Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

WIKI:

HOTLINE:

Büros / Office Rooms

  • Einsteinstraße 62, Raum 105
  • Fliednerstraße 21, Raum 21b
  • Horstmarer Landweg 62, Raum U2

IVV5

public:daten_vor_unbefugtem_zugriff_schuetzen

Daten vor unbefugtem Zugriff schützen

Worauf sollte man achten - einfachern Schutz

Verschlüsselung - komplexerer Schutz

Grundlegende Überlegungen

Anwendungsprogramme legen Daten normalerweise unverschlüsselt auf Festplatten oder Serverlaufwerken ab. Nur in Ausnahmefällen werden als sensibel bekannte Daten, wie z.B. Passworte automatisch verschlüsselt, abgelegt. Der einzige Schutz der abgelegten Daten besteht also standardmäßig in den gesetzten Zugriffsrechten. Die IVV5 setzt daher Zugriffsrechte auf Benutzerhomes und Arbeitsgruppenshares so restriktiv wie möglich. Auch manche Programme sichern ihre abgelegten Daten automatisch durch restriktive Zugriffsrechte. Werden die Daten auf den lokalen Festplatten der Arbeitsplatzrechner abgelegt, so sind sie trotz korrekt gesetzter Rechte nicht sicher, wenn ein Dritter physikalisch Zugriff auf den Rechner hat. Bei Daten auf Serverlaufwerken besteht dieses Problem nicht, da ein physikalischer Zugriff auf die Systeme durch Dritte wegen bestehender Alarmsicherungen weitestgehend ausgeschlossen werden kann. Jedoch ist es hier noch wichtiger, die Zugriffsrechte korrekt gesetzt zu haben, da die Daten standardmäßig über das LAN abgerufen werden können. Da die Berechtigungssysteme der heutigen Betriebssysteme eine erhebliche Komplexität erreicht haben, kommt es bei Anpassungen von Berechtigungen immer mal wieder zu ungewollten Nebeneffekten in Form zu liberal gesetzter Zugriffsrechte. Wer also auf Nummer sicher gehen will, der sollte seine sensibelen Daten verschlüsseln. Viele Betriebssysteme bieten Verschlüsselungsmechanismen an. Hierbei kommt es jedoch immer wieder zu Problemen oder zu Datenverlusten, weil die verwendeten Verfahren bei der Verschlüsselung Informationen über den Benutzer oder den Rechner, auf dem verschlüsselt wird, verwenden. Ändert sich nun an dieser Basisinformation etwas, so kann die Entschlüsselung problematisch oder sogar unmöglich wären. Wir empfehlen daher nur Verfahren, die ausschließlich an der Kenntnis eines Passworts, mit dem verschlüsselt wird, abhängen.

Veracrypt

Veracrypt gibt es sowohl für Windows als auch für Mac OS X. Mit Veracrypt kann man eine (verschlüsselte) Datei (Container) anlegen, die als Laufwerk gemountet werden kann und in der dann Daten abgelegt werden können. Diese verschlüsselte Datei kann auf beliebigen Medien (Netzlaufwerk, lokales Laufwerk, USB-Festplatte, etc.) abgelegt werden. Die verschlüsselte Datei kann unter verschiedenen Betriebssystemen gemountet werden, sofern das in der Datei verwendete Dateisystem kompatibel ist. Dieser Ansatz hat verschiedene Nachteile:

  • Die verschlüsselte Datei hat eine feste maximale Größe.
  • Die als Laufwerk gemountete Datei ist auf dem Arbeitsplatzrechner auch für andere Benutzer sichtbar und die Daten sind abhängig vom gewählten Dateisystem und den gesetzten Zugriffsrechten zugreifbar. Hier sind also die gleichen Vorsichtsmaßnahmen bezgl. der Zugriffsrechte einzuhalten, wie bei normalen Dateien.

Veracrypt ermöglicht auch die Verschlüsselung ganzer Partitionen inklusive der Systempartition. Vom Einsatz dieser Eigenschaft raten wir momentan ab, da die Auswirkungen auf den Betrieb in einem zentral gewarteten Netzwerk noch nicht untersucht wurden.

Installation

Auf den Windows-Rechnern in der Domäne ivv5net wird über das Softwarecenter Veracrypt zur Installation durch die BenutzerInnen angeboten. Auch auf den von der IVV5 gewarteten Mac OS X-Rechnern wird veracrypt über die geführte Softwareaktualisierung zur Verfügung gestellt.

Einrichtung

Zu Veracrypt gibt es ein ausführliches Tutorial. Für den Vorgänger von Veracrypt, truecrypt, haben wir eine Anleitung: USB Speicher mit TrueCrypt verschlüsseln erstellt.

public/daten_vor_unbefugtem_zugriff_schuetzen.txt · Zuletzt geändert: 2016/05/19 11:42 von beckelu