Susi to visit : In Windows gibt es eine Verschlüsselungsmethode "mit Bordmitteln" über Rechtsklicks -> Eigenschaften -> Erweitert -> verschlüsseln. Das ist glaube ich eine symmetrische Verschlüsselung mit dem Benutzerpasswort als Schlüssel.
Wäre das Verschlüsseln des Profilordners für Verschlüsselungs-Anfänger ein einfacherer Einstieg, als die komplette Partition zu verschlüsseln, oder eher nicht zu empfehlen?
Das kann ich nicht seriös beantworten. Dazu kenne ich die Funktion zu wenig. Unter Linux bin ich es seit Jahren gewohnt, schon beim Einrichten gefragt zu werden, ob ich die Partition oder zumindest das Home verschlüsseln möchte. Für Windows spendiert mir mein Arbeitgeber den Bitlocker. Für die Firmen-Laptops ist der bei uns Pflicht.
Wichtig wäre, ob die so verschlüsselten Dateien live im Betrieb entschlüsselt werden, ob also z.B. der Thunderbird dann sein Profil noch lesen kann. Ich nehme sehr stark an, das ist so, weiß es aber nicht sicher. Anderenfalls müsste man bei einer Weiterleitung ja sein Windows-Passwort preisgeben. Das kann man wohl ausschließen.
Symmetrische Verschlüsselung ist schon mal gut und normal. Die asymmetrische Verschlüsselung dient ja eh nur dem Schlüssel- bzw. Passwortaustausch.
Ein Kritikpunkt wäre der, dass die Dateien mit dem normalen Benutzerpasswort entsperrt werden. Hat jemand Zugriff auf den PC und kennt das Benutzerpasswort, kann er die Daten entschlüsseln. Bei Diebstahl nur der Platte hilft die Kenntnis dieses Passwortes dem Dieb allerdings nichts. Ähnlich wie im Thunderbird dient das Benutzerpasswort nur als Masterpassword, welches den eigentlichen Schlüssel freigibt.
Die Verschlüsselung der gesamten Boot-Partition erfordert die Eingabe zweier Passwörter. Eines für den Start, dann ein zweites für den Benutzer. Außerdem ist die Anzahl der Versuche in der Regel hart begrenzt. Das ist gerade bei Diebstahl oder Verlust ein deutliches mehr an Sicherheit.
Ich würde empfehlen, wenn man unter Windows den Bitlocker zur Verfügung hat, dann damit die komplette Platte zu verschlüsseln, zumindest das Home und ggf. die Partition mit den Daten. Der große Vorteil liegt für mich darin, dass dann wirklich alles geschützt ist. Verschlüsselt man nur einzelne Dateien oder Ordner, übersieht man schnell etwas.
Aber ja, wenn das so funktioniert, wie oben vermutet, dann wäre die Verschlüsselung der Profile damit sehr einfach. Das wäre viel besser als gar nicht zu verschlüsseln. Die Alternative VeraCrypt ist komplizierter in der Handhabung. Damit lockt man nur die hervor, die sich eh schon Gedanken dazu gemacht haben und sich einigermaßen gut auskennen. Ich würde sagen, ja, das sieht nach einem guten Ansatz auch für Anfänger aus.
Das schaut dann doch gut aus. Man hat auf jeden Fall den Schutz vor neugierigen Mitbenutzern. Einfach nur die Windows-Anmeldung zu umgehen nutzt dann nichts mehr. Und es ist deutlich einfacher zu handhaben als z.B. VeraCrypt-Container.
Auf meinem privaten PC ist diese Funktion inaktiv. Auch für eine bisher unverschlüsselte externe NTFS-Partition. Ich kann sie auch nicht über die Registry aktivieren. Ich vermute, das liegt daran, dass mein Windows 10 ein kostenloses Upgrade des ursprünglichen WIN7 Home ist.
Ein Punkt wäre noch der, wie man als berechtigter Benutzer an den eigentliche Key kommt, bzw. ob sich die Ordner in einem anderen PC durch Eingabe des Passwortes entschlüsseln lassen. Falls der PC mal ganz abraucht.
Auf meinem privaten PC ist diese Funktion inaktiv. Auch für eine bisher unverschlüsselte externe NTFS-Partition. Ich kann sie auch nicht über die Registry aktivieren. Ich vermute, das liegt daran, dass mein Windows 10 ein kostenloses Upgrade des ursprünglichen WIN7 Home ist.
Stimmt. Hier Windows Pro.
Ein Punkt wäre noch der, wie man als berechtigter Benutzer an den eigentliche Key kommt, bzw. ob sich die Ordner in einem anderen PC durch Eingabe des Passwortes entschlüsseln lassen. Falls der PC mal ganz abraucht.
Das probiere ich aus. Habe zumindest eine Aufforderung gesehen, dass ich das Zertifikat exportieren soll. Will auch mal gucken, ob der Zugriff wirklich nicht mehr möglich ist, wenn ich mein eigenes Passwort umgehe.
Moderatoren
: Bitte abtrennen, falls zu sehr OT.
Das probiere ich aus.
Respekt für dein Engagement!
Hallo!
Ich klinke mich mal eben ein, da ich das "Problem" auch habe.
Ich habe mein Hauptprofil samt der Portable-Version auf einem USB-Stick.
Da ich ein umfangreiches Mailarchiv habe und das eben auch mal ausserhalb von Zuhause nutzen muss ist das bisher der beste Weg.
VPN zur NAS zuhause geht dann auch nicht überall und ist vor allem viel zu langsam. Stick vor Ort rein, Laufwerkbuchstabe anpassen, fertig.
Zu Hause ist TB dann installiert, mit Profilpfad auf den Stick. Läuft.
Nun sind aber alle Mails auf dem Stick und das Thema Verschlüsselung steht im Raum.
Veracrypt und Co. funktioniert, ist aber echt lästig. Vor allem wieder auf Fremdsystemen.
Die Verschlüsselung von Windows funktioniert auch, ABER!
Das funktioniert NUR auf dem System auf dem verschlüsselt wurde. Abgesehen vom Passwort wird ein Zertifikat erzeugt, das natürlich vorhanden sein muss. Das sollte man sich unbedingt exportieren und separat sichern, denn ohne das geht nichts mehr!! Falls die Platte abraucht....Das Zertifikat kann man dann allerdings auch auf anderen Systemen importieren und dann dort die Ordner entschlüsseln (gleicher Benutzername / Password versteht sich). Mache ich auf Desktop und Notebook mit einer USB-Festplatte.
Funktioniert so aber eben nicht ohne Weiteres auf einem Gastrechner, weil es mich da als Benutzer nicht gibt.
Fazit: die Möglichkeit das Profil über TB direkt transparent zu verschlüsseln wäre genial für solche Härtefälle wie mich oder jobi.
Den ganzen Stick verschlüsseln wäre eine denkbare Option, die Tools dafür sind ja oft dabei.
Nun wieder ich: das ist der All-in-One-McGyver-Weltretter-Stick. Also bootet da z.B. natürlich Debian mit allerlei Tools etc. usw.
Egal was man tut, entweder schleppt man mehrere Sticks rum oder ärgert sich mit unbequemen Lösungen herum. Scheiss Bequemlichkeit......
Frohe Weihnachten!
Fazit: die Möglichkeit das Profil über TB direkt transparent zu verschlüsseln wäre genial für solche Härtefälle wie mich oder jobi.
Ich denke nicht, dass sich das lohnen würde. Dein Anwendungsfall ist eine seltene Ausnahme. Ich wage sogar die Prognose, dieser Anwendungsfall wird aussterben.
Aus Anwendersicht stellt sich zunächst die Frage, ob jemand möchte, dass ein fremder Rechner nicht nur Zugriff auf die E-Mails bekommt, sondern auch gleich auf den zur Verschlüsselung benutzen geheimen Schlüssel. Ich spreche für mich: Ich möchte das nicht.
Aus Sicht des Gastgebers ist es noch gravierender. Das muss schon ein recht unbedarfter Mensch sein, der dir heutzutage noch erlaubt, einen USB-Stick an seinen Rechner zu stecken.
Auf professioneller Ebene ist das schon lange vorbei bzw. nur in Ausnahmefällen erlaubt. Ich weiß von vielen größeren Firmen, darunter ist auch mein Arbeitgeber, dass das Anstecken eines USB-Laufwerks registriert und automatisch gemeldet wird. Wenn du dann keine Erlaubnis vorlegen kannst, hast du ein ziemliches Problem.
Ich habe sogar Kunden, bei denen ist schon das Mitführen eines USB-Sticks untersagt. Für die Mitarbeiter gibt es eine entsprechende Anweisung. Besucher, wie ich, bestätigen und unterschreiben das an der Rezeption.
In kleinen Firmen, vor allem in solchen ohne eigene IT, ist das noch lange nicht so. Ich denke aber, das wird sich ändern. Spätestens, wenn es hinreichend viele von denen mal erwischt hat.
Kommst du dann auch noch mit einem VeraCrypt-Stick, benötigst du zum Mounten Adminrechte. Wenn du mich fragst, das muss dann nicht nur ein unbedarfter Mensch sein, sondern ein IT-Depp, der dir das erlaubt.
Egal was man tut, entweder schleppt man mehrere Sticks rum
Oder halt ein Laptop. In vielen Fällen genügt sogar bereits ein Smartphone. Das haben die meisten von uns eh dabei.
Scheiss Bequemlichkeit......
Ein wahres Wort, gelassen gesprochen. Bequemlichkeit und Verschlüsselung vertragen sich leider immer noch nicht überall. Trotzdem, verschlüsselt gehören Sticks und alle mobilen Platten meiner Meinung nach unbedingt. Allein schon wegen des Risikos, dass man sie verliert, irgendwo vergisst oder dass sie gar gestohlen werden.
benötigst du zum Mounten Adminrechte. Wenn du mich fragst, das muss dann nicht nur ein unbedarfter Mensch sein, sondern ein IT-Depp, der dir das erlaubt.
Die gibts aber tatsächlich noch in rauen Mengen. Ich habe mal eine Vorführung von einem Studenten gesehen. Der hatte sich einen bekannten Trick zum Vorbild genommen und seinen Stick so präpariert, dass er dem Windows wie eine Tastatur vorkam. Eingesteckt, schwupp die Wupp, ohne weiteres Zutun wurde sein Script ausgeführt.
Oder nehmt die Nummer mit den anscheinend verlorenen Sticks an einer US-Uni. Die wurden absichtlich liegengelassen. Man wollte herausbekommen, ob die Finder den Stick wohl zuhause einstecken. Das haben tatsächlich viele gemacht. Der "Schädling" lief automatisch an. Zum Glück brachte der nur eine harmlose Meldung, trööööt, das jetzt ziemlich dumm von dir.
Alles anzeigenIch denke nicht, dass sich das lohnen würde. Dein Anwendungsfall ist eine seltene Ausnahme. Ich wage sogar die Prognose, dieser Anwendungsfall wird aussterben.
Aus Anwendersicht stellt sich zunächst die Frage, ob jemand möchte, dass ein fremder Rechner nicht nur Zugriff auf die E-Mails bekommt, sondern auch gleich auf den zur Verschlüsselung benutzen geheimen Schlüssel. Ich spreche für mich: Ich möchte das nicht.
Aus Sicht des Gastgebers ist es noch gravierender. Das muss schon ein recht unbedarfter Mensch sein, der dir heutzutage noch erlaubt, einen USB-Stick an seinen Rechner zu stecken.
Auf professioneller Ebene ist das schon lange vorbei bzw. nur in Ausnahmefällen erlaubt. Ich weiß von vielen größeren Firmen, darunter ist auch mein Arbeitgeber, dass das Anstecken eines USB-Laufwerks registriert und automatisch gemeldet wird. Wenn du dann keine Erlaubnis vorlegen kannst, hast du ein ziemliches Problem.
Ich habe sogar Kunden, bei denen ist schon das Mitführen eines USB-Sticks untersagt. Für die Mitarbeiter gibt es eine entsprechende Anweisung. Besucher, wie ich, bestätigen und unterschreiben das an der Rezeption.
In kleinen Firmen, vor allem in solchen ohne eigene IT, ist das noch lange nicht so. Ich denke aber, das wird sich ändern. Spätestens, wenn es hinreichend viele von denen mal erwischt hat.
Kommst du dann auch noch mit einem VeraCrypt-Stick, benötigst du zum Mounten Adminrechte. Wenn du mich fragst, das muss dann nicht nur ein unbedarfter Mensch sein, sondern ein IT-Depp, der dir das erlaubt.
Oder halt ein Laptop. In vielen Fällen genügt sogar bereits ein Smartphone. Das haben die meisten von uns eh dabei.
Ein wahres Wort, gelassen gesprochen. Bequemlichkeit und Verschlüsselung vertragen sich leider immer noch nicht überall. Trotzdem, verschlüsselt gehören Sticks und alle mobilen Platten meiner Meinung nach unbedingt. Allein schon wegen des Risikos, dass man sie verliert, irgendwo vergisst oder dass sie gar gestohlen werden.
Naja, in meinem Fall sind die Menschen die mich an ihren PC lassen solche, die mir auch Kaffee und Kuchen dazu stellen, hauptsache ich bringe ihren Rechner wieder in Ordnung. Das passt schon.
Im, mehr oder weniger, professionellen Umfeld sieht das natürlich anders aus.
Da kenne ich den Weltkonzern, bei dem Dein beschriebenes Szenario stattfindet (USB gesperrt oder geloggt), der aber was die IT-Sicherheit angeht weniger Vorstellungsvermögen hat als ein 11-jähriger. Nur als Beispiel: Verbot jeglicher Geräte mit Kameras wegen Spionage. Ich nur so: brauch ich nicht mitzubringen, ist alle schon da! Fragende Gesichter. Also nehme ich an einem Arbeitsplatz einen 2D-Scanner, zappe den mir nächststehenden und wir schauen uns sein Portrait direkt auf dem damit verbundenen PC an. Email an, senden, fertig. Super Show! Die Gesichter werde ich nie vergessen.
Sofern man Adminrechte am PC hat ist auch der OpenVPN nach Hause da gar kein Problem.
Übrigens lässt sich mit Adminrechten auch der TrendMicro immer noch genau so abschalten wie schon 2003. Per Eintrag in die Registry. Passwortschutz hin oder her. Bei einer anderen Firma mit "sicherer IT" kommst Du einfach so auf die Statusseiten der Core-Switche drauf. Mit allen nötigen Daten der VLAN-Struktur. Einfach per Browser. Im Explorer den Namen des Filers angeben und man sieht alle vorhandenen Shares. Siehe den Post von Altstadt....
Tja und da kommt wieder die Bequemlichkeit. Dieser eine Stick mit dem Mailarchiv, da wäre es halt schön wie beschrieben. Ansonsten trage ich keine sensiblen Daten mit mir herum. Ich hab mal nen Stick auf der Straße gefunden mit SEHR sensiblen Daten drauf. Eben darum ist auch kein Mailarchiv auf dem Smartphone. Würde mir im Fall von TB-Profil dann auch nicht wirklich was bringen. Naja...irgendwas fällt mir ein.
Und Jobisoft hat ja was er braucht. Er muss nur daran denken das Zertifikat zu exportieren und SICHER zu verwahren. In Hinblick auf physikalische Sicherheit!
Allerdings aufgepasst: auf ein so verschlüsseltes Verzeichnis kann sich jeder Admin Zugriff verschaffen über die Rechtevergabe (aka Besitz übernehmen) Er kann dann zwar keine Datei entschlüsseln, aber die Dateinamen werden in Klartext angezeigt! Das kann ggf. auch schon unangenehm werden....
Da kenne ich den Weltkonzern
Das Beispiel ist sehr weit hergeholt. Bei dem Kameraverbot geht es meist nicht darum, einen Mitarbeiter zu knipsen. USB-Laufwerke zu sperren hat einen ganz anderen Hintergrund.
Sofern man Adminrechte am PC hat ist auch der OpenVPN nach Hause da gar kein Problem.
Übrigens lässt sich mit Adminrechten auch der TrendMicro immer noch genau so abschalten wie schon 2003.
Darum ist dein VeraCrypt-Stick auch ein No-Go.
Ich hab mal nen Stick auf der Straße gefunden mit SEHR sensiblen Daten drauf.
Wer ist der Dümmere? Der, der einen unverschlüsselten Stick mit sich führt, oder der, der einen fremden Stick an seinen Computer anschließt? Ich wage da kein Urteil.
Eben darum ist auch kein Mailarchiv auf dem Smartphone.
Auch Smartphones lassen sich verschlüsseln.
auf ein so verschlüsseltes Verzeichnis kann sich jeder Admin Zugriff verschaffen über die Rechtevergabe (aka Besitz übernehmen) Er kann dann zwar keine Datei entschlüsseln, aber die Dateinamen werden in Klartext angezeigt!
Das hängt ganz davon ab, wie man verschlüsselt. Bei mir liest du keine Dateinamen.
Da kenne ich den Weltkonzern
Das Beispiel ist sehr weit hergeholt. Bei dem Kameraverbot geht es meist nicht darum, einen Mitarbeiter zu knipsen. USB-Laufwerke zu sperren hat einen ganz anderen Hintergrund.
Och, ich war in besagtem Weltkonzern lange selber als Admin tätig. Die Gründe sind mir wohlbekannt, aber eben auch die Ahnungslosigkeit so mancher Entscheidungsträger wurde mir da sehr bewust. Wie im genannten Beispiel mit Verbot sämtlicher Kameras oder Datenträger. Dabei liegt eben alles was man braucht herum, inclusive "offiziellen" Datenträgern. Und mit so einem 2D-Scanner knipst man ganz locker Schaltpläne, Arbeitsanweisungen und die zugehörigen Geräte, die ja passenderweise direkt daneben liegen. Mit überraschend hoher Auflösung. Da braucht man keine Spycam im Gürtel (man hat mal einen Besucher mit sowas erwischt!).
btw: Das mit den lesbaren Dateinamen bezog sich auf die Ordnerverschlüsselung von Windows, so wie sie Jobisoft angesprochen hat.
Dass das anders geht weiss ich, ich hab bei der Abschaffung der iTAN-Listen meiner Bank dort mal Beschwerde geführt von wegen SMS-TAN und deren angeblicher Sicherheit. Hab das Telefon auf den Tresen gelegt mit den Worten: "Da ist meine iTAN-Liste drauf. Wenn ihr sie bis morgen um diese Zeit gefunden habt geb ich der ganzen Bude einen aus!".
Ach, und das mit verschlüsselten Smartphone. Naja....kann man machen. Ich hab nix relevantes auf dem Ding drauf, dafür aber schon mehrfach Ärger mit verschlüsselten Geräten gehabt. In Form von Gerätedefekt oder zerschossenem OS nach einem regulären Update. Da siehts dann ggf. düster aus für die Daten auf der verschlüsselten Speicherkarte. Backup macht ja kein normaler Mensch....
Oder nehmt die Nummer mit den anscheinend verlorenen Sticks an einer US-Uni. Die wurden absichtlich liegengelassen.
Ja, von diesem Experiment habe ich damals auch gelesen. Wenn ich mich richtig erinnere, haben die sogar tatsächlich eine Software gestartet. Keinen Schädling, aber Programm, das den Zugriff auf den Stick anonymisiert protokolliert hat. Sie wollten nicht nur herausfinden, wie viele Finder so unvorsichtig sind, den Stick an ihren Rechner anzuschließen. Sie wollten auch wissen, wie neugierig die Finder sind.
Viele haben natürlich angegeben, sie hätten die Dateien nur deshalb durchsucht, weil sie herausbekommen wollten, wem sie den Stick zurückgeben könnten. 
Dabei liegt eben alles was man braucht herum, inclusive "offiziellen" Datenträgern. Und mit so einem 2D-Scanner knipst man ganz locker Schaltpläne, Arbeitsanweisungen und die zugehörigen Geräte, die ja passenderweise direkt daneben liegen.
Nun, dann hat diese Firma ein ganz anderes Problem. Wenn die Mitarbeiter derart sorglos sind, ist das erst recht ein Grund, das Anschließen von USB-Laufwerken zu verbieten oder - noch besser - technisch ganz zu unterbinden.
In Zeiten der Clouds und interner Netzwerkspeicher gibt es keinen Grund mehr, ein fremdes USB-Laufwerk anzustecken.
Und ich wette, wärst du ein Kollege von mir, würdest du das garantiert auch nicht machen. Denn dann drohen Abmahnung und Entlassung.
Ich hab nix relevantes auf dem Ding drauf,
Das dachte ich auch. Bis ich eines Tages mein Smartphone verloren hatte. Da wurde mir erst klar, dass ich darauf Fotos hatte, deren Verlust mich sehr geärgert hätte.
Backup macht ja kein normaler Mensch....
Ich habe Glück gehabt und das Gerät wiederbekommen. Seitdem bin ich dir zufolge kein normaler Mensch mehr, denn ich erstelle auch von den Daten auf dem Smartphone regelmäßig Backups.
Gefunden. Es war ein Experiment von Unis in Illinois und Michigan gemeinsam mit Google.
Wenn ich mich richtig erinnere, haben die sogar tatsächlich eine Software gestartet.
Das haben die noch simpler gemacht. Sie haben es über html gelöst. Fast die Hälfte der Leute hat das Teil angeschlossen und locker flockig geklickt. Wie das wohl ausgegangen wäre, hätte das Experiment nicht auf einem Campus stattgefunden? 70%? Dann den Dateien noch die richtigen Namen geben, was mit x hinten oder einen geheimnisvollen und zack wäre noch mehr drin.
Und immer noch weiter ...
Sigst! Das war ganz sicher nicht das letzte Mal. Dazu ist unsere Gesellschaft einfach zu IT-unreif. Viele von denen, die sich über Angela Merkels "Neuland" lustig gemacht haben, verstehen kaum etwas von der Materie. Die haben gar nicht bemerkt, dass auch sie selbst damit angesprochen waren.
Wer fremde USB-Laufwerke anschließt, ist selbst schuld. Es ist heutzutage vor allem in den meisten Fällen komplett unnötig. Deshalb stehe ich auch voll hinter jeder Firmenpolicy, die das verbieten. Wer's trotzdem mach, fliegt. Gut so, denn den Schaden, den eine einzelne Person so anrichten kann, den haben dann sämtliche Kollegen, schlimmstenfalls sogar wir alle.
Wer fremde USB-Laufwerke anschließt, ist selbst schuld.
Ganz deiner Meinung. Würden die Betriebssysteme es nicht von Haus aus so einfach machen, wäre schon viel gewonnen. Angenommen, es wäre 10 Klicks in 3 Menüs und eine Passworteingabe nötig, dann würden bestimmt mehr Leute ein Cloud-Laufwerk benutzen. Damit wäre schon viel gewonnen. Das bedingt, dass man verschlüsselt hochlädt. Was leider auch immer nur viel zu kompliziert ist, außer bei WhatsApp.
Jedenfalls, um nicht noch weiter vom Thema wegzukommen, einfach einen Stick anzustecken, ist ziemlich dumm. Jemandem zu erlauben, vom Stick aus sogar Programme zu starten, auf meinem Rechner, das wäre total bescheuert.
