Mehr als Verschlüsselung: Modulare Sicherheit zum Schutz vor Datenklau
Inhaltsverzeichnis Schützen Sie Ihre Daten!... 3 Produktübersicht... 4 Wesentliche Merkmale von fideas file enterprise und deren Nutzen... 6 Cloud Protection Verschlüsselung für Microsoft SharePoint und Online-Speicher... 10 Cloud Protection für Microsoft SharePoint... 11 Cloud Protection für Online-Speicher... 11 Funktionsübersicht der einzelnen Module... 12 Technische Daten... 13 Verschlüsselungsverfahren... 14 Unterstützte Schlüssel, Smartcards und Security Token... 14 Was andere über fideas file enterprise sagen... 15 Weitere Informationen... 15
Schützen Sie Ihre Daten! Nahezu jede Firma oder sonstige Organisation verarbeitet vertrauliche Dokumente. Die meisten dieser Dokumente sind elektronisch in Form von Dateien in Unternehmensnetzwerken gespeichert. Beispiele vertraulicher Dateien sind: Dokumente (Word, Excel, PDFs etc.), welche personenbezogene Daten enthalten, z.b. Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, Gehaltsinformationen, Kreditkartendaten, Informationen zur Gesundheit etc. Preislisten, Marketingpläne, Angebote, Verträge, Geheimhaltungsvereinbarungen etc. Zugangsdaten (Passwortlisten u.ä.) Dokumente aus Forschung & Entwicklung Dokumente zu Mergers & Acquisitions Protokolle von Geschäftsleitungssitzungen Nach einer Studie des Ponemon Institute kostete jeder Vorfall von Datenklau oder unabsichtlichem Verlust ein Unternehmen im Jahr 2011 durchschnittlich: In den USA: $ 8,9 Mio In Deutschland: 4,8 Mio Dabei entstehen 44% der Schäden durch Fehler und Nachlässigkeiten eigener Mitarbeiter, 42% durch Attacken bösartiger Angreifer und nur 13% durch technische Pannen oder Systemfehler. (Quelle: www.ponemon.org/data-security). Die Kosten entstehen dabei vor allem durch Kundenverluste aufgrund von Vertrauensverlusten Verlust von Wettbewerbsvorteilen Korrektur von Imageschäden durch kostenintensive Imagekampagnen Aufwand für die gesetzlich vorgeschriebene Benachrichtigung Betroffener Begleichen von Schadensersatzansprüchen und Strafen Die Software fideas file enterprise aus dem Hause Applied Security GmbH (apsec) minimiert zuverlässig die Sicherheitsrisiken, die mit der elektronischen Verarbeitung vertraulicher Dokumente und Dateien einhergehen.
Abbildung 1: Sind die Daten mit fideas file enterprise geschützt, schauen Datendiebe in die Röhre Produktübersicht fideas file enterprise ist eine zentral verwaltete unternehmensweite Verschlüsselungslösung zum Schutz vertraulicher Dokumente und Dateien. fideas file enterprise ist modular aufgebaut und bietet neben der Verschlüsselung und den umfangreichen Protokollierungsfunktionen weitere mächtige Funktionen zur Verhinderung von unautorisiertem Datenabfluss (Data Leakage Prevention), z.b. Kontrolle mobiler Datenträger Applikationskontrolle Weitergabekontrolle für besonders kritische Dateien Ausweitung der Verschlüsselung auf Dateiablagen in der Cloud und zur Verschlüsselung von Dokumenten, welche mit Microsoft SharePoint verwaltet werden. fideas file enterprise verwaltet den Zugriff auf sicherheitskritische Dateien für Arbeitsgruppen. Benutzer und Gruppen können aus dem Microsoft Active Directory oder anderen LDAP-Verzeichnisdiensten importiert werden. fideas file enterprise schützt Fileserver, Workstations, Laptops und mobile Datenträger wie USB Sticks, CD/DVD und Wechselfestplatten sowie das Backup. fideas file enterprise genießt eine hohe Benutzerakzeptanz, da es unsichtbar im Hintergrund läuft und die Arbeit des Benutzers nicht behindert.
Abbildung 2: fideas file enterprise im Überblick fideas file enterprise ist eine Client-Server-Anwendung, bestehend aus drei Softwarekomponenten: 1. Dem Security Server zur Verwaltung der Schlüssel und der Verteilung der Sicherheitsrichtlinien 2. Der Administrationsoberfläche Admin zur Konfiguration des Security Servers 3. Der Clientkomponente PrivateAgent zur Ver- und Entschlüsselung der zu schützenden Dateien auf jedem Arbeitsplatz Das Design von fideas file enterprise ist konsequent nutzenorientiert. Eine wichtige Leitlinie ist, dass die Bedienung für den Anwender einfach sein muss. Die wichtigsten Funktionen mit ihrem Nutzen sind in der folgenden Tabelle zusammengestellt.
Wesentliche Merkmale von fideas file enterprise und deren Nutzen Funktion Beschreibung Nutzen Schnelle on-the-fly Verschlüsselung Einfache zentrale Verwaltung Rollentrennung von Administratoren Unterstützt jeden Fileserver Gruppenzugriff Dateien in geschützten Ordnern werden automatisch ver- und entschlüsselt, ohne dass der Benutzer eingreifen muss. Sicherheitsregeln werden zentral von speziellen Sicherheitsadministratoren festgelegt. Die Administration ist leicht erlernbar, erfordert keine speziellen Kenntnisse der IT-Sicherheit und ist kaum anfällig für Fehlkonfigurationen. Sicherheitsverwalter und Systemadministrator sind getrennte Rollen. Sogar Systemadministratoren können nicht für sie bestimmte Dateiinhalte nicht einsehen. Dies behindert jedoch nicht die normale Administrationsarbeit wie z.b. Datensicherung. Zusätzlich gibt es die Rolle Gruppenadministrator, die noch mehr Flexibilität ermöglicht. Weiter ist es möglich, auch die Verwaltung von fideas file enterprise über ein Vier-Augen-Prinzip zu steuern, wobei die Berechtigungen unterschiedlicher Administratoren über Attribute gesteuert werden können, beispielsweise das Recht, Benutzerpasswörter einzusehen. Verschlüsselte Dateien können auf beliebigen Fileservern gespeichert werden, solange die Ordner über UNC- Pfade adressiert werden. Werden Windows Fileserver verwendet, kann auch Microsoft DFS verwendet werden. Die Berechtigung zum Zugriff auf verschlüsselte Dateien kann auf Hohe Benutzerakzeptanz. Kein kostspieliges Benutzertraining notwendig. Hohe Geschwindigkeit. Einfache Umsetzung der firmenweiten Sicherheitsrichtlinien. Kein kostspieliges Administratortraining notwendig. Niedrige operative Kosten. Eliminiert das Risiko, dass Systemadministratoren ihre umfassenden Berechtigungen zur Einsicht in vertrauliche Dateien missbrauchen. Nimmt Systemadministratoren aus dem Generalverdacht, ihre Berechtigungen zur Einsicht in vertrauliche Dateien zu missbrauchen. Minimiert das Risiko des Ausspionierens vertraulicher Daten im Fall, dass die IT an Dienstleister ausgelagert wurde. Problemlose Integration in die bestehende IT- Infrastruktur. Unterstützt Windows, Linux, Samba, NetApp und andere Fileserver. Wesentlich einfachere
Kontrolle mobiler Datenträger (Zusatzmodul) Anwendungskontrolle (Zusatzmodul) Arbeitsgruppen verteilt werden. Verschiedene Gruppen können auch Zugriff auf gleiche Ordner erhalten. Benutzer können Mitglied in mehreren Gruppen sein. Der Zugriff auf mobile Datenträger wie USB Sticks und Wechselfestplatten kann auf bestimmte Gruppen oder auch auf speziell personalisierte firmeneigene Geräte eingeschränkt werden. Über die Komponente fideas file portable kann außerdem auf verschlüsselte Daten auf mobilen Datenträgern auch von Rechnern aus zugegriffen werden, auf denen fideas file enterprise nicht installiert ist. fideas file portable kann auch zum verschlüsselten Datenaustausch mit weiteren Anwendern benutzt werden. Es kann festgelegt werden, welche Anwendungen auf geschützte Dateien zugreifen dürfen und in welcher Form die Dateien an die Anwendung übergeben werden. Konfiguration im Vergleich zur Verwaltung von Einzelbenutzern ( spart Zeit und Geld). Benutzer in der gleichen Gruppe können gemeinsam verschlüsselte Dateien bearbeiten. Verhindert Datenklau über mobile Geräte. Unterstützt die Verwendung von nur autorisierten Geräten. Schützt vor dem Einschleppen von Malware über mobile Speichermedien. Sicherer Datentransport mit fideas file portable. Verhindert Datenklau durch nicht autorisierte Software, z.b. Spyware. Automatische Umwandlung sensibler Dokumente in verschlüsselte E-Mail-Anhänge. Persistente Verschlüsselung. Verhindert den Datenklau über nicht autorisierte Kanäle wie Web-Upload, FTP, CD-Brennsoftware etc.
Schutzklasse critical für hochsensible Dateien (Zusatzmodul) Revisionssichere Protokollierung und Auditierung Anbindung an das MS Active Directory und andere LDAP- Verzeichnisse Keine Neukonfiguration von Fileservern, Domaincontrollern oder Verzeichnisdiensten notwendig Starke Authentisierung Für hochkritische Dateien kann ein Vier- Augen-Prinzip für die Weitergabe außerhalb geschützter Bereiche installiert werden. Weiter können diese hochkritischen Daten nicht außerhalb der Sicherheitszone, für welche die hohe Schutzklasse gilt, abgespeichert oder aus dieser gelöscht werden. Benutzerzugriffe auf geschützte Daten und Konfigurationen durch Sicherheitsadministratoren werden zentral protokolliert. Die Protokolle sind digital signiert. Einsicht in die Protokolle kann auf speziell dazu berechtigte Administratoren eingeschränkt werden. Benutzer und Gruppen können aus dem Active Directory oder einem anderen LDAP- Verzeichnisdienst importiert werden, z.b. auch aus Novell edirectory. Fileserver erfüllen nur ihre übliche Funktion. fideas file enterprise läuft autonom und benötigt keine Zusatzkomponenten wie Datenbanken o.ä. fideas file enterprise unterstützt starke Authentisierungsmechanismen wie Smartcards, USB Securitytoken oder biometrische Token über standardisierte Schnittstellen. Schutz vor Datenklau sogar durch autorisierte Anwender. BDSG-Konformität. Schutz gegen Screenshots, z.b. durch Spyware. Schutz gegen Cut & Paste. Schutz gegen (unabsichtliches oder absichtliches) Löschen wichtiger Daten. Ermöglicht einfache Audits. Im Fall eines Sicherheitsbruches kann der Kreis der Verdächtigen schnell ermittelt werden. Digitale Signaturen schützen Protokolle vor Manipulation. Existierende Benutzer- /Gruppenstruktur kann weiter verwendet werden. Reduktion des Verwaltungsaufwandes für die Benutzerpflege. Mandantenfähigkeit. Nahtlose Integration in die bestehende IT Infrastruktur. Keine Notwendigkeit zur Umkonfiguration eines funktionierenden Netzwerkes. Zwei-Faktor- Authentisierung. Unterstützung einer hohen Zahl von Schlüsselmedien. Verschlüsselte Ablage in Dateien, die per WebDAV-Protokoll in Sichere Nutzung günstiger
der Cloud (Zusatzmodul) Verschlüsselung für Microsoft SharePoint Online-Speichern abgelegt werden, können mit dem Modul Cloud Protection (CP) verschlüsselt werden. Das Modul CP verschlüsselt auch Dateien im Dokumentencenter von Microsoft SharePoint. Gleiches gilt auch für lokal ausgecheckte Kopien und die Versionshistorie. Online-Speicher (z.b. Microsoft SkyDrive). Sichere Nutzung des beliebten Kollaborationswerkszeugs Microsoft SharePoint. Weltweite Zusammenarbeit. Nicht einmal SharePoint - Administratoren können sensible Daten einsehen.
Cloud Protection Verschlüsselung für Microsoft SharePoint und Online-Speicher Zum Schutz von Dokumenten, die mittels Kollaborationswerkzeugen wie Microsoft SharePoint bearbeitet oder in Cloud-Speichern wie beispielsweise Microsoft SkyDrive abgelegt werden, eignet sich das Modul Cloud Protection von fideas file enterprise. Dabei ist es egal, ob Microsoft SharePoint im eigenen Haus betrieben wird oder von einem externen Dienstleister als Software-as-a-Service in der Cloud angeboten wird. Die Schlüssel bleiben dabei stets in der Hand des Dateninhabers, sodass auch Datenschutz- und sonstige Compliance-Auflagen eingehalten werden können. Abbildung 3: Cloud Protection sichert weltweite Online-Zusammenarbeit
Cloud Protection für Microsoft SharePoint Teams, die mit dem beliebten Kollaborationswerkzeug Microsoft SharePoint 2007/2010 über das Internet oder auch im internen Netz zusammenarbeiten, können mit Cloud Protection nun Dokumente austauschen und gemeinsam bearbeiten, ohne dass allzu neugierige Augen in die Daten schauen. Cloud Protection verschlüsselt alle Dokumente automatisch bereits auf dem Arbeitsplatz jedes SharePoint -Nutzers und legt sie dann erst verschlüsselt in die SharePoint -Datenbank. Natürlich verschlüsselt Cloud Protection auch alle lokal ausgecheckten Kopien sowie die komplette Versionshistorie des integrierten Dokumentenmanagementsystems von Microsoft SharePoint. Cloud Protection arbeitet reibungslos mit den übrigen Modulen von fideas file enterprise zusammen, sodass für besonders sensible SharePoint -Dokumente dem Datenklau ein noch sicherer Riegel vorgeschoben werden kann. Abbildung 4: Das Dokumentencenter von Microsoft SharePoint Cloud Protection für Online-Speicher Online-Speicher wie beispielsweise Microsoft SkyDrive sind günstig und bieten viel Platz, der von überall genutzt werden kann. Die sichere Ablage auch sensibler Dokumente in der Cloud kann ebenfalls mittels Verschlüsselung durch Cloud Protection erreicht werden. Voraussetzung ist, dass der Online-Speicher über das WebDAV-Protokoll zugreifbar ist.
Funktionsübersicht der einzelnen Module Anmerkung: Die Module FP, CP und RM sind unabhängig voneinander lauffähig, während die Module AC und CD den Einsatz der Module FP und/oder CP voraussetzen. Die Module sind beliebig kombinierbar und erstrecken Ihre Schutzfunktionen entsprechend auf alle lizenzierten Module. So können beispielsweise auch Dokumente in Microsoft SharePoint mit dem Attribut kritisch versehen werden, wenn die Module CP und CD beide lizenziert sind. fideas file enterprise Folder Protection fideas file enterprise Removable Media fideas file enterprise Application Control fideas file enterprise Critical Data fideas file enterprise Cloud Protection Notebookverschlüsselung + Verschlüsselung Fileserververschlüsselung + Backupverschlüsselung + Verschlüsselung in Microsoft SharePoint + Verschlüsselung von WebDAV-Ordnern + Verschlüsselung mobiler Datenträger + + Zentrales Management + + + + + Schlüsselmanagement (PKI) + + + + + Integration in bestehende PKI möglich + + + + + Automatische Schlüsselverteilung + + + + + Zwei-Faktor Authentisierung + + + + + Management Rollentrennung in der Administration + + + + + Revisionsichere Protokollierung + + + + + Logging von Dateizugriffen + + + + + Verschlüsselungsregeln für Gruppen + + Gültigkeitsbegrenzung für Policies + + + + + Recovery Key für Notfallzugriff + + Kontrolle von mobilen Datenträgern + Freigaberegeln für Benutzergruppen + Freigaberegeln für einzelne Geräte + Data Loss Prevention Mobiles Verschlüsselungstool + Anwendungskontrolle + Persistente Verschlüsselung + Verschlüsselung von E-Mail Anhängen + Schutz gegen Speichern unter + Schutz der Zwischenablage + Schutz gegen Screenshots + Schutz gegen Löschen + Kontrollierte Freigabeprozesse für hochsensible Dateien +
Technische Daten Die folgenden Minimalanforderungen müssen erfüllt sein, um fideas file enterprise ordnungsgemäß zu betreiben: Komponente Plattformen RAM Freier Festplattenspeicher Prozessorleistung Admin (Zentrale Administration) Security Server (Policy Server) Private Agent (Client) Windows XP (SP3), Windows Vista (SP2), Windows 7 (SP1), Windows 8, Windows 8.1, Windows 2003 Server (SP2, SP3), Windows 2008 Server, Windows 2008 Server R2, Windows 2012 Server Windows 2003 Server (SP2, SP3), Windows 2008 Server, Windows 2008 Server R2, Windows 2012 Server Windows XP (SP3), Windows Vista (SP2), Windows 7 (SP1), Windows 8, Windows 8.1, Windows 2003 Server (SP2, SP3), Windows 2008 Server, Windows 2008 Server R2, Windows 2012 Server 512 MB 20 MB 700 MHz 1 GB 5 GB 2 GHz 512 MB 15 MB 1 GHz fideas file enterprise unterstützt sowohl 32- als auch 64 Bit Windows. fideas file enterprise kann auch in virtuellen Umgebungen und auf Terminalservern (Windows TS, Citrix) eingesetzt werden.
Verschlüsselungsverfahren fideas file enterprise verwendet die Verschlüsselungsalgorithmen AES (Schlüssellängen 128, 192 oder 256 Bit, Modus CFB) RSA (1024, 2048 oder 4096 Bit) Als Hashverfahren werden SHA-1, SHA-256, SHA-384 und SHA-512 unterstützt. Unterstützte Schlüssel, Smartcards und Security Token fideas file enterprise verwendet Schlüssel entweder in Form von Software im Format PKCS#12 oder in Form von Hardware-Medien wie Smartcards, USB Token, High Security Modules (HSMs). Letztere werden über Schnittstellen gemäß der Industriestandards PKCS#11 und MS CSP angesprochen. Unter anderem können folgende Schlüsselmedien zusammen mit fideas file enterprise verwendet werden: 1. Aladdin etoken 2. Kobil midentity 3. AR MiniKey5 4. AR MiniKey7 5. Feitian epass2000 6. Feitian epass3000 7. Giesecke & Devrient StarKey100 8. SafeNet ikey 2032 9. Athena Smartcard 10. D-Trust Smartcard 11. TeleSec Netkey Card 12. AR PrivateCard
Was andere über fideas file enterprise sagen Uns war ein performantes und einfach zu bedienendes Produkt wichtig, welches gleichzeitig den globalen Anforderungen unseres Konzerns gerecht wird. Das positive Feedback unserer Anwender bestätigt, dass unsere Wahl von fideas file enterprise richtig war. In apsec haben wir einen Partner gefunden, der sich unseren Anforderungen stellen will und kann. Bernd Stahl, Client Infrastructure, Evonik Industries AG Die Einbindung von fideas file enterprise in unser Netzwerk hat unsere Prozesse vereinfacht, spart enorm Zeit und damit Kosten. Und unsere Anwender merken nicht einmal, dass sie mit verschlüsselten Daten umgehen. Ich höre keine Klagen, das will schon etwas heißen. Net g schimpft isch g lobt g nug, sagen wir Schwaben. Joachim Seeger, Security Manager, Landesbank Baden-Württemberg Die Fähigkeiten von fideas file enterprise zur on-the-fly Verschlüsselung von Dateien sind beeindruckend. SC Magazine, Ausgabe Oktober 2008 We looked at several encryption solutions. None of them were as easy to use and to deploy as fideas file enterprise. The apsec support team is outstanding, a rarity with the, get a sale and forget type attitude of today. Highly recommended! Jake Gaitan, IT Security Officer, Demmer Corporation (USA) Weitere Informationen Datenblätter, Anwenderberichte von Kunden und kostenlose Testversionen der Software befinden sich auf den apsec-webseiten Deutsch: Englisch: www.apsec.de/loesungen/fideas-file-enterprise/ www.apsec.de/en/loesungen/fideas-file-enterprise/ Kostenlose Testsoftware mit zugehöriger Dokumentation kann von den angegebenen Webseiten heruntergeladen werden. Während des Installationsvorgangs kann eine kostenfreie Testlizenz bei apsec beantragt werden (Details im Handbuch), welche einen unverbindlichen Test der Software ohne Funktionseinschränkung für 30 Tage Laufzeit ermöglicht. Fragen zur Software und Feedback zu diesem Whitepaper sind willkommen unter der E-Mail-Adresse sales@apsec.de.