Hard Disk Encryption (HDE) Schutz sensibler Daten von SB
Transcrição
Hard Disk Encryption (HDE) Schutz sensibler Daten von SB
Terminal Security Hard Disk Encryption (HDE) Schutz sensibler Daten von SB-Systemen D I E VO R T EI L E ▪▪ Verschlüsselung aller Daten auf der Festplattenpartition eines Geldautomaten ▪▪ Schutz der Daten auch im Leerlauf oder Außer betriebnahme ▪▪ Verschlüsselung auf Basis umgebungsgebundener Systemeigenschaften ▪▪ In sich abgeschlossene Lösung, kombinierbar mit einem zentralen Key Management ▪▪ Echtzeit-Verschlüsselung ▪▪ Zentrale Softwareverteilung ▪▪ Nachrüstbar auch in Multivendor-Umgebungen Geldautomaten sind sowohl physischen Attacken wie Sprengungen oder Skimming als auch logischen Angriffen ausgesetzt. Letztere zielen insbesondere auf die Manipulation der SB-Terminal-Software ab, zum Beispiel durch Installation von Schadsoftware, um so etwa sensible Daten des Kartenhalters abzugreifen. Auch Diebstähle von Hardwarekomponenten direkt aus dem Geldautomaten kommen immer häufiger vor. So werden zunehmend Angriffe seitens der Banken verzeichnet, bei denen Kriminelle den Kopf eines Geldautomaten öffnen und die Festplatte oder gar den gesamten PC entwenden. Durch solche Angriffe erhalten Kriminelle nicht nur Zugang zu sensiblen Daten, sondern auch zum Software-Stack des SBTerminals, sodass das Gerät umprogrammiert werden kann. Selbst wenn die Festplatte des Geldautomaten nicht gestohlen wird, ist es eine übliche Vorgehensweise von Kriminellen, das Gerät von einem externen USB-Laufwerk bzw. einer bootfähigen CD zu booten und Schadsoftware auf den PC des Geldautomaten zu laden. Um solche Angriffe zu verhindern, hat Wincor Nixdorf seine Terminal Security Suite um eine Festplattenverschlüsselungs-Lösung (Hard Disk Encryption - HDE) erweitert. Die Verschlüsselung von Festplatten ist ein wirksames Mittel, um den unbefugten Zugriff auf die im PC des Geldautomaten gespeicherten Daten zu verhindern. Ohne den eindeutigen Schlüssel ist es weder möglich, Daten auf die Festplatte zu schreiben, noch die verschlüsselten Daten von einer gestohlenen Festplatte zu lesen. Leistungsmerkmale der Festplattenverschlüsselung Hard Disk Encryption Die Softwarelösung Hard Disk Encryption ermöglicht aufgrund einer maschinenspezifischen Verschlüsselung, dass der Zugriff auf die Festplatte und ihre Nutzung nur in ihrem originalen sicheren Umfeld möglich ist. So können die Daten zum Beispiel bei Diebstahl des PCs oder der Festplatte aus dem Geldautomaten heraus nicht ausgelesen werden. Zudem schützt diese Technologie die Festplattendaten bei Transport, Leerlauf oder Außerbetriebnahme des SB-Systems. Ein wesentlicher Vorteil dabei ist die Verschlüsselung der Daten in Echtzeit. Diese gewährleistet: ▪▪ Transparenz für Betriebssystem und SB-TerminalApplikationen ▪▪ Schutz kritischer Laufzeitdaten (Auslagerungsdateien, etc.) ▪▪ Schutz der Daten auch im Ruhezustand Verschlüsselungsverfahren der Hard Disk Encryption Lösung Als Verschlüsselungsverfahren nutzt die Hard Disk Encryption Lösung eine modulare Struktur, die eine Ver- bzw. Entschlüsselung der vorhandenen Daten auf Basis von verschiedenen Systemmerkmalen wie beispielsweise angeschlossenen USB-Geräten erlaubt. Sobald das System verifiziert werden konnte, ist die Verschlüsselung für alle Applikationen transparent. Sollten jedoch bestimmte Systemmerkmale nicht bestätigt werden können, ist der gesamte Datenbestand der Festplatte nicht mehr zu entschlüsseln. Dadurch ergeben sich mehrere wesentliche Vorteile: ▪▪ Schutz vor Festplatten- / Computer-Diebstahl ▪▪ Schutz vor Datenmodifikationen bei FremdbootSzenarien (CD-ROM etc.) ▪▪ Schutz der Daten bei Außerbetriebnahme der Festplatte Konsequente Erweiterung des Terminal Security Portfolios für einen noch umfassenderen Schutz Ihrer SB-Systeme Die Festplattenverschlüsselungs-Komponente des Terminal Security Portfolios ist eine in sich geschlossene Lösung, die keinen zusätzlichen Key Management Server oder entsprechende Infrastrukturanpassungen erfordert. Kunden, die sich für ein zentrales Key Management entscheiden, steht jetzt die optionale Lösung HDE Central Authentication zur Verfügung (Einzelheiten werden weiter unten beschrieben). Diese Lösung kann von zentraler Stelle aus über ein SoftwareVerteilungssystem wie ProView installiert, konfiguriert und verwaltet werden, wenn die Kundenumgebung über die entsprechende Infrastruktur verfügt. Bereits installierte SB-Systeme können mit der Festplattenverschlüsselungs-Software nachgerüstet werden. Wie die gesamte Terminal Security Software Suite, so ist auch die Festplattenverschlüsselungs-Lösung vollständig Multivendor-fähig. Zentrale Authentifizierung für höchste Sicherheit Optional kann ein zentraler Authentifizierungsmodus - HDE Central Authentication - genutzt werden, der für die Berechnung der Schlüssel zuständig ist. Der Schlüssel wird niemals im PC des Geldautomaten gespeichert, sondern wird bei jedem Neustart des PCs durch den Server bereitgestellt. Daher lässt sich das Betriebssystem auf der verschlüsselten Festplatte des Geldautomaten nur starten, wenn eine Verbindung zum Server innerhalb seines Unternehmensnetzes aufgebaut werden kann. Das Schlüsselmaterial wird über einen sicheren TLS-Kanal vom Server an den PC des Geldautomaten übertragen. Die PC- und ServerZertifikate gewährleisten eine Eins-zu-Eins-Verbindung, die gegen Man-in-the-Middle-Angriffe geschützt ist. Da die Festplatte des Geldautomaten keine relevanten Schlüsseldaten enthält und die Basisinformationen zur Ableitung der Schlüssel nicht im Umfeld des Geldautomaten verfügbar sind, bietet diese Methode den wohl höchsten Grad an Sicherheit. Wincor Nixdorf Werteversprechen Die Festplattenverschlüsselungs-Lösung ist ein ergänzendes Element der SB-Terminal Security Suite und eine ideale Erweiterung zu den Softwareprodukten Intrusion Protection (Schutz vor bekannten und unbekannten Netzwerkgefahren und lokalen Angriffen) und Access Protection (Schutz vor unautorisiertem Zugang zu Windows-Betriebssystemen). Die Suite bietet somit einen umfassenden Schutz vor internen und externen Bedrohungen. Durch die Hard Disk Encryption Lösung werden die sensiblen Daten der SB-Terminals vor Manipulation und Diebstahl effektiv geschützt und potenzielle Sicherheitslücken eines externen Key Managements umgangen. Die Vorteile sprechen für sich: ▪▪ eigenständige, umgebungsgebundene Festplattenverschlüsselung, ▪▪ es entstehen keine Zusatzkosten für den externen Betrieb, ▪▪ es sind keine Infrastrukturänderungen im Umfeld erforderlich, ▪▪ die Wartung ist einfach, ▪▪ geringer Footprint wie bei allen Terminal Security Produkten Herausgegeben von Wincor Nixdorf International GmbH Heinz-Nixdorf-Ring 1 33106 Paderborn Deutschland Tel.:+49 (0) 52 51 / 6 93-3301 Fax: +49 (0) 52 51 / 6 93-5918 [email protected] www.wincor-nixdorf.com © Wincor Nixdorf International GmbH Gedruckt in Deutschland, Januar 2015