verschlüsselte Datenbankinhalte

[Geigenberger]

ALLW Datenbankinhalte sollten verschlüsselt vorliegen. Dies kann man heute schon (fast ohne Geschwindigkeitsverlust) machen über den Umweg z.B. eines TrueCryp-verzeichnisses
( http://www.truecrypt.org/ ___ http://www.chip.de/downloads/TrueCrypt_13015067.html )
aber so eine wichtige Eigenschaft sollte unter dem immer wichtiger werdenden Aspekt der Vernetzung bereits im Programm fest implementiert sein.

[michael]

ALLW Datenbankinhalte

einschliesslich Bilder, Dokumente (pdf, jpeg, doc..) und Briefe

sollten verschlüsselt vorliegen. Dies kann man heute schon (fast ohne Geschwindigkeitsverlust) machen über den Umweg z.B. eines TrueCryp-verzeichnisses
( http://www.truecrypt.org/ ___ http://www.chip.de/downloads/TrueCrypt_13015067.html )
aber so eine wichtige Eigenschaft sollte unter dem immer wichtiger werdenden Aspekt der Vernetzung bereits im Programm fest implementiert sein.

Nicht nur Vernetzung ist ein Problem, sondern auch der Diebstahl des PC's/ Server aus der Praxis direkt.


Viele Grüße

michael

[nmndoc]

Das vermisse ich schon seit ich TM kenne. Es handelt sich ja immerhin um personenbezogene Daten - und noch dazu um recht sensible.
Grundsätzlich könnte man das zwar auch über 3rn party Software nachrüsten - aber bei TM bin ich mir nie so ganz sicher wer (server / client) wann/worauf zugreift. (sprich: manches wird ja über tcp/ip gemacht, manchmal greift der client aber offenbar auch direkt auf das TM-Verzeichnis zu...)

@Geigenberger: wie machen Sie das mit Truecrypt? Mounten (öffnen) Sie den Container dann am Server? und die Clients greifen dann auf diesen Container auch zu? So ein Container ist doch soweit ich weiß nicht wirklich multi-user-fähig?

[Geigenberger]

@nmndoc
Hallo,
ich hab's nur 'mal probeweise vor längerer Zeit schon ausprobiert (für den Dauerbetrieb habe ich mich dann doch nicht getraut). Ich habe keinen dedizierten Server, ein Arbeitsplatz ist bei mir gleichzeitig Server. Truecrypt habe ich als erstes gestartet und das Verzeichnis, in das ich vorher (unter Truecrypt) meine TurboMed Datenbank Dateien kopiert habe, als Laufwerk gemountet. In diesem Laufwerk befanden sich die - nach dem Mounten nun entschlüsselten - Datenbank-Dateien. Den Poet-Server (so hieß der damals noch) habe ich dann manuell gestartet und ihn auf das Truecrypt Verzeichnis zugreifen lassen.
Ab da lief alles wie gewohnt - auch beim Zugriff der anderen Netzwerk-Rechner auf meinen nicht dedizierten"Server". Eine langsamere Geschwindigkeit war kaum erkennbar.
A. Geigenberger

[nmndoc]

Hallo,

ok - wenn Sie nur die DB verschlüsselt hatten, dann greift ja nur einer (der Poet-Dienst/Server) auf die DB zu. Bei den Dokumenten etc sieht das schon anders aus. Ich weiß zwar nicht ob man nicht evtl. so einen Container auch als Laufwerk freigeben kann - aber so ein gutes Gefühl hätte ich nicht dabei.

[Geigenberger]

Hallo nmndoc,

so einen Container kann man (nur) als Laufwerk freigeben. Und in dieses Laufwerk können Sie alle Files hineinkopieren und dann "ganz normal" damit arbeiten. Bei meinem privaten Rechner mache ich dies schon seit Jahren völlig problemlos so. Sie sollten das 'mal ausprobieren - ist eine echt tolle Sache!
http://www.truecrypt.org/
http://www.chip.de/downloads/TrueCrypt_13015067.html
In diesem Thread wollte ich eigentlich nur anmerken, dass so sensible Daten wie die Gesundheitsdaten unserer Patienten eigentlich nicht unverschlüsselt auf dem Computer sein sollten.

A. Geigenberger

[Kasimir]

Ich mache das auch schon so seit Jahren, aber mit STEGANOS SAFE (ich finde, das lässt sich noch einfacher bedienen).
Aber eines habe ich noch nicht lösen können: Damit die anderen Rechner der Praxis auf die Dokumente zugreifen können, muss ich den dort am Server - der bei uns gleichzeitig Station 1 ist - erstellten Ordner "Dokumente" zum Lesen und Schreiben freigeben. Funktioniert alles gut, aber wenn der Server/Station 1 ausgeschaltet wurde, dann sind auch die Freigaben weg (jedenfalls bei uns bei Windows XP)
Aber weil wir immer montags einschalten und erst freitags wieder aus, ist das nicht ganz so schlimm, es muss nur einmal in der Woche gemacht werden.
Gibt es überhaupt bei Windows XP eine Möglichkeit, dass das dauerhaft gespeichert sein kann?

[Geigenberger]

Kann man da nicht einen Pfad in den TurboMed-Grundeinstellungen festlegen?
z.B.: W:\pfadzu_Turbomed\meine_tollen_Dokumente

Das Laufwerk "W" muß dann beim Start des Arbeitsplatz-PC's auf diesem Arbietsplatz gemountet sein (zuerst freigegeben auf dem Server), also als Laufwerk "W" "gemappt" sein.
Dann sollte der Zugriff eigentlich stets präsent sein.

[Kasimir]

Ja, das klappt ja auch alles.
Aber immer wenn ich den Server/Station1 ausschalte, und dann beim nächsten Mal wieder anschalte und das verschlüsselte Laufwerk öffne, sind die Freigaben weg für die Arbeitsstationen weg, der Rechner hat sie "vergessen"...

[fhg]

das sollte eine kurze Batch-datei auf dem Server/Station1 lösen können:

Code: Alles auswählen

Pfad/zu/truecrypt/truecrypt.exe /q /v Pfad/zur/truecyptdatei/TM_crypt.tc /l t
net share Freigabename=T: /Grant:Jeder,FULL

wobei t der Laufwerksbuchstabe ist, unter der der Truecryptcontainer gemountet werden soll.

[Kasimir]

Danke

[wahnfried]

Aber eines habe ich noch nicht lösen können: Damit die anderen Rechner der Praxis auf die Dokumente zugreifen können, muss ich den dort am Server - der bei uns gleichzeitig Station 1 ist - erstellten Ordner "Dokumente" zum Lesen und Schreiben freigeben. Funktioniert alles gut, aber wenn der Server/Station 1 ausgeschaltet wurde, dann sind auch die Freigaben weg (jedenfalls bei uns bei Windows XP)

...zumindest bei TrueCrypt unter XPprof und als Laufwerk auf den Client-Rechnern gemappter und am Server gemounteter Truecrypt-Container des Servers gehen die Freigaben der in diesem Container enthaltenen Ordner nicht verloren, auch wenn der Container erst gemountet wird, wenn man TurboMed am Server startet (allerdings muß man mounten, bevor der erste Arbeitsplatz, der auf die Dokumente zugreifen will, den Windows-Benutzer anmeldet! Wenn also das Mounten erst nachträglich geschieht, müssen an den Client-Rechnern die Windows-Benutzer ab- und wieder angemeldet werden...). Mit den Dokumenten geht das dann ganz problemlos (leider bisher nicht mit der PraxisDB), die Links in den Karteikarten funktionieren auch nach der Umstellung sofort. Man darf offensichtlich nicht den gemounteten Container selbst freigeben, sondern nur darin enthaltene Ordner. TurboMed startet übrigens ohne Fehlermeldung auch, wenn der verschlüsselte Ordner mit den Dokumenten noch nicht gemountet ist... (dann werden allerdings die verlinkten Dokumente nicht geöffnet. Auch dann: TrueCrypt-Container am Server mounten und dann Windows-Benutzer an den Arbeitsplätzen ab- und wieder anmelden)
Das Prinzip hier:

--TrueCrypt-Container lokal am Server als Laufwerk U: gemountet (diese Konstellation als Favorit gespeichert und beim mounten: "Volumes - Mount Favorite Volumes" - hierfür suche ich noch eine Möglichkeit des Kommandozeilen-Startes von TrueCrypt bis zur Passwort-Eingabe). Darin ein Sammelordner für alle zu verschlüsselnden Inhalte (z.B. "TurboMed_Pat_TC"), der mit Vollzugriff "Jeder" freigegeben ist (und der dorthinein-kopierte Dokumenten-Ordner ebenfalls). Den Dokumentenordner in TurboMed habe ich erstmal nur umbenannt. VOR diesen Umbenennungen/Verschiebungen geprüfte TurboMed-interne Dokumentensicherung (Alle) empfohlen...

--An den Client-Rechnern den ersten Unterordner im Laufwerk U: des Servers als Netzlaufwerk V: gemappt (um bei lokaler Verwendung von Truecrypt für die gespiegelte Datenbank an allen Rechnern U: für den lokalen TrueCrypt-Container und V: für dessen Inhalt auf dem Server zu verwenden)

--Grundeinstellungspfad an den Client-Rechnern für "Dokumente" als "V:\Dokumente\" oder "\\servername\Dokumente\"

Am Server wird TrueCrypt per Autostart gestartet, der TurboMed-Aufruf geschieht über ein kleines Script, das prüft, ob der Truecrypt-Container bereits gemountet ist (dann sofort TurboMed-Start) - falls nicht: Truecrypt wird vor TurboMed gestartet, damit man mounten kann --> beim Schließen von Truecrypt über "Exit" wird TurboMed dann aus dem Verzeichnis "TurboMed\local\Server_verschluesselt_auf_U" gestartet, um die dort abgelegten Lokal.ini und Global.ini mit den Pfadangaben zum gemounteten TrueCrypt-Container zu verwenden.

Code: Alles auswählen

rem Batch-Datei zum Starten von TurboMed bei truecrypt-verschluesselten Dokumenten
net time \\Zeitsync-PC-name /SET /y
rem
rem TurboMed installiert auf D:
rem TrueCrypt-Container gemountet oder zu mounten als U:
rem zu verschlüsselnde Ordner in einem Sammelordner U:\TurboMed_Pat_TC\ einkopiert
rem Startdateien und Lokal/Global.ini im Ordner D:\Turbomed\local\server_verschluesselt_auf_U
rem ggfs. Pfade anpassen
cd..
cd..
cd..
if exist U:\TurboMed_Pat_TC\Dokumente\Listen\readme.txt goto start_TM+TC
rem
rem ... Mounten der Patientendaten fuer TurboMed:
rem ... TrueCrypt-Menue --> Volumes --> Mount Favorite Volumes
rem ... (Container wird gemountet als U:)
rem ... ACHTUNG: Verlassen des Programmes ueber "Exit"
pause
C:\Programme\TrueCrypt\TrueCrypt.exe
pause
goto start_TM+TC
pause
rem
:start_TM+TC
D:
cd TurboMed
cd local
cd Server_verschluesselt_auf_U
D:\TurboMed\Programm\TurboMed.exe
rem pause

Den Server-TurboMed-Aufruf mit verschlüsselten Dokumenten habe ich als einen Modus im Sinne JRR's allereinfachstem Moduswechselsystem organisiert und eine eigene Hintergrundfarbe verwendet, um die Benutzung der verschlüsselten Dokumente zu signalisieren.

Den PraxisDB-Ordner in den TrueCrypt-Container zu verschieben quittierte der Server mit Arbeitsverweigerung selbst nach Anpassung der "PtServer.cfg"/"Poet.cfg", die diese Anpassung nicht behielten... (am Anfang steht darin: "...wird von TurboMed automatisch erzeugt..."). Kann man vielleicht nur an einem Einzelplatz oder Client den PraxisDB-Pfad ändern? Oder muß man am Server ALLE Datenbanken (auch StammDB/DruckDB) verlagern?

Dummerweise kann man den Ordner "KVDT" nicht pfadmäßig verlagern, dieser enthält aber in den unverschlüsselten txt- und con-Dateien der Abrechnungen offen lesbare medizinische Daten. Notlösung wäre, dessen alte Abrechnungs-Inhalte immer zum Ordner Dokumente\KVDT zu verschieben.

Grüsse, Wahnfried

[imb]

Notfalls kann man die Freigabe ja auch per Batch-Skript wiederherstellen (net share) - so machen wir das bei uns. Wir verschlüsseln unsere kompletten Partitionen, auf denen sensible Inhalte von TM und anderen Programmen liegen.

[wahnfried]

ok - wenn Sie nur die DB verschlüsselt hatten, dann greift ja nur einer (der Poet-Dienst/Server) auf die DB zu.

...wie geht denn das: den TrueCrypt-Container kann man ja nur unter einem Laufwerksbuchstaben mounten, und wenn ich die PraxisDB am Server in den Truecrypt-Container verlagert habe, konnte ich TurboMed nicht mehr starten.

Dazu fand ich folgenden Hinweis:

2. Da Truecrypt möglicherweise nicht als Systemdienst zu starten ist, kann Fastobjects auch nicht als Systemdienst gestartet werden, weil es ja vor dem Start von Truecrypt nicht auf die verschlüsselte PraxisDB zugreifen kann. Daher Fastobjects im Autostartordner.

Das habe ich noch nicht probiert, das Starten des FOS vom gemounteten TrueCrypt-Container (die PraxisDB enthaltend) abhängig zu machen. Allerdings würde ich dann den FOS nicht über Autostart in Schwung bringen, sondern wohl erst nach dem Mounten des TrueCrypt-Containers durch eine danach folgende Script-Zeile...

Vorschlag und Startscript folgt.

Noch Jemand mit Ideen dazu?

Grüsse, Wahnfried

[nmndoc]

Nochmals einige generelle Anmerkungen von mir:

1. Einen Container (=Datei die sich dann als Laufwerk mounten lässt) für die Verschlüsselung einzusetzen halte ich für keine gute Idee da

a) Defekter Container = ganzer Inhalt weg
b) Dier Performance einer Container-Verschlüsselung ist mit Sicherheit deutlich schlechter als bei der Verschlüsselung einer Partition/Platte (steht im übrigen so auch in der Truecrypt-Doku)

Aus meiner Sicht die suaberste Lösung wäre, hier eine Voll-Festplattenverschlüsselung (whole disk encryption) mit Pre-Boot-anmeldung einzusetzen - am besten für das gesamte System. Alternativ zumindest für die Platte/Partition, auf der sich die TM-Installation befindet.

Vorteil Verschlüsselung ganzes System: Sobald die Anmeldung erfolgt ist (Pre Boot = bevor das Betriebssystem startet), ist der Zugriff auf die Platten völlig transparent - d.h. aus Sicht des OS / der Anwendungen ist die Platte wie unverschlüsselt (gilt natürlich auch für den Zugriff aus dem Netzwerk). D.h. dass auch Poet etc ganz normal als Dienst starten können. Außerdem können Daten nicht versehentlich "außerhalb" der Verschlüsselung gespeichert werden (z.B. Versehen, Auslagerungsdatei oder temporäre Dateien).
NAchteil: sollte der Server mal ungeplat ausgeschaltet worden sein (bei einem geplaten Neustart kann man vorsorgen, auch remote), startet der Server erst, wenn sich Jemand auch wirklcich lokal über die Server-Tastatur anmeldet.
Weiterer möglicher Nachteil: Wenn keine echter Hardware-RAID-Controller verbaut ist sonder ein günstiges Host-RAID (bisschen Hardware + Windows treiber), werden die Produkte (z.B: Symantec/PGP Whole Disk Encryption oder McAfee Endpoint Encryption for PC) i.d. Regel (mangels Treiber) nicht funktionieren.

Alternative "nur TM-Platte/Partition verschlüsseln": Da hier die Platte erst unter laufendme Windows gemountet wird, wird man die Treiberproblematik nicht haben. NAchteil: jemand muss sich an Windows anmelden und die Platte von Hand mounten (+angemeldet bleiben). Erst danach kann TM/Poet auf die Platte zugreifen. Beim Zugriff auf die ungemountete Platte wird Windows vermutlich eine Initialisierung/Formatierung vorschlagen ...

Ganz anders: Platten mit Hardware-Verschlüsselung: hier stellt sich aber die Frage ob a) RAID-betrieb möglich ist und b) wie das Recovery im Falle vergessenes Kennwort oder Defekt aussieht (wo z.B. o.g. Produkte verschiedene Möglichkeiten für beide Szenarien bieten)


Bei Fragen: fragen

[jipsy]

Nochmals einige generelle Anmerkungen von mir:
und b) wie das Recovery im Falle vergessenes Kennwort oder Defekt aussieht (wo z.B. o.g. Produkte verschiedene Möglichkeiten für beide Szenarien bieten)


Bei Fragen: fragen

@vergessenes Kennwort: Na wenn man dann trotzdem noch an die Daten irgendwie rankommen könnte bei Symantec etc. würde das ja das Verschlüsseln ab absurdum führen. Für was vercrypte ich, wenn es doch wieder backdoors gibt da ran zu komme?

[RAMöller]

Wahrscheinlich geht´s mit PGP NetShare, allerdings kostets 919$ für 5 Arbeitsplätzchen

[nmndoc]

@jipsy: Damit ist natürlich nicht gemeint, dass "Jemand" oder der Hersteller ran kommt - sondern Sie (was ja Sinn der Sache ist). Konkret bedeutet das, dass es (je nach Installationsart) mehrere Möglichkeiten gibt, Wiederherstellungsinformationen anzulegen und (vorher!) zu sichern. (Also z.B. Recovery-KEy o.ä.). => dies zielt auf die "vergessenes Kennwort" Thematik ab. (in größeren Unternehmen auch: MItarbeiter verlässt Unternehmen und gibt sein Kennwort nicht her).
Das andere Szenario ist, dass etwas and er Installation (Verschlüsselung oder Betriebssystem) beschädigt ist, und so die Funktion beeinträchtigt ist. Hier gibt es dann Verfahren den Zustand zu korrigieren (ebenfalls keine Backdoor).

@ramöller: Sie kennen sich da offenbar aus Die Preise hängen auch davon ab ob zentral gemanaged oder nicht. Aber Netshare eignet sich für das Szenario nicht, da es aus Sicht des Benutzers arbeitet (also z.B. Dateien/Ordner auf Netzlaufwerken verschlüsseln). IM Fall von TM erfolgt der Zugriff auf die DB aber ja vom Server(-Dienst). Instofern müsste sich da immer vorher ein Benutzer anmelden. Besser wäre es hier, etwas wie Whole Disk Encryption (Festplattenverschlüsselung) einzusetzen, da diese dann für Betriebssystem / Anwender / TM völlig transparent arbeitet. Ausserdem geht es ja auch mehr um den Schutz der Daten gegenüber Dritten (Diebstahl, Verlust) - also das primäre Szenario für HDD-Verschlüsselung. Kosten dürften so um die 100 EUR liegen (= eine Lizenz / System).