MikeMyst 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hallo, ich suche eine Möglichkeit, das Kopieren "grosser" Datenmengen von einem SBS 2003 zu erkennen. Unsere GL möchte eine Möglichkeit haben, zu erkennen, ob jemand etwa unseren kompletten Datenbestand klauen möchte. Wir haben 20 User, die auf dem Datenbereich (ca. 300 GB Zeichnungen und Texte, keine personenbezogenen Daten) fast Vollzugriff haben. Eine komplette DLP-Lösung für unsere Zwecke ist wohl 'mit Kanonen auf Spatzen schiessen', soll heissen zu teuer und zu komplex. Ausserdem soll Datenklau nicht unbedingt verhindert werden, aber der Versuch soll erkannt werden. Die GL stellt sich ein Tool vor, das Alarm schreit, wenn etwa ein User oder Client mehr als 20 GB (einstellbar) aus dem Datenbereich liest. Hat hierzu jemand eine Idee wie man das realisieren kann? Link zu diesem Kommentar
chirho 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hallo. Ich kenne keine solche Lösung. Wir haben da einen anderen Ansatz. Das Stichwort lautet "Endpoint Security". Es gibt da diverse Anbieter. USB, Brennfunktionen usw. sperren, einzelne Devices erlauben und schon gibt es kein "Ziel" mehr, auf das Daten kopiert werden können.. Zum Thema Kosten: Was sind die Daten wert, wenn sie bei der Konkurrenz landen? Link zu diesem Kommentar
lefg 276 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 (bearbeitet) Ob es für solch ein Ansinnen eine einfache und billige Lösung gibt? Ich habe da meine Zweifel, ob solch ein Wunsch tatsächlich so erfüllbar ist. Scheinbar einfache und billige Lösungen haben meist einen Pferdefuss, sie sind einfach zu umgehen. Vor vielen Jahren lernte ich mal bei einem weltweit tätigen Unternehmen: Jeder bekommt nur Zugriff auf das für die Erfüllung seiner Aufgaben Benötigte, dass nur für den vorher festgelegten Zeitraum, gegebenfalls wurde der Zugriff schon voher gesperrt. Wer regelt und überwacht den Zugriff des Admins, des GF? Für Sicherheit muss man schon etwas investieren, an Beratung und Manpower, an Technik, an Organisation; man muss den Laden dicht machen, alle Möglichkeiten erwägen, sonst kann man es gleich bleiben lassen. Auch eine scheinbar kleine Lücke ist nichts weiter als ein grosses Tor. Ein klassischer Fall: Es wurde einem Mitarbeiter gekündigt, bis zum Termin arbeitete der normal weiter, hatte der weiter vollen Zugriff auf die von ihm bearbeitetetn Projekte, einen Monat später arbeitete er bei einer Konkurrenz. Bei der Bundeswehr war ich in Sicherheitsbereichen tätig, eines Tages sah ich einen Angehörigen des Gebietes Militärische Sicherheit bei einer Begehung mit einem Diktiergerät, ich kassierte das Ding ein. Niemand durfte in dem Bereich Aufzeichnungsgeräte und Datenträger mit sich führen, geschweige diese benutzen ohne eine besondere Genehmigung, die nur in Ausnahmen, im Einzelfall erteilt wurden, das von jemanden der weit oben stand, dazu befugt war. Auch diese Person bedurfte einer Genehmigung. Edit: Eben erhielt ich eine Mail betreffend DriveLock, erwähnt ein Device Scanner. bearbeitet 12. Mai 2011 von lefg Link zu diesem Kommentar
MikeMyst 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Hallo.... Das Stichwort lautet "Endpoint Security". ... Zum Thema Kosten: Was sind die Daten wert, wenn sie bei der Konkurrenz landen? Danke für die schnelle Antwort. OK, Endpoint Security ist mal vorgemerkt und werde ich mal verfolgen. Tja, also Daten bei der Konkurrenz würde ich als nicht sehr teuer ansehen, da letztlich unser Wissen, Erfahrung und besonders fachliche Kompetenz unseren wirtschaftlichen Wert darstellen. Die Zeichnungen und Texte sind "nur" Ergebnisse unserer Ausarbeitungen, die auch nur Gültigkeit für ein Projekt haben. Der Wert könnte allerdings darin bestehen, dass man in den 'geklauten' Daten nach ähnlichen Projekten sucht und daraus Rückschlüsse für aktuelle Projekte zieht. So könnte ein gefeuerter Mitarbeiter in "seinen" alten Projekten kramen und sie bei der Konkurrenz wieder verwenden. Link zu diesem Kommentar
MikeMyst 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Ob es für solch ein Ansinnen eine einfache und billige Lösung gibt? Ich habe da meine Zweifel, ob solch ein Wunsch tatsächlich so erfüllbar ist. Scheinbar einfache und billige Lösungen haben meist einen Pferdefuss, sie sind einfach zu umgehen.Scanner. Auch Dir ein danke fürs superschnelle Antworten :-) Nun, man ist schon bereit zu investieren. Allerdings ist die Verhältnismässigkeit zu beachten. 10.000 Euro wäre für unseren Bedarf eher nicht mehr verhältnismässig. Wir wollen auch nicht unbedingt Datenklau verhindern. En Monitoring wäre auch ausreichend, so dass man Auffälligkeiten ansprechen und den betreffenden Mitarbeiter mahnen oder verwarnen kann. Vielleicht ist Monitoring günstiger als das Schliessen aller möglichen Lecks ? Link zu diesem Kommentar
chirho 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hallo. So könnte ein gefeuerter Mitarbeiter in "seinen" alten Projekten kramen und sie bei der Konkurrenz wieder verwenden. Das meinte ich ja. Oder sind die Daten dann etwa nicht geklaut;) Ich finde halt deinen Ansatz falsch. Du kannst halt nicht sicher sein, eine "Alarmmeldung" so rechtzeitig zu bermerken, dass noch reagiert werden kann. Habe ich Daten erst auf einem Medium aus der Firma getragen, können die dann Überall sein.. Und wenn es eine "20 GB-Kopiergrenze" gibt, wird halt stückchenweise gelöffelt. User finden (fast) immer einen Weg, wenn er nicht ganz versperrt ist. Link zu diesem Kommentar
lefg 276 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Wurde DriveLock schon angeschaut und beweretet? Link zu diesem Kommentar
blub 115 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hi, Die Daten werden sicherlich auch gesichert. Die Backups darfst du bei deinem Konzept nicht vergessen. blub Link zu diesem Kommentar
chirho 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Wurde DriveLock schon angeschaut und beweretet? Und ich werfe auch noch welche in die Runde: tetraguard - Sicherheitslsungen - Schutz vor Datendiebstahl Endpoint security software - Control use of portable storage devices such as USB drives, iPods and more Symantec Endpoint Protection: Neue Funktionen Alles Produkte, die wir getestet hatten und die bei weitem nicht auf die , von dir genannte Summe kommen.. Aber blub hat vollkommen Recht. Sicherheit ist IMMER ein Gesamtkonzept. Link zu diesem Kommentar
tester1309 10 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Hallo, ich frage mich gerade warum nur beobachtet werden soll wer was "klaut" ohne gegen den Diebstahl selbst einzuschreiten. Mir kommt das eher so vor als ob hier Gründe für Kündigungen auf Vorrat angelegt werden sollen. Denn mal im Ernst, alle haben Vollzugriff? Wozu dann messen wieviel geladen wird? Denn vom Endgerät abgesehen könnte es ja jeder sein. Und wenn die Daten nichts wert sind, warum sollte sie jemand stehlen? 20GB Grenze? Das kommt mir alles ein wenig "spanisch" vor, Klaus Link zu diesem Kommentar
NilsK 2.958 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Moin, und das mit der Überwachung vergisst du am besten, bis du mit einem Anwalt gesprochen hast ... Gruß, Nils Link zu diesem Kommentar
MikeMyst 10 Geschrieben 16. Mai 2011 Autor Melden Teilen Geschrieben 16. Mai 2011 (bearbeitet) Danke erstmal an die vielen Schreiber! Ich kann Eure Kritik verstehen. Also wir sind ein kleiner mittelständischer Betrieb, wir besitzen keine hochbrisanten Geschäftsgeheimnisse oder Personendaten, die bei Verlust das Aus für uns bedeuten würden. Es geht hier recht persönlich zu. Im Netz spiegelt sich das wider. VZ haben sie natürlich nicht, denn die Besitzübernahme ist raus. Aber sonst ist der Datenbereich relativ offen, das ist auch für unsere Arbeitsweise erforderlich, und damit kommen wir auch gut zurecht. Aber bei aller Offenheit will wohl die GF etwas mehr über die Tätigkeit im Netz wissen. Die Hintergründe kann ich auch nicht genau nachvollziehen. Sie zielt nicht auf bevorstehende Kündigungen ab, möchte aber falls es doch mal zu Spannungen kommt, etwas in der Hand haben, falls es zum Datenklauversuch kommen sollte. Ich glaube, dass es letztlich besser ist, den Mitarbeitern zu verdeutlichen, dass es nicht erlaubt ist, Geschäftsdaten aus der Firma herauszutragen. Darüberhinaus werde ich vorerst mal mit dem Eventlog und Eventlog Analyzern an die Frage herangehen (Eventsentry.com u.ä.). Sollte die GF dann doch weitergehende Kontrolle wünschen, kenne ich nun das Stichwort Endpoint Security. Thanks! bearbeitet 16. Mai 2011 von MikeMyst Rechtsschreipunk :-) Link zu diesem Kommentar
scirocco790 11 Geschrieben 16. Mai 2011 Melden Teilen Geschrieben 16. Mai 2011 Ich würde an Deiner Stelle noch mal mit deinen Chefs reden, warum sie das überhaupt wollen. Bei der Gelegenheit gleich mal die Möglichkeiten die sich bis dahin aufgetan haben + Kosten/Aufwand unterbreiten. Danach hat sich die Sache wahrscheinlich eh erledigt. Link zu diesem Kommentar
lefg 276 Geschrieben 16. Mai 2011 Melden Teilen Geschrieben 16. Mai 2011 Hallo, zur Eingangsfrage des Threads: Mir ist keine einfache, billige Möglichkeit bekannt, das Gewünschte durchzuführen, kein BuildIn, kein 3.Party dafür, nach etwas Überlegen auch keine komplizierte, teure. Link zu diesem Kommentar
lefg 276 Geschrieben 16. Mai 2011 Melden Teilen Geschrieben 16. Mai 2011 .....Aber bei aller Offenheit will wohl die GF etwas mehr über die Tätigkeit im Netz wissen. ......! Nun, Netzwerk ist etwas anderes als den Zugriff Serverfestplatte zu loggen. Auch für das Netzwerk überwachen gibt es keine dem Laien transparenten Lösungen, die auch noch kostengünstig sind. Der vom Chef geforderte, überforderte Admin könnte an einem Verstoss gegen das Datenschutzgesetz beteiligt, Mittäter sein, er ist nämlich für sein Handeln verantwortlich. Deshalb wohl auch der Rat von Nils, einen Anwalt zu konsultieren. Wie kommt man als Admin da raus beim Chef? Man habe nach Recherchen keine Lösung für den Wunsch gefunden! Man versuche den Wunsch des Chefs umzulenken auf Sicherheit, EndpointSecurity, Sicherheitseinstellungen der Verzeichnisstruktur. Man schaue auch mal beim BSI. Dieser Thread riecht schon ein wenig nach Überwachung, in der Eröffnung kommt das Wort erkennen vor, letztendlich ein Erkennen was Benutzer machen(?), synonym für Überwachen was die Benutzer machen(?). Normalerweise wird solch ein Thead vom Boardadmin oder dem Boardbetreiber schnell geschlossen. Link zu diesem Kommentar
Empfohlene Beiträge