11
Sicherungskonzept für Laptops
Hallo,
ich brauche unterstüzung, wir haben 15 Entwickler und Projekmanager die alle IBM ThinkPads nutzen angefangen von R50 bis R61 Laptops, unsere Entwickler/Projektmanager sind auch viel unterwegs auf Inbetriebnahmen von Anlagen und müssen vor Ort Programmieren. Daher haben Sie auch , neben den normalen Daten wie E-Mails/Kontakte usw., aktuelle Projektdaten wie Quellcodes und Dokumentationen auf Ihren Laptops, bis Sie wieder im Büro sind und die Daten auf dem Server ablegen. Daraus ergeben sich mehre "Probleme und Risiken".
Ich versuche nun ein Konzept zu entwickeln mit ich erreichen möchte, das die Daten und das System gg Datenverlust und Diebstahl abgesichert sind.
Meine Idee war nun unter Einsatz von Acronis True Image und einer externen HDD ein Image der Laptop HDD zu erstellen um gg Datenverlust gesichert zu sein, das ist ansich noch recht einfach, ob es auch praktikabel ist muss ich mal testen.
Was die Sicherheit bei Diebstahl angeht bräuchte ich Ratschläge von erfahrenen leuten, was sollte ich am besten machen um die Daten/Laptop so sicher wie möglich zu halten? Welche Software/Tools sollte ich Einsetzen ? Was muss ich beachten wenn ich das durchführen möchte? Welche Risiken habe ich wenn ich das Laptop absichere ?
Für Ideen und Ratschläge bin ich Dankbar.
Gruß
ich brauche unterstüzung, wir haben 15 Entwickler und Projekmanager die alle IBM ThinkPads nutzen angefangen von R50 bis R61 Laptops, unsere Entwickler/Projektmanager sind auch viel unterwegs auf Inbetriebnahmen von Anlagen und müssen vor Ort Programmieren. Daher haben Sie auch , neben den normalen Daten wie E-Mails/Kontakte usw., aktuelle Projektdaten wie Quellcodes und Dokumentationen auf Ihren Laptops, bis Sie wieder im Büro sind und die Daten auf dem Server ablegen. Daraus ergeben sich mehre "Probleme und Risiken".
Ich versuche nun ein Konzept zu entwickeln mit ich erreichen möchte, das die Daten und das System gg Datenverlust und Diebstahl abgesichert sind.
Meine Idee war nun unter Einsatz von Acronis True Image und einer externen HDD ein Image der Laptop HDD zu erstellen um gg Datenverlust gesichert zu sein, das ist ansich noch recht einfach, ob es auch praktikabel ist muss ich mal testen.
Was die Sicherheit bei Diebstahl angeht bräuchte ich Ratschläge von erfahrenen leuten, was sollte ich am besten machen um die Daten/Laptop so sicher wie möglich zu halten? Welche Software/Tools sollte ich Einsetzen ? Was muss ich beachten wenn ich das durchführen möchte? Welche Risiken habe ich wenn ich das Laptop absichere ?
Für Ideen und Ratschläge bin ich Dankbar.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93270
Url: https://administrator.de/contentid/93270
Printed on: April 18, 2024 at 19:04 o'clock
11 Comments
Latest comment
G' Abend,
wir haben bei uns 3 Partionen:
Wir haben alle Platten samt OS mit TrueCrypt verschlüsselt. Sprich der User muss beim hochfahren erstmal das TrueCrypt PW eingeben. Dieses unterscheidet sich von Rechner zu Rechner und ist in einer DB, im Klartext nochmal gespeichert. Um an die Datenpartion ranzukommen müssen, die Jungs ihren USB-Stick dabei haben. Denn auf diesem liegt die TrueCrypt File für die Authentifizierung + einem Kennwort das überall gleich ist.
Da wir überall UMTS / GRPS Karten eingebaut haben und die VPN-Verbindung gespeichert sind noch RSA-Tokens zu den einzelnen VPN-Knoten im Internet im Einsatz. Sprich auch hier wird ein PN einmalig generiert + per. NT Kennwort. Wir haben zusätzlich unsere Notebooks mit einem GPRS Ortungschip austatten lassen, der uns im Notfall die Koordinaten an unsere SecurityTeams weitergibt.
Die Frage ist eben, wie wertvoll sind die Daten und was könnte bei Verlust für das Unternehmen auf dem Spiel stehen! Sprich Imageschaden, Kosten für Entschädigung, Firmengeheimnisse in Gefahr, etc...Das Risiko ist bei uns ziemlich hoch....Wir haben keine CD/DVD Laufwerke in den Notebook bzw. ausgebaut und durch blenden ersetzt. BIOS Passwort ist bei sowas Standard.
Gruss,
Dani
wir haben bei uns 3 Partionen:
- C: - Betriebssystem und Programme
- D: Daten, sprich Dokumente und Einstellungen sind bei uns dort
- Versteckte Partion mit einem OS Image, das der MA selbst im Notfall über n DOS OS im Bootmanager und Ghost zurückspielen kann.
Wir haben alle Platten samt OS mit TrueCrypt verschlüsselt. Sprich der User muss beim hochfahren erstmal das TrueCrypt PW eingeben. Dieses unterscheidet sich von Rechner zu Rechner und ist in einer DB, im Klartext nochmal gespeichert. Um an die Datenpartion ranzukommen müssen, die Jungs ihren USB-Stick dabei haben. Denn auf diesem liegt die TrueCrypt File für die Authentifizierung + einem Kennwort das überall gleich ist.
Da wir überall UMTS / GRPS Karten eingebaut haben und die VPN-Verbindung gespeichert sind noch RSA-Tokens zu den einzelnen VPN-Knoten im Internet im Einsatz. Sprich auch hier wird ein PN einmalig generiert + per. NT Kennwort. Wir haben zusätzlich unsere Notebooks mit einem GPRS Ortungschip austatten lassen, der uns im Notfall die Koordinaten an unsere SecurityTeams weitergibt.
Die Frage ist eben, wie wertvoll sind die Daten und was könnte bei Verlust für das Unternehmen auf dem Spiel stehen! Sprich Imageschaden, Kosten für Entschädigung, Firmengeheimnisse in Gefahr, etc...Das Risiko ist bei uns ziemlich hoch....Wir haben keine CD/DVD Laufwerke in den Notebook bzw. ausgebaut und durch blenden ersetzt. BIOS Passwort ist bei sowas Standard.
Gruss,
Dani
Soweit mir bekannt ist, unterstützen die Thinkpads ATA-Security. Damit lässt sich die Platte nur beim Rechnerstart über Eingabe des Bios-Passwortes (sicher) entsperren und benutzen. Zugriff ist nur so möglich. Die Platte lässt sich ohne Passwort auch wieder entsperren (durch Service oder spezielle Unternehmen bzw. spezielle Software), allerdings gehen dabei zwangsläufig auch alle Daten auf der Platte "hops". 
Risiko: Man darf den Rechner nicht verlassen, ohne ihn auszuschalten, sonst ist die Sicherheit flöten.
Risiko: Man darf den Rechner nicht verlassen, ohne ihn auszuschalten, sonst ist die Sicherheit flöten.
Gegen Diebstahl hilft nur eine verschlüsselte Platte weiter. Truecrypt bietet sich da an, weil es als OpenSource-Software für alle möglichen Systeme vorhanden ist. Ausserdem ist es dank GUI leicht zu bedienen. Risiko ist natürlich, dass der Entwickler auch dann nicht mehr an seine Daten kommt, wenn er sein Passwort zum Entschlüsseln vergessen hat.
Eigentlich gibt es nur eine möglichkeit, 100% Datenverlust bei Diebstahl auszuschlissen.
Ich habe für ein Unternehmen eine Thinclient Lösung etabliert Der Laptop ist nur connector, baut über UMTS eine verbindung auf und nutzt dann eine ThinClient Lösung von Sun. Dazu eine Authentifizierung über biometrie beim anmelden + ein rfid token, der in der nähe des laptops sein muss bei benutzung. der oben erwähne GPS locator ist natürlich in so einem fall witzlos, da die laptops selbst fast wertlos sind. keine festplatte, kein CDrom, kein usb :D
Naja, bisschen oversized, aber wenn nicht grad einer mit ner waffe die person zwingt die daten abzurufen ... sicher :D
Ich habe für ein Unternehmen eine Thinclient Lösung etabliert Der Laptop ist nur connector, baut über UMTS eine verbindung auf und nutzt dann eine ThinClient Lösung von Sun. Dazu eine Authentifizierung über biometrie beim anmelden + ein rfid token, der in der nähe des laptops sein muss bei benutzung. der oben erwähne GPS locator ist natürlich in so einem fall witzlos, da die laptops selbst fast wertlos sind. keine festplatte, kein CDrom, kein usb :D
Naja, bisschen oversized, aber wenn nicht grad einer mit ner waffe die person zwingt die daten abzurufen ... sicher :D
Kurzum... hat man den Fingerabdruck des Entwicklers z.B. von einem Bierglas, das er abends beim Feierabend-Bierchen angefasst hat, und sein RFID-Token, kann man sich sämtliche Daten von euch holen. Ich gehe also mit einem Entwickler einen trinken, klaue ihm Laptop + RFID und hab eure Firmengeheimnisse. Was ist daran sicher?
ja natürlich, du hast recht. obligatorische passwörter sind natürlich auch dabei. aber ich dachte nicht das ich sowas standardmässiges wie passwortschutz nochmal erwähne :D
Ok... Passwörter... ich hab den Laptop, das RFID-Token + Bierglas mit Fingerabdruck des Entwicklers, baue seine Festplatte in einen anderen Laptop mit CD-Laufwerk ein, kopiere mittels Live-CD die Dateien, die Passwörter enthalten auf eine CD, von wo ich sie auf ein bereits bestehendes anderes System z.B. auf einem PC oder einem anderen Laptop übertrage und entschlüssele (ggf. übernehme ich noch notwendige Programmteile von seinem Laptop und notwendige Registry-Einträge um sie mit den Programmen einfach anzeigen zu lassen, von dem sie ursprünglich erstellt/verschlüsselt wurden) und hab somit auch die Passwörter des Entwicklers, seine Server-Zugänge usw. usf. Klingt für mich auch nicht gerade sicher.
Klingt sicherlich erstmal nach sehr viel Aufwand, aber wenn eure Firma bzw. euer Produkt einen gewissen Marktwert hat oder besondere Innovationen enthält, gibt es durchaus im Bereich der Industriespionage auch Leute, die sich solchen Aufwand machen.
Klingt sicherlich erstmal nach sehr viel Aufwand, aber wenn eure Firma bzw. euer Produkt einen gewissen Marktwert hat oder besondere Innovationen enthält, gibt es durchaus im Bereich der Industriespionage auch Leute, die sich solchen Aufwand machen.
Wir haben daher extra Ortungschips einbauen lassen. Sprich bei Verlustmeldung wissen wir innerhalb von 10 Minuten wo das Notebook ist. Somit werden auch gleich alle Firmennetzzugänge deaktiviert (nicht gelöscht) und alles nötige veranlasst.
Zum Entschlüsseln: Du müsstest ja dann die komplette Platte mit 80-120GB kopieren. DEnn von außen sieht es so aus, als wäre die Platte voll. Das dauert auf jeden Fall schon mal 15-30 Minuten. Mit der LIVE-CD z.B. siehst du unter TrueCrypt keine Daten auf der Platte - sprich du brauchst noch "das" Tool. Außerdem woher willst du wissen, welche Verschlüsselungssoftware gerade auf dem Notebook läuft. Sprich du musst entweder rausfinden oder spizeln welche Verschlüsslungssoftware benutzt wird. N Normaler MA weiß nämlich davon selten was...
Außerdem mit einer gescheiten Verschlüsslung (z.B. AES, Hash: SHA512) mit 20-30 Zeichen - viel Spaß beim Entschlüsseln....wir haben z.B. die Software dahingehend verändern lassen, dass bei der Installation ein Hash aus bestimmten Werten erzeugt wird. Sprich ändert sich der Wert ,startet die Software nicht mehr und somit auch die Projekte auch auf keinem anderen Notebook.
Klar, es war ein hoher auch teurer Aufwand, aber Diebstahl, etc.... können wir uns nicht leisten!
Gruss,
Dani
Zum Entschlüsseln: Du müsstest ja dann die komplette Platte mit 80-120GB kopieren. DEnn von außen sieht es so aus, als wäre die Platte voll. Das dauert auf jeden Fall schon mal 15-30 Minuten. Mit der LIVE-CD z.B. siehst du unter TrueCrypt keine Daten auf der Platte - sprich du brauchst noch "das" Tool. Außerdem woher willst du wissen, welche Verschlüsselungssoftware gerade auf dem Notebook läuft. Sprich du musst entweder rausfinden oder spizeln welche Verschlüsslungssoftware benutzt wird. N Normaler MA weiß nämlich davon selten was...
Außerdem mit einer gescheiten Verschlüsslung (z.B. AES, Hash: SHA512) mit 20-30 Zeichen - viel Spaß beim Entschlüsseln....wir haben z.B. die Software dahingehend verändern lassen, dass bei der Installation ein Hash aus bestimmten Werten erzeugt wird. Sprich ändert sich der Wert ,startet die Software nicht mehr und somit auch die Projekte auch auf keinem anderen Notebook.
Klar, es war ein hoher auch teurer Aufwand, aber Diebstahl, etc.... können wir uns nicht leisten!
Gruss,
Dani
Sag ich ja... der einzig sichere Schutz der Daten ist eine anständige Verschlüsselung. Irgendwas remote abzulegen und mit Passwörtern, RFID oder Biometrie zu schützen wie Herr Jürges das vorgeschlagen hat, bringt nur vermeintliche Sicherheit, da diese Mechanismen mit ein wenig Knowhow umgangen werden können.
Mit Laptops ständig remote zu arbeiten z. B. über Thinclient wo die Daten dann stets in der Firma verbleiben ist nicht immer machbar und auch unbequem. Der Entwickler will entwickeln und nciht ständig mit dem Remote Access im Nahkampf stehen.
Also muss man davon ausgehen dass lokal gearbeitet wird.
Wie erwähnt bietet sich Verschlüsselung an - hat aber auch seine Tücken, wenn mal was kaputt geht und man nicht mehr an die Daten kommt. Vor allem wenn "Spezis" über längere Zeit wichtige Daten NUR auf dem Notebook haben kann das ganz schön ins Auge gehen wenn man nicht mehr drankommt aus welchen Gründen auch immer.
Wie wäre es mit nem USB Stick wo die jeweils gebrauchten Daten für das jeweilige Projekt liegen, und ansonsten auf dem Laptop mit Berechtigungen den Zugriff so einschränken dass man erst garnicht auf die Laptop Platte Daten speichern kann? Den USB Stick kann man abziehen u. am Körper tragen - oder aber die Verschlüsselung auf dem USB Stick aktivieren, da gibts ja auch einige Angebote.
Die grossen Festplatten heutzutage verleiten halt viele DAten lokal zu sammeln, was im Fall von Klau oder kaputt eben recht nervig werden kann wenn man vergisst regelmässig Backups wichtiger Daten zu machen.
Also muss man davon ausgehen dass lokal gearbeitet wird.
Wie erwähnt bietet sich Verschlüsselung an - hat aber auch seine Tücken, wenn mal was kaputt geht und man nicht mehr an die Daten kommt. Vor allem wenn "Spezis" über längere Zeit wichtige Daten NUR auf dem Notebook haben kann das ganz schön ins Auge gehen wenn man nicht mehr drankommt aus welchen Gründen auch immer.
Wie wäre es mit nem USB Stick wo die jeweils gebrauchten Daten für das jeweilige Projekt liegen, und ansonsten auf dem Laptop mit Berechtigungen den Zugriff so einschränken dass man erst garnicht auf die Laptop Platte Daten speichern kann? Den USB Stick kann man abziehen u. am Körper tragen - oder aber die Verschlüsselung auf dem USB Stick aktivieren, da gibts ja auch einige Angebote.
Die grossen Festplatten heutzutage verleiten halt viele DAten lokal zu sammeln, was im Fall von Klau oder kaputt eben recht nervig werden kann wenn man vergisst regelmässig Backups wichtiger Daten zu machen.
Ja, das ist dann eine frage der verhältnissmässigkeit aufwand <-> Nutzen. Ach so, und Passwörter mit LiveCD auslesen wird bei ThinClient schwierig ... was soll mann da auslesen, alles Remote@Server.
Und mit dem Sunray ThinClient Zeugs ist das schon relativ smart und stabil. Aber ich weiss worauf du hinaus willst. Es gibt keine vollständige Sicherheit, die ist immer relativ zum Aufwand den jemand aufwenden muss um sie zu durchbrechen.
Und mit dem Sunray ThinClient Zeugs ist das schon relativ smart und stabil. Aber ich weiss worauf du hinaus willst. Es gibt keine vollständige Sicherheit, die ist immer relativ zum Aufwand den jemand aufwenden muss um sie zu durchbrechen.
