Moin Moin, ich muss eine hochsichere Server Landschaft erstellen und will eine 2 Stufen Authentifizierung via VPN Clients nutzen. Ziel ist eine vollständige Verschlüsselung der Daten. Gibt es dafür Anbieter oder Dienstleister, die sowas umsetzen?
Definiere „hochsicher“. Und was soll eine „vollständige Verschlüsselung“ sein? Bedeutet „2 Stufen“ Multi-Faktor-Authentifizierung? Fragen über Fragen …
meinst Du Cloud-Anbieter (kenne keinen der Sicherheit so ernst nimmt) oder Leute die wissen was wie geht?
2-Stufen oder 2-Schritt entspricht so gar nicht den PCIDSS Vorgaben…
Wie kommt jetzt PCI-DSS ins Spiel? Um Zahlung ging es oben doch gar nicht.
Nein, aber bei Zahlungen wird Sicherheit etwas ernster genommen, und man kann sich daran orientieren - oder halt Sicherheitsfolklore wie die übliche Mehrschrittauthentifizierung machen.
Moin Moin, mein ich brauche eine fachlich umfassende Beratung. Mein Ziel ist es eine maximale Sicherheit über einen physischen Server zu schaffen an dem 50 Mitarbeiter hängen. Wer kann mich natürlich auf Honorarbasis auf den Pfad der Wissenden führen?
Du als Auftraggeber musst ein ausführliches Lastenheft erstellen. Dieses enthält die Anforderungen, Ziele und Rahmenbedingungen, ohne eine konkrete Umsetzung vorzugeben. Auf dessen Grundlage werden die Auftragnehmer ein Pflichtenheft erstellen, welches die technischen und funktionalen Details festlegt. Darin werden die Architektur, Schnittstellen und Umsetzungsstrategien festgelegt.
Mit den wenigen Sätzen, die du hier zum Besten gibst, kannst du auch nur wenige Sätze zu deiner Erleuchtung erwarten.
richtig, er kann nur Zuschriften mit Angeboten erwarten.
m.E. falsch. Alle diese Schritte können gemeinsam zusammen mit den Betroffenen gegangen werden. Sicherheit funktioniert dann am besten, wenn sie von den Beteiligten verstanden und gelebt wird.
Das eine schließt das andere ja nicht aus. Das Pflichtenheft sollte ohnehin mit dem Kunden abgestimmt werden. Damit ist die Angelegenheit dann auch sauber dokumentiert und sichert beide Parteien ab. In hochsicheren Umgebungen – wobei ich bezweifle, dass der OP eine Vorstellung davon hat, was professionelle Dienstleister darunter verstehen und was das letztlich überhaupt bedeutet – ist für Bastellösungen, bei denen man immer noch etwas draufsetzt, kein Platz. Gute Planung und Dokumentation sind das A und O, wofür sich solche Werkzeuge hervorragend eignen. Letztlich muss auch ein bei der Umsetzung unbeteiligter Dritter in der Lage sein, zu verstehen, was konfiguriert wurde, sollte er den Auftrag erhalten, das System um eine Komponente zu erweitern.
gibt es die? Wenn ich mir ansehe, was ich an Ausschreibungen wahrnehme, dann eher nicht. Ich nehme außerdem wahr, dass der Staat Daten des Bürgers für nicht sichernswert hält, während er je nach Kontext seine internen Daten als besonders schützenswert hält, insbesondere vor dem Zugriff und damit der Kontrolle des Bürgers.
Was verstehst Du denn unter professionell?
Was hat das jetzt damit zu tun?
Die Mängel bei Bund-ID, ePA, eRezept, aber auch Übergriffe bei Durchsuchungen - und das ist Inhalt dieser Diskussion - und Berichte über neugierige Polizisten deuten darauf hin, dass Staatsdiener Privatsphäre und Datenschutz nicht ernst nehmen. Professionelle Dienstleister müssten darauf hinweisen, dass die verbreitetsten „Schutzmaßnahmen“ wenig bringen weil sie diese Lücken nicht adressieren und es müsste entsprechende Nachfrage dazu geben - und die ist nicht wahrnehmbar.
Du könntest ja abstrakt beschreiben, was Du Dir unter professionell vorstellst. Geheimhaltung ist für mich unprofessionell.
Wenn dir diese Diskussion besser gefällt, warum antwortest du dann nicht dort?
Wer redet von Geheimhaltung? Vielleicht du, weil ich mich nicht auf eine Grundsatzdiskussion über ein von dir willkürlich gewähltes Schlagwort einlassen möchte? Schau im Duden nach, was es bedeutet, oder diskutiere mit ChatGPT darüber, die hat Zeit und Geduld.