Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verschlüsselung sensibler Daten (KMU)

Frage Sicherheit

Mitglied: ThomasAnderson

ThomasAnderson (Level 1) - Jetzt verbinden

12.05.2014, aktualisiert 15.05.2014, 1951 Aufrufe, 23 Kommentare, 3 Danke

Hallo,

mal eine reine Interessefrage.

Wie handhabt ihr die Sicherheit Eurer sensiblen Daten im RZ?
Also alles was Kunden oder Eure eigenen Daten betrifft (Projekte, Konfigurationen etc.).

Klar, über das jeweilige Rechtekonzept, durch ein Backup und ein vernünftiges Raid-System.
Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft?

Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)?
Ist SW-seitig in einer KMU überhaupt sinnvoll?

Reichen die Userberechtigungen schon aus für einen vernünftigen "Grundschutz".

LG

Mitglied: certifiedit.net
12.05.2014 um 14:05 Uhr
Hallo,

nein, normalerweise reichen die nicht. Oberstes Ziel ist dabei die Angriffe gar nicht bis zu der Eben vordringen zu lassen.

Grüße
Bitte warten ..
Mitglied: ThomasAnderson
12.05.2014 um 14:10 Uhr
Ja klar, steht noch einiges davor.
Aber wie ich Deinen Satz verstehe, würdest Du solche Informationen nichtmehr weiter absichern in Form von separater Verschlüsselung o.Ä.
Klar, davor stehen FW etc.
Bitte warten ..
Mitglied: certifiedit.net
12.05.2014 um 16:08 Uhr
Hallo,

das habe ich nicht behauptet. (Absolut nicht)

Aber genaueres müsste man analysieren.
Bitte warten ..
Mitglied: AndiEoh
12.05.2014 um 17:20 Uhr
Hallo,

einfach die Münze umdrehen:

Wenn du ein potentieller Angreifer wärst, welche Sachen wären interessant und welchen Aufwand könntest du betreiben um diese zu erlangen? Wo würdest du ansetzen und wieviel Zeit und Geld wäre es dir Wert? Damit hast du in etwa das vorhandene Risiko.

Danach kannst du anfangen darüber nachzudenken an welchen Stellen du das Risiko senken kannst und mit welchen Mitteln und Wegen.

Kritische Punkte sind dabei in der Regel an der Stelle an der der Gewinn des Angreifers sehr hoch ist (komplett Backup..), oder der Aufwand sehr gering (Laptop aus dem Cabrio klauen). Diese dann soweit machbar abdichten.

Gruß

Andi
Bitte warten ..
Mitglied: DerWoWusste
12.05.2014 um 20:29 Uhr
Hi.

Bist Du ansatzweise firm im Bereich Verschlüsselung? Weißt Du, wann sie etwas bringt und wann nicht?
Bitte warten ..
Mitglied: ThomasAnderson
13.05.2014, aktualisiert um 08:20 Uhr
@AndiEoh:
Die Daten sind aufjedenfall "kritisch".

Gibt es ein Standardvorgehen oder Best Practices für die Handhabung sensibler Daten? Bisher konnte ich keinen einzigen zutreffenden Lösungsweg finden.
Wie verwaltet Ihr Eure Konfigurationen (NW) und deren Logindaten bspw.? Oder die der Kunden?

Wie handhabt Ihr wichtige Dokumentationen? Oder liegen diese einfach auf dem "sowieso sicheren" Laufwerk ab?

@DerWoWusste:
Die Theorie wurde im Studium relativ ausführlich besprochen meiner Meinung nach.
Jedoch fehlt mir ein wenig der Übergang zur Praxis und vorallem zu funktionstüchtigen Lösungen (mal TrueCrypt außen vor).

@certifiedit.net:
Das ist schon "analysiert" worden, es geht jetzt darum die Daten bspw. aufzuteilen, oder anderweitig zu sichern.
Wie machen das denn die ganz Großen ala Siemens oder IBM? Da wird der Admin doch nicht alles irgendwo im Klartext rumliegen haben,
genau so wenig wird er alle IP Adressen und deren Login auswendig können. Nur mal als eins von vielen Beispielen.

Danke für die Unterstützung, freu mich auf Lösungsvorschläge
Bitte warten ..
Mitglied: DerWoWusste
13.05.2014, aktualisiert um 19:49 Uhr
Mir scheint weiterhin, Du weißt nicht wirklich Bescheid über die Basics von Verschlüsselung, denn Du schriebst:
Aber sind diese Daten dann auch sicher, wenn ein Eindrinling es in das System oder auf den PC eines Users schafft? Oder verschlüsselt Ihr diese Daten dann nochmal extra (HW oder SW-seitig)?
Wenn es jemand "auf das System geschafft hat", dann hat er Zugriff auf lokale Daten zumindest mit Nutzerrechten. Gehen wir von einem Fileserver aus, dessen Laufwerke mit Bitlocker (und TPM im transparenten Modus) verschlüsselt sind, dann bringt die Verschlüsselung hier doch rein gar nichts. Sie hilft nur gegen Versuche, an die Daten offline ranzukommen. Ist man auf dem System, sind die Daten doch offen.

Beschreibe also bitte genauer, wie Du zu der zitierten Aussage kommst, vielleicht hast Du ja noch nicht richtig rüberbringen können, was das für ein System ist.
Weiterhin:
Ist SW-seitig in einer KMU überhaupt sinnvoll?
Was soll das heißen, warum sollten KMU andere Vorgehensweisen brauchen? Es geht hierbei doch nicht in erster Linie ums Budget, bzw. das ist doch nicht teuer.
Bitte warten ..
Mitglied: certifiedit.net
13.05.2014 um 19:51 Uhr
Von wem ist es analysiert worden? Mit welcher Kompetenz? Warum arbeitet dieser dann kein Konzept auf Basis des Ergebnis aus und implementiert dies dann?
Bitte warten ..
Mitglied: ThomasAnderson
14.05.2014 um 08:06 Uhr
Zitat von DerWoWusste:
Wenn es jemand "auf das System geschafft hat", dann hat er Zugriff auf lokale Daten zumindest mit Nutzerrechten. Gehen
wir von einem Fileserver aus, dessen Laufwerke mit Bitlocker (und TPM im transparenten Modus) verschlüsselt sind, dann bringt
die Verschlüsselung hier doch rein gar nichts. Sie hilft nur gegen Versuche, an die Daten offline ranzukommen. Ist man auf
dem System, sind die Daten doch offen.

Wenn jemand auf das System kommt und die Daten dann verschlüsselt (und in dem Fall Passwort geschützt über TrueCryt, oder sagen wir ganz einfach einen 7Zip AES Container) sind, dann kann der / die jenige gar nichts damit anfangen solange er das Passwort nicht weiss?

Oder speichert Ihr alle Eure Zugängsdaten irgendwo im Klartext, weil die Verschlüsselung gar nichts bringt?
Es heißt ja nicht, dass diese direkt an die Windows Authentifzierung geknüpft sein muss.

Zitat von certifiedit.net:

Von wem ist es analysiert worden? Mit welcher Kompetenz? Warum arbeitet dieser dann kein Konzept auf Basis des Ergebnis aus und
implementiert dies dann?

Danke für die gute Idee!!!
Bitte warten ..
Mitglied: DerWoWusste
14.05.2014 um 08:08 Uhr
Wenn Du da TC Container liegen hast, dann besteht der Schutz, keine Frage... deshalb war meine Bitte, doch mal ein Szenario zu malen und es nicht so hoffnungslos allgemein gehalten zu beschreiben und dann (vergeblich) auf passende Tipps zu hoffen.
Bitte warten ..
Mitglied: ThomasAnderson
14.05.2014 um 09:26 Uhr
Ok, ein Beispiel:
Ausgangsproblem: Excelsheets sind historisch bedingt gewachsen und enthalten zuviele sensible Daten.
1. Excel Sheet mit Konfigurationsdaten -> liegt auf Service Laufwerk & beschränkt durch Berechtigungen
2. Excel Sheet mit irgendwelchen Bankdaten -> liegt auf Vertrieb Laufwerk & beschränkt durch Berechtigungen
3. Excel Sheet mit Logindaten die sich keiner merken kann -> liegt auf EDV Laufwerk & beschränkt durch Berechtigungen

Konfigdaten sind natürlich im Klartext im Excelfile. Dass ein Excel-PW Schutz nichts taugt wissen wir alle.
Die ganzen Daten in einen TrueCrypt Container, für jeden Ordner ein unterschiedlichen PW und dieses über einen PW Manager verwalten.
Problem: Mehr Aufwand.
Weiteres Problem: Desto größer die Daten werden, desto langsamer wird die ver- & Entschlüsselung, seh ich das richtig?.

Vorteil: Die Ordner können in Ticktes oder Kundenkarten im ERP / Ticketsystem eingebunden werden.
Nachteil: Man muss beim Öffnen über das jeweilige System trotzdem den Container mit dem jeweiligen Passwort öffnen.

Evtl. bessere Lösung:
Alles im Ticketsystem oder einer separaten Datenbank ablegen, die die Daten verschlüsselt abspeichert. Diese ist durch Logins mit unterschiedlichen Berechtigungen geschützt.
Problem: Unmengen an Arbeit & Aufwand zum erstellen der Datenbank, einpflegen aller Daten usw.

Frage aus dem Anfangspost bleibt bestehen:
Was sind Best Practices für so eine Lösung. Wie handeln diese Datenmengen & sensible Daten die großen oder andere KMUs.
Wie handhabt Ihr solche Daten? Sollte man die Daten vielleicht noch trennen?

Gerade beim Thema Netzwerk sehe ich riesige Problem, da es sich einfach um richtig viele Daten handeln kann, auf die schnelle fällt mir da ein:
- Einwahldaten VPN ISDN & Managementrechner
- Backup-Server Daten
- Unified Com - Systeme
- Wireless Systeme
- 3d Party Systeme
Zu allen Systeme Logindaten / Namen / IP-Adressen / Passwörter / Notizen / Protokolle oder Beschreibungen etc.
Also keine Doku, sondern nur Hilfestellungen für die MA oder Techniker oder sonst wen.

Das sind nur Beispiele, musste mir etwas überlegen um nicht genau das aktuelle Problem zu verraten :D.
Aber ich denke es ist gut übertragbar!

@DerWoWusste: Danke für Deine Hilfe, alle Anderen schmeißen anscheinend gerne mal ein paar Wörter in den Raum die auf die verschiedensten Probleme anwendbar sind. Aber hilft natürlich auch die Posts zu erhöhen.
Bitte warten ..
Mitglied: certifiedit.net
14.05.2014, aktualisiert 15.05.2014
Das sind nur Beispiele, musste mir etwas überlegen um nicht genau das aktuelle Problem zu verraten.

Wenn du uns das genaue Problem nicht verraten möchtest können wir dir nicht helfen. (Ich versuche das mal als eine Erkenntnis zu sehen, die wir dir geben müssen.)
Bitte warten ..
Mitglied: ThomasAnderson
15.05.2014 um 08:10 Uhr
Keiner mehr was nach der Info?
Bitte warten ..
Mitglied: DerWoWusste
15.05.2014 um 10:29 Uhr
Doch, da kommt noch was

Dass ein Excel-PW Schutz nichts taugt wissen wir alle.
Es kommt zunächst mal darauf an, von welcher Excelversion Du sprichst. Lies einfach mal, was da so getan wurde: http://en.wikipedia.org/wiki/Microsoft_Office_password_protection#Histo ... und http://technet.microsoft.com/en-us/library/cc179125(v=office.15).aspx

Vielleicht denkst Du danach anders.
Bitte warten ..
Mitglied: ThomasAnderson
16.05.2014 um 08:08 Uhr
Da hab ich aber etwas anderes in Erinnerung?
Egal ob VBA Code auslesen, oder mit Hexeditor knacken oder irgendwelche anderen Kostenpflichtigen Tools usw?
Bitte warten ..
Mitglied: DerWoWusste
16.05.2014, aktualisiert um 08:34 Uhr
Mit anderen Worten: du zweifelst es unbegründet an? Oder arbeitet ihr noch mit Office 2003?
Bitte warten ..
Mitglied: ThomasAnderson
16.05.2014 um 15:21 Uhr
Wir hatten es an der Uni mit Excel 2010 ausprobiert wenn ich mich recht entsinne.

Ich überlege gerade ob es sinnvoller wäre die Daten alle in eine sichere Datenbank einzupflegen.
Bitte warten ..
Mitglied: DerWoWusste
16.05.2014 um 17:32 Uhr
Na, dann müsstet ihr ja gefragte Cracker sein. Wie du detailliert lesen konntest: bei O2010 ist das AES128. Das habt ihr garantiert nicht gemacht.

Datenbank: warum kommt die Idee auf?
Bitte warten ..
Mitglied: ThomasAnderson
19.05.2014 um 08:06 Uhr
Vielleicht war es auch nur ein 16 Bit Schlüssel, denke ich.

Um die "Unmenge" an Daten zentral verwalten zu können.
Bitte warten ..
Mitglied: DerWoWusste
19.05.2014 um 10:02 Uhr
Ein 16-Bit-Schlüssel geht nicht bei Office 2010. Sei's drum.
Du hast die Frage eh auf gelöst gesetzt, da frag ich dann auch nicht weiter zurück.
Bitte warten ..
Mitglied: ThomasAnderson
20.05.2014 um 08:29 Uhr
Kamen leider keine hilfreichen Vorschläge. Trotzdem Danke für Deine Hilfe.
Bitte warten ..
Mitglied: AndiEoh
21.05.2014, aktualisiert 22.05.2014
Du hast ein organisatorisches und kein technisches Problem. Ich würde zunächst mal sauber definieren/trennen wer welche Dinge benötigt und das Ganze nach Sicherheitsanforderungen sortieren.

Beispiel:

1.) Systempasswörter mit höchster Berechtigung (Domain-Admin, Zugang Firewall / VPN etc.)

2.) Verwaltungspasswörter Servergruppen (Anwendungsserver nach Funktion)

3.) Zugangspasswörter eher unkritische Systeme (Issue Tracker etc.)
.
.
.

Die unter 1. sind bei uns z.B. nur im Tresor der GF (als Papier) und in einem EFS Ordner auf einer zugenagelten Admin Kiste. Danach können die Sicherheitsanforderungen nach und nach gesenkt werden um besser damit arbeiten zu können. Wichtig ist das die Absicherung mit steigenden Berechtigungen zunimmt, da man ansonsten das Ganze von oben her aufrollen kann.

Bankdaten etc. müssen üblicherweise nur einer sehr kleinen Anzahl an Mitarbeitern bekannt sein, und Zahlungsanweisungen per Chipkarte/PIN erfolgen. Backup-Daten sollte man soweit das verwendete System es unterstützt verschlüsseln und die Keys auf Stufe 1. behandeln. Ob die tatsächliche Speicherung dann in einer Excel Datei oder als ASCII vorliegt ist damit egal.

Gruß

Andi
Bitte warten ..
Mitglied: ThomasAnderson
22.05.2014 um 13:17 Uhr
[quote]3. Excel Sheet mit Logindaten die sich keiner merken kann -> liegt auf EDV Laufwerk & beschränkt durch Berechtigungen[/quote]
Im Bezug auf solche Daten?
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Veracrypt: Welcher Algorithmus ist bei der Verschlüsselung zu empfehlen? (6)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Verschlüsselung: Mit Veracrypt lässt sich nur eine Partition verschlüsseln (1)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Switche und Hubs
Switch Empfehlung für KMU (9)

Frage von katzepuh zum Thema Switche und Hubs ...

Windows Server
Welche Neuerungen hat Windows Server 2016 für KMU? (1)

Frage von Deepsys zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...