it-swarm.com.de

Diebstahlschutzmaßnahmen für Laptops

Eine Anwaltskanzlei, mit der ich Kontakt hatte, wurde in den letzten 4 Monaten dreimal aufgeteilt. Trotz einer Reihe von Laptops und anderen Geräten, die vertrauliche Informationen enthalten, die gestohlen wurden, hat das Unternehmen des technischen Supports, das gelegentlich für sie arbeitet, nichts unternommen, um sich vor künftigem Diebstahl zu schützen. Ich schlug vor, eine Diebstahlsicherungssoftware (wie Prey) zu installieren, und erwog später, ein System als Honeypot zum Sammeln von Informationen mit versteckten Keyloggern einzurichten, die Informationen an eine Reihe von E-Mail-Adressen senden.

Abgesehen von allen Best Practices für die physische Sicherheit, welche anderen Maßnahmen könnten hier möglicherweise umgesetzt werden? Dies sind alles Windows-Systeme. Ich bezweifle nicht, dass die einzelnen Vorfälle miteinander verbunden sind und von verbundenen, wenn nicht denselben Kriminellen ausgeführt werden.

Die Firma hat bereits Kontakt zu den örtlichen Behörden aufgenommen. Aufgrund fehlender Dokumentation zu den gestohlenen Gegenständen gibt es neben Marke und Modell keine Seriennummern oder zusätzliche hilfreiche Informationen zu den fehlenden Geräten. Daher scheint die Wiederherstellung eine Sackgasse zu sein, aber zumindest sind sie sich der Vorfälle bewusst.

36
Mike H

Erwägen Sie ein Softwareprodukt, das Ihre Festplatten vollständig verschlüsselt. Eine solche Software fordert den Benutzer auf, das Kennwort einzugeben, mit dem die Festplatte während des Startvorgangs verschlüsselt wird. Ohne das richtige Kennwort kann die Festplatte (einschließlich des Betriebssystems und aller Daten) nicht entschlüsselt werden, das System wird nicht gestartet und der Benutzer erhält keinen Zugriff auf die Daten.

In diesem Fall kann ein Dieb die Hardware möglicherweise weiterhin verkaufen, indem er die Datenträger zerstört, hat jedoch keinen Zugriff auf vertrauliche Informationen, die darauf gespeichert sind.

Die Standardlösung für Windows ist Microsoft BitLocker , die in einigen Windows-Editionen bereits standardmäßig verfügbar ist. Es gibt auch andere Produkte auf dem Markt wie Sophos Safeguard oder Truecrypt. Empfehlungen für das zu verwendende Produkt finden Sie unter Software Recommendations Stackexchange .

58
Philipp

Regel Nr. 1: Wenden Sie sich an die Strafverfolgungsbehörden.

Regel Nr. 2: Wenn es die Firma selbst nicht zu interessieren scheint oder sie sich nicht an die Strafverfolgungsbehörden wenden möchte, ziehen Sie bitte in Betracht, die Geschäfte mit ihnen zu beenden.

Regel Nr. 3: Denken Sie über die Angriffe in ihrem breiten Kontext nach und beschränken Sie sich nicht auf technische Maßnahmen.

Regel Nr. 4: Die Installation von Keyloggern ist wahrscheinlich nicht hilfreich. Anstatt Diebstahl zu verhindern oder Angreifer aufzudecken, öffnen Sie eine Hintertür, die von den Angreifern ausgenutzt werden kann.

15
Deer Hunter

Wenn die Laptops nicht offline verwendet werden müssen, speichern Sie keine Daten auf den Laptops. Verwenden Sie die Laptops als Thin Clients . Auf diese Weise können Sie eine Multi-Faktor-Authentifizierung anfordern, Zugriffszeiten einrichten und viele weitere Verbesserungen gegenüber dem lokalen Speichern der Daten vornehmen.

12
thunderblaster

Abgesehen von der Verwendung von Tracking-Software und vollständiger Festplattenverschlüsselung kann das Unternehmen in die Schulung der Betroffenen investieren, um ihre Laptops nur für die Verbindung mit virtuellen privaten Servern zu verwenden ( VPS ). wo sie ihre Daten speichern müssen. Auf diese Weise konnten beim Diebstahl eines Laptops eines bestimmten Arbeitnehmers keine Daten darin gefunden werden (ich berücksichtige die Tatsache, dass Sie angegeben haben, dass gute Sicherheitspraktiken bekannt sind). Ein ähnliches Ziel kann erreicht werden, wenn sie investieren können, um ihre eigenen physischen Server zu kaufen.

3
user45139

Bei Unternehmen mit vertraulichen Informationen auf ihren Mobilgeräten ergreifen die meisten Unternehmen, mit denen ich zu tun habe, keine Maßnahmen zur Wiederherstellung. Es geht ausschließlich darum sicherzustellen, dass die Geräte bei Diebstahl unbrauchbar werden. Die Unternehmen, bei denen Sicherheit wirklich wichtig war, haben sich nicht mit einigen der anderen hier genannten Vorschläge befasst, wie dem Speichern von Daten nur auf VPS (schwer zu erzwingen), BIOS-Passwörtern (nutzlos), OS-basierten Passwörtern/Verschlüsselungen (nutzlos). Sie hatten einfach nur eine vollständige Festplattenverschlüsselung mit etwas wie LUKS, das vom Bootloader freigeschaltet wird. Sehr unkompliziert und blockiert die Maschine effektiv, wenn sie gestohlen wird.

Sie sollten Ihrem Arbeitgeber mitteilen, dass dies eine wirksame Lösung ist und dass Sie nicht im Bereich der Genesung tätig sind. Dies sollte die Aufgabe der Versicherungsunternehmen sein. Sie sollten ihn wissen lassen, dass "Honeypotting" zu einer unvollständigen Lösung führen kann, die zu Datenlecks führt. Unter der Annahme, dass diese Diebstähle höchstwahrscheinlich mit Datendiebstahl zusammenhängen (B & E wiederholen, Anwaltskanzleien), sollte dies ihre erste Priorität sein.

3
Zachary Iles

Ich habe das Gefühl, dass Sie sich zu sehr auf die technische Seite beschränken. Zuerst müssen Sie die Laptops am Ende des Tages in einem sicheren Raum abschließen. Ich meine, sicherer Raum, da der einfachste Weg zum Raum durch eine verschlossene Tür führt, deren Schloss leicht gewechselt werden kann. Stellen Sie im Raum eine Art Überwachungskamera für den Fall auf, dass der Dieb den Raum betritt. Auf diese Weise haben Sie eine Vorstellung davon, wer in den Raum gekommen ist.

diese Änderung selbst würde jeden Dieb weniger motivieren, zu den Laptops zu gelangen. und schließlich nach vollständiger Festplattenverschlüsselung

3
5hammer

Mit Ausnahme der oben genannten Software empfehle ich die Verwendung von Remote Administration Tools . Sie steuern Ihren Computer effizient von jedem Ort der Welt aus.

Prey Anti-Theft (kostenlos) fehlt, wenn es darum geht, Audio aufzunehmen, Webcam anzusehen usw.

So können Sie Ihren Computer überwachen, Informationen über den Dieb abrufen, seinen Standort verfolgen und so weiter.

Dann wissen Sie, was zu tun ist :-)

3
The VaLo

Die nach dem Kauf des Laptops installierte Diebstahlsicherung kann umgangen werden, wenn der Dieb mit der Neuformatierung der Festplatte beginnt. Wenn Sie es als Teil eines allgemeinen Verteidigungssystems implementieren möchten (wie Philipp sagte, sollten Sie mit der Verschlüsselung der Festplatte beginnen). Es ist wahrscheinlicher, dass Sie nützliche Daten zurückerhalten, wenn Sie Laptops gekauft haben, auf denen diese vorinstalliert sind und die von MS bereitgestellte Tools verwenden, damit das BIOS sie erneut in das Betriebssystem einfügt, wenn das Laufwerk gelöscht/ersetzt wird. Sie kamen kürzlich in die Nachrichten, als Lenovo sie zur Installation von Crapware missbrauchte, aber bei bestimmungsgemäßer Verwendung die Wahrscheinlichkeit erheblich erhöht, dass Sie Informationen erhalten, die zur Wiederherstellung des Laptops führen könnten.

Offensichtlich ist es nicht kinderleicht, wenn der Dieb (und alle zukünftigen Benutzer) nur ein anderes Betriebssystem installieren, können sie es vollständig umgehen. Typische Käufer gebrauchter Laptops werden jedoch im Allgemeinen weiterhin das verwenden wollen, mit dem sie vertraut sind, und das ist statistisch gesehen weitaus wahrscheinlicher Windows als Linux/etc.

Bios Level Passwords verhindert, dass jemand den Computer ohne Passwort einschaltet, aber dies hindert ihn nicht daran, die Festplatte in ein externes Gehäuse zu stecken.

Bitlocker-Volllaufwerkverschlüsselung In Windows integriert verhindert, dass sie die Informationen vollständig lesen können, es sei denn, sie befinden sich auf diesem Computer.

Selbst mit/(out) all dieser Verschlüsselung sollten private, schädliche und geheime Informationen in einem verschlüsselten und passwortgeschützten Ordner gespeichert werden.

Zu diesem Zeitpunkt, wenn eine Person den Laptop stiehlt, viel Glück, NIEMALS Daten von ihm zu bekommen. Natürlich stößt dies auch auf das Problem, dass Sie jetzt, wenn jemand die Passwörter vergisst, einen Bach hinauf laufen und daher ein internes Passwort- und Benutzernamen-Suchsystem ausführen müssen, das sicher und sicher ist. Aber das ist die Natur der Sicherheit. Je sicherer Sie sind, desto weniger benutzerfreundlich ist es.

Die sichersten Computer sind sechs Fuß unter der Erde vergraben, haben keinen Netzwerkzugriff, werden ausgeschaltet und zerstört.

Wenn Bitlocker übertrieben ist, gibt es natürlich auch andere Optionen für alles verschlüsseln .

Ein weiterer Weg ist die Thin Client-Architektur, bei der keine sensiblen Daten auf dem Laptop gespeichert werden. Dies erfordert jedoch einen Server, der sich anmeldet und Dateien speichert, sowie Client- und Server-Setups und VPNs, die ebenfalls verschlüsselt werden müssen.

2
Robert Mennell

Verschlüsseln Sie zunächst die Festplatten, um die Informationen auf den Laptops zu schützen.

Sie müssen es der Polizei erleichtern, die Menschen zu finden und sie ins Gefängnis zu bringen.

Es gibt Änderungen am BIOS von Laptops, die dazu führen, dass bei jeder Verbindung mit einem Netzwerk eine IP-Adresse gepingt wird. Sie können sich dann die Quelladresse in der Tasche ansehen und eine gerichtliche Anordnung für den angegebenen ISP erhalten, um Ihnen mitzuteilen, wo sich der Laptop befindet. www.absolute.com ist ein Unternehmen, das ein solches System verkauft, mit dem ein Gerät aus der Ferne deaktiviert und verfolgt werden kann.

Ich würde auch über einen Alarm nachdenken, der ein Smart Water Spray aktiviert, wenn er ausgelöst wird. Auf diese Weise ist es einfach zu beweisen, dass sich zum Zeitpunkt des Alarms jemand im Gebäude befand.

Bei der Aktivierung besprüht das SmartWater Forensic Spray System Eindringlinge mit einer unsichtbaren Flüssigkeit, die ihre Haut und Kleidung markiert. Die Flüssigkeit ist nur unter UV-Licht sichtbar und verbleibt wochenlang auf der Haut und unbegrenzt auf der Kleidung. Es kann verwendet werden, um einen Verbrecher mit einem bestimmten Tatort zu verknüpfen, der lange nach Begehung des Verbrechens auffindbar bleibt.

Ich würde gerne das oben Genannte tun, ohne Warnhinweise mit möglichst wenigen Personen zu verfassen, die davon wissen. Es ist besser, Leute ins Gefängnis zu bringen und sie dann dazu zu bringen, das nächste Büro auszurauben, anstatt deines.

1
Ian Ringrose

Wie andere bereits erwähnt haben, müssen Sie zunächst die physische Sicherheit berücksichtigen. Am Ende eines jeden Tages sammeln Sie die Laptops zurück und schließen sie in einem Aktenschrank in einem verschlossenen Raum ab.

Ich würde ein Asset-Register einrichten, um die Marken, Modelle und Seriennummern der Laptops und anderer IT-Geräte zu protokollieren. Dies muss nichts ausgefalleneres sein als eine Tabelle. Dies würde Ihnen im Falle eines Diebstahls etwas geben, das Sie der Versicherungsgesellschaft und der Polizei übergeben können.

Eine separate Tabelle kann verwendet werden, um die Benutzer der Laptops zu protokollieren. Sie kommen zu Ihnen und fordern einen Laptop an. Sie geben ihren Namen mit einem Datenstempel in das Blatt ein. Wenn der Laptop nicht zurückkommt, wissen Sie, wen Sie anschreien müssen.

Wenn der Laptop das Gebäude verlassen muss (um in diesem Fall in den Gerichtssaal zu gehen), stellen Sie sicher, dass der Benutzer weiß, dass er finanziell dafür verantwortlich ist, wenn er beschädigt, verloren oder gestohlen wird. Die Leute gehen viel vorsichtiger mit Geräten um, wenn sie wissen, dass sie möglicherweise für die Reparatur/den Austausch bezahlen müssen.

Als ich für ein Unternehmen für technischen Support arbeitete, waren einige unserer Kunden Anwälte. Sie konnten das potenzielle Problem des Datenverlusts umgehen, indem sie über einen Terminalserver verfügten und ihre Remote-Mitarbeiter nur über diesen Zugriff auf E-Mail- und Client-Informationen zugreifen konnten. Die Laptops wurden effektiv zu dummen Terminals. Dies bedeutete auch, dass die gesamte schwere Verarbeitung auf dem Server durchgeführt wurde, sodass billigere Laptops gekauft werden konnten.

Sobald die physische Sicherheit erledigt ist, können sie die Laufwerksverschlüsselung und die Geoverfolgung von Laptops in Betracht ziehen. Wir hatten großen Erfolg mit Diensten wie AirWatch . Wir hatten immer nur ein Gerät verloren, auf dem AirWatch installiert war, und der Außendiensttechniker konnte es mit unserer Anleitung über GPS abrufen. Ich fühlte mich wie ein Spion, es war großartig! :) :)

1
Burgi

Welche Maßnahmen zu ergreifen sind, hängt davon ab, gegen welche Unannehmlichkeiten der Diebstahl Sie schützen möchten:

  • Datenverlust: Backups aufbewahren. Daten, die nur auf dem Laptop vorhanden sind, können natürlich nicht vermieden werden, wenn der Laptop offline ist. Sobald es jedoch mit einer anständigen Verbindung online ist, müssen die Daten gesichert werden.
  • Datenlecks: Verschlüsselt die gesamte Festplatte. Wenn die Verschlüsselungslösung die Schlüssel nicht aus dem Speicher löschen kann, wenn der Bildschirm gesperrt oder der Laptop angehalten ist, fahren Sie ihn stattdessen vollständig herunter.
  • Finanzieller Verlust: Der Verlust der Hardware bedeutet einen finanziellen Verlust. Der Weg, sich dagegen zu schützen, ist eine Versicherung.
  • Machen Sie es weniger attraktiv zu stehlen: Hierfür gibt es zwei Ansätze. Erhöhen Sie die Wahrscheinlichkeit, erwischt zu werden, indem Sie das Gerät verfolgen. Machen Sie die Hardware für den Dieb unbrauchbar. Die Hardware unbrauchbar zu machen, kann nicht nur mit Software durchgeführt werden, sondern erfordert bestimmte Schutzmaßnahmen, die in die Hardware selbst integriert sind. Meine empfohlene Methode, um den Wert einer Maßnahme zu messen, mit der die Hardware für den Diebstahl weniger attraktiv wird, lautet: Wie viel Rabatt ist die Versicherungsgesellschaft bereit, Ihnen zu gewähren?.

Eine schöne Funktion, die nicht in die obige Liste passt, sind Backups, die nach dem Diebstahl des Laptops funktionieren. Während der Laptop offline arbeitet und nicht sofort sichern kann, können inkrementelle Sicherungen erstellt werden, die verschlüsselt und signiert sind, und diese dann auf der Festplatte gespeichert werden. Dies kann so erfolgen, dass die verschlüsselte und signierte inkrementelle Sicherung an einen Server gesendet werden kann, ohne dass der Festplattenverschlüsselungsschlüssel bereitgestellt werden muss. Dies ist jedoch eine ziemlich komplizierte Funktion, da sie Bereiche umfasst, die normalerweise getrennt gehalten werden, sodass ich sie nicht ganz oben auf die Prioritätenliste setzen würde. Insbesondere besteht ein erhebliches Risiko, die Sicherheit der Festplattenverschlüsselung beim Hinzufügen einer solchen Funktion zu beeinträchtigen.

0
kasperd