Verschlüsselung aller Festplatten und Backups?

Question

Ein Kollege meinte am Wochenende zu mir, eine Verschlüsselung aller Festplatten wäre Pflicht damit bei Diebstahl des Servers die Patientendaten nicht lesbar sind. Weiss jemand was dazu?

Benutzt jemand die OSX-interne Verschlüsselung FileVault um den Server und damit auch die Backups zu verschlüsseln? Ich hätte kein gutes Gefühl es am Server zu installlieren.

Answer 1

Hallo guten Abend Herr Dr. Balogh,

anbei ein paar Links zum Thema Datenschutz in der Arztpraxis im Allgemeinen:

https://www.aerzteblatt.de/archiv/136888/Datenschutz-in-der-Arztpraxis-Gute-Organisation-ist-hilfreich

https://www.aerzteblatt.de/archiv/160611/Empfehlungen-zur-aerztlichen-Schweigepflicht-Datenschutz-und-Datenverarbeitung-in-der-Arztpraxis

http://www.allgemeinarzt-online.de/a/schutz-von-patientendaten-in-der-arztpraxis-1764152

http://ap-verlag.de/Online-Artikel/Vertikal%20Healthcare%202%202010/201002%20Datensicherung%20auf%20externen%20Festplatten%20Arzt.htm

http://www.digittrade.de/shop/product_info.php/info/p410_DIGITTRADE-HS256S-2TB-High-Security-externe-Festplatte.html

 

Kurz zusammengefasst: Sie müssen für Ihre Praxis sicherstellen, dass niemand an Ihre Patientendaten kommen kann.

Gerade bei einer USB Festplatte ist das so eine Sache. Sie könnte außerhalb der Praxis in unbefugte Hände geraten, so dass Sie zumindest dafür Sorge tragen müssen, dass die Platte elektronisch abgeschlossen ist. Sie werden somit nach dem Anschluss an einen neuen Rechner mittels einer Sicherheitssoftware nach einem User und einem Kennwort gefragt. Besser ist es jedoch, wenn das Sicherheitssystem schon fest in die jeweilige Festplatte eingebaut ist (Zum Beispiel Festplatte von Digittrade HS256S ).

So sollte das auch mit Ihren MAC eingerichtet sein, kein User ohne Passwort ....

Wenn Sie konkret an die Verschlüsselung Ihrer USB-Festplatten denken, dann empfehlen wir die Software VeraCrypt.

Mit bestem Gruß aus Hamburg,

Axel Tubbesing

tubbeTEC, Inh. Axel Tubbesing - tomedo-Partner in Norddeutschland - info@tubbeTEC.de

Answer 2

Hallo Herr Tubbesing und vielen Dank für die Links. 

Mir stellen sich folgende sehr wichtigen Fragen die Zollsoft auch beantworten sollte:

- Ist das Tomedo Backup-file  verschlüsselt? Ich denke nicht.

- Reicht ein Benutzerpasswort aus um den Anforderugen genüge zu tun? Wenn ja dann reicht ein CCC Backup auch denn auch dieses hat ein Benutzerpasswort beim booten. Ich denke nicht, auf die unverschlüsselten Tomedo files kann von extern zugegriffen werden.

Wir können mit Veracrypt, ehemals Bestcrypt Container am Backuplaufwerk mounten, das Backup ist dann aber nicht mehr bootbar. Das Bootlaufwerk funktioniert nicht mit Veracrypt. Wir können Backups auf Digittrade HS256S machen nicht aber von diesem booten gehe ich von aus.

Der Inhalt des Servers was OSX angeht darf ein Dieb gerne haben, da ist nichts interessantes für ihn. Das einzige was interessant für den Dieb und gefährlich für die Praxis ist, ist die Tomedo Datenbank. 

Ich komme zu dem Schluss dass die Tomedo Datenbank verschlüsselt sein sollte. Nach start von Tomedo sollte ein Passwort eingegeben werden müssen um Tomedo zu starten und die Datenbank zu entschlüsseln. Wird der Server vom Strom genommen kommt man nicht mehr ohne Passwort an die Daten ran. Das wäre um einiges sicherer und einfacher als  auf externe Software zu bauen.

Für Zollsoft wäre es ein weiteres Verkaufsargument. Meines Wissens gibt es keine Arztsoftware die das das kann. Warum sollte es nicht für eine Praxissoftware Aufgabe sein die Daten zu schützen die sie sammelt wenn das rechtlich gefordert wird? Das wird aber wohl nicht kommen, der Aufwand wäre enorm, man hätte Tomedo von Anfang an verschlüsselt aufbauen müssen.

FileVault hätte keine Nachteile hinsichtlich booten von Backups. Hat das jemand aktiviert? Wie sind die Erfahrungen?

Ich weiss nicht wie FileVault mit dem externen Raid funktioniert, wahrscheinlich heikel. Mein Server bootet vom internen Laufwerk und da wäre FilevVault kein Problem.

Hierzu eine weitere Frage an Zollsoft: Sind Patientendate auf den Festplatten der Clients? Wenn ja müssten die auch mit FileVault verschlüsselt werden.

 

PS: für ein bootbares CCC Backup wäre FileVault kein Problem.

https://bombich.com/kb/ccc4/working-filevault-encryption

Answer 3

Was ich bei Bombich den CCC-Machern angefragt habe ist, ob der Clon einer FileVault Festplatte auch eine FileVault Festplatte bleibt, da ja im entschlüsselten Zustand, oder mit einem Treiber der im Hintergrund entschlüsselt, gearbeitet wird. Ich denke der Clon ist leider lesbar aber ich bin mir nicht sicher.

Answer 4

Wir brauchen hier von Zollsoft Information. Das Backup liegt ungeschützt unverschlüsselt rum egal wohin es kopiert wird ausser man kopiert es in einen Veracrypt Container was aber nicht praktikabel ist da nur manuell möglich.

Das ist denke ich so nicht in Ordnung.

Comments

Ich habe eine externe Platte auf der ein verschlüsseltes Image eingerichtet ist. Dieses wird geöffnet und dient als Ziel des Tomedo-Backups.

Damit habe ich ein kryptisiertes Backup. Allerdings nicht bootbar. Im Disaster-Fall muss ich den gesicherten Inhalt umkopieren.

Jetzt fällt mir ein: Kann das FileVault auch externe Platten verschlüsslen? Dann wäre das Problem gelöst! oder geht das nur für die interne Festplatte?

Answer 5

Ich habe mir die Anleitung zum erstellen eines Verschlüsselten Backups mit CCC aus FileVault noch einmal durchgelesen.

Nach erstellen der Recovery Partition muss man tatsächlich das Backup booten und im Backup FileVault aktivieren. Wie dann folgende Backups verschlüsselt sein sollen ist mir ein Rätsel.

Answer 6

 

If I back up an encrypted volume to a non-encrypted volume, will the copied files be encrypted on the destination?

No, encryption occurs at a much lower level than copying files. When an application reads a file from the encrypted source volume, macOS decrypts the file on-the-fly, so the application only ever has access to the decrypted contents of the file. Whether your backed-up files are encrypted on the destination depends on whether encryption is enabled on the destination volume. If you want the contents of your backup volume to be encrypted, follow the procedure documented here to enable encryption.

 

Das bedeutet also:

CCC Server -> Clon  nicht verschlüsselt

CCC Server Filevault -> Clon nicht verschlüsselt

CCC Server Filevault, Recovery Part, -> Clon -> booten am Clon FileVault an, FileVault Verschlüssel Inhalt

CCC Server Filevault, Recovery Part, -> erneuter Clon bei Filevault an -> neu kopierte Daten nicht verschlüsselt bis einmal am Clon gestartet/gebootet wird und FileVault die neuen Dateien verschlüsselt.

 

So verstehe ich es und das ist wegen dem notwendigen booten am Clon auch nicht wirklich praktikabel.

 

Das Dilemma ist bootbar vs. verschlüsselt

 

Answer 7

Noch was, man sollte auch darauf achten dass das Timemachine Backup auf verschlüsselt steht. Ich bin mir sicher das haben die meisten nicht angeschaltet. Dazu muss das Backuplaufwerk herausgenommen und erneut eingefügt werden. Die Backups gehen verloren und das Backup beginnt mit dem erneuten Einrichten.

Answer 8

Auf meine Frage wie es denn sein kann dass Files aus einem FileVault auf einen Filevault aktivierten CCC Klon verschlüsselt ankommen können, diese Antwort. Für mich heisst das, CCC filevault Clons sind sehr gut für unsere Zwecke brauchbar:

Hi Peter,

I think we're getting in the weeds. It comes down to this:

• If File Vault is enabled on a volume, then the files on that volume will be encrypted.

If File Vault is enabled on the source, then all of the files on that volume are encrypted. 
If FileVault is enabled on the destination, then all of the files on the destination are encrypted.
If FileVault is not enabled on the destination, then none of the files on the destination are encrypted.

None of this has anything to do with how the files are copied or whether you're booted from the source or destination. Whether a file is encrypted is entirely dependent upon whether encryption is enabled on the volume upon which the file resides.

Frequently Asked Questions about encrypting the backup volume

Mike

Mike Bombich

Bombich Software, Inc.

Answer 9

Ich wage es mal den Server zu verschlüsseln und habe FileVault aktiviert. Erste Überraschung: die UUID ändert sich nach dem Neustart. Ich überprüfe da morgen noch mal aber es kein bootbares Laufwerk gemountet ausser dem internen primären Laufwerk.

Answer 10

So, die Verschlüsselung ist über Nacht abgeschlossen und nach änderung der UDID läuft der Server und Tomedo wie zuvor. Jetzt muss ich noch auf den CCC-Backups die RecoveryHD mit CCC erstellen und FileVault aktivieren und auch dort die Verschlüsselung abwarten. Das wird dauern und geht nur ausserhalb der Praxiszeiten aber zum Glück nur einmalig.

Die Laufwerke auf die Tomedo seine Backups schreibt werde ich mit dem Festplattendienstprogramm verschlüsseln und nicht mit Veracrypt.

Soweit so gut.

PS: mit dem RAID würde ich mich die Serververschlüsselung nicht trauen!

Answer 11

Ich schreibe mal weiter was ich so finde: der 12" Macbook hat schon mal ein Problem das CCC Backup zu verschlüsseln.Grund: externe Stromversorgung muss angeschlossen sein, was schwierig ist während das Backuplaufwerk am enzigen USB-C hängt. Ein Dock muss her.

Answer 12

Das gute an der Verschlüsselung ist, dass man gezwungen ist die CCC Clones auch zu booten. Von meinen 10 Festplatten  auf die geklont wird waren gerade mal 4 bootbar. Das wird das größte Problem.

Ansonsten läuft es bisher prima. Das starten von Tomedo erfolgt auf den Clones wegen des UDID Checks nicht, Herr Körner hat die Backups trotz falscher UDID ausgeschaltet und CCC erkennt den Klon und deaktiviert die Backups.

Comments

Die USB Festplatten verschlüsseln unglaublich langsam. Ich weiss nicht ob 12 Stunden reichen.

Answer 13

Ein Nachteil mit Verschlüsselten Server ist, dass man den Server nicht mehr aus der Ferne neu starten kann. Man bekommt beim Serverstart eine Passwortabfrage des Administrators bevor Remote Desktop arbeiten könnte und man muss physikalisch anwesend sein. Ist recht logisch, ich will es nur anmerken da es einigen Nutzern fehlen könnte. Einmal eingeloggt übernimmt der Schlüsselbund das Freischalten von peripheren Laufwerken die mit dem Festplattendienstprogramm verschlüselt sind. Man muss diese also nur einmalig freischalten und dem Schlüsselbund übergeben. Das Gilt also für verschlüsselte Tomedo Backup Laufwerke.

Ist mehr Arbeit als ich dachte. Ich finde auch Laufwerke auf denen die RecoveryHD nicht istalliert werden kann und die getauscht werden müssen. Das Backupsystem wird durch die Aktion aber mehr als genau untersucht.

Answer 14

Kostengünstiges Thunderbolt Laufwerk:

https://www.alternate.de/Buffalo-Technology/MiniStation-Thunderbolt-1-TB-Festplatte/html/product/1031576?campaign=Festplatte/Buffalo+Technology/1031576

Zwei Backups also auch auf Thunderbolt möglich.

Answer 15

Ich kann nun bestätigen, dass Filevault in Kombination mit Carbon Copy Cloner für unsere Zwecke sehr gut geeignet ist. Nicht getestet mit Pegasus RAID, habe ich auch nicht vor, halte ich für risky vor allem bei späterem Festplattenwechsel.

Der Ablauf der Verschlüsselung ist immer der gleiche. Auf der Quelle ist hierbei Filevault bereits aktiviert und die Konvertierung der Quelle ist abgewartet worden und erfolgreich abgeschlossen. Zudem hat man Zollsoft wegen der geänderten UDID angerufen und einstellen lassen. Also nochmal: FileVault ändert am Server die UDID Tomedo startet nicht mehr ohne das neue setzen der UDID durch Zollsoft!

- in CCC RecoveryHD am Klon erstellen ohne diese verweigert Filevault die Verschlüsselung. Findet CCC keine Recovery HD verlangt es nach Neuinstallation von OSX. 

- Neustart auf dem Klon (gedrückte Alt-Taste beim Boot. Wenn das Laufwerk/Klon nicht nach 2 Minuten erscheint, USB Kabel herausziehen und nach 5 Sekunden wieder einstecken, wieder max 2 Minuten warten). Einige USB Gehäuse booten nicht an jedem Fach wie die IcyBox nur bay 2) . OSX meldet sich, der Schlüsselbund ist ungültig, absolut normal da andere Festplatte, mit Passwort zurücksetzen. Es erfolgen abfragen nach den Passworten der anderen verschlüsselten Laufwerke, die bleiben schön zu. Dropbox, wenn installiert, startet nicht mehr, auch normal, abbrechen und dropbox im Leistenmenu beenden. CCC meldet sich da es erkennt, dass man sich auf einem Klon befindet und deaktiviert alle Backups, das wird bestätigt. Tomedo startet dank der UDID Prüfung nicht und macht endlich auch keine Backups in diesem Zustand, das Servertool beenden, OSX Server beenden. In den Systemsteuerungen Sicherheit Filevault aktivieren.

- Klon startet neu um Filevaultverschlüsselung zu beginnen, wieder mit gedrückter alt Taste sicher gehen, dass der Klon gebootet wird. Wieder Programme die man nicht braucht beenden, Server OSX und Tomedo stoppen. Die Verschlüsselung beginnt und kann in Systemsteuerung/Sicherheit beobachtet werden. USB 2 dauert das Tage, 1GB USB3 etwa 12-18 Stunden.

- Nach Abschluss der Verschlüsselung auf der Quelle neu starten mit gedrückter Alt-Taste beim Boot. OSX verlangt nach dem Passwort des neuen Klons, dieser wird im Schlüsselbund gespeichert.

- CCC hängt den Klon ein und aus wie zuvor und verschlüsselt nun die geschriebenen Daten.

- Mit Tinker Tool Systems (muss gekauft werden) wird der Klon unter system/Volumes von der automatischen Aktivierung ausgeschlossen. Der Klon wird nicht mehr beim Boot der Quelle angezeigt und ist auch bei Neustart in Sicherheit.

- Bootlaufwerk in Systemsteuerung/Startvolume kontrolieren. Am besten immer das Laufwerk auf dem man gerade gebootet hat und lieber mit der Alt-Taste beim boot arbeiten um immer zu wissen wo, auf welchem Klon, man gerade ist. 

Nicht vergessen damit System wasserdicht ist:

- Rechtsklick auf Tomedo-Backup Laufwerke und verschlüsseln. Bringt wie gesagt nur was wenn auf der Quelle Filevault läuft, also die Quelle auch verschlüsselt ist.

- Auf Timemachine Verschlüsselung aktivieren wenn Timemachine Backups gemacht werden. Vorsicht, alte Backups werden dann gelöscht und Timemachine beginnt neu mit Backupzeit = 0.

- Clienten und deren Backups mit obiger Methode verschlüsseln

- Entfernte Backups über Internet ebenfalls verschlüsseln. Synology, Lima etc. (nicht getestet)

- Alte Backups in irgendwelchen Schubladen suchen, verschlüsseln/zerstören. 

 

Bitte vorsichtig durchführen auch wenn CCC und Tomedo Sicherheitseinrichtungen haben. Klappt eine Verschlüsselung nicht sind die Daten futsch. Vor Verschlüsselung der Quelle sollte man ein funktionierendes bootbares Backup haben (testen) Ist mir kein einziges mal passiert und ich habe bereits etwa 10 Platten verschlüsselt. Man kann die Verschlüsselung durch einen Neustart sogar pausieren und später weitermachen. Am besten mit ihrem EDV-Fachmann/Techniker. Auf jeden Fall muss jemand den Überblick über die Festplatten behalten. Letzte Warnung: das ganze ist sehr Zeitintensiv und je nach Anzahl der Backups wird der Techniker sehr oft vorbeikommen die Verschlüsselung ist also teuer wenn sie es nicht selbst machen. 

Meiner Meinung nach ist dir größte Gefahr beim korrekten einrichten von Carbon Copy cloner. Die Quelle steht IMMER links und niemals rechts. Steht CCC, ist es eigentlich nur noch ein Geduldsspiel.

Der Betreiber ist verantwortlich, ich übenehme keine Verantwortung für ihre Daten! 

Comments

Da hast Du Dir ja eine RIESEN Arbeit gemacht! Herzlichen Dank für die ausführliche Darstellung. Bislang benutze ich zum klonen SuperDuper, aber habe keine Muße herauszufinden, ob da die Verschlüsselung ebenso umgestzt ist wie bei CCC. Werde wohl wechlsen.

Eine Verständnisfrage bleibt: kannst Du bitte folgenden Absatz nochmal erläutern?

"- in CCC RecoveryHD am Klon erstellen ohne diese verweigert Filevault die Verschlüsselung. Findet CCC keine Recovery HD verlangt es nach Neuinstallation von OSX. "

Das verstehe ich nicht mit Sicherheit.

---

Riesen Arbeit weniger als sehr mutig den Server zu verschlüsseln. Ich habe früher auch Superduper benutzt aber CCC ist einfacher zu bedienen und hantieren mit 10 Festplatten ist übersichtlicher und einfacher. Ich denke auch Superduper kann verschlüsselt schreiben das ganze passiert auf oder unter OSX Ebene.

Ich habe hier tatsächlich einen Rechner den ich nicht updaten kann weil ich noch eine Röntgensoftware von Aycan instaliert habe und daurch auf Yosemite festhänge. Die Firma ist lächerlich teuer, hatte da mehrmals diskossionen mit denen und ich benutze schon einen anderen Anbieter zur Röntgenmonitor ISO Prüfung. Ich habe diesen Rechner tatsächlich, ich weiss nicht wie ohne recovery HD installiert. Ohne recovery HD kein FileVault.

Answer 16

Es sollte noch erwähnt sein, dass auf jedem Rechner das Firmware-Passwort gesetzt werden sollte, sonst kann man den Rechner im Recovery Modus starten und auslesen.

Comments

OK, wo setzt man das?

---

https://support.apple.com/de-de/HT204455

---

Super Fund Andreas. Also mit CMD-R ins Recovery drive beim Neustart und dort im Firmwarepasswort Programm im Topmenu.

Dadurch muss man zwei Passworte beim boot eingeben aber wen interessiert es man muss mit Filevault sowieso an den Rechner weil Remotedesktop noch nicht beim Boot greift.

Bin gespannt wie es an älteren Intel-Rechnern aussieht.

Answer 17

Noch was unangenehmes. Ibeez wird an den Clienten natürlich wertlos, zumindest was das Einschalten betrifft. Das heisst die Kisten laufen lassen (weiss jemand was ein Imac in Ruhe so verbraucht am Tag) oder jeden Tag manuell starten und die Angestellten kennen das Bios Passwort.

Comments

Ich berechne da bei 12h zusätzlicher Laufdauer im Ruhemodus bei 28 Cent pro Kilowatt Mehrkosten von ca 75 Euro pro Jahr pro Gerät. Ein stolzer Preis für ein geheimes BIOS Passwort. Ich empfehle also ausschalten und den Angestellten das Passort für die Clienten mitzuteilen.

---

Ich bin am hin und her überlegen ob es Sinn macht die Klienten zu verschlüsseln aber Tomedo löscht sicher nicht sicher die Daten die auf den Klienten benutzt werden. Da sind Fotoordner wo noch Bilder festhängen und temporäre Dateien. Ich denke man kommt nicht umher die Clienten auch zu verschlüsseln.

Answer 18

Hallo Herr Dr. Balogh,

ich habe Ihren Beitrag gerade erst wahrgenommen, da ich aus aktuellem Anlaß mit der Folgenbeseitigung eines Diebstahls in einer Arztpraxis beschäftigt bin. Ich schicke Ihnen und den anderen Tomedo-Mandanten noch eine Info dazu in Kürze. Stichwort: Kosten der Benachrichtigung von Patienten beim Diebstahl des Servers.

Beste Grüsse

Jörg Frotscher

Answer 19

Gibt es eine app die kontrolliert ob das Bios passwort gesetzt wurde? Mir CMR-R ins Recovery um zu sehen ob an, ist nervig. Übrigens nur durch apple selbst wieder zurücksetzbar. Diebe hätte da wirklich ein nutzloses Stück Hardware in den Händen. Am besten bei Diesbtahl gleich Apple melden. Vielleicht kann die Polizei zur Abholung im Appleshop mit eingeladen werden.