Festplatten-Sicherheit

Die Festplatte einfach zu verschlüsseln wäre zu einfach?

Wenn dir die Verschlüsseln nicht zusagt, könnte die Python den Voyeur nicht erwürgen?

Moin,

Das ist Quatsch mit Soße. Das Standardverfahren hierfür ist Festplattenverschlüsselung.

Wenn jemand an Deine Daten will, wird er schon dafür sorgen, daß Du keine Programme von Deiner unverschlüsselten Platte starten kannst.

lks

Moin Yannis,

ich muss mich der Meinung der IT-Kollegen anschliessen, das was du da vor hast,
würde einen IT affinen Datendieb nicht mal ansatzweise aufhalten, höchstens belustigen.

Das was du benötigst ist das hier.
https://veracrypt.fr/en/Downloads.html

Platte verschlüsseln und gut ist.

Ja, es ist in der täglichen Handhabung etwas umständlicher aber dafür auch sicher.

Beste Grüsse aus BaWü

Alex

Und, wenn du es weniger umständlich haben möchtest, ein USB Datenträger mit Fingerabdruckscanner.

Moin,

oha.. und du glaubst, das hält jemanden auf? was machst du wenn ich deine platte unter Linux / Unix Mounte?
wie schon gesagt, HDD verschlüsseln, fertig

Frank

Moin,
was die Anderen nicht gesagt haben.

Man kann in seinem Windows/Linux/Mac ganz einfach ausstellen, dass Programme von einem externen Datenträger geladen werden. Inzwischen sollte dies auch weitestgehend Standard sein. Also vergiss diesen Plan und nutze eine Verschlüsselung.

Stefan

Moin.


Das Löschen einer HDD dauert Stunden, in der Zeit der Fremde die meisten Daten auf seinen PC "herübergerettet".


Besser keine Passwörter im Klartext in einer .txt speichern.

Dies ist der neunte Beitrag zum Thema und zum neunten Mal der Rat: verschlüsseln.

Gruß
JoeToe

Moin,

was hindert den pöhsen Purschen eigentlich daran, sich auf das Backup der ext. Platte zu stürzen, wenn er nicht ans Original kommt?
Oder was, wenn der pöhse Pursche einfach alle deine Daten verschlüsselt, statt sie auszulesen?

Gut, in letztem Fall ist ja die Empfehlung der Kollegen umgesetzt worden, nur dass eben nicht du der privilegierte bist, sondern der pöhse Pursche


Noch ein Tipp: Du solltest NICHT der einzige sein, der an die Daten kommt.
Wenn du angestellter bist: Die Daten gehören dem Unternehmen.
Wenn du der Chef bist: du hast die Pflicht als Geschäftsführer, das Unternehmen nach bestem Wissen und Gewissen zu führen. Stelle dir also die Frage, ob das Unternehmen fortbestehen kann, wenn du (aus welchen Gründen auch immer, z. B. krankheitsbedingter Langzeitausfall) nicht greifbar bist und ein anderer die Daten dringend benötigt.

Das mit dem Löschen per Script ist so eine Sache. irgendwie muss das Script ja gestartet werden und das geht nunmal nicht ohne das ein TASK angelegt ist bzw. es erfordert an den PC´s wo die HDD nicht angeschlossen ist einiges an Konfiguration. Woher soll die Festplatte wissen wo sie angeschlossen ist damit das Script nicht am richtigen PC gestartet wird? Klar könnte da ein Script starten aber das muss dann von Windows aus gestartet werden was so einfach nicht geht. Eventuell könntest du es als CD Konfigurieren/einrichten wenn das geht weil da kann man mit Autorun was machen. Ist dann so wie bei Software welche man fruüher (tm)ins CD Rom Laufwerk eingelegt hat und dann ist das Setup automatisch aufgegangen. Weiss jetzt allerdings nicht in wieweit das mit HDD´s geht.

Bedenke auch dass wenn du Phyton verwendetn willst die Phyton Extension auf den Systemen ( wenn Windows ) installiert sein muss.
Habe ich keine Phyton Extension dann kann auch das Script ( wenn man es denn schafft das es autom. startet ) nicht ausgeführt werden weil die Parameter unbekannt sind.
Auch muss u.U. die Scriptausführung erlaubt sein usw. usf.
Wenn jemand an die Daten will dann wird es bestimmt die Platte nicht einfach mit Windows Mounten sondern anderweitig versuchen darauf zu zugreifen.......
Ich würde in so einem Fall IMMER eine Copy der ganzen Disk machen mit Clonezilla damit ich die Original Daten nicht beschädigt und auch hier ist das Problem dass das Script nicht startet


Alternativ
Wie wäre es mit Bit locker wenn Windows zum Einsatz kommt ? Da es eine Ext. Platte ist einfach einen PIN gesetzt und fertig ist die Sache ?
Alternativ könntest du das ganze dann noch per Encypted File System ( EFS ) sichern das der Zugriff nur mit Zertifikat ( geht auch mit Selbstsignieren Zertifikaten ) funktioniert. Wäre dann sogar eine Art 2 Faktor Authentifizierung weil 1. PIN für Bit locker + Zertifikat für den Zugriff.
Wenn du dann das Zertifikat auch noch auf einem USB Stick speicherst kannst du die Platte überall einsetzen und gut ist.

Oder eine SelfEnycrypting HDD nehmen.
Wir haben hier bei uns Lenovo Thinkpad ext. Festplatten mit einem Pinpad vorne drauf. Wird der richtige PIN eingegeben so ist der zugriff auf die Daten der HDD möglich andernfalls nicht. Ausbauen der HDD und extern wo anders mounten klappt nicht da die DATEN verschlüsselt gespeichert werden und durch den PIN sozusagen on the fly encrypted werden. Heißt alles muss durch den Security Chip sowohl schreiben als auch lesend. Ist glaube ich sogar für Verschlusssache VS- Geheim oder VS-Vertraulich zugelassen. Also relativ sicher

ich bin jetzt einfach mal von Windows ausgegangen weil NTFS als Filesystem verwendet wird.

Hallo zusammen,

selbst wenn es so ein Programm geben würde, müsste es auch lauffähig sein auf dem PC und zusätzlich kann man
ein solches verhalten mittels "Autostart - Einstellungen" auch verhindern, aber mal angenommen man hat so ein
Programm und die HDD/SSD kommt abhanden, dann kann das "Dieb" die HDD/SSD auch nur read only mounten
und dann wird eben gar nichts ausgeführt und er hat die Daten dann doch wieder im "Klartext", also empfiehlt sich
hier eher eine Verschlüsselung und dazu eventuell ein Schlüssel in Form von Hardware und einem Programm was
auf dem PC selber läuft was die HDD/SSD dann erkennt und die Daten entschlüsseln kann.

Das sind dann aber Programme auf dem PC und in der Regel nicht auf dem USB Stick oder einer USB HDD/SSD.

Wird ein Wechseldatenträger an einen PC angeschlossen startet dort mitunter (und je nach Einstellung) ein
AV Schutzprogramm (Antivirus-Programm) und scannt den Wechseldatenträger nach Viren, ist völlig normal
und sicherlich auch berechtigt.

So bezeichnet man eigentlich nur Antennen für WLAN oder aber GSM/UMTS/LTE, die sind etwas höherwertiger
und in Gunmmi eingelassen so dass man sie auch im freien verwenden kann.



Und was sagt die Firma dazu? Der Admin oder der Eigentümer der Firma?
Unternehmensvorschriften oder gar Versicherungsvorschriften?

Das Format heißt NTFS und solche HDD/SSDs gibt es auch mittels Verschlüsselung selbst und/oder man kann
dazu Programme benutzen. VeraCrypt ist zum Beispiel so ein Programm. Unter Umständen kann man auch
mittels GPG4win Dateien verschlüsseln und wieder entschlüsseln.

Schreibst Du das selber oder hast Du da an ein spezielles Programm gedacht.

Dann nicht transportieren und in der Firma lassen und sich lieber per VPN von zu Hause aus in die Firma
einwählen und von dort aus arbeiten, hört sich lächerlich an, ist es aber gar nicht! Man kann nur klauen was
greifbar ist und Euer Firmennetzwerk ist sicherlich gut abgesichert damit eben niemand aus dem Internet
auf Eure Daten zugreifen kann.

Ich tendiere weiterhin dazu, das Du Dir eine Verschlüsselungssoftware besorgst und es damit versuchst
oder aber gleich das gesamte Unterfangen aufgeben und via VPN von zu Hause aus arbeiten.

Dobby

Das was du meinst mit dem USB Stick nennt sich Rubberduck oder Rubberducky und ist kein eigentlicher USB Stick sondern eigentlich eine Tastatur mit vorgefertigten Befehlen die der Reihe nach abgearbeitet werden.
Sprich du steckst den Stick ein und der meldet sich als Tastatur ( HID ) und verhält sich dann auch wie eine Tastatur.
Du musst dem Stick vorher sagen was er schreiben soll bzw. welche Tastenkombinationen er ausführen soll.
Das ganze hat den Hintergrund: Wen EXTERNER Speicher in Form von USB Sticks verboten ist und geblockt wird ist es ja für einen Angreifer UNMÖGLICH sein Script zu starten oder er müsste warten bis jemand zufällig das Schadsoftware Script startet. Da es sich als Tastatur ausgibt ist es mit dem Blocken also auch noch mal eine Nummer schwieriger. Oder Anderes Szenario: Jemand findet den Stick, steckt ihn ein, der Stick legt los und der Rechner ist infiziert und du hast nur mal eben eine kleine DosBox oder PS Box gesehen.

Es bleibt also bei Verschlüsselung ( Bitlocker + PIN ) oder eine Secure HDD mit Pin/ Fingerabdruck bzw. USB Stick nehmen

Moinsen, Mahlzeit,

die Antworten zielen alle auf das Gleiche hinaus. Nämlich Verschlüsselung der Festplatte.
Es scheint mir, daß der Beitragsersteller nur ein eingeschränktes Verständnis von von Datenträgersicherheit hat.

Gruss Penny.

Kommt vor. Und seit man bei jedem Beitrag mindestens 4 Tags hinzufügen muss, kommt bei diesem Thema dann raus, dass #python und #Protocols dabei stehen.

Schlimmer noch, zwischendurch packt das MS in seine Standard GPO
Bei dem Plan heißt es dann adios Daten.

Bitlocker Verschlüsselung wäre ein anfang.

Das ganze klingt ein bischen wie: USB Gehäuse mit 2kg C4 Sprengstoff und einem Nummernpad mit einer 16 stelligen Kombination und kein Fehlversuch....

Ohne Sprengstoff und eigentlich auch nur für den stationären Einsatz gedacht, grüner Knopf löscht alles,
roter Knopf zerstört die SSD physikalisch. RunCore InVincible SSD

Aber hier geht es ja eigentlich auch um transportable Datenträger und da kenne ich eigentlich nur einen
Anbieter und ob der die Geräte so noch vertreibt ist mir auch nicht bekannt. Man hat dann vor Ort immer
einen Rahmen für einen Wechseldatenträger installiert und dazu gibt es eben zwei kleine USB Token (Micro
USB Anschluss) und auf denen ist dann ein Trible DES 128 oder AES 256 installiert. Man kann dann den USB
Token in den Wechselrahmen stecken, nachdem man dort das Laufwerk eingeschoben hat und dann wird
mittels des Tokens (USB Keys) die HDD/SSD voll ver- oder entschlüsselt. Ist aber keine "billige" Sache und
wird meist mittels zwei Wege nochmals abgesichert, bietet sich hier aber eigentlich gut auch an meiner
Meinung nach zumindest.

Twitter Feed mit gut bebilderten Geräten von Addonics
USB Token (Keys) als Nachkaufoption.

Dobby

Was ist an Bitlocker mit Pin übertrieben?

Moin Yannis,

ähm, habe ich das jetzt richtig verstanden.


findest du zu übertrieben/komplex, machst dir aber im nächsten Satz Gedanken darüber ...


wie du selbst einen Verschlüsselungsalgorithmus schreiben kannst.

Ich komme da gerade irgendwie nicht mehr ganz hinterher. 😖

Bitlooker oder Veracrypt als "fertiges Produkt" einzusetzen ist doch um Welten einfach als sich selber Gedanken über eine eigene Kryptographielösung zu machen.

Zudem hast du dich ja schon selbst etwas geoutet, das du in diesem Bereich nicht wirklich viel Erfahrung hast.
Daher, tue dir selbst einen Gefallen und verwende das was schon da ist. 😉

Beste Grüsse aus BaWü
Alex

Nimm aber keine Vollbitverschlüsselung, denn sonst bekommst Du ärger mit dem Kryptichef.

lks

PS: Das ist ein Insiderwitz.

Das wird irgendwann soweit sein. Das kann entweder noch dauern oder dank der Quantencomputer sehr schnell gehen.
Die Frage ist halt auch hier immer in wie weit will man wieviel Zeit und somit Ressourcen aufwenden um an die Daten zu kommen. Ressourcen ist halt auch immer wieder eine Frage des Geldes das ich ausgeben möchte.

Ich gehe jetzt eingfach mal davon aus das ein "normeler" Einbruch Diebstahl wohl das häufigste Problem darstellen sollte und hier wird es dann zu 99,9 % der Fall sein das der Enbrecher welche deine HDD ( verschlüsselt ) geklaut hat einfach das Ding formatiert und es dann gegen Bargeld umsetzt.

Anders wird es wohl aussehn wenn du irgendwelche Probleme mit dem Geheimdienst irgendeines Landes hast. Die haben Mittel und Wege bzw. bei denen sind die Kosten egal wenn die da dran wollen kommen die meistens dran. Kann halt auch hier dauern.

Letztlich ist der Zugriff auf eine Verschlüsselte oder Kennwort gesicherte Platte eine Frage der Zeit. Dann kommt aber noch hinzu inwieweit mir die Daten nach der benötigten Zeit der Entschlüsselung noch was bringen. Wenn ich super wichtige Infos für Produkt X habe und ich möchte es vor der Konkurrenz geheim halten und die Konkurrenz kommt an meine Platte und braucht aber so lange für die Entschlüsselung das ich in der Zwischenzeit das Produkt auf dem Markt habe bzw. ein Patent angemeldet habe. Dann war die Zeit für die Entschlüsselung für die Katz. Deswegen ist immer die Frage nach Brisanz der Daten. Einen Geschäftsbericht zu verschlüsseln ist relativ witzlos weil diese müssen sowieso regelmäßig veröffentlicht werden usw. Ich hoffe du verstehst was ich meine.
An Ende hat man dann die Daten aber diese sind dann Wertlos weil sie einfach nicht mehr Aktuell sind bzw. sowieso veröffentlicht wurden.

Wenns hingegen was Illegales sein kommt es auf die Behörden an. Wenns nur MP3 oder Filme ( urheberrechtlich ) sind dann wird da wohl eher ein Harken dran gemacht hingegen wenn die Adresslisten der Drogenkäufer und Hersteller des letzten halben Jahres sind dann sieht´s anders aus