Datenintegrität personenbezogener Daten BSI-geprüfte IT-Security-Lösungen unterstützen sicheres Arbeiten mit personenbezogenen Daten

Autor / Redakteur: Reinula Böcker / Susanne Ehneß

Personenbezogene Daten der Bürger sind besonders schützenswert und sollten in keinem Fall in falsche Hände geraten. In keinem anderen Land wird darum das Thema Datenschutz so ernst genommen und so streng überwacht wie in Deutschland.

Firmen zum Thema

Geheimdienste stehen in Verdacht selbst Infrastruktur mit Backdoors zu manipulieren um sich unbefugten Zutritt zu verschaffen. Als Folge tritt zunehmend das Thema IT-Security made in Germany auch in Behörden und Ämtern in den Fokus
Geheimdienste stehen in Verdacht selbst Infrastruktur mit Backdoors zu manipulieren um sich unbefugten Zutritt zu verschaffen. Als Folge tritt zunehmend das Thema IT-Security made in Germany auch in Behörden und Ämtern in den Fokus
(Bild: HOB)

Die Bedrohungslage reicht von Cyberkriminellen bis hin zu Geheimdiensten, die sich der bestehenden Kommunikationstechnologie und -Infrastruktur bedienen, um Daten zu stehlen. Geheimdienste stehen im Verdacht, selbst Infrastrukturen mit Backdoors zu manipulieren, um sich unbefugten Zutritt zu verschaffen. Als Folge tritt das Thema IT-Security made in Germany zunehmend auch in Behörden und Ämtern in den Fokus.

Gelangen personenbezogene Daten der Bürger in falsche Hände, können diese auch verwendet werden, um Einzelnen zu schaden, bestimmte Gruppen auszugrenzen oder Andere in ihren Bürgerrechten zu beschränken. Die Spanne der vorstellbaren Schadensszenarien reicht dabei weit. Und wie alles was wertvoll ist oder genutzt werden kann, um Schaden anzurichten, wecken auch die personenbezogenen Daten der Bürger Begehrlichkeiten.

Bildergalerie

So gibt es ein Heer von Hackern, die Daten ausspionieren, um per Sozial Engenieering Identitäten im großen Stil zu stehlen. Mittels der gestohlenen Identitäten werden dann eine Vielzahl an Verbrechen begangen, von Urkundenfälschung bis zum Abräumen von Konten.

Aber auch Unternehmen haben ein zunehmend unseriöses Interesse an Informationen über Bürger. Aus verschiedenen Quellen gesammelt, könnten mittels personenbezogener Daten Profile angelegt werden, die das Verhalten eines Konzernes gegenüber einem Individuum verändern könnten. Wird heutzutage auf Schufa-daten etc. zurückgegriffen, um zu entscheiden, ob einer Person ein Kredit bewilligt wird, so könnten Daten wie zum Beispiel eine frühere Arbeitslosigkeit in der Zukunft Entscheidungen in ähnlicher Art und Weise beeinflussen. Zunehmend verhärtet sich der Verdacht, dass einige Geheimdienste und mit ihnen kooperierende Organisationen anderer Länder sich verstärkt um Zugriff auf die Informationen der Bürger bemühen.

Nicht nur die Kommunikation im Allgemeinen wird überwacht und gespeichert, es wird auch von vielen vermutet, dass gezielt der Informationsfluss von Behörden und Ämtern angezapft wird, um an Daten über die Bürger aus erster Hand zu kommen. Das Ziel: Solche Geheimdienste wollen möglichst umfassende Profile eines jeden einzelnen Bürgers erstellen können. Darüber hinaus besteht der Verdacht, dass auch alle anderen Daten auf Bundes-, Länder- und Kommunalebene gesammelt, gespeichert und ausgewertet werden. Wie oft berichtet, machen die Geheimdienste nicht halt vor dem Smartphone der Kanzlerin und ganz bestimmt nicht vor irgendwelchen anders gearteten Informationen.

Aber auch Ministerien, Behörden und Ämter können sich schützen, zum einen durch klug durchdachtes Management der Informationssicherheit, aber auch ganz einfach durch den Einsatz hochsicherer und geeigneter technischer Lösungen für die IT-Security. Es gibt zahlreiche Produkte die Behörden in diesem Spannungsfeld nutzen können um sich zu schützen. Doch einige von ihnen sind zunehmend kritisch zu sehen, da sie unter Verdacht stehen, nicht ganz frei zu sein von Hintertüren, die von Geheimdiensten lanciert und zur Spionage genutzt werden. Auch setzen einige Hersteller selbst bei sicherheitskritischen Anwendungen auf Open Source Software. Speziell in diesen Hochsicherheits-Szenarien sollte ein solcher Einsatz jedoch kritisch hinterfragt werden.

IT-Security made in Germany

IT-Security-Lösungen aus Deutschland, wie die von HOB, bieten Behörden einen entscheidenden Vorteil: Sie unterliegen nicht dem Einfluss der Geheimdienste. HOB nutzt darüber hinaus eigene Sicherheitslösungen wie HOB-SSL, das nicht auf Sourcen anderer fußt, sondern eine komplett hauseigene Entwicklungen ist. Diese Kombination zahlt sich aus. Das Kernprodukt von HOB, die Secure Remote Access Suite HOB RD VPN mit HOBLink Secure ist vom BSI zertifiziert nach Common Criteria EAL 4+.

Dazu sagt Klaus Brandstätter, CEO der HOB: „Vor sehr vielen Jahren haben wir bei HOB schon gewusst: Wenn es um die Sicherheit der Daten und Systeme unserer Kunden geht, dann verlassen wir uns nicht auf die Entwicklungen anderer. Wir wollten schon damals unsere eigene SSL-Implementierung entwickeln. Das war eine große Investition an Entwicklungskosten, aber sie hat sich gelohnt. HOB- SSL als Kernkomponente ist nun zertifiziert nach Common Criteria EAL 4+. Ein großer Erfolg für uns und eine gute Bestätigung für unsere Kunden: Mit HOB sind sie auf der sicheren Seite!“

HOB hat eine umfassende Produktreihe für den sicheren und performanten Fernzugriff. Viele besondere Konzepte in den HOB-Produkten unterstützen die Nutzer dabei, flexibel und doch sicher mit Unternehmensdaten zu arbeiten. Die eigene SSL- Implementierung ist nur ein Teil dieser ausgeklügelten und ausgereiften Lösungen.

HOB RD VPN – die umfassende Security-Lösung

HOB RD VPN wurde durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria EAL 4+ zertifiziert (Zertifikat # BSI-DSZ-CC-0832-2014).

HOB RD VPN ist die ganzheitliche Lösung für den Remote-Zugriff auf zentrale Verfahren und Anwendungen in Landes- oder kommunalen Rechenzentren, zu jeder Zeit und von jedem Ort mit nahezu jedem Endgerät. Das Besondere: Mit HOB RD VPN kann der Zugriff sehr selektiv gestaltet werden. So kann einfach und individuell bestimmt werden, dass nur die Nutzung bestimmter Verfahren möglich ist. Wenn nicht gewünscht, ist eine Vollanbindung an das Landes- oder Kommunalnetzes nicht erforderlich.

Häufig wird HOB RD VPN von kommunalen Rechenzentren eingesetzt, wenn sie kleinere Außenstellen oder Heimarbeitsplätze anbinden wollen. Der Vorteil: Vor Ort können beliebige Endgeräte verwendet werden und es ist keine Installation und Administration von Software vor Ort notwendig. Das erspart auch die Notwendigkeit einen eigenen Administrator vor Ort zu beschäftigen. Sämtliche Updates und Änderungen werden an zentraler Stelle vorgenommen und erreichen die Mitarbeiter, wenn sie sich neu am System anmelden. Mobiles Arbeiten von Laptops bis hin zu Tablets wird ebenso unterstützt wie allgemeine Webanwendungen wie beispielsweise MS Outlook Webaccess sowie spezielle Behörden- oder ämtereigene Webanwendungen.

Als reine Softwarelösung ist HOB RD VPN hoch skalierbar und unterstützt zudem viele verschiedene Plattformen. So bleiben bestehende Investitionen auch bei neuen Anforderungen an die IT geschützt. Der Zugang zu Verfahren und Anwendungen, Rollen und Rechte können auch in komplexen Strukturen einfach verwalten werden. HOB RD VPN ist mandantenfähig und ermöglicht es, verschiedene Anwendergruppen und Organisationsbereiche schnell und flexibel anzubinden. Die Daten eines Mandanten sind dabei streng getrennt von den Daten der anderen Mandanten. Über die Zugangskontrolle hinaus erfolgt jede Kommunikation streng verschlüsselt und gewährleistet so am anderen Ende des Gesamtkonzeptes einen sicheren und vertraulichen Informationsfluss.

Ein weiteres und besonderes Konzept für erhöhte Ausfallsicherheit wird mit einer neuen Clusterlösung geboten. Es werden keine zusätzliche Hardware oder Lizenzen für den Aufbau von Cluster-Nodes benötigt. Einzigartig: Alle Cluster-Nodes sind gleichberechtigt und synchronisieren sich auch über größere Distanzen. Schnell kann eine Cluster-Node gewartet werden, ohne den laufenden Betrieb zu beeinflussen. Die Umsetzung der Business Continuity wird so auch in jeder Behörde Realität.

Für den Zugriff auf zentrale Verfahren und Anwendungen benötigen Anwender lediglich einen Java-fähigen Webbrowser und können so online auf Applikationen, Desktops und Server zugreifen. Nach Analyse des Endgerätes erhalten sie aus der zentralen Benutzerkonfiguration ihre individuellen Zugriffsrechte und Einstellungen gemäß der für sie definierten Rolle. HOB RD VPN bietet dabei eine Reihe von integrierten Zugriffsmechanismen auf Legacy-Anwendungen, Windows-, Apple- oder Linux- und Unix-Systeme. Diese Anwendungen können sowohl auf physikalischen Servern laufen oder virtualisiert sein – ganz nach Bedarf.

Starke Performance mit RDP

RDP ist der führende Industrie-Standard zur Übertragung von grafischen Benutzeroberflächen. RDP ist sehr mächtig und bietet eine Vielzahl von sinnvollen Funktionen. Bei einem großangelegten Vergleichstest war keines der zahlreichen anderen Protokolle im Vergleich zur neuesten Version von RDP gleichwertig oder gar überlegen, weder in Funktionalität noch in Performance.

Bei realitätsnahen Vergleichstests zwischen RDP und VNC (Protokoll RFB Remote Framebuffer Protocol) wurde mit VNC die siebenfache Datenmenge ausgetauscht. Auch der Vergleich RDP zu dem bewährten X-Protokoll (X11, MIT) liefert Ergebnisse in ähnlicher Größenordnung. Der Vergleich der ausgetauschten Datenmengen entspricht in etwa dem Verhältnis der Response-Zeiten, also der Zeit welche der Benutzer zum Beispiel auf das Update des Bildes wartet.

Neue Technologien und Optimierungen wie die HOB VNC-Bridge, Kerberos Single Sign-on und End-to-End Flow Control erlauben zügigen Zugriff auf verschiedenste Zielsysteme, einfache Authentifizierung und performantes, effizientes Arbeiten. Das steigert die Zufriedenheit der Mitarbeiter und ermöglicht es ihnen, sich auf ihre wesentlichen Aufgaben zu konzentrieren.

HOB RD VPN – Schlüsselkomponenten für Remote Access

HOB RD Computing ermöglicht den Zugriff auf Microsoft Windows Remote Desktop Services (RDS) einfach via Browser und Internet. Mit dieser plattformunabhängigen Lösung können unabhängig von der Ausstattung des Client-Rechners alle Windows-Applikationen auf dem RDS-Server genutzt werden – alles was benötigt wird ist ein Java-fähiger Webbrowser.

Mit HOB Desktop-on-Demand kann ein Arbeitsplatzrechner, von außen mit Wake-on-LAN aufgeweckt werden. Eine Lösung, die speziell von Administratoren gerne genutzt wird. Egal wo sie sich befinden, egal von welchem Gerät aus sie zugreifen, sogar vom Computer im Hotel aus, ist es möglich sich mit seinem Rechner zu verbinden und zu arbeiten.

Daraus ergeben sich viele Vorteile: Der Administrator ist flexibel und kann jederzeit spontan eingreifen, wenn ihn ein Hilferuf erreicht. Er muss nicht einmal seinen eigenen Laptop dabei haben. Zudem spart es Energie, da diese Desktops nicht ständig eingeschaltet sein müssen.

Mit dem integrierten Remote Desktop Client von HOB – HOBLink JWT – steht ein rein webbasierter Client mit vielen Funktionen zu Verfügung. Eine eigene iPad-App HOBLink iWT ermöglicht den Zugriff auf Windows Terminal Server von iPad aus. Übertragene Dateien innerhalb der Remote Desktop Session können mit HOB RD VPN nach Viren gescannt werden. Diese Funktion wird von anderen Lösungen derzeit nicht angeboten. Demnächst wird auch die Komponente HOBLink WebTerm zur Verfügung stehen, die unter Verwendung der HTML5 Technologie Zugriff auf RDP Ziele ermöglicht.

Über den Web File Access kann von allen Client-Plattformen komfortabel auf Fileserver zugegriffen werden. Der Zugang kann hierbei auf Windows-Netzwerke erfolgen.

Ebenso steht in Kürze mit HOBLink DASH eine File-Sharing-Lösung zur Verfügung, die den sicheren und einfachen Datenaustausch inklusive Aktualisierung von verschiedenen Plattformen aus zwischen verschiedenen Anwendern und Geräten erlaubt.

Mit dem HOB Web Server Gate (WSG) greifen die Mitarbeiter auf behördeninterne Webserver sicher zu. Die internen Webserver werden sicher abgeschottet. Der Zugriff von außen ist erst nach erfolgreicher Authentifizierung am HOB RD VPN möglich. Der integrierte Target-Filter lässt Anwender nur auf die für sie bestimmten Webserver zugreifen. Um die Sicherheit zu erhöhen, kann verhindert werden, dass die Daten im Browser-Cache gespeichert werden.

Der HOB PPP Tunnel ersetzt den klassischen IPsec VPN Client und verbindet die Vorteile eines IPsec VPNs mit der Einfachheit einer SSL-Lösung. Das von HOB auf Basis des Point-to-Point-Protokolls (PPP) entwickelte Verfahren ermöglicht den vollen Netzwerkzugriff mit allen Protokollen wie TCP, UDP und ICMP auf alle Netzwerkressourcen im internen Netz. Diese Funktion kann ohne jegliche Installation zusätzlicher Software oder Treiber auf dem Endgerät genutzt werden. Für noch mehr Sicherheit bei dem Netzwerkzugriff werden Regeln in einem Targetfilter definiert. Damit wird den Anwendern der Zugriff auf bestimmte Netzwerkressourcen erlaubt.

HOB VDI-Business stellt den Anwendern virtuelle Windows Desktops zur Verfügung. Dabei wird jedem Anwender beim Aufbau der Verbindung eine freie virtuelle Maschine zugewiesen. Damit können User mit allen installierten Applikationen arbeiten, die im Rechenzentrum zentral auf virtualisierten Maschinen installiert sind. Hat einer der Benutzer die Verbindung verloren, so bleibt das Betriebssystem noch eine gewisse Zeit im Zustand „disconnected“. Beim erneuten Verbindungsaufbau erhält der User ein Reconnect. Die Lösung ermöglicht auch die Nutzung von Anwendungen, die viele Ressourcen benötigen oder auf Windows Servern nicht lauffähig sind – etwa CAD-Anwendungen.

Mit der HOB VNC-Bridge ist ein performanter und sicherer Zugriff auf alle VNC-Server möglich. Dafür wird der integrierte HOB eigene Client HOBLink JWT für Remotedesktopverbindungen verwendet. Es wird kein VNC Client mehr benötigt, sondern nur ein Java-fähiger Webbrowser. Der Vorteil: Über das Internet wird das schnelle und schlanke RDP Protokoll genutzt.

HOB RD VPN unterstützt ebenfalls den Zugriff auf Citrix Xen­App und XenDesktop. Für den clientlosen Remote Access wird der Citrix Receiver für Java unterstützt

Optional bietet HOB RD VPN auch den SSL-gesicherten Zugriff auf Legacy-Applikationen. Unterstützt werden dabei die folgenden Protokolle: TN3270, TN5250, Telnet (VT), HP-700, Siemens 9750, Siemens 97801 und SSH.

HOB Remote Desktop Enhanced Services (HOB RD ES) sind eine Software-Komponente von HOB, die auf dem Windows Server mit Remote Desktop Services installiert wird. Dadurch wird die Funktionalität der Remote-Desktop-Sitzungen in vielen Punkten entscheidend verbessert. True Windows erlaubt die vollständige Integration von Remote Applikationen in den lokalen Desktop. Für die Benutzer ist kein Unterschied zwischen lokalen und remote Applikationen erkennbar.

Sogar anwenderspezifische Tray-Icons werden auf dem Client-Rechner angezeigt. Für ein Ressourcen-schonendes Arbeiten wird Session-Sharing unterstützt, sodass mehrere Remote-Desktop-Anwendungen eines Servers in einer einzigen Arbeitssitzung laufen. Mit dem True Windows Application Manager können alle genutzten Anwendungen angezeigt und bei Bedarf sofort beendet werden – ähnlich dem Windows Task Manager.

Mit dem Application Serving wird bei der Anmeldung am Remote Desktop eine bestimmte Anwendung automatisch gestartet, sodass nicht der gesamte Windows-Desktop für den Benutzer verfügbar ist. Das Application Publishing erlaubt es, einzelne Anwendungen zu „veröffentlichen“, also allen Usern zur Verfügung zu stellen. Die einzelnen Windows Server sind dabei unterschiedlich konfigurierbar.

Die im Standardumfang enthaltene Load Balancing Funktion verteilt die Last innerhalb einer Serverfarm auf alle Rechner gleichmäßig. Mit der Komponente „Enhanced Load Balancing“ kann der Administrator die Lastverteilung noch feiner regeln und Kriterien festlegen, nach denen die Auslastung berechnet wird, etwa nach der CPU- und Netzwerkauslastung, Swap-Aktivität und Speichernutzung oder der Anzahl der aktiven Sitzungen.

Mit Local Drive Mapping greifen die Verfahren und Anwendungen des Windows Servers auf die Laufwerke des Clients zu. Der Zugriff erfolgt auf lokale Laufwerke wie Festplatten, CD-ROM oder USB-Geräte. Um eine mögliche Virenkontamination seitens der lokalen Laufwerke zu verhindern, enthält HOB RD VPN eine Schnittstelle (ICAP) zu einem Virenscanner.

HOB SCS (Secure Communication Server) ist ein gehärtetes, stabiles Unix-basiertes Betriebssystem, das bewährte Open-Source-Technologien nutzt. Durch die Verbindung von HOB SCS mit HOB RD VPN wird HOB SCS zur vollwertigen Software-Appliance. Installation, Wartung und Administration werden minimiert. HOB SCS in Verbindung mit HOB RD VPN bietet zusätzliche Vorteile hinsichtlich Sicherheit, Stabilität, Performance und Skalierbarkeit.

HOB RD VPN Security

HOB RD VPN enthält Bestandteile für die sichere Kommunikation und Authentifizierung auf Basis von SSL und TLS. Es ermöglicht unter anderem die Erstellung und Verwaltung und von Zertifikaten, sowie den Aufbau einer eigenen Public-Key-Infrastructure.

Sichere Verschlüsselung durch starke Algorithmen

Die Verschlüsselung mit HOB RD VPN kann mit verschiedenen Algorithmen erfolgen, wie zum Beispiel mit dem symmetrischen Verschlüsselungsstandard AES bis zu 256 Bit Schlüssellänge, dem asymmetrischen Verschlüsselungsstandard RSA bis zu 4096 Bit und mit kryptografisch starken Zufallszahlen mit mindestens 50 Bit Entropie. Diese wird gewährleistet für die CC EAL 4+ zertifizierten Komponenten, bei den anderen Komponenten werden vergleichbare Algorithmen verwendet.

Erweiterte Sicherheit durch moderne Authentifizierungsmethoden

HOB RD VPN unterstützt die Microsoft CryptoAPI und damit den Einsatz von Authentifizierungstechnologien wie etwa Smartcards. Zudem wird auf Java-Clients der PKCS#11 Standard unterstützt.

Kerberos Secure Single Sign-on

Mit der Kerberos-Implementierung erreichen Sie ein Secure Single Sign-on für eine sichere Authentifizierung. Der große Vorteil: mit Kerberos Single Sign-On wird die Sicherheit bei der Datenkommunikation gesteigert. Zum einen werden die Passwörter bei der Authentifizierung nicht übertragen und zum anderen müssen diese nicht mehr auf Fileservern gespeichert werden. Mehr noch, die Mitarbeiter brauchen keine Passwortlisten mehr zu führen, die zum Teil auf deren Bildschirmen „kleben“. Die Passwortqualität wird im gesamten Unternehmen gestärkt, da sich die Anwender nur noch ein Passwort merken müssen und dadurch schwierigere Wortkombinationen wählen können.

Unterstützung von Sicherheitsstandards

HOB RD VPN supported Sicherheitsstandards und Algorithmen wie Methoden zum Schlüsselaustausch mit RSA, DH (Diffie-Hellman), DHE (Diffie-Hellman ephemeral) und Verschlüsselungsalgorithmen wie AES mit 256 Bit und 128 Bit, RC4 mit 128 Bit und 40 Bit, 3DES.

Ein eigenes Zertifikatsmanagement

HOB RD VPN ermöglicht, mithilfe der Softwarekomponente HOBLink Security Manager, die Verwendung von Zertifikaten nach dem X.509 Standard. Dieses Tool erlaubt zudem die Erstellung von eigenen Zertifikaten, die Verwendung von CA-Zertifikaten und das Importieren von Wurzelzertifikaten. Die Softwarekomponente bietet die Möglichkeit Zertifikat-Requests zu erstellen. Die daraus generierten, von einer offiziellen Zertifizierungsstelle signierten Zertifikate, können wieder importiert werden. Dadurch können Zertifikate erzeugt werden, deren private Schlüssel für keinen Dritten einsehbar sind, da nur der öffentliche Teil des Zertifikates an die Zertifikatsstelle gesendet wird.

Hohe Sicherheitsstufe durch zertifizierten Zufallszahlengenerator

Der zertifizierte Zufallszahlengenerator von HOB RD VPN arbeitet mit einer Zufälligkeit (Entropie) von mindestens 50 Bit. Um sich diesen Wert besser zu veranschaulichen, kann zum Vergleich eine Lottoziehung herangezogen werden. Beim Lotto gibt es für eine „6 aus 49“ Ziehungen knapp 14 Millionen Kombinationsmöglichkeiten, um garantiert 6 Richtige zu treffen. Diese Kombinationsmöglichkeiten haben lediglich ungefähr eine Entropie von 20 Bit, dabei ist die Trefferquote mit 6 Richtigen ganz gering. HOB RD VPN verfügt im Vergleich dazu über mindestens 50 Bit Entropie.

HOB WebSecureProxy – zentrales Sicherheitselement

Der HOB WebSecureProxy (WSP) ermöglicht als zentrale Sicherheitskomponente in HOB RD VPN die SSL-gesicherte Kommunikation der Client-Anfragen zu firmeninternen Servern und Applikationen und unterstützt alle gängigen Verschlüsselungsverfahren inklusive AES mit bis zu 256 Bit Schlüssellänge. Zusätzliche Sicherheit kann durch die Verwendung von Authentifizierungssystemen, wie Zwei-Faktor beziehungsweise RADIUS-Authentifizierung erreicht werden. Die Kerberos- Implementierung ermöglicht Secure Single Sign-on. HOB RD VPN unterstützt auch die Verwendung von Client-Zertifikaten, die beim SSL-Verbindungsaufbau genutzt werden.

Der Administrator kann unterschiedliche Domänen für Kerberos/LDAP definieren, sodass auch komplexe Netzwerke unterstützt werden. Ein differenziertes Rollen- und Rechtesystem erhöht die Sicherheit durch eine ausgeklügelte Zugriffslogik. So erhält der Anwender abhängig vom Status der Antivirensoftware unterschiedliche Rollen und Rechte.

Zur Erhöhung der Ausfallsicherheit ist eine Zusammenfassung mehrerer HOB WebSecureProxies zu einem Cluster möglich. Jede aktive Session ist jedem Proxy bekannt, sodass im Fehlerfall eines Proxys der weitere Betrieb störungsfrei gewährleistet ist. Für die Remote-Anwender ist das Cluster als eine Einheit sichtbar.

Zur Steigerung der Verbindungsqualität wurden Optimierungen für den gesamten Datenstrom implementiert. Die End-to-End Flow Control bringt eine höhere Stabilität und Performanz der Netzverbindungen.

Um Anwender im internen Netzwerk besser identifizieren zu können, kann für jeden eine persönliche IP-Adresse definiert werden, die für die internen Netzverbindungen verwendet wird.

Der HOB WebSecureProxy kann auch zur Abschottung eines E-Mail-Servers vor dem direkten Zugriff aus dem Internet dienen. Die Kommunikation zwischen E-Mail-Client und HOB WSP erfolgt dabei über POP3S, IMAPS und/oder SMTPS.

Mit HOB Anti Split Tunneling kann verhindern werden, dass ein Benutzer auf andere Netzwerke zugreift, während er mit HOB RD VPN arbeitet. Dadurch wird die Sicherheit des Systems deutlich erhöht. Über die ICAP-Schnittstelle im HOB WebSecureProxy ist es möglich, übertragene Dateien innerhalb von Remote Desktop Sessions zu scannen und die übertragenen Dateien auf potenzielle Gefahren geprüft. Somit werden übertragenen Dateien schon an zentraler Stelle auf mögliche Gefahren geprüft.

HOBLink Mobile

Die Nutzung mobiler Endgeräte zu Arbeitszwecken ist auch aus Ministerien, Behörden und Ämtern nicht mehr wegzudenken. Je mobiler das Arbeitsumfeld wird, desto häufiger wollen User auch mit dem Smartphone E-Mails bearbeiten oder vom Tablet aus in der Sitzung Daten und Fakten aufrufen können. Viele IT-Verantwortliche sehen jedoch in diesem Trend ein großes Sicherheitsrisiko, da mobile Endgeräte oft nicht ausreichend abgesichert sind und häufig nicht in das Sicherheitskonzept eingebunden sind. Es besteht die Gefahr, dass hoch sensible Daten verloren gehen oder in falsche Hände geraten oder der Benutzer Malware ins Netzwerk einschleust. HOB hat dieses Sicherheitsrisiko erkannt und eine Lösung für mobile Endgeräte entwickelt, die den sicheren Zugriff auf zentral gespeicherte Unternehmensdaten ermöglicht: HOBLink Mobile mit dem HOBCOM Universal Server.

Der besondere Vorteil von HOBLink Mobile ist, dass dem Anwender E-Mails, Kontakte, Kalender und Notizen sicher zur Verfügung gestellt werden, ohne jegliche Datenspeicherung auf dem mobilen Endgerät. Die Daten bleiben sicher im geschützten Netzwerk und werden nicht auf das Endgerät heruntergeladen. Sollte das Endgerät in falsche Hände geraten oder defekt werden, so sind keinerlei sensible Daten darauf zu finden. Der Nutzer kann mit jedem beliebigen anderen Gerät weiterarbeiten, da sich alle Daten vollständig und sicher auf dem Server befinden.

Die zentrale Komponente der Lösung ist der HOBCOM Universal Server (HCU). Dieser wird in der DMZ oder im LAN installiert. Anhand des HOBLink Mobile Clients wird vom Mobilgerät auf den HCU Server zugegriffen. Innerhalb des LANs kommuniziert der HOBCOM Universal Server mit einem Microsoft Exchange Server, von dem er die angeforderten Daten erhält. Darauffolgend werden die Informationen an HOBLink Mobile gesendet.

Hierbei ist anzumerken, dass immer nur die Daten an das Mobilgerät geschickt werden, die gerade für die Anzeige benötigt werden. Solange die Anwendung aktiv ist, werden diese Daten in den Hauptspeicher geladen. Wird die Anwendung beendet, verbleiben keine Daten auf dem Device. Die Verschlüsselung der gesamten Kommunikation wird hierbei gewährleistet. HOBLink Mobile erlaubt somit den sicheren Zugriff auf zentral gespeicherte Daten, ohne dass diese lokal auf das Mobilgerät gespeichert werden. Zusätzlich sorgt die Lösung für eine optimale Bandbreitenausnutzung und Verringerung der Verbindungszeiten. Dies ermöglicht einen sicheren und bestmöglichen Einsatz der mobilen Endgeräte – jederzeit und von jedem Ort auf der Welt.

HOBLink Mobile bietet zwei Möglichkeiten für die sichere Kommunikation mit dem HCU Server: Entweder die direkte Kommunikation oder die Kommunikation über den HOB WebSecureProxy von HOB RD VPN.

  • 1. Direkte Kommunikation zwischen dem HOBLink Mobile Client und dem HCU Server: Die Verbindung zwischen dem HOBLink Mobile Client und den HCU Server wird immer mit AES (128bit) verschlüsselt. Für die Kommunikation zwischen dem HOBLink Mobile Client und dem HCU Server wird das HOB eigene HCU-Protokoll verwendet.
  • 2. Kommunikation zwischen dem HOBLink Mobile Client und dem HCU Server über den HOB WebSecureProxy von HOB RD VPN: Die Kommunikation zwischen dem HOBLink Mobile Client und dem HOB WebSecureProxy wird zusätzlich mit SSL verschlüsselt. Definiert werden die Verschlüsselungseinstellungen im HOB WebSecureProxy.

Ein weiteres Stück Sicherheit bieten die verschiedenen Authentifizierungsmethoden, welche HOBLink Mobile zur Verfügung stellt. Die Authentifizierung bei der direkten Verbindung mit dem HCU Server wird durch die Eingabe von Benutzernamen und Passwort ausgeführt. Bei der Kommunikation mit dem HOB WebSecureProxy sind zusätzliche Authentifizierungsmethoden wie beispielsweise RADIUS, Zertifikate oder One-Time-PasswordToken möglich. Für die Anzeige der Daten wird immer eine Verbindung zu dem HCU Server mit vorheriger Authentifizierung benötigt.

Bei Verlust des mobilen Gerätes sollten die Anwender dies unverzüglich dem zuständigen Administrator mitteilen. Dieser kann sofort den Benutzeraccount auf dem HCU Server sperren. Darüber hinaus empfiehlt HOB die Aktivierung der Code-Sperre auf dem mobilen Gerät. Zu betonen ist, dass die Daten nicht von einem Dritten eingelesen werden können, da diese zentral gespeichert werden und keine Speicherung auf dem Mobilgerät erfolgt.

Sollte die Verbindung des mobilen Endgerätes einmal unterbrochen werden, kann die verlorene Sitzung wiederhergestellt werden. Bei Verbindungsabbruch oder Ausschalten des Gerätes wird anhand der Reconnect-Funktion der letzte Kontext wiederhergestellt. Dies vermeidet lästige Neuanmeldungen und die damit verbundenen Verzögerungen.

Um auf weitere Daten zuzugreifen, besteht die Möglichkeit, eigene Java-Programme zu schreiben und diese den Benutzern zur Verfügung zu stellen. Dies wird durch das Byte-Code-Interpreter-Interface (BCI-Interface), eine von HOB entwickelte Java Virtual Maschine, ermöglicht. Das BCI-Interface stellt eine Java-Umgebung bereit und dient als „Sandbox“ für Anwenderprogramme. Hierbei bleibt die Integrität des Servers geschützt.

HOBLink VPN Gateway

Mit HOBLink VPN Gateway können klassische Site-to-site-Anbindungen realisiert werden. Basierend auf IPsec VPN und starker Authentifizierung erfolgt eine sichere Anbindung aller Außenstellen wie etwa Behörden oder Stadtverwaltungen an die zentrale Netzwerkinfrastruktur. Vorteile dabei: Das HOBLink VPN Gateway kommuniziert auch mit den schon vorhandenen zentralen Gateways und kann als reine Softwarelösung einfach vor Ort installiert werden.

Das neue HOBLink VPN Gateway, die grundlegend überarbeitete Version 2, bietet auf Basis von wahlweise Linux, BSD oder Windows, neben Sicherheit auch ideale Skalierbarkeit. Das Gateway unterstützt eine beliebige Anzahl von Site-to-Site- und Client-to-Site-Verbindungen, ebenso eine beliebige Anzahl von VPN-Tunneln.

Durch die Möglichkeit für jede Benutzergruppe eine eigene Gruppe von Authentifizierungsservern zu konfigurieren, wird Mandantenfähigkeit erreicht. Für jeden VPN-Tunnel kann der Traffic-Selector konfiguriert werden, sodass Source-IP, Destination-IP, Source-Port, Destination-Port und Protocol individuell bestimmbar sind. Zusätzliche Sicherheitsfunktionen sind die Überprüfung der Gruppenmitgliedschaft und die Zuordnung einer virtuellen IP für Clients.

Der Schutz der gesamten Datenkommunikation im Unternehmen wird gewährleistet auf Basis der Standards IPsec und IKE/ISAKMP (RFC 2401-ff) und L2TP über IPsec (L2TP/IPsec) mit starker Verschlüsselung und Authentifizierung. HOBLink VPN Gateway bietet umfassende Unterstützung von Zertifikaten und digitalen Signaturen. Der im Lieferumfang enthaltene HOB-Zertifikatmanager ermöglicht die Bearbeitung des HOB Keystore. Damit kann eine Zertifikatsstruktur aufgebaut werden aus eigenen Zertifikaten oder mit Zertifikaten von externen Certificate Authorities.

Weiterhin ermöglicht HOBLink VPN Gateway die Benutzerauthentifizierung mit RADIUS (zum Beispiel RSA Authentication Manager/ACE-Server, mit Challenge) und LDAP. Die Verbindungsstabilität wird durch den Einsatz von Standards wie NAT-T (Traversal)/UDP Encapsulation über beliebige Router, Firewalls und WLANHotspots verbessert. Das HOBLink VPN Gateway ist kompatibel mit VPN-Clients unterschiedlicher Hersteller, VPN Clients unterschiedlicher Hardware (PC, Laptop, Mobile Device wie Apple iOS oder Android) und dem HOB eigenen Produkt HOBLink VPN Anywhere Client.

HOBLink VPN Anywhere Client

HOBLink VPN Anywhere Client ist eine VPN-Client-Software, die speziell für den sicheren Zugriff auf zentrale Verfahren und Anwendungen auf Basis von IPsec konzipiert wurde. Da zum Aufbau eines VPN-Tunnels von einem Client zu einem VPN-Gateway HOBLink VPN Anywhere Client nicht auf dem zugreifenden Gerät installiert werden muss, werden dort auch keine Installations- oder Administrationsrechte benötigt. Der HOBLink VPN Anywhere Client kann über das HOBLink VPN Gateway und über alle Gateways führender Hersteller terminieren und so besonders flexibel eingesetzt werden.

HOBLink VPN Anywhere Client kann lokal ausgeführt (zum Beispiel mittels USB-Stick) oder von einem Webserver heruntergeladen werden. Hierfür wird lediglich ein Windows-Betriebssystem benötigt. Daraufhin wird die Verbindung aufgebaut, unabhängig um welches VPN-Gateway es sich in der Gegenstelle handelt.

Durch NAT-T, NAT keepalive, und UDP encapsulation (UDP-Ports 500/4500) können IPsec -Verbindungen über beliebige Router, Firewalls und WLAN Hotspots aufgebaut werden. Da HOBLink VPN Anywhere Client zusätzlich dynamisches NAT unterstützt, werden IP-Adressen-Konflikte zwischen dem client-seitigen IP-Netzwerk und dem Firmennetzwerk sicher verhindert. Ebenso kann eine beliebige Anzahl an Zielnetzwerken erreicht werden.

Die gesamte Datenkommunikation wird auf Basis von IPsec und IKE/ISAKMP Standards (RFC 2401-ff) inklusive einer starken Verschlüsselung und Authentifizierung geschützt. HOBLink VPN Anywhere Client kann – abhängig vom Server – mit allen gängigen Authentifizierungsverfahren wie zum Beispiel Radius, Zertifikate, Username/Passwort, Smartcard oder Token verwendet werden. Selbstverständlich werden die marktüblichen Verschlüsselungsmethoden wie AES (128/192/256), Intel AES-NI, und 3DES unterstützt.

Da Intel AESNI einige Teilschritte des AES Algorithmus direkt in der Hardware implementiert, profitiert der Anwender von einem erhöhten Sicherheitslevel und einer verbesserten Performance. Ebenso steht ein Application Level Gateway (ALG) für FTP und SIP zur Verfügung. Das garantiert die Sicherheit der Daten beim Zugriff von außen.

Verfahren und Applikationen können auch über das integrierte Socks-5 Gateway alle Server in den internen Netzen erreichen. Zusätzlich wird IPv6 unterstützt. Zudem können in einen integrierten DNS-Server verschiedene Zielserver konfiguriert werden, wenn zum Beispiel im Zielnetz kein DNS Server zur Verfügung steht oder wenn das VPNGateway beim Verbindungsaufbau (IKE Config Mode) keine entsprechende Konfiguration an den HOBLink VPN Anywhere Client liefert.

Vielfältige Security-Lösungen aus einer Hand

HOB bietet eine Vielzahl an Security-Lösungen für den sicheren Fernzugriff. Dabei spielen die verschiedenen IT-Security Lösungen von HOB auch perfekt zusammen. Welches Einsatzszenario auch immer gewünscht ist, HOB hat eine entsprechende Lösung parat. Interessante Projekte und Referenzen sind auf der Homepage des Unternehmens zu finden.

(ID:43164674)