[pnin]

hallo zusammen,

wie schütz man sich am besten davor, dass der rechner nach programmen und dokumenten ausspioniert wird?

macht es sinn, dass man beispielsweise mit einem benutzerkonto (surf) ausschließlich ins internet geht und ein weiteres konto (office) hat, mit dem man arbeitet (programme/dokumente)?

ich stell mir das so vor, dass das surf konto nicht "weiß" welche programme installiert und welche dokumente auf dem rechner sind... kann man da irgendwelche rechte verteilen oder macht das alles keinen sinn?

wie schützt ihr euch davor, dass jemand eure rechner durchsucht?

danke für die hilfe,
besten gruß,
pnin

[spartan-b292]

Zitat:

macht es sinn, dass man beispielsweise mit einem benutzerkonto (surf) ausschließlich ins internet geht und ein weiteres konto (office) hat, mit dem man arbeitet (programme/dokumente)?

Nein dafür ein extra Konto zu verwenden bringt keine höhere Sicherheit.
Eine gut (aber gewöhnungsbedürftige) Maßname ist es verschiedene Virtuelle Maschinen (VM) zu verwenden.
Du richtest dir also zum Beispiel eine VM für Online Banking ein, eine zweite wenn du z.B. mit Firmen Dokumenten arbeitest usw usw. eben halt für jede Anwendung die du "schützen" willst eine extra VM.
Als Betriebssyste bei vielen VMs könnte z.B. Ubuntu (Linux) interessant sein, da es kostenlos und im Vergleich zu Win 7 Recourcenschonend ist, außerdem bietet es auf Grund der geringen Verbreitung von Linux Viren eine relative Sicherheit.

Dein Eigentliches Betriebssystem solltest du nur zur Installation/Deinstallation als Admin verwenden, aktuelle Virenscanner & Co. verstehen sich von selbst.

Zitat:

wie schützt ihr euch davor, dass jemand eure rechner durchsucht?

Einmal so wie oben beschrieben, indem ich diverse VMs habe die von Zeit zu Zeit einfach gelöscht und durch eine frische ersetzt werden. Außerdem ist alles bei mir Verschlüsselt, Festplatten, Emails, Chats usw...

[spartan-b292]

Es geht aber darum, was bei einer Durchsung des Computers passiert: Das einfache mounten der Festplatte mit einer Linux live cd ermöglicht es ohne Probleme und unabhängig davon von welchem User die Daten sind, darauf zuzugreifen.

Das User a nicht auf die Daten von B kommt ist logisch aber darum geht es bei einer Durchsung des Rechners nicht. Außerdem ist es völlig unpraktikabel sich für eine Anwendung jedes mal wieder aus und einzuloggen.

@pnin von welchem Szenario gehst du denn aus?
Durchsuchung im Sinne von: Dein Rechner wird von der Staatsanwaltschaft beschlagt nahmt.
Durchsuchung im Sinne von: Du gehst aus dem Zimmer und willst verhindern, dass ein Freund sich durch deine Dateien klickt?
Durchsuchung im Sinne von: Rechner wird z.B. von einem Trojaner befallen, wie davor schützen?

[urmel88]

Ein neues Benutzerkonto für eine neue Anwendung ist bei Windows so sinnvoll wie ein Placebo gegen Parkinson. Selbst ein Konto mit eingeschränkten Benutzerrechten macht es für einen geübten Angreifer nicht schwerer an die Daten zu kommen, da er sich nicht für 0815 Nutzer interessiert sondern direkt auf die Schiene des Systemadmins geht. Was ja bei Windows nun nicht das riesen Problem darstellt.

Wenn du es wirklich sicher angehen willst, kommst du an der Variante mit den VMs nicht vorbei. Zugegeben eine sehr Zeit und Mühe intensive Sache, allerdings auch im Verhältnis und mit der richtigen Einstellung der VM sehr sicher.

@ Nemesis_22

Ein reiner AV Sanner wird in dem Fall wohl mehr als überfordert sein. Dafür benötigt man schon etwas mehr Fingerspitzengefühl. Am besten einen Laufzeitschutz, wie ihn viele Hersteller in Zusammenhang mit Ihren Firewalls anbieten. Aber das ist natürlich auch kein perfekter Schutz. Ist erst eine Maleware versteckt unter einem Rootkit auf dem PC, kriegen das 99% aller AV-Scanner eh nicht mehr mit. Woher auch? Hast du ein Kernel Rootkit (Ring 0) steht es immer vor deiner normalen AV-Software im Userland (Ring 3), damit hat es alle Möglichkeiten der Welt, dein AV Programm aus zu tricksen. Außerdem gibt es nur ganz wenig Sicherheitssoftware, der es vergönnt ist, auf Ring 0 des Systems mit eingebunden zu werden. Ein Grund warum Microsoft Security Essentials so gut abschneidet.

MfG Urmel

[pnin]

vielen dank urmel und spartan... werde mir diese VM mal genauer ansehen (habt ihr da einen tutorial tipp oä, auch bzgl einstellungen)

fressen diese vm cpu-ressourcen?

@spartan, meinte fall 3: wie schützt man sich davor, dass computer /inhalt übers internet ausspioniert wird... durch trojaner oder installierte programme...

okay, da war ich wohl blauäugig anzunehmen, dass man das durch benutzerkonten und eine zuordnung von prg und dokumenten zu einem konto, welches dann nie ins internet geht, so etwas verhindern kann...

vielen dank nochmal und besten gruß,
pnin

[spartan-b292]

Also als VM kannst du VirtualBox nehmen.
Tutorials gibt es da zu hauf einfach mal bei Google Virtualbox tutorial. Installier dir VB setze eine VM auf, klone die VM ggf. wenn du mehrere VMs brauchst und dann kannst du dich nochmal melden wie viele VMs du hast, welches OS du in den VMs verwendest.

Zitat:

fressen diese vm cpu-ressourcen?

Ja nicht nur das, es wird auch Platz auf der Festplatte benötig (Virtuelle Festplatte), RAM und eben CPU Leistung, übernimm einfach die von VB vorgeschlagenen Einstellungen bezüglich dieser drei Punkte damit liegst du eigtl ganz gut und das sollte den Host auch nicht allzusehr belasten.

[[A]ltair]

Edit zu spartan-b292's Post:

Es übernimmt auch GraKa Speicher, und die restl. Kompnenten die dein PC auch braucht.
Aber das ist ja logisch.

An Treibern muss man da also nix installieren.

[Neocon]

Ein anderes Konto ist natürlich erstmal ein Anfang. Selbstverständlich sollte ein anderer Nutzer nicht das selbe Konto wie du benutzen. Aber allein auf einen Windowsrechner bringt das erstmal wenig, denn es besteht so noch ein Sicherheitsrisiko.

Sollte Jemand deinen Rechner so in die Finger kriegen, kann er immernoch über Hardwarehacking oder durch simples Hacking von deinen Admin an deine Daten herankommen. Ebenso, wenn natürlich Jemand so deine Festplatte in die Finger bekommt. Nicht nur Polizeiermittler, sondern auch der normale User, der auch auf die Hardware des Rechners Zugriff hat, könnte hier zum Problem werden.

Deswegen solltest du deine Hardware am besten verschließen. Also in einen Schrank einschließen und ständig deine Kabel auf Manipulation untersuchen, z.B. auf Zwischenadapter, die deine Keyboardtasten auslesen können (Stichwort: Hardwaresniffer). Das schützt erstmal oberflächig vor Hardwareangriffen. Der Polizei ist es wiederum egal, denen mußt du den Zugriff in den Schrank gewähren. Hier kann ein Verschlüsseln der Daten weiterhelfen. Versuch es also mal mit TrueCrypt. Aber es gibt gesetzliche Regelungen, bei denen du den Schlüssel zum entschlüsseln herausgeben musst. Hier solltest du dich rechtlich erstmal vorinformieren.

Weiterhin könnte dir ein Terminalserver im Zusammenhang einer VDI helfen:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Natürlich solltest du Jemand haben, der sich damit auskennt und entsprechende Infrastrutkur aufbaut.
Wie es dann funktionieren sollte:
Dein Rechner fährt nur mit einer virtuellen Maschine hoch, die zentralisiert von Terminalservern geladen wird. Je nachdem für was es für ein Arbeitsumfeld gedacht ist, kannst du es darauf spezifizieren. Ein Unternehmen mit nur einpaar Anwendern, braucht nicht so viele Ressourcen, wie ein Unternehmen mit viel mehr Anwendern. Natürlich kommt es auch darauf an, wofür es gedacht ist, ebenso wenn es für private Zwecke genutzt wird. Ressourcenteilung kannst du auch vornehmen, indem du unterschiedliche Server schaffst und die Aufgaben dort verteilst. Auf einen Datenserver kannst du dann z.B. diverse Daten von deinen Nutzern ablegen lassen, die wiederum verschlüsselt werden.

Dann kannst du auch einen seperaten Server einrichten, über die deine Benutzer surfen und dazwischen noch alles mit Firewalls geschützt ist. Je nach Anwendung kannst du auch nur einen Surfrechner zur Verfügung stellen, wenn andere Mitarbeiter kein Internet zum Arbeiten brauchen - also hardwareseitig getrennte Netzwerke schaffen.

Wie du deine Netzwerkinfrastruktur aufbaust, hängt erstmal davon ab wofür du sie brauchst. Es gibt ganze Unternehmen, die sich damit befassen und individuelle Lösungen für ihre Kunden entwickeln. Je sicherer du es machen willst, desto mehr mußt du dich im Netzwerk auskennen. Als Privatmann mit einen Rechner allein, reicht es schon aus, wenn du deine Daten verschlüsselst und z.B. deine Surfspuren sauber vom Rechner löschst. Ein anderer Benutzer auf dem selben Rechner, weiß dann so nicht, welche Seite du angesurft hast, oder was du für Daten auf deinen Rechner nutzt.

[pnin]

okay danke... aber ich glaube das geht weit über meine sicherheitsansprüche hinaus trotzdem interessant was alles möglich ist, und was ihr alles wisst! finde es als laie interessant, eure antworten, die weit über chip-forum posts hinausgehen zu lesen...
- hehe, glaube kaum, dass sich polizei oä für meine (office)dokumente interessiert... war eher grundsätzlich eine frage zur sicherheit...

hat man denn einiges an sicherheit gewonnen, wenn man auf so einer vm linux installiert und darüber surft oder online-banking ect macht?
(edit: ups, gerade oben gelesen, dass sparta das mit linux ja schon erwähnt hat)

[pnin]

habe also mit virtualbox eine ubuntu-maschine erstellt, mit der ich in zukunft ins internet gehen werde...

hatte hier etwas verwirrendes gelesen
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
da heißt es, dass mit virtualbox beide rechner, also host wie vm ins internet gehen und die mac adresse extra im router gelöscht/nicht autorisiert werden sollte, damit der host pc nicht auch zeitgleich ins netz geht?

muss ich noch zusätliche einstellungen vornehmen, wenn ich nur mit der vm ins internet gehen möchte? muss ich den host pc manuell exra aussperren?

kann die vm auf dem konto mit eingeschränkten rechten installiert werden, besser als auf admin?

ups, sorry für die einzwei folgefragen...
mh, eine dritte hätte ich noch: gibt es ein hotspot shield äquivalent für linux? damit usa ip... um hulu.com nutzen zu können...

besten gruß,
p

[haze303]

Es gibt für mich persönlich keinen triftigen Grund, warum man dem Host-System zwingend den Zugang zum Internet verweigern sollte.
Man muss sich nur daran gewöhnen, dass alle Surf- und Downloadtätigkeiten über die VM zu tätigen sind, kann aber dennoch sein Host, der in deinem Fall auf Windows läuft, z.B. zum Onlinespielen benutzen.
Ich würde empfehlen ClamAV auf dem Ubuntu System zu installieren, um alle Downloads gleich in Ubuntu auf Viren überprüfen zu können.
Sollte man diese Konsequenz durchziehen, dann gibt es keinen Grund, warum man den Host aussperren sollte - vorausgesetzt, dass der Host trotz allem Geschützt durch eine gute Anti-Malware-Suite, der Router Firewall und der Windows Firewall.
Sollte man natürlich feststellen, dass man nicht die erforderliche Konsequenz mitbringt, dann sollte man dem Host definitiv den Zugang zum Internet verweigern.

Zur Frage bzgl. Hotspot Shield: Entweder du benutzt TOR (kostenlos, aber unter Umständen untragbar langsam) unter Linux, einen Proxy Server (entweder kostenlos oder kostenpflichtig - die kostenlose Variante wird unter Umständen ebenfalls unbefriedigend langsam sein), einen VPN Tunnel (wird Kosten verursachen) oder einen ebenfalls käuflichen SSH Tunnel.

Viele Grüße,
haze303

[NACOTIC]

Zitat:

Zitat von pnin

...
wie schütz man sich am besten davor, dass der rechner nach programmen und dokumenten ausspioniert wird?

genau wie haze303 gesagt hat, alles über die VM runterladen etc... und so wie du es schon gesagt hast, mach es über eine linux- lösung (wobei da die einsteigervariante ubuntu bestens geeignet sein sollte...) und bevor du von den downloads irgendwas nutzt, guck doch erstma mitn nem anti-vir- scanner rein ;-P

damit biste zumindest schonmal etwas sicherer unterwegs..

[3D Freak]

Das beste was du immer noch machen kannst,(So wie ich)
Deine wirklich wichtigen Dokumente usw. auf einen PC lagern der nicht mit dem netz verbunden ist.
Sofern den ein 2. PC vorhanden. Ist aber immer noch die sicherste Methode.