flamebait stichelt, ist für mich die Zeit gekommen, Schluss zu machen. Deswegen habe ich die Diskussion schon gestern für beendet erklärt.
Weitere Sticheleien werden meine Haltung nicht ändern.
_____________________
Wenn jemand außer euch beiden was zum Thema zu sagen hat (sachlich), werde ich da natürlich gerne drauf eingehen.
"Das Verzichten auf Updates für drei Monate ist Dein persönlicher Geschmack. Professioneller IT ist das deutlich zu langsam."
Spock:
Er machts einmal im Monat...
Was mich am meisten wundert ist, dass er auf die Windows-Sicherheit vertraut, offensichtlich hat er keine Firewall, keinen Virenschutz, gar nichts sonst.
Ich würde mal gerne wissen, wieviele Leute bei MS, McAffee u.ä. Firmen alleine damit beschäftigt sind, Sicherheitslücken zu beheben.
Es sind nicht 3 Monate, es waren 3 Minuten für das Update - einmal im Monat in etwa. Ich habe meinen PC gern unter Kontrolle und benutze deshalb nicht das Auto-Update, sondern den Baseline Security Analyzer.
Ja, sorry, das habe ich mich tatsächlich verlesen!
Aber ansonsten gibt es hier keine Flames und Sticheleien gegen Dich. Komm mal wieder runter. Wir wunderns uns halt nur über deine ignorante Haltung aus Sicht des Uni-Elfenbeinturms, das ist alles und - ich nehme die anderen mal mit rein - überhaupt nicht böse gemeint.
WRL: "Was mich am meisten wundert ist, dass er auf die Windows-Sicherheit vertraut"
Ich vertraue auf die Sicherheit meiner Hardware-Firewall am Router. Und meine Sicherheitsprogramme finden stets nur Tracking-Cookies (wenn ich mal NICHT mit Firefox unterwegs bin....). Einen Virus/Trojaner hatte ich schon sehr lange nicht mehr. Der Letzte von außen war glaube ich Sasser, oder wie der hieß.
Anscheinend sind meine Sicherheitsvorkehrungen also garnicht so schlecht und mal im ernst ..... traust du mir zu, dass ich Microsoft und deren Sicherheit vertraue?
Du kennst mich natürlich nicht. Würdest du mich kennen wäre die Antwort für dich sofort klar.
Anscheinend sind meine Sicherheitsvorkehrungen also garnicht so schlecht und mal im ernst .....
Das bezweifelt keiner. Für DICH in DEINER Uni-Umgebung ist die Sicherheit ausreichend und sogar preiswert. Wir reden hier aber über globale und professionelle Sicherheit (Aufhänger war der internationale Flugverkehr!). Und da reicht der Maßstab Lexx' Studenden-PC einfach nicht mehr aus.
Daher habe ich so auf die Unternehmenssicherheit abgehoben - einfach, weil der Maßstab passt.
Um mal wieder zum Thema zurück zu kommen, zitiere ich den letzten Beitrag von mir zum Thema Terrorismus: Metalldetektoren am Flughafen sind wirksam, gegen die Mitführung von Waffen von Leuten, die sich entweder keine Gedanken machen oder durch den Mehraufwand davon abgehalten werden, sie mit ins Flieggerät zu bringen.
Gegen jemanden, der das Flugzeug unbedingt zum Abstürzen bringen will, ist der Metalldetektor dagegen wirkungslos (...). Er schmuggelt entweder eine Keramikwaffe hinein, oder wählt einen gänzlich anderen Weg (...). Um Terroristen von einem Terroranschlag abzuhalten, müsste man JEDE Möglichkeit ausschließen und das ist nicht möglich.
Im übrigen heiligt der Zweck nicht die Mittel!
Für die Freiheit auf der Straße nehmen die Deutschen in Kauf, dass jährlich knapp 6000 Menschen im Straßenverkehr umkommen - man könnte das verhindern.
Für die Bequemlichkeit an der Grenze, nehmen die Schengen-Staaten in Kauf, dass Schmuggler und Kriminelle leichter über die Grenze kommen - man könnte das verhindern.
Für die Privatsphäre der Bürger nehmen sie in Kauf, dass Kriminelle nicht entdeckt werden - man könnte das verhindern.
In diesen drei Beispielen scheint es eine rationale Abwägung zwischen dem Nutzen einer Maßnahme und ihren Kosten zu geben (betrifft auch nicht-monetäre Faktoren), die gegen die Maßnahme ausfällt. Aber wenn es um Terrorismus geht, setzt die rationale Bewertungsfähigkeit anscheinend kollektiv aus und ein kompromissloser Radikalismus macht sich breit (angeführt von Hardlinern wie Schäuble und Beckstein), der jede auch noch so schwachsinnige Maßnahme salonfähig macht, weil sie die Illusion von Sicherheit erzeugt."
Spock:
Ich wundere mich immer wieder, zu welchen abstrusen Schlüssen du kommst. Ich habe in der Uni überhauptkeine PC-Umgebung, jedenfalls nicht im Moment. Mein PC ist auch kein "Studenten-PC" - die haben Laptops und gehen ins W-LAN.
Du bestätigst einmal mehr, dass es richtig war, die Diskussion aufzugeben.
Ich wundere mich immer wieder, zu welchen abstrusen Schlüssen du kommst. Ich habe in der Uni überhauptkeine PC-Umgebung, jedenfalls nicht im Moment. Mein PC ist auch kein "Studenten-PC" - die haben Laptops und gehen ins W-LAN.
Wovon sprichst du da, doch nicht etwa von meinem letzten Beitrag? Ziehst dich am Begriff Studenten-PC hoch? Wenn das für dich ein fest besetzter Begriff ist, dann ersetze das durch Lexx' Privat PC. Ändert inhaltlich NULL. Die günstige Software bekommst du über die Uni (der konkrete Mechanismus ist hier völlig irrelevant), also geht man davon aus, dass du in irgendeiner festeren oder loseren Form an deren Umgebungen angebunden sein musst.
Wenn das für dich 'abstruse Schlüsse sind', hast du aber ein extremes Problem mit logischem Denken. Vermutlich liegt dein Problem aber ganz woanders: Du bist argumentativ total in der Sackgasse und hast nicht den A* in der Hose, das einfach zuzugeben.
Spock:
Die Diskussion zwischen uns beiden ist beendet und weder die Mitleidstour noch weitere Provokationen werden daran etwas ändern. Akzeptiere es oder nicht - ich werde in diesem Thread nicht mehr auf dich antworten.
Lexx schrieb am 14.11.2007 19:21
Es sind nicht 3 Monate, es waren 3 Minuten für das Update - einmal im Monat in etwa. Ich habe meinen PC gern unter Kontrolle und benutze deshalb nicht das Auto-Update, sondern den Baseline Security Analyzer.
Nun, ich will diesen Punkt nochmal aufgreifen. Ich habe beispielsweise das Windows Auto-update eingestellt, nachdem ich festgestellt hatte, dass ich 1. keinerlei Kriterien habe, ein Update auch manuell nicht zu bestätigen, und 2. ich letztlich eh alle bestätigt habe.
Ich habe mit verschiedenen PC-Usern über deren 'ich habe meinen PC gerne unter Kontrolle' diskutiert, und festgestellt, dass das mit 'Kontrolle' Cocolores ist. Sie haben auch keine Kriterien. Sie können höchstens vorher Daten sichern, falls der Rechner das Update nicht überlebt. Datensicherung allerdings sollte unabhängig von Updates eh immer überlegt werden.
Im professionellen Umfeld gibt es dagegen ganz interessante Probleme. Dort, wo sogenannte over the counter Software (gemeint ist in der Regel Windows) in Risiko-behafteten Bereichen eingesetzt wird (Medizin, Banken, u.a.) ist Validation der Software vor einer Änderung Pflicht. Die Validation benötigt aber Zeit, und die Verzögerung des Updates ist aber ebenfalls riskant (da wird eine Sicherheitslücke bereits öffentlich beschrieben). Da die Auswirkung eines Updates nicht vorhersagbar ist, gibt es keine brauchbare Grundlage einer Risikoabwägung für die Dauer der Verzögerung vs. Validationstiefe (meist werden sog. Regressiontests gemacht). Beispielsweise hat die FDA dazu Guidelines erstellt, aber vorsichtshalber bleibt die Verantwortung beim Hersteller eines Systems, und auch die FDA verlangt letztlich nur, dass Entscheidungen dokumentiert sind: http://www.fda.gov/cdrh/comp/guidance/1553.pdf Man hat sich nicht durchgerungen, Windows für solche Anwendungen ganz zu verbieten.
Im professionellen Umfeld gibt es dagegen ganz interessante Probleme. Dort, wo sogenannte over the counter Software (gemeint ist in der Regel Windows) in Risiko-behafteten Bereichen eingesetzt wird (Medizin, Banken, u.a.) ist Validation der Software vor einer Änderung Pflicht.
Nicht nur dort wird validiert, im Prinzip in jedem größeren Unternehmen werden die Windows-Updates zunächst zertifiziert und ggf. ausgesiebt, bevor sie verteilt werden. Das ist richtig aufwändig, kostet somit viel Geld und das laufend.
Dazu kommt noch, dass Methoden wie Phishing (Passwortausspähen) und Viren zunehmend gegen Unternehmen eingesetzt werden, etwa um Daten auszuspähen oder direkten Schaden anzurichten, wie etwa Systeme lahmzulegen. Auch terroristische Netzwerke kommen als Urheber in Frage. Unternehmens-IT muss sich auch gegen solche Szenarien wappnen, was ebenfalls nie ein Automatismus sein kann, sondern immer ein laufender, ständig optimierter Prozess sein MUSS.
Genauso ist es mit der Flugsicherheit. Das ist auch ein aufwändiger Prozess mit ständig neuen und optimierten und vielleicht auch mal überzogenen Maßnahmen. Dann spielen hier natürlich stark Bürokratie und Politik rein (Rockys Punkt), das ändert aber am Prinzip nichts.
Zur Datensammelei beim Fliegen: Viele Verschwörungstheorien zu 9/11 heben ja darauf ab, dass im Prinzip alles bekannt war, man hätte nur die Daten zusammenführen müssen. Genau das tut man jetzt. Im Prinzip haben mein Online-Reisebüro und meine Kreditkartengesellschaft dieselben Daten, wenn ich für mich und meinen Partner eine Reise buche. Wie lange heben die die auf? Was machen die damit? Keine Ahnung, ist mir auch egal. Kein Grund, mich aufzuregen.
Zitat:
ich werde in diesem Thread nicht mehr auf dich antworten
Macht nix, kommt ja eh nix mehr mit Substanz, um die ich mich zumindest bemühe. Also lass es.
Martin: "und festgestellt, dass das mit 'Kontrolle' Cocolores ist. "
Nunja, mir erspart diese Kontrolle immerhin ein Update von Outlook und Outlook Express, was ich beides nicht benutze und am liebsten komplett entfernen würde (was mit Windows XP nicht zu machen ist).
Und wenn ich den MBSA benutze, dann weiß ich genau wann ich etwas gemacht habe und was ich gemacht habe. Falls also mal was passieren sollte mit dem OS, weiß ich genau, welche Updates wieder runter fliegen müssen. Ich sehe das schon als "unter Kontrolle haben".
Gleichwohl muss ich natürlich darauf vertrauen, dass die Updates mir nicht das ganze System zerschießen, aber wenn ich WOLLTE, KÖNNTE ich selbst das unter meine Kontrolle stellen: mit einer Festplattenspiegelung als Sicherung.
"Im professionellen Umfeld gibt es dagegen ganz interessante Probleme."
Das ist richtig. Der 'professionelle' Bereich hat immer andere Anforderungen als der Otto-Normal-Verbraucher, das liegt auf der Hand. Dort entstehen laufende Kosten allein schon durch einen Administrator, der das System überwacht + eventuell weitere System-Spezialisten, etwa für die Sicherheit.
p.s. damit schließt sich der Kreis. Bei professionellen Systemen haben Spock und Steffen recht, nur ist es mir um DEN nie gegangen, was bei Spock anscheinend bis heute nicht angekommen ist.
FW: "Na, nu lasst gut sein. "
Ich weiß, ich bin in den letzten Tagen weiter gegangen als ich wollte und als es gut ist für den Thread. Dafür bin ich jetzt auch konsequent mit dem Schlussstrich.
Nachtrag:
Martin: "Man hat sich nicht durchgerungen, Windows für solche Anwendungen ganz zu verbieten. "
...was vermutlich in Teilen an der MS-Lobby liegt, in Teilen an der Tatsache, dass die meisten Mitarbeiter mit Windows vertraut sein dürften und die meisten Programme für Windows geschrieben werden.
Seit Apples Leopard wissen wir aber auch, dass die Sicherheit alternativer BS hauptsächlich auf deren geringer Verbreitung beruht und weniger auf der Sicherheit des Sytems an sich. Ob diese Systeme sicherer gegen gezielte Angriffe sind, halte ich für fraglich.
Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden
Offline
.