Die Version 7 stellt für ECOS Appliances und den ECOS SecureBootStick® (SBS) eine umfangreiche Weiterentwicklung hinsichtlich Sicherheitsfunktionen und Operabilität dar. Neben verschiedenen Verbesserungen im Detail konnte durch die Einführung einer neuen Indizierungstechnik die Performance und die Skalierbarkeit im Einsatzbereich der ECOS Appliances deutlich gesteigert werden.

Die bereits in Version 6 eingeführten Sicherheitsfunktionen des SBS wurden mit der Version 7 überarbeitet und um eine Reihe neuer Sicherheitsfunktionen ergänzt.Ab der neu hinzugekommenen HE-Ausführung des SBS ist eine stufenweise Hardware-Freischaltung einzelner Speicher-Partitionen sowie ein selektiver Hardware-Schreibschutz der Partitionen enthalten. Die HE-Ausführung positioniert sich für einen gehobenen Schutzbedarf zwischen der Basis-Ausführung CL und den mit Smartcard ausgestatteten Ausführungen FX, SX, GX und ZX. Dabei stellt der integrierte Crypto-Chip ein wesentliches Sicherheitsmerkmal dar, das in der HE-Ausführung die Funktionen der Smartcard zur sicheren Speicherung von Schlüsselmaterial und bei allen Ausführungen ab HE die Implementierung von Krypto-Operationen zur Hardware-Verschlüsselung übernimmt. In den Ausführungen FX, SX, GX und ZX wird das Schlüsselmaterial ausschließlich auf Smartcard gespeichert, wodurch ein noch höheres Sicherheitsniveau erzielt wird. Allen Varianten ist gemein, dass sie nur mit sicherer 2-Faktor-Authentisierung genutzt werden können. Bei FX, SX, GX und ZX muss die PIN-Eingabe auf der integrierten Hardware-Tastatur erfolgen. Mit GX und ZX werden die verfügbaren Ausführungen durch den integrierten Smartcard-Reader für den Einsatz externer Smartcards ergänzt. Für alle SBS-Ausführungen (CL, HE, FX, SX, GX, ZX) sind zudem folgende Funktionen in Version 7 neu hinzugekommen:

• Hardware-Fingerprint zur Prüfung der Wirtsrechner auf Veränderungen
• Unterstützung mehrerer alternativer Kernel, um eine möglichst breite Hardware-Basis beim Benutzer verwenden zu können
• Verschlüsselte und integre Speicherung im RAM zum Schutz gegen Ausspähen von Speicherabbildern
• Unterstützung mehrerer, gleichzeitig betriebener Smartcard-Reader
• Aktualisierung des Bootloader mit verbesserter Hardware-Kompatibilität
• Verbesserte Benutzerführung im Bootvorgang
• Chromium als Browser-Alternative zu Firefox, um eine breitere Unterstützung aktueller Browser-Anwendungen zu bieten
• Vereinfachtes Lifecycle-Management

Der NCP-VPN-Client wird ab Version 7 nicht mehr unterstützt.

Es ist möglich, mit einer ECOS SystemManagementAppliance (SMA) in Version 6 Secure Boot Sticks in Version 7 zu verwalten.

Version 7.0 beinhaltet Neuerungen sowohl für den Secure Boot Stick als auch für unsere Appliances und Web-Clients.
Die Versionen 7.0.1 bis 7.0.9 stellen Entwicklerversionen dar, die in frühen Stadien bereits Praxistests unterzogen wurden. Ab Version 7.0.10 (beta) stand eine in der Praxis einsetzbare Version zur Verfügung, mit der auch die unten ausgeführte Abbildung des Changelog beginnt.

Version 7.1.x bzw. 7+vsnfd ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Verarbeitung von Daten bis zum Geheimhaltungsgrad VS-NfD zugelassen.
Zugleich ist sie zur Verarbeitung von Daten der Klassifizierung "EU-RESTRICTED" und "NATO-RESTRICTED" zugelassen.
Zum VPN-Aufbau im VS-NfD-Umfeld ist eine Anbindung an genua genuscreen über IPsec vorgeschrieben. Genaueres ist in den Einsatz- und Betriebsbedingungen geregelt.
Legacy Boot mit Master Boot Record (MBR) ist im VS-NfD-Umfeld nicht mehr zulässig und wird in Version 7.1 bzw. 7+vsnfd nicht mehr unterstützt.

Bis V7.0.57/V7.1.57

Der Standardentwicklungsstrang des SBS für Version 7 wird unter der Nummerierung 7.0.x geführt. Zur Pflege der Version 7.1.x werden die Änderungen der in kürzeren Zyklen fortschreitenden 7.0.x-Versionen in den Entwicklungszyklus der 7.1.x-Versionen übernommen, soweit dies im Rahmen der Zulassungsbedingungen möglich ist. Vor Release werden alle 7.1.x-Versionen mit dem BSI abgestimmt und durch das BSI als Minor-Release freigegeben oder als Major-Release zugelassen.
Unter „Änderungen im Einzelnen“ (siehe unten) werden die 7.0.x- und 7.1.x-Versionen im zeitlichen Verlauf dargestellt. Abweichungen bzw. Änderungen, die in 7.1.x nicht übernommen wurden, werden im Detail kommentiert. Unkommentierte Änderungen in 7.0.x wurden in die 7.1.x mit gleicher bzw. nachfolgender Ausgabenummer (3. Stelle der Versionsnummerierung) übernommen.

7.1.x-Versionen unterscheiden sich von 7.0.x-Versionen in den Bereichen geforderter Schlüsselstärke, unterstützter VPN-Technologie und sicherheitsrelevanter Anwendungskomponenten (z.B. Browser-Erweiterungen), um die mit der VS-NfD-Zulassungen einhergehenden, erhöhten Sicherheitsauflagen zu erfüllen. 7.1.x-Versionen sind im VS-NfD-Umfeld zwingend einzusetzen. Außerhalb des VS-NfD-Umfelds gewährleisten 7.0.x-Versionen eine umfassende Interoperabilität mit vorhandenen IT-Infrastrukturen, die unter Umständen nicht VS-NfD-konform aufgebaut sind (z.B. SSL-VPN-Gateways).

Ab V7.58.0/V7.58.0+vsnfd

Mit V7.58.0 erfolgt eine Standardisierung der Versionsnummerierung gemäß "Semantic Versioning" – siehe semver.org. Die Version 7.58.0 ist damit die Nachfolgeversion der Version 7.0.50. Die bisherige Unterscheidung an zweiter Stelle der Versionsnummer zwischen der Standardversion und der VS-NfD-zugelassenen Version erfolgt zukünftig durch das sog. Build-Tag "+vsnfd". Die aktuelle, VS-NfD-zugelassene Version trägt damit die Bezeichnung "7.58.0+vsnfd".

Die mit "+vsnfd" gekennzeichnete Version enthält ausschließlich die für VS-NfD zugelassenen VPN-Clients und Anwendungen, um die mit der VS-NfD-Zulassung einhergehenden, erhöhten Sicherheitsauflagen zu erfüllen. "+vsnfd"-Versionen sind im VS-NfD-Umfeld zwingend einzusetzen.

Außerhalb des VS-NfD-Umfelds gewährleisten Versionen ohne das Build-Tag eine umfassende Interoperabilität mit vorhandenen IT-Infrastrukturen, die unter Umständen nicht VS-NfD-konform aufgebaut sind (z.B. SSL-VPN-Gateways).

Die Anwendung ist für die Standardversion der SMA und die VS-NfD-zugelassene Version gleichermaßen vorgesehen. Es wird allerdings eine vorhandene SMA ab Version 7.0.34 bzw. 7.1.34 gemäß alter Versionsnummerierung vorausgesetzt. Sofern noch ältere Appliance-Versionen im Einsatz sind, wird zunächst ein Update der SMA auf eine 34erVersion (oder neuer) erforderlich.

Im gleichen Zug wird seitens der SMA ab der Version 7.0.34 bzw. 7.1.34 eine verbesserte Kompression der Update-Images unterstützt, die ECOS mit der Version 7.58.0 bzw. 7.58.0+vsnfd einsetzt, damit Updates effizienter bereitgestellt und verarbeitet werden 2 können.

Ein Update des SBS von Versionen vor 7.0.49 bzw. 7.1.49 auf eine 7.58.0 bzw. 7.58.0+vsnfd soll immer über die Version 7.0.49 bzw. 7.1.49 als Zwischenschritt erfolgen. Der Zwischenschritt ist infolge des enthaltenen aktualisierten Bootloaders des SBS erforderlich.

Mit der nachfolgenden Version – geplant für Version 7.60.0 – wird die Unterstützung des enthaltenen RDP-Clients in der Version 2.0.0 entfallen. Falls diese noch verwendet wird, sollte eine möglichst frühzeitige Umstellung auf eine neuere Version in der Konfiguration vorgenommen werden.

Das Update kann durch die Appliance oder die Sticks von unserem Update-Server bezogen werden. Führen Sie dazu im Admin-Interface der SMA im ECOS Appliance-Objekt Aktionen/Update aus oder wählen Sie im SBS-Desktop-Menü System/Update Software.

Soweit ein lokaler Update-Server auf der Management Appliance eingerichtet ist, können die Updates von der angegebenen URL heruntergeladen und auf der Management Appliance eingespielt werden. Die manuellen Downloads können nur in Verbindung mit einem lokal eingerichteten Update-Server benutzt werden. Für den Download benötigt man ein gültiges Download-Kennwort. Sollten Sie noch kein Download-Kennwort erhalten haben, wenden Sie sich bitte an unseren Support.

Hat die SMA direkten Zugang ins Internet (zu hz.update.ecos.de) können die Update-Images auch direkt im Software-Update-Image-Objekt heruntergeladen werden. Gehen Sie zum Reiter "Download", und geben Sie im Feld „Version“ die genaue Versionsnummer an, z.B. V7.58.0 oder V7.58.0+vsnfd (das „V“ muss zwingend ein Großbuchstabe sein!).

Weitere Informationen zum Thema Updates finden Sie auch in unserem Admin-Tutorial Software-Updates der ECOS Appliances und des ECOS SecureBootStick.