Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wer setzt File- und Folderverschlüsselung im Unternehmen ein oder plant es?

Frage Sicherheit

Mitglied: mr-wolfe

mr-wolfe (Level 1) - Jetzt verbinden

23.12.2008, aktualisiert 04.02.2009, 7123 Aufrufe, 14 Kommentare

Hi,

bei uns im Unternehmen ist die Einführung einer File- und Folderverschlüsselung geplant. Wer hat denn da schon Erfahrungen (gute wie schlechte) gemacht und kann mir ein paar Tipps geben? Auf den Homepages der Hersteller gibt's ja nur Werbegeschwätz, aber keine technischen Einblicke.

Wer ist evtl. in einer ähnlichen Situation wie ich und plant auch gerade? Wäre für einen Erfahrungsaustausch dankbar!

Danke & Grüße
Mitglied: nikoatit
23.12.2008 um 09:40 Uhr
Also wir haben bei uns sehr gute Erfahrungen mit "Safe Guard Easy" von "Ultimaco" gemacht.
Es handelt sich nicht direkt um eine verschlüsselung von einzelnen Ordnern, sondern eher für die ganze Festplatte bzw. Partionionen und Externe Datenträger wie Externe Festplatten oder USB-Sticks.
Verschlüsselt wird über AES.
Ein Passwort wird direkt nachen Hochfahren abgefragt und vorher lässt sich auch keine Bootcd starten.
Die Verwaltung ist recht simpel, da man auch mit den Default-Einstellungen schon gut fährt.
Fazit: Klasse Programm zum guten Preis.
Einziges Kontra: Verschlüsselung einer Festplatte von ca. 160 GB kannm selbst nur wenn OS installiert ist, schon mal gute 2 Stunden dauern.
Bitte warten ..
Mitglied: mr-wolfe
23.12.2008 um 09:48 Uhr
Hi,

danke, aber eine Festplattenverschlüsselung nützt uns im Netzwerk garnix. Uns geht's primär um den Schutz der Fileserver und es sollen auch nur bestimmte Benutzergruppen mit bestimmten Ordnern arbeiten dürfen bzw. die Inhalte lesen können. Da kann ich mit einer Festplattenverschlüsselung leider nichts anfangen.

Grüße
Bitte warten ..
Mitglied: nikoatit
23.12.2008 um 12:43 Uhr
Dann reicht doch eigentlich TrueCrypt aus.
Dort können sogennante "Container" erstellt werden und alle Daten die verschlüsselt werden soll, die kommen da rein.
Bitte warten ..
Mitglied: DerWoWusste
23.12.2008 um 14:35 Uhr
Das Szenario rechtfertigt keine Verschlüsselung. Oder welchen Schutz hast Du so, den NTFS nicht schon bieten kann?
Bitte warten ..
Mitglied: mr-wolfe
23.12.2008 um 15:00 Uhr
TrueCrypt hat, soweit ich weiss, kein zentrales Management und auch keine Zugriffssteuerung für den gemeinsamen Zugriff für Arbeitsgruppen, oder gibt's das inzwischen?
Bitte warten ..
Mitglied: mr-wolfe
23.12.2008 um 15:02 Uhr
Unserem Chef geht's unter anderem darum, dass auch wir Administratoren keinen Zugriff z.B. auf die Personalunterlagen oder die Geschäftsführungsdaten haben. Außerdem macht das Backup bei uns ein Dienstleister und auf den Backup-Bändern greift NTFS ja auch nicht mehr. Der Dienstleister muss natürlich auch von den Daten ferngehalten werden, allein schon aus Gesetzesgründen.
Bitte warten ..
Mitglied: DerWoWusste
23.12.2008 um 15:24 Uhr
Das Thema "Schützen vor dem Admin" ist schier unerschöpflich diskutiert worden (war ich selbst bestimmt 10 Mal in anderen Foren dabei). Überleg Dir bitte: Daten werden nicht nur gespeichert und gelesen, sondern auch angesehen und erzeugt. Du kannst einen Keylogger installieren und alles mitschneiden: erzeugte Texte, Anmeldekennwörter und Verschlüsselungskennwörter. Du kannst Remotescreenshots machen, alles urgemütlich, Verschlüsselung hin oder her - popelige Virenscanner deaktivieren wir mit unserer kriminellen Energie im Handumdrehen. Damit Du Dich selber wirksam aussperrst, darfst Du keine Adminrechte auf der Kiste haben. Schon hast Du einen nicht mehr verwaltbaren Standalone-PC vor Dir...toll. Beim externen Dienstleister sieht das anders aus, das ist klar.

Für zentrales Management einer Verschlüsselung kannst Du Dich auch mit EFS vertraut machen.
Bitte warten ..
Mitglied: mr-wolfe
23.12.2008 um 15:33 Uhr
Naja, meine kriminelle Energie ist eher gering, aber darum geht's auch garnicht. Mein Chef will Verschlüsselung und ich soll ihm eine Lösung präsentieren, die was taugt. EFS taugt für den Unternehmenseinsatz nix, ist nicht arbeitsgruppenfähig und hat mehrere Sicherheitslücken. Das ist mein Problem, ich weiss, was nicht geht, aber nicht, welche guten Lösungen es gibt.

Nix für ungut, aber mir wäre wirklich mehr geholfen, wenn mir jemand seine Erfahrung mit File- und Folderverschlüsselungsprogrammen mitteilen könnte.
Bitte warten ..
Mitglied: DerWoWusste
23.12.2008 um 15:37 Uhr
"EFS taugt für den Unternehmenseinsatz nix, ist nicht arbeitsgruppenfähig und hat mehrere Sicherheitslücken" - dann zähl mal auf. Ich denke, dass es taugt, dass es gruppenfähig ist und dass es keine Sicherheitslücken hat (bis auf den Domänenadmin, der alles entschlüsseln kann) - lasse mich aber gerne überzeugen.
Bitte warten ..
Mitglied: mr-wolfe
23.12.2008 um 15:54 Uhr
- Beim Verschieben von Daten bleiben diese u.U. unverschlüsselt, auch wenn der Zielordner zur Verschlüsselung markiert ist.

- Der Zugriff auf verschlüsselte Daten ist lediglich über das Systemkennwort abgesichert. Daher bietet EFS keinerlei Schutz vor Administratoren, die Systempasswörter zurücksetzen können.

- EFS räumt von einer Applikation, z.B. Word, gespeicherte temporäre Klartextdateien nicht auf. Dadurch können im System eigentlich zu verschlüsselnde Dateien unverschlüsselt auftauchen.

- Beim Übertragen in einem Netzwerk von Rechner A zu Rechner B werden Daten auf Rechner A entschlüsselt, dann im Klartext übertragen und erst auf Rechner B wieder verschlüsselt. Während der Übertragung sind sie ungeschützt.

Gibt noch mehr Probleme. Hab mal auf dem BSI Kongress einen Vortrag drüber gehört.
Bitte warten ..
Mitglied: DerWoWusste
23.12.2008 um 17:33 Uhr
Ok, dann wollen wir mal resümieren, ob EFS wirklich schlechter geeignet ist, als andere Lösungen:
-den Einwand mit der Arbeitsgruppenfunktionalität hast Du fallengelassen, ja? Man kann den Zugriff für mehrere konfigurieren.
-Sicherheitslücken hast Du keine genannt, sondern konzeptionelle Schwächen. Falls Du von Sicherheitslücken weißt, nenn diese bitte.
-"...bleiben diese u.U. unverschlüsselt" - unter welchen Umständen? -bleibt zu klären
-Der Einwand mit der Rücksetzbarkeit von Kennwörtern ist meiner Meinung nach überflüssig. Will ein Admin die Daten haben, nimmt er Keylogger/Remotescreenshots und keine Verschlüsselung stoppt ihn mehr.
-Temporärdateien müssen in definierte Ordner und diese werden dann über Abmeldeskripte gelöscht, dies ist gängige Praxis. Auch sicheres Überschreiben ist möglich. Alle Verschlüsselungsverfahren außer Vollverschlüsselung werden dieses Problem aufweisen. Man muss dann auch konsequenterweise die Pagefile verschlüsseln (geht mit Bordmitteln seit Vista) und die Ruhezustandsnutzung per Policy verbieten.
-Beim Übertragen durchs Netzwerk müssen bei Bedarf dann weitere Sicherungen benutzt werden wie IPSec. Das wird Dir auch keine andere Verschlüsselung abnehmen.

OK...ich hoffe Dich stört dies Sinnieren jetzt nicht
Andere zentral managebare Lösungen habe ich bisher nicht eingesetzt. Ich könnte mir vorstellen, das PGP Derartiges im Angebot hat und auch Utimaco.
Bitte warten ..
Mitglied: gnarff
27.12.2008 um 20:36 Uhr
Hallo,

was Du suchst ist ein Produkt wie der e-Capsule Fileserver, was fuer einen Fileserver benutzt Ihr gegenwaertig?

SafeGuard LAN crypt sehe ich ebenfalls als eine Alternative.

Als Billigvariante koennte ich mir noch das CryptoNAS-Server package vorstellen, allerdings nicht Compliance-gerecht.

EFS als Verschluesselung taugt nichts im Produktiveinsatz.

saludos
gnarff
Bitte warten ..
Mitglied: mr-wolfe
30.12.2008 um 15:04 Uhr
So wie Du EFS verteidigst, könnte an meinen, Du arbeitest für Microsoft

Natürlich gibt es die Möglichkeit, Daten im Netzwerk verschlüsselt zu übertragen, auch ohne IPSEC oder SSL. Es reicht ja, wenn die Daten erst am Client entschlüsselt werden.

Ich bleibe dabei, EFS ist für den Unterehmenseinsatz nicht zu gebrauchen, näheres siehe Tagungsband zum BSI-Kongress 2003.

Dass keine Software einen Schutz bietet, der alle theoretischen Angriffe abwehrt, weiss ich auch, weiss sogar mein Chef, aber das ist ja kein Grund, auf alles zu verzichten. Ich bau' ja auch nicht den Sicherheitsgurt aus dem Auto aus, nur weil mich der nicht vor der generellen Möglichkeit des Unfalls schützt.

Ja, PGP und Utimaco haben solche Lösungen im Angebot, genauo wie Applied Security (apsec), McAfee, Entrust und noch ein paar mehr. Soweit bin ich auch schon, hab da schon recherchiert, aber ich suche jemanden, der mir sagen kann, ob die Software was taugt bzw. welche Macken sie hat.
Bitte warten ..
Mitglied: gnarff
31.12.2008 um 19:34 Uhr
Zitat von mr-wolfe:
Soweit bin ich auch schon, hab da schon recherchiert, aber ich suche
jemanden, der mir sagen kann, ob die Software was taugt bzw. welche
Macken sie hat.

Ja, ganz einfach, Du laesst uns wissen, welche Loesung in die engere Auswahl gekommen ist und dann gibt es auch bestimmt jemanden, der Dich bereitwillig an seine Erfahrungen im Umgang mit dem Produkt teilhaben laesst.
Einfach mal so ins Blaue gefragt zeitigt selten brauchbare Ergebnisse...

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

CPU, RAM, Mainboards
PC Engines apu3a4 product file (7)

Link von ashnod zum Thema CPU, RAM, Mainboards ...

PHP
How to write phpinfo with special character to file (11)

Frage von thankusomuch zum Thema PHP ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...