Software für Fetsplattenverschlüsselung ist eigentlich koistenlos

Unter Linux bereits im Lieferumfang enthalten. Unter Windows kann man Veracrypt verwenden, wenn man die NSA mit aussperren will.

Veracrypt ich breche weg vor Lachen xD

Veracrypt ist nicht zertifiziert für VS-NfD.
Dazu muss die PreBoot mit den eingesetzten Smartcards und den entspr. Readern passen.

stefan@stefanfrings.de schrieb:
--------------------------------------------------------------------------------
> Unter Linux bereits im Lieferumfang enthalten. Unter Windows kann man
> Veracrypt verwenden, wenn man die NSA mit aussperren will.


Da will keiner rumspielen… Der kram muss zertifiziert sein und sich in die Ungebung einbetten können, ohne großen Aufwand. Das wird dann eher bitlocker sein.

Und wieso kostet Bitlocker 48 Mio. Euro? Bitlocker ist in den entsprechenden Win-Versionen für einen einstelligen Eurobetrag mehr enthalten. So viele Rechner kann die Bundeswehr gar nicht kaufen dass sich dies auf 48 Mio. Euro summieren würde.

Je nach Lesart können da auch die kosten für das Management der digitalen Zertifikate und die Herstellung sowie Ausgabe physischer Smartcards enthalten sein.

Und naja, muss VS-NfD zertifiziert sein.

So on...

VeraCrypt ist VS-NfD zertifiziert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat VeraCrypt im Jahr 2013 für den Einsatz in der deutschen Bundesverwaltung zugelassen. VeraCrypt ist eine freie und Open-Source-Verschlüsselungssoftware, die für Windows, macOS und Linux verfügbar ist. Sie bietet eine Vielzahl von Funktionen, darunter Volldisk-Verschlüsselung, Volume-Verschlüsselung und Container-Verschlüsselung.

Die Zulassungsnummer lautet: BSI-Zertifizierungsnummer: Z-V-0671-13-1.
Hat sich jedenfalls Bard ausgedacht :-}

In Wirklichkeit ist das Fazit vom BSI:

Zusammenfassend lässt sich sagen, dass wir keine wesentlichen Sicherheitsprobleme in VeraCrypt gefunden haben. VeraCrypt in seiner aktuellen Version scheint die Vertraulichkeit von Daten in einem verschlüsselten Volume zu schützen, solange das Volume nicht gemountet ist.

Authentizität und Integrität sind jedoch nicht geschützt. Ein gemountetes VeraCrypt-Volume ist anfällig für eine einer Vielzahl von Angriffsvektoren ausgesetzt, einschließlich Schwachstellen des Host-Systems. Daher übersteigt jedes Volume-Zugriffsszenario den Schutzumfang von VeraCrypt. ...
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Veracrypt_201210.html



3 mal bearbeitet, zuletzt am 10.08.23 22:19 durch brutos.

Für 48 Mio finden sich garantiert ein paar ITler, die 'damit rumspielen' wollen. Ziemlich sicher sogar für 4.8 Mio.

Der Punkt ist schlicht absolut lächlerich, selbst wenn man es irgendwie schafft, die restlichen Posten schön zu reden...

Bitlocker ist zertifiziert? Wurde doch schon gehackt, oder?
Im sensiblen Umfeld wird meineserachtens Safe GuardEasy eingestzt.

Aber im militärischen Bereich ist NATO-Standart angesagt:
https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html

DiskEncrypt VS-NfD Version 9.0.x

Zulassung Utimaco IS GmbH Festplattenverschlüsselung

BSI-VSA-10640 bis: VS-NfD

Vom: 21.03.2022

Befristet: 31.03.2025

Stand: 21.03.2022

EU: ZULASSUNG_EU_RESTRICTED 21.03.2025

NATO: ZULASSUNG_NATO_RESTRICTED 21.03.2025

Termuellinator schrieb:
--------------------------------------------------------------------------------
> Für 48 Mio finden sich garantiert ein paar ITler, die 'damit rumspielen'
> wollen. Ziemlich sicher sogar für 4.8 Mio.
>
> Der Punkt ist schlicht absolut lächlerich, selbst wenn man es irgendwie
> schafft, die restlichen Posten schön zu reden...

Für 4.8 Mio bekommst du 40 Mann für ein Jahr - ohne IT Ausrüstung. Wenn es 2 Jahre dauert nur noch 20 Leute. Schaffen die das?



1 mal bearbeitet, zuletzt am 10.08.23 23:17 durch Fabian.Sturm.

Und darum verstehst du nicht, warum dich keiner fragt. Weil du keine Ahnung davon hast, was diese Stellen vorgeschrieben benutzen müssen.

> Unter Linux bereits im Lieferumfang enthalten. Unter Windows kann man
> Veracrypt verwenden, wenn man die NSA mit aussperren will.

Du kennst die Anforderungen nicht, aber die Lösung?

Das entspricht schon ziemlich dem Klischee der IT-Nerds.

Sharra schrieb:
--------------------------------------------------------------------------------
> Und darum verstehst du nicht, warum dich keiner fragt. Weil du keine Ahnung
> davon hast, was diese Stellen vorgeschrieben benutzen müssen.


Oktavian schrieb:
--------------------------------------------------------------------------------
> Du kennst die Anforderungen nicht, aber die Lösung?
>
> Das entspricht schon ziemlich dem Klischee der IT-Nerds.

Im Gegensatz zu euch hat der TE Ersteller das Problem erkannt. Das wird ein Arsch voll Geld für einen Zertifizierungsquatsch ausgegeben der 0,0 Mehrwert geben, Hauptsache irgendjemand hat seinen Stempel drauf gegeben. Das ist genau die Art der Bürokratie an der Deutschland am ersticken ist.

Lol. Ihr seid Helden.

> Im Gegensatz zu euch hat der TE Ersteller das Problem erkannt.

Nein, hat er nicht. Er hat eine Lösung vorgeschlagen ohne das Problem zu kennen, weder in seiner Breite noch in seiner Tiefe. Das würde man sehr euphemistisch "naiv" nennen.

> Das wird ein
> Arsch voll Geld für einen Zertifizierungsquatsch ausgegeben der 0,0
> Mehrwert geben,

Du weißt, dass Zertifizierungen eine Anforderung waren? Interessant.
Du weißt, dass solche Reviews, wie sie beispielsweise das BSI durchführt, keinen Mehrwert haben? Auch spannend.

> Lol. Ihr seid Helden.

Wir haben vielleicht ein klein wenig Erfahrung mit Projekten, die mehreren hunderttausend Anwender verteilt an hunderten Standorten, mit sehr unterschiedlichen Vorkenntnissen und sehr unterschiedlichem Bildungsstand enthielten.

Vielleicht können wir auch ein klein wenig über den Tellerrand denken und zumindest ahnen, dass Anforderungen existieren, die die übliche Standard-Software nicht erfüllen kann. Ich schmeiß mal rein hypothetisch in den Raum: "Die Verschlüsselung des Geräts muss auch per Sprechfunkverbindung auflösbar sein, falls der Offizier mit dem Notebook und dem Passwort ein Loch im Schädel hat, und der Rest der Gruppe das Passwort nicht kennt, der Offizier es niemandem verraten hat und auch kein Netzwerk existiert, da das Notebook gerade in einem Flugzeug ist." Die im Behördenumfeld übliche Software Safeguard Easy kann das.

Ich habe vor vielen Jahren (damals gab es noch sowas wie Wehrpflicht) Software bei der Bundeswehr geschrieben. Mein Hauptmann meinte "Software bei uns muss nicht idiotensicher sein, sie muss soldatensicher sein. Das sind auch Idioten, aber die haben Waffen."

Wenn nicht, dann sind die massiv überbezahlt würde ich sagen ;)

Oktavian schrieb:
--------------------------------------------------------------------------------
> > Unter Linux bereits im Lieferumfang enthalten. Unter Windows kann man
> > Veracrypt verwenden, wenn man die NSA mit aussperren will.
>
> Du kennst die Anforderungen nicht, aber die Lösung?
>
> Das entspricht schon ziemlich dem Klischee der IT-Nerds.

Du redest vom Klischee des IT-Nerds, hast keine Ahnung von der Sache und der Loesung?

Das entspricht schon ziemlich dem Klischee des aufgeblasenen Consultants.

> Du redest vom Klischee des IT-Nerds, hast keine Ahnung von der Sache und
> der Loesung?

Ich bin schon gewohnt, erst mal ausführlich das Problem zu verstehen, von allen Seiten, in allen denkbaren Szenarien, bevor ich Lösungen vorschlage.

Aber klar, wenn man nur einen Hammer kennt, wird jedes Problem zum Nagel. Und da wundert sich der ITler (dieser Gattung hier), warum ihn niemand im Unternehmen so richtig Ernst nimmt.

Die Anforderung ergibt sich meineserachtens aus dem Anwendungsbereich: Zertifiziert nach NATO-Standard, oder?

> Die Anforderung ergibt sich meineserachtens aus dem Anwendungsbereich:
> Zertifiziert nach NATO-Standard, oder?

Das ist sehr wahrscheinlich eine Anforderung, zumindest für gewissen Bereiche. Aber ganz bestimmt nicht die einzige.

Die Frage wäre beispielsweise, ob das für alle VS-NfD-Bereiche notwendig ist. Damals, als ich bei dem Verein war, war quasi alles NfD, sogar die Kantinen-Pläne und der Rundbefehl zum regelmäßigen Frühsport. Ob die NATO-Standards jetzt auch für alle Bereiche der Standortverwaltung gelten müssen, wäre eine Analyse wert. Andererseits mischt man auch ungerne verschiedene Verfahren.