Schlagwort-Archive: Risk Management

Schneller zur besseren Webseite mit einer Business Analyse

Für unseren größten Kunden die heco gmbh haben wir eine Business Analyse durchgeführt, um vor der anstehenden Neuentwicklung die richtigen Entscheidungen treffen zu können. Wie wichtig die Informationen über Markt, Mitbewerber, Anwender und Kunden sind und welche Schlussfolgerungen sich daraus ziehen lassen, zeige ich in diesem Video:

Während dies bei „normalen“ (im Sinne von offline bzw. intern) Software-Projekten schon eher Usus ist, kann man davon bei Web-Projekten  noch lange nicht sprechen. Meiner Erfahrung nach spielen hier Aussehen und „etwas auf die Leinwand bringen“ die erste Geige. Eine schier riesige Zahl an Feature-Wünschen, die man auf anderen Seiten gesehen hat, lässt die Stakeholder träumen.
 

Der Langsamste, der sein Ziel nicht aus den Augen verliert, geht noch immer geschwinder, als jener, der ohne Ziel umherirrt. – Lessing

 

Aus unserer Sicht ist es elementar sich die Zeit zu nehmen, um sich als Dienstleister in die Domäne des Kunden einzuarbeiten. Denn viele hoch priorisierte Wünsche sind eher nice-to-have Anforderungen. Oder schlimmer: Das „Warum“ ist gar nicht geklärt und das Produkt bzw. die Webseite wird am eigentlichen Zweck vorbei entwickelt. Da wird dann auch mal der Wunsch nach einem News-System laut, obwohl im Jahr nur 1-2 Neuigkeiten auf der Webseite eingepflegt werden sollen. Dabei wäre es unter Umständen geradezu eine Revolution in der Branche, würde man im Gegensatz zu den Mitbewerbern Echtzeitbestände und -preise auf der Webseite anbieten.

Um richtig priorisieren und die Technologie auswählen zu können, ist deshalb ein solides Know How der Domäne des Kunden notwendig, denn sonst verbaut man sich schnell Möglichkeiten, die dann teuer und langwierig umgebaut werden müssen. Setze ich beispielsweise auf SignalR, so kann ich jedem Besucher, der ein bestimmtes Produkt geöffnet hat, Änderungen am Bestand aktiv mitteilen. Auf der anderen Seite muss ich mir nicht unnötig Komplexität ins Projekt holen, wenn der Bestand von vor 2 Stunden völlig ausreichend ist. Oder wenn der Besucher gar nicht in der Lage ist bestimmt Funktionen zu bedienen (ja, das gibt es durchaus => kenne deine Anwender).

Viel Spaß mit dem Video, auch wenn es etwas lang wurde. Daran merkt man aber schon wie weitreichend das Thema ist. Schreibt mir in die Kommentare, ob ihr auch schon zu solchen Projekten gestoßen seid, bei denen das fehlende Domänenwissen zu Entwicklungsproblemen führte.

Advertisements

Bitlocker vs. TrueCrypt

Im Rahmen unseres Risk Managements beschäftigt uns natürlich auch das Verschlüsseln primär im mobilen Umfeld. Im Microsoft Umfeld gibt es lediglich zwei ernstzunehmende Tools, die es zu evaluieren gilt.

Zum jetzigen Zeitpunkt ist TrueCrypt 7.1a aktuell. Die Versionsnummer von Bitlocker aus Windows 8 ist mir nicht bekannt. Nach längerer Recherche habe ich keine aktuellen Artikel für einen Vergleich gefunden. Die folgenden Punkte geben mehr oder weniger aktuelle Informationen aus diversen Foren und Blogs wieder. Da ich Bitlocker selbst noch nicht verwendet habe und mich selbst nicht als TrueCrypt Experte bezeichnen würde, kann ich nicht für die Richtigkeit garantieren!

Geschwindigkeit:

Hier hat sich besonders in den letzten 2 Jahren etwas getan, da aktuelle Prozessoren bereits hardwareseitig AES implementieren, was laut vielen Berichten zu einem größeren Performance Schub führen soll. Unverständlicherweise habe ich in meinem recht aktuellen PCs und Laptops dies noch nicht. Ob eure CPU den Befehlssatz unterstützt, könnt ihr beispielsweise mit HWiNFO oder CPU-Z nachschauen. TrueCrypt selbst zeigt einem dies unter Settings – Performance an (siehe Screenshot).

image

Toms Hardware veröffentlichte im April 2010 einen Vergleich beider Systeme genau unter diesem Gesichtspunkt. Allerdings zweifle ich an dem Artikel, da TrueCrypt 6.3a zum Einsatz kam und die Unterstützung von Hardware-accelerated AES laut Versionshistorie erst in 7.0 Einzug hielt. Generell ist dort die Schlussfolgerung, dass heutzutage kaum Geschwindigkeitseinbußen seitens des Anwenders zu merken sind. Aus eigener Erfahrung kann ich aber sagen, dass zumindest das Arbeiten mit verschlüsselten Platten, auf denen sich nicht das Betriebssystem befindet, hervorragend funktioniert. Darüber hinaus ist es auch so, dass Sicherheitsaspekte stets den Vorrang haben sollten!

 

Sicherheit:

Hier gilt es vor allem einen Gesichtspunkt zu berücksichtigen: Inwieweit erkennt man proprietäre Software, in diesem Falle Bitlocker, als sicher an. TrueCrypt ist mehrfach durch Experten getestet und als sehr sicher bewertet worden. Im Netz finden sich mehrere Artikel, wie beide Systeme unter gewissen Umständen ggf. umgangen werden können. Speziell das Thema Hibernate Modus gilt es hier in die Überlegungen einfließen zu lassen (für Bitlocker siehe hier, für TrueCrypt siehe hier). Ob sich die eingebaute Hintertür in Bitlocker von Microsoft für Bundesbehörden tatsächlich nutzen lässt und ob dies sonderlich relevant ist, muss jeder für sich selbst entscheiden. Nichtdestotrotz bietet TrueCrypt mehrere Kryptographieverfahren, längere Schlüssel und die Möglichkeit Partitionen zu verstecken an. In diesem Punkt gebe ich TrueCrypt den Vorzug.

 

Verfügbarkeit:

Diese Disziplin gewinnt ganz klar TrueCrypt: Es ist ab Windows XP aufwärts geeignet, es ist kostenfrei und – für diejenigen, die es brauchen – auch für anderen Plattformen erhältlich. Bitlocker hingegen kommt erst mit Vista und ist bis zu Windows 7 nur in den teuren Ultimate und Enterprise Versionen enthalten. Ab Windows 8 ist es dann auch in der Pro Edition (auf Grund der Tatsache, dass Ultimate wegfällt). Ein weiterer Nachteil von Bitlocker ist, dass es nur in Zusammenhang mit einem TPM Modul (ebenfalls nicht auf meinen Systemen verbaut!) funktioniert. Ganz stimmt das nicht, denn eine entsprechende Gruppenrichtlinie macht es auch mit einem USB Stick und entsprechender Hardware möglich (siehe hier und hier). Eine reine Passwort-Authentifizierung ist nicht möglich! Allerdings kann dies eventuell Sicherheitsvorteile bringen.

 

Komfort:

Bei diesem Kriterium gibt es keinen klaren Sieger. Bitlocker lässt sich natürlich über die Gruppenrichtlinien verwalten, was ein großer Vorteil ist. Man kann zudem bereits vor der Installation die Verschlüsselung aktivieren. Da TrueCrypt aber eine Systemver- und -entschlüsselung anbietet, ist der Vorsprung reine Makulatur. TrueCrypt hingegen bietet neben einer vollständigen Disk-Verschlüsselung auch Partitions- und Container-Encryption an. Während eine rein passwortbasierte Entschlüsselung für mich ein must-have darstellt, sind Features wie das Auto-Dismounten (z.B. bei Hibernate und Sleep-Mode, Benutzerabmeldung, etc.) einfach nice-to-heave! Die Dokumentation ist auf beiden Seiten sehr gut.

 

Sonstiges:

Bezüglich SSDs gibt es auch einige Artikel im Netz, die auf etwaige Angriffsszenarien hinweisen. Hier sollte man sich vorher schlau machen. Die Verschlüsselung soll angeblich nicht sonderlich die Lebensdauert beeinflussen, aber auch in diesem Fall gibt es teilweise widersprüchliche Informationen (siehe hier).

Außerdem weiße ich noch darauf hin, dass bei TrueCrypt ein sehr starkes Passwort gewählt werden sollte!

 

Zusammenfassung:

Vor allem die Verfügbarkeit ist nahezu ein Knockout Kriterium. Mit diesem Argument allein ist unsere Entscheidung gefallen. Da sich Bitlocker in keiner Disziplin klar durchsetzen konnte und ich das Entschlüsseln rein passwortbasiert erreichen können will, wird in Zukunft TrueCrypt in unserem Betrieb eingesetzt.

Sollte ich falsche Informationen wiedergegeben haben oder sollte etwas Wichtiges fehlen, so kommentiert doch bitte den Beitrag oder schickt mir eine Nachricht über die üblichen Kanäle.

%d Bloggern gefällt das: