Mo - Fr – 08:00 - 16:00
Tel: +49 6151 629 169 0
Hilpertstr. 20, 64295 Darmstadt
Die Herausforderung:
Eine Festplatte nach den bekannten Regeln der Kunst sicher verschlüsseln
UND GLEICHZEITIG
eine hohe Verfügbarkeit insbesondere mobiler Arbeitsplätze sicherstellen -
bei minimalem administrativen Aufwand!
Mit Sicherheit das Richtige tun!
Gestohlene oder verlorene mobile oder stationäre Endgeräte führen immer wieder zu großen Datenverlusten und Imageschäden, letzteres insbesondere, wenn sie der Presse bekannt werden (u.U. sind Sie sogar zu einer Veröffentlichung verpflichtet).
Eine Festplattenverschlüsselung sichert Ihren Wettbewerbsvorsprung sowie das Vertrauen Ihrer Kunden und Geschäftspartner.
Bei der Wahl einer solchen Lösung müssen Unternehmen und Behörden stets auf maximale Sicherheit, höchste Benutzertransparenz und eine effiziente Administrierbarkeit achten. Lösungen, bei denen die Anwender in ihrer Arbeit eingeschränkt oder gestört werden, finden selten Akzeptanz.
Wir zeigen Ihnen gerne, wie Sie eine sichere Lösung mit hohem Nutzen einführen und Ihre Unternehmensrichtlinien und gesetzliche Anforderungen schnell und konsequent durchsetzen können.
Nehmen Sie einfach Kontakt zu uns auf.
In Bezug auf den Einsatz der Microsoft Festplattenverschlüsselung BitLocker in Unternehmensumgebungen gibt es diverse Herausforderungen.
Da ist zum einen der grundsätzliche Bedarf verschlüsselte Geräten verwalten zu können.
Hierbei können durchaus schon die Microsoft eigenen Bordmittel unterstützen.
Zum anderen ist es i. d. R. hilfreich, wenn ein Rechner nach einem Reboot selbständig wieder hochfährt, d. h. ohne, dass ein Benutzer manuell eingreifen muss.
Außerdem sollte es ein sicheres und einfaches Verfahren für den Fall geben, dass ein Anwender sein Passwort für den TPM PIN vergessen hat (benötigt die Microsoft Implementierung von BitLocker zur sicheren Festplattenverschlüsselung), und noch wichtiger:
Es sollte eine einfache Möglichkeit zur Wiederherstellung eines vergessenen Windows-Passworts geben – und zwar auch für den Fall, wenn sich das Endgerät NICHT in der lokalen Unternehmensumgebung befindet – Stichwort: Home-Office!
Die „Gretchenfrage“: Komfortabel oder sicher?
Die Microsoft-Bordmittel kommen allerdings spätestens dann an ihre Grenzen, wenn es um maximale Sicherheit auf der einen, und Komfort (= minimale Betriebskosten) auf der anderen Seite ankommt, und wann tut es das nicht?
Wenn die TPM PIN-Abfrage eingeschaltet ist (maximale Sicherheit), und z. B. im Rahmen einer Patch-Installation der Rechner einen Neustart durchführen muss, fährt der Rechner nur dann wieder hoch, wenn ein Anwender davor sitzt und manuell die TPM-PIN eingibt.
Das ist im Einzelfall natürlich eine Möglichkeit, aber in großen Umgebungen … eher suboptimal.
Bei einem mobilen Einsatz von Endgeräten wird es insbesondere dann schwierig, wenn der Anwender sein Windows Anmeldepasswort vergessen hat.
Er muss sich ja ohnehin schon zwei Passwörter merken, nämlich das für die TPM PIN-Abfrage, und das für die Anmeldung an Windows.
Spätestens wenn der Anwender sein Windows Anmeldepasswort vergessen hat, kann er sich nicht mehr an seinem System anmelden, d. h. er kann nicht arbeiten und ist damit unproduktiv.
Abschalten der TPM PIN … ist das wirklich eine gute Idee?
Viele Unternehmen deaktivieren aus diesen Gründen gerne mal die TPM PIN-Abfrage.
Aber dadurch wird das System sehr leicht angreifbar (ein solches System kann innerhalb weniger Minuten durch einen versierten Laien gehackt werden) und ist dann auch nicht mehr DSGVO-konform!
Aber selbst bei Abschaltung der TPM PIN-Abfrage bleibt das Problem mit dem vergessenen Windows Anmeldepasswort. Ohne dass das entsprechende Endgerät ins Office gebracht und in das dortige LAN gehängt wird, kann das Passwort nicht mehr zurückgesetzt werden (ohne Anmeldung an Windows kann auch keine im Home-Office ansonsten mögliche VPN-Verbindung ins Office aufgebaut werden).
"Secure Disk": BitLocker komfortabel UND sicher!
Eine einzige Authentisierung (Passworteingabe) während der Pre-Boot Phase ermöglicht einerseits den sicheren Zugriff auf die Daten der Festplatte – bei GLEICHZEITIGER benutzerfreundlicher Anmeldung an Windows – ohne irgendein Passwort erneut eingeben zu müssen!
Hat der Benutzer sein (einziges) Passwort vergessen, unterstützt eine ebenso sichere wie bequeme Offline Help-Desk Funktionalität beim Zurücksetzen des Passworts, der Rechner muss dafür nicht ins Office zurückgebracht werden, d. h. der entsprechende Mitarbeiter ist sehr schnell wieder arbeitsfähig!
√ Keine zusätzlichen Kosten für FileDiskEncryption-Lösungen
(sofern Enterprise Windows 7 Lizenz, bzw. Windows 10)
√ Integraler Bestandteil von Windows
(stabile, schnelle und robuste Integration ins Betriebssystem)
√ Kompatibilität: Nähe von Microsoft zur Hardware-Industrie
√ Zukunftssicherer Investitionsschutz (Windows 10, …)
√ Standardisierung der IT Umgebung
√ Keine Hardware-Abhängigkeit
√ Keine Export- bzw. Import-Restriktionen
»Ausnahme: TPM in Russland und China …
√ Kompatibel zu Windows 10 Inplace Updates
√ Gute Argumente für den Vorstand
√ Wiederherstellungsfall: Herausgabe des nativen BitLocker
Wiederherstellungsschlüssels notwendig
√ Kein Multi-User-Betrieb möglich (nur Maschinen Kennwort)
√ Kein Challenge/Response für vergessene TPM-PIN
√ Doppelte Anmeldung (Geräte PIN und Windows-Anmeldung)
√ Kein Smartcard- bzw. Token-Support für die Startpartition
√ Keine Anmeldung mit Name und Passwort möglich
√ Umständliche Softwareverteilung (Wake-on-LAN, Reboots etc.)
√ Kein offline Help-Desk für vergessene Passworte oder blockiertes
TPM
√ Keine PIN- bzw. Passwort-Richtlinien für TPM
√ Eingeschränkte zentrale Administration
√ Kein automatischer Wiederanlauf, wenn BitLocker gestoppt
wurde (sicherheitskritisch)
√ Kein Network Unlock unter Windows 7
Viele Unternehmen werden zukünftig, insbesondere in Verbindung mit Windows 10, Microsoft BitLocker einsetzen, und sehen sich dabei mit zusätzlichen Anforderungen konfrontiert, um einen reibungslosen Betrieb im professionellen und heterogenen Umfeld gewährleisten zu können.
Weiterhin fordert die EU DSGVO den bestmöglichen Schutz von Daten, Unternehmen müssen ihre IT-Security diesen Regelungen anpassen.
CryptoPro Secure Disk for BitLocker ist eine Erweiterung für BitLocker, die es Kunden erlaubt, ihre bisherigen etablierten Authentisierungsmethoden (User-ID/Passwort, Biometrie, Smartcard/PIN), Helpdesk-Szenarien und Softwareverteil-Prozesse weiterhin in gewohnter Weise abbilden zu können!
CryptoPro Secure Disk schützt Ihre Daten durch eine transparente und sichere Verschlüsselung auf Basis anerkannter und geprüfter Verschlüsselungsalgorithmen und stellt flexible gesicherte Authentisierungsmethoden für die Endanwender zur Verfügung.
Eine Festplattenverschlüsselung sichert Ihren Wettbewerbsvorsprung sowie das Vertrauen Ihrer Kunden und Geschäftspartner.
Bei der Wahl einer solchen Lösung müssen Unternehmen stets auf maximale Sicherheit, höchste Benutzertransparenz und eine effiziente Administrierbarkeit achten. Lösungen, bei denen die Anwender in ihrer Arbeit eingeschränkt oder gestört werden, finden selten Akzeptanz.
Wir zeigen Ihnen gerne, wie Sie eine sichere Lösung mit hohem Nutzen einführen, und Ihre Unternehmensrichtlinien und gesetzliche Anforderungen schnell und konsequent durchsetzen können.
Mehr und mehr etabliert sich, die in Windows integrierte, "BitLocker Drive Encryption" als De facto Standard für die Verschlüsselung von Notebooks und Desktops.
Für Kunden, die nicht im Besitz einer Windows 7 Ultimate oder Windows Enterprise Lizenz sind, oder auf den Einsatz US-amerikanischer Verschlüsselungstechnologie verzichten möchten, bieten wir die Lösung CryptoPro Secure Disk Enterprise mit eigenem integrierten AES256 an.
Die Komponenten CryptoPro Secure Disk for BitLocker und Microsoft MBAM können Ergänzungen zueinander sein, erfüllen jedoch unterschiedliche Aufgabenstellungen.
Die Hauptaufgabe von Secure Disk ist die Benutzerauthentisierung und Help-Desk Funktionen, mittels einer eigenen BitLocker integrierten PreBoot-Technologie (PBA). In der PBA werden unterschiedliche Authentisierungsmethoden wie Name/Passwort (Windows credentials), Smartcard/Zertifikat, Biometrie und das Smartphone unterstützt.
Zusätzlich stehen dem Anwender umfängliche Help-Desk Mechanismen zur Verfügung, wenn er seine Authentisierung credentials vergessen hat, damit er im offline Betrieb jederzeit an seine Daten gelangen kann. Mit der zentralen Management-Komponente werden Security Policies für die Endgeräte und deren Zuordnung auf Maschinen erstellt und verteilt.
MBAM konzentriert sich auf die zentrale Administration der BitLocker-Einstellungen, deren Verteilung, Überwachung und der Zuordnung unterschiedlicher Administrations-Rollen. Des Weiteren liegt ein Hauptbestandteil in dem Management des TPM und der Recovery-Key ́s in Verbindung mit BitLocker. Die nachfolgende Darstellung gibt einen Überblick über die aktuellen Funktionen beider Technologien.
CryptWare´s „Secure Disk Authenticator-App“ ermöglicht nun die Anmeldung an BitLocker und Windows per Smartphone.
Das erhöht die Sicherheit und vereinfacht die Anmeldung.
Mit der APP Secure Disk Authenticator gibt es jetzt eine moderne und innovative Zwei-Faktor Authentisierung (Besitz und Wissen), ohne dass am PC/Laptop weitere Geräte zur Authentisierung angeschlossen bzw. verfügbar sein müssen, wie z. B. bei der Smartcard-Anmeldung – Lesegerät und Karte.
CryptWare verlagert damit die Authentifikation – weg vom Wissen über das Kennwort, hin zu einem komplett anderen Gerät.
Die Kommunikation zwischen dem Smartphone und Secure Disk geschieht verschlüsselt und ist mit AES 256 abgesichert.
Dieser Service steht ab sofort bereit (5/2018, bzw. Secure Disk 6.0).
Die APP steht separat im IOS und Android Store zur Verfügung.
Viren werden immer raffinierter und intelligenter.
Ihre Entwicklung geschieht im professionellen Umfeld, finanzielle Mittel und qualifiziertes Personal stehen ausreichend zur Verfügung. Ein Ziel des Schädlings ist es, neben seiner eigentlichen Aufgabe, für die er entwickelt wurde, vom Virenscanner unentdeckt zu bleiben oder sich erneut zu aktivieren, wenn er „entfernt“ wurde.
Die meisten Antivirus-Hersteller bieten ihren Kunden einen bootfähigen Notfall-USB-Stick an, der es erlaubt Schädlinge zu entfernen, auch wenn der Rechner nicht mehr lauffähig ist, oder sich der Schädling im laufenden Windows Betriebssystem nicht entfernen lässt. Hierzu wird über das externe Medium (CD oder USB-Stick) der lokale Rechner mit einem Linux-basierenden Betriebssystem gebootet und der Virenscanner gestartet. Dank integrierter Updatefunktion ist der Virenscanner, bevor er seine Arbeit beginnt, auf dem aktuellen Stand der Virensignaturen.
Diese Methode, infizierte Rechner oder Daten zu retten, ist oftmals der letzte Rettungsanker!
Des Weiteren ist diese Methode die einzige, Viren zu entfernen, die sich selbst wiederherstellen, da sie sich in gesperrten, nicht löschbaren Dateien befinden oder sich als Systemdienst eingetragen haben. Die Stealth-Viren (Tarnkappen-Viren) versuchen ihre Entdeckung systematisch zu verhindern. So können sie sich z. B. vor einem Virenscan selbst aus der Datei entfernen und infizieren diese Datei nach der Überprüfung erneut. Das Gleiche gilt für Rootkits, Programme, die sich im System verstecken und dem Virenscanner das Bild eines nicht infizierten Rechners vorspiegeln.
Da die Anwendung der „Rescue CD/Stick“ von einem lokalen Booten des Rechners über ein externes Medium ausgeht, ist dies zwar für einzelne Rechner eine brauchbare Lösung, nicht jedoch für eine großflächige Überprüfung im Enterprise Umfeld.
Der Wunsch nach einer zeitgesteuerten, zentral administrierbaren Lösung liegt auf der Hand, um den nachfolgenden Fragestellungen gerecht zu werden:
Secure Disk DesInfect ist ein zentral gemanagtes Boot-System mit integrierter Antivirus Scan-Engine, welches auf der lokalen Festplatte des Endgerätes installiert wird.
Secure Disk DesInfect kann über Wake-on-LAN oder über die Managementkonsole gesteuert, gestartet und administriert werden. Hierbei wird das Linux-basierte System auf der Festplatte gestartet und nimmt zunächst, über einen geschützten Kanal, Kontakt mit dem Management-Server auf, um sich dort die aktuellen Virensignaturen abzuholen.
CryptWare setzt bei der integrierten Scan-Engine auf etablierte Antivieren-Hersteller des Marktes. Die in Secure Disk DesInfect integrierte BitLocker-Protektor-Technologie erlaubt nun den Zugriff auf das BitLocker Schlüsselmaterial und der Virenscanner ist in der Lage die BitLocker verschlüsselte Festplatte zu scannen.
Vorteile von Secure Disk DesInfect
Funktionen von Secure Disk DesInfect
Kundenanforderungen | BitLocker nativ |
|---|---|
PreBoot Authentisierung mit Name/Passwort | Nein, nur Maschine (TPM-PIN) |
PreBoot Authentisierung mit Smartcard/Zertifikat | Nein |
Multi-User-fähige PreBoot-Authentisierung | Nein, TPM-PIN immer gleich |
Single SignOn „PBA an Betriebssystem“ | Nein |
Rollentrennung: IT-Admin. und Security-Admin. | Nein |
Zentrale Administration | Nein, nur mit Zusatzprodukt |
Offline HelpDesk für vergessene Windows-Passworte | Nein |
Challenge/Response HelpDesk (Einmal-Passworte) | Nein, nur Recovery-Key (= Security-Problem) |
Störungsfreier Betrieb und - Softwareverteilung | Nein, TPM schränkt ein und behindert |
Statusreport der Verschlüsselung (Compliance) | Nein, nur mit Zusatzprodukt |
Schneller Festplattentausch (HD in Neugerät) | Nein, TPM verhindert dies |
Recovery Key´s nicht im AD speichern | Nein, nur mit Zusatzprodukt |
Network Unlock mit WLAN und 802.1x (NAC) | Nein, nur kabelgebunden (ab Windows 8.x) |
Sicherer Betrieb auch ohne TPM möglich (China, Russland: TPM is restricted by law) | Nein |
Virtuelle Tastatur für Tablets in der PBA | Nein |
Mandantenfähigkeit (unterschiedliche Administratoren, pro Rechner, pro OU) | Nein |
Schutz vor unberechtigtem BitLocker suspend | Nein |
Barrierefreiheit (Sprachausgabe in der PBA) | Nein |
Dabei handelt es sich um einen Connector, der die Smartcard mit einer Anwendung verbindet.
Der Kern einer Smartcard-Middleware ist ein Treiber, der gegenüber der Anwendung eine Krypto-Schnittstelle zur Verfügung stellt, und diese gegenüber der Karte auf elementare Befehle abbildet.
Für die Kunden ist diese Middleware eine elementare Software, da sie sich nicht auf eine Smartcard oder einen Smartcard-Leser festlegen können, und bei einem Wechsel auf eine andere Smartcard keine Änderungen oder Anpassungen an ihren Applikationen vornehmen möchten.
Demnach wird eine Middleware gesucht, die alle gängigen heutigen und zukünftigen Smartcards und Leser mit ihren, teilweise individuellen Profilen, unterstützt.
Je breiter die Middleware aufgestellt ist, (unterschiedliche Smartcards, Profile, unterstützte Betriebssysteme, Leser-Varianten etc.) und je besser die Wahl der System-Architektur, desto unproblematischer ist der Betrieb und eine Migration auf Nachfolgesysteme.
Unsere Smartcard Middleware gehört zu den umfangreichsten Adaptionen des gesamten Marktes!