14
Wer setzt File- und Folderverschlüsselung im Unternehmen ein oder plant es?
Hi,
bei uns im Unternehmen ist die Einführung einer File- und Folderverschlüsselung geplant. Wer hat denn da schon Erfahrungen (gute wie schlechte) gemacht und kann mir ein paar Tipps geben? Auf den Homepages der Hersteller gibt's ja nur Werbegeschwätz, aber keine technischen Einblicke.
Wer ist evtl. in einer ähnlichen Situation wie ich und plant auch gerade? Wäre für einen Erfahrungsaustausch dankbar!
Danke & Grüße
bei uns im Unternehmen ist die Einführung einer File- und Folderverschlüsselung geplant. Wer hat denn da schon Erfahrungen (gute wie schlechte) gemacht und kann mir ein paar Tipps geben? Auf den Homepages der Hersteller gibt's ja nur Werbegeschwätz, aber keine technischen Einblicke.
Wer ist evtl. in einer ähnlichen Situation wie ich und plant auch gerade? Wäre für einen Erfahrungsaustausch dankbar!
Danke & Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 104648
Url: https://administrator.de/contentid/104648
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
14 Kommentare
Neuester Kommentar
Also wir haben bei uns sehr gute Erfahrungen mit "Safe Guard Easy" von "Ultimaco" gemacht.
Es handelt sich nicht direkt um eine verschlüsselung von einzelnen Ordnern, sondern eher für die ganze Festplatte bzw. Partionionen und Externe Datenträger wie Externe Festplatten oder USB-Sticks.
Verschlüsselt wird über AES.
Ein Passwort wird direkt nachen Hochfahren abgefragt und vorher lässt sich auch keine Bootcd starten.
Die Verwaltung ist recht simpel, da man auch mit den Default-Einstellungen schon gut fährt.
Fazit: Klasse Programm zum guten Preis.
Einziges Kontra: Verschlüsselung einer Festplatte von ca. 160 GB kannm selbst nur wenn OS installiert ist, schon mal gute 2 Stunden dauern.
Es handelt sich nicht direkt um eine verschlüsselung von einzelnen Ordnern, sondern eher für die ganze Festplatte bzw. Partionionen und Externe Datenträger wie Externe Festplatten oder USB-Sticks.
Verschlüsselt wird über AES.
Ein Passwort wird direkt nachen Hochfahren abgefragt und vorher lässt sich auch keine Bootcd starten.
Die Verwaltung ist recht simpel, da man auch mit den Default-Einstellungen schon gut fährt.
Fazit: Klasse Programm zum guten Preis.
Einziges Kontra: Verschlüsselung einer Festplatte von ca. 160 GB kannm selbst nur wenn OS installiert ist, schon mal gute 2 Stunden dauern.
Hi,
danke, aber eine Festplattenverschlüsselung nützt uns im Netzwerk garnix. Uns geht's primär um den Schutz der Fileserver und es sollen auch nur bestimmte Benutzergruppen mit bestimmten Ordnern arbeiten dürfen bzw. die Inhalte lesen können. Da kann ich mit einer Festplattenverschlüsselung leider nichts anfangen.
Grüße
danke, aber eine Festplattenverschlüsselung nützt uns im Netzwerk garnix. Uns geht's primär um den Schutz der Fileserver und es sollen auch nur bestimmte Benutzergruppen mit bestimmten Ordnern arbeiten dürfen bzw. die Inhalte lesen können. Da kann ich mit einer Festplattenverschlüsselung leider nichts anfangen.
Grüße
Dann reicht doch eigentlich TrueCrypt aus.
Dort können sogennante "Container" erstellt werden und alle Daten die verschlüsselt werden soll, die kommen da rein.
Dort können sogennante "Container" erstellt werden und alle Daten die verschlüsselt werden soll, die kommen da rein.
Das Szenario rechtfertigt keine Verschlüsselung. Oder welchen Schutz hast Du so, den NTFS nicht schon bieten kann?
TrueCrypt hat, soweit ich weiss, kein zentrales Management und auch keine Zugriffssteuerung für den gemeinsamen Zugriff für Arbeitsgruppen, oder gibt's das inzwischen?
Unserem Chef geht's unter anderem darum, dass auch wir Administratoren keinen Zugriff z.B. auf die Personalunterlagen oder die Geschäftsführungsdaten haben. Außerdem macht das Backup bei uns ein Dienstleister und auf den Backup-Bändern greift NTFS ja auch nicht mehr. Der Dienstleister muss natürlich auch von den Daten ferngehalten werden, allein schon aus Gesetzesgründen.
Das Thema "Schützen vor dem Admin" ist schier unerschöpflich diskutiert worden (war ich selbst bestimmt 10 Mal in anderen Foren dabei). Überleg Dir bitte: Daten werden nicht nur gespeichert und gelesen, sondern auch angesehen und erzeugt. Du kannst einen Keylogger installieren und alles mitschneiden: erzeugte Texte, Anmeldekennwörter und Verschlüsselungskennwörter. Du kannst Remotescreenshots machen, alles urgemütlich, Verschlüsselung hin oder her - popelige Virenscanner deaktivieren wir mit unserer kriminellen Energie im Handumdrehen. Damit Du Dich selber wirksam aussperrst, darfst Du keine Adminrechte auf der Kiste haben. Schon hast Du einen nicht mehr verwaltbaren Standalone-PC vor Dir...toll. Beim externen Dienstleister sieht das anders aus, das ist klar.
Für zentrales Management einer Verschlüsselung kannst Du Dich auch mit EFS vertraut machen.
Für zentrales Management einer Verschlüsselung kannst Du Dich auch mit EFS vertraut machen.
Naja, meine kriminelle Energie ist eher gering, aber darum geht's auch garnicht. Mein Chef will Verschlüsselung und ich soll ihm eine Lösung präsentieren, die was taugt. EFS taugt für den Unternehmenseinsatz nix, ist nicht arbeitsgruppenfähig und hat mehrere Sicherheitslücken. Das ist mein Problem, ich weiss, was nicht geht, aber nicht, welche guten Lösungen es gibt.
Nix für ungut, aber mir wäre wirklich mehr geholfen, wenn mir jemand seine Erfahrung mit File- und Folderverschlüsselungsprogrammen mitteilen könnte.
Nix für ungut, aber mir wäre wirklich mehr geholfen, wenn mir jemand seine Erfahrung mit File- und Folderverschlüsselungsprogrammen mitteilen könnte.
"EFS taugt für den Unternehmenseinsatz nix, ist nicht arbeitsgruppenfähig und hat mehrere Sicherheitslücken" - dann zähl mal auf. Ich denke, dass es taugt, dass es gruppenfähig ist und dass es keine Sicherheitslücken hat (bis auf den Domänenadmin, der alles entschlüsseln kann) - lasse mich aber gerne überzeugen.
- Beim Verschieben von Daten bleiben diese u.U. unverschlüsselt, auch wenn der Zielordner zur Verschlüsselung markiert ist.
- Der Zugriff auf verschlüsselte Daten ist lediglich über das Systemkennwort abgesichert. Daher bietet EFS keinerlei Schutz vor Administratoren, die Systempasswörter zurücksetzen können.
- EFS räumt von einer Applikation, z.B. Word, gespeicherte temporäre Klartextdateien nicht auf. Dadurch können im System eigentlich zu verschlüsselnde Dateien unverschlüsselt auftauchen.
- Beim Übertragen in einem Netzwerk von Rechner A zu Rechner B werden Daten auf Rechner A entschlüsselt, dann im Klartext übertragen und erst auf Rechner B wieder verschlüsselt. Während der Übertragung sind sie ungeschützt.
Gibt noch mehr Probleme. Hab mal auf dem BSI Kongress einen Vortrag drüber gehört.
- Der Zugriff auf verschlüsselte Daten ist lediglich über das Systemkennwort abgesichert. Daher bietet EFS keinerlei Schutz vor Administratoren, die Systempasswörter zurücksetzen können.
- EFS räumt von einer Applikation, z.B. Word, gespeicherte temporäre Klartextdateien nicht auf. Dadurch können im System eigentlich zu verschlüsselnde Dateien unverschlüsselt auftauchen.
- Beim Übertragen in einem Netzwerk von Rechner A zu Rechner B werden Daten auf Rechner A entschlüsselt, dann im Klartext übertragen und erst auf Rechner B wieder verschlüsselt. Während der Übertragung sind sie ungeschützt.
Gibt noch mehr Probleme. Hab mal auf dem BSI Kongress einen Vortrag drüber gehört.
Ok, dann wollen wir mal resümieren, ob EFS wirklich schlechter geeignet ist, als andere Lösungen:
-den Einwand mit der Arbeitsgruppenfunktionalität hast Du fallengelassen, ja? Man kann den Zugriff für mehrere konfigurieren.
-Sicherheitslücken hast Du keine genannt, sondern konzeptionelle Schwächen. Falls Du von Sicherheitslücken weißt, nenn diese bitte.
-"...bleiben diese u.U. unverschlüsselt" - unter welchen Umständen? -bleibt zu klären
-Der Einwand mit der Rücksetzbarkeit von Kennwörtern ist meiner Meinung nach überflüssig. Will ein Admin die Daten haben, nimmt er Keylogger/Remotescreenshots und keine Verschlüsselung stoppt ihn mehr.
-Temporärdateien müssen in definierte Ordner und diese werden dann über Abmeldeskripte gelöscht, dies ist gängige Praxis. Auch sicheres Überschreiben ist möglich. Alle Verschlüsselungsverfahren außer Vollverschlüsselung werden dieses Problem aufweisen. Man muss dann auch konsequenterweise die Pagefile verschlüsseln (geht mit Bordmitteln seit Vista) und die Ruhezustandsnutzung per Policy verbieten.
-Beim Übertragen durchs Netzwerk müssen bei Bedarf dann weitere Sicherungen benutzt werden wie IPSec. Das wird Dir auch keine andere Verschlüsselung abnehmen.
OK...ich hoffe Dich stört dies Sinnieren jetzt nicht
Andere zentral managebare Lösungen habe ich bisher nicht eingesetzt. Ich könnte mir vorstellen, das PGP Derartiges im Angebot hat und auch Utimaco.
-den Einwand mit der Arbeitsgruppenfunktionalität hast Du fallengelassen, ja? Man kann den Zugriff für mehrere konfigurieren.
-Sicherheitslücken hast Du keine genannt, sondern konzeptionelle Schwächen. Falls Du von Sicherheitslücken weißt, nenn diese bitte.
-"...bleiben diese u.U. unverschlüsselt" - unter welchen Umständen? -bleibt zu klären
-Der Einwand mit der Rücksetzbarkeit von Kennwörtern ist meiner Meinung nach überflüssig. Will ein Admin die Daten haben, nimmt er Keylogger/Remotescreenshots und keine Verschlüsselung stoppt ihn mehr.
-Temporärdateien müssen in definierte Ordner und diese werden dann über Abmeldeskripte gelöscht, dies ist gängige Praxis. Auch sicheres Überschreiben ist möglich. Alle Verschlüsselungsverfahren außer Vollverschlüsselung werden dieses Problem aufweisen. Man muss dann auch konsequenterweise die Pagefile verschlüsseln (geht mit Bordmitteln seit Vista) und die Ruhezustandsnutzung per Policy verbieten.
-Beim Übertragen durchs Netzwerk müssen bei Bedarf dann weitere Sicherungen benutzt werden wie IPSec. Das wird Dir auch keine andere Verschlüsselung abnehmen.
OK...ich hoffe Dich stört dies Sinnieren jetzt nicht
Andere zentral managebare Lösungen habe ich bisher nicht eingesetzt. Ich könnte mir vorstellen, das PGP Derartiges im Angebot hat und auch Utimaco.
Hallo,
was Du suchst ist ein Produkt wie der e-Capsule Fileserver, was fuer einen Fileserver benutzt Ihr gegenwaertig?
SafeGuard LAN crypt sehe ich ebenfalls als eine Alternative.
Als Billigvariante koennte ich mir noch das CryptoNAS-Server package vorstellen, allerdings nicht Compliance-gerecht.
EFS als Verschluesselung taugt nichts im Produktiveinsatz.
saludos
gnarff
was Du suchst ist ein Produkt wie der e-Capsule Fileserver, was fuer einen Fileserver benutzt Ihr gegenwaertig?
SafeGuard LAN crypt sehe ich ebenfalls als eine Alternative.
Als Billigvariante koennte ich mir noch das CryptoNAS-Server package vorstellen, allerdings nicht Compliance-gerecht.
EFS als Verschluesselung taugt nichts im Produktiveinsatz.
saludos
gnarff
So wie Du EFS verteidigst, könnte an meinen, Du arbeitest für Microsoft 
Natürlich gibt es die Möglichkeit, Daten im Netzwerk verschlüsselt zu übertragen, auch ohne IPSEC oder SSL. Es reicht ja, wenn die Daten erst am Client entschlüsselt werden.
Ich bleibe dabei, EFS ist für den Unterehmenseinsatz nicht zu gebrauchen, näheres siehe Tagungsband zum BSI-Kongress 2003.
Dass keine Software einen Schutz bietet, der alle theoretischen Angriffe abwehrt, weiss ich auch, weiss sogar mein Chef, aber das ist ja kein Grund, auf alles zu verzichten. Ich bau' ja auch nicht den Sicherheitsgurt aus dem Auto aus, nur weil mich der nicht vor der generellen Möglichkeit des Unfalls schützt.
Ja, PGP und Utimaco haben solche Lösungen im Angebot, genauo wie Applied Security (apsec), McAfee, Entrust und noch ein paar mehr. Soweit bin ich auch schon, hab da schon recherchiert, aber ich suche jemanden, der mir sagen kann, ob die Software was taugt bzw. welche Macken sie hat.
Natürlich gibt es die Möglichkeit, Daten im Netzwerk verschlüsselt zu übertragen, auch ohne IPSEC oder SSL. Es reicht ja, wenn die Daten erst am Client entschlüsselt werden.
Ich bleibe dabei, EFS ist für den Unterehmenseinsatz nicht zu gebrauchen, näheres siehe Tagungsband zum BSI-Kongress 2003.
Dass keine Software einen Schutz bietet, der alle theoretischen Angriffe abwehrt, weiss ich auch, weiss sogar mein Chef, aber das ist ja kein Grund, auf alles zu verzichten. Ich bau' ja auch nicht den Sicherheitsgurt aus dem Auto aus, nur weil mich der nicht vor der generellen Möglichkeit des Unfalls schützt.
Ja, PGP und Utimaco haben solche Lösungen im Angebot, genauo wie Applied Security (apsec), McAfee, Entrust und noch ein paar mehr. Soweit bin ich auch schon, hab da schon recherchiert, aber ich suche jemanden, der mir sagen kann, ob die Software was taugt bzw. welche Macken sie hat.
Zitat von @mr-wolfe:
Soweit bin ich auch schon, hab da schon recherchiert, aber ich suche
jemanden, der mir sagen kann, ob die Software was taugt bzw. welche
Macken sie hat.
Soweit bin ich auch schon, hab da schon recherchiert, aber ich suche
jemanden, der mir sagen kann, ob die Software was taugt bzw. welche
Macken sie hat.
Ja, ganz einfach, Du laesst uns wissen, welche Loesung in die engere Auswahl gekommen ist und dann gibt es auch bestimmt jemanden, der Dich bereitwillig an seine Erfahrungen im Umgang mit dem Produkt teilhaben laesst.
Einfach mal so ins Blaue gefragt zeitigt selten brauchbare Ergebnisse...
saludos
gnarff
