Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann man einen Server gegen physischen Zugriff am besten schützen?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: Franz7211

Franz7211 (Level 1) - Jetzt verbinden

20.01.2015, aktualisiert 21.01.2015, 1953 Aufrufe, 16 Kommentare

Hallo zusammen,

ein guter Bekannter von mir ist Psychologe und überlegt sich einen Server zu kaufen, auf dem auch sensible Daten von Mandanten gespeichert werden sollen. Ich helfe ihm dabei ein wenig weil ich zumindest ein klein wenig mehr technisches Verständis habe als er. Aber leider weiß ich auch nicht wie er den Server am besten vor einem physischen Zugriff schützen kann. Im Internet habe ich dazu leider nichts passendes gefunden, vielleicht habe ich auch mit den falschen Schlagworten gesucht. Eine Truecrypt Verschlüssung würde ja zumindest schon mal helfen wenn der Server gestohlen wird, bzw. die Stromverbindung unterbrochen wird. Aber was ist mit dem Zugriff direkt vor Ort an einem eingeschalteten Server durch Einbrecher oder Behörden? Windows Sperrbildschirm wird da keine akzeptable Lösung sein. Es soll auch eigentlich der Einfachheit halber ein Windows Server werden, wenn ein sicherer Schutz nur unter einem anderen System zu realisieren ist, wäre das auch in Ordnung.

Vielen Dank schon mal!

Viele Grüße
Franz
Mitglied: baldur
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Der Server sollte weder Tastatur, Maus, Monitor besitzen und in einem verschließbaren Schrank, der sich in einem verschließbaren, klimatisierbaren Raum befindet, stehen.
Selbstverständlich sollte in dem Rack auch eine USV stehen.
Schlauerweise sollte der Raum auch keine Gipskartonwände oder ungesicherte Fenster haben.

Für noch höheren Schutz gibt es EDV-Tresore mit Klimatisierung.
Somit stellt sich die Frage, wieviel Geld Dein Client ausgeben will/kann

Schutz vor Behörden wird es nicht geben..
Bitte warten ..
Mitglied: baldur
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
An den Eintrag hab' ich nicht gedacht
Bitte warten ..
Mitglied: Pago159
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Ich war im Copy / Paste -Modus leider langsamer, als du im Schreibmodus :-P
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Moin,

einmauern.

Wie alles bei dem man nicht will, daß die leute drankommen, muß man mechanische Hindernisse (Türen, Mauern, Schösser, etc.) in den weg stellen.

Dazu ein Not-Aus-Knopf und eine verschlüsselte Platte und schon kann man mit Knopfdruck auch das "drankommen" mit roher Gewalt ungefährlicher machen.

Zusätzlich noch eine kleine C4-Ladung "unter der haube" sollte auch manchen anderen Eventualitäten im Bedarfsfall vorbeugen. (Ich meine jetzt nicht das Auto!).

Und nicht vergessen, daß die Backups genauso in Interesse sein können.

In so einem fall ist es sinnvoll, sich da erstmal Gedanken darum zu machen, gegen welche Angriffe man sich sichern will und dmait dann uz eine pezialisten zu gehen.

lks
Bitte warten ..
Mitglied: 117643
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Wenn euch die Daten so heilig sind, sollte die Praxis keinesfalls einen Internetanschluss besitzen.
Nicht nur physikalisch sind Diebstähle möglich sondern auch virtuell...
Bitte warten ..
Mitglied: MasterBlaster88
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Zitat von 117643:

Wenn euch die Daten so heilig sind, sollte die Praxis keinesfalls einen Internetanschluss besitzen.
Nicht nur physikalisch sind Diebstähle möglich sondern auch virtuell...

Seh ich genauso. Arztpraxen sollten Ihren Server wenn möglich wirklich nicht mit Zugang zum Internet einrichten. Aber, ohne dir zu nahe zu treten, es gibt Firmen die spezialisieren sich auf Security ob physikalisch oder virtuell. Da kann man mit "klein wenig mehr technisches Verständis" mehr kaputt machen als man denkt.

Ganz ehrlich: Wenn die Daten wirklich so empfindlich sind, sollte er sich ein Systemhaus ins Haus holen, die sich mit dem Thema auskennen.
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Hi.

Eine simple Sache: Wenn der verschlüsselte Server eingeschaltet und gesperrt ist, kannst Du ohne Kennwort nicht rein.
Ausnahme 1: Firewall ist aus und Server verwundbar - das muss nicht sein, die Firewall kann man einsetzen um den Traffic nur zu bestimmten Nutzern/IPs hin zuzulassen, somit ist hier nur Aufwand nötig, aber es geht

Ausnahme 2: DMA-Attacke - sollte der Server Schnittstellen bieten, die DMA zulassen, kann man am Logonscreen vorbei einbrechen. Abhilfe: im Bios ausschalten und ein Bitlocker+TPM benutzen, welches das BIOS monitort. Somit kann kein Angreifer DMA-Optionen verändern.
Edit: siehe auch http://support.microsoft.com/kb/2516445 - man kann per GPO ein paar DMA-Dinge eh abschalten, auch ohne Bitlocker und TPM.
Edit2: Windows 10 wird übrigens keine DMA-Installation mehr vorm Logon erlauben.

Es geht also.
Bitte warten ..
Mitglied: maretz
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Moin,

Ehrlich gesagt - lass das über eine entsprechende Firma mit Wartungsvertrag machen. Wenn die Daten ins Netz kommen hast du mächtig ärger - und es hilft dir nix wenn eben die Daten ins Netzkamen weil dein Bekannter nen Trojaner aufm Arbeits-PC hatte der die Freigabe ausgelesen hat...
Bitte warten ..
Mitglied: kaiand1
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Bedenke nur das der Zugang zu den Clients schon reicht um diese zu Manipulieren.
Dadurch kannst du zb Hardware/Software Keylogger einbinden und brauchst nur paar Tage warten und danach auslesen...
Und wer schaut schon Täglich den Client auf Veränderung an?....
Da nützt dir die Beste Verschlüssung nix mehr wenn die Zugangsdaten Abgegriffen werden...
Zudem hab ich selbst schon öfters Ärtze PCs gesehen die die PatientenTool offen hatten und es keiner da war (Praxis/Krankenhaus ect).
Meist wird aus Bequemlichkeit der PC beim Verlassen nichtmal gesperrt wodurch jeder Patient so Freien Zugang hat ohne Beschränkung da der Arzt ja schon "Freigeschaltet" hat.
Zudem da es sich ja um Patientendaten handelt sollte sowas schon aus Rechtlicher sicht nur Fachbetriebe übernehmen die Planung/Wartung da es sonst bei nen Missgeschick für dich Teuer werden kann.
Zudem sollten die Mitarbeiter auch geschult werden zum Thema Datensicherheit/PCs sichern beim Verlassen des Platzes ect...
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 20.01.2015, aktualisiert 21.01.2015
Ab 1:07:17 mal ansehen: http://channel9.msdn.com/events/TechEd/Europe/2014/WIN-B319 "Building a Bulletproof Windows BitLocker".
@kaiand1: jaja, die Keylogger... wenn man schon davon ausgeht, dass dort solche Leute ein und ausgehen (Keylogger anbringen, abwarten, wieder kommen und ernten), dann ist es sicherlich noch etwas schwieriger, aber auch nicht unmöglich. Da kommt dann wieder der abschließbare Serverschrank hinzu.
Bitte warten ..
Mitglied: Franz7211
21.01.2015 um 14:08 Uhr
Vielen Dank an euch alle! Echt eine tolle Hilfe, hätte nicht mit soviel guter Resonanz gerechnet.

Ihr habt recht, da sollte dann wirklich ein Profi dran. Ich hatte gehofft es gibt ein gutes Programm, womit man den Zugriff bei eingeschaltetem Server halbwegs simpel verhindern kann.

Aber die Links schaue ich mir trotzdem mal an, ist für mich Privat auch interessant da ich mir einen Server anschaffen möchte. Bei den Daten reichen dann aber auch einzelne genannte Maßnahmen um ihn etwas sicherer zu machen, einen Profi kann ich mir nicht leisten.
Bitte warten ..
Mitglied: Lochkartenstanzer
21.01.2015 um 14:13 Uhr
Zitat von Franz7211:

Ihr habt recht, da sollte dann wirklich ein Profi dran. Ich hatte gehofft es gibt ein gutes Programm, womit man den Zugriff bei
eingeschaltetem Server halbwegs simpel verhindern kann.


Wcihtig ist, sich vorher klarzuwerden, gegen welche "Angriffsszenarien man sich scptzen will.

lks
Bitte warten ..
Mitglied: DerWoWusste
21.01.2015 um 14:31 Uhr
Ihr habt recht, da sollte dann wirklich ein Profi dran
Wenn Du willst, mach ich Dir das, ich habe seit Jahren reichlich Erfahrung mit Verschlüsselung vieler Art, auch Serververschlüsselung.
Aber ich würde nicht soweit gehen und rechtlich dafür gerade stehen, bzw. garantieren, dass es konform mit xy ist.
Bitte warten ..
Mitglied: kaiand1
21.01.2015 um 17:59 Uhr
Jedoch wurde ja bisher kein genaues Szenario gefordert sondern Allgemein gefragt....
Bitte warten ..
Mitglied: hertli
26.01.2015, aktualisiert um 09:43 Uhr
Variante 1
- Server in ein abschliessbares Rack packen
- Das Rack in einen separaten, abschliessbaren, klimatisierten Raum stellen und mit dem Boden fest verschrauben

Variante 2
- Platz in einem Rechenzentrum anmieten und den Server dorthin stellen
- Zugriff auf den Server per Citrix oder RDP
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst OpenVPN Server - Kein Zugriff auf Server LAN (2)

Frage von PeterH96 zum Thema Router & Routing ...

Vmware
gelöst VmWare Workstation Pro SQL Server Manager Zugriff Host - Guest (1)

Frage von Nintox zum Thema Vmware ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...