Pitti259

Es geht um datenschutzgerechtes Löschen. Dateien auf einem Share der Personalabteilung dürfen nur solange dort bestehen, wie sie für die Aufgabenerfüllung benötigt werden. Danach sind sie zu vernichten. Für (verbotenerweise) lokal gespeicherte Daten gibt es Löschprogramme ohne Ende. Laut Gesetz müssen aber die zu vernichtenden personenbezogenen Daten unabhängig vom Speicherort sicher gelöscht werden. Ja, ja, ja, ja, eine Verschlüsselung der Ablage würde die Probleme gar nicht erst entstehen lassen. Will der Kunde nicht. :rolleyes: Die DaSi habe ich im Griff. Schattenkopien :schreck: Verdammt, die Datensicherung erfolgt aus einer Schattenkopie heraus, um den eigentlichen Server dabei nicht zu belasten.

Hi Dunkelmann, ja nu, was meinst Du mit "eine pauschale Aussage ist nicht möglich"? Gibt es Storages welche die Speicherbereiche von gelöschten Dateien längere Zeit frei halten? Das wäre ja b***d und würde mein Argumentationsgebäude einstürzen lassen. SSDs werden aber noch nicht als Speicher von File-Servern eingesetzt, oder? Mein Problem ist, dass die Dateien natürlich von Anwendern mit normalen User-Berechtigungen gelöscht werden. Eine echte Bereinigung der Datenbereiche aber nur vom Admin erfolgen kann. Und das ja auch nur in Form einer Re-Organisation, was ja täglich durchgeführt ein blödsinniger Aufwand wäre, denke ich. Beim Windows-Server kenne ich keine Funktion, als gelöscht gekennzeichnete Bereiche zu überschreiben. Wäre schick, des nächstens so etwas laufen zu lassen.

Hallo Welt, aus meinem technischen Verständnis heraus, sehe ich das Löschen von Dateien auf einem gut frequentierten Windows File-Server relativ entspannt. Meiner Ansicht nach, werden als gelöscht markierte Bereiche innerhalb kürzester Zeit durch die nachfolgenden Dateien neu besetzt. Ein entsprechendes Überschreibprogramm ist also nicht notwendig, glaube ich. Wie seht ihr das? Bei einigen Tausend Schreibvorgängen pro Tag auf dem Server, bleiben die Daten im gelöschten Bereich noch längere Zeit lesbar? Wie gesagt, wir reden von Server-Shares. Lokale Dateien werden mit einem speziellen Programm geschreddert. Die Anwendung eines solchen Programmes auf die Server-Shares würde ich aber gerne vermeiden. Für jede Meinung dankbar euer Sicherheitsfuzzi

Eine ausgesprochen interessante Frage. Die Daten des Erstangemeldeten müssen ja noch in irgendwelchen Speicherbereichen verbleiben. Wäre ein Zugriff nach einer Benutzerumschaltung möglich? Nils schrieb ja, es wird die Multi-User Technik der TS verwendet. Was bedeutet dies für die Separierung von Daten? Wenn ich als User B einen Hauptspeicherabzug mache, habe ich dann die Daten von User A mit drin? Hoffe, ich oute mich jetzt nicht zu sehr als Techno-Dummy der Sicherheitsfuzzi

Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc... Also, was tun?

Hi Userle, es gibt schon einige sichere, weil verschlüsselte, von Deutschen Herstellern und Betreibern betriebene Cloud-Dienste. Aber die kosten auch richtig Geld. Bei SSP z.B. kannst Du innerhalb der verschlüsselten Ablage noch Datenräume anlegen, zu denen nur Du den Schlüssel besitzt. Also nicht mal deren Admins etwas auslesen können. Kostet halt. Ein anderer der mir auf die schnelle einfällt wären idguard oder Brainloop. Kostet auch. Welchen Schutzbedarf haben denn Deine Daten? Für wen könnten diese Informationen etwas wert sein? Welcher Schaden würde Dir oder Deinen Kunden durch Datenklau entstehen? Mach doch mal eine Kosten - Nutzen Analyse. Ciao der Sicherheitsfuzzi

Du hast natürlich recht, wir sind etwas abgeschweift. Mein Ansinnen war, wenn er schon Netzablagen verschlüsselt, dann sollte er nicht zu kurz springen. Aber, wie ich oben schon schrieb, auch nicht dem BDSG unterliegende Daten der GL können einen gesetzlichen Schutzcharakter besitzen. GmbH-Gesetz und AG-Gesetz lassen grüßen. Der eigentliche Punkt ist, ein Admin kann sich selbst nur vor Anschuldigungen jeglicher Art schützen, wenn er nicht selbst auf die Daten zugreifen kann. Ja, wir können es weiter spinnen, dann hört er halt die Leitungen ab. Ja, der Schlüsselverwalter wird ja dadurch quasi zum Admin und steht dann im Feuer. Ja, es ergeben sich weitere Probleme, wie den Zugriff der Aufsichtsbehörden, Finanzämter, Zoll etc. zu gewährleisten. Nichts ist perfekt. Nichts zu tun ist aber am schlechtesten...

Darf ich hier überhaupt solche Artikel posten? Personaldaten enthalten besonders schützenswerte personenbezogene Daten gemäß § 3 Abs. 9 BDSG, z.B. Religionszugehörigkeit, Gewerkschaftszugehörigkeit... Solche besonders schützenswerten personenbezogene Daten dürfen nur Personen zur Kenntnis gebracht werden, welche diese Informationen unbedingt benötigen. Gegenüber jeglichen Anderen sind diese Daten nach Stand der Technik (§ 9 Satz 2 BDSG) unter Verschluss zu halten. Der Verwalter dieser Daten hat dafür zu sorgen. Kommt er dieser Sorgfaltspflicht nicht nach, verstößt er gegen das BDSG. Die Verpflichtung nach § 5, die praktisch jeder Admin unterzeichnet hat, reicht nicht aus. Das reicht nur für die normalen personenbezogenen Daten. Manche Unternehmen versuchen dies auszuhebeln, indem sie im Arbeitsvertrag einen Passus unterbringen nachdem sich der Mitarbeiter mit der Einsichtnahme durch Admins einverstanden erklärt. Möcht ich nicht vor Gericht auf Tragfähigkeit prüfen :) . Solange sich keiner in seiner informationellen Selbstbestimmung gestört fühlt, ist das alles recht theoretisch. Dummerweise gibt es auch sehr mitteilungsbedürftige Admins, die gerne mal ihr zufällig erfahrenes in der Kantine ausplaudern. Dann kann es heftig werden. Nicht nur für das Unternehmen! So, genug des Romans. Ich empfehle allen Admins sich beim Datenschutzbeauftragten ihres Unternehmens schlau zu machen. Dazu ist er da. Eigentlich.

Als Security-Berater empfehle ich grundsätzlich Verschlüsselungen für bestimmte Gruppen einzurichten, nicht als Misstrauen gegenüber den Admins, sondern zum Schutz der Admins vor Verdächtigungen. Meist steht die Personalabteilung an erster Stelle der Bereiche, die vor den pösen Admins geschützt werden muss. Übrigens aufgrund gesetzlicher Vorgaben, alleine die Möglichkeit der Administratoren auf Personaldaten zu zugreifen ist bereits ein Gesetzesverstoß. Wird aber nur auf Anzeige hin verfolgt. Weiterhin dann die GF-Ablagen. Auch hier gibt es abseits von irgendwelchen Misstrauensthemen ein Interesse der Admins sich zu schützen. Werden Internas über geplante Übernahmen o.ä. vorzeitig bekannt, kann diese Schadensersatzforderungen oder bei AGs sogar juristische Konsequenzen für die Geschäftsführung haben. Wenn diese dann die Möglichkeit hätten auf die Admins zu zeigen, wäre dies ausgesprochen unschön, für die Admins meine ich... Daher lieber Ganzjahresgriller, schau Dir die möglichen Verschlüsselungsprogramme an, wähle eines aus welches Deine GF bedienen kann und schreib ein kleines Konzept in dem Du die verschiedenen schutzbedürftigen Bereiche mit ihren Zugriffsmöglichkeiten aufzeigst. Wege zum Datenaustausch mit anderen nicht vergessen. Datenschutzbeauftragten einbeziehen, der soll ein Statement dazu abgeben.

An Stelle von TO würde ich dem Kunden erst mal eine Analyse verkaufen wollen. Allerdings, wenn der Verantwortliche dort eine feste Meinung zu dem Thema hat, wird er auch keine entsprechende Analyse haben wollen. Dennoch, wäre ich TO würde ich erst mal nach den Geschäftsprozessen und der Schutzwürdigkeit der Daten fragen, bevor ich versuche diesem meine neuen Firewall-Produkte oder was auch immer zu verkaufen. P.S. Der Datenschutzbeauftragte sollte tatsächlich dem Leiter Aufstiegsfortbildung bereits solche Fragen gestellt haben. Unbedingt! Der DSB selbst kann dies nämlich nicht beantworten, braucht die Infos aber für das Verfahrensverzeichnis...

Eine IT-Strukturanalyse? Das ist relativ einfach. Auf welchem Server läuft welche Anwendung, wird über welche Netzsegmente verknüpft... Gibt es diverse Tools, welche einen dabei unterstützen. Das Problem ist die Schutzbedarfsanalyse. Die können wir aus der IT-Sicht keinesfalls machen. Da brauchen wir die Fachverantwortlichen, die sogenannten Informationseigentümer. Also Chef Buchhaltung, Chef Vertrieb, Chef Einkauf, Chef Produktion usw. Denen die wahrhaftige Einschätzung zu entlocken, kann einen zur Verzweiflung bringen. Aber nur so kann ein korrektes Bild entstehen. Sollte übrigens in jedem Unternehmen bereits vorhanden sein, für das Datenschutz-Verfahrensverzeichnis...

Folgende Vorgehensweise würde ich vorschlagen: Eine IT-Strukturanalyse durchführen, d.h. ein Gesamtkunstwerk aus dem auszulesen ist, welche Anwendungen auf welchen Servern mit welchen Netzen verbunden sind (Räumlichkeiten spielen hier ausnahmsweise mal keine Rolle). Bewertung der, in den Anwendungen gehandhabten Informationen hinsichtlich Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit). Vermutlich wird dann schon deutlich (Bauchgefühl), ob eine einzelne Firewall und MSSE auf den Clients ausreicht. Ansonsten nehme man sich den Baustein Sicherheitsgateway aus den Grundschutzkatalogen des BSI vor und prüfe die dort aufgelisteten Maßnahmen. Ja ja ja, greift natürlich viel zu kurz. Wir wissen nicht, ob es Geschäftsprozesse gibt welche eine direkte Verbindung "fremder" Systeme in den IT-Verbund haben. Wir kennen nicht die Anforderungen aus den Geschäftsprozessen. Wir wissen nichts über den Umgang mit Geschäftsdaten im Unternehmen. Eine "vernünftige" IT-Sicherheit bekommen wir mit dem verkürzten obigen Ansatz nicht her. Aber das war ja auch nicht die Fragestellung. Ciao Pitti

Ok, habe Windows auf Österreichisch umgestellt (aua), funktioniert. Hoffe es gibt bald einen Patch zur Beseitigung. Vielen herzlichen Dank für die Hilfe! :thumb1: Ciao Pitti

Hallo Welt, auf einem Windows 10 Rechner stelle ich das Datumsformat auf Deutsch (Deutschland) über die Systemsteuerung korrekt ein. Bzw. war nach der Installation korrekt eingestellt. Im Office 2016 öffne ich meine bisherigen Dokument, überall als Platzhalter tt.MM.jjjj. Nach Adam Riese müsste nun eigentlich das Datum korrekt eingetragen sein. Weit gefehlt, Ich erhalte immer tt.01.jjjj. Auch Großbuchstaben TT.MM.JJJJ werden zu TT.01.JJJJ. Stelle ich das Datumsformat aber auf dd.MM.yyyy um, erhalten ich in den Dokumenten das korrekte 06.01.2016. Nu könnte man sagen, na dann machs halt so, aber im Powerpoint 2016 habe ich gar nicht die Möglichkeit ein "eigenes" Datumsformat zu kreiren, sondern bin auf die in der Systemsteuerung definierten Formate angewiesen. Wie bringe ich das Office 2016 dazu die Systemdatumsformate zu aktzeptieren? Danke im Voraus. Pitti

So, habe es geschafft. Eine Office2010-CD beschafft, Office 2010 ohne Lizenz installiert. Dann lies es sich auch deinstallieren, der ehemals graue Button war dann anwählbar. Seitdem läuft alles perfekt. Vermute mal, dass bei der Windows 7 Installation ein vorinstalliertes Office 2010 dabei war. Bin sehr froh, dass ich nicht Windows und sämtliche Programme neu installieren musste. Ciao Pitti

Hallo Welt, habe einen Rechner von Win7 auf Win10 gebracht. Installiert ist Office 2013 (365). Läuft auch wenn ich die Programme direkt aufrufe. Versuche ich es über ein Dokument, eine Word-Datei, eine Excel-Datei what ever, poppt das Installationsfenster von Office 2010 hoch. Habe ich aber gar nicht auf dem Rechner. Nemo Problemo denkt der Windows7-Admin, Standardprogramme für Dateiendungen einrichten und gut ist. Weit gefehlt, bei den Standard-Apps nach Dateityp kann ich nur Word (Desktop) auswählen. Bringt also nix. Bei den Installierten Apps steht Office 2013 drin. Allerdings könnte ich es nicht deinstallieren, weil der Knopf dafür ausgegraut ist. Das Office 2010 steht übrigens auch mit drin, keine Ahnung wo das herkommt. Protokolle zuordnen geht übrigens genauso wenig. Für jeden Tipp dankbar Pitti

Hallo Welt, nach dem Anmelden an meinem Win7-System sah ich nur noch Schwarz. Na gut, ein weißer Mauszeiger war auch noch da. Ctrl-Alt-Del ging noch, Task-Manager ließ sich auch starten. In der Prozessliste waren nur eine Handvoll Prozesse gestartet, der Rechner im Leerlauf. Windows-Tastenkombinationen (z.B. Win-E) gingen nicht. Windows-Taste und Eingabe im Blindflug war ebenfalls nichts. Ein geplanter Task startete mir den IE, hätte also munter im Internet surfen können. Netzwerk war da. Wiederherstellung auf gestrigen Stand, siehe da, alles Gut. Dann wieder KB2952664 eingespielt, siehe da, wieder schwarz. Das Update wird auf diesem Rechner jetzt erst mal ausgeblendet. Dieses Update bringt aber eine Unmenge an geänderten DLLs mit. Sieht für zukünftige Updates vielleicht nicht so gut aus. Die Ereignisanzeige erzählt mir Probleme mit Benutzermodustreiber. Was will mir diese Meldung sagen? Ja, Google gibt mir 704 Treffer, aber es sind praktisch nur die Hilferufe und kein Lösungsansatz. Für jeden hilfreichen Gedanken dankbar Pitti

Was genau und zu welchem Zweck möchtest Du es denn signieren?

Ich muss vorausschicken, kein Virtualisierungsspezi zu sein. Aber, mir wurde in einem Audit mal ein Konstrukt vorgelegt, wo auf einer Virtualisierungsplattform mehrere Server an einer ebenfalls virtualisierten Linux-Firewall hingen. Und nur die Firewall ging tatsächlich in die pöse Internetwelt hinaus. Wäre dies nicht das Richtige für diese Anforderung? Falls ich mir hier einen Bären habe aufbinden lassen, bitte ich um Rückmeldung. Nochmals aber, sind denn die Daten auf dem Server schutzbedürftig? Die Anwendungen, sind diese schutzbedürftig? Gibt es vertrauliche Informationen auf dem Server? Könnte es ausreichen, den Server ein zwei Mal pro Tag aus einem Image heraus automatisiert neu aufzusetzen, um die Einbettung von Schadsoftware zu vereiteln? Kernfrage, wovor muss der Server geschützt werden?

Äh Klaus, Du kennst aber schon die Haftungsfragen hinsichtlich des Datenschutzbeauftragten? Mach Dich bitte mal bei einem Anwalt schlau. Andererseits, eine Bestellung des IT-Verantwortlichen als DSB wird von Seiten der Behörden nicht als gültige Bestellung angesehen. D.h. Ihr habt gar keinen DSB... Ciao Pitti

Oh oh oh, mit diesem Problem kämpfe ich nun seit zwei Monaten. Bei mir ist es zwar Sirrix statt TrueCrypt, aber PDS. Es gibt eine ausgezeichnete Anleitung http://www.andysblog.de/windows-8-1-von-efi-zu-bios-umstellen, aber das Problem mit der Sicherungspartition vor der eigentlichen bootenden primären Partition bleibt erhalten. Also nochmal das Ganze, Rechner sichern, Partitionen einstampfen, Sicherung wieder einspielen, aaaargh, die Sicherungspartition ist wieder hergestellt. Einzige Chance bisher, Rechner platt machen und komplett neu aufsetzen. Tut weh, muss aber sein. Außer einer unserer Gurus hier hat wieder einen genialen Geistesblitz... Btw. hat einer von euch einen Link zu einem aktuellen Win7 ISO? Microsoft will es mir nicht geben, meine Lizenzen sind OEM und damit nicht gut genug... Beim letzten Neuaufbau musste ich drei Tage lang Patches einspielen. Ciao Pitti

Herzlichen Dank an alle Unterstützer. Werde am Wochenende nach der vorherigen Beschreibung dran gehen (Angstschweiß von der Stirn wisch). Melde mich dann wieder. Ciao Pitti

Eine, für bestimmte Aufgaben im hoheitlichen Umfeld gesetzlich vorgeschriebene Verschlüsselungslösung. Und die funzt nur mit MBR. Und es gibt keine (bezahlbare) Alternative für diese Software. Kennst Du Dich mit dem WSIM aus? Ich scheitere schon daran, keine Antwortdatei laden zu können. Nach Neuanlegen einer Antwortdatei sind die Möglichkeiten ausgesprochen mau, da alle zugehörigen Menüpunkte ausgegraut sind. Ähh, noch eine Frage. Lese gerade in einem anderen Forum, Win 8 würde UEFI benötigen und unter MBR gar nicht laufen? Und noch einer, die Lizenzinformationen sind ja irgendwo in der Wiederherstellungspartition verborgen. Wenn ich jetzt auf MBR umstelle, habe ich dann noch eine Lizenz? Den Lizenz-Key in der bisherigen Variante gibt es ja wohl nicht mehr bei W8.

Hallo Welt, ich habe die unschöne Notwendigkeit einen laufenden Win 8.1 Client von UEFI auf MBR umzustellen. In der Datenträgerverwaltung habe ich vier Partitionen, Wiederherstellungspartition 1 GB, EFI-Systempartition 1 GB, NTFS 221 GB, Wiederherstellungspartition 15 GB. Seht ihr eine Möglichkeit die Bootpartition umzustellen ohne die Windows-Partition zu killen? Mit welchem Tool würdet ihr dies tun? Der Windows System Image Manager macht nicht das was ich will, sprich ist nicht DAU-kompatibel. Besten Dank schon mal Pitti