T480/s Datenschutz / Verschlüsselung

Mathew

Member
Registriert
20 Juni 2010
Beiträge
209
Grüß Euch!

Ich brauche mal wieder euren Rat:

Wegen der neuen Regelung des Datenschutzes müssen wir alle Daten von Schülern verschlüsseln ...

Kann man dazu den Sicherheitschip im T480s nutzen - oder ist der für andere Zwecke gedacht?

Falls er dazu nicht nutzbar ist - gibt es eine andere Möglichkeit die Daten zu verschlüsseln?

Herzliche Grüße und vielen Dank für eure Hilfe!

Mathias
 
Ich gehe mal davon aus, dass Du in einer Schule arbeitest ?

Macht es da nicht eher Sinn, sich mit der IT Verwaltung (sowas wie Dataport hier in Hamburg/SH) der öffentlichen Hand auseinanderzusetzen ?
Evtl. gibt es da ja schon erprobte Vorgaben die einzuhalten sind ?

Ein paar mehr Infos zur eingesetzten Applikation wären auch hilfreich.

Ansonsten könnte man in Kürze auch sagen: Die Antwort auf die Fragen lautet 2 mal ja, aber das hilft Dir noch nicht weiter.
 
Grüß Dich!

Ja, ich arbeite in einer Schule!
Verschiedene schon vorhandene Lösungen gibt es eigentlich nicht ...
Die Daten (bspw. meine Klassenliste mit Telefonnummern, also eine Worddatei, oder die Noten meiner Schüler (Exceltabelle)) sollten eben verschlüsselt sein, so dass nicht jeder, der die Festplatte/SSD ausbaut und anschließt Zugriff zu den Daten hat.

Ist Bitlocker eine Möglichkeit?

Bei uns gibt es nun den Vorschlag USB-Sticks mit Hardwareverschlüsselung einzusetzen ...

Das würde ich aber gerne vermeiden, denn das Problem mit den Daten auf meinem Laptop ist damit ja nicht gelöst - zudem ist es recht teuer ...

Herzliche Grüße

Mathias
 
Ah, es geht nur um ein Gerät, also nur um dein eigenes Laptop, oder?

Ja, ich denke, BitLocker ist da eine einfache, schnelle Möglichkeit, um das gesamte System inklusive aller Daten zu verschlüsseln.

Alternativ nur ein Container, der verschlüsselt wird. Deine Daten und das System bleiben dann unverschlüsselt, nur Daten, die du explizit in den Container legst, werden verschlüsselt. Da ist wohl "VeraCrypt" als Nachfolger des Bekannten "TrueCrypt" das richtige. Theoretisch kann man auch mit VeraCrypt das ganze System verschlüsseln. In dem Fall ist BitLocker aber wohl die einfachere Lösung.
 
Sind die Chancen dann nicht hoch, dass die Excel-Datei zusätzlich in temporären Ordnern rumschwirrt, die nicht verschlüsselt sind?
Deine Aussage stimmt potentiell bei der Verwendung eines Veracrypt-Containers. Nicht aber bei Vollverschlüsselung mit Bitlocker oder VeraCrypt, weil da ja alles, inkl. temporärer Ordner, verschlüsselt ist.

Daher wäre es vielleicht doch sinnvoll gewesen, den Teil des Beitrags zu zitieren, auf den du dich beziehst, statt den Zitatstext manuell zu löschen :rolleyes:
 
Ich denke Bitlocker wäre sicher die einfachste und günstigste Lösung - wisst ihr wie das ist, sind die Daten verschlüsselt, oder hat man nur per OS keinen Zugriff darauf.
Könnte man also die SSD ausbauen und in seinen eigenen PC einbauen und dann die Daten einfach auslesen - oder geht das nicht?
 
wisst ihr wie das ist, sind die Daten verschlüsselt, oder hat man nur per OS keinen Zugriff darauf.
Die Daten sind verschlüsselt. Das ist nicht nur eine Zugriffsbeschränkung.
Könnte man also die SSD ausbauen und in seinen eigenen PC einbauen und dann die Daten einfach auslesen - oder geht das nicht?
Ja, man kann die SSD auch woanders einbauen, an die Daten kommt man aber auch dann nur mit dem Passwort und/oder dem Recovery-Key.
 
Ah sehr gut!
Habe gerade ein wenig zu Bitlocker recherchiert ... was wohl ein wenig unpraktikabel ist: Wenn man das Laufwerk "geöffnet" hat ist es offen bis man einen Neustart macht.
Da ich eigentlich nie neustarte, sondern "immer" nur im Standbye-Betrieb arbeite bräuchte ich hier noch eine gute Lösung.

Man hat auch die Möglichkeit anstatt eines Passwortes eine Smartcard zu nehmen, wäre das interessant? [Das T480s hat doch eine passende Schnittstelle nicht wahr?]

Vielen Dank für Eure Rückmeldungen!

Herzliche Grüße

Mathias

P.S. Wozu ist eigentlich dieser Sicherheitschip da?
 
Ah sehr gut!
Habe gerade ein wenig zu Bitlocker recherchiert ... was wohl ein wenig unpraktikabel ist: Wenn man das Laufwerk "geöffnet" hat ist es offen bis man einen Neustart macht.
Da ich eigentlich nie neustarte, sondern "immer" nur im Standbye-Betrieb arbeite bräuchte ich hier noch eine gute Lösung.

Man hat auch die Möglichkeit anstatt eines Passwortes eine Smartcard zu nehmen, wäre das interessant? [Das T480s hat doch eine passende Schnittstelle nicht wahr?]

Vielen Dank für Eure Rückmeldungen!

Herzliche Grüße

Mathias

P.S. Wozu ist eigentlich dieser Sicherheitschip da?

Nach dem Standby greift dann das BenutzerPasswort.
 
Irgendwie war ich da wohl etwas blauäugig aber bisher ging ich davon aus dass doch hoffentlich die öffentlichen Schulen so oder so ihren Lehrkräften Programme zur Verfügung stellen, die eine Eingabe der oben genannten Daten (Telefonnummern, Noten) auf einer allgemeingültigen Plattform zur Verfügung stellen und diese dann auch verschlüsseln......

Irgendwie schockt mich das gerade...

Zum eigentlichen Thema:
Ich würde zu VeraCrypt raten und dann eine eigene Festplattenpartition auf dem betreffenden Laptop eben direkt für die gedachten Aufgaben erstellen und diese verschlüsseln.
Alternativ wäre AxCrypt wohl noch eine Möglichkeit um nicht die gesamte Festplatte(npartition) sondern nur einzelne Ordner und Dateien zu verschlüsseln.
Oder wenn gewollt kann man natürlich auch Beides nehmen...
 
Irgendwie war ich da wohl etwas blauäugig aber bisher ging ich davon aus dass doch hoffentlich die öffentlichen Schulen so oder so ihren Lehrkräften Programme zur Verfügung stellen, die eine Eingabe der oben genannten Daten (Telefonnummern, Noten) auf einer allgemeingültigen Plattform zur Verfügung stellen und diese dann auch verschlüsseln......
Irgendwie schockt mich das gerade...

Im Gegenteil - Schulen sind Unternehmen mit den höchsten Ansprüchen an die IT und dem geringsten Geld für eine solche. Die Ansprüche schreien nach zentraler Zertifikatsverwaltung und Smartcards, verschlüsselter Server und ebenfalls gesicherter Datenübertragung. Nix davon wird jemals Realität. Wenn Bitlocker oder Veracrypt aktiviert wird steht das Passwort auf irgendeinem Zettel und die Schule verzweifelt wenn der Computer ne Macke hat oder der Zettel weg ist.... keine Recovery Agents, keine Schlüsselsicherung.... Leider bittere Realität. Die IT macht nämlich irgendein Lehrer oder Mitglied des Elternbeirats in seiner Freizeit.
 
Im Gegenteil - Schulen sind Unternehmen mit den höchsten Ansprüchen an die IT und dem geringsten Geld für eine solche. Die Ansprüche schreien nach zentraler Zertifikatsverwaltung und Smartcards, verschlüsselter Server und ebenfalls gesicherter Datenübertragung. Nix davon wird jemals Realität. Wenn Bitlocker oder Veracrypt aktiviert wird steht das Passwort auf irgendeinem Zettel und die Schule verzweifelt wenn der Computer ne Macke hat oder der Zettel weg ist.... keine Recovery Agents, keine Schlüsselsicherung.... Leider bittere Realität. Die IT macht nämlich irgendein Lehrer oder Mitglied des Elternbeirats in seiner Freizeit.
Ich gebe Dir da vollkommen recht: Soviel zum Thema Digitalisierung in Schulen. Das wird alles nur noch schlimmer hoch 3, wenn jeder Schüler ain Tablet in die Finger bekommen sollte.....
Eigenlich bräuchten wir dann plötzlich geschätzt 20.000 IT Admins in D: Für jede Schule einen Eigenen.....
 
Zuletzt bearbeitet:
Guten Morgen!

Vielen Dank für Eure Beiträge.
Worin wir uns alle einig sind ist, dass ich eine eigene Partition für die Daten benutzen werde.
Ich frage mich nur gerade, ob ich nicht noch eine eigene Partition erstellen soll - die dann aber nicht groß ist - immerhin sind die Daten, die verschlüsselt werden sollen alle nicht über ein paar GB ...
Materialien und Arbeitsblätter müssen ja nicht verschlüsselt werden :)

OFFTOPIC

Oh da habe ich ja was ausgelöst ...
Also bis vor kurzem wurde die IT tatsächlich von einem Kollegen erledigt, nachdem nun der Server umgebaut wurde und neue WLAN-Netze zur Verfügung stehen haben wir tatsächlich einen Vertrag mit einer IT-Firma.
Aber wir sind keine öffentliche Schule ... ich denke wir stehen schon ziemlich "gut" da.
Programme um Noten und Schüleradressen etc. abzuspeichern habe ich noch nie zur Verfügung gestellt bekommen.

Im Sekretariat sieht das natürlich anders aus ;-)

Ende OFFTOPIC

Einen guten Tag Euch!

Mathias
 
Zuletzt bearbeitet:
Nachdem ich oben im Thread falsch zitierte, habe ich mich aus dem Thread herausgehalten.

Ich selbst hantiere bei einer NGO mit recht vielen Adressen und Mails. Datenbank und Mails sollten auch besser nicht an die Öffentlichkeit gelangen.
Mein Ansatz: Ein verschlüsselter Ordner. In dem Ordner liegt eine VirtualBox-VM. In dieser VM läuft ein Windows, Office, Thunderbird und Firefox.
Ich kann nicht beurteilen, wie sicher die Lösung tatsächlich ist, aber wenn jemand mein Notebook findet, wüsste ich nicht, wie er an die Daten in der VM kommen sollte.
 
Also Lösung für dich wurde konkret genannt - Bitlocker für eine Gesamtverschlüsselung des Notebooks. Es hat faktisch keine Leistungseinbußen und ist vom Bedienkomfort problemlos.
Passwort/Verschlüsselungspassphrase/Recoverykey gut gesichert (Tresor, evtl. Schule) ablegen und du bist vor Diebstahl sicher.
Alternativ Veracrypt - auch hier eine komplette Verschlüsselung des Systems. Mit Containern brauchst du nicht anfangen - die machen für Office keinen Sinn.
 
Habe gerade ein wenig zu Bitlocker recherchiert ... was wohl ein wenig unpraktikabel ist: Wenn man das Laufwerk "geöffnet" hat ist es offen bis man einen Neustart macht.
Da ich eigentlich nie neustarte, sondern "immer" nur im Standbye-Betrieb arbeite bräuchte ich hier noch eine gute Lösung.
Naja, der Standby-Modus ist ja genau dafür da: Das Gerät bleibt in Betrieb und kann direkt weiter benutzt werden, wenn man es aus dem Standby wieder aufweckt. Daher hast du das Problem bei den meisten Verschlüsselungslösungen. Im Standby wird nicht gesperrt. Da bleiben dann sonst nur Lösungen übrig, die auf dem Login von Windows basieren wie z.B. EFS von Windows. EFS kann aber auch so seine Fallstricke haben, BitLocker und VeraCrypt wären da einfacher, können aber eben nicht im Standby sperren.

Man kann natürlich einen VeraCrypt-Container anlegen und diesen vor jedem Standby manuell "auswerfen". Benutzerfreundlich ist das aber nicht gerade.

Ich denke, du solltest dir angewöhnen, deinen Laptop stets in den Ruhezustand zu versetzen oder es ganz runterzufahren wenn du es nicht nutzt. Dann funktionieren die gängigen Verschlüsselungsverfahren nämlich.

Man hat auch die Möglichkeit anstatt eines Passwortes eine Smartcard zu nehmen, wäre das interessant? [Das T480s hat doch eine passende Schnittstelle nicht wahr?]
Ja, dein T480s müsste den Slot haben. Ob das für dich interessant ist, musst du wohl selbst entscheiden ;)
P.S. Wozu ist eigentlich dieser Sicherheitschip da?
Der kann z.B. überprüfen, ob dein Laptop "verändert" wurde (Hardwareseitig) und dann fordert Bitlocker statt des Passworts den ganzen Recovery-Key. Theoretisch kann man dann sogar auf die Passworteingabe verzichten, so dass man gar nicht merkt, dass das System verschlüsselt ist - wenn jemand die HDD/SSD ausbaut, kommt er aber nicht an die Daten. Bootet man das Gerät aber einfach ganz normal, kommt man natürlich auch ganz normal bis zum Login.
Aber man könnte sehr stark vereinfacht sagen, dass der Sicherheitschip (TPM) einige Features von Bitlocker überhaupt erst ermöglicht und einige Features etwas verbessern kann.

Worin wir uns alle einig sind ist, dass ich eine eigene Partition für die Daten benutzen werde.
Warum gleich eine eigene Partition? Dafür gibt es Ordner, Container, ...
Ich frage mich nur gerade, ob ich nicht noch eine eigene Partition erstellen soll - die dann aber nicht groß ist - immerhin sind die Daten, die verschlüsselt werden sollen alle nicht über ein paar GB ...
Nö.
Alternativ Veracrypt - auch hier eine komplette Verschlüsselung des Systems. Mit Containern brauchst du nicht anfangen - die machen für Office keinen Sinn.
Warum machen Container für Office keinen Sinn?
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben