Computer/Betriebssystem für sensible Daten

titeuf

titeuf

Aktives Mitglied
Thread Starter
Dabei seit
20.12.2004
Beiträge
1.146
Reaktionspunkte
4
Hallo zusammen, ich habe wieder mal ne Frage:

Aufgrund eines Researchprojekts möchten wir Zugriff auf relativ sensible Daten erlangen. Um die Wahrscheinlichkeit diese Daten zu erhalten zu erhöhen, brauchen wir ein gutes Sicherheitskonzept für die Daten. Meine Frage nun:
Gibt es eine Möglichkeit einen Computer (bevorzugt OS X) so einzurichten, dass er nicht übers Internet verbunden werden kann und es auch nicht möglich ist, Daten über USB-Stick oder sonst irgendwie vom Computer zu kopieren? Dies natürlich software basiert, nicht dass ich die USB Anschlüsse kaputt schlagen muss und WIFI-Karte rausnehmen muss..

Danke und Gruss
titeuf
 
mmmh, bei macOS wird es eng, bei Windows geht es.
Ich wüsste nicht, wie man z.B. die USB Ports für User sperren kann bzw. ob das überhaupt geht.
Hilft dir aber vermutlich nicht.
 
  • Gefällt mir
Reaktionen: wegus
titeuf schrieb:
Gibt es eine Möglichkeit einen Computer (bevorzugt OS X) so einzurichten, dass er nicht übers Internet verbunden werden kann und es auch nicht möglich ist, Daten über USB-Stick oder sonst irgendwie vom Computer zu kopieren?
Zum Vergrößern anklicken....
Für einen neuen benutzer mit kindersicherung kannst du bestimmen, welche programme erlaubt sein sollen, den internetzugriff lahmlegen und brennen von CDs undDVDs unterbinden. Falls das hilft. USB ausschalten geht da wohl nicht.
 
Man könnte dem System die Treiber ziehen und die Eingabe über Bluetooth machen, das ist aber recht aufwendig.
 
Puh, ich krieg' gerade die Krise. Keiner mehr hier, der was von Virtualisierung versteht ? Nicht mal Macschrauber ???

https://www.vmware.com/products/fusion.html

Also, ich empfehle dem Threadstarter viel Speicher in die Kiste zu packen, die die Arbeit erledigen soll, dann viele schnelle SSDs (meine schöne Festplatte gibt es noch nicht auf dem Markt, aber bald -> https://developement.pro/2018/04/12/steady-state-head-technology-update-for-an-old-harddrive-concept/) und einen aständigen Virtualisierer, je nachdem ob es Desktop oder auch Server sein darf.

Falls Du mehrere simulierte Arbeitsumgebungen brauchst, empfielt sich ESXi von Vmware, ansonsten das Desktop-Produkt Vmware Fusion für den Mac.

Die virtuellen Maschinen, also die verschiedenen Mac-Installationen, kannst Du problemlos via Timemachine automatisiert sichern lassen oder auch manuell. Es gibt sogar Replikationsmöglichkeiten innerhalb dieser Produktfamilie und des Herstellers. Ist so ziemlich der heißeste Kram am Markt. Parallels kommt da leider nicht ansatzweise heran, auch wenn die Software ein paar kleine Vorteile hat.
 
Zuletzt bearbeitet:
virtuelle Maschinen haben prinzipbedingt eine Netzwerkverbindung, etwas was oben ausgeschlossen wurde ( ich kenne kein Netz ohne Gateway ins Internet).
Bei PCs lassen sich USB-Anschlüsse teils per BIOS deaktivieren. Den PC dann ohne LA-Kabel und ohne Anmeldung an einem WLAN verwenden. Als OS kannst Du dann natürlich nicht auf OS X setzen. Ein Windows oder LINUX sollten es aber tun.
 
futureformer schrieb:
Puh, ich krieg' gerade die Krise. Keiner mehr hier, der was von Virtualisierung versteht ? Nicht mal Macschrauber ???.
Zum Vergrößern anklicken....
Was soll eine VM bringen? Es geht darum, daß von diesem Rechner aus keinerlei Verbindung ins Netz möglich ist und sich auch kein Medium über USB anschließen lässt.
Daß das einfach nicht möglich ist - nicht daß irgendein Benutzer da nicht so ohne weiteres zugreifen kann.
Der Lieferant der hochsensiblen Daten erwartet wohl, daß das ein geschlossenes System ist (wobei die Frage bleibt, wie dann die Daten auf den Rechner kommen - bleibt nur ein internes optisches Laufwerk ohne Brenner).
 
  • Gefällt mir
Reaktionen: wegus und maba_de
wegus schrieb:
virtuelle Maschinen haben prinzipbedingt eine Netzwerkverbindung, etwas was oben ausgeschlossen wurde ( ich kenne kein Netz ohne Gateway ins Internet).
Bei PCs lassen sich USB-Anschlüsse teils per BIOS deaktivieren. Den PC dann ohne LA-Kabel und ohne Anmeldung an einem WLAN verwenden. Als OS kannst Du dann natürlich nicht auf OS X setzen. Ein Windows oder LINUX sollten es aber tun.
Zum Vergrößern anklicken....

ich habe so Geräte schon eingerichtet.
Windows mit entsprechenden BIOS Settings und entsprechenden Policies, dann ist das kein Hexenwerk.
Das Ganze dann ohne jedwede Anbindung, WLAN, Blutooth, Lan deaktiviert.
Allerdings, und das war eine weitere Vorgabe in meinem Fall, der Rechner mit den Daten stand bei in einer Kanzlei in einem speziellen Raum und jeder Zugang wurde juristisch begleitet und dokumentiert.

Gut, das kostet ein, zwei Euro mehr - aber je nach Daten sind das Pinuts.
 
  • Gefällt mir
Reaktionen: wegus und dg2rbf
Ich würde mir einen eigenen Kernel ohne entsprechende Module dafür bauen und alles nötige im EFI deaktivieren.
Man braucht halt ein vernünftiges OS mit dem das geht… Linux, FreeBSD, OpenBSD usw.
 
  • Gefällt mir
Reaktionen: dg2rbf
Du kannst durch Erweiterungen weglassen in OS X auch viel deaktivieren. Da ich mich viel mit Systemen auf unsupporteten Macs beschäftige weiss ich das man zum Beispiel (in dem Fall ungewollt) bei einem MacBook 4.1 in Mojave keine USB Funktionalität hinbekommt wenn man nicht an den kexten trickst. Kann man natürlich andersrum gewollt auch nutzen.
 
  • Gefällt mir
Reaktionen: dg2rbf
Apple bietet sogar eine Anleitung genau dafür an.
Wie man Wifi, USB usw deaktiviert.
macOS Security irgendwas
 
  • Gefällt mir
Reaktionen: dg2rbf
futureformer schrieb:
Keiner mehr hier, der was von Virtualisierung versteht ? Nicht mal Macschrauber ???
Zum Vergrößern anklicken....

ehmmm, Virutalisierung ist ja so ziemlich das Gegenteil von dem was ich schwerpunktmässig mache, ich arbeite eher an echten wie an nachgebildeten Maschinen :)

Ist natürlich eine Möglichkeit, ein OS in einer VM laufen lassen und entsprechend die Ports der Software abzuziehen. Das muss man eben wasserdicht installieren.
 
[ironie]Daten auf den Rechner kopieren. WLAN Modul rauslöten und Ethernet / USB Ports mit Heisskleber dichtmachen?[/ironie]
 
wegus schrieb:
per USB und die USB-Hubs des Boards stellt man danach im BIOS ab.
Zum Vergrößern anklicken....
Vorausgesetzt, die sensiblen Daten sind eine einmalige Lieferung.
Und auch da gilt: was man per software abstellen kann, kann man auch per software wieder anstellen.
Der TE müsste mal präzisieren, was genau erwartet wird.
Ist schon ein Unterschied, ob der Rechner generell abgekoppelt sein muß, ohne jede Zugriffsmöglichkeit, oder ob nur die Personen, die damit arbeiten, keine Möglichkeiten haben sollen, ein Superuser aber schon. Ich hab den Eröffnungspost eher so verstanden, daß der Datenlieferant erwartet, daß der Rechner unter keinen Umständen Daten über irgendeinen Weg rausrücken können soll.
 
  • Gefällt mir
Reaktionen: wegus
Schiffversenker schrieb:
Vorausgesetzt, die sensiblen Daten sind eine einmalige Lieferung.
Und auch da gilt: was man per software abstellen kann, kann man auch per software wieder anstellen.
Der TE müsste mal präzisieren, was genau erwartet wird.
Ist schon ein Unterschied, ob der Rechner generell abgekoppelt sein muß, ohne jede Zugriffsmöglichkeit, oder ob nur die Personen, die damit arbeiten, keine Möglichkeiten haben sollen, ein Superuser aber schon. Ich hab den Eröffnungspost eher so verstanden, daß der Datenlieferant erwartet, daß der Rechner unter keinen Umständen Daten über irgendeinen Weg rausrücken können soll.
Zum Vergrößern anklicken....

Genau, letzteres wäre gewünscht: "der Datenlieferant erwartet, daß der Rechner unter keinen Umständen Daten über irgendeinen Weg rausrücken können soll." Endpointprotector soll dies anscheinend können..
 
wenn ich (oder jemand anderes) physischen Zugriff auf den Rechner hat komme ich an die Daten. Unbedingt an ein verschlüsseltes Dateisystem ala FileFault denken.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten