"Schutz sensibler Daten" - Fragen

[mabu]

Hallo.

Im Rahmen des Umzugs unseres NSP auf neue Windows Server (super ausgeführt vom NSP-Support) hatten wir ganz kurz über "Schutz sensibler Daten" gesprochen, welches bei uns bisher nicht aktiviert ist.

Die Reaktion dazu war in der Planung der Migration erstmal sehr positiv, da dadurch wohl weniger zu beachten war (oder so ähnlich).

Ich hatte mir dann als ToDo notiert, dass ich "Schutz sensibler Daten" nach dem Update auf 15.7 aktiviere. Das Update ist am Samstag erfolgt.

So richtig viel steht in der Doku zu dem Punkt ja nicht. Suche ich im Forum, gibt es einige wenige Einträge, wo die Einstellung evtl. eher ein Problem war. Aber das sind so wenige Treffer in der Suche, dass es mit Sicherheit auch nicht relevant ist.

"Um sensible Daten wie beispielsweise kryptographische Schlüssel oder Authentifizierungsinformationen vor dem Zugriff durch Dritte zu schützen, müssen Sie diese verschlüsseln." Liest sich wie "im NSP genutzte Kennworte wie z.B. bei SMTP-Auth stehen nicht mehr im Klartext in der DB oder in Konfigdateien". Aber auf was bezieht es sich noch?

Habt Ihr die Funktion aktiviert?

Was ist in der Praxis spürbar, wenn ich dort ein Kennwort vergebe?

Wie zwingend sollte ich aus Eurer Sicht diese Funktion nutzen?

Danke vorab für Eure Rückmeldungen.

 

[JanJäschke]

Hallo mabu,

die Nutzung puschen wir mit den neuen Versionen bei einer neuinstallation sehr stark.
Und das nicht ohne Grund.
Der Schutz sensible Daten sorgt für die Verschlüsselung kritischer Daten in der Datenbank und teilweise in der Konfig (hier wird noch die Windows Data Protection verwendet).
Was für Vorteile bringt sie dir:
Dein z.B. gesamtes Schlüsselmaterial liegt dann verschlüsselt in der DB. Heißt selbst wenn jemand den Zugriff auf die Datenbank bekommt, (Kompromittierung durch anderes System als Intranet Rolle), dann kann damit erstmal niemand etwas anfangen - selbst wir nicht.
Ohne das Wissen über das Passwort sind die Daten restlos verloren ^^

Nachteile:
Bei Passwort Verlust und keiner laufenden Intranet Rolle -> Daten weg.
Bei einer Migration müssen derzeit zukünftig ein paar Sachen aus der Konfig entfernt werden und initial am besten das gleiche Passwort verwendet werden.
Ansonsten sehe ich keine Nachteile ein ordentliches Passwort zusetzen.


Gruß
Jan

 

[869288141]

Hallo Martin,

Habt Ihr die Funktion aktiviert?

Ja.

Wie zwingend sollte ich aus Eurer Sicht diese Funktion nutzen?

Je nach Kunden und Art variiert die Antwort. Bei Behörden wird gerne auf die technischen Richtlinien des BSI verwiesen oder sind sogar bindend. In der Regel wird der Datenschutzbeauftragte dir ein Sternchen geben, wenn du die Funktion aktiviert.

In einem Unternehmen wird es je nach Größe eigene IT Security Teams geben, Datenschutz Teams, etc. So dass es evtl. über Polices ebenfalls definiert ist.

Was ist in der Praxis spürbar, wenn ich dort ein Kennwort vergebe?

Vor was hast du Angst? Performance Probleme?


Gruß,
Daniel