Datenklau? Schützen Sie sich mit fideas file enterprise! fideas file enterprise Whitepaper Version 4.1
Wer braucht fideas file enterprise? Nahezu jede Firma oder sonstige Organisation verarbeitet vertrauliche Dokumente. Die meisten dieser Dokumente sind elektronisch in Form von Dateien in Unternehmensnetzwerken gespeichert. Beispiele vertraulicher Dateien sind: Dokumente (Word, Excel, PDFs etc.), welche personenbezogene oder personenbeziehbare Daten von Angestellten oder Kunden enthalten (Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, Gehaltsinformationen, Kreditkartendaten, Informationen zur Gesundheit etc.). Preislisten, Marketingpläne, Angebote an und Verträge mit Kunden, Geheimhaltungsvereinbarungen Zugangsdaten (Passwortlisten u.ä.) Dokumente aus Forschung & Entwicklung Dokumente zu Mergers & Acquisitions Protokolle von Geschäftsleitungssitzungen Nach einer Studie des Ponemon Institute kostete jeder Vorfall von Datenklau oder unabsichtlichem Verlust ein Unternehmen im Jahr 2009 durchschnittlich: In den USA: $ 6,75 Mio In UK: 1,73 Mio In Deutschland: 2,41 Mio (Stand 2008) Dabei entstehen mit Abstand die meisten Schäden (88%) durch unabsichtliche Nachlässigkeiten und Fehler und nur 12% gehen auf böswillige Absicht zurück (Quelle: www.ponemon.org/data-security). Die Kosten entstehen dabei vor allem durch Kundenverluste aufgrund von Vertrauensverlusten Verlust von Wettbewerbsvorteilen Korrektur von Imageschäden durch kostenintensive Imagekampagnen Aufwand für die gesetzlich vorgeschriebene Benachrichtigung Betroffener Begleichen von Schadensersatzansprüchen und Strafen fideas file enterprise minimiert die Sicherheitsrisiken, die mit der elektronischen Verarbeitung vertraulicher Dokumente und Dateien einhergehen, indem es nicht autorisierten Datenabfluss verhindert. Dadurch spart fideas file enterprise bares Geld. Wer braucht also fideas file enterprise? Ganz einfach: jeder!
Abbildung 1: Sind die Daten mit fideas file enterprise geschützt, schauen Datendiebe in die Röhre Produktübersicht fideas file enterprise ist eine zentral verwaltete unternehmensweite Verschlüsselungslösung zum Schutz vertraulicher Dokumente und Dateien. Neben der Verschlüsselung und den umfangreichen Protokollierungsfunktionen für sicherheitskritische Aktionen bietet fideas file enterprise mächtige Funktionen zur Verhinderung von unautorisiertem Datenabfluss (Data Leakage Prevention) als optionale Zusatzmodule: Kontrolle mobiler Datenträger Applikationskontrolle Weitergabekontrolle für besonders kritische Dateien fideas file enterprise verwaltet den Zugriff auf sicherheitskritische Dateien für Arbeitsgruppen. Benutzer und Gruppen können aus dem Microsoft Active Directory oder anderen LDAP-Verzeichnisdiensten importiert werden. fideas file enterprise schützt Fileserver, Workstations, Laptops und mobile Datenträger wie USB Sticks, CD/DVD und Wechselfestplatten, sowie das Backup. fideas file enterprise genießt eine hohe Benutzerakzeptanz, da es unsichtbar im Hintergrund läuft und die Arbeit des Benutzers nicht behindert.
Abbildung 2: fidas file enterprisee im Überblick fideas file enterprise ist eine Client-Server-Anwendung, bestehend aus drei Softwarekomponenten: 1. Dem Security Server zur Verwaltung der Schlüssel und der Verteilung der Sicherheitsrichtlinien 2. Der Administrationsoberfläche Admin zur Konfiguration des Security Servers 3. Der Clientkomponente Private Agent zur Ver- und Entschlüsselung der zu schützenden Dateien auf jedem Arbeitsplatz Die folgende Abbildung illustriert das Zusammenspiel der Softwarekomponenten und die Architektur der Lösung.
Abbildung 3: Zusammenspiel der Komponenten von fideas file enterprise Das Design von fideas file enterprise ist konsequent nutzenorientiert. Eine wichtige Leitlinie ist, dass bei aller Komplexität der Lösung die Bedienung für den Anwender einfach sein muss. Die wichtigsten Funktionen mit ihrem Nutzen sind in der folgenden Tabelle zusammengestellt.
Key features von fideas file enterprise und deren Nutzen Feature Beschreibung Nutzen Schnelle on-the-fly Verschlüsselung Einfache zentrale Verwaltung Gewaltentrennung Unterstützt jeden Fileserver Dateien in geschützten Ordnern werden automatisch ver- und entschlüsselt, ohne dass der Benutzer eingreifen muss. Schutzregeln werden zentral von speziellen Sicherheitsadministratoren festgelegt. Die Administration ist leicht erlernbar, erfordert keine speziellen Kenntnisse der IT-Sicherheit und ist kaum anfällig für Fehlkonfigurationen. Sicherheitsverwalter und Systemadministrator sind getrennte Rollen. Sogar Systemadministratoren können nicht für sie bestimmte Dateiinhalte nicht einsehen. Dies behindert jedoch nicht die normale Administrationsarbeit wie z.b. Datensicherung. Weiter ist es möglich, auch die Verwaltung von fideas file enterprise über ein Vier- Augen-Prinzip zu steuern, wobei die Berechtigungen unterschiedlicher Administratoren über Attribute gesteuert werden können, beispielsweise das Recht, Benutzerpasswörter einzusehen. Verschlüsselte Dateien können auf beliebigen Fileservern gespeichert werden, solange die Ordner über UNC-Pfade adressiert werden. Werden Hohe Benutzerakzeptanz Kein kostspieliges Benutzertraining notwendig Einfache Umsetzung der firmenweiten Sicherheitsrichtlinien Kein kostspieliges Administratortraining notwendig Niedrige operative Kosten Eliminiert das Risiko, dass Systemadministratoren ihre umfassenden Berechtigungen zur Einsicht in vertrauliche Dateien missbrauchen. Nimmt Systemadministratoren aus dem Generalverdacht, ihre Berechtigungen zur Einsicht in vertrauliche Dateien zu missbrauchen. Minimiert das Risiko des Ausspionierens vertraulicher Daten im Fall, dass die IT an Dienstleister ausgelagert wurde. Problemlose Integration in die bestehende IT- Infrastruktur Unterstützt Windows, Linux, Samba, NetApp
Gruppenzugriff Kontrolle mobiler Datenträger (Zusatzmodul) Anwendungskontrolle (Zusatzmodul) Windows Fileserver verwendet, kann auch Microsoft DFS verwendet werden. Die Berechtigung zum Zugriff auf verschlüsselte Dateien kann auf Arbeitsgruppen verteilt werden. Verschiedene Gruppen können auch Zugriff auf gleiche Ordner erhalten. Benutzer können Mitglied in mehreren Gruppen sein. Der Zugriff auf mobile Datenträger wie USB Sticks und Wechselfestplatten kann auf bestimmte Gruppen eingeschränkt werden. Über die Komponente fideas file portable kann außerdem auf verschlüsselte Daten auf mobilen Datenträgern auch von Rechnern aus zugegriffen werden, auf denen fideas file enterprise nicht installiert ist. fideas file portable kann auch zum verschlüsselten Datenaustausch mit weiteren Anwendern benutzt werden. Es kann festgelegt werden, welche Anwendungen auf geschützte Dateien zugreifen dürfen und in welcher Form die Dateien an die Anwendung übergeben werden. und andere Fileserver Wesentlich einfachere Konfiguration im Vergleich zur Verwaltung von Einzelbenutzern ( spart Zeit und Geld). Benutzer in der gleichen Gruppe können gemeinsam verschlüsselte Dateien bearbeiten Verhindert Datenklau über mobile Geräte Schützt vor dem Einschleppen von Malware über mobile Speichermedien. Sicherer Datentransport mit fideas file portable Verhindert Datenklau durch nicht autorisierte Software, z.b. Spyware Automatische Umwandlung sensibler Dokumente in verschlüsselte E-Mail-Anhänge Persistente Verschlüsselung Verhindert den Datenklau über nicht autorisierte Kanäle wie
Weitergabekontrolle (Zusatzmodul) Revisionssichere Protokollierung Anbindung an MS Active Directory und andere LDAP- Verzeichnisse Keine Neukonfiguration von Fileservern, Domaincontrollern oder Verzeichnisdiensten notwendig Starke Authentisierung Für hochkritische Dateien kann ein Vier-Augen-Prinzip für die Weitergabe außerhalb geschützter Bereiche installiert werden. Benutzerzugriffe auf geschützte Daten und Konfigurationen durch Sicherheitsadministratoren werden zentral protokolliert. Die Protokolle sind digital signiert. Einsicht in die Protokolle kann auf speziell dazu berechtigte Administratoren eingeschränkt werden. Benutzer und Gruppen können aus dem Active Directory oder einem anderen LDAP- Verzeichnisdienst importiert werden, z.b. auch aus Novell edirectory. Fileserver erfüllen nur ihre übliche Funktion. fideas file enterprise läuft autonom und benötigt keine Zusatzkomponenten wie Datenbanken o.ä. fideas file enterprise unterstützt starke Authentisierungsmechanismen wie Smartcards, USB Securitytoken oder biometrische Token über standardisierte Schnittstellen. Web-Upload, FTP, CD- Brennsoftware etc. BDSG-Konformität Schutz gegen Screenshots Schutz gegen Cut&Paste Ermöglicht einfache Audits Im Fall eines Sicherheitsbruches kann der Kreis der Verdächtigen schnell ermittelt werden Digitale Signaturen schützen Protokolle vor Manipulation Existierende Benutzer- /Gruppenstruktur kann weiter verwendet werden Reduktion des Verwaltungsaufwandes für die Benutzerpflege Mandantenfähigkeit Nahtlose Integration in die bestehende IT Infrastruktur Keine Notwendigkeit zur Umkonfiguration eines funktionierenden Netzwerks Zwei-Faktor- Athentisierung Unterstützung einer hohen Zahl von Schlüsselmedien
Abbildung 4: Gruppenkonzept von fideas file enterprise Technische Daten Die folgenden Minimalanforderungen müssen erfüllt sein, um fideas file enterprise ordnungsgemäß zu betreiben: Komponente Admin (Zentrale Administration) Security Server (Policy Server) Private Agent (Client) Windows XP, Vista, Windows 7, 2003 Server, 2008 Server 512 MB 25 MB Windows 2003 Server, 1 GB 60 MB 2008 Server Windows XP, Vista, 512 MB 10 MB Windows 7, 2003 Server, 2008 Server Plattformen RAM Freier Festplattenspeicher Prozessorleistung 700 MHz 2 GHz 1 GHz Bis einschließlich Version 4.1 unterstützt fideas file enterprise nur 32 Bit Plattformen. 64 Bit-Plattformen werden ab Version 4.2 unterstützt. fideas file enterprise kann auch in virtuellen Umgebungen und auf Terminalservern (Windows TS, Citrix) eingesetzt werden.
Verschlüsselungsverfahren für höchste Sicherheit fideas file enterprise verwendet die Verschlüsselungsalgorithmen AES (wahlweise mit Schlüssellängen 128, 192 oder 256 Bit) Triple-DES (168 Bit) RSA (1024, 2048 oder 4096 Bit) Unterstützte Schlüssel, Smartcards und Security Token fideas file enterprise verwendet Schlüssel entweder in Form von Software im Format PKCS#12 oder in Form von Hardware-Medien wie Smartcards, USB Token, High Security Modules (HSMs). Letztere werden über Schnittstellen gemäß der Industriestandards PKCS#11 und MS CSP angesprochen. Unter anderem können folgende Schlüsselmedien zusammen mit fideas file enterprise verwendet werden: Aladdin etoken Kobil midentity AR MiniKey5 AR MiniKey7 Feitian epass2000 Feitian epass3000 Giesecke & Devrient StarKey100 SafeNet ikey 2032 Athena Smartcard D-Trust Smartcard TeleSec Netkey Card AR PrivateCard
Was andere über fideas file enterprise sagen Wir sind sicher, mit fideas file enterprise die beste Lösung zum Schutz unserer sensiblen Dokumente einzusetzen, die der Markt bereit hält. Ich hoffe, dass viele unserer Mitgliedsbanken unserem Beispiel folgen. Ich kann die Lösung von apsec uneingeschränkt empfehlen. Stephan Henkel, Geschäftsführer, VöB-Service GmbH Überzeugt hat uns bei fideas file enterprise die hohe Benutzerfreundlichkeit. Uns war wichtig, dass die Software einfach zu administrieren ist und keine speziellen Kenntnisse voraussetzt. Außerdem konnten wir bei apsec auch individuelle Wünsche einbringen, die prompt erfüllt wurden. Wir würden uns jederzeit wieder für den Kauf von fideas file enterprise entscheiden. Christian Klinkerfuß, Leiter Interne IT, INFO AG fideas file enterprise erhöht signifikant das Sicherheitsniveau eines Unternehmens. Prof. Dr. Rainer Thome, egovernment-berater der bayerischen Landesregierung, Uni Würzburg Die Fähigkeiten von fideas file enterprise zur on-the-fly Verschlüsselung von Dateien sind beeindruckend. SC Magazine, Ausgabe Oktober 2008 We looked at several encryption solutions. None of them were as easy to use and to deploy as fideas file enterprise. The apsec support team is outstanding, a rarity with the, get a sale and forget type attitude of today. Highly recommended! Jake Gaitan, IT Security Officer, Demmer Corporation (USA) Weitere Informationen Datenblätter, Anwenderberichte von Kunden und kostenlose Testversionen der Software befinden sich auf den apsec-webseiten Deutsch: Englisch: www.apsec.de/deutsch/downloads/fideas-file-enterprise/ www.apsec.de/english/downloads/fideas-file-enterprise/ oder www.apsec.us/resources.htm Kostenlose Testsoftware mit zugehöriger Dokumentation kann von den angegebenen Webseiten heruntergeladen werden. Während des Installationsvorgangs kann eine Testlizenz bei apsec beantragt werden (Details im Handbuch), welche einen unverbindlichen Test der Software ohne Funktionseinschränkung für fünf Benutzer und 30 Tage Laufzeit ermöglicht. Fragen zur Software und Feedback zu diesem Whitepaper sind willkommen unter der E-Mail-Adresse sales@apsec.de.