c-webber
Goto Top

Sicherheitskonzept gegen Datenklau

Brauche Hilfe bei der Erstellung eines schlüssigen Sicherheitskonzeptes. Sollten genug Anmerkungen dazu kommen kann das hier mal ein nettes Tutorial werden..

Hallo zusammen,

die Frage wurde zwar schon mal gestellt, aber leider nie beantwortet, also mach ich nen neuen Thread auf...

Folgendes Szenario:

Eine Arztpraxis soll vollkommen gegen Datenklau von intern abgesichert werden, allerdings ist ein funktionierender (wenn auch eingeschränkter) Internetzugang nötig.

Vorraussetzung ist:

- Internetzugang zu vordefinierten Domains soll möglich sein
- E-Mail-Verkehr (ohne Anhänge) soll möglich sein
- Es darf keine Möglichkeit bestehen Patientendaten aus der Praxis zu schmuggeln


Meine Überlegungen soweit:

- Eingeschränkte Benutzerrechte:

Alle Praxis-Mitarbeiter arbeiten ausschliesslich nur mit Benutzerrechten in einer 2k3-Domäne.

- Lokale Laufwerke:

Es gibt massig Software, mit der es möglich ist, den Zugriff auf sämtliche lokalen Laufwerke und Schnittstellen
(USB, FireWire, Bluetooth, Cardreader DVD-Brenner...) zentral über das AD zu regeln.
Datenklau per Datenträger ist somit schonmal 100% abgesichert.

- Internetzugang nur über Proxy:

Hier wird eine Whitelist angelegt, mit Domains auf die zugegriffen werden darf, alles andere ist verboten.
Somit habe ich webmailer und http-uploads ausgeschlossen, auch wenn's ein webmailer aus Kasachstan ist.
Die Verbindungseinstellungen des IE wurden per gpo ausgeblendet, also kann man den Proxxy auch nciht einfach rausnehmen.
FTP und TFTP sind damit auch geblockt.

- Kein Standard-Gateway auf den Clients:

Somit kann kein Programm mehr aus dem lokalen Netz raus, es sei denn über den Proxy.

- Wartezimmer-PC's in eigenes VLAN

Im Wartezimmer sind PC's aufgebaut, an denen Patienten uneingeschränkt Internet surfen können.
Diese befinden sich aber in einem eigenen VLAN, also abgeschottet von Server und Praxis-Netz.


Mein Problem ist nun aber, das ich nicht weiss wie ich das Versenden von Dateien per E-Mail unterbinden kann.
In der Praxis kommt ein 2003 Server R2 SBS (incl. Exchange) zum Einsatz und mit Exchange-konfiguration kenn ich mich nicht aus
und nen ISA will er nicht bezahlen ...

Also meine Fragen:

- Hat jemand ne Idee wie ich ohne ISA eine content-basierte Filterung der EMail-Anhänge realisieren kann ?

- Was passiert mit EFS-Verschlüsselten Daten wenn sie per Mail versendet werden, bleiben Sie verschlüsselt oder weden sie vor dem
anhängen an die Mail entschlüsselt ?

- Welche Möglichkeiten fallen euch so ein? Stellt euch vor, Ihr wollt unbedingt Daten aus dem Netzwerk raus bekommen,
wie würdet Ihr vorgehen ? (Vorrausgesetzt das Mail-Anhänge generell nicht möglich wären)

Ich bin für jede Inspiration dankbar

P.S. aber bitte keine Posts von wegen "100% Sicherheit gibt's eh nicht, also lass es am besten ganz..", nur weil irgendwo einer den gleichen Autoschlüssel hat wie ich schließ' ich trotzdem ab...

Content-ID: 58595

Url: https://administrator.de/forum/sicherheitskonzept-gegen-datenklau-58595.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Logan000
Logan000 09.05.2007 um 16:02:28 Uhr
Goto Top
Datenklau per Datenträger ist somit schonmal 100% abgesichert.

- Welche Möglichkeiten fallen euch so ein? Stellt euch vor, Ihr wollt unbedingt
Daten aus dem Netzwerk raus bekommen, wie würdet Ihr vorgehen ?

Was ist mit Festplatte ausbauen und mitnehmen?
Möglicher Lösungsansatz:
Server gegen räumlichen Zugang (Einbruch) sichern und keine Daten lokal auf den Clients speichern.
c-webber
c-webber 09.05.2007 um 16:11:13 Uhr
Goto Top

Möglicher Lösungsansatz:
Server gegen räumlichen Zugang
(Einbruch) sichern und keine Daten lokal auf
den Clients speichern.


Der Server ist ausreichend gegen Einbruch gesichert.
Daten werden natürlich alle zentral auf dem Server gespeichert, schon wegen Datensicherung...
gnarff
gnarff 10.05.2007 um 16:51:22 Uhr
Goto Top
HalloC-!

Warum viele glauben, dass jeder Client einen kompletten Rechner braucht werde ich niemals
begreifen. Alle Clients auf Thin-Layer Basis und schon verringern sich die Moeglichkeiten
hardwaregestuezten Datendiebstahls auf nahezu gegen Null.
Ein gebrauchter Thin-Layer Client kostet zwischen 5-12 Dollar...


Mein Problem ist nun aber, das ich nicht
weiss wie ich das Versenden von Dateien per
E-Mail unterbinden kann.
In der Praxis kommt ein 2003 Server R2 SBS
(incl. Exchange) zum Einsatz und mit
Exchange-konfiguration kenn ich mich nicht
aus


Das verbieten des Empfanges, wie auch des heraussendens von E-Mail Anhaengen unter Exchange kannst Du imho ganz einfach mit der quick&dirty-Methode unterbinden;
indem Du den Grenzwert der erlaubten Dateianhangsgroesse, fuer Senden und Empfangen, auf Null einstellst. Mehr Infos hier:

http://www.msexchangeforum.de/modules/smartfaq/faq.php?faqid=71


- Was passiert mit EFS-Verschlüsselten
Daten wenn sie per Mail versendet werden,
bleiben Sie verschlüsselt oder weden sie
vor dem
anhängen an die Mail
entschlüsselt ?

Darauf antworte ich Dir mit diesem Link:
http://www.fz-juelich.de/zam/sicherheit/docs/win/inf-xp/EFS-zam.htm


- Welche Möglichkeiten fallen euch so
ein? Stellt euch vor, Ihr wollt unbedingt
Daten aus dem Netzwerk raus bekommen,
wie würdet Ihr vorgehen ?

Darueber will ich mal nachdenken...

saludos
gnarff
Rafiki
Rafiki 10.05.2007 um 18:39:37 Uhr
Goto Top
Dem Vorschlag von Gnarff, Citrix oder Terminalserver zu verwenden, damit die Daten nie den Server verlassen, halte ich für einen sehr guten Schritt.

- Welche Möglichkeiten fallen euch so ein? Stellt euch vor, Ihr wollt unbedingt
Daten aus dem Netzwerk raus bekommen,wie würdet Ihr vorgehen ?

Du unterstellst, dass ein Mitarbeiter bewusst vertrauliche Unterlagen versucht zu stehlen.

Gerade neulich habe ich ein Java Script gesehen, das beliebige Dateien in Barcodes umwandelt und ausdruckt. Gedacht war das für Logistikunternehmen, die z.B. die Adresse, Warenbeschreibung, Lieferschein usw. als Barcode ausdrucken wollen.

Wie wäre es mit einem (privaten) MP3 Stick zum Musik hören. Viele Geräte unterstützen Sprachmemos, die man hervorragend als Wanze zum unerlaubten mitscheiden von vertraulichen Gesprächen zwischen Arzt und Patient benutzen kann.

Einige Handys (Mobiltelefon) kann man im Headsetmodus so einstellen das Gespräche ohne klingeln direkt angenommen werden. Ein solches "zufällig" vergessenes Handy könnte man zu einem geeigneten Zeitpunkt anrufen um dann mitzuhören.

Ein Mitarbeiter, der mit einer vertraulichen Krankenakte arbeitet, könnte sich diese selber vorlesen und als Musikdatei aufnehmen (wieder MP3 Stick) oder mit seinem Handy, oder dem Diensttelefon, einen "Freund" anrufen der mithört und schreibt.

Wenn der fragliche Mitarbeiter ein gutes Gedächtnis hat wäre es sogar denkbar, dass er sich jeden Abend zuhause seine Gedanken zu Papier bringt.

Oder ganz Plump den Feueralarm auslösen und im dem allgemeinen Chaos eine ganze Krankenakte (oder die vorher kopierte Version) klauen.

Wir sind hier an einem Punkt wo die Grenzen der Technik deutlich sind und der Faktor Mensch, der erpressbar oder bestechlich ist, ein vergleichsweise höheres Sicherheitsrisiko darstellt. Wer bei der Bundeswehr Zugang zu geheimen oder streng geheimen Unterlagen bekommen soll wird vorher vom MAD, dem Militärischer Abschirm Dienst, geprüft. Stimmen seine Schulzeugnisse und der Lebenslauf? Wo arbeiten jetzt ehemalige Kollegen? Hat der Soldat Schulden? Probleme in der Familie? Zahlt oder bekommt er oder ein naher Verwandter Geld an eine Sekte / politische Gruppierung? Wo hin wurden die letzten Urlaube bzw. Reisen unternommen?
Wenn ein Soldat eine gewisse Sicherheitsstufe erreicht hat, dann prüft der MAD ( http://de.wikipedia.org/wiki/Milit%C3%A4rischer_Abschirmdienst ) regelmäßig wer wie viel Geld (Sold und andere Einkommen) hat und wie viel davon ausgegeben wird.

Man kann sich leicht ausrechnen, dass dieser doch ganz erhebliche Aufwand in einem Verhältnis mit dem zu schützenden Geheimnissen bzw. Personen stehen muss. Nach meiner Meinung solltet ihr euch überlegen ob weitere Maßnahmen im EDV Bereich evtl. über das gewünschte Ziel hinausgehen und in welchem Verhältnis z.B. die Maßnahmen aussehen mit denen die Mitarbeiter als vertrauenswürdig überprüft werden.

Eine Maßnahme könnten evtl. Schulungen sein, mit denen die Mitarbeiter auf Social Engineering http://de.wikipedia.org/wiki/Social_Engineering versuche aufmerksam gemacht werden. Beispiel: Ein neuer Freund von einer Krankenschwester, der gut zuhören kann, entpuppt sich später als Reporter wenn sie ihm von den Alkoholproblemen eines Prominenten Patienten erzählt hat. Nach meiner Meinung ist das realistischer und günstiger als eine Verschlüsselung zu Hacken oder einen speziellen Trojaner für dieses Netzwerk programmieren zu lassen.

Wenn alle Mitarbeiter vertrauenswürdig sind solltet ihr dokumentieren wer hat wann Zugang zu welchen Informationen. Wenn vertrauliche Informationen bekannt werden lässt sich der Kreis der Verdächtigen anschließend eingrenzen.

Weitere Maßnahmen wären das Mitarbeiter keine Taschen und elektronischen Geräte mitbringen dürfen. Garderobe wie Mäntel und Jacken werden am Empfang abgegeben.

Weitere technische Tricks:
Primitiv, aber nicht unrealistisch: Das gute alte Faxgerät. Ausdrucken, aufs Fax, fertig.
http://www.bsi.de/gshb/deutsch/g/g05030.htm

Mittels DNS Anfragen kann man einen Tunnel aufbauen.
http://www.heise.de/security/artikel/43716

Netzwerksniffer, ggf. mit Passwortcracker wie Cain und Abel.
http://www.bsi.de/gshb/deutsch/g/g05057.htm

Möglich wäre auch ein Angriff auf das VLAN aus dem Wartezimmer
http://www.bsi.de/gshb/deutsch/g/g05115.htm


Gruß Rafiki

PS: Ich vertraue mir selber auch nicht, deshalb vergesse ich alles ganz schnell wieder face-big-smile


[update]
Backupbänder? Hat er erwähnt ob die Backupbänder genau so gut geschützt sind die der Serverraum? Ich hoffe das ist eine Selbstverständlichkeit.
[/update]
christian56
christian56 11.05.2007 um 13:34:13 Uhr
Goto Top
Hallo,

hast du schonmal an eine Digitalkamera (auch im Fotohandy) gedacht? Dagegen erscheint mir das Vorlesen auf einen MP3 Player eher als an den Haaren herbeigezogen...

Der Mitarbeiter, der Zugriff auf die vertraulichen Daten hat, wird immer (!) eine Möglichkeit haben, diese Daten mitzunehmen. Im Zweifelsfall durch auswendig lernen.

100 % ig ausschließen ist einfach nicht Drin. Es ist halt die Frage, welchen Aufwand man treiben möchte - in Punkto IT Sicherheit kann man im prinzip einen unendlichen Aufwand treiben. An erster Stelle sollte die Überlegung stehen, welche Risiken es für IT / Daten gibt. Auch diese Liste wird nie vollständig sein. An 2.ter Stelle ist dann die Frage, welche Risiken man ausschließen möchte. Das wäre in deinem Fall das unterdrücken von Dateianhängen. Allerdings können auch Daten im E-Mailtext untergebracht werden...

Gruß Christian
c-webber
c-webber 11.05.2007 um 13:37:22 Uhr
Goto Top
Vielen Dank für die zahlreichen Ideen, da sind einige Punkte dabei, die ich bisher noch gar nicht bedacht hatte.. (z.B. das oldschool - FAX)

Das es immer Mittel und Wege geben wird, irgednwen auszuspionieren oder gar zu bestechen ist ja klar, Ziel dieses Konzeptes soll es sein die EDV-Installation, die von uns als Dienstleister installiert wurde abzusichern. Dient eigentlcih mehr unserer Sicherheit als der der Praxis, aber uns wird schon keiner an den Karren fahren wenn rauskommt das jemand per Telefon Patientendaten weitergibt.

Was mir noch eingefallen ist:

wieso nicht einfach rechtsklick auf die Datei --> Editor --> Alles markieren --> copy & paste in ne leere email --> ab nach hause --> dort wieder in ne leere datei einfügen und unter altem namen speichern ?

Aber wie willste dich dagegen absichern ??
Ich werde auf jeden Fall eine kopie aller ausgehenden E-Mails in einem öffentlichen Ordner ablegen in dem niemand löschen darf.
c-webber
c-webber 11.05.2007 um 13:41:19 Uhr
Goto Top
Hi Christian,

Du hast natürlich Recht, aber genau deshalb müssen eben solche Fälle wie Digitalkamera, Fax, Vorlesen am Telefon ... mit in das Konzept aufgenommen werden.

Ist klar das man sich nicht dagegen wehren kann, aber der Kunde muss darauf hingewiesen werden, das er trotz toll klingendem Sicherheitskonzept nicht 100% abgesichert ist.