Jump to content

Lösung um File Shares zu verschlüsseln


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

An uns wurde die Anforderung herangetragen Dateien auf einem File Share zu verschlüsseln. Es handelt sich dabei wohl um besonders sensible Dateien. Wir haben natürlich die üblichen IT Grundschutzsachen durch, also Dateien sind auf einem Server, beschränkte Zugriffsrechte, sicherer Serverraum, aktuelle Server und Client Betriebssysteme, Backup, Anti-Virenschutz. Egal, soll trotzdem verschlüsselt werden. Die Dateien sollen dabei von mehreren Nutzern genutzt werden können. Nach Möglichkeit sollte es eine 2 Faktor Auth geben, es soll sich gut verwaltbar sein und möglichst einfach in der Anwendung. Bei einem ersten Brainstorming sind wir auf Microsoft EFS gekommen, Boxcryptor und Veracrypt. Aber so wirklich einfach zu bedienen und zu verstehen scheint mir das alles nicht.

 

Hat jemand Erfahrungen mit dem Thema und kann Produkte und Lösungen hierzu empfehlen? Ich tue mich da leider etwas schwer damit da, auch auf Nachfrage, die Anforderungen nicht so ganz klar sind und das Thema Verschlüsselung ja selten besonders einfach ist.

Link zu diesem Kommentar

Moin,

 

die Anforderungen werdet ihr klären müssen. Jeder Ansatz hat Einschränkungen, die ihn für bestimmte Szenarien ungeeignet machen. Hab ich gerade in der letzten Zeit x-mal mit Kunden durch. Am Ende hat keiner von denen eine Lösung eingeführt, weil es am Ende dann doch wieder nicht so wichtig war, dass sich der Nutzerkreis irgendwie dazu hätte motivieren lassen, die Nutzungsweisen festzulegen.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

in der Vergangenheit haben wir mehrfach solche Anforderungen mit Dokumentenmangement (ELO Prof./ELO Enterp. DMS) abgebildet. Insbesondere wenn es um die Bereiche Personal/Lohn oder Projekte im Krankenhaus-Umfeld ging (Patientenakten). Hier gelten teilweise sehr extreme Anforderungen was die Zugriffsmöglichkeiten angeht. Das DMS (ELO) verschlüsselt die Dokumente auf Datei-Ebene (AES).

 

Gruß

Dirk

Link zu diesem Kommentar

Verschlüsselung ist die Eine, die Schlüsselverwaltung ist eine  andere Sache. Viele Lösungen enthalten bei  der Schlüsselverwaltung Schwächen.

Ich könnte mir gut  vorstellen, dass ein DBA in ELO an die Schlüssel rankommt...

Als ich die Software-Verschlüsselung von Commvault Simpana mal validiert hatte, zog es mir die Schuhe aus:

Schlüssel werden zwar ständig neu erstellt und in die DB geschrieben, aber:

- Schlüssel werden per default auch auf  die Bänder geschrieben und mit "Media Password" verschlüsselt

- Das Media Password steht zusätzlich im Header  jedes Bandes (ein Tool zum binären blockweisen auslesen der Bänder liefert Simpana gleich mit)

- Die dort  verwendete  Verschlüsselung ist schon rein optisch "weak" , durch eine Codeanalyse  lässt es sich wahrscheinlich zurückrechnen

- Man bestätige  mir, dass der Support  bei vergessenen Passwörtern helfen kann ;)

- Mann kann die Speicherung der Schlüssel auf dem Band zwar abschalten, doch dann ergibt sich ein praktisches Problem im DR-Fall:

   Wenn nichts mehr da ist, muss man zunächst das DR-Backup von Simpana von einem der Bänder zurücksichern. Da gelingt aber nicht, da die Schlüssel in einer nicht vorhandenen DB stehen natürlich verschlüsselt auf  den Bändern stehen  (siehe oben).

   Lösung von  Commvault, man sollte doch das DR-Backup auf einen unverschlüsselten Datenträger sichern und getrennt lagern  :jau:

 

Kleiner Tipp: Nehmt den kleinen USB-Token für die Tapelibrary und legt Kopien davon gut und weit weg...

 

 

Eventuell ist  der ist Windows RMS eine Lösung, die man mal validieren sollte. Funktioniert aber nur für Anwendungen, welche die RMS-API auch nutzen (z.B. Office).

Zur besseren Sicherung der Schlüssel kann man hier auf Hardware zurückgreifen, die gibt es z.B. von  http://www.safenet-inc.de/data-encryption/hardware-security-modules-hsms/

Vorteil von RMS ist, dass man hier  revisionskonforme Nutzungsrechte außerhalb vom NTFS vergeben kann und dass sie z.B. auch den "Mail-Verkehr" überleben.

Ist aber in jedem Fall in riesen Projekt.

Link zu diesem Kommentar

Ich könnte mir gut  vorstellen, dass ein DBA in ELO an die Schlüssel rankommt...

Nö, kommst Du nicht, da die Schlüssel selbst nicht in der Software gespeichert werden (können).

Beim ersten Aufruf eines Dokuments aus einem zuvor festgelegten Schlüsselkreis wird der MA zur Eingabe des Kennworts aufgefordert. Dann kann der MA so lange der ELO-Client offen ist Dokumente aus eben diesem Schlüsselkreis öffnen, ohne das er erneut zur Eingabe des Kennwortes aufgefordert wird.

Bei der Archivierung/Verschieben eines Dokuments innerhalb des Archivs funktioniert das analog.

Gemäß dem Hersteller kann er auch nicht helfen, wenn ein Schlüssel verloren gegangen sein sollte! Die Dokument sind dann verloren bzw. dauerhaft verschlüsselt.

Daher muss mit der Schlüsselverwaltung besondere Sorgsam umgegangen werden. Die Schlüssel werden dann i.D.R. in einem versiegelten Umschlag in einem Schließfach/Tresor aufbewahrt. 

 

Was haltet Ihr eigentlich von VeraCrypt? Auf den ersten Blick sieht und hört es sich ja zum Thema Datenverschlüsselung auch nicht uninteressant an, hat damit schon jemand Erfahrung?

Benutze ich Privat um USB-FP / Sticks zu verschlüsseln als Nachfolger zu TrueCrypt.

Funktioniert problemlos. Habe damit aber keine Erfahrungen im Enterprise-Bereich bzw. als Lösung für gemappte Netzwerklaufwerke.

bearbeitet von monstermania
Link zu diesem Kommentar
  • 2 Wochen später...

Danke für den Hinweis auf fideAS file enterprise. Haben wir uns angeschaut und gefällt und soweit ganz gut. Die Oberfläche sieht zwar bisserl komisch aus, aber Installation ist einfach und der Nutzer kann einfach weiterarbeiten wie gewohnt und die Lösung wirkt einfach durchdacht. Preislich auch okay.

 

Wir haben uns auch noch boxcryptor angeschaut, aber die ganze Firmengeschichte scheint mir da nicht so wirklich ausgereift. Gruppenverwaltung nur über den Client, Rest dann wieder über die Weboberfläche. Wenn man nicht aufpasst hat man verschlüsselte und nicht verschlüsselte Dateien gemischt. Nachdem mir der Client beim testen unter Windows 10 dann immer mal wieder abgestürzt ist habe ich es gelassen.

 

Veracrypt ist wie Truecrypt gut für Einzelnutzer, aber mehrere Nutzer auf geteiltem Medium wie File Share ist problematisch. Bitlocker Laufwerksverschlüsselung sichert den Transportweg nicht, dafür bräuchte es SMB Encrpytion oder IPSec. Leider ist das auch noch von der Anwendung in Hyper-V VMs doof, das klappt dann erst richtig gut unter Windows Server 2016.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...