Jump to content
RobDust

Sensible Daten nur für einen Mitarbeiter zur Verfügung stellen, ohne das andere darauf Zugriff haben

Recommended Posts

Bei Thin Clients wäre die Gefahr, dass jemand nen Hardwarekeylogger zwischen Tastatur und USB Port packt.
Die Teile laufen unsichtbar auf Hardware Ebene ohne Software / Treiber haben nen Akku und Zeichnen alles mit Datum auf. 

Hab mir grad paar Modelle angesehen -> wie du dann mit den Infos aus dem Teil weiterkommst sollte klar sein.

 

Versorge dich gerne via PM mit nem Link. Will nicht gegen die Forenrichtlinen verstoßen, sondern ernsthaft der Frage nachgehen ob 2 Personen sicher getrennt voneinander an ein und dem selben "Arbeitsplatz mit der selben Hardware" arbeiten können. Sehe im Moment noch zu viele Gefahren.

Nochmal: (ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)...

Und ja " Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden..."

gibt es in gewissen Bereichen. Musste selber schon mal durch so ne "Schleuse" und meine Taschen leeren. Rechenzentren wo ich die Namen jetzt aus Datenschutzgründen nicht nennen werde. -ergänze zu deiner Aufzählung noch nen Metalldetektor.

Edited by RobDust

Share this post


Link to post
Share on other sites

Nochmal, wenn keinen physikalische Sicherheit gegeben ist (Zukleben der Anschlüsse oder evtl. Abschließen), gibts wenig Möglichkeiten, außer eine ständige Kontrolle. Wenn also kriminelle Energie unterstellt wird, muß man auch den Aufwand betreiben die physikalische Sicherheit auf dem Level zu halten.

Share this post


Link to post
Share on other sites

@NorbertFe Bin ich absolut bei dir. und wenn der Aufwand zu groß oder doch zu unsicher ist, bekommt halt jeder seine eigene Hardware (sei es Thin client oder PC) im abschließbaren Büro. Und ja natürlich kann auch ein Türschloß geknackt werden. Das fällt aber unserer Einschätzung nach mehr auf, als wenn ein klitzekleiner schwarzer Kasten mal ebend an dem PC gesteckt wird, während man alle Zeit der Welt hat....

 

... Wobei physikalischen Zugriff auf USB verhindern (Abschließen des PCs) - kommt man mit Hardwarekeyloggern nicht weiter + Verschlüsselung TPM (kommt man mit hinzufügen von lokalen Konten nicht weiter) Applocker und Software Restriction Policies, damit keine Softwarekeylloger gestartet werden dürfen... könnte in Kombination funktionieren. :-)

Edited by RobDust

Share this post


Link to post
Share on other sites

Der Terminal muss ja nicht im offen im Raum stehen, sondern kann verschlossen werden. Dann können auch zwei Personen an der selben Hardware arbeiten. ;-)

Share this post


Link to post
Share on other sites

Ohne jetzt Alles genau gelesen zu haben. :ohje2:

Wie wäre es mit 2 Faktor-Authentifizierung in Verbindung mit einem Token!? Dann nutzt ein einfaches Ausspähen des Kennworts z.B. per Keylogger nicht viel.

Oder aber ein entsprechend abgesicherter PC-Arbeitsplatz: https://orwl.org/

 

Gruß

Dirk

Edited by monstermania
  • Like 1

Share this post


Link to post
Share on other sites
vor 47 Minuten schrieb monstermania:

ann nutzt ein einfaches Ausspähen des Kennworts z.B. per Keylogger nicht viel.

Naja das würde ich maximal bezüglich der Anwendungen _mit_ MFA unterschreiben. Für alles andere ist die Gefahr ja trotzdem vorhanden.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Klingt alles nach "wasch mich, aber mach mich nicht nass". Warum kriegt der extrem sensitive Mitarbeiter nicht einfach nen Laptop, den er mitnimmt? Oder im Safe einsperrt... Möglichkeiten gibt es beliebig viele, auch gegen Seitenkanäle kann man sich schützen - indem man in einem Metallcontainer offline arbeitet :-)

Share this post


Link to post
Share on other sites

Doch doch bekommt er auch :-) und der Raum wird abgeschlossen.

 

Nach den ganzen Möglichkeit die wir hier im Brainstorming erarbeitet haben, is mir das auch viel zu gefährlich 2 Leute an einer Hardware arbeiten zu lassen (wenn einer sensible Daten hat) zumindest ist es weniger aufwendig beide physikalisch zu trennen. 

 

Pcs können hier in dem Fall nicht in irgendwelche Kästen gesperrt werden. USB wird für diverse Hardware lese und Programmiergeräte benötigt...

 

 

Grundsätzlich könnte aber eine sensible Trennung evt. mit viel Aufwand erreicht werden.

Edited by RobDust

Share this post


Link to post
Share on other sites

Wurde wurde. Und wenn man diese abschließen (Restriktion auf USB) würde und vernünftige app restrictionen und so weiter einrichten würde, könnte es klappen.

Aber Terminalserver nicht vorhanden, Clients auch nicht.

Daher ist der Aufwand (Kosten) geringer dem Mitarbeiter nur einen kleinen günstigen Lapi für sensible Arbeiten hinzustellen, an dem andere Mitarbeiter nichts zu suchen haben und dieser im Anschluss in den Tresor oder an einen anderen sicheren Ort wandert.

Bei einer Neuplanung einer IT Umgebung könnte deine Idee durchaus in Erwähnung gezogen werden.

Danke Danke für eure Ideen!

Edited by RobDust

Share this post


Link to post
Share on other sites

Was bedeutet hier eigentlich "sensible Daten"?

Reden wir hier von Geschäftsgeheimnissen, Datenschutzrelevaten Dingen oder sind wir im Bereich von Verschlusssachen?

- Geschäftsgeheimnisse: Selbst definierte geheimhaltungspflicht, kein äusserer Zwang

- Datenschutzrelevante Dinge: per Gesetz geschützt(BDSG, DSGVO usw)

- Verschlusssachen: Per Anweisung durch eine Behörde definierte Geheimhaltung VS-NFD VS-VERTRAULICH, GEHEIM, STRENG GEHEIM

Share this post


Link to post
Share on other sites

Geschäftsgeheimnisse ja. Daten, welche für die Konkurrenz / Mitbewerber auf dem Markt interessant sein könnten...

Edited by RobDust

Share this post


Link to post
Share on other sites

Laptop im Tresor liesst sich gut. Festplattenverschlüsselung?

 

Ein Kunde schloss auch das Laufwerk mit den sensiblen Daten in den Tresor.

Edited by lefg

Share this post


Link to post
Share on other sites

Was sagt denn die GL was die Schutzmassnahmen kosten dürfen? 

Ich sag mal, von Tresor, vier Augenprinzip, bis 24x7 Wachdienst für das Gerät ist ja alles möglich. 

Nehmen wir doch einfach mal die Standardanforderungen an VS-Netze:

Physische Sicherheit der Geräte, sprich Zutrittssteuerumg und Kontrollen was die Räumlichkeiten angeht. 

Strikte Trennung der Daten, die dürfen also nicht um gleiche Netzwerk wie die anderen Daten sei.

Trennung von Sprache und Daten, falls Voip zum Einsatz kommt durch eine extra Verkabelung. 

Ob eine Verschlüsselung notwendig ist hängt von dan anderen Daten ab. 

Geräte im VS-Netz haben keinen Internetzugang. 

Verbot für elektronische Geräte in den Räumlichkeiten. 

 

Ich würde ja einfach mal mit dem Grundschutzkatalogen anfangen. 

Oft stellt man dann fest, dass die Daten doch nicht so wertvoll sind. 

 

Blöde Frage vielleicht, aber ist der Kollege der die Daten verarbeitet denn überhaupt vertrauenswürdig? Würde und wird der regelmäßig Sicherheitsüberprüft oder wird wenigstens regelmäßig ein Führungszeugnis verlangt? 

 

  • Like 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...