Mach mal Vorschläge, wie das gehen soll. Interessante Vorschläge würde ich sofort umsetzen. ;-)
Irgendein Mitarbeiter muss irgendwelche Dokumente bearbeiten. Und wer Schreibrecht hat, hat auch die Möglichkeit, mit den Dokumenten Unsinn zu veranstalten.
Soll ich den Leuten E-Mail verbieten? Anhänge verbieten? Jeden Download und jeden Anhang in der IT begutachten lassen? Wie soll das funktionieren?
Wir bekommen in der Firma Mails von diversen Quellen. Aus dem Ausland und auch in ausländischen Niederlassungen. Korrekte deutsche Rechtschreibung fällt also schon als Kriterium weg. Die Absender sind oft Behörden und die schicken den letzten Mist als Anhang. Denen kannst du nicht "ich nehm aber sowas nicht an" sagen. Also kannst du schon, dann bist du aus dem Projekt halt raus.
Die letzte Verteidigungslinie ist der User und der muss das immer wieder zu hören bekommen, dass er aufzupassen hat und im Zweifelsfall dann halt erst die IT fragt. Anders gehts nicht! Security-Awareness ist da gefragt.
Du siehst da tagtäglich den gruseligsten Mist und stehst dann blöde da, weil du es irgendwie möglich machen musst. Einige Mitarbeiter müssen ständig mit einer ausländischen Bank kommunizieren. Die erfordert, dass ihre Site in den vertrauenswürdigen Sites im IE gelistet ist und verschiedene IE Sicherheitsfeatures abgeschaltet werden. Da drehst du als technisch Verantwortlicher durch, aber es gibt da keinen Umweg. Es ist erforderlich, diese Bankseite zu nutzen. Also wieder Speziallösungen bauen, damit man solch wahnwitzigen Schrott irgendwie verwenden kann.
Einiges kannst du über Technik erschlagen, aber es bleibt immer ein ungeschütztes Zeitfenster. Wir sind momentan auf etwa 15 bis 20 Minuten runter, die es vom Eintreffen von brandneuer Malware bis zu einer automatischen Einschätzung und entsprechender Ablehnung dauert. Das reicht aber auch nicht, da man eben keine Webseiten 20 Minuten verzögern kann, weil die Bewertung noch nicht da ist. Bei Mails ginge das evtl. noch - aber selbst da wirds haarig.
Zwischendurch kamen Javascript Dateien als Dateianhang an Mails. Okay, die kann man auf dem Gateway gleich blocken, aber wer das nicht macht, der hat da auch gleich noch mit Malware zu tun, die betriebssystemneutral ist. Heißa, mit Linux wär das auch passiert. ;-)
