Willkommen im mailbox User Forum
 
Neues Thema
mailbox User ForumThemaIdeeAllgemeines
Eigenschaften
Kategorie Allgemeines
Tags zugriff, security, checkpoint

on prem checkpoint

Peter Nathschläger hat dies geteilt, 55 Tage her
vorgeschlagen

Liebe Leute!

Ich arbeite im Bundesrechenzentrum Österreich und kann, wenn ich mit dem Firmenlaptop über VPN verbunden bin (Cisco Secure VPN) nicht auf mailbox.org zugreifen. Also um genau zu sein: Sobald ich das Login absetze, dreht sich der Kreisel auf der weißen Oberfläche und man kann zusehen, wie in der Adresszeile die URLs geändert werden. Laut Netzwerktechnik und CERT liegt das daran, dass mailbox.org durch unseren externen Anbieter (Checkpoint) als Severity Critical eingestuft wurde, und zwar wegen CommandInjection over http. Ich füge einen Screenshot bei, den mir der Kollege geschickt hat. Vielleicht möchtet Ihr bei Checkpoint nachfassen, warum Ihr da gelistet seid?

Lieben Gruß aus Wien!
Peter

PS: Ich habe ein dementsprechendes Ticket bei mailbox.org aufgemacht, denke aber, dass der beschriebene Umstand für andere Leute auch interessant sein könnte, die in das Problem laufen, aus dem Unternehmensnetzwerk auf mailbox.org zugreifen zu wollen und nicht zu können, weil die on prem installation einer Checkpoint Lösung durch den Hersteller upgedated wird und durchaus false positives beinhalten kann.


1cd496e22973f9c9dd74b6ca1b6447e7

2 Ich finde diese Idee klasse 0  

Antworten (4)

Foto
1
Stephan 55 Tage her

Wäre hier nicht auch ein entsprechendes Ticket bei Checkpoint sinnvoll? Schließlich sind die es, die den (vermutlichen) false positive produzieren.

Antworten
Foto
1
Peter Nathschläger 55 Tage her

Den Gedanken hatte ich auch schon, glaube aber, dass dies eine Sache zwischen den beiden Anbietern ist und keine Sache, die sich der Endkunde umbinden muss.

lg/Peter

Foto
1
Stephan 55 Tage her

Aus meiner Sicht ist das eine Sache der Verantwortlichkeit: Die Verantwortung bei einem false positive liegt bei dem, der sie erzeugt. Man kann von Mailbox ja nicht erwarten, dass sie sich jetzt mit allen Anbietern auseinandersetzen, die ihre Regeln nicht im Griff haben.

Eine ähnliche Diskussion hatte ich letztens mit einem Bekannten, der seinem ISP eine schlechte Bewertung reingedrückt hat, weil ein externer Dienstleister dessen IPs als außerhalb Deutschlands klassifiziert hat. Auch hier sehe ich die Verantwortung beim Dienstleister und nicht beim ISP, denn letzterer kann da ja mal gar nichts für.

Foto
1
Peter Nathschläger 55 Tage her

Sehe ich ähnlich. Die Sache ist nur die: Das false positive wird von Checkpoint produziert und in einer Datenbank als Severity critical an alle Anbieter ausgerollt, die Checkpoint Firewalls betreiben. Checkpoint ist es, gelinde gesagt, scheißegal, ob sich in ihren DBs false positives befinden oder nicht und die tun von sich selbst aus nichts, um das zu kuratieren.

Als Endkunde sitze ich dann da und hab nicht mal die Möglichkeit, mich direkt an Checkpoint zu wenden, weil es da keine Supportschnittstelle zu geben scheint. Mailbox.org scheint nicht in der Pflicht zu sein, tätig zu werden - also ist die Konsequenz daraus die, dass die Dienstleistungen von Mailbox.org für alle nicht verfügbar sind, deren Zugriff aufgrund von false positives blockiert wird. Ist das wirklich so?

Foto
1
Stephan 55 Tage her

Wenn Du als Endkunde keine Schnittstelle hast, kannst Du ja wirklich nichts anderes tun und hoffen, dass Mailbox einen Kontakt herstellen kann.

Trotzdem wäre das eine gute Gelegenheit, auf die Entscheider zuzugehen und den Einsatz einer solchen Software in Frage zu stellen. 😁

Foto
1
Peter Nathschläger 55 Tage her

> Trotzdem wäre das eine gute Gelegenheit, auf die Entscheider zuzugehen und den Einsatz einer solchen Software in Frage zu stellen.


Ich halte meinen Einfluss diesbezüglich im Unternehmen für nicht wahrnehmbar :-)

Foto
2
Frogger 55 Tage her

Das wird dann leider so sein. Sicher könnte mailbox.org da etwas tun, aber mal ehrlich: Da kann man sich auch dranhalten. Es gibt hunderte solcher dubiosen Schlangenöl-Anbieter, die sich an Unternehmen festsaugen mit dem Versprechen, für Sicherheit zu sorgen. Als Nutzer würde ich mir da überlegen, ob ich über einen solchen Anbieter oder meinen Arbeitgeber überhaupt auf private Daten zugreifen möchte, in dem Wissen, dass vermutlich alles überwacht und ausgewertet wird.

Foto
3
Peter Nathschläger 54 Tage her

Der Ansicht kann ich mich so nicht anschließen. Aus folgenden Gründen:

  • Checkpoint ist groß, ein global Player in der IT-Security. 8300 Firmenkunden weltweit, mit durchschnittlich 1000 - 5000 Angestellten. Das ist zu groß, um als Schlangenölanbieter bezeichnet zu werden
  • Das Bundesrechenzentrum hat ein ausgeklügeltes IT-Security Setup und es wäre vermessen, das BRZ als Unternehmen framen zu wollen, das auf Schlangenölanbieter reinfällt.
  • Was das Unternehmen mitloggt, liest und angreift, ist in Verträgen und Betriebsvereinbarungen festgehalten, die ich kenne, weil ich für das Logging- und Capacity Prozess Management verantwortlich bin. Bezüglich Datenschutz der Mitarbeiter vertraue ich meinem Arbeitgeber zu 100%.
  • Bei der Größe von Checkpoint und seinem Einfluss in der IT-Branche, und bei der fehlenden Kommunikationsschnittstellen für private Kunden scheint mir doch die Verantwortung bei mailbox.org zu liegen, sich aus der Liste herauszureklamieren. Immerhin ist das auch ein Reputationsschaden.

Lieben Gruß!
Peter

Foto
Foto
2
Adolf Schwarz 51 Tage her

Naja, ist ja auch in der real world so. Wenn jemand Falschinformationen über Dich verbreitet bist du zwar nicht Schuld daran, aber Du bist trotzdem derjenige der dagegen vorgehen muss.

In einer ähnlichen Situation ist jetzt auch mailbox. Und ja, wenn viele Menschen Schlangenölanbieter verwenden muss man sich halt drum kümmern bei diesen Schlangenölanbietern nicht gelistet zu sein.

Fast kein Kunde wird differenzieren und sagen "mailbox geht nicht, aber da können die ja gar nichts dafür". Die meisten werden sagen "Mailbox geht nicht ordentlich, ich nehme einen anderen Anbeiter und erzähle allen meinen Freunden meine schlechte Erfahrung".

Deshalb wäre die richtige Reaktion von mailbox.org so etwas wie: "Vielen Dank für den Hinweis, wir werden dem nachgehen. Vielleicht ist es ein false positive, vielleicht ist es tatsächlich ein Sicherheitsproblem. Und weil du mitgeholfen hast unseren Dienst zu verbessern, schreiben wir dir 2 Monate Nutzungsgebühr gut."

Antworten
Foto
1
Peter Nathschläger 50 Tage her

Mich verblüfft ein wenig die diskreditierende Bezeichnung "Schlangenölanbieter". Denn das meint auch mit, dass Unternehmen, die Dienstleistungen wie die von Checkpoint in Anspruch nehmen, im Grunde genommen unbedarft sind und sich über den Tisch ziehen lassen - so wie eben früher die Leute, die auf Jahrmärkten von Rosstäuschern und Wechselgeldbetrügern und Schlangenölanbietern geneppt wurden.


Etwas anderes: Das Ticket ist nun seit 5 Tagen offen ohne eine Reaktion von mailbox.


Lieben Gruß aus Wien!
Peter

Foto
1
Stephan 50 Tage her

Der Begriff "Schlangenöl" mag polemisch sein, aber die Erfahrung zeigt eben, dass solche Produkte nicht gekauft werden, weil sich die Entscheider von den technischen Details überzeugt haben. Vielmehr geht es darum, einen Haken auf irgendeiner Compliance-Checkliste zu setzen im Sinne von "Aber wir haben doch alles getan, die Verantwortung liegt nicht bei uns".

Im Endeffekt erzeugt man aber nur Mehraufwand bei diversen Parteien, ohne wirklich etwas für die Sicherheit getan zu haben.

Foto
1
Adolf Schwarz 50 Tage her

Ja, ich hab nur den Begriff weitergesponnen. Ich kann nicht beurteilen ob Checkpoint seriös sind oder nicht.

Aber Fakt ist: Diese Dienstleister sind nun mal da und werden verwendet, also muss man sich als Mailbereiber darum kümmern wenn man bei solchen Dienstleistern auf der Blacklist landet. Egal ob Checkpoint seriös arbeitet oder nicht.

Foto
1
Frogger 47 Tage her

Ich muss bei sowas auch gleich wieder an Crowdstrike denken. Der Absturz hat weltweit mehr Schäden verursacht, als es ein einzelner Angreifer je gekonnt hätte. In den meisten Fällen sind solche zusätzlichen Sicherheitslösungen einfach völlig überflüssig und machen mehr Ärger als sie wert sind. So seh ich das halt. Dass das dein Problem nicht löst, ist mir schon klar.

Foto
Foto
1
Peter Nathschläger 49 Tage her

Guten Abend!

Mittlerweile ist das Ticket seit 6 Tagen offen, ohne zur Bearbeitung übernommen worden zu sein.

mfg/Peter

Antworten
Foto
3
Stephan 49 Tage her

Ich würde mal tippen, dass durch den Relaunch die Anzahl der Support-Anfragen durch die Decke geht, aber das Team eben nicht so einfach mit skalieren kann. Auch ein Ticket von mir liegt seit einer Woche ohne Rückmeldung. War aber nichts dringendes, insofern ist das okay für mich.

Foto
1
Frogger 47 Tage her

Bislang hat der Support immer recht schnell geantwortet, wenn auch nicht immer so kompetent wie erwartet. Dass es derzeit anders ist, hängt wahrscheinlich mit den ganzen Umstellungen zusammen, die einen Haufen Bugs und Anfragen nach sich ziehen.

Foto
3
mailbox Support 47 Tage her

Hallo,

ja, wir haben dieses Jahr bisher ein doppelt so hohes Ticketaufkommen wie in den Jahren davor verzeichnet. Durch den Relaunch hat sich das Volumen nochmals etwas mehr als verdoppelt. D.h. wir haben mit dem vierfachen Volumen im Gegensatz zum Vorjahr zu tun. Wir haben einige neue Unterstützer im Support-Team, aber dennoch dauert es derzeit leider einfach ein bisschen länger als sonst, bis alle Tickets beantwortet sind. Wir bitten Sie daher um ein wenig Geduld.

Mit herzlichen Grüßen
Ihr mailbox-Team


---

Ein paar nützliche Links:

b14dfb2e9d1721af60502acf8ae78994

Foto
Foto
2
einuser 49 Tage her

Zumindest früher war es so, dass der Support die Tickets priorisiert hat. So wurde z.B. bei einem vergessenen Passwort innerhalb von Stunden geholfen, während man auf eine Antwort auf z.B. ein Feature Request schon mal ein paar Wochen warten musste. Je nachdem wie viele Fehler Checkpoint verursacht bzw. wie viele Beschwerden hier anlanden und wie mailbox.org das subjektiv einschätzt, könnte die Priorität etwas nach hinten wandern, weil das Problem außerhalb des Einflussbereichs von mailbox.org liegt und daher erstmal nicht behoben werden kann. Nicht zuletzt können Tickets auch mal in Einzelfällen im Nirvana verschwinden. Nach einer Woche wäre eine höfliche Nachfrage im Support-Ticketsystem sicherlich möglich. Das hier ist ein Userforum wo der Support nur gelegentlich mit liest.

Was ich nicht so ganz verstehe ist die Beschreibung von Checkpoint als große Firma als Beweis für Qualität. Nur weil eine Firma groß ist oder weil das Produkt jeder verwendet, muss das Produkt nicht gut sein .... Outlook und gmail dürften die meisten hier nicht so toll finden, obwohl es kaum größere global-player gibt ..... trotzdem scheint für viele hier mailbox.org als kleine inhabergeführte Firma besser zu sein. Hier im Bereich open-source dürften einige Vorbehalte gegenüber solchen riesigen Firmen oder Sicherheitslösungen bestehen. Und auch oder vielleicht gerade eine Behörde muss nicht zwingend kompetent sein, da die Verantwortlichen in Behörden eher wenig zu befürchten haben, wenn mal was falsch läuft. Und meine Privatsphäre halte ich dort auch möglichst raus. Bezüglich der Überwachung und den Logs, da gibt oft eine Papierversion, die in der technischen Realität etwas anders aussieht. In wie vielen Firmen und bei wie vielen behördlichen Stellen gab es schon Überwachungsskandale, die natürlich nicht in Betriebsvereinbarungen oder ähnlichem stehen. Ich persönlich logge mich bei der Arbeit in privaten Accounts so selten wie möglich ein, und ausschließlich bei solchen Accounts, welche eine 2FA haben. So kann zwar mitgelesen werden, aber der Account nur schwer missbraucht werden.

Antworten
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen