eisern
Goto Top

Fileserver Verschlüsseln

Hallo,

mir ist bekannt das dieses Thema schon des Öfteren besprochen wurde, aber den letzten wirklich passenden hier finde ich nur aus 2011.

In einer kleinen Unternehmung gibt es einen Fileserver mit entsprechenden Freigaben. Nun soll hier geprüft werden ob die Dateien so verschlüsselt werden können, das diese nur im internen Netzwerk auf den Clients bearbeitet werden können. Sollte also eine Datei per USB / Mail nach "außen" gelangen, soll sie nicht verwendet werden können.
Hier speziell wenn Mitarbeiter wechseln und der Meinung sind hier noch Infos mitnehmen zu wollen.

Bisher scheiterte das immer an der Problematik das auch mal Dateien verschickt werden sollen. Das diese dann aber auch extern verwendet werden sollen, müsste eine Art Ausnahmemöglichkeit vorhanden sein.

Kennt jemand hier entsprechende Software welche das so regeln kann?

Vielen Dank für die Unterstützung.
Grüße aus Berlin,
Tom

Content-ID: 322368

Url: https://administrator.de/contentid/322368

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

DerSchorsch
DerSchorsch 29.11.2016 um 13:46:55 Uhr
Goto Top
Hallo,

mir wäre da nur
https://www.sophos.com/de-de/products/safeguard-encryption.aspx
bekannt.
Allerdings etwas komplex und nicht ganz billig, aber du kannst dir ja mal die Testversion anschauen.

Gruß
fireblade09
fireblade09 29.11.2016 um 13:59:27 Uhr
Goto Top
Ich hatte mal Gelegenheit diese Produkt live zu sehen. Machte einen guten Eindruck.

https://www.apsec.de/loesungen/fideas-file-enterprise/

Das könnte glaube ich in die Richtung gehen, was du suchst.
kaiand1
kaiand1 29.11.2016 um 14:03:16 Uhr
Goto Top
Nun das Problem ist mehr das sobald ein User Zugriff auf die Datei hat zum Lesen kann dieser die Datei auch Expotieren/Konventieren/Schmuggeln/Handy Fotos/Drucken ect....
Sicherheit bedeutet aber auch Einschränkungen wie zb keine USB Sticks, Mailanhänge ect.
Aber nicht alles ist auch immer Möglich zu Begrenzen da dies ggfs die Tägliche Arbeit einschränkt.
Zudem kannst du ja auch Daten in andere Daten einbringen um zb die Dateibeschränkungen beim Mailverkehr zu umgehen.
Dazu wäre dann eine Firewall die die Anhänge Prüft was für ein Inhalt es sich handelt.
Und Office,PDF ggfs Archive sind ja eh meist immer Frei wegen den Täglichen Austausch mit anderen.....
departure69
departure69 29.11.2016 um 14:16:29 Uhr
Goto Top
@Eisern:

Hallo.

ich wüßte nicht, welcher Weg hier zu Deinem Ziel führen sollte.

Geht es um Dateien (also so, wie sie wirklich physikalisch in irgendeinem Dateisystem vorliegen), oder geht es um Informationen?

Wenn ein Mitarbeiter eine Datei entschlüsselt aufrufen kann (was er ja können muß, sonst könnte auch er selbst die Datei nicht ansehen/benutzen), wird er auch einen Weg finden, diese unverschlüsselt irgendwo abzuspeichern und/oder diese aus der Firma heraus, auf welchem Weg auch immer, zu transferieren. Und wenn's nicht die Datei wie im Original ist, kopiert er sich halt den Textinhalt in die Zwischenablage und aus dieser in den Textkörper einer Mail, die er sich nach Hause sendet.

Vielleicht gibt es eine Möglichkeit, zu verhindern, daß die Dateien im exakten Originalzustand (also eine digitale, genaue Kopie) die Firma nicht verlassen können (ich wüßte allerdings keine), doch die reine Information wirst Du nie ganz vor Diebstahl oder auch nur sonstigem, unsachgemäßem Gebrauch schützen können, dazu müßtest Du den Mitarbeitern letztendlich bei Verlassen des Firmengeländes zum Feierabend das Gedächtnis löschen face-wink.


Viele Grüße

von

departure69
Chonta
Chonta 29.11.2016 um 14:18:49 Uhr
Goto Top
Hallo,

Formuliere mal am besten ein genauen Fall der abgeeckt sein muss.

Bisher scheiterte das immer an der Problematik das auch mal Dateien verschickt werden sollen
Die Frage ist halt was für Daten. Die weiterzugebenden Daten müssen halt unverschlsselt abgespeichert werden.

Die Verschlüsselung bringt NIX wenn der Zugriff ansich nicht reglementiert ist und der Zugriff auf das Internet nicht per Whitliste erfolgt und dort auch kein Google/Drive,Mail oder sonstwas erreichbar ist, wo man Dateien ablegen kann.
Sonst mache ich das geschützte Worddokument auf Strg+A > Strg+C und dann Strg+V in eine Datei im Web außerhalb des Firmenzugriffs (und wenns die eigene Cloud ist)

Handys müssten auch verboten werden (Kamera)
Handschriftlich abschreiben geht auch, Angestellte mit Photografischen Gedächtniss sollte man immer gut behandeln.

Sophos scheint einiges zu können, aber 100%igen Schutz kann auch das nicht geben und Du musst sehr eingeschränkte Arbeitsabläufe implementieren.
Die Frage ist, lohnt sich das und sind alle gewillt so zu arbeiten wie es dann notwendig wird.

Gruß

Chonta
Eisern
Eisern 29.11.2016 um 15:09:08 Uhr
Goto Top
Hallo,

vielen Dank für die Hilfe.
Mir ist natürlich völlig bewusst das es immer einen Weg geben wird hier Dateien zu "entwenden". Ich sehe das aber immer aus Benutzersicht welchem sicherlich entsprechende Möglichkeiten fehlen das Ganze richtig zu deuten. Ich will damit sagen das hier schon USB Sticks nicht funktionieren und Mails mit Anhängen zumindest protokolliert werden. Es wurden auch schon Anbieter kontaktiert welche sich genau auf den Diebstahl von Dateien "spezialisiert" hatten und der Meinung waren hier eine durchdachte Lösung anbieten zu können. Aber auf die Frage hin was denn passiert wenn der Nutzer sich per seinem privaten FreemailAccount einloggt und dann dort die Dateien schickt, konnte nie eine Antwort gegeben werden.

Grundsätzlich gehe ich also von eher "normalen" Benutzern aus. Wenn diese also nun bei geplantem Wechsel sich Dateien nach Hause senden und dies da das Logginverfahren bekannt ist, dies per web.de & Co machen, würde es mir reichen wenn diese Dateien auf dem fremden System nicht mehr lesbar sind, da der entsprechende Schlüssel dort nicht verfügbar ist. Es geht hier also rein um Officedateien (Listen mit Formeln, Kontaktlisten, Serienbriefe etc)

Der irgendwie Ausnahmefall wäre wenn ein Kunde XY eben eine o. g. Liste per Mail erhalten soll. Diese sollte dann natürlich auch mal versendet werden dürfen.

Mir ist klar das der Aufwand auch einem Nutzen gegenüberstehen muss. Mir ist auch klar das abfotographieren oder selbst Bildschirmausschnitte dann immernoch verschickt werden können, aber grundsätzlich geht es hier auch nicht um Raketentechnik. Ich würde mich nur gern immer mal wieder diesem Thema annähern wollen um besser einschätzen zu können wie das Verhältnis aus Nutzen und Aufwand im Verhältnis zueinander stehen.

Gruß, Tom
kaiand1
kaiand1 29.11.2016 um 15:47:12 Uhr
Goto Top
Nun wenn die Mitarbeiter auf Freemail Seiten ect nutzten können dürfte ja die Private Nutzung bei euch Erlaubt sein andernfalls kann man diese ja Sperren.
Jedoch ist natürlich auch eine Erkennung ob eine Datei versendet/Protokoliert wird ja auch eine Überwachung des Users...
In wie weit da die Mitarbeiter Aufgeklärt wurden und Schriftliche Zustimmung gegeben haben liegt bei euch was auch bei Fehlerhafter Aufklärung für euch Negativ ausgehen kann.
Datenschutz/Sicherheit/Überwachung ist ein Komplexes Thema wo Rechtlicher Beistand unumlässig ist was du jedoch nicht über ein Forum bekommst.
Zudem wenn der Mitarbeiter Daten entwenden will macht der dies über einen längeren Zeitraum wo er diese Daten zb Privat nochmal durchgehen möchte in der Freizeit ect....
Und Daten über Internet zu Verschicken gibt es viele Möglichkeiten zb per HTML5 Uploadscript, FTP, Webdav und was es sonst noch alles für den Datenaustausch gibt.
Verhindern geht so aber nicht da die Datei ja beim Lesen Entschlüsselt wird.
Und wenn ihr Angst habt das ein Mitarbeiter wenn er geht Daten mitnimmt solltet ihr ihm bei der Kündigung ect gleich den Zugang zu den Daten nehmen aber was davor ggfs schon von ihm mitgenommen wurde ist eine andere Sache.
aqui
aqui 29.11.2016 aktualisiert um 17:34:45 Uhr
Goto Top
Verhindern geht so aber nicht da die Datei ja beim Lesen Entschlüsselt wird.
Genau DAS ist der entscheidende Knackpunkt dieses Threads warum das ganze Ansinnen von vorn herein scheitert ! Entweder eine richtige Security Policy mit allem Drum und Dran die alles auf konkret abgesicherten Systemen verbietet oder bleiben lassen.
Mit ein bischen mal was machen, das der User nix mailen kann wirst du nix. Solange es keine bindenden personalrechtlichen Konsequenzen und Richtlinien gibt und auch eine technische Security Policy und er das geheime Dokument in einer Anwendung unverschlüsselt aufmachen kann und freie USB Ports hat oder einen Druckertreiber der nach PDF oder Postscript druckt ists ja aus.
Wasch mich aber mach mich nicht nass.....
DerWoWusste
DerWoWusste 29.11.2016 um 18:44:03 Uhr
Goto Top
Hi.

Ich steuere mal einen wirklich brauchbaren Anwendungsfall bei. Wir hatten mal ein Programm, das eine Universität entwickelt hatte und das furchtbar teuer (100.000€+) und elendig schützenswert war. Auf gar keinen Fall hätte einer der zur Nutzung berechtigten Personen es mit nach Hause nehmen dürfen. Leider war das Programm portabel und hatte keinerlei Aktivierung oder sonstigen Kopierschutz.

Der einzige Weg, der der Uni recht war, war, es auf einem TS zu betreiben, wo die Nutzer sehr eingeschränkt waren und auch keine eigenen Laufwerke, kein Internet und keine Mails zur Verfügung hatten. Zudem musste eine Software Aladdin HASP benutzt werden, die das Programm verschlüsselt hat. Es war nur am TS lauffähig und dort auch nur dann, wenn der Dongle gesteckt war. Hat man die exe wie auch immer zu sich übertragen, war der Code wertlos, da man den Dongle nicht hatte.
--

Das mal als Beispiel, was man an Aufwand treiben muss, wenn man es ernst meint.
Ich habe Dein Anliegen in diversen Foren schon zig Mal gesehen. NIE gab es eine befriedigende Lösung.
"Microsoft Rights Management Services" wollen zwar auch Ähnliches können, aber das hat auch etliche Schlupflöcher, zumindest, wenn man in erster Linie arbeiten will.
StefanKittel
StefanKittel 30.11.2016 um 00:19:21 Uhr
Goto Top
Hallo,

und trotzdem hätte man mit einem Handy den Quellcode Seite für Seite abfotografieren können.
Zumindeste Theoretisch, da der Quellcode vermutlich ein paar tausend Seite hat und danach wieder eingetippt werden muss.

Aber eine Excel-Liste der besten Kunden mit Ansprechpartner und Umsatz sollte so funktionieren.

Es ist immer eine Frage des Aufwandes, Nutzen und ob man damit dann nocht arbeiten kann.
Aber 100% bekommt man nie hin. Und jede Lösung muss sehr stark an das Unternehmen angepasst werden.

Es soll ja auch Leute mit gutem Gedächtnis geben die sowas auswendig lernen...

Stefan
DerWoWusste
DerWoWusste 30.11.2016 um 00:41:02 Uhr
Goto Top
und trotzdem hätte man mit einem Handy den Quellcode Seite für Seite abfotografieren können.
Das hätte nichts gebracht, denn was man da sieht, ist die verschlüsselte Form, die nur mit dem Dongle funktioniert.
StefanKittel
StefanKittel 30.11.2016 um 07:18:38 Uhr
Goto Top
Moin,

aber wenn Ihr ein Program entwickelt, dann muss man doch den Quellcode sehen um ihn zu schreibenb?

Stefan
DerWoWusste
DerWoWusste 30.11.2016 um 07:59:08 Uhr
Goto Top
Nicht wir, die Uni entwickelt und verkauft ein Exemplar an uns.
dan0ne
dan0ne 30.11.2016 um 14:14:57 Uhr
Goto Top
Die Dongle kann man abet auch umgehen.. Wir setzen diese selber ein, aber wenn es jemand drauf anlegt kriegt er es auch ohne dongle zu laufen.. face-smile
DerWoWusste
DerWoWusste 30.11.2016 um 16:07:47 Uhr
Goto Top
Was genau setzt ihr denn ein? Unser Produkt verschlüsselt die executables, es ist kein simpler Lizenzdongle.

Lass uns mal lieber auf die Antwort des Fragestellers warten.
dan0ne
dan0ne 30.11.2016 um 19:42:22 Uhr
Goto Top
Zitat von @DerWoWusste:

Was genau setzt ihr denn ein? Unser Produkt verschlüsselt die executables, es ist kein simpler Lizenzdongle.

Lass uns mal lieber auf die Antwort des Fragestellers warten.

Wir setzen ebenfalls Aladin Dingle ein. Es liest sich aber so, als hätte jemand einfach nur die fertige Exe durch das Aladin Tool gejagt und denkt nun das das alles sicher sei, dies ist definitiv nicht so!!! Es gibt auch etliche Dongle Emulatoren, und sogar die Keyextractors. Es ist also alles nur eine Frage des Wissens oder des wollens.

Ich habe mich damals nicht damit beschaeftig (den Schutz nicht eingebaut) und hatte nur die Infos des Dongles (Hersteller) und hatte relativ schnell die Software geknackt (Dongle emuliert per Software)

Aber ja, den normalen User hält es ab :D