Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

WIKI:

HOTLINE:

Büros / Office Rooms

  • Einsteinstraße 62, Raum 105
  • Fliednerstraße 21, Raum 21b
  • Horstmarer Landweg 62, Raum U2

IVV5

Internal

Rechtliches

public:daten_vor_unbefugtem_zugriff_schuetzen

Daten vor unbefugtem Zugriff schützen

Worauf sollte man achten - einfachern Schutz

Verschlüsselung - komplexerer Schutz

Grundlegende Überlegungen

Anwendungsprogramme legen Daten normalerweise unverschlüsselt auf Festplatten, Serverlaufwerken oder externen Datenträgen ab. Nur in Ausnahmefällen werden als sensibel bekannte Daten, wie z.B. Passworte automatisch verschlüsselt, abgelegt. Der einzige Schutz der abgelegten Daten besteht also standardmäßig in den gesetzten Zugriffsrechten. Die IVV5 setzt daher Zugriffsrechte auf Benutzerhomes und Arbeitsgruppenshares so restriktiv wie möglich. Auch manche Programme sichern ihre abgelegten Daten automatisch durch restriktive Zugriffsrechte. Werden die Daten auf den lokalen Festplatten der Arbeitsplatzrechner abgelegt, so sind sie trotz korrekt gesetzter Rechte nicht sicher, wenn ein Dritter physikalisch Zugriff auf den Rechner hat. Bei Daten auf Serverlaufwerken besteht dieses Problem nicht, da ein physikalischer Zugriff auf die Systeme durch Dritte wegen bestehender Alarmsicherungen weitestgehend ausgeschlossen werden kann. Jedoch ist es hier noch wichtiger, die Zugriffsrechte korrekt gesetzt zu haben, da die Daten standardmäßig über das Netzwerk abgerufen werden können. Da die Berechtigungssysteme der heutigen Betriebssysteme eine erhebliche Komplexität erreicht haben, kommt es bei Anpassungen von Berechtigungen immer mal wieder zu ungewollten Nebeneffekten in Form zu liberal gesetzter Zugriffsrechte. Aufgrund der besonderen Gefährung gibt es eine Richtlinie der WWU die festlegt, dass alle externen Datenträger und Mobilgeräte (z.B.Laptops) zu verschlüsseln sind. Bei durch die IVV5 verwalteten Notebooks werden die Geräte verschlüsselt, bei Windows mit Bitlocker und bei MacOS mit FileVault2. Dies machen wir bereits während der Installationen für Sie. Auch bei Geräten, die wir für die Nutzung in Eigenwartung unter Windows, MacOS oder Ubuntu Linux installieren, sorgen wir dafür, dass die Speichermedien der Geräte bei der Übergabe an unsere Kunden verschlüsselt sind. Für die Verschlüsselung von externen Laufwerken (USB-Sticks, externe Festplatten) finden Sie in diesem Wiki Anleitungen.

Cryptomator

Cryptomator gibt es sowohl für Linux, Windows als auch für Mac OS. Mit Cryptomator kann man einen (verschlüsselten) Tresor anlegen, der als Laufwerk montiert werden kann und in dem dann Daten abgelegt werden können. Dieser Tresor besteht im Dateisystem aus einem Ordner mit diversen verschlüsselten Dateien.Tresore können auf beliebigen Medien (Netzlaufwerk, lokales Laufwerk, USB-Festplatte, Cloud-Speicher etc.) abgelegt werden. Der Tresor kann unter verschiedenen Betriebssystemen gemountet werden. Die Größe eines Tresors muss bei dessen Einrichtung nicht angegeben werden.

Installation

macOS

Auf macOS Rechnern, die von der IVV5 verwaltet werden, wird Cryptomator in der „Geführten Softwareaktualisierung“ angeboten.

Windows

Auf den Windows-Rechnern in der Domäne ivv5net wird über das Softwarecenter Crypromator zur Installation durch die BenutzerInnen angeboten.

Linux

Auf den Linux-Rechnern, die von der IVV5 verwaltet werden, ist Cryptomator standardmäßig installiert.

Einrichtung

Zu Cryptomator gibt es ein ausführliches Tutorial .

Veracrypt

Veracrypt gibt es sowohl für Linux, Windows als auch für Mac OS X. Mit Veracrypt kann man eine (verschlüsselte) Datei (Container) anlegen, die als Laufwerk gemountet werden kann und in der dann Daten abgelegt werden können. Diese verschlüsselte Datei kann auf beliebigen Medien (Netzlaufwerk, lokales Laufwerk, USB-Festplatte, etc.) abgelegt werden. Die verschlüsselte Datei kann unter verschiedenen Betriebssystemen gemountet werden, sofern das in der Datei verwendete Dateisystem kompatibel ist. Dieser Ansatz hat verschiedene Nachteile:

  • Die verschlüsselte Datei hat eine feste maximale Größe.
  • Die als Laufwerk gemountete Datei ist auf dem Arbeitsplatzrechner auch für andere Benutzer sichtbar und die Daten sind abhängig vom gewählten Dateisystem und den gesetzten Zugriffsrechten zugreifbar. Hier sind also die gleichen Vorsichtsmaßnahmen bezgl. der Zugriffsrechte einzuhalten, wie bei normalen Dateien.

Unter Linux sind zur Nutzung von Veracrypt Root-Berechtigungen erforderlich. Veracrypt ermöglicht auch die Verschlüsselung ganzer Partitionen inklusive der Systempartition. Vom Einsatz dieser Eigenschaft raten wir momentan ab, da die Auswirkungen auf den Betrieb in einem zentral gewarteten Netzwerk noch nicht untersucht wurden.

Installation

macOS

Auf macOS Rechnern, die von der IVV5 verwaltet werden, wird Veracrypt in der „Geführten Softwareaktualisierung“ angeboten.

Windows

Auf den Windows-Rechnern in der Domäne ivv5net wird über das Softwarecenter Veracrypt zur Installation durch die BenutzerInnen angeboten.

Linux

Auf den Linux-Rechnern, die von der IVV5 verwaltet werden, wird Vercrypt standardmäßig nicht installiert.

Einrichtung

Zu Veracrypt gibt es ein ausführliches Tutorial.

Betriebssystemabhängige Alternativen

Windows als auch macOS verfügen jeweils auch über eigene Verschlüsselungsmethoden. Diese sind allerdings für das jeweilige Betriebssystem implementiert. Der Vorteil ist die sehr gute Integration in das jeweilige Betriebssystem.

Windows

Hier finden Sie die Anleitung für Windows.

macOS

Hier finden Sie die Anleitung für macOS.

public/daten_vor_unbefugtem_zugriff_schuetzen.txt · Zuletzt geändert: 2020/11/03 07:17 von beckelu