23
Verschlüsselung sensibler Daten (KMU)
Hallo,
mal eine reine Interessefrage.
Wie handhabt ihr die Sicherheit Eurer sensiblen Daten im RZ?
Also alles was Kunden oder Eure eigenen Daten betrifft (Projekte, Konfigurationen etc.).
Klar, über das jeweilige Rechtekonzept, durch ein Backup und ein vernünftiges Raid-System.
Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft?
Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)?
Ist SW-seitig in einer KMU überhaupt sinnvoll?
Reichen die Userberechtigungen schon aus für einen vernünftigen "Grundschutz".
LG
mal eine reine Interessefrage.
Wie handhabt ihr die Sicherheit Eurer sensiblen Daten im RZ?
Also alles was Kunden oder Eure eigenen Daten betrifft (Projekte, Konfigurationen etc.).
Klar, über das jeweilige Rechtekonzept, durch ein Backup und ein vernünftiges Raid-System.
Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft?
Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)?
Ist SW-seitig in einer KMU überhaupt sinnvoll?
Reichen die Userberechtigungen schon aus für einen vernünftigen "Grundschutz".
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237810
Url: https://administrator.de/contentid/237810
Printed on: April 20, 2024 at 00:04 o'clock
23 Comments
Latest comment
Hallo,
nein, normalerweise reichen die nicht. Oberstes Ziel ist dabei die Angriffe gar nicht bis zu der Eben vordringen zu lassen.
Grüße
nein, normalerweise reichen die nicht. Oberstes Ziel ist dabei die Angriffe gar nicht bis zu der Eben vordringen zu lassen.
Grüße
Ja klar, steht noch einiges davor.
Aber wie ich Deinen Satz verstehe, würdest Du solche Informationen nichtmehr weiter absichern in Form von separater Verschlüsselung o.Ä.
Klar, davor stehen FW etc.
Aber wie ich Deinen Satz verstehe, würdest Du solche Informationen nichtmehr weiter absichern in Form von separater Verschlüsselung o.Ä.
Klar, davor stehen FW etc.
Hallo,
das habe ich nicht behauptet. (Absolut nicht)
Aber genaueres müsste man analysieren.
das habe ich nicht behauptet. (Absolut nicht)
Aber genaueres müsste man analysieren.
Hallo,
einfach die Münze umdrehen:
Wenn du ein potentieller Angreifer wärst, welche Sachen wären interessant und welchen Aufwand könntest du betreiben um diese zu erlangen? Wo würdest du ansetzen und wieviel Zeit und Geld wäre es dir Wert? Damit hast du in etwa das vorhandene Risiko.
Danach kannst du anfangen darüber nachzudenken an welchen Stellen du das Risiko senken kannst und mit welchen Mitteln und Wegen.
Kritische Punkte sind dabei in der Regel an der Stelle an der der Gewinn des Angreifers sehr hoch ist (komplett Backup..), oder der Aufwand sehr gering (Laptop aus dem Cabrio klauen). Diese dann soweit machbar abdichten.
Gruß
Andi
einfach die Münze umdrehen:
Wenn du ein potentieller Angreifer wärst, welche Sachen wären interessant und welchen Aufwand könntest du betreiben um diese zu erlangen? Wo würdest du ansetzen und wieviel Zeit und Geld wäre es dir Wert? Damit hast du in etwa das vorhandene Risiko.
Danach kannst du anfangen darüber nachzudenken an welchen Stellen du das Risiko senken kannst und mit welchen Mitteln und Wegen.
Kritische Punkte sind dabei in der Regel an der Stelle an der der Gewinn des Angreifers sehr hoch ist (komplett Backup..), oder der Aufwand sehr gering (Laptop aus dem Cabrio klauen). Diese dann soweit machbar abdichten.
Gruß
Andi
Hi.
Bist Du ansatzweise firm im Bereich Verschlüsselung? Weißt Du, wann sie etwas bringt und wann nicht?
Bist Du ansatzweise firm im Bereich Verschlüsselung? Weißt Du, wann sie etwas bringt und wann nicht?
2
@AndiEoh:
Die Daten sind aufjedenfall "kritisch".
Gibt es ein Standardvorgehen oder Best Practices für die Handhabung sensibler Daten? Bisher konnte ich keinen einzigen zutreffenden Lösungsweg finden.
Wie verwaltet Ihr Eure Konfigurationen (NW) und deren Logindaten bspw.? Oder die der Kunden?
Wie handhabt Ihr wichtige Dokumentationen? Oder liegen diese einfach auf dem "sowieso sicheren" Laufwerk ab?
@DerWoWusste:
Die Theorie wurde im Studium relativ ausführlich besprochen meiner Meinung nach.
Jedoch fehlt mir ein wenig der Übergang zur Praxis und vorallem zu funktionstüchtigen Lösungen (mal TrueCrypt außen vor).
@certifiedit.net:
Das ist schon "analysiert" worden, es geht jetzt darum die Daten bspw. aufzuteilen, oder anderweitig zu sichern.
Wie machen das denn die ganz Großen ala Siemens oder IBM? Da wird der Admin doch nicht alles irgendwo im Klartext rumliegen haben,
genau so wenig wird er alle IP Adressen und deren Login auswendig können. Nur mal als eins von vielen Beispielen.
Danke für die Unterstützung, freu mich auf Lösungsvorschläge
Die Daten sind aufjedenfall "kritisch".
Gibt es ein Standardvorgehen oder Best Practices für die Handhabung sensibler Daten? Bisher konnte ich keinen einzigen zutreffenden Lösungsweg finden.
Wie verwaltet Ihr Eure Konfigurationen (NW) und deren Logindaten bspw.? Oder die der Kunden?
Wie handhabt Ihr wichtige Dokumentationen? Oder liegen diese einfach auf dem "sowieso sicheren" Laufwerk ab?
@DerWoWusste:
Die Theorie wurde im Studium relativ ausführlich besprochen meiner Meinung nach.
Jedoch fehlt mir ein wenig der Übergang zur Praxis und vorallem zu funktionstüchtigen Lösungen (mal TrueCrypt außen vor).
@certifiedit.net:
Das ist schon "analysiert" worden, es geht jetzt darum die Daten bspw. aufzuteilen, oder anderweitig zu sichern.
Wie machen das denn die ganz Großen ala Siemens oder IBM? Da wird der Admin doch nicht alles irgendwo im Klartext rumliegen haben,
genau so wenig wird er alle IP Adressen und deren Login auswendig können. Nur mal als eins von vielen Beispielen.
Danke für die Unterstützung, freu mich auf Lösungsvorschläge
Mir scheint weiterhin, Du weißt nicht wirklich Bescheid über die Basics von Verschlüsselung, denn Du schriebst:
Beschreibe also bitte genauer, wie Du zu der zitierten Aussage kommst, vielleicht hast Du ja noch nicht richtig rüberbringen können, was das für ein System ist.
Weiterhin:
Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft? Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)?
Wenn es jemand "auf das System geschafft hat", dann hat er Zugriff auf lokale Daten zumindest mit Nutzerrechten. Gehen wir von einem Fileserver aus, dessen Laufwerke mit Bitlocker (und TPM im transparenten Modus) verschlüsselt sind, dann bringt die Verschlüsselung hier doch rein gar nichts. Sie hilft nur gegen Versuche, an die Daten offline ranzukommen. Ist man auf dem System, sind die Daten doch offen.Beschreibe also bitte genauer, wie Du zu der zitierten Aussage kommst, vielleicht hast Du ja noch nicht richtig rüberbringen können, was das für ein System ist.
Weiterhin:
Ist SW-seitig in einer KMU überhaupt sinnvoll?
Was soll das heißen, warum sollten KMU andere Vorgehensweisen brauchen? Es geht hierbei doch nicht in erster Linie ums Budget, bzw. das ist doch nicht teuer.
Von wem ist es analysiert worden? Mit welcher Kompetenz? Warum arbeitet dieser dann kein Konzept auf Basis des Ergebnis aus und implementiert dies dann?
Zitat von @DerWoWusste:
Wenn es jemand "auf das System geschafft hat", dann hat er Zugriff auf lokale Daten zumindest mit Nutzerrechten. Gehen
wir von einem Fileserver aus, dessen Laufwerke mit Bitlocker (und TPM im transparenten Modus) verschlüsselt sind, dann bringt
die Verschlüsselung hier doch rein gar nichts. Sie hilft nur gegen Versuche, an die Daten offline ranzukommen. Ist man auf
dem System, sind die Daten doch offen.
Wenn jemand auf das System kommt und die Daten dann verschlüsselt (und in dem Fall Passwort geschützt über TrueCryt, oder sagen wir ganz einfach einen 7Zip AES Container) sind, dann kann der / die jenige gar nichts damit anfangen solange er das Passwort nicht weiss?Wenn es jemand "auf das System geschafft hat", dann hat er Zugriff auf lokale Daten zumindest mit Nutzerrechten. Gehen
wir von einem Fileserver aus, dessen Laufwerke mit Bitlocker (und TPM im transparenten Modus) verschlüsselt sind, dann bringt
die Verschlüsselung hier doch rein gar nichts. Sie hilft nur gegen Versuche, an die Daten offline ranzukommen. Ist man auf
dem System, sind die Daten doch offen.
Oder speichert Ihr alle Eure Zugängsdaten irgendwo im Klartext, weil die Verschlüsselung gar nichts bringt?
Es heißt ja nicht, dass diese direkt an die Windows Authentifzierung geknüpft sein muss.
Zitat von @falscher-sperrstatus:
Von wem ist es analysiert worden? Mit welcher Kompetenz? Warum arbeitet dieser dann kein Konzept auf Basis des Ergebnis aus und
implementiert dies dann?
Von wem ist es analysiert worden? Mit welcher Kompetenz? Warum arbeitet dieser dann kein Konzept auf Basis des Ergebnis aus und
implementiert dies dann?
Danke für die gute Idee!!!
Wenn Du da TC Container liegen hast, dann besteht der Schutz, keine Frage... deshalb war meine Bitte, doch mal ein Szenario zu malen und es nicht so hoffnungslos allgemein gehalten zu beschreiben und dann (vergeblich) auf passende Tipps zu hoffen.
1
Ok, ein Beispiel:
Ausgangsproblem: Excelsheets sind historisch bedingt gewachsen und enthalten zuviele sensible Daten.
1. Excel Sheet mit Konfigurationsdaten -> liegt auf Service Laufwerk & beschränkt durch Berechtigungen
2. Excel Sheet mit irgendwelchen Bankdaten -> liegt auf Vertrieb Laufwerk & beschränkt durch Berechtigungen
3. Excel Sheet mit Logindaten die sich keiner merken kann -> liegt auf EDV Laufwerk & beschränkt durch Berechtigungen
Konfigdaten sind natürlich im Klartext im Excelfile. Dass ein Excel-PW Schutz nichts taugt wissen wir alle.
Die ganzen Daten in einen TrueCrypt Container, für jeden Ordner ein unterschiedlichen PW und dieses über einen PW Manager verwalten.
Problem: Mehr Aufwand.
Weiteres Problem: Desto größer die Daten werden, desto langsamer wird die ver- & Entschlüsselung, seh ich das richtig?.
Vorteil: Die Ordner können in Ticktes oder Kundenkarten im ERP / Ticketsystem eingebunden werden.
Nachteil: Man muss beim Öffnen über das jeweilige System trotzdem den Container mit dem jeweiligen Passwort öffnen.
Evtl. bessere Lösung:
Alles im Ticketsystem oder einer separaten Datenbank ablegen, die die Daten verschlüsselt abspeichert. Diese ist durch Logins mit unterschiedlichen Berechtigungen geschützt.
Problem: Unmengen an Arbeit & Aufwand zum erstellen der Datenbank, einpflegen aller Daten usw.
Frage aus dem Anfangspost bleibt bestehen:
Was sind Best Practices für so eine Lösung. Wie handeln diese Datenmengen & sensible Daten die großen oder andere KMUs.
Wie handhabt Ihr solche Daten? Sollte man die Daten vielleicht noch trennen?
Gerade beim Thema Netzwerk sehe ich riesige Problem, da es sich einfach um richtig viele Daten handeln kann, auf die schnelle fällt mir da ein:
- Einwahldaten VPN ISDN & Managementrechner
- Backup-Server Daten
- Unified Com - Systeme
- Wireless Systeme
- 3d Party Systeme
Zu allen Systeme Logindaten / Namen / IP-Adressen / Passwörter / Notizen / Protokolle oder Beschreibungen etc.
Also keine Doku, sondern nur Hilfestellungen für die MA oder Techniker oder sonst wen.
Das sind nur Beispiele, musste mir etwas überlegen um nicht genau das aktuelle Problem zu verraten :D.
Aber ich denke es ist gut übertragbar!
@DerWoWusste: Danke für Deine Hilfe, alle Anderen schmeißen anscheinend gerne mal ein paar Wörter in den Raum die auf die verschiedensten Probleme anwendbar sind. Aber hilft natürlich auch die Posts zu erhöhen.
Ausgangsproblem: Excelsheets sind historisch bedingt gewachsen und enthalten zuviele sensible Daten.
1. Excel Sheet mit Konfigurationsdaten -> liegt auf Service Laufwerk & beschränkt durch Berechtigungen
2. Excel Sheet mit irgendwelchen Bankdaten -> liegt auf Vertrieb Laufwerk & beschränkt durch Berechtigungen
3. Excel Sheet mit Logindaten die sich keiner merken kann -> liegt auf EDV Laufwerk & beschränkt durch Berechtigungen
Konfigdaten sind natürlich im Klartext im Excelfile. Dass ein Excel-PW Schutz nichts taugt wissen wir alle.
Die ganzen Daten in einen TrueCrypt Container, für jeden Ordner ein unterschiedlichen PW und dieses über einen PW Manager verwalten.
Problem: Mehr Aufwand.
Weiteres Problem: Desto größer die Daten werden, desto langsamer wird die ver- & Entschlüsselung, seh ich das richtig?.
Vorteil: Die Ordner können in Ticktes oder Kundenkarten im ERP / Ticketsystem eingebunden werden.
Nachteil: Man muss beim Öffnen über das jeweilige System trotzdem den Container mit dem jeweiligen Passwort öffnen.
Evtl. bessere Lösung:
Alles im Ticketsystem oder einer separaten Datenbank ablegen, die die Daten verschlüsselt abspeichert. Diese ist durch Logins mit unterschiedlichen Berechtigungen geschützt.
Problem: Unmengen an Arbeit & Aufwand zum erstellen der Datenbank, einpflegen aller Daten usw.
Frage aus dem Anfangspost bleibt bestehen:
Was sind Best Practices für so eine Lösung. Wie handeln diese Datenmengen & sensible Daten die großen oder andere KMUs.
Wie handhabt Ihr solche Daten? Sollte man die Daten vielleicht noch trennen?
Gerade beim Thema Netzwerk sehe ich riesige Problem, da es sich einfach um richtig viele Daten handeln kann, auf die schnelle fällt mir da ein:
- Einwahldaten VPN ISDN & Managementrechner
- Backup-Server Daten
- Unified Com - Systeme
- Wireless Systeme
- 3d Party Systeme
Zu allen Systeme Logindaten / Namen / IP-Adressen / Passwörter / Notizen / Protokolle oder Beschreibungen etc.
Also keine Doku, sondern nur Hilfestellungen für die MA oder Techniker oder sonst wen.
Das sind nur Beispiele, musste mir etwas überlegen um nicht genau das aktuelle Problem zu verraten :D.
Aber ich denke es ist gut übertragbar!
@DerWoWusste: Danke für Deine Hilfe, alle Anderen schmeißen anscheinend gerne mal ein paar Wörter in den Raum die auf die verschiedensten Probleme anwendbar sind. Aber hilft natürlich auch die Posts zu erhöhen.
Das sind nur Beispiele, musste mir etwas überlegen um nicht genau das aktuelle Problem zu verraten.
Wenn du uns das genaue Problem nicht verraten möchtest können wir dir nicht helfen. (Ich versuche das mal als eine Erkenntnis zu sehen, die wir dir geben müssen.)
Keiner mehr was nach der Info?
Doch, da kommt noch was 
Vielleicht denkst Du danach anders.
Dass ein Excel-PW Schutz nichts taugt wissen wir alle.
Es kommt zunächst mal darauf an, von welcher Excelversion Du sprichst. Lies einfach mal, was da so getan wurde: http://en.wikipedia.org/wiki/Microsoft_Office_password_protection#Histo ... und http://technet.microsoft.com/en-us/library/cc179125(v=office.15).aspxVielleicht denkst Du danach anders.
Da hab ich aber etwas anderes in Erinnerung?
Egal ob VBA Code auslesen, oder mit Hexeditor knacken oder irgendwelche anderen Kostenpflichtigen Tools usw?
Egal ob VBA Code auslesen, oder mit Hexeditor knacken oder irgendwelche anderen Kostenpflichtigen Tools usw?
Mit anderen Worten: du zweifelst es unbegründet an? Oder arbeitet ihr noch mit Office 2003?
Wir hatten es an der Uni mit Excel 2010 ausprobiert wenn ich mich recht entsinne.
Ich überlege gerade ob es sinnvoller wäre die Daten alle in eine sichere Datenbank einzupflegen.
Ich überlege gerade ob es sinnvoller wäre die Daten alle in eine sichere Datenbank einzupflegen.
Na, dann müsstet ihr ja gefragte Cracker sein. Wie du detailliert lesen konntest: bei O2010 ist das AES128. Das habt ihr garantiert nicht gemacht.
Datenbank: warum kommt die Idee auf?
Datenbank: warum kommt die Idee auf?
Vielleicht war es auch nur ein 16 Bit Schlüssel, denke ich.
Um die "Unmenge" an Daten zentral verwalten zu können.
Um die "Unmenge" an Daten zentral verwalten zu können.
Ein 16-Bit-Schlüssel geht nicht bei Office 2010. Sei's drum.
Du hast die Frage eh auf gelöst gesetzt, da frag ich dann auch nicht weiter zurück.
Du hast die Frage eh auf gelöst gesetzt, da frag ich dann auch nicht weiter zurück.
Kamen leider keine hilfreichen Vorschläge. Trotzdem Danke für Deine Hilfe.
Du hast ein organisatorisches und kein technisches Problem. Ich würde zunächst mal sauber definieren/trennen wer welche Dinge benötigt und das Ganze nach Sicherheitsanforderungen sortieren.
Beispiel:
1.) Systempasswörter mit höchster Berechtigung (Domain-Admin, Zugang Firewall / VPN etc.)
2.) Verwaltungspasswörter Servergruppen (Anwendungsserver nach Funktion)
3.) Zugangspasswörter eher unkritische Systeme (Issue Tracker etc.)
.
.
.
Die unter 1. sind bei uns z.B. nur im Tresor der GF (als Papier) und in einem EFS Ordner auf einer zugenagelten Admin Kiste. Danach können die Sicherheitsanforderungen nach und nach gesenkt werden um besser damit arbeiten zu können. Wichtig ist das die Absicherung mit steigenden Berechtigungen zunimmt, da man ansonsten das Ganze von oben her aufrollen kann.
Bankdaten etc. müssen üblicherweise nur einer sehr kleinen Anzahl an Mitarbeitern bekannt sein, und Zahlungsanweisungen per Chipkarte/PIN erfolgen. Backup-Daten sollte man soweit das verwendete System es unterstützt verschlüsseln und die Keys auf Stufe 1. behandeln. Ob die tatsächliche Speicherung dann in einer Excel Datei oder als ASCII vorliegt ist damit egal.
Gruß
Andi
Beispiel:
1.) Systempasswörter mit höchster Berechtigung (Domain-Admin, Zugang Firewall / VPN etc.)
2.) Verwaltungspasswörter Servergruppen (Anwendungsserver nach Funktion)
3.) Zugangspasswörter eher unkritische Systeme (Issue Tracker etc.)
.
.
.
Die unter 1. sind bei uns z.B. nur im Tresor der GF (als Papier) und in einem EFS Ordner auf einer zugenagelten Admin Kiste. Danach können die Sicherheitsanforderungen nach und nach gesenkt werden um besser damit arbeiten zu können. Wichtig ist das die Absicherung mit steigenden Berechtigungen zunimmt, da man ansonsten das Ganze von oben her aufrollen kann.
Bankdaten etc. müssen üblicherweise nur einer sehr kleinen Anzahl an Mitarbeitern bekannt sein, und Zahlungsanweisungen per Chipkarte/PIN erfolgen. Backup-Daten sollte man soweit das verwendete System es unterstützt verschlüsseln und die Keys auf Stufe 1. behandeln. Ob die tatsächliche Speicherung dann in einer Excel Datei oder als ASCII vorliegt ist damit egal.
Gruß
Andi
1
[quote]3. Excel Sheet mit Logindaten die sich keiner merken kann -> liegt auf EDV Laufwerk & beschränkt durch Berechtigungen[/quote]
Im Bezug auf solche Daten?
Im Bezug auf solche Daten?
