Datei auf Server Zugang verwalten, bzw. sperren oder verstecken

Internet Internet Sicherheit
#1

Hallo liebe Spezialisten,

folgende Situation:
Wir, mein Geschäftspartner und ich, haben gerade ein Start-Up Unternehmen gegründet und wir sind dabei, das Netzwerk, Server, Zugriffsrechte, Dateistruktur…etc. festzulegen.
Alles wird auf einem Microserver auf „Microsoft-Server 2012 R2“ laufen.
Einer unser Mitarbeiter wird, neben der normalen Programmierungsarbeit auch als Systemadministrator tätig sein.
Durch seine Administratorrechte hat er natürlich einen Zugriff auf weitgehend alles, was an Daten im Netz unterwegs ist.
Wir, mein Partner und ich, wollen aber die wirklich heiklen Sachen wie Personalangelegenheiten, Kundenverträge, Kostenstrukturen, Planungen…etc. zwar zur Sicherheit auf dem Server liegen haben, aber dem Admininstrator den Einblick verwehren.

Wie mache ich das am leichtesten, das nur die Geschäftsführung auf einen bestimmten Ordner Zugriff hat??
Verschlüsseln?
Verstecken?
Kann ich mit bestimmten Zugriffsrechten auch den Administrator den Einblick verwehren?

Danke für eure Unterstützung und eine einfache Lösung.

Robert

#2

Hallo,

den Administrator kannst du nicht praktikabel aussperren. Wenn du dem Administrator nicht traust, hilft daher nur, die sensiblen Daten zu verschlüsseln.

Gruß,
Steve

#3

Hallo Steve,

vielen Dank erst mal für deine schnelle Antwort.
Es ist nicht zwingend so, dass ich unserem Admin nicht trauen würde, nur bestimmte Sachen wie Gehälter, Lebensläufe usw. gehen Ihn einfach nichts an.
Ich habe bei mir Steganos als Verschlüsselungstool auf dem Rechner, mein Geschäftspatner aber nicht. Gibt es eine Windows eigene integrierte Verschlüsselungssoftware?
Wenn nein, kannst du etwas anderes empfehlen?

Danke, Robert

1 Like
#4

Es ist nicht zwingend so, dass ich unserem Admin nicht trauen
würde, nur bestimmte Sachen wie Gehälter, Lebensläufe usw.
gehen Ihn einfach nichts an.

Dann reicht es ja, wenn du ihm sagst, das er da nicht reingucken soll, oder? :wink:

Ich habe bei mir Steganos als Verschlüsselungstool auf dem
Rechner, mein Geschäftspatner aber nicht. Gibt es eine Windows
eigene integrierte Verschlüsselungssoftware?
Wenn nein, kannst du etwas anderes empfehlen?

Ich kann da keine Empfehlung abgeben, da ich kein Windows nutze und
daher keinen Überblick über die dafür verfügbare Software habe.

Gruß,
Steve

#5

Hi,

Axcrypt. Open Source und integriert sich in die Windows Menüleiste. Rechtsklick auf eine Datei/Ordner und man kann ver-/entschlüsseln. Ist echt intutiv. Dein Partner braucht nur Axcrypt und das pw.

Tutorial: https://www.youtube.com/watch?v=6-mvyy57ASI
Download: http://www.axantum.com/AxCrypt/Default.html

Gruss
K

#6

Hallo Kasi,
das ist schon mal super, vielen Dank…ABER…ich habs gerade installiert. Anscheinend kann man da nur einzelne Datein verschlüsseln, und nicht den ganzen Ordner…bzw. wenn ich dann innerhalb des Ordners eine weitere Datei einfüge ist diese unverschlüsselt.
Mir ginge es darum, dass ich quasi den Ordner einmal mit Passwort öffne, dann darin schalten und walten kann wie ich mir vorstelle und dann danach einfach wieder den Ordner schließe, bzw. verlassen kann…und alles darunter ist kryptisiert.
Jede einzene Datei das wäre mir zu viel Aufwand.

Dennoch mal vielen Dank, ich finde das Tool sehr interessant.

LG Robert

#7

Hallo,

ja, Ordner zu schützen ist schwierig. Wenn du mehrere Dateien auf einmal (und mit dem selben Passwort) schützen willst, musst du vermutlich eine Container-Lösung nehmen.

Ist zwar, zugegen, sehr hässlich, aber vielleicht würde ein verschlüsseltes ZIP-Archiv funktionieren? Das verhält sich unter Windows ja ähnlich wie ein Ordner.

Besteht denn die Notwendigkeit gleichzeitig an den Dateien zu arbeiten? Wenn nicht könnte auch ein externer, verschlüsselter Datenträger eine Möglichkeit sein.

Du siehst, Verschlüsselung ist (leider) nicht einfach, wenn man sie in einen Arbeitsablauf
integrieren muss.

Gruß,
Steve

#8

Hi,
guck dir mal https://www.boxcryptor.com/de an, das sollte die gewünschte Funktionalität mitbringen.

Gruß

rantanplan

#9

Moin,

zunächst sei mal angemerkt das Personaldaten gemäss Datenschutzgesetz physikalisch getrennt sein müssen, somit also auf einem Server, auf den mehrere User Zugriff haben nichts zu suchen haben. Wir haben es bei uns mit verschlüsselten USB-Sticks/USB-Festplatten gelöst weil ich keine Lust habe in einer virtualisierten Umgebung mir noch autarkes Blech in den Schrank zu schieben :wink:
Der Stick muss natürlich auch gesichert werden. Wir haben dazu einen zweiten Stick im Banktresor.
Bei dieser Lösung hat der Admin definitiv keinen Zugriff und die Konformität mit dem BDSG ist auch gewährleistet.

Gruss Jakob

#10

Hallo Jakob,

super Danke für den Tipp und auch für die einfache Lösung…ich war immer auf der Schiene, dass alles zur Sicherung auf einem Raidsystem auf dem Server laufen soll…aber so finde ich es auch gut.

Beste Grüße, Robert

#11

Hallo rantanplan,

vielen Dank für diesen Tipp, kannte ich noch nicht. Obwohl ich es sehr interessant finde, so möchte ich von einer Cloudlösung eher Abstand nehmen.

Dennoch vielen Dank,

Schönen Abend, Robert

#12

Ahoi!

zunächst sei mal angemerkt das Personaldaten gemäss Datenschutzgesetz physikalisch getrennt sein müssen, somit also auf einem Server, auf den mehrere User Zugriff haben nichts zu suchen haben.

Quelle?

lg, mabuse

Fülltext Fülltext Fülltext

#13

Hi,
ist auch nicht zwingend Cloudbasiert:wink:

gruß

rantanplan

#14

Moin

zunächst sei mal angemerkt das Personaldaten gemäss Datenschutzgesetz physikalisch getrennt sein müssen, somit also auf einem Server, auf den mehrere User Zugriff haben nichts zu suchen haben.

Quelle?

Also sowas gibt es in einigen Normen schon , z.b. wenn ich einen Personalausweissserver aufsetze , der muss tatsächlich physikalisch getrennt sein und darf noch immer nicht am internet sein (wegen man in the middle angiffe) . somit ist also das Personalausweisssystem nicht übers Internet wirklich nutzbar , dewegen gilt es dort immer noch nur als Ausfüllhilfe . Es gibt also gewisse Normen die erfüllt werden sollten , aber das DatenSchutzGesetzt sagt dazu nichts . Personaldaten dürfen natürlich nicht frei zugänglich sein (sitzen ja nicht im Glaskasten auf der Arbeit) , aber Verschlüsselt und Zugriffgeschützt ist ausreichend .

#15

Moin,

Quelle?

Anlage zu §9 BDSG.

Gruss Jakob

#16

Anlage zu §9 BDSG.

Danke.

Aber: Von physikalisch getrennt als Pflicht steht da nichts.
Im Gegenteil, der letzte Satz „Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.“ ist doch eigentlich eindeutig.

lg, mabuse

#17

Also sowas gibt es in einigen Normen schon,

Normen haben für sich keine rechtliche Bedeutung - erst, wenn sich der Gesetztgeber daruf beruht.

aber das DatenSchutzGesetzt sagt dazu nichts . Personaldaten dürfen natürlich nicht frei zugänglich sein (sitzen ja nicht im Glaskasten auf der Arbeit) , aber Verschlüsselt und Zugriffgeschützt ist ausreichend.

Danke, so seh ich das nämlich auch.
Zugriff nur für die Buchhaltung und verschlüselt, damit der Admin/Sicherungsoperator keinen Unfug machen kann.

lg, mabuse

#18

Hallo zusammen,

einstweilen schon mal vielen Dank für die vielen wertvollen Informationen, das finde ich wirklich toll.

derzeit denke ich an die Erstellung einer virtuellen Festplatte um diese dann mit Steganos zu verschlüsseln. Was ich jetzt noch nicht weis ist, ob mit Steganos von zwei Rechnern aus gleichzeitig mit dem gleichen Passwort auf die virtuelle Platte zugegriffen werden kann…

Sobald ich was weiß melde ich mich.

Gruß
Robert

#19

Moin,

Aber: Von physikalisch getrennt als Pflicht steht da nichts.
Im Gegenteil, der letzte Satz „Eine Maßnahme nach Satz 2
Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand
der Technik entsprechenden Verschlüsselungsverfahren.“ ist
doch eigentlich eindeutig.

hach, wenn das in den Gesetzen immer so eindeutig stehen würde :wink:
Du hast natürlich recht, wörtlich steht das da nicht. Da interpretieren die DSB teils recht frei. Laut unserem Datenschutzbeauftragten gibt es irgendwo eine Regelung dass Personaldaten/Personalakten (höherer Schutzbedarf) physisch getrennt sein müssen. Ich werde ihn das nächste mal nach dem genauen Wortlaut fragen und auch, wo dieser zu finden ist.
Wir sichern diese Daten auf einem verschlüsselten Stick und eine Kopie vom Stick liegt im Bankschliessfach.

Gruss Jakob

#20

Hallo,

hab hier eine freundliche Antwort von Steganos (meine momentan bevorzugte Methode des verschlüsselten Datenzugriffs) bekommen.

Sehr geehrter Herr …

ja, es ist möglich, einen Safe auf einem Netzlaufwerk anzulegen und mehrere Nutzer gleichzeitig darauf zugreifen zu lassen. Dazu erstellen Sie den Safe einfach ganz normal auf dem Netzlaufwerk (eventuell müssen Sie in den Einstellungen des Programms den fortgeschrittenen Assistenten aktivieren, damit der Safe nicht standardmäßig auf C: angelegt wird und Sie den Speicherort selbst festlegen können).
Weitere Nutzer können den Safe dann mit der Import-Funktion in ihr jeweiliges Safe-Programm einbinden und normal verwenden.

Beim gleichzeitigen Zugriff ist aber zu beachten, dass immer nur der Nutzer, der den Safe zuerst geöffnet hat, auch volle Schreib- und Leserechte für das Safe-Laufwerk besitzt. Alle weiteren Nutzer, die zeitgleich auf den Safe zugreifen, erhalten nur Leserechte.

Mit freundlichen Grüßen,

Customer Support
Steganos Software GmbH