Diskussion:IT-Sicherheitsaudit
Übersetzung
Bearbeiten
Sinngemäß übersetzt wurden der erste Satz der Einleitung, sowie die letzten beiden Punkte manuelle Maßnahmen und CAAT unter Übersicht. --redtux 22:14, 6. Okt. 2008 (CEST)
Bilder von Tools
BearbeitenInwieweit tragen die Screenshots von einzelnen Tools zum Artikel (Lemma) bei?
Aus meiner Sicht gehören die Bilder entweder in die Artikel der jeweiligen Tools oder sie helfen Erläuterungen im Text zu verstehen. Ansonsten könnten wir zu jedem Tool Screenshots einbauen. Siehe auch: WP:Wie_schreibe_ich_gute_Artikel#Illustrationen--Dikw 09:23, 7. Okt. 2008 (CEST)
- Ich wollte einen Screenshot zu einer bekannten Auditing-Suite (die Wahl für BackTrack war rein willkürlich, weil ich nix anderes gefunden hab) und einen weiteren zu einem verbreiteten Vulnerability Assessment Tool. Bei letzterem wollt ich selbst einen Screenshot der Nessus/OpenVAS-GUI machen, da der in de-WP vorhandene nicht so toll ist. Nachdem es aber bereits einen Screenshot zur Nmap-GUI gab, hab ich einfach den genommen. Es geht mir nicht um ein konkretes Tool, sondern um die jeweilige Kategorie. Was gefällt dir an den beiden Bildern nicht? Insgesamt dienen Bilder meiner Ansicht nach der Auflockerung beim Lesen, ja, aber deshalb sind sie nicht bloße „Zierde“. Passend die Bildbeschreibungen nicht bzw. wurden die Bilder an falscher Stelle platziert? Ich wollte außerdem noch eine dem Buch „Hacking Exposed“ entlehnte Grafik zum Ablauf eines Angriffs erstellen, bin aber bislang nicht dazu gekommen. 697/letzte Seite: Footprinting → Portscan → Enumeration → Sniffer, Exploits → Backdoors (eventuell tiefer/LAN) → IMMER: social engineering → Alternative: DoS-Attacke => (lokalen) Zugriff verschaffen … --redtux 11:41, 7. Okt. 2008 (CEST)
Englischsprachige Termini
BearbeitenWie die meisten wissen werden, ist die Übersetzung von IT-Begriffen aus dem Englischen eine leidige Angelegenheit. Wie würdet ihr (falls überhaupt) folgende Termini am ehesten übersetzen? Gibt es im Artikel noch weitere problematische Begriffe, die ich übersehen habe?
- Vulnerability Test/Scan (Schwachstellenanalyse, Verwundbarkeitsscan, Anfälligkeitstest [1])
- Penetration Test (Tiefenanalyse – IMHO kaum gebräuchlich)
- Enumeration (Aufzählung – noch nie auf deutsch gelesen)
Danke für eure Hilfe & lg,
redtux 02:57, 1. Nov. 2008 (CET)
Danke euch allen für eure stilistischen Verbesserungen. Weiterhin die Frage, ob ihr für o.gen. Problem ev. eine Lösung wisst; schließlich stehen all diese fremdsprachlichen Begriffe OMA nach wie vor im Weg. thx & lg, redtux 13:20, 18. Dez. 2008 (CET)
IT-Sicherheitsbeauftragter??
Bearbeiten"IT-Sicherheitsbeauftragter" leitet weiter auf diese Seite. Die Seite enthält dieses Stichwort aber nicht einmal. Zwar fallen Audits typischerweise unter die Aufgaben des IT-Sicherheitsbeauftragten, aber Audit beschreibt die Aufgaben des IT-Sicherheitsbeauftragten mehr als ungenügend. essich 2010-05-20 (nicht signierter Beitrag von 88.217.170.176 (Diskussion) 13:34, 20. Mai 2011 (CEST))
Kompletter Artikel untragbar?
BearbeitenIn dem Artikel ist im Grunde jedes zweite Wort falsch oder ungenau. Das fängt mit dem ersten Satz an: "IT Security Audit [...] werden in der Informationstechnik (IT) Maßnahmen zur Risiko- und Schwachstellenanalyse [...] bezeichnet". Nein. Ein Audit dient der Überprüfung der Umsetzung oder Adressierung von klar formulierten Maßnahmen und Anforderungen (beispielsweise aufgrund von Risiko- und Schwachstellenanalysen).
Dann werden Begriffe wie "Normen" und "Policies", "Scans" und "Analysen" etc. wild durcheinander angewendet, Vorgehensweisen und Nomenklatur aus dem Grundschutz wie allgemeingültig genutzt. Eine Norm ist keine Policy und ein eine Schwachstellenanalyse ist kein Vulnerability-Scan. Audits dienen auch nicht der Einführung von Best-Practises, sondern dienen der Kontrolle. Der Begriff "Scan" oder "Scanner" wird praktisch durchwegs falsch angewendet/übersetzt.
Bei "in der Norm ISO/IEC 27001 der ISO" ist ISO redundant. Die 27001 selbst ist KEIN Standard für IT Audits, sondern beschreibt Standards für ein Informationssicherheits-Managementsystem (ISMS). Das geht einerseits über IT hinaus, während sich andererseits die eigentlichen Auditsverfahren (als Teil des ISMS) aus der ISO 19011 ergeben etc. p.p... Begriffe wie IT-Strukturanalyse sind Grundschutzwortschatz ohne darüberhinausgehende Bedeutung. Das wird aber nirgends erwähnt. Die ganze Beschreibung im zweiten Absatz bei "Übersicht" ist eigentlich nur Grundschutz und so nicht allgemein anwendbar. Dann werden plötzlich Begriffe wie "NDA" eingestreut. Warum? Wo soll geregelt sein, dass der Auditor sich zur Geheimhaltung verpflichten muss (unabhängig davon, dass er es i.d.R. tut)? Dann kommt "Gründe und Ziele einer potenziellen Attacke entscheiden über die angewandte Methode". Was will uns dieses Geschwurbel sagen? Der Satz steht da nicht nur frei von Zusammenhang, sondern ist auch inhaltlicher Unsinn.
Dann wird die Befragung der Belegschaft mit Social Engineering gleichgesetzt, Wireshark wird zum Security Scanner auch noch im Rahmen manueller(!) Maßnahmen. Man kann gar nicht so viel anmerken wie falsch ist.
Das "BSI IT-Sicherheitshandbuch" träfe bei Penetrationstests "folgende Unterscheidungen". Das Sicherheitshandbuch heisst seit einigen Jahren "Grundschutzkataloge" und in denen steht m.W. gar nichts zu Pentests. Die Vorgehensweise zu Penetrationstests ist in der "BSI Studie zu Penetrationstests" veröffentlicht, was was ganz anderes ist. Und ob das das "Das anerkannte Audithandbuch Open Source Security Testing Methodology Manual (OSSTMM)" anerkannt ist, wäre zu belegen. Zudem ist es kein "Audithandbuch", sondern ein Handbuch für OSSTMM-Audits. Das ist etwas gänzlich anderes.
Beim Abschweifen auf irgendwelche Tools werden falsche Bezüge hergestellt: nessus sei "laut" ("laut" ist nicht näher erklärt, und selbt wenn: was stört's den Auditor. Was soll das?) im "Gegensatz zu Firewalk". Das ist von der inneren Logik wie "Autos sind zu schnell, daher nimmt man Schraubenschlüssel" oder "Nachts ist es kälter als draussen". Ob man hier überhaupt Tools listen soll, ist m.E. die Frage. Diese können Teil eines Audits sein, müssen aber nicht. Ausserdem gäbe es ja auch noch völlig andere Toolklassen, welche überhaupt nicht erwähnt sind.
Die ganze Textintegrität und Didaktik sind unterirdisch, alle möglichen Metaebenen werden durcheinandergewürfelt. Alles liest sich, als wenn zwanzig Leute wild Begriffe reingeworfen hätten, die sie mal gehört haben.
Ungenauigkeiten, wie das Nennen der internationalen Norm ISO/IEC 27001 als "Richtlinie oder Maßnahmenkatalog" durchziehen und entwerten den Text auf allen Ebenen. Es wird unterstellt Grundschutz und Schutzbedarfsfeststellung würden "wg. der Kosten einer RA" meist kombiniert. Im Rahmen eines Grundschutzvorgehens, hat man aber keine Wahl und ausserhalb der Grundschutzwelt kann man das so nicht sagen, bzw. wäre es eine unzulässige Annahme. Bei "Siehe auch" wird auf ISO/IEC 17799 verwiesen. Es gibt keine ISO/IEC 17799, sondern nur einen British Standard "BS 17799"...
Bei Richtlinien und Maßnahmen liest man, dass "die Bandbreite vorgeschlagener Maßnahmen" etc. Wo werden für Audits "Maßnahmen" vorgeschlagen? Und wo ist überhaupt der Bezug zum IT-Audit?
Bei "Ablauf eines Audits" steht, dass ein solches "im Wesentlichen nach demselben Muster wie bösartige Angriffe" abliefe. Nein! Hier werden (IT-!)Audits und Pentests oder Vulnerability Assessments durcheiandergeworfen. Und den, dessen Ziel im Rahmen eines (IT-)Audits es ist, durch einen "passiven, automatisierten Angriff durch Skripte und Bots" beispielsweise "die Ausweitung eines Botnets" herbeizuführen, den will ich sehen. Und was hat das ganze folgende Buzzwording (Spam, Zombies, DDoS, etc.) überhaupt mit IT-Audits zu tun?
"Ein Audit besteht somit aus mehreren Phasen. Wurden Daten wie der zu scannende IP-Adressbereich (IP-Range) vom Kunden nicht bekannt gegeben, handelt es sich um einen Black-Box-Test". Das ist multipler Unsinn. Warum muss ich für ein Audit über die Benutzung vom Passwortschutz an Client PC die IP Wissen? Oder bei einem Audit der Patchmanagementverfahren? Und selbst wenn man die IPs bei bestimmten Tests (wo man sie wirklich braucht) kennt, kann es immer noch ein Blackboxtest sein.
Ich könnte weitermachen und praktisch jeden einzelnen Satz zerlegen, aber ich höre jetzt auf. Ich bin kein Wiki-Kenner und die Q-Richtlinien sind mir nicht geläufig, aber: IMHO ist hier nichts zu retten. Jemand sollte das mal neu schreiben. Die Frage ist, ob man der Leserschaft das zumuten darf. M.E. bringt das mehr Schaden als Nutzen und man sollte den Artikel bevorzugt entfernen oder mindestens als "extrem ungenau" kennzeichnen. [komme eben ein paar Jahre später wieder her, meine Anmerkungen gelten immer noch!]
16.3.2015: @"Andy king50": Andi hat meinen "Überarbeiten" Baustein eben sofort wieder aus dem Artikel entfernt, mit dem Kommentar "Baustein wieder raus wg. 'Kommentar' auf der Diskussion. dann trage halt selbst substanziell was bei. Miesmacherei bitte wo anders". Dazu möchte ich anmerken, das mich der Miemacherei zu bezichtigen oder sich darüber aufzuregen, dass ich den Artikel nicht selbst neu schreibe, nichts von den geschilderten Problemen löst oder etwas an meiner Kritik ändert. Die nicht-Markierung des Artikels als "Überarbeitungsbedürftig" wiegt die Leser jetzt weiter in Sicherheit, weil jemand mein Vorgehen misbilligt. Das eine sollte IMHO nichts mit dem Anderen zu tun haben, aber ich bin mit den politischen und technischen Feinheiten in Wikipedia nicht vertraut. Dafür aber mit dem Thema des Artikels. Dewegen überlasse ich das jetzt einfach dem Verantwortungsgefühl von vermutlich Andy.
Bedenke vielleicht dabei: wenn jeder die Pflicht hätte, seine Kritik direkt selber umzusetzen, dann würde man einen "Überarbeiten" Baustein ja gar nicht brauchen. (nicht signierter Beitrag von 37.4.28.44 (Diskussion) 22:37, 16. Mär. 2015 (CET))
hh@it-sec.de
(nicht signierter Beitrag von 178.26.159.243 (Diskussion) 22:17, 18. Mär. 2012 (CET))
- genau Dies, die eigene, durch WP:Belege, nicht lediglich Deine eigene persönlich Meinung gestützte Beteiligung in Form der Bearbeitung vom Artikeln brächte Wikipedia weiter. Die Pauschalkritik vermeintlicher oder tatsächlicher Experten bringt hingegen keinerlei Fortschritt. Irgend einen Beleg finde ich da oben nicht, also für mich ist das reine persönliche Meinungsäusserung und somit keinen Deut besser als der kritisierte Artikelinhalt selbst. Klar macht eine substanzielle Mitarbeit mehr Aufwand, als ab und am mal eine Kritik vom Stapel zu lassen.... - andy_king50 (Diskussion) 22:46, 16. Mär. 2015 (CET)