Verschlüsselter USB-Stick Check Point Abra
Der Rechner in der Tasche
Auch der konservativste Administrator muss heute damit leben, dass ein großer Teil seiner Anwender mobil arbeitet und dabei auch mit passenden Systemen auf die Daten im Firmennetzwerk zugreifen will. Da jedoch gerade bei den mobilen Nutzern immer Sicherheitsbedenken bleiben, können Lösungen wie die hier vorgestellte Kombination aus Hard- und Software dabei helfen, eine sicherere Umgebung zu schaffen.
Auch der konservativste Administrator muss heute damit leben, dass ein großer Teil seiner Anwender mobil arbeitet und dabei auch mit passenden Systemen auf die Daten im Firmennetzwerk zugreifen will. Da jedoch gerade bei den mobilen Nutzern immer Sicherheitsbedenken bleiben, können Lösungen wie die hier vorgestellte Kombination aus Hard- und Software dabei helfen, eine sicherere Umgebung zu schaffen.
Ein Unternehmensnetzwerk muss so gestaltet werden, dass es möglichst sicher ist. Zugleich muss die IT-Infrastruktur in einem modernen Unternehmen jedoch auch so aufgebaut sein, dass Mitarbeiter, Partner und auch Kunden in wohl definierten Abstufungen Zugriff auf die für sie wichtigen Daten haben – damit stehen die Systemverantwortlichen oft vor fast unlösbaren Aufgaben.
Heute existiert eine ganze Reihe von Ansätzen, mit deren Hilfe die Anwender in ihre Schranken verwiesen werden sollen. Können die Nutzer in der Firma noch mit Programmen wie dem Terminal-Server oder einer VDI-Lösung (Virtual Desktop Infrastructure) relativ gut kontrolliert werden, müssen die Administratoren den mobilen Anwendern einen gewissen Grad an Freiheit zugestehen, damit diese ihrer Arbeit nachgehen können. Dies kann aber Firmendaten extrem gefährden: Nicht nur Geschäftspartner, die mit ihren eigenen Notebook-Systemen und Smartphones eine Verbindung zum Firmennetzwerk aufbauen, stellen dabei eine Gefahr dar. Auch Mitarbeiter, die geschäftliche Informationen auf dem privaten Laptop abspeichern, um mit diesem Gerät daheim dann beispielsweise an einer unsicheren Netzwerkverbindung zu arbeiten, können ein erhebliches Risiko sein.
Check Point Software hat sich mit dem Hardware-Hersteller Sandisk zusammengetan, um mit Check Point Abra ein Produkt vorzustellen, das genau diese Probleme adressieren soll: Es handelt sich dabei um einen per Hardware verschlüsselten USB-Stick, der mit direkt eingebetteter Sicherheitssoftware ausgestattet ist. Es soll den Anwendern nicht nur einen sicheren Fernzugriff auf das Firmennetzwerk mittels integrierter VPN-Verbindung, sondern auch eine sichere virtuelle Arbeitsumgebung auf beliebigen PC-Systemen bieten.
Dabei verspricht der Hersteller zudem, dass tatsächlich alle Daten auf diesem USB-Gerät zu jeder Zeit verschlüsselt sind. Dadurch seien sie auch dann noch vor einem unberechtigten Zugriff wirkungsvoll geschützt, wenn der USB-Stick verloren geht. Uns stand für diesen Bericht ein Testexemplar der Lösung zur Verfügung, bei dem es sich um einen ziemlich klobigen und für aktuelle Verhältnisse großen USB-Stick (Sandisk Cruzer Enterprise) handelte, der insgesamt eine Kapazität von 8 GByte aufwies. Die physischen Ausmaße haben wir hier besonders hervorgehoben, weil es sich im praktischen Einsatz häufig als schwierig bis unmöglich erweist, USB-Sticks dieser Dimension an kompakteren Notebooks oder gar Netbooks einzustecken und zu betreiben.
Der Stick stellt dem Anwender standardmäßig eine in Hardware verfügbare 256-Bit-AES-Verschlüsselung (Advanced Encryption Standard – der Nachfolger von DES und 3DES) zur Verfügung. Es sind zusätzlich auch Modelle verfügbar, die nach FIPS 140-2 (Federal Information Processing Standard) zertifiziert sind. Dieser amerikanische FIPS-Standard gilt für die Sicherheitsanforderungen, die an kryptografische Module gestellt werden. Weiterhin bietet der Hersteller den Stick auch in einer Version an, die mit nur 4 GByte an Speicherplatz ausgerüstet ist.
Installation und Inbetriebnahme
Die Installation eines solchen Produkts sollte – schon aufgrund des Anwendungsszenarios, auf das es laut Anbieter abzielt – selbsterklärend und automatisch vor sich gehen. Deshalb haben wir den Stick zunächst einmal ohne Konsultation der Produktinformationen oder eines (gedruckt auch nicht vorliegenden) Handbuchs mit einer Windows-Workstation verbunden.
Bei diesem System handelte sich um eine aktuelle Maschine mit einem Core-i5-Prozessor von Intel, weshalb diese auch standardmäßig mit der x64-Version von Windows 7 läuft. Leider scheint sich die deutlich steigende Verbreitung der 64-Bit-Betriebssysteme noch nicht bis zum Hersteller dieser Lösung herumgesprochen zu haben – die Software kann einfach nicht auf einem solchen System arbeiten (Bild 1). Etwas ungläubig haben wir dann in den entsprechenden Produktunterlagen nachgeschlagen, nur um festzustellen, dass dieser Weg konsequent durchgehalten wird: Nicht nur, dass Check Point explizit ausschließlich 32-Bit-Clients aufführt, auch beim so genannten Smartcenter Management Server zur Verwaltung der Lösung im Firmenumfeld fehlt der aktuelle Windows Server 2008 bei den unterstützten Betriebssystemen. Daran hatte sich auch zum Zeitpunkt der abschließenden Testläufe nichts geändert, die wir Ende Juli (zirka vier Monate nach der offiziellen Verfügbarkeit) durchgeführt haben.
Der Versuch einer Installation der Lösung per Windows-XP-Mode unter Windows 7 Ultimate, der ja gerade durch seine Fähigkeit, auch USB-Geräte auf dem Host anzusprechen, für derartige Anwendungszwecke wie geschaffen scheint, schlug ebenfalls fehl – die Lösung greift zu tief in das Betriebssystem ein, um auf diese Weise zu funktionieren. Diese tiefe Verbindung mit dem Windows-System scheint auch einer der Gründe dafür zu sein, dass der Hersteller bis zum heutigen Zeitpunkt keine Unterstützung der 64-Bit-Systeme anzubieten hat.
Wir mussten deshalb in einer weiteren Partition unseres Testsystems eine 32-Bit-Version von Windows 7 Professional installieren, unter der dann schließlich die Installation der Abra-Lösung ohne weitere Probleme startete und ablief. Ist danach der Flash-Stick mit dem System verbunden, so startet ein spezielles Programm von diesem Gerät, das auf die Firmware des USB-Sticks zugreifen kann. Der Anwender bekommt einen Login-Schirm präsentiert, an dem er sich mit seinen Namen und Passwort anmelden kann. Dabei verlangt das Programm ein hinreichend komplexes Kennwort, um die Sicherheit zu erhöhen. Allerdings unterstützt die Lösung an dieser Stelle auch Zertifikate oder entsprechende Tokens, um auf diese Art eine Multi-Faktor-Remote-Access-Authentifizierung zu ermöglichen. Schließlich steht dem Anwender zu diesem Zeitpunkt auch eine virtuelle Tastatur zur Verfügung, die verhindern soll, dass sich Kennwörter mittels Keylogger-Programmen direkt mitschneiden lassen.
Einsatz in der Praxis
Nach der Anmeldung öffnet sich dem Nutzer ein neuer Windows-Desktop, der sich in etwa wie ein Desktop „anfühlt“, der innerhalb einer virtuellen Maschine startet (Bild 2). Während die Leiste am unteren Bildrand dem gewöhnlichen Windows-Desktop entspricht, eröffnet die im Bild 2 am oberen Bildrand zu sehende Leiste dem Anwender den Zugriff sowohl auf den so genannten sicheren USB-Folder als auch auf einen „Austauschordner“. Dort kann er Dateien ablegen, die dann in einem Ordner auf dem Desktop des Host-Systems landen. Als Host-System wird hier immer das Windows-System bezeichnet, an das der USB-Stick mit der Abra-Lösung angeschlossen ist.
Dieser Austauschordner ist auch der einzige Weg, wie Dateien kontrolliert aus der geschützten Umgebung heraus gelangen können. Die Software speichert ansonsten alle Daten, die der Anwender bearbeitet oder mit einer der in der virtuellen Umgebung zur Verfügung stehenden Programme erstellt, auf den verschlüsselten Flash-Laufwerk ab. Folglich sieht der Anwender auch im Windows-Explorer nur dieses Laufwerk – er kann nicht direkt, sondern nur über den schon beschriebenen Tauschordner auf die Laufwerke des Host-Computers zugreifen. Dabei verwendet die Abra-Lösung sehr wohl die Anwendungen, die auf dem Host-System installiert sind: Will der Anwender eine Word- oder Excel-Datei bearbeiten, so wird diese auf dem Host-System installierte Software gestartet und steht dem Anwender zur Verfügung. Allerdings stellt die Software dabei sicher, dass sich die Dateien, die der Benutzer mit diesen Anwendungen bearbeitet, stets innerhalb des verschlüsselten Arbeitsbereichs des Sticks befinden.
Dies ist möglich, weil die Software sofort nach der erfolgreichen Anmeldung eines Anwenders an dem System eine neue Instanz des Windows-Programms „Explorer.exe“ startet, die dann exklusiv im virtuellen Arbeitsbereich der Abra-Lösung arbeitet. Alle weiteren Programme, die ein Nutzer danach aufruft, werden als Kind-Prozesse dieses Explorers gestartet – dadurch befinden sie sich unter der vollen Kontrolle der Lösung innerhalb eines geschützten Bereichs des Speichers. Die Windows Dynamic Link Library (NTDLL) kommt dabei nach Aussagen der Techniker von Check Point als Schutzbarriere zum Einsatz, die zwischen der Umgebung des Nutzers und dem System-Kernel steht.
Da dies aber noch nicht ausreichen würde, klinkt sich die Lösung in diese DLL ein und fängt die Code-Ausführung der Anwendungen ab, bevor sie an die NTDLL weiterwandern. Dadurch können Administratoren im Unternehmensumfeld auch spezielle Sicherheitsrichtlinien durchsetzen, wie etwa ein Verbot, Dateien vom Desktop der Lösung auf den Host zu kopieren oder auch umgekehrt. Weiterhin fängt die Lösung – ähnlich wie dies bei einigen Lösungen zur Applikations-Virtualisierung auch der Fall ist – alle Ein- und Ausgabeoperationen der gesicherten Anwendungen innerhalb des gesicherten Desktops ab. Dabei werden sowohl die Datei- als auch die Registry-Operationen überwacht, abgefangen und auf die entsprechenden virtuelle Dateien und Registry-Dateien umgeleitet, die sich auf dem Stick befinden und dort sofort verschlüsselt sind.
Zugang zum Firmennetz via VPN
Auf diese Weise kann ein Anwender seinen PC auf dem USB-Stick an jedem Windows-Rechner nutzen, ohne dass er auf diesem Spuren oder Daten hinterlässt oder vom PC Daten in die geschützte Umgebung gelangen könnten. Zusätzlich hat der Hersteller die Lösung aber auch noch mit einer integrierten VPN-Lösung (Virtual Private Network) ausgestattet, die es dem Nutzer erlaubt, eben von diesem virtuellen PC aus eine sichere Verbindung zum Firmennetzwerk aufzubauen, ohne wiederum ein Sicherheitsrisiko durch die Verwendung fremder oder unbekannter Hardware einzugehen.
Mithilfe des so genannten „Side Wizards“, der in Bild 3 zu sehen ist, kann der Anwender eine gesicherte Verbindung aus dieser Umgebung heraus zu einem Firmennetz oder anderen speziellen gesicherten Online-Ressourcen aufbauen. Dabei stehen ihm verschiedene Methoden zur Authentifizierung gegenüber der Firmen-Site zur Verfügung, was ebenfalls auf dem Screenshot sichtbar ist. Wir haben diesen Mechanismus mittels einer speziell vom Hersteller für diese Zwecke zur Verfügung gestellten Test-Site ausprobiert und konnten dabei immer ohne Schwierigkeiten eine gesicherte Verbindung aufbauen.
Bei unseren Test kam nur die Anmeldung mit Namen und Passwort zum Einsatz. Ein Administrator hat bei der Lösung aber durchaus auch die Möglichkeit, die Anmeldung für seine mobilen Anwender über den Stick beispielsweise durch zusätzliche Zertifikate, die verschlüsselt auf diesem Stick abgespeichert sind, weitgehend zu automatisieren. Das Client-System ist dabei standardmäßig so konfiguriert, dass es bei jeder Anmeldung am Server automatisch Updates der Software oder der Sicherheitsrichtlinien von diesem herunterlädt. Auf diese Weise kann der Administrator sicherstellen, dass seine mobilen Nutzer auch dann auf dem aktuellen Sicherheits- und Softwarestand sind, wenn sie sich mit ihren Systemen lange Zeit nicht direkt im Unternehmensnetzwerk befinden.
Insgesamt hat sich die Abra-Lösung in einem mehrwöchigen Praxistest als leistungsfähige und vor allen Dingen sehr einfach zu handhabende Lösung herausgestellt. Die grundsätzliche Idee, dass der mobile Anwender seinen „PC“ auf dem USB-Stick mit sich herumträgt, ist so neu nicht, aber hier wurde sie gerade unter dem Aspekt der Sicherheit gut umgesetzt. Nur die Tatsache, dass diese Kombination aus Software und Hardware an vielen modernen System einfach nicht funktionieren kann, weil sie keine 64-Bit-System unterstützt, ist ein echter Minuspunkt – der durch die fehlende Unterstützung der aktuellen Server-Generation von Microsoft (die ausschließlich auf x64-Systemen arbeitet) nur noch verstärkt wird. Wenn Check Point diesen Punkt in den Griff bekommt, hat der Anbieter hier eine Lösung im Portfolio, die sich für viele Administratoren als sinnvolle Alternative anbietet, wenn sie ihre mobilen Anwender mit einem sicheren und gut zu verwaltenden System ausstatten wollen. Die 4-GByte-Version von Check Points Abra kostet bei Abnahme von zehn Sticks 140 Dollar, die 8-GByte-Version 210 Dollar pro Stück.
Info: Check Point
Tel.: 089/60052-0
Web: www.checkpoint.com
Lesen Sie mehr zum Thema
