T480/s Datenschutz / Verschlüsselung

Für den Angriff muß über den Debug-Port im Inneren der SSD eine speziell präparierte Firmware eingespielt werden.
Damit sehe ich diese Sicherheitslücke nicht als besonders relevant für die hier beschriebene Umgebung.
Erst recht nicht, wenn der Hersteller bereits eine gefixte Firmware bereitgestellt haben sollte.
 
+1. Gilt auch für den Cryo-Angriff.
Wir reden hier Schülerdaten und der DSGVO, nicht von DENEN.
 
+1. Gilt auch für den Cryo-Angriff.
Wir reden hier Schülerdaten und der DSGVO, nicht von DENEN.
Bei DENEN hat man noch andere Probleme ... aber warum nicht Bitlocker im Softwaremodus ?!?

Microsoft Security Advisory for self-encrypting drives - gHacks Tech News:

https://www.ghacks.net/2018/11/07/microsoft-security-advisory-for-self-encrypting-drives/

oder

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid:

https://www.veracrypt.fr/en/Home.html
 
Siehe anderer Thread, den ich verlinkt hatte.
Warum Bitlocker im Fall einer FDE-SSD? Kein relevanter Sicherheitsgewinn, min8mal höhere Prozessorlast samt emtsprechender Folgen, Handling vergleichbar. Wenn die SSD FDE nicht kann, spricht nichts gegen Bitlocker.
 
Guten Morgen,

vielen Dank für die zahlreichen Antworten!

@Quichote:
Ich habe folgende SSD verbaut: Lenovo Toshiba 512GB SSD PCIe 00UP547 KXG5AZNV512G XG5

Kann die SSD verschlüsseln?

@cuco:
Also ich dachte es wäre "sicherer", wenn man eine ganze Partition verschlüsselt.
Wenn dem nicht so ist, würde ich wohl einfach mein MEGA Ordner verschlüsseln, bei MEGA wird es ja auch online verschlüsselt.

@cuco, mcb:
Nochmal zum Standby: Ich habe gesehen, dass man wohl recht einfach eine BAT-Datei anlegen kann, die den Ordner sperrt - wenn ich nach dem Standby weiterarbeiten will, greift bei mir der Fingerabdrucksensor - wie sicher ist denn der?
Könnte man also den verschlüsselten Ordner offen lassen oder sollte man ihn einfach immer sperren?

@Quichote, martina:
Wer sind "DENEN"? [Meint ihr die Sicherheitsforscher, in dem Link?]

Herzlichen Dank und freundliche Grüße

Mathias
 
Ich habe folgende SSD verbaut: Lenovo Toshiba 512GB SSD PCIe 00UP547 KXG5AZNV512G XG5

Kann die SSD verschlüsseln?
Auch wenn ich mir nicht sicher bin, kann ich dir eines sagen: Auch hier würde die Verschlüsselung nur dann "gesperrt", wenn du den Rechner in den Ruhezustand versetzt oder ausschaltest.

@cuco:
Also ich dachte es wäre "sicherer", wenn man eine ganze Partition verschlüsselt.
Wenn dem nicht so ist, würde ich wohl einfach mein MEGA Ordner verschlüsseln, bei MEGA wird es ja auch online verschlüsselt.
Am sichersten ist, wenn du das ganze System verschlüsselst. Sonst kann es durchaus sein, dass z.B. temporäre Dateien/Kopien von deinen geöffneten Dokumenten auch in den unverschlüsselten Bereichen liegen. Die lassen sich dann direkt öffnen oder mit einfachen Mitteln wiederherstellen. Daher ist eine Verschlüsselung, die ordnerbasiert arbeitet, durchaus etwas unsicher. Eine ganze Partition oder einfach einen Container zu verschlüsseln ist da vielleicht etwas sicherer, oft aber kein Unterschied. Sauber wäre wirklich nur, dein gesamtes System vollständig zu verschlüsseln. Das ist die einzige Variante, die wirklich sicher ist. Aber dafür musst du deinen Rechner runterfahren/in den Ruhezustand versetzen und nicht immer nur in den Standby.

Ob es eigentlich überhaupt legal ist, die Daten an einen Cloud-Hoster zu übermitteln, ist übrigens nochmal eine andere Frage...
@cuco, mcb:
Nochmal zum Standby: Ich habe gesehen, dass man wohl recht einfach eine BAT-Datei anlegen kann, die den Ordner sperrt - wenn ich nach dem Standby weiterarbeiten will, greift bei mir der Fingerabdrucksensor - wie sicher ist denn der?
Könnte man also den verschlüsselten Ordner offen lassen oder sollte man ihn einfach immer sperren?

Bei Windows EFS würde das passieren. Auch ganz ohne .bat-Datei. Aber eben auch relativ unsicher. Was du sonst mit "sperren" meinst, weiß ich hier nicht. Auf jeden Fall ist so ein Fingerabdruckscanner nicht sehr sicher. Siehe: https://www.heise.de/security/meldu...und-von-der-Leyens-Fingerabdruck-2506929.html oder die Anleitung hier: https://www.ccc.de/de/campaigns/aktivitaeten_biometrie/fingerabdruck_kopieren
Das Problem daran: Ein Passwort kann man ändern. Einen Fingerabdruck nicht. Ein Fingerabdruck sollte daher nur als Komfort-Feature zur Authentifizierung angesehen werden, keinesfalls als Sicherheitsmerkmal. Als "Entschlüsselungspasswort" ist so ein Fingerabdruck daher ziemlich ungeeignet.
@Quichote, martina:
Wer sind "DENEN"? [Meint ihr die Sicherheitsforscher, in dem Link?]
Ich denke, hier waren keine konkrete Personen gemeint, sondern allgemein alle Personen, vor denen Aluhutträger Angst haben. Es ging also darum, dass du dich nicht vor polizeilichen Ermittlungen, Geheimdiensten, Spionage durch Industrie oder andere Länder oder sonstigen schützen möchtest, sondern einfach "nur" deine Daten DSGVO-konform schützen möchtest.
 
Ob es eine gute Idee ist Schülerdaten bei Mega zu speichern ?!?

Zum Laptop: Ich würde Windows mit Bitlocker im softwaremodus betreiben und das Windows Login passwort verwenden wenn die Kiste unbeaufsichtigt läuft/ist (Win + L)

-> Hilft vor DENEN nur bedingt, vor allen anderen sehr gut ...

Mit DENEN sind Geheimdienste und Co gemeint, jedenfalls bei mir :thumbsup:
 
Grüß Euch,

entschuldigt, dass ich mich gar nicht mehr gemeldet habe, bei mir war ziemlich viel los...

Vielen Dank für Eure Beiträge!

Ich denke ich werde Bitlocker einfach mal ausprobieren, manche Dinge klären sich dann von alleine.
Noch kurz zu Mega, ich habe dort Excel Tabellen mit Vornamen und Noten, das sollte doch kein Problem sein oder?
Zudem werden die Ihalte bei Mega verschlüsselt - ist das nicht sicher?

Mit freundlichen Grüßen - Euch noch einen guten Tag!

Mathias
 
Noch kurz zu Mega, ich habe dort Excel Tabellen mit Vornamen und Noten, das sollte doch kein Problem sein oder?
Zudem werden die Ihalte bei Mega verschlüsselt - ist das nicht sicher?
Die Verschlüsselung liegt komplett in der Hand des Anbieters (Betreiber von Mega). D.h. dieser kann theoratisch alle Inhalte einsehen.

Die Verschlüsselung von solchen Angeboten sollte man daher eher als Transportverschlüsselung sehen: Dritte können den Inhalt nicht abfassen, während die Daten von dir zu Mega oder von Mega zu dir übertragen werden. Auf den Servern von Mega hast du aber keine Kontrolle und daher keine Gewissheit, ob andere die Inhalte einsehen können.

Wenn du Daten verschlüsselt bei Dritten ablegen willst, solltest du derjenige sein, der die Verschlüsselung kontrolliert, also diese (manuell oder per Anwendung) auf deinem Rechner vornehmen, bevor du die Daten dem Dritten übergibst.
 
Grüß Dich Moronoxyd,

Hmm, ich meine gelesen zu haben, dass der Betreiber die Verschlüsselung selbst nicht entschlüsseln kann.
Wenn ich das noch richtig weiß wurde ihm vorgeworfen Mega sei ein Platz, an dem auch illegale Dinge getauscht und gedownloadet werden - um sich davor zu schützen hat er die Verschlüsselung eingebaut - damit er sagen kann, er weiß selbst nicht, "Was" da alles auf seinen Servern liegt...

Ob das nun aber die Wahrheit ist, das weiß ich natürlich auch nicht.

Vorsichtig zu sein ist sicher nie verkehrt!

Vielen Dank und freundliche Grüße

Mathias
 
Guten Morgen,

vielen Dank für die zahlreichen Antworten!

@Quichote:
Ich habe folgende SSD verbaut: Lenovo Toshiba 512GB SSD PCIe 00UP547 KXG5AZNV512G XG5

Kann die SSD verschlüsseln?

@cuco:
Also ich dachte es wäre "sicherer", wenn man eine ganze Partition verschlüsselt.
Wenn dem nicht so ist, würde ich wohl einfach mein MEGA Ordner verschlüsseln, bei MEGA wird es ja auch online verschlüsselt.

@cuco, mcb:
Nochmal zum Standby: Ich habe gesehen, dass man wohl recht einfach eine BAT-Datei anlegen kann, die den Ordner sperrt - wenn ich nach dem Standby weiterarbeiten will, greift bei mir der Fingerabdrucksensor - wie sicher ist denn der?
Könnte man also den verschlüsselten Ordner offen lassen oder sollte man ihn einfach immer sperren?

@Quichote, martina:
Wer sind "DENEN"? [Meint ihr die Sicherheitsforscher, in dem Link?]

Herzlichen Dank und freundliche Grüße

Mathias

Hallo,

so wie ich das lese, kann die SSD keine Hardwareverschlüsselung. Damit bist Du bei Biltlocker. Und ja: Mit „Denen“ meinte ich genau die, die Aluhutträgern Angst machen. NSA, KGB (oder glaubt Ihr, der sei abgeschafft?), Illuminaten, Gnome von Zürich und die freiwillige Feuerwehr.

Personenbezogene Daten in der Cloud finde ich zumindest nicht unmittelbar unproblematisch, zumal bei einem solchen Hoster. Es gibt in einigen Bundesländern entsprechende Initiativen im Bildungssektor, vieleicht fragst Du da mal bei Deinem Dienstherren nach?

Gruß

Quichote
 
MEGA verschlüsselt die Daten vor dem Hochladen und entschlüsselt sie wieder beim Herunterladen. Die Clients dafür sind OpenSource, hier z.B. das Webinterface: https://github.com/meganz/webclient
Ich denke, man kann denen also zumindest etwas vertrauen.

Ich habe zwar selbst auch einen Mega-Account, weil das die einfachste Art und Weise war, um mal eben auch größere Datenmengen (in dem Fall Entwicklungen von/für/mit Android-ROMs) hochladen und verteilen zu können. Grundsätzlich wäre ich aufgrund der Geschichte von MEGA aber auch sehr vorsichtig. Beispiel: https://winfuture.de/news,91983.html
Und ansonsten muss man wohl nicht viel zur Geschichte sagen - Megaupload war *die* Plattform für Urheberrechtsverstöße. Und Mega ist nun mal vom gleichen Gründer und vermutlich mit sehr ähnlichen Zielen. Ist schon eine kleine "Schmuddelecke" des Internets, auch wenn man Mega grundsätzlich ganz legal benutzen kann.

Aber ich würde für solche Daten auch lieber auf andere Dienste zurückgreifen.
 
"Hardwareverschlüssung" ist wohl die falsche Bezeichnung, eine SSD hat ein eingenes OS - und ob man zu 100% der Verschlüsselung eines unbekannten OS vertraut?
 
Irgend jemanden muss man vertrauen oder alles selbst machen.

Softwareproduzenten kann man nicht trauen, Hardwareproduzenten kann man nicht trauen, Betreibern von Cloud System kann man nicht trauen. Dem Staat sowieso nicht.;)

Ihr seht das Dilemma des Threaderstellers @Mathew?


Wenn @Mathew nun die Daten nur DSGVO konform speichern will, kommt er um eine Änderung seiner Gewohnheiten nicht herum, Bitlocker nutzen und regelmäßig seinen Rechner runterfahren bzw. in den Ruhezustand versetzen.
 
Wenn @Mathew nun die Daten nur DSGVO konform speichern will, kommt er um eine Änderung seiner Gewohnheiten nicht herum, Bitlocker nutzen und regelmäßig seinen Rechner runterfahren bzw. in den Ruhezustand versetzen.

Mal die blöde Frage: warum eigentlich (im Kontext des hier vorhandenen Sicherheitsbedürfnisses) ? Solange Bitlocker aktiviert ist und das benutzte Computerkonto mit einem Password geschützt ist, sollte doch den Anforderungen genüge getan sein. Wenn der Rechner im Standby ist, und aufgeweckt wird, stellt (sofern das Passwort nicht 12345 ist, oder irgendwo auf dem Gerät klebt) die Windows-Anmeldung doch eine ausreichende Hürde da. Wenn die SSD ausgebaut wird, muss sie zwingend von der Energieversorgung getrennt werden > der Schutz durch Bitlocker greift. Oder übersehe ich da was ?
 
Wenn der PC so eingestellt ist, dass der Sperrbildschirm unmittelbar nach dem Aufwachen kommt, damit das Passwort oder die mindestens 6-stellige PIN eingegeben werden muss.
Aus der Hibernation bzw. Standby kann eine Attacke klappen (sagen unsere Admins und alle bisher von mir gelesenen Schriftstücke zu dem Thema)
 
Wenn der PC so eingestellt ist, dass der Sperrbildschirm unmittelbar nach dem Aufwachen kommt, damit das Passwort oder die mindestens 6-stellige PIN eingegeben werden muss.
Aus der Hibernation bzw. Standby kann eine Attacke klappen (sagen unsere Admins und alle bisher von mir gelesenen Schriftstücke zu dem Thema)

Deswegen die Frage nach dem Kontext: wie wahrscheinlich ist es, dass jemand mit diesen Mitteln an die paar Schülerdaten herankommen will ?

@Ersteller:
Einfach Bitlocker für die Systempartition anwerfen (und den Wiederherstellungschlüssel sicher aufbewahren), und ein halbwegs vernünftiges Passwort haben (und das gerne auch mal alle 1/2 Jahr ändern) und fertsch.
Die Idee mit Mega als Backup-Ziel scheint mir ein bisschen unausgegoren: Verschlüsselung mal kurz hinten an gestellt, ich würde kein Backup bei einem Hoster haben wollen, über dem Beständig das Damokles-Schwert, wegen Copyright-Verstössen aus dem Netz genommen zu werden, hängt.
 
In Baden-Württemberg gilt die Systemverschlüsselung mit Veracrypt als Mittel der Wahl für die Verarbeitung personenbezogener Daten durch Lehrer. Auf allen halbwegs modernen Prozessoren, auf denen AES unterstützt wird, kostet das nahezu keine Leistung und ist zulässig, WENN die Schulleitung das entsprechende Gerät schriftlich genehmigt hat (dazu gibt es bei uns ein Musterformular, auf dem man angibt, wie man das Gerät schützt und was man verarbeitet).

Backups in der Cloud sind m.W. grundsätzlich eher problematisch. Ich würde personenbezogene Daten (von denen braucht man eh nur eine Handvoll für die Noten) lieber manuell sichern, z.B. in einen Veracrypt-Container auf USB. Ich mache das einmal vor jeden Ferien, das kostet mich fünf Minuten und im Schadensfall ist der Aufwand begrenzt.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben