Thema "SQL-Onlinesicherung Passwortschutz?" in Technisches zu Software

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Sun, 02 Apr 2023 18:14:10 GMT

Hallo, kann man die BAK’s der Onlinesicherung auch direkt mit Passwort/Aes256 verschlüsseln lassen?

SQL-Onlinesicherung Passwortschutz?

Christian_Tölle — Mon, 03 Apr 2023 10:00:27 GMT

Hallo boomboom,

diese Funktion ist nicht vorgesehen.

Mit freundlichen Grüßen aus Nürnberg

Christian Tölle
Service Systemplattform/Basisdienste Ausgabe
DATEV eG

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Mon, 03 Apr 2023 10:28:38 GMT

Hallo Herr Tölle,

danke für die Antwort.

Ist denn da was geplant?

Letztlich lassen diese BAK's am leichtesten aus dem System ziehen, sofern irgendjemand darauf Zugriff erlangen sollte.

https://learn.microsoft.com/de-de/sql/relational-databases/backup-restore/backup-encryption?view=sql-server-ver16

P.S.: ist das die Verschlüsselung, nur nicht nutzbar?

SQL-Onlinesicherung Passwortschutz?

siro — Mon, 03 Apr 2023 12:17:16 GMT

@Gelöschter Nutzer schrieb:

Letztlich lassen diese BAK's am leichtesten aus dem System ziehen, sofern irgendjemand darauf Zugriff erlangen sollte.

Aber es kann doch nur der Administrator auf die Backup Dateien zugreifen, der Schutz sollte ja ausreichend sein

1080091: Nur Administratoren und das lokale Systemkonto können den Inhalt des Sicherungsverzeichnisses kopieren. Wenn Ihre Datensicherung einen anderen Benutzer verwendet, gehen Sie wie folgt vor:

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Mon, 03 Apr 2023 13:08:36 GMT

@siro

sollte... ein 50-stelliges Passwort und AES256 fänd ich besser.. komprimiert wird es ohnehin. Da kann man auch direkt ein Schloss dranhängen.

SQL-Onlinesicherung Passwortschutz?

Christian_Tölle — Wed, 05 Apr 2023 05:34:39 GMT

Hallo boomboom,

wir verwenden keine Verschlüsselung bei den bak-Dateien.

Unser Sicherheitskonzept hat siro dankenswerterweise gepostet.

Mit freundlichen Grüßen aus Nürnberg

Christian Tölle
Service Systemplattform/Basisdienste Ausgabe
DATEV eG

SQL-Onlinesicherung Passwortschutz?

metalposaunist — Wed, 05 Apr 2023 07:00:09 GMT

@siro schrieb:
Aber es kann doch nur der Administrator auf die Backup Dateien zugreifen, der Schutz sollte ja ausreichend sein

Und dank etwaiger und in der Vergangenheit bekannter Lücken, kann man auch normale Konten durch gezielte Angriffe mit den passenden Rechten versehen/hochstufen (Rechteausweitung).

Und wenn es sogar eine Option dazu gibt aber diese deaktiviert ist? Hm. DATEV steht doch immer für Hochsicherheit und Sicherheit über alles, dass die Usability sogar drunter leidet und hier lässt man Möglichkeiten aus? Hm.

SQL-Onlinesicherung Passwortschutz?

janm — Wed, 05 Apr 2023 07:16:52 GMT

Wenn ein Angreifer sich an dieser Stelle Rechte verschafft hat, dann interessieren ihn die SQL Backups sicherlich am wenigsten, da er sich dann seine Backups auch selber ziehen kann, bzw. steht dem Angreifer dann eh Tür und Tor offen.

Für die Verschlüsselung wird der Angreifer dann früher oder später sicherlich auch noch sorgen, ohne diesen Haken im SQL Manager. 😉

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Wed, 05 Apr 2023 07:42:56 GMT

@janm

das dürfte aber eher auffallen… ich würde zusätzlich alles verschlüssen, was geht…

SQL-Onlinesicherung Passwortschutz?

metalposaunist — Wed, 05 Apr 2023 07:43:00 GMT

Und wenn man die Backups am anderen Ort speichern will, muss man sich beim gesamten Ort an sich um eine adäquate Verschlüsselung kümmern?

SQL-Onlinesicherung Passwortschutz?

janm — Wed, 05 Apr 2023 07:59:59 GMT

@Gelöschter Nutzer : Bei den heutigen (Ransomware) Angriffen, wäre ich mir nicht sicher, ob das tatsächlich mal eben so (und schnell) auffällt.

Hier wäre etwas, was die DATEV implementiert hat und stetig weiterentwickelt, damit sowas (schnellstmöglich) auffällt bzw. von vorneherein unterbunden wird: https://events.splunk.com/DATEV_MITRE_ATTCK

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Wed, 05 Apr 2023 08:13:34 GMT

@janm

100% sicher kann man sich eh nie sein.. dennoch sollte man einfach soviel verschlüsseln, wie eben geht.. und das wäre in dem Fall nicht so schwer.

SQL-Onlinesicherung Passwortschutz?

siro — Wed, 05 Apr 2023 08:15:55 GMT

@Gelöschter Nutzer

sollte... ein 50-stelliges Passwort und AES256 fänd ich besser.. komprimiert wird es ohnehin. Da kann man auch direkt ein Schloss dranhängen.

"Vorne" die Haustür abschließen ist immer besser als "hinten" die Schubladen

@metalposaunist

Und dank etwaiger und in der Vergangenheit bekannter Lücken, kann man auch normale Konten durch gezielte Angriffe mit den passenden Rechten versehen/hochstufen (Rechteausweitung).

Es gibt zum Glück vielfältige Möglichkeiten den Administrator abzusichern, SmartCard, 2FA, Delegierung etc. das Netz ist voll davon

Und wenn man die Backups am anderen Ort speichern will, muss man sich beim gesamten Ort an sich um eine adäquate Verschlüsselung kümmern?

Wenn die Partition auf welcher die SQL DBs liegen nicht eh schon ver-Bitlockert ist, kann man ja die BAK auf eine Bitlocker geschützte Partition legen.

Und auch populäre NAS können Partitionen verschlüsseln

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Wed, 05 Apr 2023 08:22:36 GMT

@boomboom
sollte... ein 50-stelliges Passwort und AES256 fänd ich besser.. komprimiert wird es ohnehin. Da kann man auch direkt ein Schloss dranhängen.
"Vorne" die Haustür abschließen ist immer besser als "hinten" die Schubladen

@siro

schon richtig, aber wenn die Tür geknackt wird und direkt dahinter das Gold offen rumliegt..

es wäre kein großer Aufwand diese BAK's direkt zu verschlüsseln und das verschafft ein kleines bisschen mehr Sicherheit..

SQL-Onlinesicherung Passwortschutz?

vogtsburger — Wed, 05 Apr 2023 08:24:36 GMT

@Gelöschter Nutzer ,

das Verhindern der Verschlüsselung durch Ransomware ist mir eindeutig wichtiger als die eigene Verschlüsselung der SQL-Online-Sicherung

Ransomware könnte auch verschlüsselte *.bak-Dateien bestimmt ohne Probleme zusätzlich neu verschlüsseln

... die Ganoven von der Ransomware-Front sind sicher nicht an den Inhalten der *.bak-Dateien interessiert, sondern nur am Lösegeld

SQL-Onlinesicherung Passwortschutz?

janm — Wed, 05 Apr 2023 08:27:54 GMT

@Gelöschter Nutzer schrieb:
schon richtig, aber wenn die Tür geknackt wird und direkt dahinter das Gold offen rumliegt..

es wäre kein großer Aufwand diese BAK's direkt zu verschlüsseln und das verschafft ein kleines bisschen mehr Sicherheit..

Warum soll der Angreifer in den Keller gehen und den Tresor mit dem "verschlüsselten Gold" mitnehmen anstatt die unverschlüsselten live Daten abzuziehen?

Verschlüsseln der Backups ist ne tolle Sache und macht Sinn bzw. ist Pflicht, wenn diese außer Haus - bspw. in die Cloud oder auf entsprechende portable Medien - gehen.

Bei einer Kompromittierung der IT Infrastruktur helfen verschlüsselte Backups nicht.

SQL-Onlinesicherung Passwortschutz?

siro — Wed, 05 Apr 2023 08:41:57 GMT

@Gelöschter Nutzer schrieb:

schon richtig, aber wenn die Tür geknackt wird und direkt dahinter das Gold offen rumliegt..
es wäre kein großer Aufwand diese BAK's direkt zu verschlüsseln und das verschafft ein kleines bisschen mehr Sicherheit..

Das kann man jetzt endlos weiterspielen 😁

Aber der Grundgedanke ist: Die erste Hürde muss die Größte und möglichst sicher sein! Wie @janm schon geschrieben hat, wenn erstmal jemand als Administrator drin ist hat er ganz andere Möglichkeiten. Er könnte z.B. die Verschlüsselung der BAK auf einen anderen Wert ändern, ZACK 😎

Außerdem wäre dieser Eindringling ja gar nicht auf die BAK angewiesen, weil er hat ja direkten Zugriff auf die Originale!

Edit : Hergebrannt

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Wed, 05 Apr 2023 09:30:35 GMT

@siro

wenn er denn weiss, wie…….

die neuste generation verschlüsselt gar nicht mehr, sondern zieht nur noch daten ab und erpresst mit veröffentlichung.. so meine letzte info.

SQL-Onlinesicherung Passwortschutz?

janm — Wed, 05 Apr 2023 10:35:50 GMT

@Gelöschter Nutzer schrieb:
@siro
wenn er denn weiss, wie…….

Es "soll" da schon Fälle gegeben haben, wo in der Erpressungsmail Screenshots aus dem DATEV Arbeitsplatz samt Stammdaten Export im CSV beigefügt waren.

Aber gut, "die" wissen vermutlich nicht "wie"... 😉

SQL-Onlinesicherung Passwortschutz?

Gelöschter Nutzer — Wed, 05 Apr 2023 10:58:17 GMT

sind ja mehr als einer…. 😉