Lösungsideen / Vorgehensweise mit "potentiell verseuchten" USB Sticks

[CowboyNic]

Guten Morgen zusammen,
ich poste das hier mal in "Sonstiges", da es für mich nicht unbedingt in eine andere Kategorie passt.

Wir überlegen das sehr alte Windows Notebook meiner Frau gegen einen iMac auszutauschen.
Ich arbeite derzeit an einem Macbook. Die Rechner hängen zusammen mit der DS114 im selben WLAN.
Bisher haben wir immer relativ getrennt gearbeitet. Meine Frau an ihrem Rechner, ich am Macbook. Es wurden nur ein paar Daten via CloudStation ggetauscht.

Allerdings mache ich relativ viel Bild und Videosachen, ich werde diese Sachen dann auch eher am iMac machen wollen.

Jetzt zum "Problem":
Meine Frau ist Berufsschullehrerin und sie muss recht oft Daten mit Hilfe von USB Sticks austauschen. Das passiert zwar mit Schulrechnern aber auf diese haben die Schüler ständig zugriff. Die Schule kämpft ständig mit Computerviren, es ist also "ein Thema".
Dropbox/Cloudstation scheiden aus, da die Schule zwar einen Netzwerkzugriff besitzt, der aber recht unzuverlässig ist.

Wenn wir die Rechnertrennung aufheben (was wir nicht aus dem Sicherheitsaspekt gemacht haben sondern eher weil ihr PC nicht mehr mehr wie Excel und PowerPoint schafft) würden unsere Familiendaten erstmals "direkt" auf einer Maschine mit den "verseuchten" USB Sticks in Berührung kommen.

Wie würdet ihr damit umgehen? Ich würde ungern den alten PC weiter betreiben, nur damit wir eine Art Sandbox haben (ob das überhaupt was bringen würde ist ja auch fraglich)....

Bringt es was die USB Sticks nur in die Syno zu stecken und die Daten zu kopieren? Bleiben die Viren/Malware dann auf dem Stick zurück?

Gruß

Nicolas

 

[Frogman]

Bringt es was die USB Sticks nur in die Syno zu stecken und die Daten zu kopieren? Bleiben die Viren/Malware dann auf dem Stick zurück?

Die Wahrscheinlichkeit, Malware auf dem Stick zu haben, die sich auch über einen Linux-Rechner (denn das ist die DS) verbreiten kann, ist spürbar geringer, als wenn man den Stick an einen Windows-Rechner steckt - ausgeschlossen ist es allerdings nicht. Gerade in jüngerer Vergangenheit sind einige der gefährlicheren Angriffe über USB-Sticks bekannt geworden, die fast schon plattformübergreifend Schaden anrichten können.
Wirklich hilfreich ist es,den Stick vor jedem Gebrauch über einen Multi-Scanner zu prüfen, also einem Parcours aus mehreren unterschiedlichen Virenprogrammen. Schulen können meines Wissens wie andere öffentliche Einrichtungen auch dazu vom BIS unterstützt entsprechende Software bekommen. Frag am besten einmal bei der Leitung nach.

 

[derwo]

Guten Morgen zusammen,
Wenn wir die Rechnertrennung aufheben (was wir nicht aus dem Sicherheitsaspekt gemacht haben sondern eher weil ihr PC nicht mehr mehr wie Excel und PowerPoint schafft) würden unsere Familiendaten erstmals "direkt" auf einer Maschine mit den "verseuchten" USB Sticks in Berührung kommen.

Man könnte auf dem iMac mehrere Benutzer anlegen, die Daten wären dann relativ getrennt. Zwei Szenarios kommen mir da in den Sinn.
1. Deine Frau und du bekommen jeweils einen eigenen Benutzer. Damit sind deine Bilder und Video Daten einigermaßen "geschützt".
2. Es gibt einen privaten Benutzer und einen Berufsschulbenutzer. Den privaten Benutzer werdet ihr gemeinsam nutzen und alle Annehmlichkeiten des Heimnetzwerks und grossen Bildschirms . Der Berufschulbenutzer, wird nur für die Arbeit deiner Frau genutzt und dieser hat dann auch kein Zugang zur DS114 oder sonstigen Heimnetzwerk-Geräten. PRO: Der Berufschulbenutzer bekommt gerade so viel Rechte, dass die Arbeit deiner Frau erledigt werden kann. CON: Zum Arbeiten muss sich deine Frau bewusst vom privaten zum Berufschul Benutzer wechseln.
Generell empfhielt es sich auch auf dem Mac einen Admin-Benutzer und einen Alltags-Standard-Benutzer anzulegen.

Bringt es was die USB Sticks nur in die Syno zu stecken und die Daten zu kopieren? Bleiben die Viren/Malware dann auf dem Stick zurück?

Ich würde so wenig wie möglich private Geräte mit den USB-Sticks und den darauf befindlichen Daten in Verbindung bringen wollen und dieses eine Gerät dann auch wirklich sehr gut sichern. Malware/Viren sind auf dem Mac blauäugiger Weise nur selten ein Thema, wie gut die Virenscanner da wirklich funktionieren habe ich keine Ahnung.

Dann kommt mir noch ein sehr ketzerischer Gedanke : Wieso nicht dein MacBook in den "Arbeits PC" deiner Frau verwandeln und du konzentrierst dich voll auf den iMac

Viele Grüsse
mark

 

[Frogman]

...
Generell empfhielt es sich auch auf dem Mac einen Admin-Benutzer und einen Alltags-Standard-Benutzer anzulegen.

Wobei man ergänzen sollte, dass diese "goldene Regel" früherer Jahre inzwischen praktisch obsolet ist und eher ein trügerisches Sicherheitsgefühl erzeugt - kaum eine Malware läßt sich heutzutage von beschränkten Benutzerprofilrechten aufhalten.

 

[jan_gagel]

Hallo,

also ich würde zuallererst mal dem Schul-Admin auf die Füße treten. Denn wenn ihr euch schon um Gedanken um solche Sticks macht, dann ist die Schule wohl eine Virenschleuder. Und das ist ziemlich gefährlich für die Schule, so vom rechtlichen Aspekt her. Also sollte diese Lücke zuerst geschlossen werden. Möglichkeiten gibts da viele, angefangen vom guten alten Dr. Kaiser bis hin zu der bademwür. Musterlösung. Dann muß zwingend (auf Windows-Maschinen) ein funktionierender Virenschutz und auch ein aktuelles Betriebssystem installiert sein. Laß mich raten, die arbeiten noch mit XP, weil die Hardware nicht mehr hergibt? Das geht überhaupt nicht. Aktuelle Betriebssysteme und von allen Dingen gepatcht auf den aktuellen Stand. Virenscanner ebenso aktuell. Außerdem sollten die Schüler-Accounts so wenig Rechte wie möglich haben, was zusätzlich mit dem eingangs erwähnten Dr. Kaiser noch verschärft werden kann.

Und wieso müssen die Lehrer an den Schüler-Rechnern arbeiten? Gibt es keine Lehrer-Rechner? Eigentlich sollte man in einer Schule das Verwaltungs-Netz vom Schüler-Netz trennen, damit die Verwaltung nicht gehackt oder verseucht wird. Und im Verwaltungs-Netz können auch die Lehrer-PCs angesiedelt werden.

Auf dem Mac würde ich mir weniger Gedanken um verseuchte Sticks machen. Du könntest aber auch einen Virenscanner installieren, der würde dann wohl auch schreien, wenn etwas Kurioses kommt. Ich persönlich hab auf meinen Macs keinen Virenscanner laufen, man liest mehr Schlechtes als Gutes über Virenscanner auf Mac. Außerdem gibt es eine Schadsoftware-Erkennung bereits im Betriebssystem.

Andersrum, wenn der Stick verseucht ist, sind die darauf befindlichen Daten wohl auch verseucht. Also muß man an dieser Stelle auch alles in Frage stellen. Stick formatieren und neu anfangen wäre da wohl die bessere Lösung.

Offenbar fehlt es in der Schule am Notwendigsten, einem fähigen Administrator. Leider findet man in sehr wenigen Schulen tatsächlich einen fähigen Administrator. Oft haben diese Rolle Lehrer inne, die etwas mehr mit Computern arbeiten als ihre Kollegen. Aber leider haben diese Lehrer dann keine Möglichkeiten in Sachen Netzwerk, Sicherheit, Pflege usw... Oft wird das Gesamtkonstrukt wie ein Flickenteppich repariert, sollte eine Komponente nicht mehr funktionieren. Eine Sache des Geldes ist es sowieso, wenn man auf einen externen Dienstleister angewiesen ist. Da werden auch nur die notwendigsten Dinge erledigt. Aber eine richtige Pflege, ein Update-Tag, eine Untersuchung auf Malware oder andere Schadsoftware, wird oft nicht unternommen. Gerade Schulen müßten dort mit gutem Beispiel voran gehen.

Auch in der freien Wirtschaft wird in der IT-Abteilung lediglich eine PC-Schrauber-Werkstatt gesehen, als eine Instanz, in der alle Fäden zusammen laufen. Die IT wird leider viel zu wenig beachtet.

Ciao Jan

 

[CowboyNic]

Guten Morgen,

vielen Dank an alle, die tws. sogar sehr ausführlich geantwortet haben.

@frogman

Wirklich hilfreich ist es,den Stick vor jedem Gebrauch über einen Multi-Scanner zu prüfen, also einem Parcours aus mehreren unterschiedlichen Virenprogrammen. Schulen können meines Wissens wie andere öffentliche Einrichtungen auch dazu vom BIS unterstützt entsprechende Software bekommen. Frag am besten einmal bei der Leitung nach.

Du hast recht. Sie haben wohl was in der Art gezeigt bekommen. Sie können die Software beziehen. Allerdings läuft die aktuell auf keinem der Schulrechner, da diese wohl wirklich EXTREM auf die Performance geht. Danke dir!


@derwo

Dann kommt mir noch ein sehr ketzerischer Gedanke : Wieso nicht dein MacBook in den "Arbeits PC" deiner Frau verwandeln und du konzentrierst dich voll auf den iMac

Pssst... verrate doch nicht alles . Spaß bei Seite. Ich mag die Flexibilität. Jetzt sitz ich grad auf der Couch. Gestern Abend kurz vorm Kaminofen... usw.... Der iMac wird ihn ihrem Arbeitszimmer einziehen. Für "große" Projekte sicher ok sich da zu binden. Für das tägliche Rumwursteln... na mal sehen
Danke für den Tip mit den getrennten Usern. Ja ich denke sowas wäre denkbar!

also ich würde zuallererst mal dem Schul-Admin auf die Füße treten. Denn wenn ihr euch schon um Gedanken um solche Sticks macht, dann ist die Schule wohl eine Virenschleuder. Und das ist ziemlich gefährlich für die Schule, so vom rechtlichen Aspekt her. Also sollte diese Lücke zuerst geschlossen werden. Möglichkeiten gibts da viele, angefangen vom guten alten Dr. Kaiser bis hin zu der bademwür. Musterlösung. Dann muß zwingend (auf Windows-Maschinen) ein funktionierender Virenschutz und auch ein aktuelles Betriebssystem installiert sein. Laß mich raten, die arbeiten noch mit XP, weil die Hardware nicht mehr hergibt? Das geht überhaupt nicht. Aktuelle Betriebssysteme und von allen Dingen gepatcht auf den aktuellen Stand. Virenscanner ebenso aktuell. Außerdem sollten die Schüler-Accounts so wenig Rechte wie möglich haben, was zusätzlich mit dem eingangs erwähnten Dr. Kaiser noch verschärft werden kann.

...

Und wieso müssen die Lehrer an den Schüler-Rechnern arbeiten? Gibt es keine Lehrer-Rechner? Eigentlich sollte man in einer Schule das Verwaltungs-Netz vom Schüler-Netz trennen, damit die Verwaltung nicht gehackt oder verseucht wird. Und im Verwaltungs-Netz können auch die Lehrer-PCs angesiedelt werden.

...

Offenbar fehlt es in der Schule am Notwendigsten, einem fähigen Administrator. Leider findet man in sehr wenigen Schulen tatsächlich einen fähigen Administrator. Oft haben diese Rolle Lehrer inne, die etwas mehr mit Computern arbeiten als ihre Kollegen. Aber leider haben diese Lehrer dann keine Möglichkeiten in Sachen Netzwerk, Sicherheit, Pflege usw... Oft wird das Gesamtkonstrukt wie ein Flickenteppich repariert, sollte eine Komponente nicht mehr funktionieren. Eine Sache des Geldes ist es sowieso, wenn man auf einen externen Dienstleister angewiesen ist. Da werden auch nur die notwendigsten Dinge erledigt. Aber eine richtige Pflege, ein Update-Tag, eine Untersuchung auf Malware oder andere Schadsoftware, wird oft nicht unternommen. Gerade Schulen müßten dort mit gutem Beispiel voran gehen.

Hallo Jan,
du hast das richtig erkannt. Ich war selbst noch nicht in der Schule (meine Frau macht das noch nicht so lange) aber die ist für das was ich "so kenne" schon wirklich modern. Die sind komplett mit so Media-Tafeln ausgestattet (die sogar nach 1,5 Jahren noch alle funktionieren). In jedem Schulsaal steht ein Notebook mit Beamer usw... Aber ganz klar, die haben natürlich keinen echten IT-Service der das betreut. Also eigentlich schon aber ich denke der arme Mann ist sicher für 500 Rechner zuständig Problematisch sind wohl die Notebooks in den Räumen. Die Schüler dürfen/sollen auch selbst Präsentationen mitbringen. Es geht hier auch nicht unbedingt um gezielte Angriffe. Das ist eine Berufsschule für Erzieher und Pflegekräfte. Die wenigsten Schüler sind noch ganz jung und eigentlich haben sie auch keine "soziale Brennpunkte" in den Klassen. Aber die bringen halt ihre Sticks von daheim mit usw....

Vielen Dank an alle.

Ich denke es wird in die Richtung
- getrenntes Userkonto zum Datenimport oder sogar für sie komplett zur Bearbeitung der Schulsachen
- Multiscanner testen sofern es auch für Mac gibt (und wenn er auch nur gestartet wird, wenn der Stick angeschlossen wird)
- Sensibilisierung einfache Dateien auch mal einfach per Mail auszutauschen (da wird ja mehrfach gescannt)...

Gruß

Nicolas

 

[Frogman]

Yep, richtig toll - Geräte anschaffen (eventuell noch gesponsert von einer privaten Firma...) und dazu dann nur ein paar Handbücher in den Schrank legen statt fundierten IT-Support vorzusorgen. Jan hat schon Recht - bei solchen Vorbildern braucht man sich nicht zu wundern, wenn die nächste Generation herzlich wenig über IT-Strukturen weiß und maximal ein Tablett, SMART-Board und -Phone bewischen kann...

Der Datenaustausch per email - eventuell auch über einen etablierten Anbieter, die da recht gute Scanner nutzen - ist sicherlich der praktikabelste Weg. Getrennte Userkonten helfen dagegen nur bedingt.

 

[hvkls]

Yep, richtig toll - Geräte anschaffen (eventuell noch gesponsert von einer privaten Firma...) und dazu dann nur ein paar Handbücher in den Schrank legen statt fundierten IT-Support vorzusorgen. Jan hat schon Recht - bei solchen Vorbildern braucht man sich nicht zu wundern

… wenn es in der Firma genau so weitergeht