ECOS Release Notes
Für ECOS Appliances, Web Clients, Secure Boot Stick
Mit Version 8 steht ein neues Major-Release des ECOS SecureBootStick (SBS) bzw. der ECOS SystemManagementAppliance (SMA) zur Verfügung.
Die Version ist jeweils auch für die Varianten des SBS (SOS) und Varianten der SMA (ACA, TMA) zu verwenden.
Abonnieren Sie unseren Release Newsletter
Und bleiben Sie über unsere Produkt-Releases, neuste Funktionen, Verbesserungen und Fehlerbereinigungen für ECOS Appliances, Secure Boot Stick und Web Clients stets informiert.
Zur Newsletter-Anmeldung >
Version 7 | Version 8
Die Version 8 der ECOS Produkte SBS, SMA, SOS, ACA und TMA löst die vormalige Version 7 ab. Im VS-NfD-zugelassenen Bereich schließt die Version 8 von SBS und SMA an die auslaufende Zulassung der Version 7 an. Die Version 8 wurde durch das BSI mit Befristung zum 31.05.2028 für VS-NfD zugelassen.
Mit Version 8 wird die Differenzierung von unterschiedlichen Sicherheitszonen für Verbindungsziele im Netzwerk ermöglicht. Hiermit können Ziele, die über ein gesichertes Netzwerk erreicht werden, von Zielen im öffentlichen Internet getrennt werden. Dadurch wird beispielsweise ermöglicht, dass Behörden im Rahmen der internationalen Zusammenarbeit mit anderen europäischen Behörden mit dem zugelassenen SBS an Videokonferenzen teilnehmen, die nicht innerhalb des gesicherten, behördlichen Netzwerks betrieben werden. Im privatwirtschaftlichen Umfeld können die Sicherheitszonen nach Bedarf entsprechend den Anforderungen der etablierten Geheimhaltungsgrade eingesetzt werden.
Für den VS-NfD-zugelassenen Bereich wird mit Version 8 bei der Verwendung von Signaturen mit RSA-Schlüsseln gefordert, dass das Padding-Verfahren Probabilistic Signature Scheme (PSS) verwendet wird. Ältere Padding-Verfahren (PKCS#1 v1.5) sind demzufolge nicht mehr zulässig. Signaturen mit RSA-Schlüsseln kommen beispielsweise bei der zertifikatsbasierten Authentisierung an einem VPN-Gateway zum Einsatz. Demzufolge muss die PSS-Unterstützung auf den eingesetzten VPN-Gateways der Betreiberorganisation sichergestellt sein, bevor die Version 8 in der Organisation ausgerollt wird. Im Feld befindliche SBS können anderenfalls keine VPN-Verbindung zum Betreibernetz mehr aufbauen.
Außerhalb des zugelassenen Bereichs kann PKCS#1v1.5-Padding weiterhin eingesetzt werden. Wir empfehlen allerdings auch hier auf PSS-Padding umzustellen.
Für den auf dem SBS und der SMA eingesetzten Zufallszahlengenerator (RNG) wird für VS-NfD die Konformität mit der Klassifizierung DRG.3 verlangt. Bei dem verwendeten Betriebssystem Linux muss dafür ab Linux-Kernel 5.18 ein Seeding des RNG aus einer zuverlässigen Quelle erfolgen. Der SBS bedient die Anforderung mit der integrierten Smartcard und kann dadurch ohne weiteres aktuelle Kernel nutzen. Seitens der SMA wird bislang Kernel 5.15 verwendet, der nach aktuellem Informationsstand bis Oktober 2026 mit Sicherheitsupdates versorgt wird. Mit Beginn 2026 plant ECOS auch seitens der SMA neuere Kernel zu verwenden, bevor Kernel 5.15 EOL (End Of Life) erreicht. Um DRG.3 Konformität sicherzustellen, enthält die SMA in der VS-NfD-Version eine Sicherheitsprüfung, die das Seeding des RNG in Verbindung mit Kerneln ab 5.18 erzwingt. Die Bereitstellung eines geeigneten Hardware-Sicherheitsankers seitens des Betreibers muss deshalb zeitgerecht eingeplant werden. Im Standardfall wird hierfür eine Smartcard mit CardOS 5.4 eingesetzt.
Die mit "+vsnfd" gekennzeichnete Version enthält ausschließlich die für VS-NfD zugelassenen VPN-Clients und Anwendungen, um die mit der VS-NfD-Zulassung einhergehenden, erhöhten Sicherheitsauflagen zu erfüllen. "+vsnfd"-Versionen sind im VS-NfD-Umfeld zwingend einzusetzen.
Außerhalb des VS-NfD-Umfelds gewährleisten Versionen ohne das Build-Tag eine umfassende Interoperabilität mit vorhandenen IT-Infrastrukturen, die unter Umständen nicht VS-NfD-konform aufgebaut sind (z.B. SSL-VPN-Gateways).
Mit Version 7.60.0 wurde die Unterstützung von IPv6-basierten Transportnetzen zwischen dem SBS und VPN-Gateways eingeführt. Wenn in Ihrer Umgebung IPv6 unterstützt wird und Sie Ihre SMA ebenfalls auf Version 7.60.0 aktualisieren, können Sie IPv6-Adressierung unmittelbar nach der Aktualisierung verwenden.
Mit der notwendigen Systempflege wurden die Netzwerkdienste des SBS aktualisiert. Dadurch können in der Version 7.60.0 die LTE-Modems Intel XMM7360 und 7560 nicht verwendet werden. Bei einzelnen WLAN-Chipsätzen funktioniert der automatische Verbindungsaufbau nach dem Start des Rechners nicht. Benutzer müssen in diesem Fall die Verbindung manuell starten.
Mit Version 7.61.0 entfiel die Unterstützung des bisherigen RDP-Clients in der Version 2.2.0.
Weitere Informationen finden Sie in unseren Versionshinweisen im Abschnitt Anmerkungen zur Versionierung.
Das Update kann ab sofort durch die Appliance oder den Secure Boot Stick von unserem Update-Server bezogen werden. Beziehen die Systeme keine automatischen Updates, können Sie das Update über die Administrationsoberfläche unter ECOS Appliance → Aktionen → Update oder über den SBS-Desktop unter Startmenü → System → Update Software ausführen.
Ist ein lokaler Update-Server auf der Appliance eingerichtet ist, können die Updates von der im jeweiligen Changelog angegebenen URL heruntergeladen und auf der Appliance eingespielt werden. Manuelle Downloads können nur in Verbindung mit einem lokal eingerichteten Update-Server durchgeführt werden. Für den Download benötigen Sie ein gültiges Download-Kennwort. Sollten Sie noch kein Download-Kennwort erhalten haben, kontaktieren Sie bitte unseren Support.
Weitere Informationen zum Thema Updates finden Sie auch in unserem Admin-Tutorial Software-Updates der ECOS Appliances und des ECOS SecureBootStick.
Änderungen im Detail
Akronyme
| ALL | Alle ECOS-Lösungen |
| API | REST Application Programming Interface |
| APP | Alle Appliances |
| SBS | Secure Boot Stick |
| SCC | Secure Conference Center |
| SOS | SecureOS |
| SMA | System Management Appliance |
| TMA | Trust Management Appliance |