Doso 77 Geschrieben 29. Juni 2016 Melden Teilen Geschrieben 29. Juni 2016 An uns wurde die Anforderung herangetragen Dateien auf einem File Share zu verschlüsseln. Es handelt sich dabei wohl um besonders sensible Dateien. Wir haben natürlich die üblichen IT Grundschutzsachen durch, also Dateien sind auf einem Server, beschränkte Zugriffsrechte, sicherer Serverraum, aktuelle Server und Client Betriebssysteme, Backup, Anti-Virenschutz. Egal, soll trotzdem verschlüsselt werden. Die Dateien sollen dabei von mehreren Nutzern genutzt werden können. Nach Möglichkeit sollte es eine 2 Faktor Auth geben, es soll sich gut verwaltbar sein und möglichst einfach in der Anwendung. Bei einem ersten Brainstorming sind wir auf Microsoft EFS gekommen, Boxcryptor und Veracrypt. Aber so wirklich einfach zu bedienen und zu verstehen scheint mir das alles nicht. Hat jemand Erfahrungen mit dem Thema und kann Produkte und Lösungen hierzu empfehlen? Ich tue mich da leider etwas schwer damit da, auch auf Nachfrage, die Anforderungen nicht so ganz klar sind und das Thema Verschlüsselung ja selten besonders einfach ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. Juni 2016 Melden Teilen Geschrieben 29. Juni 2016 Wir haben damals einen Anlauf mit https://www.sophos.com/de-de/products/safeguard-encryption.aspx unternommen, aber der wurde nie produktiv eingeführt und die sind inzwischen auch einige Versionen weiter so wie das aussieht. Aber eventuell ists ja einen Blick wert. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. Juni 2016 Melden Teilen Geschrieben 29. Juni 2016 Moin, die Anforderungen werdet ihr klären müssen. Jeder Ansatz hat Einschränkungen, die ihn für bestimmte Szenarien ungeeignet machen. Hab ich gerade in der letzten Zeit x-mal mit Kunden durch. Am Ende hat keiner von denen eine Lösung eingeführt, weil es am Ende dann doch wieder nicht so wichtig war, dass sich der Nutzerkreis irgendwie dazu hätte motivieren lassen, die Nutzungsweisen festzulegen. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. Juni 2016 Melden Teilen Geschrieben 29. Juni 2016 Kann ich nur zustimmen. Daran ist es bei einem unserer Kunden dann auch gescheitert und daran, dass Sophos damals die Utimaco Lösung übernommen hatte und in ein neues Produkt überführte und dafür keinen Terminalserver-Support geben wollte. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Moin, in der Vergangenheit haben wir mehrfach solche Anforderungen mit Dokumentenmangement (ELO Prof./ELO Enterp. DMS) abgebildet. Insbesondere wenn es um die Bereiche Personal/Lohn oder Projekte im Krankenhaus-Umfeld ging (Patientenakten). Hier gelten teilweise sehr extreme Anforderungen was die Zugriffsmöglichkeiten angeht. Das DMS (ELO) verschlüsselt die Dokumente auf Datei-Ebene (AES). Gruß Dirk Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Verschlüsselung ist die Eine, die Schlüsselverwaltung ist eine andere Sache. Viele Lösungen enthalten bei der Schlüsselverwaltung Schwächen. Ich könnte mir gut vorstellen, dass ein DBA in ELO an die Schlüssel rankommt... Als ich die Software-Verschlüsselung von Commvault Simpana mal validiert hatte, zog es mir die Schuhe aus: Schlüssel werden zwar ständig neu erstellt und in die DB geschrieben, aber: - Schlüssel werden per default auch auf die Bänder geschrieben und mit "Media Password" verschlüsselt - Das Media Password steht zusätzlich im Header jedes Bandes (ein Tool zum binären blockweisen auslesen der Bänder liefert Simpana gleich mit) - Die dort verwendete Verschlüsselung ist schon rein optisch "weak" , durch eine Codeanalyse lässt es sich wahrscheinlich zurückrechnen - Man bestätige mir, dass der Support bei vergessenen Passwörtern helfen kann ;) - Mann kann die Speicherung der Schlüssel auf dem Band zwar abschalten, doch dann ergibt sich ein praktisches Problem im DR-Fall: Wenn nichts mehr da ist, muss man zunächst das DR-Backup von Simpana von einem der Bänder zurücksichern. Da gelingt aber nicht, da die Schlüssel in einer nicht vorhandenen DB stehen natürlich verschlüsselt auf den Bändern stehen (siehe oben). Lösung von Commvault, man sollte doch das DR-Backup auf einen unverschlüsselten Datenträger sichern und getrennt lagern :jau: Kleiner Tipp: Nehmt den kleinen USB-Token für die Tapelibrary und legt Kopien davon gut und weit weg... Eventuell ist der ist Windows RMS eine Lösung, die man mal validieren sollte. Funktioniert aber nur für Anwendungen, welche die RMS-API auch nutzen (z.B. Office). Zur besseren Sicherung der Schlüssel kann man hier auf Hardware zurückgreifen, die gibt es z.B. von http://www.safenet-inc.de/data-encryption/hardware-security-modules-hsms/ Vorteil von RMS ist, dass man hier revisionskonforme Nutzungsrechte außerhalb vom NTFS vergeben kann und dass sie z.B. auch den "Mail-Verkehr" überleben. Ist aber in jedem Fall in riesen Projekt. Zitieren Link zu diesem Kommentar
P-a-x-i 12 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Servus, bei uns wird die schon genannte Lösung von Sophos verwendet. Was aber zu bedenken ist, dass das Unternehmen jetzt amerikanisch ist und somit der "Datenschutz" vielleicht nicht jedem schmeckt. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Soweit ich weiß ist Sophos aber britisch. Zwar hinsichtlich Datenschutz nicht unbedingt unbedenklicher, aber wir bleiben bei den Fakten. ;) https://www.sophos.com/de-de/legal/impressum.aspx Zitieren Link zu diesem Kommentar
P-a-x-i 12 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Sorry, war ich auf der Karte in die falsche Richtung unterwegs, aber auf jeden Fall über´s Wasser :) Zitieren Link zu diesem Kommentar
Forseti2003 14 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Was haltet Ihr eigentlich von VeraCrypt? Auf den ersten Blick sieht und hört es sich ja zum Thema Datenverschlüsselung auch nicht uninteressant an, hat damit schon jemand Erfahrung? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Aber bald ausserhalb der EU ;) Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 (bearbeitet) Ich könnte mir gut vorstellen, dass ein DBA in ELO an die Schlüssel rankommt... Nö, kommst Du nicht, da die Schlüssel selbst nicht in der Software gespeichert werden (können). Beim ersten Aufruf eines Dokuments aus einem zuvor festgelegten Schlüsselkreis wird der MA zur Eingabe des Kennworts aufgefordert. Dann kann der MA so lange der ELO-Client offen ist Dokumente aus eben diesem Schlüsselkreis öffnen, ohne das er erneut zur Eingabe des Kennwortes aufgefordert wird. Bei der Archivierung/Verschieben eines Dokuments innerhalb des Archivs funktioniert das analog. Gemäß dem Hersteller kann er auch nicht helfen, wenn ein Schlüssel verloren gegangen sein sollte! Die Dokument sind dann verloren bzw. dauerhaft verschlüsselt. Daher muss mit der Schlüsselverwaltung besondere Sorgsam umgegangen werden. Die Schlüssel werden dann i.D.R. in einem versiegelten Umschlag in einem Schließfach/Tresor aufbewahrt. Was haltet Ihr eigentlich von VeraCrypt? Auf den ersten Blick sieht und hört es sich ja zum Thema Datenverschlüsselung auch nicht uninteressant an, hat damit schon jemand Erfahrung? Benutze ich Privat um USB-FP / Sticks zu verschlüsseln als Nachfolger zu TrueCrypt. Funktioniert problemlos. Habe damit aber keine Erfahrungen im Enterprise-Bereich bzw. als Lösung für gemappte Netzwerklaufwerke. bearbeitet 30. Juni 2016 von monstermania Zitieren Link zu diesem Kommentar
Basti1983 10 Geschrieben 30. Juni 2016 Melden Teilen Geschrieben 30. Juni 2016 Wir haben einen ähnlichen Anwendungsfall und nutzen seit etwa 2 Jahren fideAS file enterprise. Das Produkt ist relativ günstig & funktioniert zuverlässig.https://www.apsec.de/loesungen/fideas-file-enterprise/Referenzkunden gibt´s da ja auch einige... Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 8. Juli 2016 Autor Melden Teilen Geschrieben 8. Juli 2016 Danke für den Hinweis auf fideAS file enterprise. Haben wir uns angeschaut und gefällt und soweit ganz gut. Die Oberfläche sieht zwar bisserl komisch aus, aber Installation ist einfach und der Nutzer kann einfach weiterarbeiten wie gewohnt und die Lösung wirkt einfach durchdacht. Preislich auch okay. Wir haben uns auch noch boxcryptor angeschaut, aber die ganze Firmengeschichte scheint mir da nicht so wirklich ausgereift. Gruppenverwaltung nur über den Client, Rest dann wieder über die Weboberfläche. Wenn man nicht aufpasst hat man verschlüsselte und nicht verschlüsselte Dateien gemischt. Nachdem mir der Client beim testen unter Windows 10 dann immer mal wieder abgestürzt ist habe ich es gelassen. Veracrypt ist wie Truecrypt gut für Einzelnutzer, aber mehrere Nutzer auf geteiltem Medium wie File Share ist problematisch. Bitlocker Laufwerksverschlüsselung sichert den Transportweg nicht, dafür bräuchte es SMB Encrpytion oder IPSec. Leider ist das auch noch von der Anwendung in Hyper-V VMs doof, das klappt dann erst richtig gut unter Windows Server 2016. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.