Softline Solutions GmbH // IT-Sicherheit

NIFIS-Studie

Die Anforderung des Kunden bestand darin, lokale Daten mobiler Verwaltungsplatzsysteme wie Tablets und Notebooks, aber auch die Telearbeitsplätze der im HomeOffice arbeitenden Mitarbeiter vor unbefugtem Zugriff zu schützen. Schützenswert ist dabei sowohl der Zugriff auf die Daten der lokalen Festplattensysteme als auch die Anmeldung an den einzelnen Computersystemen. Die lokalen Daten waren aus diesem Grund einerseits mittels geeigneter kryptografischer Verfahren zu schützen, so dass bei Verlust des mobilen Gerätes (z.B. durch Diebstahl ) kein unberechtigter Zugriff auf die Applikationsdaten möglich ist. Andererseits musste die Benutzeranmeldung am System durch eine Zwei-Faktor-Authentifizierung entsprechend abgesichert werden.

Diese Anforderung sollte, insofern möglich, mit integrierten Mechanismen der Betriebssysteme Windows 7 und Windows 8.1 durchgeführt werden. Darüber hinaus müssen die Systeme auch für den Multi-User-Betrieb ausgelegt sein, d.h. an einen Notebook oder Tablet müssen sich unterschiedliche Personen anmelden können. Auch muss es eine zentrale und einfache Verwaltung für die benötigten Sicherheitsfunktionen geben.

 

Unsere Lösung:

Für den Schutz der lokalen Daten haben wir uns für die im System schon integrierte Bitlocker Verschlüsselung entschieden. Damit sind die Daten bei Verlust hinreichend gut geschützt. Der Kunde setzt bereits flächendeckend eine Smartcard-basierte Zwei-Faktor-Authentifizierung für die Anmeldung an den Betriebssystem ein.

Die Herausforderung ist es nun, die schon vorhandene Smartcard auch für die Bitlocker Verschlüsselung zu nutzen. Dies ist jedoch leider nicht mit "Boardmitteln" zu erreichen. Aus diesem Grund musste auf die Drittherstellersoftware Secure Disk der Firma Cryptware zurück gegriffen werden.

SecureDisk ist eine Managementsuite für Bitlocker mit dem zentral alle mobilen Endgeräte verwaltet werden können. Des Weiteren bietet Secure Disk die Funktion einer PBA (Pre Boot Authentifizierung) mittels Smart Card an. Der Nutzer meldet sich hierbei, noch bevor das eigentliche Windows Betriebssystem gestartet ist, mit seiner Smart Card und seiner persönlichen PIN an der PBA an. Ist die Anmeldung erfolgreich, so wird der Zugriff auf die per Bitlocker verschlüsselte Partition freigegeben und das Betriebssystem gestartet. Durch eine integrierte SSO (Single Sign-On) Funktionalität muss der Benutzer sich dabei nicht nochmalig am Betriebssystem anmelden, sondern wird direkt zu seinem Desktop durchgereicht.

Mit dieser Lösung wurde allen Anforderungen des Kunden vollständig Rechnung getragen.