Hard Disk Encryption (HDE) Schutz sensibler Daten von SB

Terminal Security
Hard Disk Encryption (HDE)
Schutz sensibler Daten von SB-Systemen
D I E VO R T EI L E
▪▪ Verschlüsselung aller Daten auf der Festplattenpartition eines Geldautomaten
▪▪ Schutz der Daten auch im Leerlauf oder Außer­
betriebnahme
▪▪ Verschlüsselung auf Basis umgebungsgebundener Systemeigenschaften
▪▪ In sich abgeschlossene Lösung, kombinierbar mit
einem zentralen Key Management
▪▪ Echtzeit-Verschlüsselung
▪▪ Zentrale Softwareverteilung
▪▪ Nachrüstbar auch in Multivendor-Umgebungen
Geldautomaten sind sowohl physischen Attacken
wie Sprengungen oder Skimming als auch logischen
Angriffen ausgesetzt. Letztere zielen insbesondere auf
die Manipulation der SB-Terminal-Software ab, zum
Beispiel durch Installation von Schadsoftware, um so
etwa sensible Daten des Kartenhalters abzugreifen.
Auch Diebstähle von Hardwarekomponenten direkt
aus dem Geldautomaten kommen immer häufiger vor.
So werden zunehmend Angriffe seitens der Banken
verzeichnet, bei denen Kriminelle den Kopf eines
Geldautomaten öffnen und die Festplatte oder gar
den gesamten PC entwenden. Durch solche Angriffe
erhalten Kriminelle nicht nur Zugang zu sensiblen
Daten, sondern auch zum Software-Stack des SBTerminals, sodass das Gerät umprogrammiert werden
kann. Selbst wenn die Festplatte des Geldautomaten
nicht gestohlen wird, ist es eine übliche Vorgehensweise von Kriminellen, das Gerät von einem externen
USB-Laufwerk bzw. einer bootfähigen CD zu booten
und Schadsoftware auf den PC des Geldautomaten zu
laden.
Um solche Angriffe zu verhindern, hat Wincor Nixdorf
seine Terminal Security Suite um eine Festplattenverschlüsselungs-Lösung (Hard Disk Encryption - HDE)
erweitert. Die Verschlüsselung von Festplatten ist
ein wirksames Mittel, um den unbefugten Zugriff auf
die im PC des Geldautomaten gespeicherten Daten
zu verhindern. Ohne den eindeutigen Schlüssel ist es
weder möglich, Daten auf die Festplatte zu schreiben,
noch die verschlüsselten Daten von einer gestohlenen
Festplatte zu lesen.
Leistungsmerkmale der Festplattenverschlüsselung
Hard Disk Encryption
Die Softwarelösung Hard Disk Encryption ermöglicht
aufgrund einer maschinenspezifischen Verschlüsselung,
dass der Zugriff auf die Festplatte und ihre Nutzung
nur in ihrem originalen sicheren Umfeld möglich ist. So
können die Daten zum Beispiel bei Diebstahl des PCs
oder der Festplatte aus dem Geldautomaten heraus nicht
ausgelesen werden. Zudem schützt diese Technologie die
Festplattendaten bei Transport, Leerlauf oder Außerbetriebnahme des SB-Systems.
Ein wesentlicher Vorteil dabei ist die Verschlüsselung der
Daten in Echtzeit. Diese gewährleistet:
▪▪ Transparenz für Betriebssystem und SB-TerminalApplikationen
▪▪ Schutz kritischer Laufzeitdaten (Auslagerungsdateien, etc.)
▪▪ Schutz der Daten auch im Ruhezustand
Verschlüsselungsverfahren der Hard Disk Encryption
Lösung
Als Verschlüsselungsverfahren nutzt die Hard Disk
Encryption Lösung eine modulare Struktur, die eine
Ver- bzw. Entschlüsselung der vorhandenen Daten auf
Basis von verschiedenen Systemmerkmalen wie beispielsweise angeschlossenen USB-Geräten erlaubt.
Sobald das System verifiziert werden konnte, ist die
Verschlüsselung für alle Applikationen transparent.
Sollten jedoch bestimmte Systemmerkmale nicht bestätigt werden können, ist der gesamte Datenbestand
der Festplatte nicht mehr zu entschlüsseln. Dadurch
ergeben sich mehrere wesentliche Vorteile:
▪▪ Schutz vor Festplatten- / Computer-Diebstahl
▪▪ Schutz vor Datenmodifikationen bei FremdbootSzenarien (CD-ROM etc.)
▪▪ Schutz der Daten bei Außerbetriebnahme der
Festplatte
Konsequente Erweiterung des Terminal Security
Portfolios für einen noch umfassenderen Schutz Ihrer
SB-Systeme
Die Festplattenverschlüsselungs-Komponente des
Terminal Security Portfolios ist eine in sich geschlossene Lösung, die keinen zusätzlichen Key Management
Server oder entsprechende Infrastrukturanpassungen
erfordert. Kunden, die sich für ein zentrales Key
Management entscheiden, steht jetzt die optionale
Lösung HDE Central Authentication zur Verfügung
(Einzelheiten werden weiter unten beschrieben). Diese
Lösung kann von zentraler Stelle aus über ein SoftwareVerteilungssystem wie ProView installiert, konfiguriert
und verwaltet werden, wenn die Kundenumgebung
über die entsprechende Infrastruktur verfügt. Bereits
installierte SB-Systeme können mit der Festplattenverschlüsselungs-Software nachgerüstet werden. Wie die
gesamte Terminal Security Software Suite, so ist auch
die Festplattenverschlüsselungs-Lösung vollständig
Multivendor-fähig.
Zentrale Authentifizierung für höchste Sicherheit
Optional kann ein zentraler Authentifizierungsmodus
- HDE Central Authentication - genutzt werden, der
für die Berechnung der Schlüssel zuständig ist. Der
Schlüssel wird niemals im PC des Geldautomaten
gespeichert, sondern wird bei jedem Neustart des PCs
durch den Server bereitgestellt. Daher lässt sich das
Betriebssystem auf der verschlüsselten Festplatte des
Geldautomaten nur starten, wenn eine Verbindung
zum Server innerhalb seines Unternehmensnetzes
aufgebaut werden kann. Das Schlüsselmaterial wird
über einen sicheren TLS-Kanal vom Server an den PC
des Geldautomaten übertragen. Die PC- und ServerZertifikate gewährleisten eine Eins-zu-Eins-Verbindung,
die gegen Man-in-the-Middle-Angriffe geschützt ist.
Da die Festplatte des Geldautomaten keine relevanten
Schlüsseldaten enthält und die Basisinformationen zur
Ableitung der Schlüssel nicht im Umfeld des Geldautomaten verfügbar sind, bietet diese Methode den wohl
höchsten Grad an Sicherheit.
Wincor Nixdorf Werteversprechen
Die Festplattenverschlüsselungs-Lösung ist ein ergänzendes Element
der SB-Terminal Security Suite und eine ideale Erweiterung zu den Softwareprodukten Intrusion Protection (Schutz vor bekannten und unbekannten Netzwerkgefahren und lokalen Angriffen) und Access Protection
(Schutz vor unautorisiertem Zugang zu Windows-Betriebssystemen).
Die Suite bietet somit einen umfassenden Schutz vor internen und
externen Bedrohungen.
Durch die Hard Disk Encryption Lösung werden die sensiblen Daten der
SB-Terminals vor Manipulation und Diebstahl effektiv geschützt und
potenzielle Sicherheitslücken eines externen Key Managements umgangen.
Die Vorteile sprechen für sich:
▪▪ eigenständige, umgebungsgebundene Festplattenverschlüsselung,
▪▪ es entstehen keine Zusatzkosten für den externen Betrieb,
▪▪ es sind keine Infrastrukturänderungen im Umfeld erforderlich,
▪▪ die Wartung ist einfach,
▪▪ geringer Footprint wie bei allen Terminal Security Produkten
Herausgegeben von
Wincor Nixdorf International GmbH
Heinz-Nixdorf-Ring 1
33106 Paderborn
Deutschland
Tel.:+49 (0) 52 51 / 6 93-3301
Fax: +49 (0) 52 51 / 6 93-5918
[email protected]
www.wincor-nixdorf.com
© Wincor Nixdorf International GmbH
Gedruckt in Deutschland, Januar 2015