Lösung um File Shares zu verschlüsseln

[Doso 77]

An uns wurde die Anforderung herangetragen Dateien auf einem File Share zu verschlüsseln. Es handelt sich dabei wohl um besonders sensible Dateien. Wir haben natürlich die üblichen IT Grundschutzsachen durch, also Dateien sind auf einem Server, beschränkte Zugriffsrechte, sicherer Serverraum, aktuelle Server und Client Betriebssysteme, Backup, Anti-Virenschutz. Egal, soll trotzdem verschlüsselt werden. Die Dateien sollen dabei von mehreren Nutzern genutzt werden können. Nach Möglichkeit sollte es eine 2 Faktor Auth geben, es soll sich gut verwaltbar sein und möglichst einfach in der Anwendung. Bei einem ersten Brainstorming sind wir auf Microsoft EFS gekommen, Boxcryptor und Veracrypt. Aber so wirklich einfach zu bedienen und zu verstehen scheint mir das alles nicht.

 

Hat jemand Erfahrungen mit dem Thema und kann Produkte und Lösungen hierzu empfehlen? Ich tue mich da leider etwas schwer damit da, auch auf Nachfrage, die Anforderungen nicht so ganz klar sind und das Thema Verschlüsselung ja selten besonders einfach ist.

[NorbertFe 2.034]

Wir haben damals einen Anlauf mit https://www.sophos.com/de-de/products/safeguard-encryption.aspx unternommen, aber der wurde nie produktiv eingeführt und die sind inzwischen auch einige Versionen weiter so wie das aussieht. Aber eventuell ists ja einen Blick wert.

[NilsK 2.934]

Moin,

 

die Anforderungen werdet ihr klären müssen. Jeder Ansatz hat Einschränkungen, die ihn für bestimmte Szenarien ungeeignet machen. Hab ich gerade in der letzten Zeit x-mal mit Kunden durch. Am Ende hat keiner von denen eine Lösung eingeführt, weil es am Ende dann doch wieder nicht so wichtig war, dass sich der Nutzerkreis irgendwie dazu hätte motivieren lassen, die Nutzungsweisen festzulegen.

 

Gruß, Nils

[NorbertFe 2.034]

Kann ich nur zustimmen. Daran ist es bei einem unserer Kunden dann auch gescheitert und daran, dass Sophos damals die Utimaco Lösung übernommen hatte und in ein neues Produkt überführte und dafür keinen Terminalserver-Support geben wollte.

[monstermania 53]

Moin,

in der Vergangenheit haben wir mehrfach solche Anforderungen mit Dokumentenmangement (ELO Prof./ELO Enterp. DMS) abgebildet. Insbesondere wenn es um die Bereiche Personal/Lohn oder Projekte im Krankenhaus-Umfeld ging (Patientenakten). Hier gelten teilweise sehr extreme Anforderungen was die Zugriffsmöglichkeiten angeht. Das DMS (ELO) verschlüsselt die Dokumente auf Datei-Ebene (AES).

 

Gruß

Dirk

[zahni 554]

Verschlüsselung ist die Eine, die Schlüsselverwaltung ist eine  andere Sache. Viele Lösungen enthalten bei  der Schlüsselverwaltung Schwächen.

Ich könnte mir gut  vorstellen, dass ein DBA in ELO an die Schlüssel rankommt...

Als ich die Software-Verschlüsselung von Commvault Simpana mal validiert hatte, zog es mir die Schuhe aus:

Schlüssel werden zwar ständig neu erstellt und in die DB geschrieben, aber:

- Schlüssel werden per default auch auf  die Bänder geschrieben und mit "Media Password" verschlüsselt

- Das Media Password steht zusätzlich im Header  jedes Bandes (ein Tool zum binären blockweisen auslesen der Bänder liefert Simpana gleich mit)

- Die dort  verwendete  Verschlüsselung ist schon rein optisch "weak" , durch eine Codeanalyse  lässt es sich wahrscheinlich zurückrechnen

- Man bestätige  mir, dass der Support  bei vergessenen Passwörtern helfen kann ;)

- Mann kann die Speicherung der Schlüssel auf dem Band zwar abschalten, doch dann ergibt sich ein praktisches Problem im DR-Fall:

   Wenn nichts mehr da ist, muss man zunächst das DR-Backup von Simpana von einem der Bänder zurücksichern. Da gelingt aber nicht, da die Schlüssel in einer nicht vorhandenen DB stehen natürlich verschlüsselt auf  den Bändern stehen  (siehe oben).

   Lösung von  Commvault, man sollte doch das DR-Backup auf einen unverschlüsselten Datenträger sichern und getrennt lagern  :jau:

 

Kleiner Tipp: Nehmt den kleinen USB-Token für die Tapelibrary und legt Kopien davon gut und weit weg...

 

 

Eventuell ist  der ist Windows RMS eine Lösung, die man mal validieren sollte. Funktioniert aber nur für Anwendungen, welche die RMS-API auch nutzen (z.B. Office).

Zur besseren Sicherung der Schlüssel kann man hier auf Hardware zurückgreifen, die gibt es z.B. von  http://www.safenet-inc.de/data-encryption/hardware-security-modules-hsms/

Vorteil von RMS ist, dass man hier  revisionskonforme Nutzungsrechte außerhalb vom NTFS vergeben kann und dass sie z.B. auch den "Mail-Verkehr" überleben.

Ist aber in jedem Fall in riesen Projekt.

[P-a-x-i 12]

Servus,

 

bei uns wird die schon genannte Lösung von Sophos verwendet.

 

Was aber zu bedenken ist, dass das Unternehmen jetzt amerikanisch ist und somit der "Datenschutz" vielleicht nicht jedem schmeckt.

[NorbertFe 2.034]

Soweit ich weiß ist Sophos aber britisch. Zwar hinsichtlich Datenschutz nicht unbedingt unbedenklicher, aber wir bleiben bei den Fakten. ;)

https://www.sophos.com/de-de/legal/impressum.aspx

[P-a-x-i 12]

Sorry, war ich auf der Karte in die falsche Richtung unterwegs, aber auf jeden Fall über´s Wasser :)

[Forseti2003 14]

Was haltet Ihr eigentlich von VeraCrypt? Auf den ersten Blick sieht und hört es sich ja zum Thema Datenverschlüsselung auch nicht uninteressant an, hat damit schon jemand Erfahrung?

[NorbertFe 2.034]

Aber bald ausserhalb der EU ;)

[monstermania 53]

Ich könnte mir gut  vorstellen, dass ein DBA in ELO an die Schlüssel rankommt...

Nö, kommst Du nicht, da die Schlüssel selbst nicht in der Software gespeichert werden (können).

Beim ersten Aufruf eines Dokuments aus einem zuvor festgelegten Schlüsselkreis wird der MA zur Eingabe des Kennworts aufgefordert. Dann kann der MA so lange der ELO-Client offen ist Dokumente aus eben diesem Schlüsselkreis öffnen, ohne das er erneut zur Eingabe des Kennwortes aufgefordert wird.

Bei der Archivierung/Verschieben eines Dokuments innerhalb des Archivs funktioniert das analog.

Gemäß dem Hersteller kann er auch nicht helfen, wenn ein Schlüssel verloren gegangen sein sollte! Die Dokument sind dann verloren bzw. dauerhaft verschlüsselt.

Daher muss mit der Schlüsselverwaltung besondere Sorgsam umgegangen werden. Die Schlüssel werden dann i.D.R. in einem versiegelten Umschlag in einem Schließfach/Tresor aufbewahrt. 

 

Was haltet Ihr eigentlich von VeraCrypt? Auf den ersten Blick sieht und hört es sich ja zum Thema Datenverschlüsselung auch nicht uninteressant an, hat damit schon jemand Erfahrung?

Benutze ich Privat um USB-FP / Sticks zu verschlüsseln als Nachfolger zu TrueCrypt.

Funktioniert problemlos. Habe damit aber keine Erfahrungen im Enterprise-Bereich bzw. als Lösung für gemappte Netzwerklaufwerke.

bearbeitet 30. Juni 2016 von monstermania

[Basti1983 10]

Wir haben einen ähnlichen Anwendungsfall und nutzen seit etwa 2 Jahren fideAS file enterprise. Das Produkt ist relativ günstig & funktioniert zuverlässig.

https://www.apsec.de/loesungen/fideas-file-enterprise/

Referenzkunden gibt´s da ja auch einige...

[Doso 77]

Danke für den Hinweis auf fideAS file enterprise. Haben wir uns angeschaut und gefällt und soweit ganz gut. Die Oberfläche sieht zwar bisserl komisch aus, aber Installation ist einfach und der Nutzer kann einfach weiterarbeiten wie gewohnt und die Lösung wirkt einfach durchdacht. Preislich auch okay.

 

Wir haben uns auch noch boxcryptor angeschaut, aber die ganze Firmengeschichte scheint mir da nicht so wirklich ausgereift. Gruppenverwaltung nur über den Client, Rest dann wieder über die Weboberfläche. Wenn man nicht aufpasst hat man verschlüsselte und nicht verschlüsselte Dateien gemischt. Nachdem mir der Client beim testen unter Windows 10 dann immer mal wieder abgestürzt ist habe ich es gelassen.

 

Veracrypt ist wie Truecrypt gut für Einzelnutzer, aber mehrere Nutzer auf geteiltem Medium wie File Share ist problematisch. Bitlocker Laufwerksverschlüsselung sichert den Transportweg nicht, dafür bräuchte es SMB Encrpytion oder IPSec. Leider ist das auch noch von der Anwendung in Hyper-V VMs doof, das klappt dann erst richtig gut unter Windows Server 2016.