Behörden, Bundeswehr, soziale und kirchliche Einrichtungen sowie Unternehmen verzeichnen gleichermaßen einen zunehmenden Bedarf für Heim- oder mobile Arbeitsplätze. Sei es im Rahmen einer Flexibilisierung von Arbeitszeit und Arbeitsort, internationaler Aktivitäten oder der Schaffung von Notfall-Arbeitsplätzen – die Anforderungen sind immer ähnlich: Mit begrenztem Budget, geringem Aufwand für die IT und höchsten Anforderungen an Datenschutz und Datensicherheit sollen möglichst viele Anwender ausgestattet werden.

Mit dem neuen, BSI-zugelassenen ECOS SECURE BOOT STICK [SX] ist es erstmals möglich, von einem beliebigen – sogar privaten – PC oder Mac aus auf Daten und Anwendungen mit Geheimhaltungsgrad VS-NfD zuzugreifen.

 

Wie funktioniert der Stick?

Der ECOS SECURE BOOT STICK [SX] ermöglicht einen hochsicheren Zugang zu einer Terminalserver- oder Virtual-Desktop-Infra­struktur und Webanwendungen aus einer gesicherten und gekapselten Umgebung heraus. Mit dem Stick bootet ein beliebiger PC oder Mac das speziell gehärtete ECOS Secure Linux-Betriebssystem. Die interne Festplatte bleibt ausgeschaltet, so dass eine mögliche Schadsoftware auf dem Rechner gar nicht erst aktiviert wird. Damit wird eine 100%ige Trennung zwischen der beruf­lichen und der privaten Nutzung des PCs sichergestellt. Sämtliche Firmware und Applikationen befinden sich auf dem Behörden- oder Firmen-Stick. Der private PC dient damit nur noch als private Peripherie.

Hier erfahren mit einem Klick auf das + Zeichen, warum der ECOS SECURE BOOT STICK auch Ihnen bei der Umsetzung Ihrer Ziele weiterhelfen wird.

  • Technik

    Einfache Implementierung und Administration

    Der ECOS SECURE BOOT STICK [SX]terminiert gegen ein bestehendes IPsec-VPN-Gateway. Wird der Stick in einer BSI-zugelassener Umgebung betrieben, so wird als VPN Appliance eine genua genuscreen vorausgesetzt.

    Mit dem ECOS Easy Enrollment lässt sich auch eine große Anzahl an Zugängen innerhalb kürzester Zeit ausrollen. Dabei erhält jeder Anwender einen identisch vorkonfigurierten Stick. Über das zentrale Management werden die persönlichen Smartcards ausgestellt, über welche der Stick seine persönliche Konfiguration erhält. Dank des zentralen Managements lassen sich alle Sticks zentral verwalten und remote aktualisieren. 

     

    Maximale Kompatibilität

    Mit der Einbindung privater Endgeräte steigen die Anforderungen an die Kompatibilität. So sind auf dem ECOS SECURE BOOT STICK die Treiber für alle marktgängigen PCs und Macs implementiert. Dies umfasst Grafiktreiber, LAN-, WLAN-, UMTS- und LTE-Treiber sowie einen Browser zur Anmeldung am HotSpot. Der Stick enthält die notwendigen Clients für einen hochsicheren Zugriff auf Microsoft Terminalserver, Citrix (XenApp und XenDesktop), VMware Horizon (RDP, PCoIP oder BLAST), PCs mit Remotedesktop-Freigabe und Webanwendungen. Für die internationale Nutzung sind die Tastaturtreiber für über 90 Sprachen und Länder auf dem Stick enthalten.

     

    Aufbau des Sticks

    Der ECOS SECURE BOOT STICK [SX] unterteilt sich in zwei Laufwerke. Während das erste Laufwerk sämtliche Komponenten für den hochsicheren Zugang auf die Infrastruktur beinhaltet, kann das zweite Laufwerk als verschlüsselter Datensafe genutzt werden. Entsprechende Rechte vorausgesetzt, lassen sich so Dokumente aus einer Server-Session heraus im Datensafe ablegen, um diese offline zu bearbeiten. Der Datensafe lässt sich unter Windows und MacOS X mit eingelegter Smartcard und nach Eingabe der PIN als normales Laufwerk nutzen.

    Das erste Laufwerk wiederum unterteilt sich in mehrere Partitionen. Bootloader für UEFI und BIOS, Kernel, Firmware sowie sämtliche Applikationen werden je auf einer schreibgeschützten Partition abgelegt. Hinzu kommt eine verschlüsselte Partition für die Ablage von Zugangsinformationen, Rechten und Benutzereinstellungen.

     

    Absicherung per Smartcard

    Der ECOS SECURE BOOT STICK [SX] verfügt über einen inte­grierten Smartcard-Reader für Smartcards im SIM-Karten-Format ID-000. Die Smartcard dient damit als Besitzkomponente für eine starke Multi-Faktor-­Authentisierung. Sämtliche Prozesse sind per Smartcard abgesichert, vom Rollout, über die Anmeldung am Gateway, bis hin zur Aktualisierung des Sticks. Per PC-/SC- Forwarding lässt sich die Smartcard für weitere Funktionen nutzen, z.B. zum Signieren, Verschlüsseln oder Windows ­Smartcard-Logon.

     

    Zentrales Management

    Mit der ECOS SYSTEM MANAGEMENT APPLIANCE lassen sich alle Zugänge zentral verwalten und aktualisieren. So lässt sich sehr granular festlegen, welche Benutzer oder welche Be­nutzergruppen Zugang zu welchen Zielsystemen haben, wer Daten ggf. aus einer Sitzung heraus im Datensafe oder einem sonstigen freigegebenen Gerät speichern oder Dokumente zu Hause ausdrucken darf. Die System Management Appliance erlaubt eine Kopplung mit dem Active Directory oder sonstigen Verzeichnisdiensten und damit eine Synchronisierung von ­Benutzern  und Rechten. Die ECOS ­SYSTEM MANAGEMENT ­APPLIANCE beinhaltet eine eigene CA zum Erstellen von Zertifikaten sowie zum Ausrollen und Verwalten von Smartcards, kann aber auch mit einer vorhandenen PKI gekoppelt werden. Das Ausstellen, Verlängern und Sperren von Sticks erfolgt über das Token Lifecycle-Management und das Easy Enrollment, beides Teile der Management Appliance. Im Falle eines verloren gegangenen Sticks kann der Zugang zentral gesperrt und die bestehende Lifetime-Lizenz auf einen Ersatzstick übertragen werden. Darüber hinaus beinhaltet die System Management Appliance ein detailliertes Reporting mit einer breiten Auswahl vordefinierter Reports sowie einem Report-Editor, über den sich beliebige Auswertungen erstellen und abspeichern lassen. Die ECOS SYSTEM MANAGEMENT APPLIANCE ist eine virtuelle Appliance, lauffähig unter VMware, Microsoft Hyper-V, Citrix XenServer, Oracle Virtualbox oder Linux KVM.

     

     

  • Sicherheit

    Der ECOS SECURE BOOT STICK [SX] zeichnet sich durch eine Kaskadierung zahlreicher Sicherheitsmaßnahmen aus, welche für sämtliche Bedrohungsszenarien einen ­maximalen Schutz darstellen.

     

    Schutz vor infiziertem PC

    Durch das Booten des (Gast-) PC aus einer gekapselten und gehärteten Linux-Umgebung heraus wird eine mögliche Schadsoftware auf der internen Platte nicht aktiviert. Zusätzlich übernimmt das ECOS Secure Linux-Betriebssystem die Hoheit über die angeschlossene Peripherie, so dass selbst eine Schadsoftware im BIOS oder im UEFI keine Bedrohung darstellt.

     

    Schutz vor Spionage

    Als Grundlage für eine sichere Authentifizierung der Anwender dient eine starke Multi-Faktor-Authentisierung. So erfordert      die Anmeldung am Gateway oder der Zugriff auf den Datensafe nicht nur das Wissen um die persönliche PIN, sondern auch den Besitz der zugehörigen Smartcard und des zugehörigen ECOS SECURE BOOT STICK. Die Verbindung zwischen dem Endgerät und dem Gateway erfolgt auf Basis einer gesicherten VPN-Verbindung, welche erst nach der erfolgreichen Authentifizierung aufgebaut wird. Als Schutz vor möglichen Trojanern auf Websites, z.B. bei der Anmeldung an einem HotSpot, befinden sich sämtliche relevanten Teile der Firmware auf einer schreib­geschützten Partition. Darüber hinaus sind sämtliche Bestandteile der Firmware und Applikationen digital signiert, so dass jeglicher Versuch der Manipulation zu einem sofortigen Abbruch der Anwendung und zum Shutdown des Rechners führt. 

     

    Schutz vor Online-Angriffen

    Beim ECOS Secure Linux-Betriebssystem handelt es sich um ein sehr schlankes System, welches nur diejenigen Komponenten umfasst, die zum Betrieb der Lösung benötigt werden. Damit wird das Potential möglicher Sicherheitslücken deutlich reduziert. Zudem wurde das Betriebssystem speziell gehärtet und eigens kompiliert, so dass es höchsten Sicherheitsanforderungen gerecht wird. Der ECOS SECURE BOOT STICK [SX] verfügt über eine eigene Fire­wall als Schutz vor Angriffen aus dem gleichen Netz, sei es durch Hacker oder über einen infizierten PC. Diese ­blockiert zudem sämtliche TCP/IP- und Ping-Anfragen, so dass ein möglicher Angreifer, zum Beispiel im Hotel oder im ICE, wo man sich mit fremden Nutzern im selben Netz befindet, den Rechner erst gar nicht aufspüren kann. 

     

    Schutz vor Manipulation

    Der Schreibschutz für die gesamte Firmware und die Anwendungen in Kombination mit der Verschlüsselung von Firmware und Konfigurationsdaten sorgt für ein hohes Sicherheitsniveau.  Darüber hinaus sind alle Daten und Programme digital signiert. In einer »Chain of Trust« überprüfen sich Bootloader, Kernel und Applikationen gegenseitig durch einen sich permanent wiederholenden Prozess. Jegliche Manipulation des Filesystems oder der Austausch von Sourcecode macht den Stick sofort unbrauchbar und führt im laufenden Betrieb zu einem unmittelbaren Shutdown des Rechners. Damit wird jegliche Manipulation wirkungsvoll verhindert. 

     

    Schutz vor Aushebelung durch Anwender

    Vor Ausführung der Firmware erfolgt eine Prüfung, ob der Stick in einer virtuellen Maschine gebootet wurde. Dies verhindert, dass die Schutzmaßnahmen des Sticks unterlaufen werden und beispielsweise ein Keylogger oder Trojaner auf dem Hostsystem Bildschirminhalte oder Tastaturanschläge protokolliert.

     

    Schutz vor manipulierten Updates

    Sobald vom Stick eine Verbindung zum zentralen Management besteht, erfolgt eine Prüfung auf mögliche Updates und berechtigte Anwender. Liegen diese vor, so wird im Hintergrund ein neues Image geladen. Dabei wird sowohl der richtige Ursprung als auch die Integrität des Update-Images verifiziert. Nach erfolgreichem Download und Verifikation wird beim nächsten Booten des Sticks das neue Image ausgeführt.

     

    Datenschutz

    Vor unbefugtem Einsehen des Bildschirms schützt ein spezieller Instant-Logout-Prozess. Mit Abziehen des Sticks fährt der PC in Sekundenschnelle runter. Abhängig von dem eingestellten Timeout kann der Anwender nach erneutem Aufbau der Verbindung an gleicher Stelle weiterarbeiten.  Mit seiner Multi-Faktor-Authentisierung, der granularen Rechtevergabe, der Vermeidung jeglicher lokaler Datenspeicherung, dem Ausschluss von Trojanern und der gesicherten VPN-Verbindung erfüllt der ECOS SECURE BOOT STICK [SX] alle technischen Anforderungen gemäß Art. 32 DSGVO.

  • Anwenderfreundlich

    Die Nutzung des ECOS SECURE BOOT STICK [SX] ist für die Anwender denkbar einfach. Nach Einschalten und Eingabe der PIN bootet der PC oder Mac  und führt die Nutzer zu einer Auswahl der freigegebenen Systeme oder Anwendungen.

    Beim Betrieb am WLAN erfolgt die Eingabe des Schlüssels genauso einfach wie beim Smartphone und wird für die künftige Anmeldung verschlüsselt abgespeichert. Nach der Auswahl des gewünschten Systems oder der gewünschten Anwendung befindet sich der Anwender in der vertrauten Umgebung.

  • Wirtschaftlich

    In der Gesamtkostenkalkulation ergibt sich durch den ECOS ­SECURE BOOT STICK [SX] ein Einsparungspotential von bis zu 80% im Vergleich zur Ausgabe von VS-NfD kompatiblen Behörden-/Firmennotebooks. Dies beruht zum einen auf den deutlich geringeren Investitionen und den niedrigeren Betriebskosten, zum anderen auf dem deutlich reduzierten Supportaufwand.

erfahren Sie mehr über die Leistungsdaten und Funktionen des ECOS SECURE BOOT STICK [SX]

  • Leistungsdaten

    BSI-Zulassung

    • Zugelassen für die Verarbeitung von Daten bis zum Geheimhaltungsgrad VS-NfD

    Applikationen

    • RDP-Client, Citrix Workspace-App (Citrix Receiver), VMware Horizon, Firefox, mit/ohne Java-Unterstützung
    • Integrierter VPN-Client für IPsec


    Unterstützte Zielsysteme

    • Microsoft Terminalserver (RDSH), Citrix Apps und Desktops (XenApp, XenDesktop), VMware Horizon (RDP, PCoIP, BLAST) oder Webserver

    VPN

    • Anbindung an genua genuscreen über IPsec innerhalb einer BSI-zugelassenen Umgebung
    • Anbindung an beliebiges Gateway über IPsec oder https außerhalb einer BSI-zugelassenen Umgebung


    Administration

    • Profile zum Zugriff auf unterschiedliche Applikationen/-Server auf User-, Gruppen- oder Rollen-Ebene
    • Nutzung lokaler Ressourcen nach Freigabe durch den Admin (externe USB-Speicherdevices, lokale Drucker)
    • Berechtigungsvergabe für externe Geräte gebunden an die Hersteller-ID oder die Seriennummer des Geräts
    • Remote-Aktualisierung sämtlicher Applikationen und Firmware


    Kompatibilität

    • Integrierter Smartcard-Reader für Smartcards mit CardOS5.3 im Format ID-000
    • Treiber für alle gängigen 64-bit-basierten Intel/AMD PCs, x86-basierte Tablets sowie alle gängigen Macs
    • UEFI Secure Boot-Unterstützung
    • Tastaturtreiber für mehr als 90 Sprachen und Länder
    • Multi-Monitor-Support
    • Verbindungsaufbau per LAN, WLAN, UMTS, LTE inkl. Browser zur Anmeldung an einem HotSpot
    • Software in Deutsch und Englisch (voreinstellbar)

    Datensafe

    • 2 GB, nutzbar zur sicheren Ablage von Dokumenten (nicht für VS-NfD)
    • Hardwareverschlüsselung mittels AES256, abgesichert per 2 Faktor Authentisierung, Smartcard plus PIN
    • Installationsfreie Nutzung als USB-Laufwerk unter Windows, Linux und Mac OS X

    Weitere Funktionen

    • Signieren, Verschlüsseln, Windows Smartcard-Logon durch PC-/SC- Forwarding
    • Forwarding externer USB- und LAN-Devices

    Sicherheit

    • Multi-Faktor-Authentisierung über Smartcard und PIN-Eingabe in der Boot-Phase
    • Integrierte Tastatur zur sicheren Eingabe der PIN
    • Schreibgeschützte und signierte Partitionen für Bootloader und Kernel
    • Schreibgeschützte, verschlüsselte und signierte Partition für Firmware und Applikationen
    • Separate, verschlüsselte Partition zur Ablage der User-Parameter
    • Gehärtetes ECOS Secure Linux-Betriebssystem
    • Digital signierte Bootloader, Firmware und Applikationen mit Verifikation im »Chain-of-Trust«-Verfahren
    • Absicherung sämtlicher Prozesse per Smartcard wie z.B. Easy Enrollment, Anmeldung am Gateway, Aktualisierung des Sticks
    • Integrierte Firewall (Schutz vor Angriffen im gleichen Netz, Blockieren von TCP/IP- und Ping-Anfragen)
    • Verhinderung der Nutzung in einer virtuellen Umgebung
    • Instant-Logout beim Abziehen des Sticks
    • Abgesicherter Prozess zur Aktualisierung von Firmware und Applikationen mit Prüfung auf Integrität und auf korrekten Update-Server

    Abmessungen und Gewicht

    • 27,5 x 84,8 x 12,7 mm, 68g

    Lieferumfang

    • ECOS SECURE BOOT STICK [SX], 3 Anschlusskabel für USB (A, C und Micro), Trageband

     

     

     

     

Deutschland, Österreich, Schweiz

Tel: +49 (6133) 939-200

Kontaktformular