RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) Bei Thin Clients wäre die Gefahr, dass jemand nen Hardwarekeylogger zwischen Tastatur und USB Port packt. Die Teile laufen unsichtbar auf Hardware Ebene ohne Software / Treiber haben nen Akku und Zeichnen alles mit Datum auf. Hab mir grad paar Modelle angesehen -> wie du dann mit den Infos aus dem Teil weiterkommst sollte klar sein. Versorge dich gerne via PM mit nem Link. Will nicht gegen die Forenrichtlinen verstoßen, sondern ernsthaft der Frage nachgehen ob 2 Personen sicher getrennt voneinander an ein und dem selben "Arbeitsplatz mit der selben Hardware" arbeiten können. Sehe im Moment noch zu viele Gefahren. Nochmal: (ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)... Und ja " Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden..." gibt es in gewissen Bereichen. Musste selber schon mal durch so ne "Schleuse" und meine Taschen leeren. Rechenzentren wo ich die Namen jetzt aus Datenschutzgründen nicht nennen werde. -ergänze zu deiner Aufzählung noch nen Metalldetektor. bearbeitet 30. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 Nochmal, wenn keinen physikalische Sicherheit gegeben ist (Zukleben der Anschlüsse oder evtl. Abschließen), gibts wenig Möglichkeiten, außer eine ständige Kontrolle. Wenn also kriminelle Energie unterstellt wird, muß man auch den Aufwand betreiben die physikalische Sicherheit auf dem Level zu halten. Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) @NorbertFe Bin ich absolut bei dir. und wenn der Aufwand zu groß oder doch zu unsicher ist, bekommt halt jeder seine eigene Hardware (sei es Thin client oder PC) im abschließbaren Büro. Und ja natürlich kann auch ein Türschloß geknackt werden. Das fällt aber unserer Einschätzung nach mehr auf, als wenn ein klitzekleiner schwarzer Kasten mal ebend an dem PC gesteckt wird, während man alle Zeit der Welt hat.... ... Wobei physikalischen Zugriff auf USB verhindern (Abschließen des PCs) - kommt man mit Hardwarekeyloggern nicht weiter + Verschlüsselung TPM (kommt man mit hinzufügen von lokalen Konten nicht weiter) Applocker und Software Restriction Policies, damit keine Softwarekeylloger gestartet werden dürfen... könnte in Kombination funktionieren. bearbeitet 30. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 Der Terminal muss ja nicht im offen im Raum stehen, sondern kann verschlossen werden. Dann können auch zwei Personen an der selben Hardware arbeiten. Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 Yo yo Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) Ohne jetzt Alles genau gelesen zu haben. Wie wäre es mit 2 Faktor-Authentifizierung in Verbindung mit einem Token!? Dann nutzt ein einfaches Ausspähen des Kennworts z.B. per Keylogger nicht viel. Oder aber ein entsprechend abgesicherter PC-Arbeitsplatz: https://orwl.org/ Gruß Dirk bearbeitet 30. Januar 2019 von monstermania 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 vor 47 Minuten schrieb monstermania: ann nutzt ein einfaches Ausspähen des Kennworts z.B. per Keylogger nicht viel. Naja das würde ich maximal bezüglich der Anwendungen _mit_ MFA unterschreiben. Für alles andere ist die Gefahr ja trotzdem vorhanden. Bye Norbert Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 31. Januar 2019 Melden Teilen Geschrieben 31. Januar 2019 Klingt alles nach "wasch mich, aber mach mich nicht nass". Warum kriegt der extrem sensitive Mitarbeiter nicht einfach nen Laptop, den er mitnimmt? Oder im Safe einsperrt... Möglichkeiten gibt es beliebig viele, auch gegen Seitenkanäle kann man sich schützen - indem man in einem Metallcontainer offline arbeitet Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 31. Januar 2019 Autor Melden Teilen Geschrieben 31. Januar 2019 (bearbeitet) Doch doch bekommt er auch und der Raum wird abgeschlossen. Nach den ganzen Möglichkeit die wir hier im Brainstorming erarbeitet haben, is mir das auch viel zu gefährlich 2 Leute an einer Hardware arbeiten zu lassen (wenn einer sensible Daten hat) zumindest ist es weniger aufwendig beide physikalisch zu trennen. Pcs können hier in dem Fall nicht in irgendwelche Kästen gesperrt werden. USB wird für diverse Hardware lese und Programmiergeräte benötigt... Grundsätzlich könnte aber eine sensible Trennung evt. mit viel Aufwand erreicht werden. bearbeitet 31. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. Februar 2019 Melden Teilen Geschrieben 1. Februar 2019 Moin Meine Anregung mit RDP-/Terminalserver, Thinclient wurde gelesen. Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 1. Februar 2019 Autor Melden Teilen Geschrieben 1. Februar 2019 (bearbeitet) Wurde wurde. Und wenn man diese abschließen (Restriktion auf USB) würde und vernünftige app restrictionen und so weiter einrichten würde, könnte es klappen. Aber Terminalserver nicht vorhanden, Clients auch nicht. Daher ist der Aufwand (Kosten) geringer dem Mitarbeiter nur einen kleinen günstigen Lapi für sensible Arbeiten hinzustellen, an dem andere Mitarbeiter nichts zu suchen haben und dieser im Anschluss in den Tresor oder an einen anderen sicheren Ort wandert. Bei einer Neuplanung einer IT Umgebung könnte deine Idee durchaus in Erwähnung gezogen werden. Danke Danke für eure Ideen! bearbeitet 1. Februar 2019 von RobDust Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 1. Februar 2019 Melden Teilen Geschrieben 1. Februar 2019 Was bedeutet hier eigentlich "sensible Daten"? Reden wir hier von Geschäftsgeheimnissen, Datenschutzrelevaten Dingen oder sind wir im Bereich von Verschlusssachen? - Geschäftsgeheimnisse: Selbst definierte geheimhaltungspflicht, kein äusserer Zwang - Datenschutzrelevante Dinge: per Gesetz geschützt(BDSG, DSGVO usw) - Verschlusssachen: Per Anweisung durch eine Behörde definierte Geheimhaltung VS-NFD VS-VERTRAULICH, GEHEIM, STRENG GEHEIM Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 1. Februar 2019 Autor Melden Teilen Geschrieben 1. Februar 2019 (bearbeitet) Geschäftsgeheimnisse ja. Daten, welche für die Konkurrenz / Mitbewerber auf dem Markt interessant sein könnten... bearbeitet 1. Februar 2019 von RobDust Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 1. Februar 2019 Melden Teilen Geschrieben 1. Februar 2019 (bearbeitet) Laptop im Tresor liesst sich gut. Festplattenverschlüsselung? Ein Kunde schloss auch das Laufwerk mit den sensiblen Daten in den Tresor. bearbeitet 1. Februar 2019 von lefg Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 1. Februar 2019 Melden Teilen Geschrieben 1. Februar 2019 Was sagt denn die GL was die Schutzmassnahmen kosten dürfen? Ich sag mal, von Tresor, vier Augenprinzip, bis 24x7 Wachdienst für das Gerät ist ja alles möglich. Nehmen wir doch einfach mal die Standardanforderungen an VS-Netze: Physische Sicherheit der Geräte, sprich Zutrittssteuerumg und Kontrollen was die Räumlichkeiten angeht. Strikte Trennung der Daten, die dürfen also nicht um gleiche Netzwerk wie die anderen Daten sei. Trennung von Sprache und Daten, falls Voip zum Einsatz kommt durch eine extra Verkabelung. Ob eine Verschlüsselung notwendig ist hängt von dan anderen Daten ab. Geräte im VS-Netz haben keinen Internetzugang. Verbot für elektronische Geräte in den Räumlichkeiten. Ich würde ja einfach mal mit dem Grundschutzkatalogen anfangen. Oft stellt man dann fest, dass die Daten doch nicht so wertvoll sind. Blöde Frage vielleicht, aber ist der Kollege der die Daten verarbeitet denn überhaupt vertrauenswürdig? Würde und wird der regelmäßig Sicherheitsüberprüft oder wird wenigstens regelmäßig ein Führungszeugnis verlangt? 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.