Zum Inhalt wechseln


Foto

Dateien auf File-Server sicher löschen


  • Bitte melde dich an um zu Antworten
31 Antworten in diesem Thema

#1 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 02. Juni 2016 - 11:57

Hallo Welt,

 

aus meinem technischen Verständnis heraus, sehe ich das Löschen von Dateien auf einem gut frequentierten Windows File-Server relativ entspannt. Meiner Ansicht nach, werden als gelöscht markierte Bereiche innerhalb kürzester Zeit durch die nachfolgenden Dateien neu besetzt. Ein entsprechendes Überschreibprogramm ist also nicht notwendig, glaube ich.

 

Wie seht ihr das? Bei einigen Tausend Schreibvorgängen pro Tag auf dem Server, bleiben die Daten im gelöschten Bereich noch längere Zeit lesbar?

 

Wie gesagt, wir reden von Server-Shares. Lokale Dateien werden mit einem speziellen Programm geschreddert. Die Anwendung eines solchen Programmes auf die Server-Shares würde ich aber gerne vermeiden.

 

Für jede Meinung dankbar

 euer Sicherheitsfuzzi

 


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#2 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 02. Juni 2016 - 12:24

Hallo Welt,

 

Meiner Ansicht nach, werden als gelöscht markierte Bereiche innerhalb kürzester Zeit durch die nachfolgenden Dateien neu besetzt. Ein entsprechendes Überschreibprogramm ist also nicht notwendig, glaube ich.

Moin Fuzzi :)

 

Das hängt vom Storage Backend ab, eine pauschale Aussage ist nicht möglich.

 

Schreddern über's Share dürfte nicht funktionieren. Es wird direkter Zugriff auf den Blockspeicher benötigt.

Sind SSD im Einsatz wird es noch problematischer. Da muss i.d.R. mit einem Herstellertool gearbeitet werden.


Keep It Small - Keep It Simple


#3 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 02. Juni 2016 - 15:53

Hi Dunkelmann,

 

ja nu, was meinst Du mit "eine pauschale Aussage ist nicht möglich"? Gibt es Storages welche die Speicherbereiche von gelöschten Dateien längere Zeit frei halten? Das wäre ja b***d und würde mein Argumentationsgebäude einstürzen lassen.

 

SSDs werden aber noch nicht als Speicher von File-Servern eingesetzt, oder?

 

Mein Problem ist, dass die Dateien natürlich von Anwendern mit normalen User-Berechtigungen gelöscht werden. Eine echte Bereinigung der Datenbereiche aber nur vom Admin erfolgen kann. Und das ja auch nur in Form einer Re-Organisation, was ja täglich durchgeführt ein blödsinniger Aufwand wäre, denke ich.

 

Beim Windows-Server kenne ich keine Funktion, als gelöscht gekennzeichnete Bereiche zu überschreiben. Wäre schick, des nächstens so etwas laufen zu lassen.


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#4 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 02. Juni 2016 - 16:22

Storagesysteme haben ihren Fokus häufig auf einer Verteilung der Daten über mehrere physische Datenträger. Dann kommen ggf. noch Techniken wie Dedup, Komprimierung, Tiering und Caching hinzu.

Von Außen ist es u.U. gar nicht erkennbar, wo sich welcher Datenblock gerade befindet und wo er ggf. noch im Chache liegt oder es Verweise im Dedup gibt.

 

Natürlich gibt es SSD in Fileservern. Sehr häufig als Cache. SSD wird immer preiswerter.

Wenn morgens hunderte oder tausende Benutzer die RDS oder VDI Umgebung stürmen braucht es File Server mit Dampf. Da reichen Spindeln nicht mehr bzw. es müsste eine entsprechend große Anzahl verbaut werden.

 

Erschwerend kommt hinzu, dass Fileserver ideale Kandidaten für Virtualisierung sind. Da wird es mit dem Löschen auf der physischen Ebene noch problematischer.

Auf der anderen Seite können sich aus der Virtualisierung des FS auch Vorteile ergeben. Wenn innerhalb der VM ein regelmäßiger Wipe-Job läuft und die Physik entsprechend geschützt ist (Rollentrennung, Verschlüsselung), können die Angriffsvektoren minimiert werden.

 

... und nicht das Backup vergessen. Vielleicht habe ich die Daten auf dem Produktionssystem ganz toll geschreddert, aber die Backupbänder liegen in der Besenkammer :cool:


  • Pitti259 gefällt das

Keep It Small - Keep It Simple


#5 lefg

lefg

    Expert Member

  • 20.481 Beiträge

 

Geschrieben 02. Juni 2016 - 17:17

Der Platz gelöschter Daten wird nach Erfahrung nicht zeitnah überschrieben. Ich habe gelöschte daten noch nach Jahren wiederherstellbar zusammenkratzn können mit Software von Ontrack. Natürlich, je voller ein FS ist, desto grösser erscheint die Wahrscheinlichkeit des schnellen Wiederbelegens. Damit ist aber nicht gesichert das schnelle Überschreiben eines verräterischen Datensatzes oder Fragmentes.

 

Kollege Dunkelmann erwähnte die DaSi, ich erwähne mal die Schattenkopien.


Bearbeitet von lefg, 02. Juni 2016 - 17:23.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#6 Userle

Userle

    Board Veteran

  • 728 Beiträge

 

Geschrieben 02. Juni 2016 - 18:36

Mhm...regulär besteht ja eher ein Interesse Daten nicht "unproblematisch" endgültig löschen zu können - Stichwort Datenverlust.

In den Bereichen wo das ggfs. Anforderung ist, sollte man sich im Voraus und nicht im Nachgang beschäftigen und das bei der Strukturplanung berücksichtigen.

Im Unternehmensumfeld sind da wohl auch rechtliche Dinge zu berücksichtigen.

 

Alles natürlich reine Spekulation da Du ja nichts über den Grund bzw. die Motivation zur Löschung schreibst.

 

Greetings Ralf


„Wir die guten Willens sind, geführt von Ahnungslosen, versuchen für die Undankbaren das Unmögliche zu vollbringen.
Wir haben soviel mit sowenig solange versucht, daß wir jetzt qualifiziert sind, fast alles mit nichts zu bewerkstelligen !“


#7 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 02. Juni 2016 - 19:00

"auch" normal gelöschte Daten können doch nur von Administratoren mit lokalem Zugriff wiederhergestellt werden. Angreifer mit Adminrechten + lokalem Zugriff werden sich nicht erst um sensible Daten kümmern, wenn diese gelöscht wurden.

Gegen welches Szenario willst die gelöschten Daten denn schützen? Dass jemand die Platten incl. sensibler Daten irgendwann mal verhökert, oder dass die physikalischen Platten gestohlen werden?


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#8 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 03. Juni 2016 - 14:01


Alles natürlich reine Spekulation da Du ja nichts über den Grund bzw. die Motivation zur Löschung schreibst.

 

Es geht um datenschutzgerechtes Löschen. Dateien auf einem Share der Personalabteilung dürfen nur solange dort bestehen, wie sie für die Aufgabenerfüllung benötigt werden. Danach sind sie zu vernichten. Für (verbotenerweise) lokal gespeicherte Daten gibt es Löschprogramme ohne Ende. Laut Gesetz müssen aber die zu vernichtenden personenbezogenen Daten unabhängig vom Speicherort sicher gelöscht werden.

 

Ja, ja, ja, ja, eine Verschlüsselung der Ablage würde die Probleme gar nicht erst entstehen lassen. Will der Kunde nicht. :rolleyes:


Kollege Dunkelmann erwähnte die DaSi, ich erwähne mal die Schattenkopien.

Die DaSi habe ich im Griff. Schattenkopien :schreck: Verdammt, die Datensicherung erfolgt aus einer Schattenkopie heraus, um den eigentlichen Server dabei nicht zu belasten.


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#9 lefg

lefg

    Expert Member

  • 20.481 Beiträge

 

Geschrieben 03. Juni 2016 - 14:19

https://www.datensch...n/loeschen.html

 

Ob das hilft?


Bearbeitet von lefg, 03. Juni 2016 - 14:21.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#10 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 03. Juni 2016 - 15:30

Leider nicht wirklich, hatte ich schon gecheckt. Das BSI hat eine komplette Seite zu dem Thema, hilft aber nur bei lokal gespeicherten Daten...


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#11 lefg

lefg

    Expert Member

  • 20.481 Beiträge

 

Geschrieben 03. Juni 2016 - 16:16   Lösung

Ich hab mir das mal für den Fall unseres Unternehmens vorgestellt. Für Datenhaltung der Personalabeteilung in der Verwaltunf und für die Datenhaltung der Kunden, Studierenden, Lehrgangsteilnehmer. Alle Daten werden in Datenbanken gehalten. Ob eine extra Software benötigt wird zum sicheren Überschreiben gelöschter oder auch alter Datensätze sofort nach Änderungen? Ob das so möglich, ob das nicht den DB-Server überfordern, ausbremste?

 

Und auf einem Filserver? Nehmen wir mal an, der Pers löscht einen Brief an eine Mitarbeiterin auf dem Share, ob da eine Funktion des Filers drauf lauern müsste? Und falls die erkannt, lässte das Server OS alles stehn und liegen, beschäftigt sich erstmal mit den Löschen der Fragmente der Datei? Oder ob das sichere Löschen in eine Queue geschoben und zu ruhigen Zeiten abgearbeitet? Ob es überhaupt ruhige Zeiten gibt? Naja, vielleicht am 1.- oder 2.Festtag.

 

Wesentlich wäre wohl, es gäbe keinen Papierkorb, in dem solch ein Schreiben landet. Aus den Papierkörben der russischen Botschaft in Wien haben die Putzfrauen damals das Zeugs mit heimgenommen und an die CIA verkauft. Oder war es aus den Papierkörben der US-Botschaft und Empfänger das KGB? Egal. Das erste Mal Teilnehmer und Zeuge an einer Vernichtung durch Verbrennen war ich im Winter 1970. sc***kalter Wind, der es war schwierig den Ofen anzubekommen, selbst mit den grossen Zündhölzern.

 

Ich frage mich, ob die überzogen erscheinende Anforderung des Kunden auf einem Missverständnis beruht?

 

Wesentlich wäre doch wohl, niemand könnte unbefugt Zugriff auf die Platten bekommen, niemand könnte unbefugt ein Recovery durchführen. Und falls die Platten ausgestausch, warum auch immer, sie sicher unter Aufsicht, Zeugen vom REISSWOLF geschreddert, es ein Vernichtungsprotokoll gibt, die Durchführenden und Zeugen unterzeichnen.


Bearbeitet von lefg, 03. Juni 2016 - 16:37.

  • NilsK gefällt das

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#12 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 03. Juni 2016 - 17:17

Man könnte auch über Clientseitige Verschlüsselung nachdenken. Bspw. SafeGuard LAN Crypt etc.

Dann sind gelöschte Dateien zwar wiederherstellbar, aber immer noch verschlüsslet und nicht von jedem lesbar


Keep It Small - Keep It Simple


#13 Pitti259

Pitti259

    Newbie

  • 128 Beiträge

 

Geschrieben 03. Juni 2016 - 17:26

Man könnte auch über Clientseitige Verschlüsselung nachdenken. Bspw. SafeGuard LAN Crypt etc.

Dann sind gelöschte Dateien zwar wiederherstellbar, aber immer noch verschlüsslet und nicht von jedem lesbar

Hatte ich bereits vorgeschlagen, der Kunde will nicht. Sparen, koste es was es wolle... Wir könnten uns den ganzen Zinober sparen.


Ob es besser wird, wenn es anders wird, weiss ich nicht. Dass es aber anders werden muss, wenn es besser werden soll, weiss ich.

#14 NilsK

NilsK

    Expert Member

  • 12.346 Beiträge

 

Geschrieben 03. Juni 2016 - 20:40

Moin,

 

in welchem Gesetz soll stehen, dass Daten im Normalbetrieb "sicher" gelöscht (also überschrieben) werden müssen? Das wäre mir zumindest neu - und da in dem Bereich auch ziemlich viele Missverständnisse kolportiert werden, darf man das skeptisch sehen.

 

Die einschlägigen Hinweise von Datenschützern beziehen sich i.d.R. auf Datenträger, die außer Betrieb genommen werden, nicht auf solche, die sich in normaler Benutzung befinden.

 

Würde das Betriebssystem im Normalbetrie pauschal Daten durch Überschreiben löschen, dann ginge die Leistung eines Dateiservers brutal in die Knie. Er wäre vermutlich kaum noch benutzbar. Darüber hinaus würde das ja nicht ausreichen, denn auch das normale Ersetzen von Daten müsste erweitert werden - überschreibt eine Anwendung vorhandene Daten durch neue Daten, die weniger Platz einnehmen, müsste sie den Rest dann ja auch noch überschreiben. Ich wage zu bezweifeln, dass es Standard-Betriebssysteme gibt, die sowas machen.

 

Also wie immer: Die Anforderungen sind zu klären und zu prüfen. Und umsonst gibt es nur wenig. Wenn also kein Budget für eine Lösung bereitsteht, dann kann das Problem nicht wichtig sein.

 

Gruß, Nils


  • blub und Dukel gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 GuentherH

GuentherH

    Super Moderator

  • 19.428 Beiträge

 

Geschrieben 03. Juni 2016 - 22:59

und da in dem Bereich auch ziemlich viele Missverständnisse kolportiert werden, darf man das skeptisch sehen

 
Ich sehe das auch so wie Nils. Hier wird einiges durcheinander vermischt.
 
- sind personenberogende Daten einmal zu klassifizieren (Personendaten, Gesundheitsdaten ect.)
- sind die Aufbewahrungspflichen zu beachten
- und zusätzlich sind lt. div. ISO Normen vertrauliche Daten (Personendaten) zu verschlüsseln und bei streng vertraulichen Daten (Gesundheitsdaten) ist meist neben der Verschlüsselung sogar noch eine 2 faktor Authentifizierung notwendig
 
Der Kunde sollte also erst einmal abklären, was er für Daten hat.
 
Und dann wird der Kunde doch Geld in die Hand nehmen müssen, sei es für eine ordentliche Beratung und dann die technische Umsetzung ;-)
 
LG Günther
  • blub gefällt das