99536
Goto Top

Datei nur auf einem Gerät zur Verfügung stellen

Hallo ihr Administratoren,

Ich habe da eine Spezial Aufgabe bekommen und ich kann mir bei besten Willen nicht vorstellen, wie ich die lösen soll ...

Ich habe folgende Anforderung bekommen:

Eine Datei (PDF, DOCX, XLSX, PPTX, TXT) soll verschlüsselt und von unseren Usern im Netzwerk abgerufen werden.
Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Es handelt sich hierbei dann um sehr vertrauliche Daten.

Ich habe mir box.com schon mal angeschaut, sollte man dort einen Enterprise Vertrag haben,
kann man es fast genauso realisieren.
Allerdings wären die Daten dann in den USA, was unser "Sicherheitsexperte" nicht so gerne hat.
Nach dem Motto: NSA, GCHQ, BND und und und.
Mir ist das relativ egal. Wenn die Daten von uns eh verschlüsselt werden,
können die sich gern die Zeit vertreiben, das zu knacken.

Ich freue mich auf eure Vorschläge.

MfG NexXxuS

Content-ID: 215555

Url: https://administrator.de/contentid/215555

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

brammer
brammer 29.08.2013 um 13:38:11 Uhr
Goto Top
Hallo,

egal wie, das anfertigen ienes Screenshots kannst du nicht unterbinden, Screenshots werden durch eine Funktion vom Betriebssystem angefertigt, nicht von der jeweiligen Anwendung.
Und wenn du das irgendwie schaffst den Screenshot abzuschalten, dann kann der User immer hingehen und mit der Kamera vom Smartphone ein "Screenshot" anzufertigen.
Wenn es eine Textdatei ist, dann kann man auch mit Stift und Papier hingehen und abschreiben...

Wenn deine Geschäftsleitung damit ein Problem hat, dann wird die Datei halt nur auf dem Rechner des Geschäftsführers, ohne Backup, gespeichert und er darf damit arbeiten...

brammer
106543
106543 29.08.2013 um 13:39:20 Uhr
Goto Top
Hi,

wüsste nicht wie das mit Bordmitteln oder selbstgebautem umsetzbar sein soll.
Bin gespannt auf mögliche Lösungsvorschläge.

Grüße
Exze
MartinBinder
MartinBinder 29.08.2013 um 13:51:00 Uhr
Goto Top
Stichwort wäre "AD RMS". Braucht aber natürlich ein AD dazu und eine PKI.
mfg Martin
106543
106543 29.08.2013 um 13:54:01 Uhr
Goto Top
Zitat von @MartinBinder:
Stichwort wäre "AD RMS". Braucht aber natürlich ein AD dazu und eine PKI.
mfg Martin

verbessere mich bitte wenn ich falsch liege, aber wie soll es möglich sein, per RMS das Erstellen eines Screenshots zu unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer) abfotografieren. siehe @brammer
108012
108012 29.08.2013 aktualisiert um 15:14:16 Uhr
Goto Top
Hallo,

Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Siehe Beitrag von @MartinBinder.

Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Unmöglich, selbst wenn das was @brammer als Möglichkeiten angeführt hat nicht greift, da zum Beispiel
nur in oder von bestimmten Bereichen in einer Firma, wo Kameras, Handys und Smartphones unterbunden werden
bzw. verboten sind, ist es immer noch möglich die Daten aus der Abstrahlung der Geräte (Bildschirm) wieder herzustellen
und das über eine Distanz von 4 Kilometern (Stand 1972) also kann ergo da jeder mitlesen der will und es sich leisten kann.

Es handelt sich hierbei dann um sehr vertrauliche Daten.
Dann sollte es niemandem möglich sein:
- mit dem Smartphone und/oder Laptop darauf zuzugreifen (Nach der Entschlüsselung noch im RAM oder in Temp Dateien!)
Wird das Smartphone gestohlen und jemand ließt den RAM mittels eines Speicher Dumps aus, oder guckt nach temporären
Dateien die nicht nach dem Betrachten gelöscht worden sind, hat er eventuell das gesamte Dokument!

- nur via VPN darauf zuzugreifen sein (Site-to-Site oder Firma - Firma) (Sichere Verbindungen von bekannten Nutzern!)
Da weiß man wenigstens wer darauf zugreift und von wo zugegriffen wird bzw. wurde
- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag (Verschwiegenheitsklausel)
- Eine ordentliche Protokollierung der gesamten Vorgänge des Abrufens und Betrachtens wäre für den
Fall der Fälle und zur besseren Dokumentation nicht schlecht.

Als Alternative bietet sich aber mitunter folgendes Szenario an, die Risikominimierung auf mehrstufiger Basis:
- Die Dokumente werden zerstückelt bzw. aufgeteilt und für den jeweiligen Rang bzw. Gebrauch zurecht "gestutzt"!
- Der Chef darf auf alle Dokumente zugreifen und zwar komplett
- Abteilungen und Mitarbeiter die diese Dokumente pflegen und bearbeiten bzw. verändern dürfen von
Ihrem Arbeitsplatz darauf zugreifen (Rechts-, Forschungs- und Verkaufsabteilungen)
- Alle anderen Mitarbeiter und/oder Kunden erhalten nur Zugang, zu den Verzeichnissen auf die Sie Zugriff haben
in denen Dokumente, Teildokumente oder in andere Dokumente ausgegliederte Fragmente des Hauptdokuments enthalten sind.
Somit kann nicht jeder an alles gelangen oder den gesamten Inhalt gelangen.

Nach dem Motto: "Nichts ist sicher und alles ist möglich" würde ich mir an Deiner Stelle einfach mal Gedanken machen
wie Du selber an die ganze Sache heran gehen würdest, wenn Du nicht Du wärst!
- Einen verseuchten USB Stick im Aufenthaltsraum oder in der Kantine liegen lassen (Schulungen)
- Verkleidet als Putzmann Nachmittags durch die Firma gehen und sehen wer "nur" seinen Bildschirmschoner an hat
aber ohne Passworteingabe bei Reaktivierung (Trojaner setzen)
- Eine Werbemail mit gespooftem Absender (Kunde, Partner oder Lieferant von Euch) verschicken (mit Link auf verseuchte Seite)
- Werbung mit QR Code auf Eurem Firmenparkplatz für die tollste Gratis Smartphone APP mit Backdoor zu Deinem PC zu
Hause über Umwege und Proxys in China, Dubai, Google,......... (Live Beobachtung)
- 100 verseuchte USB Sticks mit Werbung bedrucken lassen und an Eure Verkaufsabteilung oder Chefetage schicken
- 10 verseuchte USB Sticks mit Werbung bedrucken lassen und gezielt euren Leuten von der Entwicklungsabteilung in den
Briefkasten werfen
- ...........

Gruß
Dobby

P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!

P.P.S.
Wir teilen auch, versprochen!
106543
106543 29.08.2013 um 14:49:13 Uhr
Goto Top
Hi,

Dobby ... YMMD face-big-smile

Gruß
Exze
99536
99536 29.08.2013 um 16:11:59 Uhr
Goto Top
Hallo die Damen,

Erstmal DANKE!

Ihr habt mir die Augen geöffnet.
Besser gesagt @d.o.b.b.y hat es gemacht face-big-smile

Mir war es so eigentlich gar nicht bewusst, was ich da für einen Bullshit frage xD

Der, welcher das so umsetzten kann, ist wirklich ein gemachter Mann.
Damit könnte er pro Datei abrechnen und wär maximal nach einem Jahr Milliardär :-P

Naja, ich geh dann mal wieder in mein Puppenhaus zurück und träume weiter face-devilish

Greetings und GN8

NexXxuS
goscho
goscho 29.08.2013 aktualisiert um 17:16:15 Uhr
Goto Top
Zitat von @108012:
Hallo,
Hi

- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag
(Verschwiegenheitsklausel)


Wetten, dass Edward Snowden auch so einen Vertrag unterschrieben hatte? face-wink
Oder wie steht es um die Daten der Steuerflüchtlinge, die von Mitarbeitern Schweizer Banken verkauft wurden?

Ich möchte damit nur sagen:

Wo ein Wille und genug kriminelle Energie ist, da ist auch ein Weg.
Das ist zumeist nicht mal eine "Mission Impossible".


Um was produktives beizutragen:

Ein Stichwort für die Suche sollte DATA LOSS PREVENTION sein.
goscho
goscho 29.08.2013 aktualisiert um 17:15:39 Uhr
Goto Top
Zitat von @108012:
P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!

P.P.S.
Wir teilen auch, versprochen!
Wer wird denn so egoistsich sein?

Wir teilen durch die gesamte Community
Mal sehen, wie lange das dauert, bis Administrator.de mehr Mitglieder als Facebook hat? face-big-smile
99536
99536 29.08.2013 um 17:38:19 Uhr
Goto Top
Somit wäre das hier auch mal ein Anfang, oder ?
Das mit Screenshots und abfotografieren sei jetzt mal dahin gestellt ^^
108012
108012 29.08.2013 um 17:55:46 Uhr
Goto Top
Original Text:
Selbst für den Fall das ein User ihre Vereinbarungen oder eine Bezahlung brechen sollte, oder eines Ihrer Dokumente an die Öffentlichkeit gerät können Sie jederzeit den Zugriff des Users oder sogar das gesamte Dokument sperren.
Hört sich nicht schlecht an, aber passt Eure Verschlüsselung noch dazu?

Und wo liegen denn die Dokumente, auf einem Server im LAN oder der DMZ?
Denn wenn Ihr Eure Dokumente nicht mehr verschlüsselt und die ganze Sache sich auf einem Server in der DMZ
abspielt würde ich eventuell noch an eine bessere Sicherung und Verteidigung der DMZ setzen wollen, vorher war das egal, wenn
ja so oder so alles verschlüsselt war konnte man so etwas schon vernachlässigen. Oder sind die Dokumente auch von der
Software verschlüsselt?

Gruß
Dobby
99536
99536 29.08.2013 um 18:10:18 Uhr
Goto Top
So wie ich das von der Seite her interpretiere, sind die Dokumente von der Software her verschlüsselt.
Ist als PDF auf nem USB-Stick atm gespeichert ....
MartinBinder
MartinBinder 29.08.2013 um 20:27:17 Uhr
Goto Top
verbessere mich bitte wenn ich falsch liege, aber wie soll es möglich sein, per RMS das Erstellen eines Screenshots zu
unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer)
abfotografieren. siehe @brammer

Gar nicht - der "Hauself" hat das sehr gut beschrieben. Wenn Du dem Mitarbeiter nicht vertraust, dass er diese Daten haben darf, dann GIB SIE IHM NICHT. Das ist die einzige Lösung für diese Frage. Punkt. face-smile Abfotografieren oder abschreiben geht immer...
Christian25
Christian25 29.08.2013 um 23:43:15 Uhr
Goto Top
einen 2ten Mitarbeiter auf diesen Rechner setzen, der den ersten Überwacht....
andere Möglichkeiten gibts wohl nicht...
*Handykamera Stift und Papier etc...