Pitti259

Den Effekt kenne ich von einige Win7- und Vista-Rechnern mit GData. Beim Pattern-Update zieht dieser die gesamte Systemleistung. Lösung (außer warten bis Aktualisierung durch ist) habe ich aber keine. Wehe einer lästert wegen der Vista-Rechner!

Nachtreten ist gemein!

Moin, schon wieder so ein komischer Effekt. Auf einem Rechner unter Windows 10 passierte es zum zweiten Mal in zwei Wochen, dass nach dem Neustart ein Netzlaufwerk nicht mehr verbunden wurde. Der Laufwerksbuchstabe war noch vorhanden, aber eben mit rotem Kreuz markiert. Was solls denkt sich der Pseudoadmin, einfach trennen und neu verbinden. Trennen kein Problem, Neuverbinden geht aber nicht weil der Laufwerksbuchstabe noch in Benutzung wäre. Mut zum boot, hilft nix. Dann über regedit die gemounteten Laufwerke gesucht, den betreffenden Buchstaben gelöscht und neu gestartet. Siehe an, neu verbinden geht wieder. Nach dem erstmaligen Verbinden wird das Laufwerk auch beim Neustart korrekt wieder angebunden. Stellt sich nur die Frage, wo kommt der Effekt her? Wieso kann der PC die Verbindung nicht herstellen und gibt dann auch noch den Laufwerksbuchstaben nicht mehr her? Irgendeine Idee? Ciao Pitti

Den Satz hänge ich mir an die Wand! Wer Daten mit Zertifikaten verschlüsselt, muss mindestens ein separates Backup des privaten Schlüssels haben.

Ihr hattet ja so recht, der private Schlüssel is wech :mad: . Verstehe zwar noch nicht warum der nicht in der Sicherung landete, aber ist halt so. Mal sehen, wann die ersten Probleme wegen der nicht entschlüsselbaren E-Mails auftauchen... Ciao Pitti

Hallo Welt, nach einem Systemcrash wurde ein Rechner neu aufgesetzt. Das Zertifikat für signieren und verschlüsseln wurde neu installiert. Das Zertifikat des Herausgebers in die Liste der vertrauenswürdigen Herausgeber aufgenommen. Sollte es ja eigentlich sein. Leider ist es auf dem Rechner jetzt nicht möglich, enpfangene verschlüsselte E-Mails zu öffnen. Der Name Ihrer digitalen ID kann ... nicht gefunden werden. Beim senden wird es noch interessanter. Verschlüsselte E-Mails zu senden ist kein Problem, signieren geht aber nicht. Beim signieren kommt die gleich Meldung wie beim öffnen von empfangenen verschlüsselten E-Mails. In den Sicherheitseinstellungen ist das entsprechende Zertifikat eingetragen, beim Signaturzertifikat fehlt aber der Hashalgorithmus. Ausgegraut. In den Zertifikatseigenschaften ist das Signieren aber in der Schlüsselverwendung angegeben. Allerdins steht bei der Schlüsselverwendung ein gelbes Warnschildchen dran. Leider finde ich keine Möglichkeit die Ursache für das Warnschild zu erhalten. Jetzt bin ich mit meinem Latein am Ende. Hat einer von euch eine Idee? Danke schon mal Pitti

Hallo Verschlüsselungsprofis, wenn ich per S/Mime verschlüsselte E-Mails erhalte, die ich problemlos im Outlook öffnen kann, diese dann wiederum verschlüsselt weiterleite, dann müssten doch die weitergeleiteten E-Mails mit meinem Zertifikat neu verschlüsselt werden. Sind sie aber nicht. Der Empfänger dieser weitergeleiteten E-Mails kann diese dann nicht öffnen. Anscheinend verbleibt die ursprüngliche Verschlüsselung. Kann mir jemand erklären wieso dies so ist? Gibt es eine Möglichkeit, einen Parameter o.ä. um dies zu ändern? Danke Pitti

Jo mei, so manches Gesetz finde ich lästig :D. Die Strafen gibt es und sie wurden auch schon ausgeführt. Dass die betroffenen Unternehmen dies nicht an die große Glocke hängen, ist wohl klar. Dass wir DSBs unbequem, ja lästig sind, liegt in der Natur der Sache. Aber ok, engagier einen 30 Euro DSB und Du hast Ruhe. Mit Glück passiert nix. Bei Pech machen sie Dir den Laden dicht. Übrigens steigen die Strafen für Verstöße gegen den Datenschutz von bisher 350.000,- mit der EUDSGVO auf 20 Millionen.

Datenbanklösungen für Personalabteilungen sind nicht das Problem. Da gibt es Unzählige. Aber auch professionelle HR-Abteilungen haben noch unzählige Informationen auf File-Ebene, die teilweise halt besonderen Schutzbedarf haben. Da werden Auswertungen zu Krankenständen gemacht, Unfallberichte geschrieben, Bewerbungen mit ihren Bewertungen gespeichert usw. Im BDSG ist klar geregelt, diese Daten dürfen nicht gespeichert werden, außer sie werden für einen bestimmten Zweck mit Einverständnis der betroffenen Person gespeichert. Sobald die Zweckgebundenheit verfällt, dürfen diese Daten auch nicht mehr gespeichert werden. Sie müssen, nach Stand der Technik, sicher gelöscht werden. Hoffentlich gilt das jetzt nicht als Rechtsberatung. Als bestellter externer Datenschutzbeauftragter bin ich in der Haftung, auch wenn der eigentliche Verantwortliche ja der Chef des Kundenunternehmens ist. Aus der Haftung komme ich nur, wenn ich auf einen Mangel hinweise, das Risiko aufzeige und der Kunde dieses Risiko per Unterschrift übernimmt. Ich könnte mich immer kringeln, wenn potentielle Kunden mir Angebote meiner Mitbewerber zeigen, welche für 30 Euro pro Monat diese Funktion übernehmen. Die Strafen für fahrlässiges Handeln als DSB fangen im sechstelligen Bereich mal an...

Ich. Gerade Dein Beitrag zeigte mir, dass es keine echte Lösung für das Problem gibt, was ja auch eine Lösung der Frage darstellt. Die einzige Chance ist, dass der gesamte Share verschlüsselt wird. Das erschwert die Wiederherstellung derart, dass das sichere Löschen gewährleistet wäre. Mit den Aussagen hier, speziell Deinem Posting, kann ich dies der Geschäftsleitung des Kunden auch so erläutern und nochmals eine Verschlüsselung vorschlagen. Wenn Die das dann immer noch nicht wollen, müssen Die mir die Übernahme des Risikos unterschreiben und gut ist. Ich bin dann aus der Haftung. Daher also nochmals besten Dank. Ciao Pitti

Interessant, Du meinst also ich mach kein ordentliche Beratung. Bin ja auch erst seit 15 Jahren in diesem Bereich tätig. Und zum fachlichen Teil: Besonders schützenswerte personenbezogene Daten sind, solange sie nicht den geschützten Bereich verlassen, nicht unbedingt verschlüsselt zu speichern. Auch wenn ich dies immer empfehle, einen gesetzlichen Zwang hierzu gibt es nicht. Aber es gibt den gesetzlichen Zwang für diese besonders schützenswerten personenbezogenen Daten, nach Ablauf der Verwendung diese zu vernichten. Die ISO-Normen helfen im übrigen leider gar nicht, weil der Datenschutz nach BDSG eine Deutsche oder seit 25. Mai nach EUDSGV eine Europäische Spielart ist, ISO-Normen sind international ausgerichtet. Wenn überhaupt, dann kann der Baustein 1.5 der Grundschutzkataloge herangezogen werden, wo aber auch nur die Verpflichtung zum sicheren Löschen drin steht. Dass es für mein augenblickliches Anliegen nur die Möglichkeit der Verschlüsselung gibt, weil die Umsetzung der gesetzlichen Anforderung technisch nicht möglich ist, habe ich verstanden und kann ich auch so verwenden. Vielen Dank an alle, die mit ihren hilfreichen Hinweisen dazu beitrugen. Euer Sicherheitsfuzzi

Hatte ich bereits vorgeschlagen, der Kunde will nicht. Sparen, koste es was es wolle... Wir könnten uns den ganzen Zinober sparen.

Leider nicht wirklich, hatte ich schon gecheckt. Das BSI hat eine komplette Seite zu dem Thema, hilft aber nur bei lokal gespeicherten Daten...

Es geht um datenschutzgerechtes Löschen. Dateien auf einem Share der Personalabteilung dürfen nur solange dort bestehen, wie sie für die Aufgabenerfüllung benötigt werden. Danach sind sie zu vernichten. Für (verbotenerweise) lokal gespeicherte Daten gibt es Löschprogramme ohne Ende. Laut Gesetz müssen aber die zu vernichtenden personenbezogenen Daten unabhängig vom Speicherort sicher gelöscht werden. Ja, ja, ja, ja, eine Verschlüsselung der Ablage würde die Probleme gar nicht erst entstehen lassen. Will der Kunde nicht. :rolleyes: Die DaSi habe ich im Griff. Schattenkopien :schreck: Verdammt, die Datensicherung erfolgt aus einer Schattenkopie heraus, um den eigentlichen Server dabei nicht zu belasten.

Hi Dunkelmann, ja nu, was meinst Du mit "eine pauschale Aussage ist nicht möglich"? Gibt es Storages welche die Speicherbereiche von gelöschten Dateien längere Zeit frei halten? Das wäre ja b***d und würde mein Argumentationsgebäude einstürzen lassen. SSDs werden aber noch nicht als Speicher von File-Servern eingesetzt, oder? Mein Problem ist, dass die Dateien natürlich von Anwendern mit normalen User-Berechtigungen gelöscht werden. Eine echte Bereinigung der Datenbereiche aber nur vom Admin erfolgen kann. Und das ja auch nur in Form einer Re-Organisation, was ja täglich durchgeführt ein blödsinniger Aufwand wäre, denke ich. Beim Windows-Server kenne ich keine Funktion, als gelöscht gekennzeichnete Bereiche zu überschreiben. Wäre schick, des nächstens so etwas laufen zu lassen.

Hallo Welt, aus meinem technischen Verständnis heraus, sehe ich das Löschen von Dateien auf einem gut frequentierten Windows File-Server relativ entspannt. Meiner Ansicht nach, werden als gelöscht markierte Bereiche innerhalb kürzester Zeit durch die nachfolgenden Dateien neu besetzt. Ein entsprechendes Überschreibprogramm ist also nicht notwendig, glaube ich. Wie seht ihr das? Bei einigen Tausend Schreibvorgängen pro Tag auf dem Server, bleiben die Daten im gelöschten Bereich noch längere Zeit lesbar? Wie gesagt, wir reden von Server-Shares. Lokale Dateien werden mit einem speziellen Programm geschreddert. Die Anwendung eines solchen Programmes auf die Server-Shares würde ich aber gerne vermeiden. Für jede Meinung dankbar euer Sicherheitsfuzzi

Eine ausgesprochen interessante Frage. Die Daten des Erstangemeldeten müssen ja noch in irgendwelchen Speicherbereichen verbleiben. Wäre ein Zugriff nach einer Benutzerumschaltung möglich? Nils schrieb ja, es wird die Multi-User Technik der TS verwendet. Was bedeutet dies für die Separierung von Daten? Wenn ich als User B einen Hauptspeicherabzug mache, habe ich dann die Daten von User A mit drin? Hoffe, ich oute mich jetzt nicht zu sehr als Techno-Dummy der Sicherheitsfuzzi

Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc... Also, was tun?

Hi Userle, es gibt schon einige sichere, weil verschlüsselte, von Deutschen Herstellern und Betreibern betriebene Cloud-Dienste. Aber die kosten auch richtig Geld. Bei SSP z.B. kannst Du innerhalb der verschlüsselten Ablage noch Datenräume anlegen, zu denen nur Du den Schlüssel besitzt. Also nicht mal deren Admins etwas auslesen können. Kostet halt. Ein anderer der mir auf die schnelle einfällt wären idguard oder Brainloop. Kostet auch. Welchen Schutzbedarf haben denn Deine Daten? Für wen könnten diese Informationen etwas wert sein? Welcher Schaden würde Dir oder Deinen Kunden durch Datenklau entstehen? Mach doch mal eine Kosten - Nutzen Analyse. Ciao der Sicherheitsfuzzi

Du hast natürlich recht, wir sind etwas abgeschweift. Mein Ansinnen war, wenn er schon Netzablagen verschlüsselt, dann sollte er nicht zu kurz springen. Aber, wie ich oben schon schrieb, auch nicht dem BDSG unterliegende Daten der GL können einen gesetzlichen Schutzcharakter besitzen. GmbH-Gesetz und AG-Gesetz lassen grüßen. Der eigentliche Punkt ist, ein Admin kann sich selbst nur vor Anschuldigungen jeglicher Art schützen, wenn er nicht selbst auf die Daten zugreifen kann. Ja, wir können es weiter spinnen, dann hört er halt die Leitungen ab. Ja, der Schlüsselverwalter wird ja dadurch quasi zum Admin und steht dann im Feuer. Ja, es ergeben sich weitere Probleme, wie den Zugriff der Aufsichtsbehörden, Finanzämter, Zoll etc. zu gewährleisten. Nichts ist perfekt. Nichts zu tun ist aber am schlechtesten...

Darf ich hier überhaupt solche Artikel posten? Personaldaten enthalten besonders schützenswerte personenbezogene Daten gemäß § 3 Abs. 9 BDSG, z.B. Religionszugehörigkeit, Gewerkschaftszugehörigkeit... Solche besonders schützenswerten personenbezogene Daten dürfen nur Personen zur Kenntnis gebracht werden, welche diese Informationen unbedingt benötigen. Gegenüber jeglichen Anderen sind diese Daten nach Stand der Technik (§ 9 Satz 2 BDSG) unter Verschluss zu halten. Der Verwalter dieser Daten hat dafür zu sorgen. Kommt er dieser Sorgfaltspflicht nicht nach, verstößt er gegen das BDSG. Die Verpflichtung nach § 5, die praktisch jeder Admin unterzeichnet hat, reicht nicht aus. Das reicht nur für die normalen personenbezogenen Daten. Manche Unternehmen versuchen dies auszuhebeln, indem sie im Arbeitsvertrag einen Passus unterbringen nachdem sich der Mitarbeiter mit der Einsichtnahme durch Admins einverstanden erklärt. Möcht ich nicht vor Gericht auf Tragfähigkeit prüfen :) . Solange sich keiner in seiner informationellen Selbstbestimmung gestört fühlt, ist das alles recht theoretisch. Dummerweise gibt es auch sehr mitteilungsbedürftige Admins, die gerne mal ihr zufällig erfahrenes in der Kantine ausplaudern. Dann kann es heftig werden. Nicht nur für das Unternehmen! So, genug des Romans. Ich empfehle allen Admins sich beim Datenschutzbeauftragten ihres Unternehmens schlau zu machen. Dazu ist er da. Eigentlich.

Als Security-Berater empfehle ich grundsätzlich Verschlüsselungen für bestimmte Gruppen einzurichten, nicht als Misstrauen gegenüber den Admins, sondern zum Schutz der Admins vor Verdächtigungen. Meist steht die Personalabteilung an erster Stelle der Bereiche, die vor den pösen Admins geschützt werden muss. Übrigens aufgrund gesetzlicher Vorgaben, alleine die Möglichkeit der Administratoren auf Personaldaten zu zugreifen ist bereits ein Gesetzesverstoß. Wird aber nur auf Anzeige hin verfolgt. Weiterhin dann die GF-Ablagen. Auch hier gibt es abseits von irgendwelchen Misstrauensthemen ein Interesse der Admins sich zu schützen. Werden Internas über geplante Übernahmen o.ä. vorzeitig bekannt, kann diese Schadensersatzforderungen oder bei AGs sogar juristische Konsequenzen für die Geschäftsführung haben. Wenn diese dann die Möglichkeit hätten auf die Admins zu zeigen, wäre dies ausgesprochen unschön, für die Admins meine ich... Daher lieber Ganzjahresgriller, schau Dir die möglichen Verschlüsselungsprogramme an, wähle eines aus welches Deine GF bedienen kann und schreib ein kleines Konzept in dem Du die verschiedenen schutzbedürftigen Bereiche mit ihren Zugriffsmöglichkeiten aufzeigst. Wege zum Datenaustausch mit anderen nicht vergessen. Datenschutzbeauftragten einbeziehen, der soll ein Statement dazu abgeben.

An Stelle von TO würde ich dem Kunden erst mal eine Analyse verkaufen wollen. Allerdings, wenn der Verantwortliche dort eine feste Meinung zu dem Thema hat, wird er auch keine entsprechende Analyse haben wollen. Dennoch, wäre ich TO würde ich erst mal nach den Geschäftsprozessen und der Schutzwürdigkeit der Daten fragen, bevor ich versuche diesem meine neuen Firewall-Produkte oder was auch immer zu verkaufen. P.S. Der Datenschutzbeauftragte sollte tatsächlich dem Leiter Aufstiegsfortbildung bereits solche Fragen gestellt haben. Unbedingt! Der DSB selbst kann dies nämlich nicht beantworten, braucht die Infos aber für das Verfahrensverzeichnis...

Eine IT-Strukturanalyse? Das ist relativ einfach. Auf welchem Server läuft welche Anwendung, wird über welche Netzsegmente verknüpft... Gibt es diverse Tools, welche einen dabei unterstützen. Das Problem ist die Schutzbedarfsanalyse. Die können wir aus der IT-Sicht keinesfalls machen. Da brauchen wir die Fachverantwortlichen, die sogenannten Informationseigentümer. Also Chef Buchhaltung, Chef Vertrieb, Chef Einkauf, Chef Produktion usw. Denen die wahrhaftige Einschätzung zu entlocken, kann einen zur Verzweiflung bringen. Aber nur so kann ein korrektes Bild entstehen. Sollte übrigens in jedem Unternehmen bereits vorhanden sein, für das Datenschutz-Verfahrensverzeichnis...

Folgende Vorgehensweise würde ich vorschlagen: Eine IT-Strukturanalyse durchführen, d.h. ein Gesamtkunstwerk aus dem auszulesen ist, welche Anwendungen auf welchen Servern mit welchen Netzen verbunden sind (Räumlichkeiten spielen hier ausnahmsweise mal keine Rolle). Bewertung der, in den Anwendungen gehandhabten Informationen hinsichtlich Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit). Vermutlich wird dann schon deutlich (Bauchgefühl), ob eine einzelne Firewall und MSSE auf den Clients ausreicht. Ansonsten nehme man sich den Baustein Sicherheitsgateway aus den Grundschutzkatalogen des BSI vor und prüfe die dort aufgelisteten Maßnahmen. Ja ja ja, greift natürlich viel zu kurz. Wir wissen nicht, ob es Geschäftsprozesse gibt welche eine direkte Verbindung "fremder" Systeme in den IT-Verbund haben. Wir kennen nicht die Anforderungen aus den Geschäftsprozessen. Wir wissen nichts über den Umgang mit Geschäftsdaten im Unternehmen. Eine "vernünftige" IT-Sicherheit bekommen wir mit dem verkürzten obigen Ansatz nicht her. Aber das war ja auch nicht die Fragestellung. Ciao Pitti