Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Anfrage
Logo Goebel Consult

Neues aus meiner Toolbox: pdfjoin-Droplet

Ich habe ein Programm pdfjoin erstellt, das PDF-Dateien bequem aneinander hängen kann. Das Programm kann auch als "droplet" arbeiten.

Ich habe ein Programm pdfjoin erstellt, das PDF-Dateien bequem aneinander hängen kann. Das Programm kann auch als "droplet" arbeiten.

Was ist das Besondere?

Mit meinem Tool braucht man das PDF nicht zu öffnen oder sich mit einem "Split and Merge" Programm beschäftigen. Einfach die PDFs der Reihe nach auf das Icon werfen und auf dem Desktop erscheint ein neues PDF.

Das Zusammenhängen geht zwar auch über die Druck-Funktion des PDF-Readers, aber dazu muss man das PDF erst öffnen und und dann drucken. Und unter Windows braucht man einen Pseudeo-Drucker, der PDF erzeugt und "multidoc" beherrscht (z.B. FreePDF). Das ist einfach umständlicher.

Was ist ein Droplet?

Der Begriff droplet stammt aus der Apple-Welt. Es bezeichnet ein Programm oder Skript, das eine bestimmte Funktion ausführt, wenn man ein anderes Icon auf das Icon des Programms zieht und dort fallen läßt (eben "to drop").

Geht es auch anders?

Ja, das Programm läßt sich auch mit Parametern über die Kommandozeile ausführen.

Für welche Plattformen?

Wie bei mir üblich, ist das Tool plattform-unabhängig in Python geschrieben. Den Quelltext gibt es unter https://gitorious.org/pdftools/pdfjoin. Einen Windows-Installer und ein ein OSX-Bundle kann ich bei Bedarf erstellen.

Seitenlänge eines Monitors bei gegebener Diagonale

Bei Monitoren wird immer nur die Bildschirmdiagonale und die Auflösung oder das Seitenverhältnis angegeben. Diese keine Python-Funktion berechnet daraus die Breite und Höhe des Bildschirms

Bei Monitoren wird immer nur die Bildschirmdiagonale und die Auflösung oder das Seitenverhältnis angegeben. Diese keine Python-Funktion berechnet daraus die Breite und Höhe des Bildschirms

from math import sqrt
"""
Basierend auf <http://www.mediengestalter.info/forum/29/seitenlaengen-diagonale-monitor-106559-1.html>
"""
def seitenlaengen(diag, w,h):
    w, h = map(float, sorted([w,h], reverse=True))
    b = sqrt(diag**2 / (1+ (w/h)**2) )
    a = (w/h)*b
    return round(a,2), round(b,2)

2012-01: In die Cloud! In die Cloud! Aber wo soll die sein?

Seit Jahren berichten die Marktforscher, dass der Mittelstand in die Cloud zieht. Mail- und Webserver laufen ja ohnehin schon lange bei irgendeinem Provider. Da liegt es nahe, auch Server, Backup, Archiv oder gar das ERP in die Rechenzentren externer Serviceprovider auszulagern. Doch Vorsicht: Wenn geschäftsrelevante Prozesse zum externen ISP wandern, muss der einige grundlegende sicherheitstechnische Voraussetzungen erfüllen. Denn verantwortlich als Eigentümer der Daten sind nach wie vor Sie.

Zu fragen, „wo“ denn die Cloud ist, ist die „Alles-in-die-Cloud“-Jünger Blasphemie. Denn das tolle an der Cloud ist ja gerade, dass sie „immer und überall“ (Erste Allgemeine Verunsicherung) ist. Dabei stimmt das nicht: Am Ende laden die virtuellen Maschinen dann doch wieder auf „Kisten“, als ganz physikalischer Hardware, und die muss ja irgendwo stehen. Und damit spielen die Sicherheitsvorkehrungen des externer Dienstleister plötzlich eine wichtige Rolle: Denn BDSG §11 verweist die Verantwortung klar an den Auftraggeber: Der hat zu prüfen, ob der Auftragnehmer ordentlich arbeitet, zuverlässig ist und den Datenschutz enthält.

Wer also mit voller Konsequenz auf die Cloud setzt, tut gut daran, seinem Anbieter auch unter dem Aspekt der Informationssicherheit auf den Zahn fühlen. Hier einige Punkte, die Sie vor Vertragsabschluss klären sollten.

Kann der Anbieter eine Vereinbarung zur Auftragsdatenverarbeitung (nach BDSG) vorlegen? In den nächsten zwei Jahren können Sie ein „Oops, haben wir noch nicht, erstellen wir aber“ so eben noch akzeptieren. Es gibt aber trotzdem Minuspunkte. Wer es in zwei Jahren nicht kann, dem sollten sie den Rücken kehren.

Hat der ISP einen Datenschutzbeauftragten (DSB)? Ein fehlender DSB ist ein hartes Ausschlusskriterium. Aber Abzüge gibt es auch für einen DSB, der nicht versteht, wozu Sie die obige Vereinbarung benötigen. Es mangelt diesem dann offensichtlich am Bewusstsein, was wichtig ist.

Wo liegen die Daten? Nicht jeder ISP hat ein eigenes Rechenzentrum. Fragen Sie deshalb auf jeden Fall nach, wo er denn seine Services hostet. Wenn ich bei einem (deutschen) SaaS-Anbieter keinen Hinweis finden, wo die Daten gehostet werden, werde ich skeptisch. Erst heute habe ich einen gesehen, der in einer Präsentation vollmundig „PCI DSS zertifizierte, hochsichere Server“ und „verschlüsselte Backups“ verspricht, sich im Kleingedruckten aber vorbehält, die Daten bei „externe[n] Hosting-Provider[n]“ zu speichern. Seien Sie neugierig, fragen Sie nach. Wer technisch versiert ist, kann auch mit Tools wie nslookup und whois einiges an Erkenntnis gewinnen.

In welchem Rechenzentrum stehen die – physikalischen – Maschinen? Verlassen Sie sich nicht auf die Versprechungen des Dienstleisters. Ein Besuch im Rechenzentrum lohnt sich. Ich habe schon AS400 in Toiletten oder Kartons, Kabelsalat und Holzböden im Rechenzentrum gesehen. Wenn solche Missstände noch nicht einmal beseitigt werden, wenn Kunden kommen, sollten Sie auf Abstand gehen. Der Grundschutzkatalog „Infrastruktur“ gibt hier wertvolle Tipps.

Kann der Anbieter eine Zertifikat nach ISO 27001 vorweisen? Grundsätzlich ist dieses Zertifikats ein gutes Zeichen. Spricht es doch dafür, dass sich der Dienstleister mit dem Thema Sicherheit auseinandergesetzt hat. Aber: Die Zertifizierung belegt zwar, dass der ISP ein Information Security Management (ISMS) hat, es ist aber damit weder gewährleistet, dass es funktioniert, noch dass alle Maßnahmen umgesetzt sind. Achten Sie auch darauf, welcher Teil des Unternehmens überhaupt zertifiziert wurde. Weitere gute Zeichen sind ein BSI-Grundschutzzertifikat und Hinweise auf Standardprozesse etwa nach ITIL.

Es gibt viele Anbieter auf dem Markt. Die erhöhte Nachfrage nach Rechenzentrumskapazität durch die Cloud hat einen Wettbewerb ausgelöst, der von den Großen wie Micorosoft, Google, 1&1 oder Amazon mit gewaltiger Marketingmacht geführt wird. Das heißt aber noch lange nicht, dass sie mit einem dieser Giganten auf der sicheren Seite sind, respektive, dass er zu Ihnen passt. Oft ist die bessere Wahl – vor allem für Mittelständler – sich einen guten, bewährten mittelständischen ISP als Partner zu suchen, der mit Ihnen auf Augenhöhe diskutiert und Ihre Bedürfnisse kennt. Prüfen Sie also, fragen Sie – aber nehmen Sie bitte, bitte nicht den Nächstbesten – auch nicht wenn er Google oder Microsoft heißt.

Wenn Sie Unterstützung bei der Auswahl, der Untersuchung oder den Gesprächen brauchen, sprechen Sie mich an :-)

Preferring git over mercurial

Being a Python programmer, my favorite distributed version control system (DVCS) was Mercurial (hg) -- was until a few days ago. Here are some reasons why I now prefer git.

Being a Python programmer, my favorite distributed version control system (DVCS) was Mercurial (hg) -- was until a few days ago. Here are some reasons why I now prefer git.

Mercurial was my favorite since it is written in Python, which is my preferred programming language (more precise: the only Programming language I use unsolicited).

Until now, I had bad experiences with git: I'm urged to use git on other projects and I often stumble over things that do not work as I expect or are described in a way I do not understand or is much to complicated. Whenever I try to learn how to select revisions from `man gitrevisions` I get enervated.

As you may know, I'm involved in the development of PyInstaller where we are currently migrating from Subversion to git. The project's founder, Giovanni Bajo, made me looking deeper into git. I'm still fighting with some of it's rough edges, but I'm really impressed: It has much more power-features than mercurial has.

gitk

At the beginning  was missing `hg serve`. But then I discovered `gitk` -- a GUI front-end for history browsing. Meanwhile I'm used to it and prefer it over the web-based `hg serve`. One can search messages, authors, commiters, focus on one or several branches, easily jump to tags, directly display the changes in several diff-formats, and a lot more. And all commits are on a single page, no need to browse through page over pages.

git gui

The next killer app is `git gui`, a tool for preparing your commits.

I often find myself committing to large changes, since I did several smaller changes until I mind to commit. With `git gui` these is solved elegantly: One can select which part of the current changes are to be used in the commit, even include or exclude single lines. At the very moment, I'm splitting my hacked version of reposurgeon into small commits so somebody else can reproduce what I've done. You can see the result at https://github.com/htgoebel/reposurgeon: All commits until today midday have been created this way.

And another plus: Commit message entered within `git gui` are spell-checked. The language can be selected either globally or per project.

Summary

So for new projects, or when migrating my existing projects to DVCS, I'll choose git. It has the far superior tools.

2011-11: In Troja nichts Neues

Große Aufregung um den Bayern- und Bundes-Trojaner allerorten. Doch Security-Fachleute hat all das nicht wirklich überrascht. Dennoch können Sie als Info-Sec-Beauftragter aus dem Vorfall Ihre Lehren ziehen und sich damit peinliche Befragungen ersparen, wie sie unser Innenminister durchstehen musste.

Nein, das wird keinen politische Kolumne. Versprochen! Als Bürger erschreckt es mich natürlich, wie die Politik mit dem Problem "Bundestrojaner" umgeht. Als CISSP sage ich aber: Das war zu erwarten. Denn schon lange ist zu beobachten, dass den Politikern zu allem, was Informationstechnik angeht, das Fachwissen fehlt. Und dazu der gute Wille, sich zu informieren: Ein Blick ins IT-Grundschutzhandbuch, insbesondere auf den Baustein B1 Übergreifende Aspekte. hätte schon weitergeholfen. Herausgeber ist übrigens die Bundesrepublik Deutschland, entwickelt wurde es ursprünglich ausgerechnet für Behörden! Die "Aktuelle Stunde" im Bundestag zum Bundestrojaner belegt diese Mankos eindrücklich - launisch protokolliert in Fefes Blog.

Wie ersparen Sie sich solche Peinlichkeit?

Ganz offensichtlich ist etwas eingetreten, das nicht eintreten sollte. Dumm gelaufen. Aus der Bredouille hilft den Betroffenen (etwa Ihnen als Security-Beauftragtem) nur: Sie müssen nachweisen können, das Sie "alles" getan haben, um diesen Vorfall zu vermeiden. Blättern wir also in der einschlägigen Literatur, was „alles“ ist: Es sind hier klare Verhaltensregeln, technische Maßnahmen, organisatorische Maßnahmen, Protokolle und Kontrollmechanismen aufgelistet. Inklusive den Maßnahmen, die eine professionelle Krisen-PR für den "Worst Case" vorschreibt.

Damit erreichen Sie Fünferlei:

  • Sie entlasten sich persönlich von der Unterstellung von Verfehlungen,

  • Sie reduzieren reell das Risiko, dass etwas passiert,

  • Sie schrecken ab; falls doch etwas passiert,

  • Sie können Sie den Schaden eingrenzen,

  • Sie können den Verursacher in die Verantwortung nehmen.

Übrigens: Auch wenn Sie Ihren Mitarbeitern grundsätzlich vertauen – anderes wäre ganz schlecht für Ihre Unternehmen – brauchen Sie Vorsorge. Denn alleine das Gesetz der großen Zahlen belegt, dass Sie ein schwarzes Schaf in der Firma haben, wenn sie nur groß genug ist.

Unsere Herren Innenminister taten sich mit diesem Nachweis schwer

1. Wo sind die klaren Regeln? BKA Chef Zierke zeigt in seinem Redemanuskript (letzte Seite), wie man es nicht machen darf: „Glauben Sie mir, meine Mitarbeiter verstehen das nicht!“ Fragen Sie also Ihre Mitarbeiter und Kollegen, ob die Regelungen klar sind. Ob sie wissen, was sie zu tun und was sie zu lassen haben. Und natürlich müssen Sie die Regeln an aktuelle Gesetzeslage und höchstrichterliche Entscheidungen anpassen. Zugegeben, nicht ganz einfach, aber wichtige Entscheidungen gehen sogar durch die Presse.

2.Wo sind die technischen Maßnahmen? „Gelegenheit macht Diebe“, sagt der Volksmund. Übertragen in die Software-Entwicklung bedeutet es: Funktionalität, die nicht benötigt wird, soll es erst gar nicht geben. Wenn also mit einem Bundestrojaner kein Nachladen erlaubt sein soll, dann darf die Software diese Funktion erst gar nicht enthalten.

3. Wo sind die organisatorischen Maßnahmen? Die Technik kann das Einhalten von Regeln unterstützen, aber nicht aller Mißbrauch läßt sich durch Technik verhindern. Beim Bundestrojaner ist mir nicht bekannt geworden, wie denn verhindert werden sollte, dass die Nachladefunktion genutzt wird. Hatten die ausführenden Beamten Zugang zu den „Plugins“? Waren diejenigen, die die den „Update“ anstoßen könnten, die gleichen, die das Abhören gesteuert haben? Stichwort: Vier-Augen-Prinzip.

4. Wo sind die Protokolle und Dokumentation? Die Protokollfunktion des Bundestrojaners scheint nicht sonderlich revisionssicher zu sein. Kein Wunder, dass die Innenminister hier Ärger bekamen: Konnten die schwarze Schafe hier vielleicht fälschen? Oder deren Kollegen, Stichwort: Korpsgeist. Die Anforderungen an Buchhaltungen sind jedenfalls höher als bei Eingriffen in Grundrechte. Übrigens könnte hier Papierprotokolle mit Unterschriften schon helfen :-)

5. Wo ist die Kontrolle? Beim Bundestrojaner hatte ich nicht den Eindruck, dass die Beamten Kontrollen ihres Tuns und damit Konseqzenzen befürchten mussten. Keiner hat gesagt: „Hier sind unsere Regeln, und wir haben geprüft, dass sich alle daran gehalten habe.“ Laut Herrn Zierke wurden sie immerhin auf Plausibilität kontrolliert - was immer das heißen mag.

Beim Bundestrojaner ist noch einige anderes schief gelaufen, doch das würde den Rahmen dieser Kolumne sprengen. Erwähnen möchte ich nur noch kurz die Stichpunkte "mangelnde Kontrolle vom Outsourcing von IT-Dienstleistung" (B 1.11 Outsourcing) und "mangelnde Ausbildung und Interessenkonflikte" (M 3.50 Auswahl von Personal), die beide schon ein gutes Stück weitergeholfen hätten.

Und wenn Ihnen das passiert?

Dann haben Sie hoffentlich aus den Fehlern unserer Politiker gelernt und sind gut vorbereitet. Sie geben die dokumentieren Verfahren und andere Unterlagen dem Pressesprecher und lehnen sich entspannt zurück. Na ja, ganz so einfach wird es nicht werden. Aber Sie sind dann zumindest gut gewappnet, um den Sturm zu überstehen. Toi, Toi, Toi!

2011-10: Aus der Schublade in die Köpfe

Grade Mitarbeiter, die ihren Job motiviert und engagiert erledigen wollen, bergen mehr sicherheitsrelevanten Sprengstoff für ihre Arbeitgeberfirma als Viren, lückenhafter Programmcode oder Trojaner. Nur: Sie sind sich dessen nicht bewusst! Die Herausforderung für uns Sicherheitsspezialisten ist deshalb: Das Regelwerk der Security-Policies muss ins Bewusstsein der Kollegen und ins gelebte Daily Business. Erstmals helfen pfiffige Ansätze von Herstellerseite dabei.

Um mehr Arbeit zu schaffen, nehmen Mitarbeiter Dateien auf USB-Stick mit nach Hause oder schicken sie sich per E-mail. Um schnell und unkompliziert mit Kollegen zu kommunizieren, nutzen sie im Unternehmen Skype. Auf Facebook erzählen sie begeistert von "ihrer Firma". Sie nutzen nach Lust und Laune ihre LieblingsApps, um ihr Arbeitsumfeld bequemer oder auch spannender zu gestalten. Für jeden Security-Experten ein grauenvolles Szenario, denn alle diese Aktionen bieten wunderbare Ansätze für Social Engineering-Attacken.

Wie sehr der Mensch im Mittelpunkt unserer Security-Bemühungen stehen muss, zeigt die neue Studie "The Risk of Social Engineering on Information Security" von Dimensional Resarch: 64 Prozent der in Deutschland befragten Unternehmen wurden bereits Opfer so genannter Social Engineering-Attacken. 46 Prozent waren in den vergangenen beiden Jahren von 25 oder mehr solcher Angriffe betroffen mit Folgekosten pro Vorfall von über 25.000 Dollar sowie Daten- und Reputationsverlust.

Eigentlich ist alles in der Security-Policy geregelt ...

Für Datenschutzbeauftragte, Chief Information Security Officer und IT-Aministratoren ist das nichts Neues. Sie haben alle Szenarios auch in ihren Policies akribisch abgebildet und Vorsorge getroffen, doch die Realität zeigt: Gerade engagierte Kollegen, finden Wege, die technischen Maßnahmen zu umgehen oder sie ignorieren sie ganz einfach. „Kann Du mir das schnell auf deinen Stick kopieren, ich darf das ja nicht.“ Geht die Mail mit dem 10-MB-Anhang nicht raus, wird sie eben über den Privat-Account verschickt.

Die Herausforderung ist also: Wie kriegt man die Vorschriften, Regeln und Prozesse aus der Schublade des CISO in die Köpfe der Mitarbeiter?

Einen pfiffigen und durchaus vielversprechenden Ansatz haben Unternehmen wie Checkpoint oder die deutsche itWatch vorgestellt. Aktionen (wie Zugriffe auf Applikationen, aber auch Kopieren von Daten auf USB etc.) sind ab sofort nicht einfach erlaubt oder verboten. Ein rechtebasiertes Dialogsystem weist darauf hin, wenn der Mitarbeiter etwas tun will, das er nicht darf oder soll. Wenn er beispielsweise ein Dokument, das als "vertraulich" markiert ist, an einen Adressaten außerhalb der Firma senden will, erscheint ein Hinweis: "Du schickst grade ein vertrauliches Dokument nach draußen. Bist du sicher, dass du das tun willst?". Es läßt sich auch regeln, dass der Mitarbeiter nicht nur „Ja, ich will“ anklicken darf, sondern eine kurze Begründung eingeben muss.

Wertet man das Logging dieser Aktionen aus, ergeben sich überdies wichtige Erkenntnisse über das Verhalten einzelner Mitarbeiter: Wer also ständig mit den gleichen Ausnahmen und Regelverstößen auffällt, den kann der Securtiy-Beauftragte nochmals gezielt darauf ansprechen und auf die Risiken hinweisen. Wie immer bei solchen Auswertungen ist dafür die Zustimmung des Betriebsrates nötig.

Dialog mit dem Mitarbeiter

Damit können Mitarbeiter künftig aktiver in die Security-Prozesse eingebunden werden. Sie können Situationen, die gefährlich sein können, erkennen, einschätzen und selbst und sofort vermeiden. Der Weg führt also weg von strikten Verboten, die sie nicht einsehen können, weg von der Ansammlung an Technologien, die die Kollegen nicht verstehen, hin zu Prozessen, die nachvollziehbar sind. Im besten Fall empfindet sie der Mitarbeiter auch noch positiv, wenn er damit beispielsweise bewusst ein Risiko vermeiden kann der sich eine Blamage erspart. Ein solches Verfahren wirkt damit gleichzeitig wie eine immerwährende Awareness-Maßnahme.

Zum Zweiten werden die Mitarbeiter dabei unterstützt, die Policy einzuhalten, ohne großen Aufwand zu verlangen. Wenn der Anwender seine Daten beim Kopieren auf den USB-Stick mit einem extra Programm verschlüsseln muss, wird es ihm oft genug zu umständlich sein und der wird es unterlassen. Wenn die Daten beim Kopieren automatisch verschlüsselt werden, dann ist sicherlich niemand böse darüber.

Website des (ISC)² Chapter Germany e.V. ist online

Seit ca. April 2011 haben sich CISSPs und anderen (ISC)²-Mitglieder in Deutschland zu einem Chapter, also einer regionalen Verband, zusammengeschlossen. Das Ziel des (ISC)² Chapter Germany e.V. ist es, das Verständnis und die Bedeutung der Informationssicherheit zu fördern.

Mehr dazu direkt auf der Website des Vereins.

Die Website wird übrigens von mir gesponsert.

2011-09: Kommerz über Recht - FDP, die "Gefällt-mir"-Partei

Mitte August hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) alle Website-Betreiber in Schleswig-Holstein aufgefordert, Social-Plugins wie den "Gefällt-mir"-Button auf ihren Webseiten bis Ende September zu entfernen. Der Grund: Beim Aufruf von Web-Seiten, die den Facebook-Button nutzen, werden sowohl angemeldete als auch nicht angemeldet Nutzer erfasst. Das ist ein Verstoß gegen das Datenschutzgesetz und soll künftig geahndet werden. Das gefällt dem „FDP-Netzexperten“ Manuel Höferlin nicht, er will das „Rechtssystem anpassen“.

Manuel Höferlin warnt vor vorschnellen Verboten, die Social-Netzwerk-Betreibern die Geschäfte vermasseln könnten. Er plädiert dafür, den Facebook-Nutzern selbst die Verantwortung aufzubürden, sich darum zu kümmern, ob ihre Daten getrackt werden oder nicht. Stichworte "mündiger Bürger" und "das Recht anzupassen": Der "Gefällt-mir“-Knopf muss bleiben, ohne Wenn und Aber, ohne Strafen und EInschränkungen. Facebook und Co. müssen weiterhin persönliche Userdaten nach Lust und Laune ohne Erlaubnis abgreifen und damit Geld verdienen dürfen. Vermutlich ist sonst der Wirtschaftsstandort Deutschland gefährdet.

Ganz schön frech, denn im Klartext heißt das: Der "Netzexperte" der FDP stellt die Interessen von Facebook über das Grundgesetz und das Bundesverfassungsgericht. Ich finde den Vorschlag schlicht unerträglich, das "Recht anzupassen", nur damit "Soziale Netze", also kommerzielle Unternehmen, weiterhin Profile von Benutzern sammeln dürfen.

Und die Forderung, den User eigenverantwortlich in die Pflicht zu nehmen, ist wohl eher eine Zumutung als die Anerkennung der Bürgerrechte: Unterbinden lässt sich das Tracking der persönlichen Daten nämlich nur mit Tools wie "NoScript" und "RequestPolicy". Wer also nicht will, dass Facebook seine Daten sammelt, muss auf jeder Site Javascript und RequestPolicy anpassen. Er muss also einen großen Aufwand betreiben und auch ein passables technisches Wissen mitbringen, damit er sein informelles Selbstbestimmungsrecht wahrnehmen kann. Viel Spaß dabei!

Wenn Herr Höferlin also den „mündigen Surfer“ fordert, dann ist das nichts weiter, als eine faule oder unüberlegte Ausrede, um den kommerziellen Interessen von Facebook (und anderen sozialen Netzen) zu Willen zu sein. Wer eine Website betreibt, ist nun mal ein "Anbieter" (eines Telemediendienstes) und kein „Benutzer“ mehr. Er steht damit auch in der Pflicht, den Datenschutz zu wahren und kann diese Verantwortung nicht als Schwarzen Peter alleine Facebook zuschieben.

Daten geschenkt statt Datenschutz

Mag ich auch riskieren, als ewig Gestriger zu gelten: Ich bin der Meinung, dass die Kommunikationsmanager von Firmen gut daran tun, zwischendurch mal darüber nachzudenken, welchen Nutzen ihr Unternehmen von einem "Gefällt-mir“-Button von Facebook hat und wo sie ihn platzieren. So gesehen bei einer nürnberger Bank -- ausgerechnet einer Bank, höchst sensible Institute, die Hundertausende Euro für Compliance und Datenschutz ausgeben.

Den Bankkunden empfängt, wenn er sich fürs Online-Banking anmeldet, der Text: „Unser Serviceteam für Onlinelösungen möchte Sie umfassend betreuen und informieren. Um dies schnell und direkt zu tun, wurde eine eigene Facebookseite gegründet [...]. Eine Anmeldung bei Facebook ist nicht erforderlich, trotzdem können Sie Informationen lesen und wie gewohnt unser Onlinebanking nutzen.“ - und der „Gefällt-mir“-Knopf. Nichts gegen Service-Meldungen auf der Seite. Aber die sieht nur, wer Javascript aktiv hat, denn sie kommen bereits von Facebook. Weshalb nicht vom eigenen Webserver der Bank? Und weshalb die Bank Facebook freiwillig die Information verkauft, nein sogar verschenkt, dass ihr „Benutzer 123456 das Onlinebanking unsere Bank besucht hat“, ist mir ein Rätsel. Wenn Facebook da nichts daraus macht, selber schuld.

2011-08: Gefährliches Managerspielzeug

Um junge, kreative Menschen als Mitarbeiter zu gewinnen, muss ein Arbeitgeber nun erlauben, dass sie ihre eigenen Smartphones, Tablets, Notebooks verwenden, so fordert es der neue Trend "Bring you own device". Das spart den Firmen Geld und motiviert auch nach Feierabend zu Überstunden. Sehr schön. Aber halt mal, soll Kollege Müller wirklich mit seinem privaten iPhone zu Hause auf die aktuellen Verkaufszahlen zugreifen dürfen?

Wer heutzutage nicht permanent sein Smartphone checkt, in Facebook, bald auch Google+ postet oder kurz die neuste Statusmeldung tweetet, der ist hoffnungslos hinterm Mond. Immer und überall auf sein Daten zugreifen können, so lautet die Devise der jungen, dynamischen Informationsgeneration, die den Arbeitsmarkt revolutioniert. Smartphone und Tablet machen´s möglich.

Diese Arbeitnehmer will die Firma haben: Ohne Rücksicht auf Urlaub, Wochende oder Feierabend checkt der engagierte Mitarbeiter seine Mails – und greift im Bedarfsfall auch gleich ein. Da lacht das Controller-Herz, wenn der Mitarbeiter ihm freiwillig statt der vertraglich vereinbarten 37,5 Stunden glatte 50 spendiert und allzeit bereit auf Firmenkalkulationen, Firmenpräsentationen und Kundendaten zugreift. Denn das Smartphone, das Netbook, der Tablet PC ist ja Gottseidank immmer dabei.

Der Personaler liest die Bewerbungsmails abends auf dem iPad, den Lebenslauf druckt er über einen Cloud-Service aus. Der Vertriebler greift der inzwischen viel lieber mit seinem iPhone auf die Kundendatenbank zugreift statt mit dem sauschweren Firmennotebook und nicht zuletzt führt der Geschäftsführer der seinen Golffreunden stolz sein cooles neues Android-Handy vor und ruft damit live Daten aus dem internen Warenwirtschaftssystem ab. Toll, super, was nicht alles geht! Man ist begeistert. Man ist beeindruckt.

Horrorszenario: Consumer-IT im Business-Umfeld

Es tut mir leid, diese tolle Entwicklung madig zu machen. Aber aus Security-Sicht der sind das Horror-Szenarien: Die smarten Kollegen mit ihren privaten Smartphones und Tablet – und noch mehr ihre Chefs -- sollten sich bewusst sein, dass ihr privates Spielzeug Consumer-Geräte mit Consumer-Betriebssystemen sind. Das heißt, es gibt kein "Enterprise Management", das dafür sorgt, dass man damit sicher und zuverlässig arbeiten kann. Das iPhone lässt sich im laufenden Betrieb knacken, auch der Passcode ist kein Schutz. Das zeigt das c't Magazin in Ausgabe 15/2011. Für Android Updates auch nur Security-Patches zu bekommen, ist ein kleines Kunststück: Die meisten Herstellern Hersteller interessiert das gar nicht. Das belegt auch die neuste Studie von Symantec die Iphone und Android ganz klar die Business-Tauglichkeit absprechen. Einzig der Blackberry, der von jeher auf den Unternehmenseinsatz ausgelegt ist, bietet entsprechende Lösungen. Aber der Blackberry ist ja auch total uncool, denn für den gibt es ja die ganzen tollen Apps nicht.

Und keine rechtliche Handhabe

Und was ist, wenn das private Smartphone, auf dem ja keiner Schutzmechanismen von Firmenseite installiert sind, geklaut wird? Na ja, man könnte die Daten aus der Ferne löschen – solange der Dieb die SIM-Karte nicht gleich herausnimmt. Aber tut man das, wenn das Handy "nur" zwei Stunden nicht auffindbar ist? Und darf der Arbeitgeber überhaupt das überhaupt einfordern oder gar anordnen. Darf er nicht, denn er darf ja nicht einmal private Mails vom Firmenserver löschen.

Android, iOS und Co sind verantwortlich für ein ganz ganz großes schwarzes Sicherheitsloch. Dessen sollten sich Firmenchefs bewusst sein, wenn sie ihre Admins drangsalieren, alle mobilen Devices "ins System" zu bekommen. Denn die sind einfach froh, dass sie es geschafft haben. Sie werden keine Zeit und Energie aufwenden, sich auch noch Gedanken um die Sicherheit zu machen und sich ihr Image als coole Jungs versauen.

Und von Arbeitnehmerseite sind auch ein, zwei kritische Gedanken erlaubt: Wer will schon bei einem Unternehmen arbeiten, dass ständige Verfügbarkeit voraussetzt? Wer will wirklich bei einem Unternehmen arbeiten, das so unsensibel mit den Daten umgeht – auch mit meinen? Und das damit womöglich hohe Schäden riskiert, die am Ende den eigenen Arbeitsplatz kosten.

Write error with twisted plugin cache

I'm just toying around with some Python program which uses twisted and twisted plug-ins. I hot errors since twisted wants to write a cache file into /usr/lib/python2.6/site-packages/, which a normal user is not allowed to do. Solution is simple, though:

I'm just toying around with some Python program which uses twisted and twisted plug-ins. I hot errors since twisted wants to write a cache file into /usr/lib/python2.6/site-packages/, which a normal user is not allowed to do. Solution is simple, though:

If twisted is not installed properly by you distribution, you will get errors like

exceptions.IOError: [Errno 13] Permission denied: '/usr/lib/python2.6/site-packages/twisted/plugins/dropin.cache.new'

In this case you need to (re-) build the twisted plugin cache by running as root:

python -c 'import twisted.plugin as P; list(P.getPlugins(P.IPlugin))'