Praxistest Ecos Secure Boot Stick SX
Sicher vom Stick booten
Mitarbeiter mit einem geschützten USB-Stick auszustatten, von dem diese ihren heimischen Computer starten, um per Internet sicher auf das Unternehmensnetz zuzugreifen - diesen Ansatz propagiert der deutsche Hersteller Ecos. Beim Secure Boot Stick SX sorgt eine PIN-Eingabe per Zahlenblock auf dem Stick für zusätzlichen Schutz.
Fernzugriffe von zu Hause auf die IT-Ressourcen des Unternehmens können zur Flexibilisierung der Arbeit sowie zur besseren Vereinbarkeit von Beruf und Familie beitragen. Allerdings stellt sich die Frage nach der IT-Sicherheit: Wer gewährleistet, dass Unternehmensdaten geschützt bleiben, wenn Mitarbeiter vom heimischen Privat-PC aus auf Firmendaten zugreifen? Eine sichere Lösung dafür liefert der deutsche Hersteller Ecos mit seinem hardwareverschlüsselten USB-Stick.
Die Idee klingt vielversprechend: Das Unternehmen stellt dem Mitarbeiter einen vorkonfigurierten USB-Stick zur Verfügung, um damit den heimischen Privat-PC zu booten und dann via Internet Fernzugriff auf die IT-Ressourcen des Unternehmens zu erhalten. Zu diesem Zweck hat Ecos in Eigenregie ein speziell auf den sicheren Fernzugriff zugeschnittenes Mini-Linux-Betriebssystem entwickelt und besonders gehärtet. Computer zu Hause sind in der Regel zwar nicht so gut gesichert wie zentral verwaltete Firmen-PCs, doch fällt das bei diesem Konstrukt nicht ins Gewicht: Die mit dem heimischen Rechner verbundenen Festplatten, CD/DVD-Laufwerke etc. bleiben außen vor und werden vom Ecos-Mini-Linux gar nicht angesprochen.
Von der vorhandenen Betriebssystemumgebung des Heim-PCs, die möglicherweise von Schadsoftware infiziert und somit kompromittiert ist, geht daher kein Risiko für die IT-Ressourcen des Unternehmens aus - private und Firmendaten sind komplett voneinander getrennt. Umgekehrt lassen sich Informationen aus dem Unternehmen nicht auf lokalen Laufwerken des heimischen Computers speichern, um den Diebstahl von Firmendaten zu verhindern. Zudem sollen Schreibzugriffe zur Veränderung der auf dem Speicherstift befindlichen Systemdateien generell ausgeschlossen sein.
USB-Stick mit Zahlenblock
Mit diesem Ansatz hat Ecos bereits mehrjährige Erfahrungen gesammelt. Zusätzlich zum bisher verfügbaren, regulären Secure Boot Stick hat der Hersteller seit Kurzem einen weiteren Speicherstift im Angebot, der Unternehmen abermals mehr Sicherheit verspricht: Der Secure Boot Stick SX unterscheidet sich schon rein optisch von seinen Kollegen aus gleichem Hause sowie allen anderen herkömmlichen USB-Sticks, denn auf der Oberseite des SX-USB-Sticks befinden sich eine Zehnertastatur sowie mehrere LEDs. Bei genauerer Betrachtung handelt es sich um einen USB-Stick mit integrierter Hardwareverschlüsselung, der mit dem hochsicheren Datashur des britischen Anbieters Istorage verwandt ist. Auf diesem Speicherstift hat Ecos sein gehärtetes Mini-Linux untergebracht. Zugriff auf den Inhalt des SX-USB-Sticks erlangt der Anwender allerdings erst, nachdem er die PIN des Speicherstifts richtig eingegeben hat, ehe er diesen mit seinem PC verbindet. Die PIN des SX-USB-Sticks darf zwischen sieben und fünfzehn Ziffern lang sein, was das Erraten der PIN erschwert.
Zudem schiebt Ecos Brute-Force-Angriffen ein Riegel vor: Nach zehn fehlerhaften PIN-Eingaben sperrt sich der SX-USB-Stick von selbst und löscht seinen Speicherinhalt. Daher besteht auch gegen Angriffe wie BadUSB ein guter Schutz, der die Firmware des USB-Sticks so umprogrammiert, dass sich dieser als Maus oder Netzwerkadapter ausgibt, um per Keylogger Eingaben wie Benutzerkennungen und Kennwörter aufzuzeichnen und an externe Empfänger zu senden.
Für das Fernzugriffsszenario wird somit eine Drei-Faktor-Authentifizierung realisiert: Zusätzlich zur Identifikation beim Firmen-Server mit Benutzername und Kennwort muss der Benutzer nicht nur den passenden USB-Stick besitzen, sondern auch die PIN wissen, um diesen verwenden zu können. Wird der Speicherstift gestohlen oder geht er verloren, erlangt der Dieb beziehungsweise Finder keine Möglichkeit, damit auf die Firmen-IT zuzugreifen, da er den Speicherstift schlichtweg nicht nutzen kann.
Anderweitigen Manipulationsversuchen an der Eingabe der richtigen PIN vorbei entzieht sich der SX-USB-Stick ebenfalls. Daten werden von der internen Hardwareverschlüsselung mit AES-256 chiffriert gespeichert. Laut Anbieter weist der Speicherstift zudem die Zertifizierung gemäß FIPS 140-2 Level 3 des US-amerikanischen National Institute of Standards and Technology (NIST) auf. Vor physischen Manipulation wie der simplen Demontage ist der Stick ebenfalls geschützt.
Praxiseindrücke
Im Test machte der SX-USB-Stick eine gute Figur. In der Praxis erweist sich das Handling des gesicherten Speicherstifts als sehr einfach: Schlüsselsymbol-Taste drücken, PIN eingeben, abermals die Schlüsselsymbol-Taste drücken, fertig. Anschließend hat der Anwender 30 Sekunden Zeit, den SX-USB-Stick mit seinem Computer zu verbinden. Verstreicht diese Zeit, ohne dass der Anwener den Speicherstift in einen USB-Port einsteckt, sperrt sich dieser selbst und erfordert eine neue PIN-Eingabe. Hat hingegen alles geklappt, weist eine blau leuchtende LED auf der Oberseite des SX-USB-Sticks darauf hin, dass dieser einsatzbereit ist und der Computer nun von ihm gebootet werden kann. Eine Nutzung oder inhaltliche Veränderung des Speicherstifts etwa aus einer laufenden Windows-Umgebung heraus war nicht möglich. Zwar erschien auf unserem Test-PC ein weiteres Laufwerk, doch dieses enthielt lediglich eine Art Dummy-Textdatei.
Nach dem Neustart des Computers erfolgt das Booten vom gerade entsperrten Secure Boot Stick SX. Da Ecos sich für eine USB-2.0-Ausführung entschieden hat und nicht auf den schnelleren USB-3.0-Standard setzt, nimmt dieser Vorgang ein wenig Zeit in Anspruch. Unser Demo-Speicherstift präsentierte dem Benutzer danach ein kleines Menü, das wahlweise den direkten Aufruf des Firefox-Web-Browsers, den Zugriff auf eine Citrix-Umgebung oder auf einen Microsoft-Terminal-Server mittels VPN-gesicherter Internetverbindung gestattet. Nach der dortigen Anmeldung mit Benutzername und Kennwort kann der Anwender dann mit der gewohnten Umgebung arbeiten.
Dass der Heim-PC gerade mit einem speziellen Mini-Linux arbeitet, ist für den unbedarften Benutzer - abgesehen von der etwas anderen Optik des Desktops sowie den eingeschränkten Einstellmöglichkeiten - nicht erkennbar. In puncto Geschwindigkeit konnten wir im Test nichts Negatives feststellen, unsere Terminal-Server-Zugriffe erfolgten performant.
Entscheidend zur einfachen Nutzung des Secure Boot Stick SX trägt die komplementäre Server-Komponente System Management Appliance bei, die im Rechenzentrum des Unternehmens läuft. Sinnvollerweise lässt sich diese Software nicht nur auf physischer Hardware, sondern auch direkt in einer virtuellen Maschine (beispielsweise auf Basis von Microsoft Hyper-V oder VMware) installieren.
Die Ecos-Verwaltungssoftware dient der zentralen Konfiguration der SX-USB-Sticks. Grundlegend verhalten sich die Speicherstifte damit wie vollwertige Thin Clients, die mit speziellen Sicherheitsfunktionen sowie der Möglichkeit zum Einsatz an unbekannter Hardware versehen sind. Das Prinzip: Im Rahmen der einmaligen Personalisierung überträgt ein Administrator die grundlegende Konfiguration auf den jeweiligen Speicherstift - inklusive des für die gesicherte Kommunikation mit der Server-Komponente genutzten Schlüssels. Konfigurationsänderungen, die ein Administrator anschließend in der Ecos-Verwaltungssoftware durchführt, werden automatisch an den SX-USB-Stick übermittelt, sobald der Benutzer damit eine Netzwerkverbindung herstellt.
Zudem lässt sich die Software als VPN-Server, zur Authentifizierung von Remote-Benutzern beim Active Directory des Unternehmens sowie dazu nutzen, den sich einwählenden Anwendern den Zugriff auf Citrix- oder Microsoft-Terminal-Server zu ermöglichen.
Ecos? System Management Appliance stand für den Test jedoch nicht zur Verfügung, da der Hersteller gerade an einer wesentlichen Neukonzeption arbeitet. Neben einer neueren, leichter zu bedienenden Web-Oberfläche wird das kommende Release 5 laut Ecos vor allem darauf optimiert sein, den Massen-Rollout zu erleichtern und eine große Anzahl von USB-Sticks einfach verwalten zu können. Zusätzlich zum Reporting soll ein Alerting an Board sein, das den Administrator auf Probleme aufmerksam macht. Ebenso ist ein vollständiger Multimaster-Betrieb sowie die Unterstützung für geografisch entfernt liegende Rechenzentren geplant, was sowohl der Lastverteilung als auch der Hochverfügbarkeit dient.
Um den Massen-Rollout der USB-Sticks zu erleichtern, ermöglicht es Ecos laut eigenen Angaben, einmalig ein Template eines SX-USB-Sticks anzulegen und diesen dann für die Konfiguration weiterer Speicherstifte heranzuziehen. Die Zusammenfassung in Gruppen soll die leichte Zuweisung einheitlicher Einstellungen für eine Vielzahl von SX-USB-Sticks erlauben.
Kenner der Materie wissen: Sicherheit macht sich bezahlt, kostet aber auch. Für einen Secure Boot Stick SX fallen in der Hunderterstaffel rund 350 Euro (inkl. Mwst.) an, während die System Management Appliance ihrerseits mit 583 Euro (inkl. Mwst.) zu Buche schlägt. Die Anschaffungskosten lassen sich also nicht aus der Portokasse begleichen. Allerdings relativieren sich diese Ausgaben für Unternehmen, die auf eine Fernzugriffslösung mit hoher Sicherheit und zentraler Verwaltung Wert legen - zumal ein unautorisierter Fernzugang schnell einen weitaus höheren finanziellen Schaden verursachen kann.
Der Autor auf LANline.de: Eric Tierling
Info: EcosTel.: 06133/939-0Web: www.ecos.de
Lesen Sie mehr zum Thema
