Sicherheitskonzept für elektronische Dokumente

#1 hallo Zusammen ich habe einen Auftrag erhalten ein Sicherheitskonzept zu erstellen. Es geht darum, dass elektronische Daten sicher archiviert werden und sicher übers Internet versendet werden können.

Welche Punkte muss ich gut bedenken, welche Software könnten mir bei der Datenüberwachung behilflich sein.

Ist VPN, eine bessere Lösung als die Daten eigenhändig zu verschlüsseln (via PGP, Steganos).

Welche Programme könnt ihr mir für die Verschlüsselung empfehlen? dem ist beizufügen, dass ich das PGP9.5 (Trialversion) bereits heruntergeladen und installiert habe. Statt irgendwas mit PGP kommt Crypto Studio. sieht ziemlich kompliziert aus. Ich weiss nicht ob es wirklich das PGP ist, von dem ich immer höre, dass es benutzerfreundlich ist.
Kann mir mal jemand sagen wie das genau mit dem PGP geht?
bitte keine Verweise auf andere Artikel im Forum, habe alle durchgelesen: keiner hat was gebracht.

Bitte helft mir. ich brauche dringend und so schnell es geht Hilfe.

liebe Grüsse

#2 Ich werde dir mal einige Denkanstösse geben, mehr kannst du von mir nicht erwarten, immerhin ist das nicht mein Job und werde dafür auch nicht bezahlt.

- Wie und wo wird archiviert? Passiert das innerhalb eines Firmennetzwerks oder ausserhalb?
- Muss das erhalten der archivierten Daten per Mail geschehen, oder wäre auch eine Client/Server Lösung denkbar?

PS: In unserer Firma nutzen wir eine Archivierungslösung, welche man weltweit erreichen kann, solange man VPN Zugang zum Firmennetz hat.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#3 Um ein strukturiertes Vorgehen zu sichern und auch nach einem (bereits existierenden) Standard zu handeln (denn warum sollte man das Rad neu erfinden?) würde ich mal einen Blick in den Grundschutzkatalog vom BSI riskieren.

http://www.bsi.bund.de/gshb/deutsch/baust/b01007.htm

Bei dem Satz "ich soll ein Sicherheitskonzept erstellen" läuft's mir im Übrigen eiskalt den Rücken runter - in welchem Kontext machst Du das?
__________
the power to serve

#4 @Heptamer666
Ich danke dir für deine Antwort.
sehr freundlich von dir, dass du mich auch darauf aufmerksam machst, dass das nicht deine Aufgabe ist.

Aber für die tipps danke ich dir nochmals.


@dash

es ist im Rahmen einer Projektarbeit
eingegrenzt, ich soll eine schnelle und kostengünstige lösung zur sicherung der Datenübermittlung vorschlagen, dazu noch das sicherheitkonzept bezüglich der Datenarchiviertung:
wie wird archiviert --> per scanner,
wo "-//-" --> auf eine externe Harddisk, wegen mobilität der Mitarbeiter.
welche sicherheitsaspekte sind zu beachten? --> menschliches / technisches versagen etc.
wie kann man diese fehler vorbeugen.. usw.

ich habe halt einfach nurmühe mit diesem PGP-Schrott.


Aber ich danke dir für deinen Link und deine Hilfe.

#5 Ok, lassen wir das BSI einfach mal außen vor...

Eine kostengünstige Lösung für sichere E-Mail Kommunikation?

Da würde ich Dir ja eher GPG in Verbindung mit WinPT vorschlagen - und jeder der behauptet, GPG unter Windows wäre Gefrickel, hat noch nie mit PGP gearbeitet.

So oft, wie ich das bei Kollegen in der letzten Zeit wieder gerade ziehen musste (die Integration von PGP in Outlook ist der Horror!), wünsche ich mir wirklich, dass wir komplett auf GPG umstellen - da gibt's nichtmal ansatzweise so viel Stress

Zur Verschlüsselung von Datenträgern, Partitionen etc. bietet sich im "kostengünstigen" Bereich TrueCrypt an - imho ist das für den Einsatz in produktiven Umgebungen bereit und solange keine PreBoot-Auth gefordert ist auch völlig ausreichend.

Die sichere Datenübertragung würde ich per SFTP organisieren - kommt im Endeffekt einer VPN sehr nah (bzw. ist im Prinzip sogar VPN) , ist aber auch mit kostenlosen Tools recht leicht konfigurierbar.

Keine Ahnung, ob Dir das irgendwie weiter hilft oder Du in der Planung schon viel weiter bist, aber die Sachen schossen mir gerade noch so durch den Kopf
__________
the power to serve

#6 danke sehr für die INFOMATIONEN.
denen werde ich sicherlich nachgehen!!

eine kurze frage, wäre Sreganos nicht eine umfassende Software für alle diese Teilprogramme?

Wieso wird aus PGP Crypto Studio?

danke!!

#7 Warum aus PGP Crypto Studio wird, kann ich Dir auch nicht sagen... das PGP hier sieht aus wie immer und ich habe auch nichts von einer Übernahme mitbekommen...

Aber da bin ich wohl der falsche Ansprechpartner, da wird Dir hier sicher jemand anders helfen können

Sicher kann so 'ne eierlegende Wollmilchsau das abdecken, was Du suchst - aber mit einem Blick auf die Kosten würde ich eher zu freier Software raten (ich kann allerdings nicht abschätzen, von welchen Größenordnungen wir bei dem Projekt hier reden).

Ich kann mir nicht vorstellen, dass der Administrationsaufwand bei TrueCrypt sehr hoch ist, da es doch recht simpel und selbsterklärend ist - und solange ein ordentliches Backup der Daten vorliegt, sollte man sich auch keine Sorgen über verlorene Daten aufgrund korrupter Container oder Partitionen machen (habe ich allerdings bisher noch nicht erlebt). Lediglich vergessene Passwörter könnten ein Problem werden, mit einer zentralen Hinterlegung der Passwörter/Keyfiles an einem sicheren Ort (Safe, Bank o.ä.) sollte sich dieses Problem dann aber auch in den Griff bekommen lassen.

GPG könnte da etwas kniffeliger werden, da die Integration in Outlook (ich gehe einfach mal von Outlook als Mail-Client aus - Notes find' ich eh doof ) zwar soweit funktioniert, aber noch nicht so wirklich komfortabel ist und WinPT auch ab und zu mal hängen bleibt - aber auch nicht öfter als der PGP-Dienst auf dem Notebook meines Kollegen

Ich würde auf jeden Fall zwei "Angebote" machen - eins mit kommerzieller Software und eins mit freier.
__________
the power to serve

#8 bei PGP war es ein Installationsfehler.
jetzt sieht alles schon ganz anders aus - vorallem ganz einfach!!

das Problem bin nicht ich, i weiss, dass mein chef nicht auf Freeware steht. ER vertraut so zu sagen eher den kosten - wieso, weiss ich nicht.

Ja Outlook dient als Mail-Client bei mir. (habe aber erst die Trialversion von PGP Desktop)

werde mich noch über die Integration von PGP in Outlook erkundigen.

DANKE FÜR DEIN ENGAGEMENT

PS. deine ausdrucksweise gefällt mir.