Übertragung hochsensibler Daten
Frohe Ostern zusammen....
Bei uns taucht aktuell die Frage nach sicherer Datenübetragung von unseren Kunden zu uns auf. Unsere Kunden wünschen den Datentransfer von hochsensiblen Daten über spezielle Soft/Hardware. Um unseren Kunden maximale Sicherheit bieten zu können, suche ich nun nach einer Lösung welche "allgemmein als sicher" gilt.
Ich schmeisse mal "Submitbox" von FTAPI in die Runde...
Was benutzt Ihr und wie ist das Handling?
Danke Euch!
Gruss Globe!
Bei uns taucht aktuell die Frage nach sicherer Datenübetragung von unseren Kunden zu uns auf. Unsere Kunden wünschen den Datentransfer von hochsensiblen Daten über spezielle Soft/Hardware. Um unseren Kunden maximale Sicherheit bieten zu können, suche ich nun nach einer Lösung welche "allgemmein als sicher" gilt.
Ich schmeisse mal "Submitbox" von FTAPI in die Runde...
Was benutzt Ihr und wie ist das Handling?
Danke Euch!
Gruss Globe!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23428588283
Url: https://administrator.de/forum/uebertragung-hochsensibler-daten-23428588283.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
57 Kommentare
Neuester Kommentar
Zitat von @Globetrotter:
@radiogugu
Danke, aber...
So wie ich das sehe, ist Dracoon eine Cloud-Lösung. Diese fällt daher aus - weil wir als Dienstleiter "haften" müssen und der Anbieter sicherlich nicht die Verträge unterschreibt.
@radiogugu
Danke, aber...
So wie ich das sehe, ist Dracoon eine Cloud-Lösung. Diese fällt daher aus - weil wir als Dienstleiter "haften" müssen und der Anbieter sicherlich nicht die Verträge unterschreibt.
Wir haben mit unseren Kunden über den Übertragungsweg gesprochen. Diese haben, sofern keine eigene Lösung zum Einsatz kommt, der Übertragung zugestimmt.
Voraussetzungen waren bis dato immer:
- Kennwortgeschützt
- begrenzter Zugriff (sowohl den Zeitraum, als auch die berechtigten Benutzer betreffend)
- Nachvollziehbarkeit über getätigte Downloads
Da wir mit Dracoon diese Forderungen erfüllen konnten, war das dann auch für sensible Zeichnungen und CAD Dateien kein Problem.
Gruß
Marc
Zitat von @em-pie:
Was ist mit einem von euch gehosteten SSH-Server?
Eure Kunden schaufeln die, geschützt mit nem Zertifikat, zu euch rüber… und gut.
Müsst nur schauen, wie ihr den verfügbar haltet.
Was ist mit einem von euch gehosteten SSH-Server?
Eure Kunden schaufeln die, geschützt mit nem Zertifikat, zu euch rüber… und gut.
Müsst nur schauen, wie ihr den verfügbar haltet.
Und die Sicherheit gewährleistet. Eventuell nur einschalten und mit flüchtigem Speicher zur Verfügung stellen.
Wir haben mal zum Test eine SSH Server Instanz in einer DMZ als Live System getestet. Diese wurde nach dem Neustart "geleert" und würde bei erneutem Bedarf wieder hochgefahren. Ein Skript installierte alle Pakete und öffnete die entsprechenden Ports und erstellte den Transfer-Benutzer mit Kennwort.
Da der Chef, dass aber auch selbst bedienen können wollte, wurde dann auf Dracoon gewechselt
Gruß
Marc
Moin,
wäre nicht noch eine 2FA Zugangsmethode nicht noch eine Lösung?
Bei uns im Betrieb bekommt der Dienstleister nur Zugriff zur Leittechnik ,wenn er von uns ein generieten Token bekommt. Zudem muss der Name und die Telefonnummer bekannt sein sonst bekommt er auch kein Token.
Und auch nur bestimmte Personen habe zugriff zum Token Generator.
Gruß
wäre nicht noch eine 2FA Zugangsmethode nicht noch eine Lösung?
Bei uns im Betrieb bekommt der Dienstleister nur Zugriff zur Leittechnik ,wenn er von uns ein generieten Token bekommt. Zudem muss der Name und die Telefonnummer bekannt sein sonst bekommt er auch kein Token.
Und auch nur bestimmte Personen habe zugriff zum Token Generator.
Gruß
Nextcloud mit Video-Verifikation:
https://nextcloud.com/blog/unique-sharing-security-video-verification/
https://nextcloud.com/blog/unique-sharing-security-video-verification/
Zitat von @Globetrotter:
Jo klar..
Danke... das ist aber obersch... ;)
Siehe unter anderem: :Merkel telefonierte mit falschem Poroschenko,
Jo klar..
Danke... das ist aber obersch... ;)
Siehe unter anderem: :Merkel telefonierte mit falschem Poroschenko,
Wem ist das noch nicht passiert, der werfe das erste Wählscheibentelefon
Ausserdem geht es um DFÜ...
NextCloud kann auch im eigenen Haus in einer DMZ gehostet werden. Dann die obige Erweiterung implementieren und das sollte laufen.
Ansonsten sind die Möglichkeiten ohne Einbezug eines "fremden Computers" nicht mehr wirklich groß.
Wenn es wirklich hochbrisante Daten sind, dann wurde das Mittel der Wahl ja schon genannt. Spezialisierter Kurierdienst oder der/die Projektleiter*in fährt selbst.
Gruß
Marc
Wie groß sind eigentlich diese Datenmengen, die hier sicher und vertraulich transportiert werden müssen?
Nu denn, dann würde ich die Daten mit Hilfe von GnuPG Inhaltsverschlüsseln (Ciphermail) und verified und recommended TLS-tansportverschlüsselt über sichere Mailserver austauschen, zack fertig ist der Hanomag! ;) Warum denn einfach wenn's auch umständlich geht, oder war das anders herum? egal...
Dann wäre ggf. Eine selbst gehostete Nextcloud-Instanz in eurer DMZ gut.
Eure Leute loggen sich ein, geben den Ordner für einen Upload frei und teilen den Link. Die Kunden können dann nur Daten hochladen, selbst aber nicht hineinschauen. Wenn alles da ist, wird die Freigabe entfernt.
Stellt ihr was bereit: Freigabe zum „nur gucken“ erstellen, teilen und hinterher wieder wegnehmen.
Mit FTAPI kann man sowas glaube ich auch abbilden. Die haben ja viele Produkte im Portfolio. Mindestens geht aber zeit-/ zugriffsbasiert (einmal herunterladen) eine Freigabe zu erstellen.
Eure Leute loggen sich ein, geben den Ordner für einen Upload frei und teilen den Link. Die Kunden können dann nur Daten hochladen, selbst aber nicht hineinschauen. Wenn alles da ist, wird die Freigabe entfernt.
Stellt ihr was bereit: Freigabe zum „nur gucken“ erstellen, teilen und hinterher wieder wegnehmen.
Mit FTAPI kann man sowas glaube ich auch abbilden. Die haben ja viele Produkte im Portfolio. Mindestens geht aber zeit-/ zugriffsbasiert (einmal herunterladen) eine Freigabe zu erstellen.
Bist ja nicht zu beneiden!
Mit FTAPI kann man sowas glaube ich auch abbilden
Das sieht auch verdächtig nach Nextcloud aus, nur billiger. Abgezielt auf den low-information IT-Entscheider heisst es dort dann nicht "cloud" oder "Freigabe" sondern....Achtung:
VIRTUELLER DATENRAUM
Und das Marketing scheint ja zu funktionieren...
Quote from @10505791074:
Bist ja nicht zu beneiden!
Bist ja nicht zu beneiden!
Eine Nextcloud aufzusetzen ist jetzt nicht soo schlimm. Für Anfänger empfiehlt sich snap unter ubuntu server:
https://github.com/nextcloud-snap/nextcloud-snap
Ich sehe, wie gesagt das Problem intern zwischen den Firmen.
In deinem Eingangspost ging es um sichere Datenübertragung von euren Kunden zu euch?
Wenn es sich immer um die gleichen Personen handelt, würdest du denen in eurer lokalen Nextcloud jeweils Accounts anlegen. Du könntest für diese z.B. jeweils Hardware Token wie https://shop.nitrokey.com/shop/nk3am-nitrokey-3a-mini-149?search=nitroke ...
provisionieren und an die Benutzer ausgeben.
Hallo,
wir haben auch Kunden aus diesem Bereich.
Als vor einigen Jahren von denen der gesicherte Mail-Verkehr gefordert wurde, gab es von deren IT genaue Implementierungs-Anleitungen incl. eines Web-Portals zur Zertifikats-Anforderung.
Also Frage bei der IT nach, die haben in der Regel die benötigten Infos.
Ansonsten betreiben wir für den (CAD-) Datenaustausch einen eigenen, entsprechend abgesicherten SFTP-Server.
Jürgen
wir haben auch Kunden aus diesem Bereich.
Als vor einigen Jahren von denen der gesicherte Mail-Verkehr gefordert wurde, gab es von deren IT genaue Implementierungs-Anleitungen incl. eines Web-Portals zur Zertifikats-Anforderung.
Also Frage bei der IT nach, die haben in der Regel die benötigten Infos.
Ansonsten betreiben wir für den (CAD-) Datenaustausch einen eigenen, entsprechend abgesicherten SFTP-Server.
Jürgen
Ich meinte bei meiner "Beileidsbekundung" galt nicht Dir. 😃
Für Anfänger empfiehlt sich snap unter ubuntu server
Sowas wird hier ganz einfach viel Ansible unter Arch Linux installiert.
Moin,
da führt mEn nichts an asymmetrischer Verschlüsselung (bspw. PGP) vorbei. Gepaart mit gut verschlüsseltem Transportweg (bspw. sFTP, key only) und den richtigen Präventivmaßnahmen (fail2ban, rate limiting, etc.) wird das auch im hochkritischen Bereich (Gesundheitswesen, Banken, pub-Sektor) so eingesetzt.
Viele Grüße, Flo
da führt mEn nichts an asymmetrischer Verschlüsselung (bspw. PGP) vorbei. Gepaart mit gut verschlüsseltem Transportweg (bspw. sFTP, key only) und den richtigen Präventivmaßnahmen (fail2ban, rate limiting, etc.) wird das auch im hochkritischen Bereich (Gesundheitswesen, Banken, pub-Sektor) so eingesetzt.
Viele Grüße, Flo
Ähhh, also ich war mal bei so einer Bank - ja die mit den 0815-Fähnchen - beschäftigt. Erwarte Dir da besser mal nicht zu viel, da war/ist mehr Schein als Sein ... Security by Obscurity sag ich da nur ....
Moin Jürgen,
is ne Möglichkeit, nur is die Verschlüsselung auf manchen Sticks nicht immer die beste oder lässt sich leicht aushebeln.
Vielleicht ist es heute anders, aber ich lasse bei sowas lieber die Finger davon.
Liebe Grüße
Zitat von @ButterBot:
Moin Jürgen,
is ne Möglichkeit, nur is die Verschlüsselung auf manchen Sticks nicht immer die beste oder lässt sich leicht aushebeln.
Vielleicht ist es heute anders, aber ich lasse bei sowas lieber die Finger davon.
Liebe Grüße
Moin Jürgen,
is ne Möglichkeit, nur is die Verschlüsselung auf manchen Sticks nicht immer die beste oder lässt sich leicht aushebeln.
Vielleicht ist es heute anders, aber ich lasse bei sowas lieber die Finger davon.
Liebe Grüße
Da reicht auch ein ganz normaler Stick und dann einfach ein VeraCrypt Container drauf. Dem Mechanismus von den fertigen Stick würde ich auch nicht trauen.
Alternativ geht auch Bitlocker.
Zitat von @Spirit-of-Eli:
Da reicht auch ein ganz normaler Stick und dann einfach ein VeraCrypt Container drauf. Dem Mechanismus von den fertigen Stick würde ich auch nicht trauen.
Alternativ geht auch Bitlocker.
Da reicht auch ein ganz normaler Stick und dann einfach ein VeraCrypt Container drauf. Dem Mechanismus von den fertigen Stick würde ich auch nicht trauen.
Alternativ geht auch Bitlocker.
Das is doch mal was, genau nach meinem Geschmack
Hallo em-pie,
Kurierdienst braucht keine 3 Tage. Ist eine Frage des Preises.
Man kann die Daten auch (verschlüsselt) auf DVD brennen.
Generell gilt: je höher die Sicherheitsanforderungen desto höher der Aufwand und umso "umständlicher" die Nutzung.
Wo ist denn nun das Problem, wenn sich alle Beteiligten zusammensetzen und eine einvernehmliche Lösung im oben beschriebenen Spannungsdreieck finden.
Eine einfache, absolut sichere und schnelle Lösung gibt es nicht.
Jürgen
Kurierdienst braucht keine 3 Tage. Ist eine Frage des Preises.
Man kann die Daten auch (verschlüsselt) auf DVD brennen.
Generell gilt: je höher die Sicherheitsanforderungen desto höher der Aufwand und umso "umständlicher" die Nutzung.
Wo ist denn nun das Problem, wenn sich alle Beteiligten zusammensetzen und eine einvernehmliche Lösung im oben beschriebenen Spannungsdreieck finden.
Eine einfache, absolut sichere und schnelle Lösung gibt es nicht.
Jürgen
Die Diskussion hier zeigt das Grundproblem von vertraulicher und gesicherter Kommunikation sehr schön auf:
Wenn eine der beiden Parteien (Sender oder Empfänger) kein Verständnis haben, nicht wollen oder können, kann sich die andere Partei noch so abstrampeln und Zeit und Geld investieren, das ist dann grundlegend zum Scheitern verurteilt.
Solange beide Partner nicht auf Augenhöhe (Geschäftsführer, IT-Leiter, Datenschutzbeauftragter) das Thema klären, kann der arme @Globetrotter aufhören, Zeit und Energie zu verbraten, er kann nur verlieren!
Wenn eine der beiden Parteien (Sender oder Empfänger) kein Verständnis haben, nicht wollen oder können, kann sich die andere Partei noch so abstrampeln und Zeit und Geld investieren, das ist dann grundlegend zum Scheitern verurteilt.
Solange beide Partner nicht auf Augenhöhe (Geschäftsführer, IT-Leiter, Datenschutzbeauftragter) das Thema klären, kann der arme @Globetrotter aufhören, Zeit und Energie zu verbraten, er kann nur verlieren!
Die Idee finde ich aber so schlecht gar nich
Mit den von dir beschriebenen Voraussetzungen und deinem mangelnden Einfluss auf der client Seite ist etwas webbasiertes wie Nextcloud oder ProjectSend die sinnvollste Lösung.
Und wenn du z.B. die security hardening guidelines befolgst, 2FA bzw. FIDO etc. ist das auch mMn. vom Sicherheitslevel zu vertreten, gemessen an den Voraussetzungen die du für dieses Projekt hast. So wie es sich anhört hast du ja sicher eine Infra dafür mit IPS etc.
Ich hab mir gerade ProjectSend angesehen, das bekäme von mir ein klares nein. Das bietet als 2FA lediglich email...das würde ich dann nicht verantworten wollen, davon abgesehen dass ich zuvor noch nichts von dem Projekt gehört hatte.
Haftung wäre bei euch dann, klar. Aber wenn vom Management der Wille da ist, gibt es auch einen Weg. Wenn die Nextcloud in der DMZ steht, und du kannst über die Nextcloud Retention App auch einstellen, dass Dateien z.B. nach 7 Tagen gelöscht werden, wird das Risiko mMn. überschaubar.
Haftung wäre bei euch dann, klar. Aber wenn vom Management der Wille da ist, gibt es auch einen Weg. Wenn die Nextcloud in der DMZ steht, und du kannst über die Nextcloud Retention App auch einstellen, dass Dateien z.B. nach 7 Tagen gelöscht werden, wird das Risiko mMn. überschaubar.
was soll das Ganze ?
Ich würde das hinstellen und natürlich entsprechend berechnen. Wenn deinen Kunden eure Kommunikationskanäle nicht sicher genug sind, ist es mMn. eine gute Gelegenheit, so etwas anzubieten.
Wie gesagt, wo ein Wille da auch ein Weg. Wenn du/ihr keine Lust habt, hat sich das Thema ja eh erledigt...
Ich muß mir das Teil mal anschauen.. jedoch finde ich immer mehr, daß das an Kundenseite liegt. Sollen Sie uns doch eine schnittstelle geben
Wenn ich in dem Fall an meine Vertriebler denke, würde die dann aber das Kotzen kriegen.Bei 10 Kunden dann 10 verschiedene Zugänge, ggf. Sogar mit einer MFA, um dann die Daten herunterzuladen und in unseren Systemen abzulegen…
Da wäre es für eure Prozesskosten sicherlich besser, wenn IHR das Portal anbietet und ihr eure Infrastruktur einbindet…
Moin,
du kannst einen externen Dienstleister beauftragen - dann liegt die Haftung dort. Zudem ist dort dann (hoffentlich ) auch das entsprechende Knowhow vorhanden.
Hochsensible Daten austauschen zu wollen und gleichzeitig nicht zu wissen wie das eigentlich geht ist fahrlässig und erfahrungsgemäß nachher deutlich teurer als einen Spezialisten damit zu beauftragen.
Ich bleibe dabei: asymmetrische Verschlüsselung (PGP), Übertragung per sFTP (key only), drumherum ein guter Schutz (VPN, IPS, IDS) und ein detailliertes Sicherheitskonzept sollte das sein, was du suchst.
Viele Grüße, Florian
du kannst einen externen Dienstleister beauftragen - dann liegt die Haftung dort. Zudem ist dort dann (hoffentlich ) auch das entsprechende Knowhow vorhanden.
Hochsensible Daten austauschen zu wollen und gleichzeitig nicht zu wissen wie das eigentlich geht ist fahrlässig und erfahrungsgemäß nachher deutlich teurer als einen Spezialisten damit zu beauftragen.
Ich bleibe dabei: asymmetrische Verschlüsselung (PGP), Übertragung per sFTP (key only), drumherum ein guter Schutz (VPN, IPS, IDS) und ein detailliertes Sicherheitskonzept sollte das sein, was du suchst.
Viele Grüße, Florian
@flo72it
Gruß,
Dani
du kannst einen externen Dienstleister beauftragen - dann liegt die Haftung dort. Zudem ist dort dann (hoffentlich face-smile ) auch das entsprechende Knowhow vorhanden.
Nichts desto trotz bist du nach wie vor der Vertragspartner seitens Kunden und bist weiterhin haftbar.Gruß,
Dani
Zitat von @Globetrotter:
Auch Moin..
Alles gut - trotzdem möchte ich mir das nicht an die Backe binden...
.. das letzte Wort ist da noch nicht gesprochen... ich suche mal weiter nach Dienstleistern die sowas anbieten UND haften... vielleicht gibt es ja welche... trotzdem finde ich es nicht unerheblich wie mit diesen Daten INHOUSE umgegangen wird.. da sehe ich nämlich auch ein Problem...
Gruss Globe!
Auch Moin..
Alles gut - trotzdem möchte ich mir das nicht an die Backe binden...
.. das letzte Wort ist da noch nicht gesprochen... ich suche mal weiter nach Dienstleistern die sowas anbieten UND haften... vielleicht gibt es ja welche... trotzdem finde ich es nicht unerheblich wie mit diesen Daten INHOUSE umgegangen wird.. da sehe ich nämlich auch ein Problem...
Gruss Globe!
Derartig spezialisierte Dienstleister gibt es - wenn du deine Anforderungen konkreter beschreibst und das als Projekt "ausschreibst" bekommst du sicher auch Angebote (von uns möglicherweise auch).
Viele Grüße, Flo