99536
29.08.2013
3634
14
0
Datei nur auf einem Gerät zur Verfügung stellen
Hallo ihr Administratoren,
Ich habe da eine Spezial Aufgabe bekommen und ich kann mir bei besten Willen nicht vorstellen, wie ich die lösen soll ...
Ich habe folgende Anforderung bekommen:
Eine Datei (PDF, DOCX, XLSX, PPTX, TXT) soll verschlüsselt und von unseren Usern im Netzwerk abgerufen werden.
Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Es handelt sich hierbei dann um sehr vertrauliche Daten.
Ich habe mir box.com schon mal angeschaut, sollte man dort einen Enterprise Vertrag haben,
kann man es fast genauso realisieren.
Allerdings wären die Daten dann in den USA, was unser "Sicherheitsexperte" nicht so gerne hat.
Nach dem Motto: NSA, GCHQ, BND und und und.
Mir ist das relativ egal. Wenn die Daten von uns eh verschlüsselt werden,
können die sich gern die Zeit vertreiben, das zu knacken.
Ich freue mich auf eure Vorschläge.
MfG NexXxuS
Ich habe da eine Spezial Aufgabe bekommen und ich kann mir bei besten Willen nicht vorstellen, wie ich die lösen soll ...
Ich habe folgende Anforderung bekommen:
Eine Datei (PDF, DOCX, XLSX, PPTX, TXT) soll verschlüsselt und von unseren Usern im Netzwerk abgerufen werden.
Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Es handelt sich hierbei dann um sehr vertrauliche Daten.
Ich habe mir box.com schon mal angeschaut, sollte man dort einen Enterprise Vertrag haben,
kann man es fast genauso realisieren.
Allerdings wären die Daten dann in den USA, was unser "Sicherheitsexperte" nicht so gerne hat.
Nach dem Motto: NSA, GCHQ, BND und und und.
Mir ist das relativ egal. Wenn die Daten von uns eh verschlüsselt werden,
können die sich gern die Zeit vertreiben, das zu knacken.
Ich freue mich auf eure Vorschläge.
MfG NexXxuS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215555
Url: https://administrator.de/contentid/215555
Ausgedruckt am: 05.11.2024 um 00:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
egal wie, das anfertigen ienes Screenshots kannst du nicht unterbinden, Screenshots werden durch eine Funktion vom Betriebssystem angefertigt, nicht von der jeweiligen Anwendung.
Und wenn du das irgendwie schaffst den Screenshot abzuschalten, dann kann der User immer hingehen und mit der Kamera vom Smartphone ein "Screenshot" anzufertigen.
Wenn es eine Textdatei ist, dann kann man auch mit Stift und Papier hingehen und abschreiben...
Wenn deine Geschäftsleitung damit ein Problem hat, dann wird die Datei halt nur auf dem Rechner des Geschäftsführers, ohne Backup, gespeichert und er darf damit arbeiten...
brammer
egal wie, das anfertigen ienes Screenshots kannst du nicht unterbinden, Screenshots werden durch eine Funktion vom Betriebssystem angefertigt, nicht von der jeweiligen Anwendung.
Und wenn du das irgendwie schaffst den Screenshot abzuschalten, dann kann der User immer hingehen und mit der Kamera vom Smartphone ein "Screenshot" anzufertigen.
Wenn es eine Textdatei ist, dann kann man auch mit Stift und Papier hingehen und abschreiben...
Wenn deine Geschäftsleitung damit ein Problem hat, dann wird die Datei halt nur auf dem Rechner des Geschäftsführers, ohne Backup, gespeichert und er darf damit arbeiten...
brammer
Hi,
wüsste nicht wie das mit Bordmitteln oder selbstgebautem umsetzbar sein soll.
Bin gespannt auf mögliche Lösungsvorschläge.
Grüße
Exze
wüsste nicht wie das mit Bordmitteln oder selbstgebautem umsetzbar sein soll.
Bin gespannt auf mögliche Lösungsvorschläge.
Grüße
Exze
Zitat von @MartinBinder:
Stichwort wäre "AD RMS". Braucht aber natürlich ein AD dazu und eine PKI.
mfg Martin
Stichwort wäre "AD RMS". Braucht aber natürlich ein AD dazu und eine PKI.
mfg Martin
verbessere mich bitte wenn ich falsch liege, aber wie soll es möglich sein, per RMS das Erstellen eines Screenshots zu unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer) abfotografieren. siehe @brammer
Hallo,
nur in oder von bestimmten Bereichen in einer Firma, wo Kameras, Handys und Smartphones unterbunden werden
bzw. verboten sind, ist es immer noch möglich die Daten aus der Abstrahlung der Geräte (Bildschirm) wieder herzustellen
und das über eine Distanz von 4 Kilometern (Stand 1972) also kann ergo da jeder mitlesen der will und es sich leisten kann.
- mit dem Smartphone und/oder Laptop darauf zuzugreifen (Nach der Entschlüsselung noch im RAM oder in Temp Dateien!)
Wird das Smartphone gestohlen und jemand ließt den RAM mittels eines Speicher Dumps aus, oder guckt nach temporären
Dateien die nicht nach dem Betrachten gelöscht worden sind, hat er eventuell das gesamte Dokument!
- nur via VPN darauf zuzugreifen sein (Site-to-Site oder Firma - Firma) (Sichere Verbindungen von bekannten Nutzern!)
Da weiß man wenigstens wer darauf zugreift und von wo zugegriffen wird bzw. wurde
- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag (Verschwiegenheitsklausel)
- Eine ordentliche Protokollierung der gesamten Vorgänge des Abrufens und Betrachtens wäre für den
Fall der Fälle und zur besseren Dokumentation nicht schlecht.
Als Alternative bietet sich aber mitunter folgendes Szenario an, die Risikominimierung auf mehrstufiger Basis:
- Die Dokumente werden zerstückelt bzw. aufgeteilt und für den jeweiligen Rang bzw. Gebrauch zurecht "gestutzt"!
- Der Chef darf auf alle Dokumente zugreifen und zwar komplett
- Abteilungen und Mitarbeiter die diese Dokumente pflegen und bearbeiten bzw. verändern dürfen von
Ihrem Arbeitsplatz darauf zugreifen (Rechts-, Forschungs- und Verkaufsabteilungen)
- Alle anderen Mitarbeiter und/oder Kunden erhalten nur Zugang, zu den Verzeichnissen auf die Sie Zugriff haben
in denen Dokumente, Teildokumente oder in andere Dokumente ausgegliederte Fragmente des Hauptdokuments enthalten sind.
Somit kann nicht jeder an alles gelangen oder den gesamten Inhalt gelangen.
Nach dem Motto: "Nichts ist sicher und alles ist möglich" würde ich mir an Deiner Stelle einfach mal Gedanken machen
wie Du selber an die ganze Sache heran gehen würdest, wenn Du nicht Du wärst!
- Einen verseuchten USB Stick im Aufenthaltsraum oder in der Kantine liegen lassen (Schulungen)
- Verkleidet als Putzmann Nachmittags durch die Firma gehen und sehen wer "nur" seinen Bildschirmschoner an hat
aber ohne Passworteingabe bei Reaktivierung (Trojaner setzen)
- Eine Werbemail mit gespooftem Absender (Kunde, Partner oder Lieferant von Euch) verschicken (mit Link auf verseuchte Seite)
- Werbung mit QR Code auf Eurem Firmenparkplatz für die tollste Gratis Smartphone APP mit Backdoor zu Deinem PC zu
Hause über Umwege und Proxys in China, Dubai, Google,......... (Live Beobachtung)
- 100 verseuchte USB Sticks mit Werbung bedrucken lassen und an Eure Verkaufsabteilung oder Chefetage schicken
- 10 verseuchte USB Sticks mit Werbung bedrucken lassen und gezielt euren Leuten von der Entwicklungsabteilung in den
Briefkasten werfen
- ...........
Gruß
Dobby
P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!
P.P.S.
Wir teilen auch, versprochen!
Dies soll aber pro User nur von einem Gerät aus möglich sein, egal ob PC/Laptop, iOS oder Android Device.
Siehe Beitrag von @MartinBinder.Genauso soll es nicht möglich sein Screenshots von der Datei dann zu machen.
Unmöglich, selbst wenn das was @brammer als Möglichkeiten angeführt hat nicht greift, da zum Beispielnur in oder von bestimmten Bereichen in einer Firma, wo Kameras, Handys und Smartphones unterbunden werden
bzw. verboten sind, ist es immer noch möglich die Daten aus der Abstrahlung der Geräte (Bildschirm) wieder herzustellen
und das über eine Distanz von 4 Kilometern (Stand 1972) also kann ergo da jeder mitlesen der will und es sich leisten kann.
Es handelt sich hierbei dann um sehr vertrauliche Daten.
Dann sollte es niemandem möglich sein:- mit dem Smartphone und/oder Laptop darauf zuzugreifen (Nach der Entschlüsselung noch im RAM oder in Temp Dateien!)
Wird das Smartphone gestohlen und jemand ließt den RAM mittels eines Speicher Dumps aus, oder guckt nach temporären
Dateien die nicht nach dem Betrachten gelöscht worden sind, hat er eventuell das gesamte Dokument!
- nur via VPN darauf zuzugreifen sein (Site-to-Site oder Firma - Firma) (Sichere Verbindungen von bekannten Nutzern!)
Da weiß man wenigstens wer darauf zugreift und von wo zugegriffen wird bzw. wurde
- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag (Verschwiegenheitsklausel)
- Eine ordentliche Protokollierung der gesamten Vorgänge des Abrufens und Betrachtens wäre für den
Fall der Fälle und zur besseren Dokumentation nicht schlecht.
Als Alternative bietet sich aber mitunter folgendes Szenario an, die Risikominimierung auf mehrstufiger Basis:
- Die Dokumente werden zerstückelt bzw. aufgeteilt und für den jeweiligen Rang bzw. Gebrauch zurecht "gestutzt"!
- Der Chef darf auf alle Dokumente zugreifen und zwar komplett
- Abteilungen und Mitarbeiter die diese Dokumente pflegen und bearbeiten bzw. verändern dürfen von
Ihrem Arbeitsplatz darauf zugreifen (Rechts-, Forschungs- und Verkaufsabteilungen)
- Alle anderen Mitarbeiter und/oder Kunden erhalten nur Zugang, zu den Verzeichnissen auf die Sie Zugriff haben
in denen Dokumente, Teildokumente oder in andere Dokumente ausgegliederte Fragmente des Hauptdokuments enthalten sind.
Somit kann nicht jeder an alles gelangen oder den gesamten Inhalt gelangen.
Nach dem Motto: "Nichts ist sicher und alles ist möglich" würde ich mir an Deiner Stelle einfach mal Gedanken machen
wie Du selber an die ganze Sache heran gehen würdest, wenn Du nicht Du wärst!
- Einen verseuchten USB Stick im Aufenthaltsraum oder in der Kantine liegen lassen (Schulungen)
- Verkleidet als Putzmann Nachmittags durch die Firma gehen und sehen wer "nur" seinen Bildschirmschoner an hat
aber ohne Passworteingabe bei Reaktivierung (Trojaner setzen)
- Eine Werbemail mit gespooftem Absender (Kunde, Partner oder Lieferant von Euch) verschicken (mit Link auf verseuchte Seite)
- Werbung mit QR Code auf Eurem Firmenparkplatz für die tollste Gratis Smartphone APP mit Backdoor zu Deinem PC zu
Hause über Umwege und Proxys in China, Dubai, Google,......... (Live Beobachtung)
- 100 verseuchte USB Sticks mit Werbung bedrucken lassen und an Eure Verkaufsabteilung oder Chefetage schicken
- 10 verseuchte USB Sticks mit Werbung bedrucken lassen und gezielt euren Leuten von der Entwicklungsabteilung in den
Briefkasten werfen
- ...........
Gruß
Dobby
P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!
P.P.S.
Wir teilen auch, versprochen!
Hi,
Dobby ... YMMD
Gruß
Exze
Dobby ... YMMD
Gruß
Exze
Zitat von @108012:
Hallo,
HiHallo,
- die Anzahle und vor allem der Rang der Leute die Zugriff haben erheblich herunter zu setzen
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag
(Verschwiegenheitsklausel)
Alle haben eine jährliche Sicherheitsbelehrung unterschrieben und eine Zusatzklausel im Arbeitsvertrag
(Verschwiegenheitsklausel)
Wetten, dass Edward Snowden auch so einen Vertrag unterschrieben hatte?
Oder wie steht es um die Daten der Steuerflüchtlinge, die von Mitarbeitern Schweizer Banken verkauft wurden?
Ich möchte damit nur sagen:
Wo ein Wille und genug kriminelle Energie ist, da ist auch ein Weg.
Das ist zumeist nicht mal eine "Mission Impossible".
Um was produktives beizutragen:
Ein Stichwort für die Suche sollte DATA LOSS PREVENTION sein.
Zitat von @108012:
P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!
P.P.S.
Wir teilen auch, versprochen!
Wer wird denn so egoistsich sein?P.S.
Ich hoffe Du wirst uns allen mitteilen wie Du das Problem gelöst hast ich kenne rein zufällig eine Menge Leute auf dem
Planeten die mir dafür so viel Geld geben, dass wir beide nicht mehr arbeiten gehen müssen! Bitte sagst es dem Hauself
Dobby zuerst, danke!
P.P.S.
Wir teilen auch, versprochen!
Wir teilen durch die gesamte Community
Mal sehen, wie lange das dauert, bis Administrator.de mehr Mitglieder als Facebook hat?
Original Text:
Und wo liegen denn die Dokumente, auf einem Server im LAN oder der DMZ?
Denn wenn Ihr Eure Dokumente nicht mehr verschlüsselt und die ganze Sache sich auf einem Server in der DMZ
abspielt würde ich eventuell noch an eine bessere Sicherung und Verteidigung der DMZ setzen wollen, vorher war das egal, wenn
ja so oder so alles verschlüsselt war konnte man so etwas schon vernachlässigen. Oder sind die Dokumente auch von der
Software verschlüsselt?
Gruß
Dobby
Selbst für den Fall das ein User ihre Vereinbarungen oder eine Bezahlung brechen sollte, oder eines Ihrer Dokumente an die Öffentlichkeit gerät können Sie jederzeit den Zugriff des Users oder sogar das gesamte Dokument sperren.
Hört sich nicht schlecht an, aber passt Eure Verschlüsselung noch dazu?Und wo liegen denn die Dokumente, auf einem Server im LAN oder der DMZ?
Denn wenn Ihr Eure Dokumente nicht mehr verschlüsselt und die ganze Sache sich auf einem Server in der DMZ
abspielt würde ich eventuell noch an eine bessere Sicherung und Verteidigung der DMZ setzen wollen, vorher war das egal, wenn
ja so oder so alles verschlüsselt war konnte man so etwas schon vernachlässigen. Oder sind die Dokumente auch von der
Software verschlüsselt?
Gruß
Dobby
verbessere mich bitte wenn ich falsch liege, aber wie soll es möglich sein, per RMS das Erstellen eines Screenshots zu
unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer)
abfotografieren. siehe @brammer
unterbinden?
und selbst wenn man einen Screenshot blockt, kann man immernoch manuell mit der Handykamera hingehen und das Ding (was auch immer)
abfotografieren. siehe @brammer
Gar nicht - der "Hauself" hat das sehr gut beschrieben. Wenn Du dem Mitarbeiter nicht vertraust, dass er diese Daten haben darf, dann GIB SIE IHM NICHT. Das ist die einzige Lösung für diese Frage. Punkt. Abfotografieren oder abschreiben geht immer...