Hardwareverschlüsselung USB Stick sicher vor Admin ?
Hallo zusammen,
wenn ich mit einem hardwaregesicherten USB Stick arbeite, sind die Daten dann jederzeit vor allen Netzwerkzugriffen geschützt?
Oder könnte ein Admin wenn ich das Passwort eingegeben habe und das Laufwerk freigegeben ist ganz einfach darauf zugreifen?
Danke
wenn ich mit einem hardwaregesicherten USB Stick arbeite, sind die Daten dann jederzeit vor allen Netzwerkzugriffen geschützt?
Oder könnte ein Admin wenn ich das Passwort eingegeben habe und das Laufwerk freigegeben ist ganz einfach darauf zugreifen?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 224869
Url: https://administrator.de/contentid/224869
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
18 Kommentare
Neuester Kommentar
Zitat von @nachtfuchs:
Oder könnte ein Admin wenn ich das Passwort eingegeben habe und das Laufwerk freigegeben ist ganz einfach darauf zugreifen?
Oder könnte ein Admin wenn ich das Passwort eingegeben habe und das Laufwerk freigegeben ist ganz einfach darauf zugreifen?
Ja.
Besprich das mit Deinem Admin, insbesondere wenn Du an ihm vorbei irgendwelche Sticks bei Dir anstecken willst.
lks
Nachtrag: Wenn's ein BOFH ist, reicht das dranstecken und eintippen des Paßworts. Ab da gehört der Stick ihm. Bedenke, Du steckst den Stick an ein System, das unter seiner Verwaltung ist!
Sers,
nicht dass ich dir hier böse Dinge unterstellen möchte, aber warum brauchst du an deinem Arbeitsplatz einen betriebsfremden USB Stick? Wer weiss, vielleicht geht es dir ja nur um so etwas harmloses wie mitgebrachte Musik... Konsultier doch vorher nochmal die diversen Dokumente die du bei deiner Einstellung unterschrieben hast. Und wenn du danach der Meinung bist dass du den Stick bzw. die Daten wirklich brauchst, dann sprich entweder direkt mit dem Admin, oder noch besser, mit deinem Vorgesetzten. Denn dass sich der Admin an deinen Vorgesetzten wenden wird ist recht wahrscheinlich.
Kannst natürlich auch bockig sein und einfach direkt versuchen deinen Stick anzuschließen. Wenn der Admin aber seine Arbeit gemacht hat bzw. machen durfte wird ein Endpoint Protection System ausgerollt sein. Und dass heisst bye-bye unauthorisierte Hardware, oder noch gemeiner: Logs & Benachrichtigung an den Admin ohne dass der Nutzer es merkt. Und der liebe Admin entscheidet dann was mit dem Wissen geschieht. Womit wir abermals beim BOFH wären. Wie schon von lks erwähnt.
Grüße,
Philip
:edit:
Und noch ein kleiner Nachtrag: Selbst wenn die Authentifizierung und Entschlüsselung vollständig auf dem USB Speichergerät läuft so ist der Stick nach "Anmeldung" deinerseits für jeden Nutzer am Rechner nutzbar. Und das auch über die festcodierten Laufwerk$-Freigaben. Sprich, der Admin braucht dein Passwort nicht. DU meldest den Stick an. Der Admin muss einfach nur Hardwareinstallationslogs monitoren, und greift dann simpelst via \\rechnername\usbLW$ auf deinen Stick zu.
Gratuliere. Es ist ein fail.
:/edit:
nicht dass ich dir hier böse Dinge unterstellen möchte, aber warum brauchst du an deinem Arbeitsplatz einen betriebsfremden USB Stick? Wer weiss, vielleicht geht es dir ja nur um so etwas harmloses wie mitgebrachte Musik... Konsultier doch vorher nochmal die diversen Dokumente die du bei deiner Einstellung unterschrieben hast. Und wenn du danach der Meinung bist dass du den Stick bzw. die Daten wirklich brauchst, dann sprich entweder direkt mit dem Admin, oder noch besser, mit deinem Vorgesetzten. Denn dass sich der Admin an deinen Vorgesetzten wenden wird ist recht wahrscheinlich.
Kannst natürlich auch bockig sein und einfach direkt versuchen deinen Stick anzuschließen. Wenn der Admin aber seine Arbeit gemacht hat bzw. machen durfte wird ein Endpoint Protection System ausgerollt sein. Und dass heisst bye-bye unauthorisierte Hardware, oder noch gemeiner: Logs & Benachrichtigung an den Admin ohne dass der Nutzer es merkt. Und der liebe Admin entscheidet dann was mit dem Wissen geschieht. Womit wir abermals beim BOFH wären. Wie schon von lks erwähnt.
Grüße,
Philip
:edit:
Und noch ein kleiner Nachtrag: Selbst wenn die Authentifizierung und Entschlüsselung vollständig auf dem USB Speichergerät läuft so ist der Stick nach "Anmeldung" deinerseits für jeden Nutzer am Rechner nutzbar. Und das auch über die festcodierten Laufwerk$-Freigaben. Sprich, der Admin braucht dein Passwort nicht. DU meldest den Stick an. Der Admin muss einfach nur Hardwareinstallationslogs monitoren, und greift dann simpelst via \\rechnername\usbLW$ auf deinen Stick zu.
Gratuliere. Es ist ein fail.
:/edit:
Moin,
es gibt zwei Optionen: Entweder der Stick ist wirklich HW-Gesichert (z.B. bei USB-Platten mit dem PIN-Pad oben drauf, k.a. ob es sowas für Sticks auch gibt). Wenn du das entsperrt hast - wie soll das Gerät wissen ob ich vom lokalen PC per USB drauf zugreiffe - oder per Netzfreigabe?
Alternativ hast du die Entschlüsselung am PC. Hier bieten sich gleich mehrere Optionen:
a) der böse Admin greift drauf zu während du die Daten entschlüsselt hast - indem er sich über die Admin-Freigabe auf deinen Rechner schaltet bzw. mittels Remote-Exec die Files an einen erreichbaren Ort verschiebt (und das remote-exec kommt ja von deinem Rechner -> woher soll also die Verschlüsselung wissen das du das gar nich warst)?
b) der noch bösere Admin packt dir nen Key-Logger auf den Rechner und hat sogar das PW um die Daten selbst zu entschlüsseln. Er ist der Admin, er kann dir SW installieren, den Virenscanner usw. umkonfigurieren,...
c) der ganz ganz böse Admin sperrt einfach den USB-Port an deinem Rechner - dann kommt niemand ran... er zwar nich, aber du auch nich.
... -> da gibts noch viele andere Optionen... Sorry, aber der Admin ist nunmal im Netzwerk jemand der ne Menge kann / können sollte. Wenn du sichergehen willst das er nicht auf den USB-Stick zugreifen kann musst du schon alle Netzverbindungen physikalisch trennen und darauf vertrauen das er nicht irgendwo ein Programm hat welches automatisch alle devices kopiert (z.B. bei einem gezielten Angriff). Und da könnte es das Problem geben das dir deine ganze Anmeldung um die Ohren fliegt wenn du einfach mal das Kabel rausrupfst (oder der Admin dir dieselben Ohren langzieht...)
es gibt zwei Optionen: Entweder der Stick ist wirklich HW-Gesichert (z.B. bei USB-Platten mit dem PIN-Pad oben drauf, k.a. ob es sowas für Sticks auch gibt). Wenn du das entsperrt hast - wie soll das Gerät wissen ob ich vom lokalen PC per USB drauf zugreiffe - oder per Netzfreigabe?
Alternativ hast du die Entschlüsselung am PC. Hier bieten sich gleich mehrere Optionen:
a) der böse Admin greift drauf zu während du die Daten entschlüsselt hast - indem er sich über die Admin-Freigabe auf deinen Rechner schaltet bzw. mittels Remote-Exec die Files an einen erreichbaren Ort verschiebt (und das remote-exec kommt ja von deinem Rechner -> woher soll also die Verschlüsselung wissen das du das gar nich warst)?
b) der noch bösere Admin packt dir nen Key-Logger auf den Rechner und hat sogar das PW um die Daten selbst zu entschlüsseln. Er ist der Admin, er kann dir SW installieren, den Virenscanner usw. umkonfigurieren,...
c) der ganz ganz böse Admin sperrt einfach den USB-Port an deinem Rechner - dann kommt niemand ran... er zwar nich, aber du auch nich.
... -> da gibts noch viele andere Optionen... Sorry, aber der Admin ist nunmal im Netzwerk jemand der ne Menge kann / können sollte. Wenn du sichergehen willst das er nicht auf den USB-Stick zugreifen kann musst du schon alle Netzverbindungen physikalisch trennen und darauf vertrauen das er nicht irgendwo ein Programm hat welches automatisch alle devices kopiert (z.B. bei einem gezielten Angriff). Und da könnte es das Problem geben das dir deine ganze Anmeldung um die Ohren fliegt wenn du einfach mal das Kabel rausrupfst (oder der Admin dir dieselben Ohren langzieht...)
Zitat von @maretz:
Und da könnte es das Problem geben das dir deine ganze Anmeldung um die Ohren fliegt wenn du
einfach mal das Kabel rausrupfst (oder der Admin dir dieselben Ohren langzieht...)
Und da könnte es das Problem geben das dir deine ganze Anmeldung um die Ohren fliegt wenn du
einfach mal das Kabel rausrupfst (oder der Admin dir dieselben Ohren langzieht...)
wenn der Admin anfängt mit Cat 9 rumzulaufen, sollte man schleunigst das Weite suchen.
lks
PS: Wen Du ein legitimes Interesse hast, einen verschlüsselten Stick an Deinen rechner anschließen zu müssen, ohne das der Admin drauf zugriff bekommt, solltest Du das mit dem admin und deinen vorgesetzten besprechen, wie ich und andere schon gesagt haben. Und wenn du grund hast, dem admin zu mißtrauen, soltle das auch ein Fall für den Vorgesetzten sein. Udn wenn du der Chef bist, solltest du Leute zum Admin machen, dennen Dur vertraust udn die Du mit einem Vertrag oder einer Betriebsvereinabrung dahingehend knebelst.
Zitat von @nachtfuchs:
Also einige Kommentare helfen, einige nicht.
Aber so Aussagen wie "der ganz ganz böse Admin" sorry, aber der Administrator ist für mich kein Feind. Und nur
weil ich Daten habe die einen Administrator nichts angehen, heisst das nicht das sie auf dem Firmen-PC nichts zu suchen haben. Ihr
lebt wohl alle in einer Welt die sich nur um den Admin dreht, klar, ihr seid wohl Admins. Aber der Admin ist in erster Linie ein
Dienstleister. Die ganzen Seitenhiebe und Anmerkungen sind irrelevant, es geht mir nur um den Inhalt meiner Frage.
Also einige Kommentare helfen, einige nicht.
Aber so Aussagen wie "der ganz ganz böse Admin" sorry, aber der Administrator ist für mich kein Feind. Und nur
weil ich Daten habe die einen Administrator nichts angehen, heisst das nicht das sie auf dem Firmen-PC nichts zu suchen haben. Ihr
lebt wohl alle in einer Welt die sich nur um den Admin dreht, klar, ihr seid wohl Admins. Aber der Admin ist in erster Linie ein
Dienstleister. Die ganzen Seitenhiebe und Anmerkungen sind irrelevant, es geht mir nur um den Inhalt meiner Frage.
Wenn Du mit deinem Admin gut freund ist, kannst Du mit ihm sicher üerb dieses Thema reden. Er wird Dir dann sagen können, wie man sicherstellt, daß dieses Daten nur für Dich zugreifbar sind. Oder er wird dir erklären können, warum er trotzdem alles sehen kann. Der Administrator ist nicht Dein feind. i.d.R hat er auch gar kein Interesse sich alles anzuschauen, weil er schon so genug Mist unfreiwillig anschauen muß. Ich war schin in eine Firma, wo es ein Benutzer geschafft hat, seine Pornosammlung für all auf einem Share sichtbar freizugeben. Es war schn sehr schwer das zu übersehen.
Also: Wenn Due ein legitimes Interesse hast, daß Du Daten auf deinem System verarbeitest auf die der Admin keine Zugriff haben soll/darf, soltest Du mit ihm darüber sprechen. Villeicht kann er Dir Mittel udn weghe zeigen, wei man das hinbekommt, ggf. mit einem System, das nur unter Deiner Kontrolle ist.
Wenn Du aber einafch etwas machst, ohne den Admin einzuweihen, ist das Kontraproduktiv.
Und so wie Du es geschildert hast, hat es so geklungen, als ob Du hinter dem Rücken eines Admins Daten auf Dein System bringen willst, die er dann nicht sehen können soll.
lks
Hallo,
Ich muss da bei einer aussage extrem widersprechen.
Der Armin ist in erster Linie kein Dienstleister. Er ist der Mensch der dafür sorgt das die kpl. IT läuft. Und wenn da jemand daran vorbei arbeitet dann ist das sehr kontraproduktiv. Und bei mir bekommen da die Leute Ärger.
Ich bin immer noch der Meinung die Handhabe von USB Sticks muss mit ihm alleine abgeklärt werden.
Ich muss da bei einer aussage extrem widersprechen.
Der Armin ist in erster Linie kein Dienstleister. Er ist der Mensch der dafür sorgt das die kpl. IT läuft. Und wenn da jemand daran vorbei arbeitet dann ist das sehr kontraproduktiv. Und bei mir bekommen da die Leute Ärger.
Ich bin immer noch der Meinung die Handhabe von USB Sticks muss mit ihm alleine abgeklärt werden.
Zitat von @nachtfuchs:
> Der Administrator ist nicht Dein feind.
Das hat auch keiner behauptet, ihr schreibt aber alle so als sei ich ein Hacker der etwas illegales plant.
> Der Administrator ist nicht Dein feind.
Das hat auch keiner behauptet, ihr schreibt aber alle so als sei ich ein Hacker der etwas illegales plant.
Die Erfahrung sagt, wenn einer so etwas wie Du fragt, daß er dann irgendetwas machen will, was er eigentlich nicht darf. der Admin ist normalerweise derjenige, der solche Fragen ohen weiteres beantworten kann.
> Wenn Du aber einafch etwas machst, ohne den Admin einzuweihen, ist das Kontraproduktiv.
Nicht unbedingt. Man darf ja auch mit seinem Auto dinge tun ohne ATU zu informieren.
ATU ist auch der falsche Ansprechpartner. Aber Du solltest, wenn du libebr deine eigenen geilen Leichtmetallfelgen an dem Dienstwagen montierst, doch lieber mal den Chef oder die Werkstatt fragen, ob das auch erlaubt ist und auch funktioniert.
> Der Armin ist in erster Linie kein Dienstleister.
Doch ist er. Meist intern, manchmal schon extern. Aber ein Unternehmen wird nicht gegründet um mit dem PC zu arbeiten. Der PC
ist das Mittel zum Zweck. Und der Admin ist ein IT Mitarbeiter von vielen die die Aufgabe haben die Infrastruktur zur
Verfügung zu stellen, damit die Mitarbeiter den Unternehmenszweck erfüllen können.
Doch ist er. Meist intern, manchmal schon extern. Aber ein Unternehmen wird nicht gegründet um mit dem PC zu arbeiten. Der PC
ist das Mittel zum Zweck. Und der Admin ist ein IT Mitarbeiter von vielen die die Aufgabe haben die Infrastruktur zur
Verfügung zu stellen, damit die Mitarbeiter den Unternehmenszweck erfüllen können.
Der Admin ist Dinestleister, da hast Du Recht, aber seine Aufgabe ist dafür zu sorgen, daß die Infrastruktur funktioniert. Und da gehört auch dazu, daß man die Leute mit solchen Informationen versorgt und auch mal den Leuten auf die Finger haut, wenn die Sachen tun die potentiell die Infrastruktur gefährden.
lks
Hi
Der Admin kann schon als Dienstleister angesehen werden. Aber nicht als dein Dienstleister (du bezahlst den ja nicht), sondern als Dienstleister der Geschäftsführung. Beispiel: wenn die GF sagt: "Private/Verschlüsselte USB-Sticks haben in der Firma nichts verloren", dann hat der Admin dafür zu sorgen, dass die USB-Ports auch gesperrt sind. Der Admin ist leider dann oft derjenige, welcher den Zorn der Mitarbeiter abbekommt, weil viele Glauben, er macht das um die Mitarbeiter zu ärgern.
Der Admin selbst hat meist zu unterschreiben, dass er auf Userdaten nicht zugreift (könnte er technisch natürlich), und wenn er denn zugreifen muss (z.B. Backup machen), darf er dann trotzdem nicht gucken (z.B. automatisiertes Backup mit separaten Accout laufen lassen und nicht jede Datei von jedem User extra handhaben). Wenn rauskommt, dass er unbefugt in Daten rumschnüffelt, hat das schwere Folgen für ihn.
Wenn also die GF sagt, private und verschlüsselte USB-Sticks sind erlaubt, kannst du ohne Bedenken diese auch Anstecken.
Wenn die GF USB-Sticks verbietet und du an den dafür vorhandenen Sicherheitsmaßnahmen vorbei arbeitest, arbeitest du nicht nur am Admin sondern auch an der GF vorbei. Und die findet sowas in den seltensten Fällen spaßig.
mfg
Cthluhu
Der Admin kann schon als Dienstleister angesehen werden. Aber nicht als dein Dienstleister (du bezahlst den ja nicht), sondern als Dienstleister der Geschäftsführung. Beispiel: wenn die GF sagt: "Private/Verschlüsselte USB-Sticks haben in der Firma nichts verloren", dann hat der Admin dafür zu sorgen, dass die USB-Ports auch gesperrt sind. Der Admin ist leider dann oft derjenige, welcher den Zorn der Mitarbeiter abbekommt, weil viele Glauben, er macht das um die Mitarbeiter zu ärgern.
Der Admin selbst hat meist zu unterschreiben, dass er auf Userdaten nicht zugreift (könnte er technisch natürlich), und wenn er denn zugreifen muss (z.B. Backup machen), darf er dann trotzdem nicht gucken (z.B. automatisiertes Backup mit separaten Accout laufen lassen und nicht jede Datei von jedem User extra handhaben). Wenn rauskommt, dass er unbefugt in Daten rumschnüffelt, hat das schwere Folgen für ihn.
Wenn also die GF sagt, private und verschlüsselte USB-Sticks sind erlaubt, kannst du ohne Bedenken diese auch Anstecken.
Wenn die GF USB-Sticks verbietet und du an den dafür vorhandenen Sicherheitsmaßnahmen vorbei arbeitest, arbeitest du nicht nur am Admin sondern auch an der GF vorbei. Und die findet sowas in den seltensten Fällen spaßig.
mfg
Cthluhu
Zitat von @nachtfuchs:
Und woher weisst du ob ich nicht der Geschäftsführer bin? Woher weisst du was mit die Geschäftsleitung erlaubt?
Und woher weisst du ob ich nicht der Geschäftsführer bin? Woher weisst du was mit die Geschäftsleitung erlaubt?
Selbst dann wörst Du gut beraten, mit dem Admin zu reden. dafür ist der da. Habe ich aber oben auch schon gesagt, daß falls Du der Chef bist, dich trotzdem an den Admin wenden sollst.
Und wenn Du dem Admin nichts traust, solltest Du Dir üebrlegen, ob Du diese wichtigen Daten auf auf einer Kiste bearbeitest, auf die der Admin Zugriff hat.
Es ging mir nur um eine technische Frage. Aber darauf erhalte ich hier kaum hilfreiche Antworten oder wie bei dir erst im zweiten
Teil der Antwort.
Teil der Antwort.
Die technische Antwort hast Du bekommen: Es geht nicht. Zumindest nciht so wie Du Dir es vorstellst.
lks
PS: Es unterstellt dir hier keiner was. Die obigen Ratschläge sind dazu gedacht, Dich vor Unbill zu bewahren, falls es so sein sollte, wie vermutet.
Zitat von @nachtfuchs:
[...]
Und so wie ich in einem Firmenwagen Leute oder Gegenstände mitnehmen darf, darf ich auf den PC Daten packen die ich für die Arbeit brauche.
[...]
[...]
Und so wie ich in einem Firmenwagen Leute oder Gegenstände mitnehmen darf, darf ich auf den PC Daten packen die ich für die Arbeit brauche.
[...]
Und genau dieser Punkt unterscheidet anscheinend deinen Arbeitgeber von vielen, vielen anderen Arbeitgebern (wie etwa auch meinem). Denn in der Regel stellt der Arbeitgeber dir Mittel und Wege zur Verfügung auf alles was du für die Arbeit brauchst zugreifen zu können. Weswegen der Hinweis auf von dir unterschriebene Dokumente kam. Je nach Richtlinien zu DLP & etc. bist du da schneller aus dem Job als du "Ich will erst noch meine schriftliche Abmahnung" sagen kannst. Samt Zivilklage.
Um es mal von ner ganz anderen Seite zu sehen: Was passiert wenn dein Heimrechner mit Malware infiziert ist und du diese dann in die Firma schleppst?
Und zum Abschluss: In diesem Forum sind Details in der ursprünglichen Frage erwünscht. Auf die Art muss weniger aus Nasen gezogen werden und es können direkt Alternativen aufgezeigt werden wenn klar ist dass die Ausgangsfrage nicht zum erhofften Ergebnis führt.
Und damit bin ich raus, einen schönen Freitag noch.
Ja, wobei hier auch festgelegt wird wo du was an deinem Auto machen darfst und wo nicht.
Wir wissen nicht wie der Umgang mit USB Stick's geregelt ist bei euch
Und woher weisst du ob ich nicht der Geschäftsführer bin? Woher weisst du was mit die Geschäftsleitung erlaubt?
Nur dein Admin kann sagen was bei euch so gemacht wird. Wenn du als Geschäftsführer kein vertrauen hast wie der Admin mit euren Daten umgeht.
Dann solltest du das vielleicht mit deinem Admin klären.
Und so wie ich in einem Firmenwagen Leute oder Gegenstände mitnehmen darf, darf ich auf den PC Daten packen die ich für die Arbeit brauche.
Selbst hier wird es Regeln geben. Wenn du mit deinem Firmenauto ein Kilo Marijana über die Grenze schmuggeln willst, dann wird das dein Chef auch nicht lustig finden.
Und es kann zum Beispiel auch sein das es in der Firma nicht erlaubt ist Firmendaten auf USB Stick's zu speichern. Einfach um den absichtlichen oder unabsichtlichen Verlust von Firmendaten an Fremdfirmen zu verhindern.
VIel wichtiger sind hier Hinweise was der DAU nicht darf und viele Aussagen getrieben von Alltagsfrust oder Wahrnehmungskomplexen?
Schade!
Schade!
Das hat überhaupt nicht's mit Alltagsfrust oder nem Wahrnehmungskomplex zu tun, bei dieser Frage kann dir einfach nur DEIN Admin die bestmögliche Antwort liefern.
Sorry, aber es ist doch in einer Firma nicht so schwer mit dem dem Typen darüber zu reden.
Hallo,
falls du noch nicht mit dem Administrator gesprochen hast, dann schau dir doch mal die Webseite http://www.prosoft.de/produkte/safestick/ an. Wir verwenden diesen Stick jetzt schon seit geraumer Zeit und sind damit absolut zufrieden.
falls du noch nicht mit dem Administrator gesprochen hast, dann schau dir doch mal die Webseite http://www.prosoft.de/produkte/safestick/ an. Wir verwenden diesen Stick jetzt schon seit geraumer Zeit und sind damit absolut zufrieden.
Zitat von @windowstimo:
Hallo,
falls du noch nicht mit dem Administrator gesprochen hast, dann schau dir doch mal die Webseite
http://www.prosoft.de/produkte/safestick/ an. Wir verwenden diesen Stick jetzt schon seit geraumer Zeit und sind damit absolut
zufrieden.
Hallo,
falls du noch nicht mit dem Administrator gesprochen hast, dann schau dir doch mal die Webseite
http://www.prosoft.de/produkte/safestick/ an. Wir verwenden diesen Stick jetzt schon seit geraumer Zeit und sind damit absolut
zufrieden.
Und du bist dir sicher das man die Daten nicht einfach per Automatismus nach dem entsperren vom Stick kopieren kann?