Anwendungsbereiche

Die Eigenschaften der Kobra VS-Datenträger (Kobra Stick VS und Kobra Drive VS) bieten umfangreiche Möglichkeiten für die sichere Speicherung, Archivierung und Übermittlung sensibler, personenbezogener und vertraulicher Informationen bis zur Geheimhaltungsstufe VS-NfD.

Die nachfolgenden Einsatz-Szenarien liegen ebenfalls im Geltungsbereich der VS-NfD Zulassung. Abweichungen von den beschriebenen Prozeduren sind mit dem BSI abzustimmen.

Data Defence Zone

  1. Interface control: VID (USB Vendor-ID), PID (Produkt-ID), SN (Serial number), DAK (Device Authentication Key)
  2. Host authentication: HAK (Host authentication key)
  1. Sicherer Austausch von Daten zwischen geschützten Systemen
  2. Hierzu werden auf sämtlichen Host-Systemen durch eine Schnittstellenkontrollsoftware (z.B. Microsoft Gruppenrichtlinien, itWess, ivanti, DriveLock, DeviceLock etc.) mittels der USB-Parameter VID und PID ausschließlich Kobra VS Datenträger zum Anschluss und Datenaustausch berechtigt
  3. Zusätzlich kann über den USB-Parameter Seriennummer der Zugriff auf ausschließlich vordefinierte Kobra VS Datenträger eingeschränkt werden. Durch diese Maßnahme sind bereits die Systeme in der Kobra Data Defence Zone geschützt.

Kobra Connect

  1. Kobra VS-Datenträger können mit Kobra Connect als Smartcard-Reader mit PIN-Pad oder als Authentisierungs-Token genutzt werden
  2. Unterstützung von Host- und Geräte-Authentisierung stellt sicher, dass der Datenträger nur auf autorisierten Systemen funktioniert
  3. Sensible Daten bleiben ausschließlich innerhalb geschützter IT-Umgebungen zugänglich
  4. Bei Verbindung mit höher eingestuften Systemen wechselt der Datenträger automatisch in den schreibgeschützten Modus
  5. Als Boot-Device im Windows-Read-Only-Modus ermöglicht der Datenträger eine portable, unveränderliche und manipulationssichere Systemumgebung

Host-Authentisierung

  1. Administratoren können mit Kobra Connect festlegen, welche Host-Systeme den Kobra VS-Datenträger verwenden dürfen
  2. Sowohl im Datenträger als auch im Host-System wird ein Host Authentication Key (HAK) hinterlegt
  3. Der Datenträger prüft beim Anschließen automatisch, ob das System autorisiert ist, und gibt sich nur dann frei
  4. Nicht autorisierte Systeme bleiben gesperrt, diese Sicherheitseinstellung kann vom Benutzer nicht geändert werden
  5. Selbst bei Verlust oder Diebstahl des VS-Datenträgers sind sensible Daten durch die Host-Authentisierung geschützt

Sicherer mobiler VS-Arbeitsplatz (z.B. Linux, Mac OS und Windows)

  1. Integrierte Stromversorgung ermöglicht Pre-Boot-Authentisierung
  2. Diese Eigenschaft bietet die Möglichkeit, Betriebssysteme verschlüsselt auf KOBRA VS-Datenträgern zu speichern und direkt vom Kobra VS-Datenträger zu starten
  3. Ist sowohl für stationäre als auch mobile Computer geeignet
  4. Für diese Zwecke sind KOBRA VS-Datenträger mit pSLC-Speicher zu empfehlen, um eine möglichst lange Lebensdauer zu gewährleisten
  5. Mit Trennen des Datenträgers vom PC bleiben Daten ausschließlich auf KOBRA VS-Datenträger verschlüsselt gespeichert
Unterstützte Betriebssystem ansehen

Sicherer und einfacher Datentransport

  1. Speichermedium wird vom Administrator für den Zugriff von Absender und Empfänger vorbereitet.
  2. Kostengünstiger Transport durch Paketdienstleister statt eigenes Personal

Geo-Redundante Backups

  1. Schützt Backup-Daten vor unberechtigtem Zugriff
  2. Sichere Backups von projektbezogenen Laptops
  3. Freischaltung mit eigener Smartcard oder Ausweis
  4. VS-Datenträger können geo-redundant an verschiedenen Standorten und Objekten verteilt werden
  5. Im Notfall können Daten oder VMs sofort bereitgestellt werden
  6. Hardware-Schreibschutz sichert die Datenintegrität des Backups
  7. Somit erfolgt der Anschluss an Live-Systeme risikofrei

Verwendung als Datendiode

  1. Aktivierter Schreibschutz gegen unerwünschtes Abfließen von Informationen aus höher eingestuften Systemen auf niedriger eingestufte Systeme
  2. Administrator kann zwei Smartcards definieren: Smartcard 1 für Arbeit im VS-NfD Bereich (lesen und schreiben) und Smartcard 2 für Geheim-Bereich (nur lesen)

Log-Daten aus Fahrzeugen

  1. Log-Daten von Einsatzfahrzeugen (Flugzeuge, Hubschrauber, Nutzfahrzeuge, Schiffe) werden nach Einsatz auf VS-Datenträger gespeichert und für die Auswertung transportiert

Zwei-Faktor-Authentisierung für weitere Anwendungen

  1. Kompatibilität des Kobra VS-Datenträger Smartcard-Readers mit allen CCID-fähigen Softwarelösung
  2. Kobra Smartcard kann mit zusätzlichen Zertifikaten und Schlüsseln über PKI-Lösungen beschrieben werden
  3. Funktion als Smartcard-Reader mit PIN-Pad, Reduzierung der benötigten Hardware-Komponenten für Endanwender
  4. Beispielhafte Einsätze des Kobra VS-Datenträgers umfassen die UEFI Preboot-Authentisierung für softwarebasierte Festplattenverschlüsselungslösungen wie R&S® Trusted Disk oder Utimaco DiskEncrypt VS-NfD, die sichere E-Mail-Verschlüsselung mit Softwareprodukten wie Cryptovision GreenShield oder GnuPG VS-Desktop sowie die Einrichtung sicherer VPN-Verbindungen mit Clients wie R&S® Trusted VPN Client, GenuConnect, NCP VS GovNet Connector oder TheGreenBow.

Read-Only Windows

  1. Aktivierter Schreibschutz gegen unerwünschtes Abfließen von Informationen aus höher eingestuften Systemen in niedriger eingestufte Systeme
  2. Schnelleres Booten durch Flash-Speicher
  3. Keine Änderung der Systemdaten möglich
  4. Verarbeitete Informationen werden zu keinem Zeitpunkt persistent auf dem Kobra VS-Datenträger gespeichert
  5. Einfaches Update der Softwaresysteme durch Austausch der Datenträger per normalem Postversand

Hinterlegung von Quellcode

  1. Auftragsbezogene Softwareentwicklung erfordert sichere Hinterlegung des Quellcodes
  2. Speicherung des Quellcodes auf Kobra VS-Datenträgern
  3. Übergabe des Datenträgers an den Auftraggeber, keine Berge an Papierstapeln notwendig
  4. Hinterlegung der Smartcard bei einem Notar für Zugriffsberechtigung im Bedarfsfall
  5. Sicherung der Investitionen, Betriebskontinuität und Schutz des geistigen Eigentums

Verwendung als verschlüsseltes Boot-Device

  1. Integrierte Stromversorgung ermöglicht Pre-Boot-Authentisierung
  2. Verschlüsselte Installation von Betriebssystemen auf KOBRA VS-Datenträgern
  3. Flexibler Wechsel des Einsatzes von Laptop/PC Einsatzzweck
  4. Für diese Zwecke sind KOBRA VS-Datenträger mit pSLC Speicher zu empfehlen, um eine möglichst lange Lebensdauer zu gewährleisten
  5. Mit Trennen des Datenträgers vom PC bleiben Daten ausschließlich auf KOBRA VS-Datenträger verschlüsselt gespeichert

Migration von Serversystemen

  1. Kobra Drive VS mit bis zu 16TB Speicher auf einem Datenträger
  2. Schützt Daten gegen unbefugte Zugriffe
  3. Bietet volle Kontrolle über sensible und personenbezogene Daten
  4. Mehrere KOBRA VS-Datenträger können mit einer Smartcard bedient werden
  5. Sicherer Transport der Daten an neuen Standort

Secure Software Deployment

  1. Software wird vom Quell-System auf Kobra VS-Datenträger kopiert und zum Einsatzort / Fahrzeug transportiert
  2. Anschließend wird die Software/Firmware auf das Zielsystem übertragen/installiert/aktualisiert
  3. Schutz der Integrität und Vertraulichkeit von Softwaresystemen und Konfigurationen während des Transports, insbesondere bei größeren physischen Distanzen

Airgap Überbrückung

  1. Aktivierter Schreibschutz gegen unerwünschten Informationsabfluss
  2. Der Administrator kann zwei Smartcards definieren: Smartcard 1 für die Arbeit im NATO-Restricted Bereich(lesen und schreiben) und Smartcard 2 für den VS-NfD-Bereich (nur lesen)

Erhöhen des Schutz-Niveaus für Kobra VS-Datenträger im Unternehmen

  1. Der Administrator kann Sicherheitsrichtlinien festlegen, z. B. Anzahl erlaubter Fehlversuche, Time-Out-Zeiten, Lese- oder Löschrechte
  2. Über die Lock-Out-Funktion wird bestimmt, ob die Smartcard nach der Authentisierung im VS-Datenträger verbleiben muss
  3. Benutzer können diese Vorgaben nicht eigenständig ändern

Trennung von Datenträger und Authentifizierungsmerkmalen

  1. Zugriff nur durch Zusammenwirken von drei Personen
  2. Aufteilung der Berechtigungen: Datenträger (X), Smartcard (Y), PIN (Z)
  3. Gemeinsame Datenübernahme am Zielort, kein Einzelzugriff möglich

Verwendung weniger Datenträger bei großem Kundenkreis

  1. Kostengünstiger und sicherer Datentransport mit wenigen Kobra VS-Datenträgern
  2. Individuelle Smartcards pro Anwender mit Seriennummer und öffentlichem Schlüssel in der Datenzentrale hinterlegt
  3. Smartcard-Tabelle pro Datenaustausch neu erstellt, alte Tabelle gelöscht (Admin-PIN erforderlich)
  4. Keine aufwendige Datenlöschung nötig, da alte Daten durch nicht rekonstruierbare Krypto-Schlüssel geschützt sind
  5. Flexible Nutzung beliebiger VS-Datenträger im Unternehmen durch Import der Smartcard-Tabelle

Verwendung weniger Datenträger im Außendienst und bei Behörden

  1. Personalisierte Smartcard mit individuellen kryptografischen Merkmalen für jeden Außendienstmitarbeiter
  2. Vorbereitung des Kobra VS-Datenträgers durch Löschen der alten und Anlegen einer neuen Smartcard-Tabelle
  3. Speicherung der Daten mit eigenen kryptografischen Schlüsseln des Mitarbeiters
  4. Rückgabe und schnelle Wiederbereitstellung des Datenträgers für den nächsten Nutzer, automatische Löschung der alten Daten
  5. Empfehlung zur vorherigen Löschung des aktuellen Krypto-Schlüssels durch den Mitarbeiter

Betreiben mehrerer Datenträger mit nur einer Smartcard

  1. Hinterlegen identischer Smartcard-Informationen auf mehreren Kobra VS-Datenträgern über Kobra Client VS
  2. Nutzung bei Datenvolumen über der Kapazität eines einzelnen Datenträgers durch Verteilung auf mehrere Datenträger
  3. Effizienter Einsatz bei häufigem Datenaustausch, täglicher Versand mit gleicher Smartcard-Tabelle möglich

Verwendung an verschiedenen Betriebssystemen und Smartphones

  1. Betriebssystemunabhängige Nutzung durch Hardware-Verschlüsselung und -Authentisierung, kompatibel mit allen USB-Geräten
  2. Optimierter Stromverbrauch für Einsatz mit Smartphones und Tablets

Verwendung als Authentisierungs-Medium

  1. Sichere Speicherung von Authentisierungsmerkmalen: Benutzernamen, komplexe Passwörter, Zertifikate, Schlüsselpaare
  2. Konfiguration als Read-Only-Datenträger nach Speicherung der Authentisierungsdaten
  3. Freigabe durch Administrator ermöglicht sicheren Zugriff ohne Gefährdung der Unternehmens-IT

Nutzung als Smartcard-Reader mit PIN-Pad

  1. Nutzung als Smartcard-Reader mit PIN-Tastatur oder Authentisierungs-Token mit PIN-Pad
  2. Verwendung der Kobra Infosec Smartcard für E-Mail-Verschlüsselung, VPN-Zugang, Systemanmeldung und 2-Faktor-Authentifizierung
  3. Einsatz von „Kobra Connect“ auf Host-Systemen erforderlich für Smartcard-Reader-Funktion

Integration in bereits vorhandene Smartcard- und PKI-Infrastrukturen

  1. Integration des Kobra VS-Datenträgers möglich bei Nutzung von Smartcards wie Atos CardOS 5.0/5.3 oder anderen VS-NfD-konformen Karten
  2. Einbindung in bestehende PKI-Infrastrukturen von Behörden oder Unternehmen
  3. Nutzung des Mitarbeiterausweises zur Freischaltung des Datenträgers

Integration von bestehenden Softwarelösungen

  1. Weiterverwendung bestehender Softwarelösungen für externe Datenträger
  2. Ergänzende Nutzung zur Erweiterung von Sicherheitseigenschaften und Einsatzmöglichkeiten

Nutzung der VID, PID, SN und DAK zum Schutz von Unternehmensdaten

  1. Kundenspezifische Implementierung von USB Vendor ID (VID) und Product ID (PID) möglich
  2. Eindeutige Zuordnung der Datenträger zu Abteilungen/Nutzergruppen über VID, PID, Seriennummer und DAK, mit optional unterschiedlichen Berechtigungen
  3. Steuerung der USB-Anschlüsse zur Verhinderung unberechtigter Datenträger, ggf. zusätzliche Software erforderlich

Data-Logging

  1. Anschluss an alle informationsverarbeitenden Anlagen, Maschinen und Systeme möglich
  2. Direkte, verschlüsselte Speicherung von Log-Daten ohne vorherige unverschlüsselte Zwischenspeicherung

Kombinierter Einsatz mit Datenschleusen

  1. Einsatz von Datenschleusen wie PROVAIA, itWash, OPSWAT MetaDefender Kiosk, Hunna USB Sanitation System
  2. Prüfung von mobilen Datenträgern vor Übertragung in geschützte Netze
  3. Einschränkung auf bestimmte Kobra VS-Datenträger für den Anschluss an interne Netze
  4. Möglichkeit, Kobra VS-Datenträger nach Prüfung in Read-Only-Modus zu versetzen
  5. Kombination mit Kobra Defence Zone zur Sicherstellung vertrauenswürdiger Netzverbindungen und Blockierung unberechtigter Datenträger

Passwortspeicher

  1. Sicheres Ablegen der Passwort-Datenbank im verschlüsselten Speicher des Kobra VS-Datenträgers
  2. Zugriff nur nach 2-Faktor-Authentisierung über Smartcard und PIN-Eingabe

Schutz sensibler Daten vor versehentlicher oder unbefugter Löschung

  1. Integration eines Benutzers mit Schreibberechtigung für Datenerfassung
  2. Integration eines Benutzers ohne Schreibberechtigung für Transport und Auswertung
  3. Deaktivierung der Funktion „Kann DEK löschen“ für beide Benutzer

Fernverwaltung von VS-Datenträgern mit TOM-System

  1. Zentrales Managementsystem R&S® Trusted Objects Manager (TOM-System) für Daten bis VS-NfD, EU & NATO RESTRICTED
  2. Fernverwaltung von Kobra VS-Datenträgern bei Militär, Behörden und Unternehmen
  3. Zentrale Bereitstellung der Datenträger über Web-Interface und verteilte Endpoints
Zu den Produkten

Windows® ist ein eingetragenes Markenzeichen der Microsoft Corporation.