Verständnisproblem: Können Daten auf einem NAS auch gegen lesen geschützt sein?

  • Moin zusammen,

    ich habe gerade ein massives Problem die Shield eines Freundes aufzusetzen. Ich bin da wahrlich kein Fachmann, aber mit Hilfe von den Apps "Backuo" und "Skin Backup" bin ich bei mir zu Hause in der Lage innerhalb sehr kurzer Zeit eine Shield komplett neu aufzusetzen. Nun versuche ich das gerade bei einem Bekannten über Telefon, der zu weit weg wohnt, als dass ich ihn persönlich aufsuchen könnte, seine Shield einzurichten.

    Seine Video/Audio Daten befinden sich in einer eigenen Partition auf einem NAS, der in einer weiteren Partition Patientendaten seiner Praxis hat. Diese müssen natürlich absolut sicher gegen Ausspähen gesichert sein.

    Nun habe ich folgendes Problem:

    Auf der kodi Partition habe ich von meinem Freund neben den Musikvideos und Musikdaten einen weiteren Ordner namens "kodi" anlegen lassen. Darin befinden sich die weiteren Ordner "Backup" und "Skinbackup" In diesen Ordnern sind entsprechende Daten vorhanden. Neben diesen Ordnern ist ein weiterer Ordner namens "Apps"

    vorhanden, in dem sich u.a. die kodinerd repo als zip File befindet. Das Problem ist nun, dass das Aufspielen dieser Daten einwandfrei funktionierte, er aber keine Leseberechtigung für diese Daten hat. Kenne ich persönlich gar nicht. Ich kannte bisher nur read only bzw r/w. Natürlich macht das Verhindern durch Lesen vom Daten in seinem Fall durchaus Sinn. Kann man wirklich auf einem NAS das AUSLESEN von Daten unterbinden?

  • Android ist ein unixoides Betriebssystem

    Unter unixoiden Betriebssystemen ist ALLES eine Datei.

    Ein NAS hat meist ein unixoides Betriebssystem als Basis (oftmals Debian)

    Dateien unter Linux sind einem Benutzer (Besitzer) und einer Gruppe zugewiesen.

    Sehr gut sieht man das an folgenden beiden Dateien:

    -rw-------. 1 davu davu 3389 7. Mär 2022 id_rsa

    und

    -rw-r--r--. 1 davu davu 752 7. Mär 2022 id_rsa.pub

    Wir gehen hier erstmal nur auf das davu davu ein Das erste "davu" ist der Eigentümer/Besitzer der Datei. Das zweite "davu" ist die Gruppe.

    Davor siehst du sowas: -rw-------. Das sind insgesamt 10 Stellen. 1 für die Art der Datei (in dem Fall ein "-" da es sich um eine "reguläre" Datei handelt. Wäre es ein Ordner, dann stünde dort ein "d" für "directory"), 3 für den Besitzer, 3 für die Gruppe, 3 für "den Rest der Welt". In dem Fall hat der User "davu" auf die Datei "id_rsa" (was mein persönlicher und privater SSH-Key ist) Berechtigungen diese Datei zu lesen und zu schreiben/löschen (rw-). Das Recht welches fehlt wäre das Recht die Datei auszuführen. Da es aber keine ausführbare Datei ist, ist das obsolet. Bei ausführbaren Dateien stünde dort dann ein "x"...und in Summe rwx.

    Weder User in der Gruppe "davu" (ja...verschiedene User können verschiedenen Gruppen angehören) noch "der Rest der Welt" (abgesehen von "root") darf diese Datei lesen, schreiben/löschen oder ausführen

    Die zweite Datei id_rsa.pub ist der öffentliche Teil meines Schlüssels, den jeder haben und sehen darf. Die Berechtigungen sehen wie folgt aus: -rw-r--r--

    Hier hat der User "davu" wieder die Berechtigung die Datei zu lesen und zu schreiben/löschen. User, die der Gruppe "davu" angehören, sowie auch der "Rest der Welt" dürfen diese Dateien ausschließlich lesen.

    Wenn das nicht verständlich war, dann bitte das hier lesen:

    Benutzer und Gruppen › Wiki › ubuntuusers.de

    Rechte › Wiki › ubuntuusers.de

    chmod › Wiki › ubuntuusers.de

    chown › Wiki › ubuntuusers.de

    Ich gehe so hart auf Linux ein, weil das NAS von deinem Kumpel auch ein Betriebssystem hat und dieses wird auch auf Linux basieren.

    Kann man wirklich auf einem NAS das AUSLESEN von Daten unterbinden?

    Ja...selbstverständlich. Das ist das Grundprinzip weswegen es Benutzer auf dem NAS gibt und für diese Benutzer auch Passworte vergeben werden. Es kommt aber noch ein wenig darauf an, welches Sharing- bzw. Netzwerkprotokoll man da nimmt (SMB oder NFS). Wir gehen hier jetzt mal einfach von SMB aus, da das die meisten verwenden.

    SMB gibt es in verschiedenen Versionen und ist den meisten aus der Windows-Welt bekannt. Bei SMB1 konnte man die Daten noch anonym auslesen. Das heißt es war Windows egal wer darauf zugreift. Das hat sich mit SMB2 geändert und es bedarf einer Authentifizierung. Durch die Authentifizierung hat der User eine ID und auch eine Gruppe, der er zugehört. Möchte der User eine Datei auslesen, die für seine UserID oder seine Gruppe nicht freigegeben ist (und auch für den "Rest der Welt" nicht), hat der User kein Leserecht auf diese Datei. In Firmen ist das völlig normal. Denn ich möchte ja auch verhindern können, dass User "A" Dateien von User "B" lesen kann, da ihn das potentiell gar nichts angeht.

    Sollte man NFS als Netzwerkprotokoll gewählt haben, dann kann man bei der Konfiguration des Shares festlegen unter welchem Benutzer die Dateien auf das NAS geschrieben werden. Nehmen wir an, dass ich "davu" eine Datei auf das NAS schreiben möchte. Diese Datei ist eine Datei, die auch für alle anderen lesbar gemacht werden soll. Dann konfiguriere ich den Share so, dass Dateien, die darauf geschrieben werden automatisch einer bestimmten Benutzergruppe und eine bestimmten Gruppe zugewiesen werden. Das macht man mit anonuid und anongid

    "/mnt/user/Bilder" -fsid=106,async,no_subtree_check *(rw,sec=sys,insecure,anongid=100,anonuid=99,all_squash)

    In dem Fall ist die GruppenID (anongid) 100 und die UserID (anonuid) 99. Der User ist "nobody" und die Gruppe ist "users":

    Code
    oot@Unraid:~# cat /etc/passwd | grep -i 99
    nobody:x:99:100:nobody:/:/bin/false
    root@Unraid:~# cat /etc/group | grep -i 100
    users:x:100:
    root@Unraid:~# 

    Somit ist gewährleistet, dass Dateien, die ich darauf schreibe nachher auch von allen gelesen werden können:

    Code
    root@Unraid:/mnt/user/movies/DIE_WELLE# ls -al
    total 4399962
    drwxrwxrwx 1 nobody users        216 Jun 14  2020 ./
    drwxrwxrwx 1 nobody users       6128 Jun 26  2022 ../
    drwxrwxrwx 1 nobody users        280 Jun 14  2020 .actors/
    -rw-r--r-- 1 nobody users     215176 Jun 13  2020 DIE_WELLE-fanart.jpg
    -rw-r--r-- 1 nobody users     116752 Jun 13  2020 DIE_WELLE-poster.jpg
    -rw-rw-rw- 1 nobody users 4500815872 Jan 19  2011 DIE_WELLE.iso
    -rw-rw-rw- 1 nobody users       6926 Jun 13  2020 DIE_WELLE.nfo
    root@Unraid:/mnt/user/movies/DIE_WELLE# 


    Seine Video/Audio Daten befinden sich in einer eigenen Partition auf einem NAS, der in einer weiteren Partition Patientendaten seiner Praxis hat

    Wenn ich das lese, dann wird mir ganz übel. Private und Patientendaten (welche einem höchst besonderem Schutz unterliegen MÜSSEN!!!!!!!) auf ein und der gleichen Hardware zu betreiben (das NAS) und dazu offensichtlich wenig Ahnung von Berechtigungen und deren Funktion zu haben, ist das schlechteste Verhalten, welches man als Praxisinhaber an den Tag legen kann. Und ich spreche da Datenschutztechnisch ein klein wenig aus Erfahrung. Meine Partnerin hat ihre eigene Physiotherapie-Praxis und eine enge Freundin ist Psychotherapeutin. Da stellen sich sehr sehr ähnliche Fragen. Private Daten gehören auf private Hardware und da habe Patientendaten nichts verloren. Wenn das mal schief geht, geht deinem Kumpel mal so richtig der Arsch auf Grundeis. Das nur nebenbei bemerkt und sollte als "nett gemeinter Hinweis" verstanden werden ;) .

    Um dein Problem aber nun nachhaltig zu lösen und deinem Kumpel die Dateien lesbar zu machen....

    Ich würde mich per SSH auf das NAS aufschalten und mir die Datei(en) anschauen. Dann würde ich schauen, welchem Besitzer schon vorhandene Dateien angehören und welcher Gruppe diese Dateien zugewiesen sind und dann als "root"-User des NAS mit den Befehlen

    chown <user> <gruppe> <datei>

    oder

    chmod 0644 <datei>

    die Berechtigungen anpassen.

  • Moin DaVu, vielen Dank für Deine sehr ausführliche Antwort. Ich habe sie gerade eher überflogen, weil ich morgen sehr früh raus miss. Ich leite Deine Antwort (Dein Einverständnis vorausgesetzt) an Ihn weiter. Ich habe meinen Freund so verstanden, dass es für ihn auf einen eigenen Praxis Daten NAS hinausläuft.

  • Ich schreibe meine Postings in einem öffentlichen Forum. Die kann hier jeder lesen. Auch dein Kumpel :D ;)

    Selbst wenn ich was dagegen hätte, könnte ich es gar nicht verhindern, dass er es liest ;)

  • Bei sowas wie Patientendaten wuerde ich wahrscheinlich sogar nach einer Cloudstorage Loesung gucken, statt eigenes NAS. Das ist zwar unsicherer und unzuverlaessiger, und unbequemer und eigentlich alles un* was man sich vorstellen kann, aber wenn man da einen passenden Anbieter nimmt, der sowas fuer den Fall Patientendaten anbietet, dann hat man sich fein aus der rechtlichen Verantwortung herausgewunden, mit den Daten verantwortungsvoll umzugehen. Was die meisten nicht-technies ja nicht koennen, weil sie keine Ahnung haben. Hoert sich bekloppt an, aber sobald man so eine komplizierte rechtliche Verantwortung hat,wie Patientendaten, sollte man am ehesten danach gehen, was einem rechtlich am wenigsten auf die Fuesse fallen kann. Idealerweise sollte es natuerlich auch Dienstleister geben, die so ein NAS in der Praxis aufstellen und betreiben, das waere noch am besten. Aber ich wette mal, das alles mit vor-Ort immer teurer ist. Vielleicht/hoffentlich taeusche ich mich.

  • Je nachdem, um welche Form einer Praxis es sich handelt, bestehen da schon längt gewisse Vorgaben. Da gibt es sowas wie die TI (Telematik Infrastruktur). Meine Freundin als Physiotherapeutin muss das "noch" nicht machen. Wird aber kommen. Ich finde aber, wir sollten das Thema "Patientendaten" hier nicht zu sehr ausweiten. Da es dann doch ein wenig am Thema vorbei geht.

  • Bei sowas wie Patientendaten wuerde ich wahrscheinlich sogar nach einer Cloudstorage Loesung gucken, statt eigenes NAS. Das ist zwar unsicherer und unzuverlaessiger, und unbequemer und eigentlich alles un* was man sich vorstellen kann, aber wenn man da einen passenden Anbieter nimmt, der sowas fuer den Fall Patientendaten anbietet, dann hat man sich fein aus der rechtlichen Verantwortung herausgewunden, mit den Daten verantwortungsvoll umzugehen. Was die meisten nicht-technies ja nicht koennen, weil sie keine Ahnung haben. Hoert sich bekloppt an, aber sobald man so eine komplizierte rechtliche Verantwortung hat,wie Patientendaten, sollte man am ehesten danach gehen, was einem rechtlich am wenigsten auf die Fuesse fallen kann. Idealerweise sollte es natuerlich auch Dienstleister geben, die so ein NAS in der Praxis aufstellen und betreiben, das waere noch am besten. Aber ich wette mal, das alles mit vor-Ort immer teurer ist. Vielleicht/hoffentlich taeusche ich mich.

    bitte mit solchen Empfehlungen wirklich zurückhalten wenn man da nicht viel Ahnung von hat, bitte ... In dem Bereich gibt es gewisse Vorgaben, welche auch je nach Praxisgröße umfangreicher werden. Da hat man sich nicht mal eben rausgewunden. Abgesehehen davon das ein "sich rausgewunden aus der Verantwortung" in dem Bereich definitiv fehl am Platz ist.

    Aber ja, wie DaVu gesagt hat -das Thema sollte bitte Separat angegangen werden und der Betroffene sollte sich hier einen entsprechenden Profi bitte für nehmen. Es geht hier schließlich um Gesundheitsdaten, TI Anbindung uvm.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

    Edited once, last by noob_at_pc (May 30, 2023 at 9:58 AM).

  • Ich sach mal so: Die Praxis eines unserer Fachaerzte wurde vor 2 Jahren mal "ausgeraeumt" an einem langen Wochenende, weiss gar nicht mehr. Koennte sogar Pfingsten gewesen sein. Alle PCs/Bildschirme geklaut. Ich will mich ja nicht unbeliebt machen, aber wer hier glaubt, das die Patientendaten bei so einer Aktion NICHT irgendwohin geleaked werden. Aka: Daten auf Platten alle verschluesselt ? Kein Zettel mit Schluessel am Bildschirm... ? Und auf der anderen Seite dann Unfaehigkeit, Rezepte elektronisch zu verschicken. Meine Mutter musste im Alter von 78 den Hausarzt wechseln (Alter in Ruhestand). Der alte hat mir 100 Seiten PDF gegeben. Die habe ich extra noch durch OCR gejagt, so das man da drin nach text suchen konnte. Erstaunlich gutes Ergebnis. Hat die neue Praxis natuerlich abgewimmelt "damit koennen wir nix anfangen". Haetten die sich mit eine Menge Nachfragen spaaren koennen, wenn die dadrin einfach bei Bedarf gelesen haetten.

    Aka: Sorry, aber ich sehe nur Trauerspiel vorne und hinten.

    Ich hab mir ja auch letztes Jahr gerade mal so ein NAS gekauft (QNAP). Das ist ja mal ein clickedifx-Grab. Keine Moeglichkeit, das man damit Sicherheitspolicies revisionssicher fahren kann. Da gibts ja noch nicht mal die Moeglichkeit, die komplette Systemkonfigurtion als Textdatei zu exportieren/importieren.

    So nervig vielleicht fuer Anfaenger die von @DaVu beschriebenen Unix Grundlagen sein muessen, aber auf der Ebene laesst sich da mit ein paar Scripten Sicherheit garantiert besser und einfacher verwalten als mit dem ganzen GUI Klickfetischismus. Aber natuerlich ist das nur ein Teil der Loesung. Das Outsourcing in die Cloud waere halt leider eine bessere Loeung, solange da bei den Praxen kein besseres Verstaendnis und Interesse an IT vorliegt.

    Und jaja, ich bin ja schon ruhig.

  • Davor siehst du sowas: -rw-------. ...


    Weder User in der Gruppe "davu" (ja...verschiedene User können verschiedenen Gruppen angehören) noch "der Rest der Welt" (abgesehen von "root") darf diese Datei lesen, schreiben/löschen oder ausführen

    Unter gewissen Umständen schon !

    nämlich, wenn es sich um ein Unterverzeichnis handelt.

    Dann darf der Besitzer des übergeordneten Verzeichnis das Unterverzeichnis samt Inhalt löschen, egal welche Rechte im Unterzeichnis gesetzt sind.

  • Vielleicht mal ein fundamentaler Unterschied zwischen SMB und NFS, der bei @DaVu 's Erklaerung vielleicht nicht so klar wurde.

    Bei SMB muss der Betreiber des NAS nicht dem Clientrechner vertrauen - weil sich der Benutzer erst mal mit Benutzernamen/Passwort beim Server direkt authentifizieren muss. Bei (normalem) NFS gibt es nichts was ich echte Authentifizierung nennen wuerde. Normalerweise heisst, das man da bloss angibt, welche Platten (der Teilbaeume) man an welche Clientechner anhand ihrer IP Adressen exportieren will.

    Beispiel: Man exportiert auf dem NAS einen Dateibaum per NFS, unter anderem auch an den Clientrechner htpc. Und dann denkt man sich als das ein Teil der Dateien halt gar nicht von Benutzern auf htpc zugreifbar sein sollten. Und man denkt als dummer NAS Betreiber, das diese Dateien ja geschuetzt sind, weil sie nur fuer den Benutzer "arzt" lesbar sind. Und auf dem Clientrechner htpc gibt es gar keinen Benutzer Arzt. Das geht halt gar nicht, weil halt jeder 5 jaehrige auf dem clientrechner htpc einen Benutzer "arzt" anlegen koennte und damit Zugriff auf diese Dateien erhaelt. Weil da halt Benutzer arzt nicht authentifiziert wird. Wenn das NAS hingegen SMB verwenden wuerde, dann koennte ein hacker auf dem htpc da nichts machen, weil es das NAS passwort fuer de Benutzer arzt kennen muesste.

    Gibt auch NFS Varianten, die das Problem beheben, aber mir ist nichts bewusst was da wirklich Verbreitung gefunden hat. Frueher war das mal Kerbereros...

    Natuerlich kann man das Problem auch mit NFS halbwegs loesen, indem man da verschiedene Dateibaeume hat, und den Dateibaum mit den arzt Dateien nur an die Arzt Clientrechner exportiert. Aber das ist halt auch Moppelkotze, weil die Kontrolle, welche denn der Arzt Clientrechner ist, nurueber die IP-Adresse geht, und da koennte auch jemand, wenn der Arzt Clientrechner ausgeschaltet ist, diese IP Adresse leicht hijacken und darueber Zugriff bekommen.

    Das hoert sich vielleicht so an, als ob NFS keinen Sinn macht, aber es macht halt schon dann Sinn, wenn man eben weiss was es kann, und was nicht. Und dann vor allem Umgebungen hat, wo man den Clientrechnern vertrauen kann. Und Vor allem auch vertrauen kann, das da auch sonst keine gehackten Rechner ans Netz gehaengt werden koennen. Und solche Umgebungen gibt es. Bloss halt selten zuhause.

  • Unter gewissen Umständen schon !

    nämlich, wenn es sich um ein Unterverzeichnis handelt.

    Dann darf der Besitzer des übergeordneten Verzeichnis das Unterverzeichnis samt Inhalt löschen, egal welche Rechte im Unterzeichnis gesetzt sind.

    Das stimmt allerdings. Das trifft auch auf Dateien zu, die nicht "davu" gehören, mir aber das Verzeichnis gehört, in dem sie liegen.

  • Ich sach mal so: Die Praxis eines unserer Fachaerzte wurde vor 2 Jahren mal "ausgeraeumt" an einem langen Wochenende, weiss gar nicht mehr. Koennte sogar Pfingsten gewesen sein. Alle PCs/Bildschirme geklaut. Ich will mich ja nicht unbeliebt machen, aber wer hier glaubt, das die Patientendaten bei so einer Aktion NICHT irgendwohin geleaked werden. Aka: Daten auf Platten alle verschluesselt ? Kein Zettel mit Schluessel am Bildschirm... ?

    Dies!

    Wenn die vernüftig(!) verschlüsselt sind, wäre es auch "egal" wenn man irgendwie darauf zugreifen kann.

    Zudem frage ich mich, ob da berufliche und private Nutzung durcheinander gemischt wird. Bei sowas sensiblen wie Patientendaten wäre ich da ganz vorsichtig. Ich glaube der Tipp damit einen externen Dienstleister zu beauftragen ist gar nicht so schlecht. Als juristischer Laie wage ich zu behaupten, dass man mit dem Eingeständnis davon keine Ahnung zu haben und man sich lieber einen ext. Dienstleister dazu holt, der davon Ahnung haben sollte, zumindest aus der groben Fahrlässigkeit raus ist.

    Allerdings muss man da auch aufpassen, ich kenne gerade einen anderen Fall, entfernt im medizinischen Bereich, die haben derzeit ewig hohe Telefon- & Internetkosten weil der Dienstleister einfach alles (Daten, Telefonanlage, was weiß ich...) in seine Cloud ausgelagert hat und dort kräftig Miete kassiert.

    Quote from root2

    Merke: Das "S" in "IoT" steht für Sicherheit!

  • Moin zusammen,

    da habe ich ja was angestoßen. Nicht nur aufgrund Eurer Bauchschmerzen, wird nun ein weiterer (ausschließlich für Praxisdaten) NAS angeschafft. So wie ich meinen Freund verstanden habe hat der im Übrigen einen IT Dienstleister beauftragt. Es sind für den jetzigen Zugriff auf den u.A. kodi NAS nur ein paar IP Adressen frei gegeben worden. Da dort mit der Shield ein Gerät mit neuer IP Adresse hängt, verstehe ich jetzt auch meine massiven Probleme.

    Danke sehr für Eure kompetente Hilfe

  • da_user Das mit der Festplattenverschluesselung ist ja nicht so leicht:

    Windows prahlt ja mit Bitlocker, da wird ja der Schluessel mit dem TPM des Systems gesichert. In Billigrechnern ist das inzwischen ja in der CPU. Wenn da mal der Rechner kaputt geht, dann: "Haddu Backup" ? "Taeglich ?" "Genau, geht um die Patientendaten von gestern:... Steckbares TPM ist da natuerlich besser, aber AFAIK wird das auch bei NAS meist nicht verwendet.

    Dann gibt es ja noch die Platten die selbst verschluesseln koennen. Das war eigentlich eine der witzigen Erkenntnisse mit dem QNAP NAS rumgespielt zu haben. Jetzt weiss ich auch theoretisch, wie ich das mit linux Hausmitteln machen kann. Aber am Ende ist das Gepfrickel, wenn man so eine Platte im Notfall (System kaputt) evtl. auch unter einem anderen OS recovern will.

    Dann die Frage, wie das in einer Praxis gemanaged werden soll, nach Stromausfall, Stecker raus/rein, und das Passwort neu eingeben. Dann kommt es leicht zu erwaehnten Zettel am Bildschirm.

    Und wenn das System nach Stromausfall von alleine booten kann, so das die Platte zugreifbar ist, naja, dann ist es auch viel wahrscheinlicher das das dann auch geht wenn das komplette Geraet/NAS geklaut wurde.

    Ich geh im Moment deswegen diesen schicken HW-Optionen noch aus dem Weg, sondern nehme nur Veracrypt, das geht ja ueber alle Betriebssysteme hinweg - solange man die Systeme halt selbst bespasst. AFAIK OMV kanns auch. Bei "echten" NAS weiss ich nicht.

    In einer Praxis glaube ich waere es fuer solche Probleme am wichtigsten, das da halt Fernwartung sicher aufgesetzt ist, so das da niemand lokal in der Praxis so ein Passwort eintippen muss, sondern das mit Telefonanruf gehen kann. Aber das kostet halt.

    Von daher ist eigentlich Plattenplatz im Netz gegen Klau keine schlechte Idee. Ist bloss sicherheitstechnisch eine komplett neue Herausforderung. Wuerde ich mir im Moment auch nicht zutrauen, zu bewerten, was da ein sinnvoller Standard ist. Das garantierte NoGo ist ja, Platten uebers Netz per SMB zugreifbar zu machen - weil das zwar authentifiziert, aber nicht verschluesselt. Wobei das ja wohl mit SMBv3 wohl jetzt geht ?

    Wenn ich jung waere wuerde ich Sicherheitsexperte werden. Gut fuers Konto, und man lernt was sinnvolles ;)

  • Ein Bitlocker über TPM macht keinen Sinn - nimmst den ganzen Rechner mit haste alles. TPM defekt ist erstmal alles defekt. Aber es gibt ja immer den Recovery Code - den muss man halt aufheben. Daher Bitlocker bitte nur in Verbindung mit einem Passwort einsetzen. Dann ist alles gut. Bei einem NAS nutzt ja kein Bitlocker weil NAS ist nicht Windows.

    Syno und Qnap können die Platten schon seit ewig verschlüsseln und das auch mit guter Performance seit geraumer Zeit. Gibt also auch kein Problem.

    Nach Stromausfall ? Die Geräte fahren sauber und geplant herunter da ja eine USV Vorhanden ist die mit dem Server / NAS kommuniziert. Daher ist ein Einschalten danach kein Problem. Bei Bitlocker muss man sich Gedanken bzgl. Passwort machen - gibt aber Lösungswege wie mit einem Yubikey und schon gibts kein Zettel.

    Es gibt kein Grund ein unsicheres System einzusetzen. Es gibt nur Faulheit, Bequemlichkeit und "wir haben das schon immer so gemacht".

    Display Spoiler

    Entschuldigt bitte, aber mir geht bei dem Thema jedes mal der Hut hoch.

    Ich habe in den letzten Jahren zu viele Arztpraxen in der IT Betreuung übernommen bzw kurzfristig Unterstützt und bin jedes mal aufs neue Entsetzt bin was dort getrieben wird. Und die Ärzte selbst sind die, die persönlich Haften wenn sch** passiert und garnicht das technische Wissen und Verständnis haben können! Die Jungs sollen etwas ganz anderes machen als hier Bits und Bytes schubsen!

    Letztendlich sind die Patienten die Leittragenden oder im schlimmsten Falle sogar die die physisch und psyschische Schäden wegen der Unfähigkeit von manchen (freizeit-) Admins erleiden müssen! Leider auch zu oft von den sogenannten zertifizierten Dienstleistern für Medizintechnik ....

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

  • Ein Bitlocker über TPM macht keinen Sinn - nimmst den ganzen Rechner mit haste alles. TPM defekt ist erstmal alles defekt. Aber es gibt ja immer den Recovery Code - den muss man halt aufheben. Daher Bitlocker bitte nur in Verbindung mit einem Passwort einsetzen. Dann ist alles gut. Bei einem NAS nutzt ja kein Bitlocker weil NAS ist nicht Windows.

    Genau. Aber ein grosser Teil der Welt glaubt ja, das wenn Microsoft was macht, dann muss es richtig sein. Deswegen ist halt der ganze Sicherheitsbereich so erschreckend. Weil da ja jeder, selbst die groessten Firmen immer wieder gerne Mist machen. Und den dann ewig lange drin lassen. Wahrscheinlich haben die das bei Microsoft ja mal sogar gut gemeint und fuer Data-Center gedacht, wo man mal schnell eine hot-swap festplatte klauen kann, aber keine festgeschraubten Rackserver. Aber ich bin ueber das Zeugs halt zuerst bei einem MiniPC gestolpert den ich als Kodi HTPC fuer Urlaubsreisen in Hotels aufgesetzt habe. Sehr sinnvolle (NOT).

    Syno und Qnap können die Platten schon seit ewig verschlüsseln und das auch mit guter Performance seit geraumer Zeit. Gibt also auch kein Problem.

    Nach Stromausfall ? Die Geräte fahren sauber und geplant herunter da ja eine USV Vorhanden ist die mit dem Server / NAS kommuniziert. Daher ist ein Einschalten danach kein Problem. Bei Bitlocker muss man sich Gedanken bzgl. Passwort machen - gibt aber Lösungswege wie mit einem Yubikey und schon gibts kein Zettel.

    Naja, USV ja, aber ein NAS muss immer problemlos auch nach unerwartetem Stromausfall wieder anlaufen, sonst kann man das nicht in eine Praxis mit IT Muggles stellen. Die ziehen halt sonst doch mal Stecker um aufzuraeumen. Oder Putzfrau. Oder man braucht halt einen Raum mit codeschloss tuer wo die Fernwartung dem Muggle nur am Telefon den code gibt. Etc. pp.

    Das mit dem Yubikey hab ich nicht verstanden: Wenn das NAS nach einem wie auch immer gearteten Strom-Aus zustand wieder hochfaehrt. Woher kriegt es den decryption key ? Ich will ja nicht das das automatisch geht, weil dann kann Kiste geklaut werden. Und eintippen ist auch problematisch... Soll man da den Yubikey irgendwo sicher verstauen und dann nach Strom-an mal in das NAS reinstecken und dann Einschaltknopf druecken ... und dann nach 10 Minuten den Key ziehen ??

    Es gibt kein Grund ein unsicheres System einzusetzen. Es gibt nur Faulheit, Bequemlichkeit und "wir haben das schon immer so gemacht".

    Naja, IT Systemsicherheit ist halt schon nicht trivial. Vor allem auch deswegen weil es derzeit meistens Experten ueberlassen wird, und die beschweren sich weniger wenn die Sicherheitstechnik dann nicht moeglichst Muggle-gerecht realisiert ist.

    IT Sicherheit wird nicht systematisch genug vermittelt. Wenn sich Oma gegen Enkeltricks an der Tuer schuetzen will, dann muss sie einfach seit Jahrzehnten bloss Fernsehsendungen gucken. Um die gleiche Art von Tricks per IT verklaert zu bekommen muesste sie komische Zeitschriften wie c't oder so lesen, die gar nicht fuer sie geschrieben sind. Das ist halt gesellschaftlicher Snobismus der nicht geht. Klar, gibt auch immer wieder mal was im Fernsehen, aber muesste viel mehr sein. Nur sowas wuerde dazu fuehren, da die ganzen IT Produkte auch einfacher und sicherer werden. Irgendwie hab ich auch das Gefuehl, das zu meiner Jugend, wo sich jeder einen Heimcomputer gekauft, und BASIC programmiert hat, da insgesamt mehr IT Verstaendnis aufgebaut wurde, als heute.

    Was ? Meine Jammerzeit ist abgelaufen ? Dann wieder in einer Woche. Aber ihre Couch ist echt bequem!

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!