Admin liest mit?

L

Lichtdieb

New Member
Hallo,

Ich muss voraus schicken das ich Anfänger bin was Hostet Server angeht. Ich habe bisher nur via dyndns usw einen kleinen Server betrieben. Auf meinem Server kann ich naturgemäß als Admin alles machen.

Angenommen ich lege vertrauliche Daten auf meinem Server ab die über die Oberfläche (LAMP+CMS) nur via Passwort ect zugänglich sind. Dann kommt von außen (lassen wir mal einen Hack außen vor) keiner (außer ich als Admin) an die Daten ran. Als Beispiel sollen Patientendaten dort abgelegt sein die zwar das Praxis personal nach den Regeln des CMS einsehen darf aber niemand anderer.

Wenn ich nun einen Server bei einem Hoster betreibe (Root, V-Server .. was auch immer), dann kann doch der Admin des Hosters auf alles auf dem Server liegt zugreifen oder? Also ich gehe jetzt gar nicht mal vom sniffen des Traffic aus. Aber jeder Admin kann doch zB einfach ein Backup (was ja auch beim Hoster liegt) nehmen, irgendwo aufspielen und sich alles ansehen?

Gibt es Möglichkeiten vertrauliche Daten vor einem Admin des Hosters zu schützen/verbergen? Sehe ich das als zu leicht an oder scheiden solche Server für "Geheime" Daten aus?
 
Miet' dir einen Root-Server bei einem Hoster deines Vertrauens (bringt schon mal einiges wenn du bei einem guten Hoster wie Hetzner, Host-Europe, ... bist) und verschlüssel eine Partition wo deine vertraulichen Daten gelagert sind. Ändere das Root-Passwor damit dein Hoster dieses nicht mehr weiß, sei dir sicher, dass kein Backdoor eingebaut ist (haben paar Hoster aus supportzwecken) und vor allem: Sei sicher, dass deine Software sicher ist ;-)

Eines will ich voraus schicken: Wenn jemand an deine Daten will, dann kommt er da auch ran. ;-)

Edit: Und greiffe nur via SCP oder SSL auf deinen Server zu, dann ist das Traffic-Sniffen Problem auch weg.
 
Last edited by a moderator:
Die Partition mag verschlüsselt sein, aber während dem Betrieb kann man ohne Passwort drauf zu greifen. Auf einem virtuellen Server kann der Host-Admin je nach Virtualisierung relativ leicht chrooten und dann nützt die verschlüsselte Partition nichts.

Server mit Patientendaten gehören hinter eine dedizierte Firewall. Externer Zugriff hinter diese Firewall sollte nur per verschlüsseltem VPN erfolgen.
 
Xarem said:
Eines will ich voraus schicken: Wenn jemand an deine Daten will, dann kommt er da auch ran. ;-)
Click to expand...

Achja und deshalb weiss ich auch welche Pinnummer deine EC Karte hat...
Diese Aussage ist schlichtweg falsch.
Mit der richtigen verschlüsselung beißt sich sogar die CIA die Zähne aus.
1024 bzw. 2048 Blowfish z.B.

Xarem said:
Edit: Und greiffe nur via SCP oder SSL auf deinen Server zu, dann ist das Traffic-Sniffen Problem auch weg.
Click to expand...

Richtig

mr_brain said:
Die Partition mag verschlüsselt sein, aber während dem Betrieb kann man ohne Passwort drauf zu greifen.
Click to expand...

Hast du da ein konkretes Beispiel ?

Lichtdieb said:
Wenn ich nun einen Server bei einem Hoster betreibe (Root, V-Server .. was auch immer), dann kann doch der Admin des Hosters auf alles auf dem Server liegt zugreifen oder? Also ich gehe jetzt gar nicht mal vom sniffen des Traffic aus. Aber jeder Admin kann doch zB einfach ein Backup (was ja auch beim Hoster liegt) nehmen, irgendwo aufspielen und sich alles ansehen?

Gibt es Möglichkeiten vertrauliche Daten vor einem Admin des Hosters zu schützen/verbergen? Sehe ich das als zu leicht an oder scheiden solche Server für "Geheime" Daten aus?
Click to expand...

In der Regel beruht das Geschäftsmodell eines "vernünftugen" Hosters nicht darauf deine Daten zu klauen und dich anschließend damit zu erpressen.
Um dich aber abzusichern würde ich keinen vserver nehmen, sondern einen Rootserver. Verschlüssle dazu dein Filesystem mit dem Crytoverfahren deiner Wahl. Wichtig ist, dass du auch deine Backuparchive verschlüsselst, bevor sie auf den ftp wandern.
Bitte auch den Performanceaspekt beachten.

Happy crypting wünsche ich
 
chris085 said:
Achja und deshalb weiss ich auch welche Pinnummer deine EC Karte hat...
Diese Aussage ist schlichtweg falsch.
Mit der richtigen verschlüsselung beißt sich sogar die CIA die Zähne aus.
1024 bzw. 2048 Blowfish z.B.
Click to expand...
Ich meine damit, Daten welche im Netz auf irgend einem Root-Server lungern. Kein System ist zu 100% sicher, man kann nur die Chance extrem minimieren und es somit fast unmöglich (für 99,9% der Cracker) machen
 
Lichtdieb said:
dann kann doch der Admin des Hosters auf alles auf dem Server liegt zugreifen
Click to expand...
Legen wir doch mal ein paar Begriffe fest:
Admin eines (Miet-)Servers bist Du.
Die Mitarbeiter eines Providers/Hosters nennt man "Supporter".

Aber jeder Admin kann doch zB einfach ein Backup (was ja auch beim Hoster liegt) nehmen
Click to expand...
Du kannst als Admin selbst entscheiden, ob und wie ein Backup erstellt wird.
Es gibt auch die Möglichkeit von verschlüsselten Backups. (Z.B. ftplicity)

Xarem said:
man kann nur die Chance extrem minimieren
Click to expand...
Dies kann man mit aller Deutlichkeit unterstreichen!
Hierzu gehört aber gehöriges Knowhow. Solange man dies nicht hat, sollte man entweder jemanden finden, der es kann, oder es sein lassen. Zumindest wenn es um Patientendaten geht.

huschi.
 
Danke

Eure Antworten decken sich in etwa entsprechen auch mit meinen Bedenken.

Huschi said:
Legen wir doch mal ein paar Begriffe fest:
Admin eines (Miet-)Servers bist Du.
Die Mitarbeiter eines Providers/Hosters nennt man "Supporter".
Click to expand...
Stimmt, Admin ist sicher irreführend. Hatte mich da falsch ausgedrückt, klar das der „Supporter“ nicht im klassischen Sinne der User Admin ist.

Huschi said:
.... aber gehöriges Knowhow. Solange man dies nicht hat, sollte man entweder jemanden finden, der es kann, oder es sein lassen.
Click to expand...
Ich denke wenn ich das so mit meinem Wissensstand (Stand heute) und Möglichkeiten kombiniere denke ich es sollte wohl doch eher ein Server Inhouse mit Standleitung sein. Das ist zwar um einiges teurer aber besser zu kontrollieren. Klar muss der Server von außen „dicht“ sein aber das unterschiedet sich ja nicht bei den beiden Lösungen Inhouse oder Hoster.

Danke nochmal allen für die Antworten
 
Frage:
Warum genau muss der Server mit den Patientendaten von "außer Haus" erreichbar sein? Reicht es nicht, einen Rechner in das (vorhandene?) LAN in der Praxis zu implementieren und diesen als Server zu nutzen? Dürfte durchaus mit einer Kostenreduktion verbunden sein.
 
Es ist ein hosted System für Praxen. Sprich die Praxis hat gar keinen Server mehr sondern alles wird in einem Mandantenfähigen System abgewickelt.
 
Also ich würde sagen, dass es keinen sonderlich großen Unterschied macht, ob du den Server bei dir "zu Hause" absichern musst oder in einem Rechenzentrum.
Wsl. ist das Rechenzentrum gegen Diebstahl, Wasserschäden, USV, Klima,... besser gerüstet als irgendein Serverraum (wenn denn überhaupt) bei dir.

Es wurde soweit alles schon gesagt - Platten verschlüsseln (für den Fall, dass sie entwendet werden) und Backups verschlüsselt abspeichern. Dann natürlich Zugriff von den Mandanten auf den Server nur über SSL/VPN.

Bis auf die höheren Kosten (bei Standleitung) hast du also keinen Unterschied ob du den Server daheim an ner Standleitung betreibst, oder gleich mit richtiger Anbindung und Umfeld in einem entsprechenden Rechenzentrum! Für die Kosten einer entsprechenden Standleitung (+Server) kannst du dir ja locker gleich zwei Server in zwei unterschiedlichen Rechenzentren ordern und zwischen diesen Backups/Heartbeat fahren.

Nochmal zusammengefasst: Egal ob "daheim" oder im Rechenzentrum - das richtige Wissen benötigst du auf jeden Fall. Wenn da (Patienten-)Daten abhanden kommen möchte ich nicht in deiner Haut stecken!

Grüße Johannes
 
Die Supportmitarbeiter können auf das System zugreifen.

Weswegen sollte ein Mitarbeiter von einen Kunden die Daten auslesen?
Das verstößt gegen den Datenschutz und das wissen die Hoster auch.
Und das sind empfindliche Strafen.

Du musst mir mehr Sorgen um die Scriptkiddies machen. :p
 
Diebstahl, Mord & Vergewaltigung sind auch verboten - hält das jemanden davon ab? :p

Spaß bei Seite - zu Hause hat er eben den Vorteil, dass seine Festplatte soweit vor "Fremdzugriffen" geschützt ist. Im RZ allerdings dürfte das genauso wenig einen interessieren - da sollten wohl einige Tausend Platten laufen, als ob da noch einer sich die Mühe macht auf jede Platte zu gucken, was interessantes drauf ist. Verschlüsselung wie gesagt ist ja eine der Möglichkeiten.
 
Ihr müßt aber auch bedenken, daß bei einer verschlüsselten Platte beim Neustart der Kiste ein Passwort angegeben werden muß, spätestens aber beim Mounten derverschlüsselten Partition. Außerdem schützt die Verschlüsselung nur, wenn die Festplatte aus dem Server ausgebaut wird oder z.B. über das Rettungssystem drauf zugegriffen wird. Solange der Server läuft, bringt die Verschlüsselung nichts (da für die Anwendungen transparent) und wenn jemand in den laufenden Server einbricht, dann kommt er ja an die Daten ran, denn der Server erledigt das Entschlüsseln automatisch für den Einbrecher.
 
Jo klar - extra Datenpartition und diese dann nach dem Hochfahren des Servers mit Passwort mounten. Dass er den Server im laufenden Betrieb vor Zugriff schützen muss ist klar - da ist es aber egal ob das Teil daheim oder im Rechenzentrum steht, weil die Bedrohung ja aus dem Netz kommt...

Das Verschlüsseln der Platte ist nur zum Schutz, falls jemand so toll ist und die Platte im Rechenzentrum z.B. aus dem Raid zieht und minimmt, oder daheim der Server/Platten geklaut werden.

Grüße,
Johannes
 
Ist das Thema nicht schon ausgelutscht? Nein?
Gut, dann mach ich noch weiter:

Bitte denkt daran, dass es auch ein Leben nach dem Tot gibt!
Sprich: Hardware-Schaden oder neuer Server und Alter wird liegen gelassen.
In dem Fall ist es immer gut die sensiblen Daten auf einer verschlüsselten Platte zu haben, die danach keiner mehr lesen kann.
Denn wisst Ihr wirklich, was mit Euren Servern nach der Vertragslaufzeit geschieht und wer die Festplatten dann alles in die Hände bekommt?

huschi.
 
ACK! Ich wollte auch eigentlich primär drauf hinweisen, daß die Verschlüsselung kein Allround-Schutz ist und man nach einem Server-Neustart noch mal Hand anlegen muß, um alles wieder am Laufen zu haben.
 
Für die Speicherung sensibler Daten wie z. B. von Patientendaten gibt es gesetzliche Vorschrift. Das Bundesdatenschutzgesetz und die entsprechenden Verordnungen der Länder sind da z. B. nur ein kleiner Anfang.

Bezüglich Sicherheit im RZ: Ich weiß nicht, warum bei Patientendaten alle in ein "Kindergarten-RZ" wollen. Es gibt durchaus spezialisierte Dienstleister, die Rechenzentren für die Finanz- und Gesundheitsindustrie betreiben. Diese Industrien haben i. d. R. ein gesteigertes Interesse an der Sicherheit ihrer Daten und sind natürlich auch bereit, dafür entsprechend zu bezahlen.

Darüberhinaus kann man in richtigen Rechenzentren™ auch einen eigenen Cage unterbringen. Dazu haben dann auch die Mitarbeiter des Rechenzentrums i. d. R. keinen Zutritt, sondern nur die eigenen Mitarbeiter. Klar, mit Schweißbrenner und Brecheisen kommt man im Zweifel trotzdem an die Hardware, allerdings fällt dieser Vorgang eher auf, als ein missmutiger, gerade gefeuerter Mitarbeiter, der nur an ein Rack geht und dort ein paar Festplatten mitnimmt. Dass dieses Plus an Sicherheit mehr kostet als der 49 EUR/Monat Server beim Massenhoster nebenan, sollte klar sein.

Also Lichtdieb, nimm bitte ganz schnell Abstand von der Idee, diese Daten bei einem Massenhoster wie Hetzner, Host Europe oder Serverloft unterzubringen. Das geht ganz schnell in die Hose, wird teuer und gibt Tränen.
 
Ich hatte schon geschrieben das das RZ nicht mehr auf dem Plan steht. Bei dem Thema Datensicherheit würde ich mir sogar im "Kindergarten RZ", :confused: was auch immer damit gemeint ist, weniger Sorgen machen als bei 50 Rechnern(Servern) in 50 Praxen.

Wie schon gesagt, das Thema RZ ist für uns erstmal vom Tisch. Danke nochmal für den ganzen Input. :) Ich haben fertig. :)
 
You must log in or register to reply here.
Back
Top