Neues Sicherheitskonzept

[bongo]

Hallo zusammen,

mit dem Kauf eines neuen Arbeitslaptops (nur Office 365 und Browser installiert) habe ich mir mal Gedanken über ein vernünftiges und gleichzeitig praktikables Sicherheitskonzept gemacht.

Was mr wichtig ist:

• Daten sollen nicht für Unbefugte lesbar sein, egal ob der Laptop geklaut wird oder von einem Admin eines Cloudspeichers
• Dateiversionierung. Wenn ich eine Datei versaue, sollten die letzten paar Speicherungen wiederherstellbar sein
• Daten sollen überall abrufbar sein.

Was ich mir gedacht habe:

• Vollverschlüsselung der Systemplatte mit VeraCrypt
• Aktivieren der Dateiversionierung auf eine externe Festplatte (auch Veracrypt verschlüsselt)
• Speichern der Dateien in OneDrive oder HiDrive über Crytomator
• Tägliches Backup der (verschlüsselten) Dateien incl. Versionierungen auf USB-Stick (feuerfester Safe)

Schwachstellen:

• Kein Backup des kompletten Systems -> Anscheinend ist ein Backup eines komplett verschlüsselten Systems etwas diffizil. Ich würde also bei Totalverlust das System neu installieren und die persönlichen Daten von OneDrive/HiDrive neu runterladen.
• Versionierungen nur lokal auf externer Festplatte
• Zugriff auf Daten bedingt Installation von Cryptomator

Kommentare dazu?

 

[dermoritz]

Hab nur zwei Kommentare:

Warum reicht Bitlocker nicht (oder etwas vergleichbares, wird Windoes benutzt?)? Das steht beim arebeiten nicht im Weg und erfüllt deine beschriebenen Anforderungen.

Bzgl Versionierung: Ich würde mir überlegen was zu Versionieren ist. Es macht keinen Sinn z.B. BetriebssystemDateien zu Versionieren und allgemein wäre ich bei Binärdateien vorsichtig.
Hier sollte man gut überlegen welcher Anwendungsfall erfüllt werden soll.

Insgesamt ist wichtig das in einem professionellem Umfeld die Sicherheit möglichst unsichtbar ist für den der Arbeiten soll. Ich habe schon Sicherheitsmaßnahmen gesehen, welche die Produktivität senken oder aus Frust auf krativste Weise umgangen werden.
Z.B. Jeder Benutzer sollte sich möglichst nur ein Passwort merken, welches außer der Länge (16 bis 20 Zeichen) kaum Kriterien enthält. Ein wechseln sollte nicht erzwungen werden. Zuätzliche Passwörter/Accounts(z.b. Passwort für Festplatte) oder häufiges erzwungenes wechseln führt nur dazu dass überall ähnliche/gleiche Passworte verwendet werden.

 

[SaCre]

Bitlocker würde ich auch bevorzugen. Eventuell wäre Acronis für dich auch eine Option. Verschlüsselte Datensicherung in deren Cloud, Komplettsystem und über die Livesicherung aller neuen Dateien, direkt bei Verbindung

 

[bongo]

Warum reicht Bitlocker nicht (oder etwas vergleichbares, wird Windoes benutzt?)? Das steht beim arebeiten nicht im Weg und erfüllt deine beschriebenen Anforderungen.

Wenn ich bei sicherheitskritischen Sachen die Wahl zwischen closed und open source habe, bevorzuge ich open source.

Bzgl Versionierung: Ich würde mir überlegen was zu Versionieren ist. Es macht keinen Sinn z.B. BetriebssystemDateien zu Versionieren und allgemein wäre ich bei Binärdateien vorsichtig.
Hier sollte man gut überlegen welcher Anwendungsfall erfüllt werden soll.

Ich meine die "ganz normale" Dateiversionierung, die Windows mitbringt, da ist nichts mit Betriebssystemdateien.

 

[andy_m4]

Wenn ich bei sicherheitskritischen Sachen die Wahl zwischen closed und open source habe, bevorzuge ich open source.

Ähm. Dir iust schon klar das Dein Windows und Dein Office Closed-Source ist. Deine ganze Verschlüsselung - egal mit welchem Tool - nützt Dir nix, wenn Du Microsoft nicht vertraust.

 

[BeBur]

Cloudspeicher bieten doch auch Versionierung an. Das du Cryptomator bentutzt ändert daran vom Prinzip her nichts, ist nur im Zweifelsfall fummeliger herzustellen (einmal testen vorab). Ebenso bieten Cloudanbieter zum Teil umfangreiche Backuppläne an.

Meiner Meinung nach, Backup des Gesamtsystems ist oft overkill. Das kommt halt darauf an, wie schnell das System realistischerweise wieder stehen muss und wie aufwendig eine Neuinstallation ist. Windows, Office und Firefox installieren dauert ja, keine Ahnung, 1-2 Stunden. Ich denke mal, das kannst du verkraften das 0-1 mal in den nächsten 5-10 Jahren außerplanmäßig zu machen.

Und natürlich nimmt man Bitlocker.

 

[bongo]

Hintergrund der Gesamtverschlüsselung ist einfach, dass man auch bei temporären Dateien, fehlerhafter Ablage etc. einfach auf der sicheren Seite ist.

 

[SaCre]

Deswegen ja auch Bitlocker, auch für die USB Laufwerke. Ich würde mit Veracrypt keine Systempartition verschlüsseln.

 

[katzenhai2]

Zu Veracrypt sei noch gesagt, dass die es bisher nicht hinbekommen dass es bei Systemverschlüsselung die volle Geschwindigkeit bietet. Dazu müsste der Treiber komplett umgeschrieben werden, da hier das Problem besteht, dass die Dateien anders gehandhabt werden müssen bei Containernutzung und Paritionsverschlüsselung. Eine SSD wird dadurch sehr(!) stark eingeschränkt (IOPS und MB/s). Bei Bitlocker gibt es dieses Problem nicht, da steht die volle Geschwindigkeit zur Verfügung:
https://github.com/veracrypt/VeraCrypt/issues/136#issuecomment-443522115

Das nur vorab, falls Dir die volle Geschwindigkeit einer SSD wichtig ist.
Für USB-Laufwerke (extern) würde ich wiederum Verycrypt verwenden. Aber nie für die Systemplatte.

 

[abulafia]

Naja, volle Geschwindigkeit vielleicht nicht ganz, aber der Leistungsverlust ist bei Bitlocker minimal. VeraCrypt habe insbesondere Performanceprobleme bei NVMe-SSDs (weiß gar nicht wo ich das gelesen habe).

Ich benutze kein OneDrive für sensible Daten: Datenschutz. Der Client bietet keine End-to-End-Verschlüsselung und die Daten landen irgendwo im Datenschutzniemandsland.

Du hast HiDrive erwähnt. Das gibt's unter diesem Namen sowohl von Strato als auch von IONOS. Welches meinst du?

Bei IONOS kann man für ungefähr 2 € (vielleicht 2,50 €, weiß ich gerade nicht genau) das Sicherheitspaket dazu buchen. Das steht erstmal nicht da, bekommt man aber im Benutzerkonto angeboten bzw. auf Nachfrage auch für die kleinen Tarife. Das bietet dann unter anderem eine Ende-zu-Ende-Verschlüsselung und spart dir den Einsatz von Cryptomator oder Boxcryptor.

Auch die MegantaCloud bietet die Funktion, allerdings muss man die auch hier gesondert buchen oder sie ist nur in den größeren Paketen aktiv. Eventuell mal recherchieren oder nachfragen.

 

[BeBur]

Wobei Cryptomator imHo schon sehr komfortabel ist, solange man den Cloud-Speicher auch wirklich nur als Speicher verwenden will und nicht über den Browser auf die Dateien zugreifen will, Dateien anderen zugänglich machen will o.ä..

 

[abulafia]

Ja, also die Ende-zu-Ende-Verschlüsselung funktioniert nur in der App, nicht im Browser.
Im Sicherheitspaket ist auch eine Möglichkeit zur kennwortgeschützten Freigabe im Internet. Allerdings dann auch ohne Verschlüsselung. Die muss man anders realisieren, zum Beispiel mit verschlüsselten .rar-Archiven oder Containern.

Die App von IONOS ist zumindest von der Gestaltung mit der der von der Telekom/MegantaCloud identisch. Außerdem basiert sie auf Open Source. Wenn das einmal eingerichtet ist, ist die Ende-zu-Ende-Verschlüsselung auch völlig transparent. Der größte Vorteil ist der Wegfall von Zusatzsoftware wir Cryptomator oder Boxcryptor.

 

[bongo]

Du hast HiDrive erwähnt. Das gibt's unter diesem Namen sowohl von Strato als auch von IONOS. Welches meinst du?

Ich habe HiDrive von Strato mit Protokollpaket.

Auch die MegantaCloud bietet die Funktion, allerdings muss man die auch hier gesondert buchen oder sie ist nur in den größeren Paketen aktiv. Eventuell mal recherchieren oder nachfragen.

MagentaCloud funktioniert anscheinend nicht mehr:

Kann ich meine Dateien erneut verschlüsselt in der MagentaCLOUD speichern?

Leider können wir Ihnen aktuell keine eigene Ende-zu-Ende-Verschlüsselung in der neuen MagentaCLOUD anbieten. Wir arbeiten an einer Lösung. Bis dahin können Sie Ihre Daten mit der Software unseres Partners Boxcryptor verschlüsselt in der MagentaCLOUD speichern.

Kann man die W10-Dateiversionierung nicht auf ein WebDAV-Netzlaufwerk sichern? Egal, ob ich auf HiDrive oder mein Cryptomator-Vault sichern will, erscheint eine Fehlermeldung (kein Zugriff, möglicherweise kein DNS-Server gefunden). Die Netzlaufwerke sind aber mit Laufwerksbuchstabe versehen und können z.B. ganz normal über die PowerShell benutzt werden.

EDIT: Ich glaube, IONOS managed nextcloud ist das, was ich suche.

 

[abulafia]

Ich kenne das Problem von Boxcryptor. Denke bei Cryptomator ist es ähnlich.

Das Laufwerk wird standardmäßig nur für den aktuellen Nutzer zur Verfügung gestellt. Das SYSTEM kann den Buchstaben dann nicht finden.
In den Einstellungen von Cryptomator müsste sich sinngemäß eine passende Einstellung finden lassen, dass das Laufwerk allen Nutzern (global), und damit auch dem SYSTEM, zur Verfügung gestellt wird.

Bei Boxcryptor heißt die Option:

• Für alle Benutzer einbinden: Systemkonten können Boxcryptor benutzen

Bei Cryptomator musst du mal suchen.

 

[bongo]

Anscheinend gibt es die Option bei Cryptomator nicht. Ich glaube mittlerweile aber, dass gerade für das ganze Zusammenspiel aus Verschlüsselung, Versionierung und Verfügbarkeit eine managed nextcloud-Lösung die beste Alternative ist.