Beiträge von Gremnet

Zitat von Altstadt

Zitat von Gremnet

Da kenne ich den Weltkonzern

Das Beispiel ist sehr weit hergeholt. Bei dem Kameraverbot geht es meist nicht darum, einen Mitarbeiter zu knipsen. USB-Laufwerke zu sperren hat einen ganz anderen Hintergrund.

Och, ich war in besagtem Weltkonzern lange selber als Admin tätig. Die Gründe sind mir wohlbekannt, aber eben auch die Ahnungslosigkeit so mancher Entscheidungsträger wurde mir da sehr bewust. Wie im genannten Beispiel mit Verbot sämtlicher Kameras oder Datenträger. Dabei liegt eben alles was man braucht herum, inclusive "offiziellen" Datenträgern. Und mit so einem 2D-Scanner knipst man ganz locker Schaltpläne, Arbeitsanweisungen und die zugehörigen Geräte, die ja passenderweise direkt daneben liegen. Mit überraschend hoher Auflösung. Da braucht man keine Spycam im Gürtel (man hat mal einen Besucher mit sowas erwischt!).

btw: Das mit den lesbaren Dateinamen bezog sich auf die Ordnerverschlüsselung von Windows, so wie sie Jobisoft angesprochen hat.

Dass das anders geht weiss ich, ich hab bei der Abschaffung der iTAN-Listen meiner Bank dort mal Beschwerde geführt von wegen SMS-TAN und deren angeblicher Sicherheit. Hab das Telefon auf den Tresen gelegt mit den Worten: "Da ist meine iTAN-Liste drauf. Wenn ihr sie bis morgen um diese Zeit gefunden habt geb ich der ganzen Bude einen aus!".

Ach, und das mit verschlüsselten Smartphone. Naja....kann man machen. Ich hab nix relevantes auf dem Ding drauf, dafür aber schon mehrfach Ärger mit verschlüsselten Geräten gehabt. In Form von Gerätedefekt oder zerschossenem OS nach einem regulären Update. Da siehts dann ggf. düster aus für die Daten auf der verschlüsselten Speicherkarte. Backup macht ja kein normaler Mensch....

Zitat von Susi to visit

Ich denke nicht, dass sich das lohnen würde. Dein Anwendungsfall ist eine seltene Ausnahme. Ich wage sogar die Prognose, dieser Anwendungsfall wird aussterben.

Aus Anwendersicht stellt sich zunächst die Frage, ob jemand möchte, dass ein fremder Rechner nicht nur Zugriff auf die E-Mails bekommt, sondern auch gleich auf den zur Verschlüsselung benutzen geheimen Schlüssel. Ich spreche für mich: Ich möchte das nicht.

Aus Sicht des Gastgebers ist es noch gravierender. Das muss schon ein recht unbedarfter Mensch sein, der dir heutzutage noch erlaubt, einen USB-Stick an seinen Rechner zu stecken.

Auf professioneller Ebene ist das schon lange vorbei bzw. nur in Ausnahmefällen erlaubt. Ich weiß von vielen größeren Firmen, darunter ist auch mein Arbeitgeber, dass das Anstecken eines USB-Laufwerks registriert und automatisch gemeldet wird. Wenn du dann keine Erlaubnis vorlegen kannst, hast du ein ziemliches Problem.

Ich habe sogar Kunden, bei denen ist schon das Mitführen eines USB-Sticks untersagt. Für die Mitarbeiter gibt es eine entsprechende Anweisung. Besucher, wie ich, bestätigen und unterschreiben das an der Rezeption.

In kleinen Firmen, vor allem in solchen ohne eigene IT, ist das noch lange nicht so. Ich denke aber, das wird sich ändern. Spätestens, wenn es hinreichend viele von denen mal erwischt hat.

Kommst du dann auch noch mit einem VeraCrypt-Stick, benötigst du zum Mounten Adminrechte. Wenn du mich fragst, das muss dann nicht nur ein unbedarfter Mensch sein, sondern ein IT-Depp, der dir das erlaubt.

Oder halt ein Laptop. In vielen Fällen genügt sogar bereits ein Smartphone. Das haben die meisten von uns eh dabei.

Ein wahres Wort, gelassen gesprochen. Bequemlichkeit und Verschlüsselung vertragen sich leider immer noch nicht überall. Trotzdem, verschlüsselt gehören Sticks und alle mobilen Platten meiner Meinung nach unbedingt. Allein schon wegen des Risikos, dass man sie verliert, irgendwo vergisst oder dass sie gar gestohlen werden.

Alles anzeigen

Naja, in meinem Fall sind die Menschen die mich an ihren PC lassen solche, die mir auch Kaffee und Kuchen dazu stellen, hauptsache ich bringe ihren Rechner wieder in Ordnung. Das passt schon.

Im, mehr oder weniger, professionellen Umfeld sieht das natürlich anders aus.

Da kenne ich den Weltkonzern, bei dem Dein beschriebenes Szenario stattfindet (USB gesperrt oder geloggt), der aber was die IT-Sicherheit angeht weniger Vorstellungsvermögen hat als ein 11-jähriger. Nur als Beispiel: Verbot jeglicher Geräte mit Kameras wegen Spionage. Ich nur so: brauch ich nicht mitzubringen, ist alle schon da! Fragende Gesichter. Also nehme ich an einem Arbeitsplatz einen 2D-Scanner, zappe den mir nächststehenden und wir schauen uns sein Portrait direkt auf dem damit verbundenen PC an. Email an, senden, fertig. Super Show! Die Gesichter werde ich nie vergessen.

Sofern man Adminrechte am PC hat ist auch der OpenVPN nach Hause da gar kein Problem.

Übrigens lässt sich mit Adminrechten auch der TrendMicro immer noch genau so abschalten wie schon 2003. Per Eintrag in die Registry. Passwortschutz hin oder her. Bei einer anderen Firma mit "sicherer IT" kommst Du einfach so auf die Statusseiten der Core-Switche drauf. Mit allen nötigen Daten der VLAN-Struktur. Einfach per Browser. Im Explorer den Namen des Filers angeben und man sieht alle vorhandenen Shares. Siehe den Post von Altstadt....

Tja und da kommt wieder die Bequemlichkeit. Dieser eine Stick mit dem Mailarchiv, da wäre es halt schön wie beschrieben. Ansonsten trage ich keine sensiblen Daten mit mir herum. Ich hab mal nen Stick auf der Straße gefunden mit SEHR sensiblen Daten drauf. Eben darum ist auch kein Mailarchiv auf dem Smartphone. Würde mir im Fall von TB-Profil dann auch nicht wirklich was bringen. Naja...irgendwas fällt mir ein.

Und Jobisoft hat ja was er braucht. Er muss nur daran denken das Zertifikat zu exportieren und SICHER zu verwahren. In Hinblick auf physikalische Sicherheit!

Allerdings aufgepasst: auf ein so verschlüsseltes Verzeichnis kann sich jeder Admin Zugriff verschaffen über die Rechtevergabe (aka Besitz übernehmen) Er kann dann zwar keine Datei entschlüsseln, aber die Dateinamen werden in Klartext angezeigt! Das kann ggf. auch schon unangenehm werden....

Hallo!

Ich klinke mich mal eben ein, da ich das "Problem" auch habe.

Ich habe mein Hauptprofil samt der Portable-Version auf einem USB-Stick.

Da ich ein umfangreiches Mailarchiv habe und das eben auch mal ausserhalb von Zuhause nutzen muss ist das bisher der beste Weg.

VPN zur NAS zuhause geht dann auch nicht überall und ist vor allem viel zu langsam. Stick vor Ort rein, Laufwerkbuchstabe anpassen, fertig.

Zu Hause ist TB dann installiert, mit Profilpfad auf den Stick. Läuft.

Nun sind aber alle Mails auf dem Stick und das Thema Verschlüsselung steht im Raum.

Veracrypt und Co. funktioniert, ist aber echt lästig. Vor allem wieder auf Fremdsystemen.

Die Verschlüsselung von Windows funktioniert auch, ABER!

Das funktioniert NUR auf dem System auf dem verschlüsselt wurde. Abgesehen vom Passwort wird ein Zertifikat erzeugt, das natürlich vorhanden sein muss. Das sollte man sich unbedingt exportieren und separat sichern, denn ohne das geht nichts mehr!! Falls die Platte abraucht....Das Zertifikat kann man dann allerdings auch auf anderen Systemen importieren und dann dort die Ordner entschlüsseln (gleicher Benutzername / Password versteht sich). Mache ich auf Desktop und Notebook mit einer USB-Festplatte.

Funktioniert so aber eben nicht ohne Weiteres auf einem Gastrechner, weil es mich da als Benutzer nicht gibt.

Fazit: die Möglichkeit das Profil über TB direkt transparent zu verschlüsseln wäre genial für solche Härtefälle wie mich oder jobi.

Den ganzen Stick verschlüsseln wäre eine denkbare Option, die Tools dafür sind ja oft dabei.

Nun wieder ich: das ist der All-in-One-McGyver-Weltretter-Stick. Also bootet da z.B. natürlich Debian mit allerlei Tools etc. usw.

Egal was man tut, entweder schleppt man mehrere Sticks rum oder ärgert sich mit unbequemen Lösungen herum. Scheiss Bequemlichkeit......

Frohe Weihnachten!