Seite 1 von 1

Rechner verschlüsseln

Verfasst: 16. Mai 2018 21:56
von fonprofi
Hallo,

hat jemend schon seinen Server/Rechner vollverschlüsselt gemäß DSGVO? Ich hätte da ein paar Fragen:

Kann man ein Tool empfehlen?
Wir funktioniert das? Drüberziehen, verschlüsseln lassen und gut ist?
Kann man weiterarbeiten wie bisher oder muss man beim Start ein extra (Entschlüsselungs-)Passwort eingeben bevor de Rechner startet?
Was passiert wenn Hardware kaputt geht? Platten in neuen Rechner einbauen, Passwort und Windows startet?

...

Gruß

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 06:54
von Woody-HH
Bitte wo in der DSGVO steht das???
Ansonsten:
- mit Windows Bordmitteln möglich
- nein, ganz so unproblematisch ist das nicht.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 08:04
von fonprofi
Es steht in der DSGVO das der Zugriff auf Kundendaten geschützt sein muss. Das muss auch in den Toms bei der It-Sicherheit erläutert werden. Dazu gehört laut mehreren Datenschützern die ich befragt habe, das mein Servicenotebook bei Diebstahl nicht ausgelesen werden darf in irgendeiner Art. Auch mein Server im Keller könnte gestohlen werden trotz 2er Wadenbeisser die drauf aufpassen sollen.
Um das zu verhindern gibt es nur die Möglichkeit die Festplatte zu verschlüsseln. Bitlocker steht ganz unten auf der Liste, da es Daten an MS sendet. Einhellig wird von Vera gesprochen dem Nachfolger von Truecrypt? .

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 08:33
von Dekodi
Der Datenschützer hat Recht -> alle Geräte, die nach außen gehen müssen verschlüsselt sein (dazu gehören Datenträger (aus der Datensicherung), Smartphones, Notebooks usw.
Der Server muss nicht verschlüsselt sein.
Wir haben die Windows-Maschinen über Bitlocker verschlüsselt, geht ganz einfach.
Den Schlüssel und den Wiederherstellungscode am besten in den Tresor.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 08:35
von xMerchant
fonprofi hat geschrieben:Bitlocker steht ganz unten auf der Liste, da es Daten an MS sendet.
Behauptet wer?

Lies dir mal auf Wikipedia den Abschnitt Sicherheit zu VeraCrypt durch. So eine Software käme mir keinesfalls auf den Rechner.

In der EU vertriebene Microsoft Produkte entsprechen den hier geltenden Datenschutzvorschriften und können unbedenklich eingesetzt werden. Wäre dem nicht so, dürftest du keinen Windows-Rechner mit Kundendaten betreiben. Glaub nicht den ganzen Schwachsinn, den die Hater im Web verbreiten.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 08:48
von Dekodi
:daumenhoch:

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 08:57
von heinzfriedrich
Wir setzen VeraCrypt und LuKs auf Laptops und Datensicherungen ein, die das Büro verlassen.
Ich halte VeraCrypt für ebenso sicher wie BitLocker. Wir bevorzugen VeraCrypt, da BitLocker das TPM nutzt, damit kann ich im Fehlerfall nicht einfach die Festplatte in einen anderen Laptop einbauen und nutzen. Übrigens hatten einige TPMs einen Fehler beim Erstellen der Schlüssel, z.B das X240 von Lenovo.

Zu Win 10 Enterprise und Datenschutz:
Der Präsident des BayLDA, Thomas Kranig, kommt zu dem Schluss, dass die "Datenübertragungen von den Nutzern mittlerweile weitestgehend gesteuert werden können" – auch wenn dies mit etwas Aufwand verbunden ist. Dennoch kritisiert die Aufsichtsbehörde in ihrem Bericht, dass Microsoft Anwendern in Unternehmen keine ausführliche Anleitungen zur Verfügung stellt, wie sie Windows 10 datenschutzkonform einsetzen können.
(Quelle: https://www.heise.de/newsticker/meldung ... 35496.html )

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 09:18
von basti
xMerchant hat geschrieben: Lies dir mal auf Wikipedia den Abschnitt Sicherheit zu VeraCrypt durch. So eine Software käme mir keinesfalls auf den Rechner.
Und was stört dich jetzt da genau?

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 09:53
von xMerchant
Aus Wikipedia:
Der endgültige Bericht legte zahlreiche Programmierfehler offen. Einige davon flossen erst nach der Abspaltung von TrueCrypt ein – andere wurden bereits bei der früheren Auditierung festgestellt und nicht behoben. So wurde die Verwendung einer bekannt fehlerhaften Version der Programmbibliothek zlib aus dem Jahre 1998 bemängelt, insbesondere da TrueCrypt seinerseits bereits eine modernere Variante nutzte. Passwörter werden im Zusammenspiel mit einer Komplett-Verschlüsselung der Systempartition gar nicht oder nur unzureichend im Arbeitsspeicher überschrieben, sodass sich zumindest die Länge des Passworts auslesen lässt. Des Weiteren wurde der neu hinzugefügte Algorithmus „GOST 28147-89“ auf unsichere Art angewandt.[13]
Da sind Programmierer am Werk, die sich an der Verschlüsselung aufgeilen, aber absolut keine Sicherheitskultur haben und wenn man merkt, dass man auffliegt, dann versucht man erst mal den Sicherheitsaudit zu sabotieren (steht in Wikipedia weiter oben, war dann angeblich ein falsch konfiguriertes eMail-System).

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 10:32
von fonprofi
Also? :gruebel:

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 10:57
von xMerchant
fonprofi hat geschrieben:Also? :gruebel:
Festplatte mit Bitlocker verschlüsseln, Schlüssel auf verschiedenen Medien USB, CD, kleine externe Festplatte speichern, an verschiedenen Orten aufbewahren und fertig.


... oder gar nichts machen, wie bisher. Hätte man ja schon bisher machen müssen und 99% haben es nicht gemacht und niemanden hat es gestört und in 3 Monaten kräht kein Hahn mehr danach (wobei Laptops natürlich wirklich verschlüsselt werden sollten, allein schon wegen der möglichen Geschäftsschädigung durch negative Publicity wenn bekannt wird, dass ein Jung-Hacker mit den Daten eines verlorenen Laptops eine Telefonanlage lahm gelegt hat oder Daten gelöscht hat.).

Bei unseren Servern werden z.B. Festplatten nicht verschlüsselt, damit wir sie bei Problemen schneller in neue Systeme einsetzen können. Dafür haben wir eine Löschprozedur, wenn eine Festplatte entsorgt wird: Mehrfach Nullen, neu formatieren (richtig formatieren, nicht nur initialisieren), dann mechanisch zerstören und dann in den Restmüll direkt vor der Abholung durch die Müllabfuhr (und nicht in den Elektronikschrott, ich weiß, ist ein Umweltfrevel)

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 12:14
von basti
xMerchant hat geschrieben:Aus Wikipedia:
Da sind Programmierer am Werk, die sich an der Verschlüsselung aufgeilen, aber absolut keine Sicherheitskultur haben und wenn man merkt, dass man auffliegt, dann versucht man erst mal den Sicherheitsaudit zu sabotieren (steht in Wikipedia weiter oben, war dann angeblich ein falsch konfiguriertes eMail-System).
Also du verwendetes keine Software oder Hardware bei welcher Sicherheitslücken entdeckt worden sind? Da bleibt dann wohl nicht mehr viel übrig. In Wikipedia steht auch "Die kritischen, in Version 1.18 vorhandenen Fehler wurden mit der Version 1.19 korrigiert"
Sei doch froh, dass einen Audit überhaupt gab und jeder in den Quellcode schauen kann. Gibt es denn all dies bei Bitlocker?
Dem Inhaber einer Sicherheitsfirma zu unterstellen "sich an der Verschlüsselung aufgeilen, aber absolut keine Sicherheitskultur [zu] haben" ist schon ziemlich abwegig.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 13:35
von qds1
Man muss nicht den gesamten Rechner verschlüsseln.
Das einfachste ist sich einen Vault zu erstellen und den zu verschlüsseln. Am einfachsten geht das mMn mit Cryptomator. In diesen Tresor kommen dan die Dateien rein, die personenbezogene Daten enthalten. Diese Vaults können dann zur Datensicherung beliebig kopiert oder auch hochgeladen werden
So eine Software käme mir keinesfalls auf den Rechner.
Interessanter Ansatz. Lieber gar nicht verschlüsseln, als schwer knackbar, aber knackbar zu verschlüsseln?
Bitlocker, wie beschrieben, arbeitet mit TPM, trusted platform module. Ob man MS trusten (vertrauen) sollte?

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 14:39
von xMerchant
Wer eine 18 Jahre alte Library in den Linker wirft, der ist mit Sicherheit kein Sicherheitsfachmann. Dem muss der Bildschirm mit deprecated-Warnings voll gelaufen sein. Das ist keine Nachlässigkeit. So jemand ist ungeeignet eine Sicherheitssoftware für den öffentlichen Einsatz zu entwickeln.

Der Entwickler ist ja sogar zu einer älteren Version zurück gegangen. Die Version von TrueCrypt, die er gefoked hat, hatte ja eine aktuellere Version.

Ich vermute mal, da war eine Funktion drin, die er gebraucht hat und die in neueren Versionen fehlt. War halt einfacher als sie selbst neu zu implementieren. Ist eigentlich der einzige Grund, wieso man so etwas macht. Dafür wird er dann den Warning-Level von Compiler und Linker herunter gesetzt haben, damit es keine Deprecated-Warnings gibt.

Der Fehler mit den auslesbaren Kennworten ist anscheinend noch heute drin. Der Fehler kommt 100% daher, dass die Standard-String-Klasse verwendet wurde. Hätte jemand in diesem Projekt Ahnung von möglichen Sicherheitsproblemen bei der Softwareentwicklung, hätte er gewusst, dass die Implementierungen der Standard-String-Klassen auf Kopien arbeiten und man sie zum Speichern sicherheitsrelevanter Texte nicht verwenden darf, weil bei vielen Implementierungen der Performance wegen auf Kopien gearbeitet wird und die alten Speicherbereiche erst später bei der Wiederverwendung überschrieben werden.

Ja, da Coded jemand, der für diesen Level nicht geeignet ist. Mag ja sein, dass er die Schnittstellen zu den Verschlüsselungsbibliotheken auswendig runterbeten kann, das macht aber noch keinen kompetenten Entwickler, da muss man schon auch um die Schwachstellen der Infrastruktur wissen.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 18:44
von fonprofi
xMerchant hat geschrieben:an verschiedenen Orten aufbewahren
Als ich das gelesen habe, dachte ich als erstes an jeden Tag woanders aufbewahren... :daumenhoch:

Montag im Kühlschrank
Dienstag im Weinkeller
Mittwoch unterm Bett
Donnerstag in der Hundehüte
Freitag im Lagerplatz 12
Samstag in Handschuhfach des Autos
Sonntags in unterm Stein im Garten.

Irgendwann wird es soweit mit mir sein das ich sie dann suche :gruebel:

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 19:02
von xMerchant
Ich denke du hast es inzwischen Verstanden. Aber eventuell noch etwas ausführlicher begründet:

Unterschiedliche Speichermedien:
Ewig hält kein Speichermedium. Bei CDs aus der gleichen Packung ist es sehr wahrscheinlich, dass die etwa zum gleichen Zeitpunkt nicht mehr lesbar sind. Das kann auch relativ schnell gehen, wenn man die mit einem Stift beschriftet, der ein Lösungsmittel enthält, das die Oberflächenversiegelung angreift. Ist erst mal der Schutzlack weg, kann die Metallbeschichtung oxidieren.

Auch USB und externe Festplatten halten nicht ewig. Eigentlich bräuchte man noch einen Plan und eine Erinnerung alle X Jahre die Schlüssel auf neue Speichermedien zu kopieren.

Unterschiedliche Orte:
Man sollte mehrere Kopien der Schlüsseldatenträger an verschiednen Orten lagern. Beispielsweise im Büro für den schnellen Zugriff (nutzt aber nichts mehr, wenn es in der Firma gebrannt hat) und zu Hause oder im Banktresor.

Als Warnung:
Niemand kann auf eine verschlüsselte Festplatte zugreifen, wenn die Schlüsseldatenträger weg oder unlesbar sind. Da hilft dann auch kein Festplatten-Rettungsdienst mehr. Die können nur bei Hardware-Defekten helfen.

... Festplatten-Backups müssen dann natürlich auch verschlüsselt werden, gerade wenn man sie zur Aufbewahrung an andere Orte transportiert.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 20:01
von welpe
also muss man regelmäßig Festplatte mit Daten sichern sowieso Festplatte mit Schlüsseldatenträger. Und das eig. jede Sekunde. Und natürlich an zwei verschiedene Orten die überwacht sind.

Also brauch ich 4 verschiedene Orte wo ich die Daten sichern kann und an denen nur ich Zugang habe.

An ein Tresor kann ja der Bankangestellte Zugriff haben.

Re: Rechner verschlüsseln

Verfasst: 17. Mai 2018 20:12
von fonprofi
im Garten vergraben :-y

Re: Rechner verschlüsseln

Verfasst: 18. Mai 2018 09:03
von Woody-HH
welpe hat geschrieben:An ein Tresor kann ja der Bankangestellte Zugriff haben.
Kann er nicht. Die Bank hat einen Schlüssel, Du hast einen Schlüssel.
Zum Öffnen des Schließfachs werden beide Schlüssel gebraucht.