24.09.2013
Abhörsicherheit In-a-Box
Die „Secure VPN GovNet Box“ der Firma NCP hat die Sicherheitsfreigabe des Bundesamtes für Sichere Informationstechnik (BSI) erhalten. Die Hardware-Lösung, die NCP zusammen mit dem Fraunhofer SIT entwickelt hat, verschlüsselt die Internet-Kommunikation zwischen Standorten. Fraunhofer SIT war beteiligt an Design und Implementierung des Produkts und unterstützte NCP auch bei der Zertifizierung durch das BSI. Leitgedanke des Projekts war es, Unternehmen und Behörden einen vertraulichen Kommunikationskanal zur Verfügung zu stellen und so wirksam vor Wirtschaftsspionage zu schützen. „Die GovNetBox verwendet modernste Techniken der IT Sicherheit, wie etwa ein hardware-basiertes Schutzkonzept auf Basis von Trusted Computing. Dies ermöglicht höchste Sicherheit und gute Benutzbarkeit“, sagt Dr. Carsten Rudolph, Abteilungsleiter am Fraunhofer SIT. „Die NCP Secure VPN GovNet-Box basiert auf NCPs Next Generation Network Access Technology. Dahinter stehen ausschließlich Eigenentwicklungen – ohne jegliche Hintertüren zu den Spähprogrammen in- und ausländischer Geheimdienste“, sagt Peter Söll, Geschäftsführer der NCP engineering GmbH. Die Projektpartner zeigen die Box vom 8. bis 10. Oktober auf der it-sa in Nürnberg.
Die „NCP Secure VPN-GovNet Box“ ist vom BSI zugelassen für Verschlusssachen für den Dienstgebrauch (VS-NfD). Hierfür waren zahlreiche Vorarbeiten notwendig: Die Mitarbeiter des Instituts haben die Architektur entworfen, die Implementierung mit einem Prototypen unterstützt und NCP auch im weiteren Verlauf sowie bei der Zertifizierung beraten. Um geheime Hintertüren und fehlerhafte Programmierung weitgehend auszuschließen, wurde im Rahmen von Entwicklung und Zulassungsverfahren alle wichtigen Elemente der VPN-Box überprüft, darunter Zufallsgeneratoren, Algorithmen und Software-Libraries.
Die Handhabung ist denkbar einfach: Die Box wird einfach per USB an den Computer angeschlossen und per Ethernet, WLAN oder UMTS mit dem Internet verbunden. Zur Authentisierung steckt der Benutzer seine Smartcard in die Box und gibt auf dem PIN-Pad der Box seine PIN ein. Bei korrekter Eingabe stellt die Box eine verschlüsselte Verbindung zur Gegenstelle auf dem Unternehmensserver her. Solange die Internetverbindung allein über die Box hergestellt wird, sorgt dies für Abhörsicherheit der gesamten Kommunikation. Das Risiko des Missbrauchs oder Diebstahls von Zugangsdaten und PIN über Viren und Trojaner auf dem PC des Benutzers wird minimiert.
Teil der Implementierung ist ein Trusted-Platform-Modul (TPM). Dabei handelt es sich um einen Chip, der im Rahmen von Trusted Computing-Konzepten verwendet wird. Mittels kryptographischer Verfahren prüft der TPM den Zustand von Software und Hardware. Er gewährt den Zugriff auf geheime Schlüssel nur, wenn die Software auf der VPN-Box nicht manipuliert wurde. Andernfalls verweigert er die Schlüssel. Der TPM wird in der Box zum Schutz von Konfigurationsdaten verwendet und hat als passives Element keinen weiteren Einfluss auf das Verhalten der Box. Schnittstellen und Standards für den TPM definiert die von verschiedenen Industrievertretern getriebene Trusted Computing Group.