Virenscanner und Anhänge
Es heißt ja immer so schön, dass Sicherheit das Abwägen von Einfachheit in der Benutzung durch die Anwender, und der störungsfreie Betrieb der Systeme ist. Alles, was die Sicherheit erhöht neigt dazu, das Anwenderleben zu verkomplizieren.
So hat gerade der Mailserver bei mir in der Firma zugeschlagen. Ich wollte mir von einem unserer Systeme ein Archiv zuschicken lassen. Die Mail bekam ich, aber mit dem Hinweis, dass der Anhang wegen unzulässiger ausführbarer Dateien entfernt worden wäre.
Sowas ist ärgerlich.
Viel ärgerlicher fand ich es aber, dass in derselben Mail der Satz stand, man möge Anhänge doch verschlüsseln, wenn man sie benötige. Dann müsse man aber auch die - sowieso obligatorische - manuelle Virenprüfung durchführen.
Für mich macht das keinen Sinn.
Natürlich benötige ich einen Anhang, wenn ich mir einen zusende, also werde ich in Zukunft immer verschlüsseln. Das bedeutet aber, dass ich, um den Anhang zu verwenden, einen Schritt extra einlegen muß.
Und jetzt kommt der Haken: Diese Unterbrechung reicht aus, um garnicht mehr auf die Idee zu kommen, den Virenscanner anzuwerfen, Verantwortung hin oder her. Das normales Anwenderverhalten: Wir alle wollen wohl unsere Computer dafür benutzen unsere Arbeit zu tun. Dabei für irgendwelche Prozesse, die der Computer jetzt benötigt, unterbrochen zu werden, steht nicht in unserem Interesse.
Vor allem, wenn der Virenscanner eh heiß diskutiert ist, bzw. im täglichen Einsatz einfach schlecht ist.
Der Sicherheitsanspruch hier geht nach hinten los. Für die implementierende Abeilung wäre es besser gewesen, den Anhang nach Viren zu durchsuchen und ihn dann weiter zu schicken, anstatt ihn zu entfernen und dann lapidar auf die Verwendung von Verschlüsselung hinzuweisen.
BTW: Es war ein .tgz das Source Code sowie das ein oder andere UltraSPARC Binary enthielt. Den Virus möchte ich sehen...
So hat gerade der Mailserver bei mir in der Firma zugeschlagen. Ich wollte mir von einem unserer Systeme ein Archiv zuschicken lassen. Die Mail bekam ich, aber mit dem Hinweis, dass der Anhang wegen unzulässiger ausführbarer Dateien entfernt worden wäre.
Sowas ist ärgerlich.
Viel ärgerlicher fand ich es aber, dass in derselben Mail der Satz stand, man möge Anhänge doch verschlüsseln, wenn man sie benötige. Dann müsse man aber auch die - sowieso obligatorische - manuelle Virenprüfung durchführen.
Für mich macht das keinen Sinn.
Natürlich benötige ich einen Anhang, wenn ich mir einen zusende, also werde ich in Zukunft immer verschlüsseln. Das bedeutet aber, dass ich, um den Anhang zu verwenden, einen Schritt extra einlegen muß.
Und jetzt kommt der Haken: Diese Unterbrechung reicht aus, um garnicht mehr auf die Idee zu kommen, den Virenscanner anzuwerfen, Verantwortung hin oder her. Das normales Anwenderverhalten: Wir alle wollen wohl unsere Computer dafür benutzen unsere Arbeit zu tun. Dabei für irgendwelche Prozesse, die der Computer jetzt benötigt, unterbrochen zu werden, steht nicht in unserem Interesse.
Vor allem, wenn der Virenscanner eh heiß diskutiert ist, bzw. im täglichen Einsatz einfach schlecht ist.
Der Sicherheitsanspruch hier geht nach hinten los. Für die implementierende Abeilung wäre es besser gewesen, den Anhang nach Viren zu durchsuchen und ihn dann weiter zu schicken, anstatt ihn zu entfernen und dann lapidar auf die Verwendung von Verschlüsselung hinzuweisen.
BTW: Es war ein .tgz das Source Code sowie das ein oder andere UltraSPARC Binary enthielt. Den Virus möchte ich sehen...
cptsalek - 8. Nov, 09:37
Trackback URL:
https://cptsalek.twoday.net/stories/5307854/modTrackback