bexter123
Goto Top

Wie schütze ich Daten vor physikalischem Zugriff?

Gibt es eine verständliche Anleitung, wie ich Daten zu 99% schützen kann, wenn ein Angreifer in den Besitz der Festplatte kommt?
Ich gehe jetzt von einer frisch formatierten Festplatte aus.
Was ist wichtig? in welcher Reihenfolge zu befolgen?
Hab leider nicht viel Ahnung der Benutzerhirachie von Windows, war bis jetzt immer mit Admin eingeloggt ohne Passwort, also ziemlich gefährlich, dass soll sich jetzt ändern!!!
z.B. Biospasswort vergeben,... Windows installieren, Adminkonto mit Passwort mit xxx Zeichen anlegen,...(wie viele gelten als sicher?) Was soll noch gesperrt werden? Abgesicherter Modus? Wie geht das? CMD.exe wie geht das? Kann ein XP Adminkonto gehackt werden? Was muss ich alles sperren um das nicht zu ermöglichen. Was darf in normalo Benutzerkonnten auf keinen Fall aktiviert sein?
Wie siehts aus wenn nicht gebootet wird, sondern die Daten auf Harwareebene ausgelesen und Analysiert werden? Dateisystemverschlüsselung? Sicher??
Wie siehts aus mit gelöschten Daten und Recovery(Forensik) Tools? Können die von einem anderen Benutzerkonto aus wieder sichtbar gemacht werden? Kann man das kopieren der Platte mit Writeblockern (Hard/soft) verhindern?
Sollte man EFS verwenden?
Ich weiss, das das unmöglich ist einfach zu erklären, aber vielleicht können ja Links reingestellt werden, wo das alles nachzulesen ist?
Bin mir sicher das es einige Leute gibt, die nicht wollen, das Ihre Daten bei Diebstahl z.B. in falsche Hände kommen!
LG Euer Bexter

Content-Key: 53383

Url: https://administrator.de/contentid/53383

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: crimson1968
crimson1968 07.03.2007 um 07:22:52 Uhr
Goto Top
Hi,

wir setzen für Laptops (die schonmal unterwegs vergessen werden) "Safeguard Easy" ein, das verschlüsselt gleich die ganze Platte.
Siehe hier: http://www.utimaco.de/C12570CF0030C00A/vwContentByKey/W26K9K5M068OBELDE

Ansonsten gibt es diverse Software (z.B. Steganos Safe, etc.), die Dir einen mehr oder weniger sicheren Container auf der Platte anlegen in den Du schützneswerte Daten legst, ohne das ganze OS zu verschlüsseln.
Meines Erachtens nach ist es nicht immer sinnvoll, alle Daten zu verschlüsseln. aber das o.g. "Easy Safe" ist halt der "große Hammer", wenn es um Sicherheit geht, alles Andere erfordert ein gewisses "Mitdenken" der User.


Gruß,
crimson1968
Mitglied: ratzla
ratzla 07.03.2007 um 08:04:49 Uhr
Goto Top
EFS ist schön und recht. Du hast aber dann verloren wenn die Platte in ein neues System eingebaut wird. Einen physikalischen Schutz bietet diese Methode also nicht wirklich.

Bitlocker sieht da vielversprechender aus, ist aber noch zu neu.

Die derzeit wohl beste Methode ist wohl die Verschlüsselung mit Hilfe eines Dongles (Alladin, Wibu oder auch andere) oder einer Smartcard zu machen.
Alle anderen mir derzeit bekannten Methoden sind mehr oder weniger kritisch zu betrachten. Das beste ist noch die kritischen Daten auf den Servern zu belassen und diesen sauber wegzusperren.

Noch etwas das häufig vergessen wird: Ist erstmal etwas verschlüsselt kommst du auch meist selbst nicht mehr an die Daten ran, sollte der Dongle kaputtgehen oder das Passwort vergessen worden sein.
Mitglied: 44778
44778 07.03.2007 um 08:14:49 Uhr
Goto Top
Moin Moin,


Zum Anfang mal gleich zwei mal Lob von mir face-smile
1. Das Du Wert auf Sicherheit legst und schonmal Gedanken darüber gemacht hast, dass ein Admin-Zugang ohne Passwort nicht optimal ist , und
2. dass Du schon erkannt hast, dass Du nur 99% Sicherheit erreichen kannst face-smile

Es gibt ganz verschiedene Möglichkeiten, wie aufwändig (und teuer) dass alles werden soll, hängt natürlich davon ab, wie hoch Dein Sicherheitsbedürfnis ist.

Ganz allgemein kann ich mal folgende Tipps zur Absicherung geben (nicht vollständig, einfach mal ein paar Ideen aufgeschrieben):

- Eine Pre-Boot-Authenthisierung und Verschlüsselung der Festplatte mit SafeGuard Easy von Utimaco ist bestimmt schon mal ein sehr guter Anfang. Das Programm ist vom BSI getestet und wird weltweit von vielen Ministerien, Armeen und Firmen eingesetzt, Wir haben es hier auch auf den Notebooks.

- Ansonsten sollte die Bootreihenfolge im BIOS auf "C: only" oder etwas in der Art stehen, also nur das Booten von der ersten Festplatte zulassen: Wer über Diskette/CD/USB/Netzwerk den Rechner booten kann hat Zugriff auf das Betriebssystem und das Dateisystem (das ja aber verschlüsselt ist?). Tool zum Knacken oder Überschreiben von Administrator- und User-Passwörtern gibt es genügend - und die arbeiten alle sehr gut.

- Passwörter sollten grundsätzlich in keinem Wörterbuch auftauchen. Die Passwörter (unter Windows) sollten aus Zahlen, kleinen und großen Buchstaben uind Sonderzeichen bestehen. Achte bei den Sonderzeichen darauf, dass Du sie evtl. auch mit einem anderen Tastaturtreiber wiederfindest, also vielleicht nicht unbedingt das Ö nehmen oder ein ø, sondern "§$ usw. Da unter Win2k (ich denke auch unter neueren Versionen) die Passwörter in 7-Zeichen-Blöcken verschlüsselt werden sollte das Minimum bei 7 Zeichen liegen. "Viel hilft viel" face-smile

- Das EFS unter NTFS ist ganz nett, aber um sicheren Schutz der Dateien zu gewährleisten nur bedingt tauglich. Es gibt zB für den Administrator die Möglichkeit verschlüsselte Dateien wieder herzustellen. Das Zertifikat dafür müsste dann also extern ausgelagert werden.

- Ein sehr gutes OpenSource-Tool ist TrueCrypt (www.truecrypt.org) das legt verschlüsselte Container an. nach allem was man im Internet lesen kann arbeitet das Tool sehr gut und sicher.

Ich weiß ja nicht was Du vorhast, aber Solche Security-Suites wie die von Steganos bieten auch eine Menge Tools für die Sicherheit, wie z. B. für das sicher Löschen von Dateien.


Hoffe ich habe schonmal ein wenig geholfen, es gibt noch viel mehr, was alles bedacht werden muss, aber das sind schonmal ein paar grundlegende Dinge, die die Sicherheit massgeblich erhöhen.


Gruß
Erik
Mitglied: Logan000
Logan000 07.03.2007 um 08:21:47 Uhr
Goto Top
Es ist zwar absolut sinnvoll nicht als Admin zu arbeiten aber bei physikalischen Verlust des Rechners bzw. der Festplatte sind Maßnahmen wie cmd.exe unterbinden oder den Abgesicherten modus zu verhindern (Wie?) wirkungslos. Gegen onlinzugriff ist ein "nicht Admin" Account der richtige weg.
Mitglied: bexter123
bexter123 07.03.2007 um 13:49:57 Uhr
Goto Top
Hi @ all!
Also erstmal danke für die vielen guten Tips. Das mit der Zeichefolge für Passwörter ist super! Danke. Vor allem das mit den Sonderzeichen! Wie oft hab ich schon die ganze Tastatur durchprobiert, weil nur mehr die englische Tastatur geladen war! face-smile
Dann werd ich mir auf jeden Fall mal alle angesprochenen Verschlüsselungstools ansehen, die angesprochen wurden, wobei sich natürlich die Frage stellt, ob das bei Windows sicher ist, da dies ja gerne als Index-Betriebssystem doch oft versteckte Kopien von Dateien irgendwo anlegt, und die könnten ja dann auch ausgelesen weren wenn sie nicht im Verschlüsselten Bereich liegen. Preboot-Authentification hört sich auch schon mal gut an! face-smile
Das eine Verschlüsselungsfunktion(EFS) von Microsoft nicht wirklich sicher ist,... irgendwie sagt einem das ja der klare Menschenverstend, wie heb keinen Lolly vom Boden auf und steck Ihn in den Mund *gg*
Wäre es vielleicht eine Alternative für sensible Daten nur Linux zu verwenden, wobei ich glaube das dieses ja hauptsächlich bei Sicherheit übers Internet überlegen ist.
Wie funktioniert das mit der Smartcard?
Das wars glaub ich. LG Bexter123
Mitglied: filippg
filippg 07.03.2007 um 13:53:28 Uhr
Goto Top
Hallo,

vor physikalischem Zugriff schützt du deine Daten, in dem du den Rechner in einen abgeschlossenen, bewachten Raum stellst. Soweit also zu der Frage aus deinem Titel.

Ansonsten solltest du jetzt nicht lustig drauflos mit Verschlüsselungen und Sperren anfangen, sondern erstmal genau überlegen, was alles nötig ist.
Eine Firewall sollte dazu gehören, ebenso die Arbeit mit einem Konto ohne Adminrechte, klar.
EFS (die Windowseigene Verschlüsselung) ist auch kein falscher Schritt. Christian meint dazu "EFS ist schön und recht. Du hast aber dann verloren wenn die Platte in ein neues System eingebaut wird. Einen physikalischen Schutz bietet diese Methode also nicht wirklich." Mit letzterm hat er völlig recht, dadurch kommt nämlich kein zusätzliches Schloss in deine Zimmertür. Mit dem vorletzten nicht: Die Daten sind weg, wenn du dein System neu aufsetzt - aber nur, wenn du vorher nicht dein Zertifikat sicherst. Mit dem kann man die Daten auch auf einem anderen (win) Rechner wiederherstellen. Generell gilt: Für jede Verschlüsselung solltest du auch deine Keys sichern (sichern im Sinne von Backup)! Daneben ist EFS aber gerade bei der Datensicherung etwas unhandlich: einmal auf einen Datenträger gesichert, der kein NTFS hat (CDs z.B.), schon ist die Verschlüsselung weg, und jeder kann dein Backup lesen.
Was sich m.E. für Endanwender ganz gut eignet ist ein Programm wie TrueCrypt. Das erzeugt auf deinem Rechner ein neues Laufwerk, das dann verschlüsselt ist. Der Zugriff erfolgt transparent (d.h. nach einmaliger Eingabe des Passworts kann jedes Programm die Daten so nutzen, als würden sie auf einem ganz normalen Laufwerk liegen). Die Sicherung ist auch ganz einfach: die Daten liegen alle in einer Datei, die man einfach auf Backups bringen kann. Damit kriegt man schonmal die wichtigen Daten gesichert.
Dann kann man noch für sein Homeverzeichnis EFS aktivieren. Das empfiehlt sich auch für die Ordner, in denen dein eMail-Programm seine Dateien ablegt.
Die Programmverzeichnisse etc zu verschlüsseln ist im Allgemeinen ja nicht nötig, da stehen selten relevante Informationen, ausserdem führt das zu Performanceverlust und bei Bedienfehlern auch schnell zu einem unbrauchbaren System.

Filipp
Mitglied: bexter123
bexter123 07.03.2007 um 14:07:08 Uhr
Goto Top
Also erstmal Lob ans Forum! Mein erster Post hier, und da fliegen einem schon wirlich kompetente Tips um die Ohren... Positiv überrascht.
Das System mit dem wegsperren im Safe stösst meiner meinung nach an die Grenze, wenn Behörden mit einem netten Durchsuchungsbefehl vor der Tür stehen. Natürlich müssten die das Ding auch erst aufkriegen, aber wie heisst es DUDU macht das schon.
Es geht ja nicht nur um Pers. Daten, ich hab schon auch Geschäftsinformationen, die niemand sehen soll ausser mir.
Das mit der eigenens verschlüsselten Partition klingt auch sehr gut.
Das muss ich erstmal alles Verdauen, scheint ja ein umfangreiches Gebiet zu sein,...
LG
Mitglied: filippg
filippg 07.03.2007 um 14:33:45 Uhr
Goto Top
Hallo,

ich bin mir gerade nicht ganz sicher, wie die Gesetzeslage aussieht. Aber u.U. kannst du, genauso wie zum Öffnen des Safes, auch zur Herausgabe deiner Passwörter gezwungen werden. (Da bietet TrueCrypt überigens auch Abhilfe: man kann in einem verschlüsseltem Laufwerk ein weiteres, verstecktes anlegen, dessen Existenz tatsächlich nicht nachweisbar ist - aber das nur am Rande.)

Filipp
Mitglied: 44778
44778 07.03.2007 um 19:49:17 Uhr
Goto Top
So weit ist es in Deutschland noch nicht gekommen. Per Gesetzt kann keiner dazu gezwungen werden eine Verschlüsselung zu öffnen, sprich das Passwort rauszugeben. - Auch wenn das so mancher Politiker gerne hätte...

Aber wie gesagt: TrueCrypt kann mit sog. "Hidden Drives" auch dagegen helfen.


Gruß
Erik
Mitglied: 44778
44778 07.03.2007 um 19:54:46 Uhr
Goto Top
Die Sicherung ist auch ganz einfach: die
Daten liegen alle in einer Datei, die man
einfach auf Backups bringen kann. Damit
kriegt man schonmal die wichtigen Daten
gesichert.

Stimmt die Sicherung sollte nicht vergessen werden und das ist mit EFS eindeutig ein Problem.


Die Programmverzeichnisse etc zu
verschlüsseln ist im Allgemeinen ja
nicht nötig, da stehen selten relevante
Informationen, ausserdem führt das zu
Performanceverlust und bei Bedienfehlern auch
schnell zu einem unbrauchbaren System.

Das ist klar, aber da muss man halt abwägen, was einem wichtiger ist: Ein Mehr an Sicherheit ist immer mit einem Performanceverlust oder mit einer gewissen Umständlichkeit verbunden.

Wenn die Sicherheit der Daten dies rechtfertigen, dann los, sonst andere Lösung suchen.


Gruß
Erik
Mitglied: bexter123
bexter123 07.03.2007 um 20:45:11 Uhr
Goto Top
Also hab grad mal ein bischen bei Wiki über TrueCrypt gelesen, und gesehen das es Open Source ist. Genau das richtige, ich glaub das saug ich mir mal.---
AES gilt doch als sicher oder? zumindest ab 256 Bit.
PayTV kanäle werden doch auch AES verschlüsselt oder?