Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Datei nur auf einem Gerät zur Verfügung stellen

Frage Sicherheit

Mitglied: Dr.R00T

Dr.R00T (Level 1) - Jetzt verbinden

29.08.2013 um 13:30 Uhr, 2811 Aufrufe, 14 Kommentare, 2 Danke

Hallo ihr Administratoren,

Ich habe da eine Spezial Aufgabe bekommen und ich kann mir bei besten Willen nicht vorstellen, wie ich die lösen soll ...

Ich habe folgende Anforderung bekommen:

Eine Datei (PDF, DOCX, XLSX, PPTX, TXT) soll verschlüsselt und von unseren Usern im Netzwerk abgerufen werden.
Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Es handelt sich hierbei dann um sehr vertrauliche Daten.

Ich habe mir box.com schon mal angeschaut, sollte man dort einen Enterprise Vertrag haben,
kann man es fast genauso realisieren.
Allerdings wären die Daten dann in den USA, was unser "Sicherheitsexperte" nicht so gerne hat.
Nach dem Motto: NSA, GCHQ, BND und und und.
Mir ist das relativ egal. Wenn die Daten von uns eh verschlüsselt werden,
können die sich gern die Zeit vertreiben, das zu knacken.

Ich freue mich auf eure Vorschläge.

Mit freundlichen Grüßen NexXxuS
Mitglied: brammer
29.08.2013 um 13:38 Uhr
Hallo,

egal wie, das anfertigen ienes Screenshots kannst du nicht unterbinden, Screenshots werden durch eine Funktion vom Betriebssystem angefertigt, nicht von der jeweiligen Anwendung.
Und wenn du das irgendwie schaffst den Screenshot abzuschalten, dann kann der User immer hingehen und mit der Kamera vom Smartphone ein "Screenshot" anzufertigen.
Wenn es eine Textdatei ist, dann kann man auch mit Stift und Papier hingehen und abschreiben...

Wenn deine Geschäftsleitung damit ein Problem hat, dann wird die Datei halt nur auf dem Rechner des Geschäftsführers, ohne Backup, gespeichert und er darf damit arbeiten...

brammer
Bitte warten ..
Mitglied: 106543
29.08.2013 um 13:39 Uhr
Hi,

wüsste nicht wie das mit Bordmitteln oder selbstgebautem umsetzbar sein soll.
Bin gespannt auf mögliche Lösungsvorschläge.

Grüße
Exze
Bitte warten ..
Mitglied: MartinBinder
29.08.2013 um 13:51 Uhr
Stichwort wäre "AD RMS". Braucht aber natürlich ein AD dazu und eine PKI.
Mit freundlichen Grüßen Martin
Bitte warten ..
Mitglied: 106543
29.08.2013 um 13:54 Uhr
Zitat von MartinBinder:
Stichwort wäre "AD RMS". Braucht aber natürlich ein AD dazu und eine PKI.
Mit freundlichen Grüßen Martin

verbessere mich bitte wenn ich falsch liege, aber wie soll es möglich sein, per RMS das Erstellen eines Screenshots zu unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer) abfotografieren. siehe @brammer
Bitte warten ..
Mitglied: Dobby
29.08.2013, aktualisiert um 15:14 Uhr
Hallo,

Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Siehe Beitrag von @MartinBinder.

Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Unmöglich, selbst wenn das was @brammer als Möglichkeiten angeführt hat nicht greift, da zum Beispiel
nur in oder von bestimmten Bereichen in einer Firma, wo Kameras, Handys und Smartphones unterbunden werden
bzw. verboten sind, ist es immer noch möglich die Daten aus der Abstrahlung der Geräte (Bildschirm) wieder herzustellen
und das über eine Distanz von 4 Kilometern (Stand 1972) also kann ergo da jeder mitlesen der will und es sich leisten kann.

Es handelt sich hierbei dann um sehr vertrauliche Daten.
Dann sollte es niemandem möglich sein:
- mit dem Smartphone und/oder Laptop darauf zuzugreifen (Nach der Entschlüsselung noch im RAM oder in Temp Dateien!)
Wird das Smartphone gestohlen und jemand ließt den RAM mittels eines Speicher Dumps aus, oder guckt nach temporären
Dateien die nicht nach dem Betrachten gelöscht worden sind, hat er eventuell das gesamte Dokument!

- nur via VPN darauf zuzugreifen sein (Site-to-Site oder Firma - Firma) (Sichere Verbindungen von bekannten Nutzern!)
Da weiß man wenigstens wer darauf zugreift und von wo zugegriffen wird bzw. wurde
- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag (Verschwiegenheitsklausel)
- Eine ordentliche Protokollierung der gesamten Vorgänge des Abrufens und Betrachtens wäre für den
Fall der Fälle und zur besseren Dokumentation nicht schlecht.

Als Alternative bietet sich aber mitunter folgendes Szenario an, die Risikominimierung auf mehrstufiger Basis:
- Die Dokumente werden zerstückelt bzw. aufgeteilt und für den jeweiligen Rang bzw. Gebrauch zurecht "gestutzt"!
- Der Chef darf auf alle Dokumente zugreifen und zwar komplett
- Abteilungen und Mitarbeiter die diese Dokumente pflegen und bearbeiten bzw. verändern dürfen von
Ihrem Arbeitsplatz darauf zugreifen (Rechts-, Forschungs- und Verkaufsabteilungen)
- Alle anderen Mitarbeiter und/oder Kunden erhalten nur Zugang, zu den Verzeichnissen auf die Sie Zugriff haben
in denen Dokumente, Teildokumente oder in andere Dokumente ausgegliederte Fragmente des Hauptdokuments enthalten sind.
Somit kann nicht jeder an alles gelangen oder den gesamten Inhalt gelangen.

Nach dem Motto: "Nichts ist sicher und alles ist möglich" würde ich mir an Deiner Stelle einfach mal Gedanken machen
wie Du selber an die ganze Sache heran gehen würdest, wenn Du nicht Du wärst!
- Einen verseuchten USB Stick im Aufenthaltsraum oder in der Kantine liegen lassen (Schulungen)
- Verkleidet als Putzmann Nachmittags durch die Firma gehen und sehen wer "nur" seinen Bildschirmschoner an hat
aber ohne Passworteingabe bei Reaktivierung (Trojaner setzen)
- Eine Werbemail mit gespooftem Absender (Kunde, Partner oder Lieferant von Euch) verschicken (mit Link auf verseuchte Seite)
- Werbung mit QR Code auf Eurem Firmenparkplatz für die tollste Gratis Smartphone APP mit Backdoor zu Deinem PC zu
Hause über Umwege und Proxys in China, Dubai, Google,......... (Live Beobachtung)
- 100 verseuchte USB Sticks mit Werbung bedrucken lassen und an Eure Verkaufsabteilung oder Chefetage schicken
- 10 verseuchte USB Sticks mit Werbung bedrucken lassen und gezielt euren Leuten von der Entwicklungsabteilung in den
Briefkasten werfen
- ...........

Gruß
Dobby

P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!

P.P.S.
Wir teilen auch, versprochen!
Bitte warten ..
Mitglied: 106543
29.08.2013 um 14:49 Uhr
Hi,

Dobby ... YMMD

Gruß
Exze
Bitte warten ..
Mitglied: Dr.R00T
29.08.2013 um 16:11 Uhr
Hallo die Damen,

Erstmal DANKE!

Ihr habt mir die Augen geöffnet.
Besser gesagt @D.o.b.b.y hat es gemacht

Mir war es so eigentlich gar nicht bewusst, was ich da für einen Bullshit frage xD

Der, welcher das so umsetzten kann, ist wirklich ein gemachter Mann.
Damit könnte er pro Datei abrechnen und wär maximal nach einem Jahr Milliardär :-P

Naja, ich geh dann mal wieder in mein Puppenhaus zurück und träume weiter

Greetings und GN8

NexXxuS
Bitte warten ..
Mitglied: goscho
29.08.2013, aktualisiert um 17:16 Uhr
Zitat von Dobby:
Hallo,
Hi

- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag
(Verschwiegenheitsklausel)


Wetten, dass Edward Snowden auch so einen Vertrag unterschrieben hatte?
Oder wie steht es um die Daten der Steuerflüchtlinge, die von Mitarbeitern Schweizer Banken verkauft wurden?

Ich möchte damit nur sagen:

Wo ein Wille und genug kriminelle Energie ist, da ist auch ein Weg.
Das ist zumeist nicht mal eine "Mission Impossible".


Um was produktives beizutragen:

Ein Stichwort für die Suche sollte DATA LOSS PREVENTION sein.
Bitte warten ..
Mitglied: goscho
29.08.2013, aktualisiert um 17:15 Uhr
Zitat von Dobby:
P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!

P.P.S.
Wir teilen auch, versprochen!
Wer wird denn so egoistsich sein?

Wir teilen durch die gesamte Community
Mal sehen, wie lange das dauert, bis Administrator.de mehr Mitglieder als Facebook hat?
Bitte warten ..
Mitglied: Dr.R00T
29.08.2013 um 17:38 Uhr
Somit wäre das hier auch mal ein Anfang, oder ?
Das mit Screenshots und abfotografieren sei jetzt mal dahin gestellt ^^
Bitte warten ..
Mitglied: Dobby
29.08.2013 um 17:55 Uhr
Original Text:
Selbst für den Fall das ein User ihre Vereinbarungen oder eine Bezahlung brechen sollte, oder eines Ihrer Dokumente an die Öffentlichkeit gerät können Sie jederzeit den Zugriff des Users oder sogar das gesamte Dokument sperren.
Hört sich nicht schlecht an, aber passt Eure Verschlüsselung noch dazu?

Und wo liegen denn die Dokumente, auf einem Server im LAN oder der DMZ?
Denn wenn Ihr Eure Dokumente nicht mehr verschlüsselt und die ganze Sache sich auf einem Server in der DMZ
abspielt würde ich eventuell noch an eine bessere Sicherung und Verteidigung der DMZ setzen wollen, vorher war das egal, wenn
ja so oder so alles verschlüsselt war konnte man so etwas schon vernachlässigen. Oder sind die Dokumente auch von der
Software verschlüsselt?

Gruß
Dobby
Bitte warten ..
Mitglied: Dr.R00T
29.08.2013 um 18:10 Uhr
So wie ich das von der Seite her interpretiere, sind die Dokumente von der Software her verschlüsselt.
Ist als PDF auf nem USB-Stick atm gespeichert ....
Bitte warten ..
Mitglied: MartinBinder
29.08.2013 um 20:27 Uhr
verbessere mich bitte wenn ich falsch liege, aber wie soll es möglich sein, per RMS das Erstellen eines Screenshots zu
unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer)
abfotografieren. siehe @brammer

Gar nicht - der "Hauself" hat das sehr gut beschrieben. Wenn Du dem Mitarbeiter nicht vertraust, dass er diese Daten haben darf, dann GIB SIE IHM NICHT. Das ist die einzige Lösung für diese Frage. Punkt. Abfotografieren oder abschreiben geht immer...
Bitte warten ..
Mitglied: Christian25
29.08.2013 um 23:43 Uhr
einen 2ten Mitarbeiter auf diesen Rechner setzen, der den ersten Überwacht....
andere Möglichkeiten gibts wohl nicht...
*Handykamera Stift und Papier etc...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Informationsdienste
Excel Datei ohne Download zur Verfügung stellen (4)

Frage von gnaulimon zum Thema Informationsdienste ...

Windows Netzwerk
gelöst PDF nur zum lesen zur Verfügung stellen (15)

Frage von Sylvia zum Thema Windows Netzwerk ...

Microsoft
gelöst Nic nur für hyper-v zur Verfügung stellen (3)

Frage von thomasreischer zum Thema Microsoft ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...