SINA: die Gesamtlösung für den sicheren Arbeitsplatz
Armin Wappenschmidt und Alina Hasecker über eine Lösung, die mehr als ein VPN-Client ist
Um mit Verschlusssachen (VS) oder anderen sensiblen Daten arbeiten zu können, braucht es ein umfassendes Sicherheitskonzept. Ein solches setzt die SINA Workstation BSI-konform vollständig um. Dazu gehört beispielsweise ein VPN-Client, mit dem Mitarbeiter sicher auf das Unternehmens- oder Verwaltungsnetzwerk zugreifen. Mit der SINA Workstation als Laptop oder Tablet ist das sogar von zu Hause aus problemlos möglich. Sämtliche Funktionen der gewohnten Anwendungen und Apps, wie E-Mail, Textverarbeitung, Präsentationen, Tabellen oder Videokonferenzen, können von jedem Ort der Welt verwendet werden. Nutzer arbeiten mit ihrem gewohnten Betriebssystem, wobei dieses aber virtualisiert in das SINA Sicherheitsbetriebssystem eingebettet ist. Über eine beliebige Internetanbindung, zum Beispiel über das heimische WLAN, wird ein VPN-Tunnel aufgebaut und so die Datenübertragung abhörsicher verschlüsselt. Im Gegensatz zu anderen VPN-Clients unterschiedlichster Hersteller erfüllt die SINA Workstation jedoch weit mehr Sicherheitsanforderungen – denn für einen sicheren Arbeitsplatz reicht eine gesicherte VPN-Verbindung längst nicht aus.
Anforderungen an einen sicheren Arbeitsplatz
Das Bundesamt für Sicherheit in der Informationstechnik hat dafür sogenannte Anforderungsprofile formuliert, von denen der VPN-Client eine Teilkomponente ist. Zu einem rundum sicheren Arbeitsplatz gehören weiterhin beispielsweise auch eine Festplattenverschlüsselung und eine Schnittstellenkontrolle. Beides ist in der SINA Workstation standardmäßig integriert. Zugriffe auf Geräte und Schnittstellen werden unter der Kontrolle des SINA Sicherheitsbetriebssystems ausgeführt. Alle Festplattenzugriffe und Netzwerkverbindungen werden automatisch von SINA verschlüsselt.
Ohne eine Festplattenverschlüsselung müsste der Rechner sonst gegebenenfalls nach jeder Benutzung sicher weggeschlossen werden – selbst, wenn eine VPN-Lösung mit einer Zulassung für die Übertragung von VS-Daten installiert ist. Das ist insbesondere im Home-Office nicht praktikabel. Die Schnittstellenkontrolle der Workstation regelt zudem, dass – je nach Sicherheitspolicy – der Nutzer USB-Geräte bewusst und willentlich freigeben muss, bevor sie vom Betriebssystem überhaupt genutzt werden können. Denn nachweislich sind USB-Sticks ein beliebtes Einfallstor für Viren. Bei einer strengen Policy unterbindet die SINA Schnittstellenkontrolle den Anschluss von USB-Geräten gänzlich.
Weiterhin muss sichergestellt sein, dass sich nur berechtigte Nutzer am Rechner anmelden können. Das wird in der Praxis über eine Zwei-Faktor-Authentisierung umgesetzt. Erst mit eingesteckter Smartcard und dazugehöriger PIN kann die SINA Workstation verwendet werden.
Tiefer Schutz vor Malware: Virtualisierung und Secure Boot
Damit der Arbeitsplatz höchsten Sicherheitsanforderungen standhält, geht SINA noch einen Schritt weiter und schützt auch den Unterbau des Betriebssystems. Denn in letzter Zeit gelangen immer häufiger Hardware und Firmware in den Fokus von Cyberangriffen, die von Windows nicht erkannt beziehungsweise nicht abgefangen werden können, wie zum Beispiel zuletzt 2020 die Malware MosaicRegressor, die bei Angriffen auf Diplomaten und Nichtregierungsorganisationen (NGOs) eingesetzt wurde.
Die Firmware spielt eine wichtige Rolle für die Funktion und die Sicherheit des Gesamtsystems – zum Beispiel beim Booten des Betriebssystems. Ist die Firmware von Schadcode befallen, reicht es nicht aus, die Festplatte zu formatieren und das Betriebssystem neu zu installieren. Auch ein Austausch der Festplatte hilft nicht. Nach einer Neuinstallation installiert sich auch die Malware automatisch wieder neu. Diese Manipulation der Firmware über Schadcode-basierte Angriffe wird mit der SINA Technologie effektiv verhindert. Denn diese virtualisiert das jeweilige Betriebssystem, wie beispielsweise Windows, und bettet es in die SINA Umgebung ein. Da damit auch der Programmcode nur in einer virtualisierten Umgebung der SINA Workstation ausgeführt wird, kann Malware nicht auf die physische Hardware zugreifen. Auch eine Manipulation der Firmware bei physischem Zugriff auf das Gerät sowie Angriffe über kurzzeitig lokal gebootete Schadsoftware („Evil-Maid-Attack“) werden effektiv erschwert: Durch das spezielle SINA Secure Boot kann ausschließlich Software gestartet werden, die von secunet beziehungsweise dem BSI signiert ist. Somit wird bösartiger Code erst gar nicht ausgeführt.
Eine ganzheitliche Lösung
Letzten Endes kann nur eine ganzheitliche Lösung, die allen Anforderungen an einen sicheren Arbeitsplatz gerecht wird, Schutz vor der Vielfalt an aktuellen Angriffsmustern bieten. Damit Behörden und Unternehmen die Komponenten für einen sicheren Arbeitsplatz nicht selbst zusammenstellen und sich die Konfiguration vom BSI freigeben lassen müssen, liefert die SINA Architektur bereits alle für einen VS-konformen Betrieb notwendigen und aufeinander abgestimmten Bestandteile mit: vom Client bis hin zur ganzen Infrastruktur. Das gibt zudem einen enormen Vorteil in der Administration.
Über das SINA Management können die Geräte inklusive aller Sicherheitskomponenten zentral ferngewartet und remote administriert werden. Das ist umso wertvoller, wenn viele Mitarbeiter von zu Hause aus arbeiten. Auch für einen Massen-Rollout – wenn beispielsweise sämtliche Mitarbeiter ins Home-Office geschickt werden müssen und schnell mobile Hardware benötigen – sind die Administrationswerkzeuge ausgelegt: Standortunabhängig kann eine sehr große Menge an SINA Workstations gleichzeitig eingerichtet werden.
Ein sicheres und in sich abgestimmtes Gesamtsystem bringt also viele Vorteile mit sich und ist gleichzeitig komfortabel. Zusätzlich schafft die SINA spezifische Virtualisierung des Systems ganz nebenbei neue Möglichkeiten im Arbeitsalltag: Auf einer SINA Workstation lassen sich mehrere (verschiedene) Betriebssysteme mit unterschiedlichen Sicherheitsniveaus parallel nutzen. So können beispielsweise auf einem System Verschlusssachen bearbeitet oder kritische Netzwerke und Anlagen gesteuert werden, während daneben eine Sitzung für eine Videokonferenz mit Externen läuft. Durch eine strenge Separierung der einzelnen Sitzungen kann das Gerät unterschiedlich dienstlich oder gar privat parallel genutzt oder Windows und Linux können nebeneinander verwendet werden.
Um wirklich effektiv sein zu können, muss ein sicherer Arbeitsplatz schließlich nicht nur alle Anforderungen des BSI erfüllen, sondern auch anwenderfreundlich und effizient im Betrieb sein. Die SINA Architektur ist daher als Gesamtlösung zu verstehen, die eine hochsichere Technologie bietet und dem Nutzer zugleich eine produktive Arbeitsumgebung bereitstellt – sei es im Büro, unterwegs oder im Home-Office.