askando
Goto Top

Veracrypt mit PIM Bootvorgang dauert lange - Wie verschlüsselt ihr eure Mobilen Geräte?

Hallo Zusammen,

früher habe ich TrueCrypt eingesetzt, um Notebooks oder Surfaces meiner Mitarbeiter im Außendienst zu verschlüsseln.
Da Truecrypt schon länger eingestellt wurde, bleibt eigentlich nur noch (meines Wissens) als kostenlose Nachfolger-Alternative Veracrypt.
Kurz gesagt ist es eine Weiterentwicklung und vom Programm - Design das gleiche in grün.

Wenn,...ja wenn es da nicht die zwei Wege Authentifizierung via PIM geben würde.
Soweit mein Kenntnisstand ist kann man den durch die PIM verzögerten Bootvorgang reduzieren, dies funktioniert jedoch ausschließlich mit einer 20 Zeichen Passwort als PIM.

Ich möchte hier eine Grundsatzfrage an erfahrene IT'ler stellen. Auf der einen Seite gibt es im Bereich Security keine zwei Meinungen -> es gibt halt kein halb Sicher!
Auf der anderen Seite ist in der IT im Mittelstand das Wort "Verhältnismäßigkeit" an der Tagesordnung.
Das spiegelt sich zum einen im Investment für Security wieder, aber ebenso im Bereich des Verständnisses der Mitarbeiter.

Kurz gesagt sobald man über eine integrierte Warenwirtschaftslösung verfügt und die Daten z.B. über eine CRM auf die Notebooks exportiert ist es in meinen Augen sehr kritisch gar keine Verschlüsselung durchzuführen. Wir haltet ihr es? Generell würde ich im Mittelstand ohne hochbrisante Daten sagen, ok- ich nehme weiter Truecrypt, weil ich als "normaler" IT Leiter nicht wüssste wie ich es Hacken könnte. Und daher nur wirkliche Hacker es entschlüsseln könnten. Oder täusche ich mich genau da?

Ich kann einem Mitarbeiter einfach schlecht sagen - der Bootvorgang dauert nun 2min länger oder du musst ein 20 Zeichen Passwort eintragen.


Danke für eure Meinungen und Erläuterungen!

MFG

Content-ID: 350977

Url: https://administrator.de/contentid/350977

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

H41mSh1C0R
Lösung H41mSh1C0R 06.10.2017 um 07:56:13 Uhr
Goto Top
Moin,

was spricht gegen Bitlocker?

Ich bin immer der Meinung wenn man was mit Boardmitteln erschlagen kann, sollte man es auch tun.

VG
kaiand1
Lösung kaiand1 06.10.2017 um 08:07:03 Uhr
Goto Top
Nun ich nehme an du meinst ein Microsoft Betriebssystem das du Verschlüsseln willst...
Da kannst du gut Bitlocker einsetzten da leider TrueCrypt/VeraCrypt keine Userverwaltung haben und der Nutzer des Geräts das "Masterpasswort" für die Verschlüsselung kennt und diese auch dadurch Ändern könnte oder die Daten auf einen Fremden PC Auslasen/Verändern lassen und so zb was im System ändern was der Nutzer nicht sollte.
Dazu Backup/Datensicherung wenn der Nutzer das PWD Ändert kommt die IT nicht mehr an die Daten und dann? Der Nutzer darf ja nach den Richtlinien das Passwort keinen Verraten ;)

Sicherheit ist mit Bitlocker ja gegeben und auch wenn es sehr Wahrscheinlich ist das die Amerikanischen Geheimdienste eine Hintertüre haben, ist sicherlich auch eine im Betriebssystem wenn dieses Entsperrt läuft...

Zudem ist es durch Verschlüsselung der Geräte schwer diese zu Knacken wenn Leute da nicht wirklich Profis drin sind und mit Tricks Arbeiten...
Einfacher ist des da über Sozial Engineering an Zugänge zu kommen bzw mit Schadsoftware und wie man anhand der Ramsomeware Crypts sieht immer noch sehr Erfolgreich.....

Aber was nützt einem eine Sichere Verschlüsselung wenn der Nutzer Bereitwillig dies Entsperrt und so der Zugang offen ist (Alkohol ist da ja eine Lösung) oder kurz zur Toilette geht ect und nicht mal den Desktop Sperrt.
Leider kommt so etwas viel Häufiger vor und auch bei Leuten die das Wissen da öfters Bequemlichkeit vorgeht und vor allen bei Langen/Kryptische Passwörter die Leute meist eine Handschriftliche Notiz haben besonders auf Reisen um sich nicht am Gerät auszusperren.
ukulele-7
ukulele-7 06.10.2017 um 08:30:42 Uhr
Goto Top
Also ich teste (Langzeit) auch Veracrypt auf derzeit 2 Notebooks als Nachfolger von TrueCrypt. Ich nutze die default PIM, was eigentlich nur auf einem Notebook eine Verzögerung mit sich bringt.

Das Passwort ist mit 10 Zeichen recht kurz und allen Mitarbeitern bekannt, es gibt also mehrere Risiko Faktoren. Allerdings sind auf den Geräten immer nur sehr wenige, kaum relevante Daten (primär Inventur etc.), das meiste läuft innerhalb einer Terminal Sitzung und VPN. Es geht nur darum bei Diebstahl eine Hürde aufzustellen, wenn die NSA das knacken will mag sie die Mittel haben, wichtig ist das es kein Gelegenheitsdieb vom Außendienstmitarbeiter klaut und Zugriff nehmen kann.

In vielen Berreichen setzen wir MS Produkte ein aber bei Bitlocker und Hyper-V bin ich recht kritisch. Bitlocker mag ausgereift sein aber Vertrauen tue ich da eher einem offenen Produkt.
askando
askando 06.10.2017 um 08:31:21 Uhr
Goto Top
ich ziehe meinen Hut - danke für diesen sinnvollen Beitrag.

Meine Mitarbeiter würden es sich zwar nie erlauben Änderungen an dem Programm vorzunehmen, aber ja irgendwann ist immer das erste Mal und an Bitlocker hatte ich bis dato gar nicht gedacht. Manchmal übernimmt man Praktiken von Kollegen oder Vorgängern ohne die Sinnhaftigkeit zu hinterfragen.

Merci!
DerWoWusste
DerWoWusste 06.10.2017 um 14:32:48 Uhr
Goto Top
Hi.

Bleibt nur noch die Frage, ob Dein OS Bitlocker unterstützt. Seit Win8 ist es ja sogar in der Pro-Version verfügbar.