stand: 15.04 - · pdf filebsi-vsa-10146 report stand: 15.04.2016 report v1.17 seite 2 von 7...
Post on 06-Mar-2018
298 Views
Preview:
TRANSCRIPT
Report
Stand: 15.04.2016
BSI-VSA-10146
Trusted Disk
Version 2.3.10
der
Sirrix AG
BSI-VSA-10146 Report
Stand: 15.04.2016
Report V1.17 Seite 2 von 7
Report_Vorlage Z_V1.17
Vorbemerkung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSI-Gesetz1 und
VS-Anweisung2 die Aufgabe, für IT-Sicherheitsprodukte (Systeme oder Komponenten)
Zulassungen zu erteilen.
Diese Zulassung eines Produktes wird auf Veranlassung eines behördlichen Antragstellers, nach
einer begründeten Bedarfsmeldung und im Einvernehmen mit dem Hersteller durchgeführt.
Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäß den
Richtlinien des BSI.
Die Prüfung wird in der Regel vom BSI durchgeführt.
Das Ergebnis des Verfahrens ist im hier vorliegenden Report zusammengefasst. Hierin als Anhang
enthalten sind die für diese Zulassung gültigen Konstruktionsstände (Anhang 1), sowie die Einsatz-
und Betriebsbedingungen (Anhang 2).
1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom
14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821
2 Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und
organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) vom 31. März 2006
Report BSI-VSA-10146
Stand: 15.04.2016
Report V1.17 Seite 3 von 7
Report_Vorlage Z_V1.17
Inhaltsverzeichnis
1. Grundlagen des Zulassungsverfahrens ......................................................................................... 4
2. Prüfgegenstand ............................................................................................................................. 4
3. Bestehende Zulassungen ............................................................................................................... 4
4. Prüfstelle ....................................................................................................................................... 4
5. Durchführung der Evaluierung und Zulassung ............................................................................. 4
6. Ergebnis der Zulassung ................................................................................................................. 4
7. Gültigkeit der Zulassung ............................................................................................................... 5
8. Internationale Zulassungen ........................................................................................................... 5
8.1. EU .......................................................................................................................................... 5 8.2. NATO .................................................................................................................................... 6
9. Veröffentlichung ........................................................................................................................... 6
10. Hinweise an den Hersteller ....................................................................................................... 7
10.1. Änderungen am zugelassenen Produkt .............................................................................. 7 10.2. Vertrieb .............................................................................................................................. 7
11. Literaturverzeichnis .................................................................................................................. 7
BSI-VSA-10146 Report
Stand: 15.04.2016
Report V1.17 Seite 4 von 7
Report_Vorlage Z_V1.17
1. Grundlagen des Zulassungsverfahrens
Die Zulassungsstelle führt das Verfahren nach Maßgabe der folgenden Vorgaben durch:
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821
Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen
und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA)
vom 31. März 2006
2. Prüfgegenstand
Gegenstand der Zulassung ist das Produkt
Trusted Disk, Version 2.3.10
des Herstellers
Sirrix AG
Im Stadtwald D3 2
66123 Saarbrücken
Deutschland
3. Bestehende Zulassungen
Die Version 1.2 des Produktes Trusted Disk wurde am 04.06.2013 von der Zulassungsstelle unter
der Kennung BSI-Z-VSA-0108-2013 für die Verarbeitung und Übertragung von VS-NfD
eingestuften Informationen erstmalig zugelassen.
Die Zulassung BSI-Z-VSA-0108-2013 ist bis zum Ablauf ihrer Befristung zum 31.12.2016
weiterhin gültig.
4. Prüfstelle
Die Evaluierung wurde vom Bundesamt für Sicherheit in der Informationstechnik, Abteilung KT,
durchgeführt.
5. Durchführung der Evaluierung und Zulassung
Die Evaluierung des Prüfgegenstandes wurde von der oben angegebenen Prüfstelle durchgeführt.
Sie wurde am 30.03.2016 beendet.
Das Verfahren wurde damit beendet, dass das BSI die Übereinstimmung mit den Richtlinien
überprüft und den vorliegenden Report erstellt hat.
6. Ergebnis der Zulassung
Die Zulassung wurde mit Datum vom 15.04.2016 erteilt.
Trusted Disk Version 2.3.10 ist hiermit für die Übertragung und Verarbeitung von nationalen
Verschlusssachen bis einschließlich zum Geheimhaltungsgrad VS - NUR FÜR DEN
DIENSTGEBRAUCH zugelassen.
Report BSI-VSA-10146
Stand: 15.04.2016
Report V1.17 Seite 5 von 7
Report_Vorlage Z_V1.17
7. Gültigkeit der Zulassung
Dieser Report bezieht sich nur auf die angegebene Version des Prüfgegenstandes.
Die Zulassung gilt nur
für die in Anhang 1 (Konstruktionsstände Trusted Disk) aufgeführten oder referenzierten
Konstruktionsstände,
für Produkte, die gemäß Anhang 2 (Einsatz- und Betriebsbedingungen Trusted Disk)
installiert und betrieben werden.
Hierzu sind die Einsatz- und Betriebsbedingungen mit jedem ausgelieferten Produkt dem
Nutzer zur Verfügung zu stellen und ggf. beim Nutzer in vorhandene Dienstanweisungen zu
integrieren. Die Überwachung der wirksamen Umsetzung der Einsatz- und Betriebsbe-
dingungen liegt in der Verantwortung des zuständigen Geheimschutz- bzw. IT-Sicherheits-
beauftragten, des Betreibers und des Anwenders.
Die Zulassung ist befristet bis zum 30.04.2020.
Die Zulassung berücksichtigt die technischen Möglichkeiten zum Zeitpunkt der Ausstellung.
Angriffe, mit neuen oder weiterentwickelten Methoden, die in Zukunft möglich sind, können im
Rahmen dieses Verfahrens nicht berücksichtigt werden. Die Zulassungsstelle befristet daher die
Zulassung, um regelmäßig eine Einschätzung der Widerstandsfähigkeit vornehmen zu können.
8. Internationale Zulassungen
Für diesen Prüfgegenstand liegen folgende internationale Zulassungen vor bzw. werden durch
das BSI erteilt:
8.1. EU
Trusted Disk, Version 2.3.10 erfüllt die EU-Anforderungen, gemäß dem EU „Requirements
Model” für „Strength of Cryptographic Mechanism“ STANDARD1 und ist zugelassen für den
Schutz von EU eingestuften Informationen, in Einsatzszenarien, die mit Kryptomechanismen der
Stärke STANDARD geschützt werden können.
Sofern die vorgegebenen Einsatz- und Betriebsbedingungen eingehalten werden, kann Trusted
Disk, ohne weitere Einschränkung, in allen Einsatzszenarien für den Schutz von RESTREINT
UE / EU RESTRICTED eingestuften Informationen eingesetzt werden.
In allen anderen nationalen Einsatzfällen sind eine Risikobewertung des Einsatzszenarios (Threat
und Impact Level nach dem EU Requirements Model) und die Einhaltung der Vorgaben zur
Abstrahlsicherheit (d.h. geeignete Hardware, Aufstellungsort und Installation Installation nach
IASG 7-01, IASG 7-02 und IASG 7-03)2 erforderlich.
1 Vgl. EU Council 10745/11 – IASP 2 – Information Assurance Security Policy on Cryptography, 30 May 2011,
RESTREINT UE/EU RESTRICTED 2 Vgl. IASG 7-01: European Union, IASG 7-01 IA Security Guidelines on Selection and Installation of TEMPEST
Equipment, RESTREINT UE/EU RESTRICTED
IASG 7-02: European Union, IASG 7-02 IA Security Guidelines on TEMPEST Zoning Procedures,
RESTREINT UE/EU RESTRICTED
IASG 7-03: European Union, IASG 7-03 IA Security Guidelines on EU TEMPEST Requirements and
Evaluation Procedures, CONFIDENTIEL UE/EU CONFIDENTIAL
BSI-VSA-10146 Report
Stand: 15.04.2016
Report V1.17 Seite 6 von 7
Report_Vorlage Z_V1.17
Diese ist von der nationalen Crypto Approval Authority (CAA) und der zuständigen Security
Accreditation Authority (SAA) zu prüfen. Ein Einsatz kann, bei Einhaltung der EU-
Anforderungen und nach positiver Prüfung, durch CAA und SAA genehmigt werden.
Die Aufgaben einer CAA werden in Deutschland vom BSI wahrgenommen, die einer SAA vom
BMI, wobei technische Anfragen, wie z.B. zur Prüfung und Genehmigung einer
Risikobewertung, ebenfalls an das BSI zu richten sind.
Soll das Produkt im Rat der EU oder einer anderen EU-Organisation benutzt werden, ist eine
Zweitevaluierung durch eine Appropriately Qualified Authority (AQUA) und eine Zulassung
durch den Rat erforderlich (EU-Vorschrift 2013/488/EU). Diese Zulassung liegt derzeit nicht vor.
8.2. NATO
Trusted Disk, Version 2.3.10 erfüllt die NATO-Anforderungen, gemäß dem NATO
„Requirements Model” für „Strength of Mechanism“ STANDARD3 und ist zugelassen für den
Schutz von NATO eingestuften Informationen, in Einsatzszenarien, die mit Kryptomechanismen
der Stärke STANDARD geschützt werden können.
Sofern die vorgegebenen Einsatz- und Betriebsbedingungen eingehalten werden, kann Trusted
Disk, ohne weitere Einschränkung, in allen Einsatzszenarien für den Schutz von NATO
RESTRICTED4 eingestuften Informationen eingesetzt werden.
In allen anderen nationalen Einsatzfällen sind eine Risikobewertung des Einsatzszenarios (Threat
und Impact Level nach dem NATO Requirements Model) und die Einhaltung der NATO-
Regularien zur Abstrahlsicherheit (d.h. geeignete Hardware, Aufstellungsort und Installation
nach SDIP 27, 28 und 29)5 erforderlich.
Diese ist von der National Communications Security Authority (NCSA) und der zuständigen
Security Accreditation Authority (SAA) zu prüfen. Ein Einsatz kann, bei Einhaltung der NATO
Anforderungen und nach positiver Prüfung, durch NCSA und SAA genehmigt werden.
Die Aufgaben einer NCSA werden in Deutschland vom BSI wahrgenommen, die einer SAA vom
BMI, wobei technische Anfragen, wie z.B. zur Prüfung und Genehmigung einer
Risikobewertung, ebenfalls an das BSI zu richten sind.
9. Veröffentlichung
Das Produkt Trusted Disk, Version 2.3.10 wird in die nächste aktualisierte Ausgabe der „Liste
der zugelassenen IT-Sicherheitsprodukte und -Systeme“ (BSI 7164) aufgenommen. Die BSI-
Druckschrift 7164 kann von behördlichen Bedarfsträgern beim BSI angefordert werden.
3 Vgl. AC/322-D/0047-REV2 – INFOSEC Technical and Implementation Directive on Cryptographic Security and
Cryptographic Mechanisms, NATO RESTRICTED
4 Für einen Einsatz mit Geheimhaltungsgrad „NATO-SECRET“ oder höher ist eine erfolgreiche Zweitevaluierung
durch die zuständige NATO-Behörde und eine Zulassung durch das NATO Military Committee (NAMILCOM)
erforderlich. 5 Vgl. SDIP 27 – NATO TEMPEST Requirements and Evaluation Procedures, NATO CONFIDENTIAL
SDIP 28 – NATO Zoning Procedures, NATO RESTRICTED
SDIP 29 – Selection and Installation of Equipment for the Processing of Classified Information, NATO
RESTRICTED
Report BSI-VSA-10146
Stand: 15.04.2016
Report V1.17 Seite 7 von 7
Report_Vorlage Z_V1.17
10. Hinweise an den Hersteller
10.1. Änderungen am zugelassenen Produkt
Im Falle von Änderungen an der evaluierten Version des Produktes kann die Gültigkeit auf neue
Versionen ausgedehnt werden, sofern für das geänderte Produkt ein entsprechender Antrag durch
die behördlichen Bedarfsträger gestellt wird und die Evaluierung keine sicherheitstechnischen
Mängel ergibt.
10.2. Vertrieb
Zugelassene Kryptosysteme und deren Komponenten unterliegen einem eingeschränkten
Vertrieb.
Der Export von zugelassenen Kryptosystemen und deren Komponenten unterliegt der deutschen
Exportgesetzgebung und bedarf grundsätzlich der Zustimmung der zuständigen Stellen.
11. Literaturverzeichnis
[BSI-Gesetz, 2009]
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821
[IT-Grundschutz-Kataloge, 2008]
Webseite des BSI,
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
[Verschlusssachenanweisung, 2006]
Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen
und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA)
vom 31. März 2006
[EU-Council Security Rules, CSR]
COUNCIL DECISION of 23 September 2013 on the security rules for protecting EU
classified information (2013/488/EU)
[NATO C-M(2002)49, 2002]
Security within the North Atlantic Treaty Organisation vom 26. März 2002
BSI-VSA-10146 Anhang 1
Stand: 15.04.2016
Anhang 1 V1.6 Seite 1 von 3
Anhang1_Vorlage V1.6
Konstruktionsstände
Trusted Disk Version 2.3.10
BSI-VSA-10146
Anhang 1 BSI-VSA-10146
Stand: 15.04.2016
Anhang 1 V1.6 Seite 2 von 3
Anhang1_Vorlage V1.6
1 Konstruktionsstand Trusted Disk
1.1 Zugelassene Software
Die Zulassung gilt für das Produkt Trusted Disk in der Version 2.3.10.
1.2 Weitere Komponenten
1.2.1 Smartcard
Für den Betrieb wird eine Smartcard benötigt, deren Verwendung zusammen mit Trusted Disk
vom BSI freigegeben wird. Aktuell handelt es um die Smartcard des Types SLE 66CX680PE mit
CardOS 4.4, die vom Hersteller mit ausgeliefert wird. Weitere Freigaben können andere
Smartcards mit einbeziehen.
1.2.2 TrustedIdentity Manager
Zum Zeitpunkt der Zulassung ist der TrustedIdentity Manager Version 3.0 freigegeben.
Weitere Freigaben können andere Versionen des TrustedIdentity Manger beinhalten.
1.2.3 Trusted Object Manager
Zum Zeitpunkt der Zulassung alle Versionen des Trusted Object Manager (TOM) freigegeben,
die die folgenden für den Betrieb von Trusted Disk erforderlichen Module enthalten:
Sirrix.TrustedDisc Module 1.1.(4)
Smartcard Management 1.2.(5)
Sobald eines dieser beiden Module aktualisiert wird, muss der Trusted Object Manager erneut
freigegeben werden.
BSI-VSA-10146 Anhang 1
Stand: 15.04.2016
Anhang 1 V1.6 Seite 3 von 3
Anhang1_Vorlage V1.6
1.3 Auslieferungszustände
Zur Installation von Trusted Disk müssen Software-Module installiert werden. die die folgenden
SHA-256 Hashwerte besitzen:
1.3.1 TrustedWorkstation Agent: 2.3.(1):
TrustedWorkstationAgentSetup.msi. DA27BE886C85483B2E670D054219570AB9F91E69B8D65665D65A25AF5CB697AB
1.3.2 TrustedDisk: 2.3.10
TrustedDiskSetup.msi: 8F2595CA7BBA4CA420259121CFBDFF4446063659F7EDAAE6D6A19F465474F7F4
TDCryptoHelper Setup 2.3.10.exe: 396FA57363EBBD1D93CC7CC6EB0E5B070D54D0B9F552E4227C6551156A4C0D79
1.3.3 TrustedIdentity Manager Standalone 3.0.(0)
TrustedIdentityManagerStandaloneSetup.msi: 9DCB81507CE4C45CC2BCC3D45223E561F777A7012ED030B2C1E2061B89EA5083
1.3.4 TrustedIdentity Manager 3.0.(8)
TrustedIdentityManagerSetupCertificate.msi: EEE46946D761C5844BBFB6900EEA5545A65BAF66EDD4C60F2AE55482E1E72B90
TrustedIdentityManagerSetupCredentials.msi: 5330773B4CA47D498ABFD2BC6913EB499BE4663A74AE378D7B32203FDC2B8F49
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 1 von 13
Anhang2_Vorlage V1.6
Einsatz- und Betriebsbedingungen
Trusted Disk Version 2.3.10
BSI-VSA-10146
Anhang 2 BSI-VSA-10146
Stand: 15.04.2016
Anhang 2 V1.6 Seite 2 von 13
Anhang2_Vorlage V1.6
Vorbemerkung
IT-Systeme sind im täglichen Betrieb grundsätzlichen Bedrohungen und Risiken durch ihre
Interaktion mit der Umwelt ausgesetzt. Diese Bedrohungen wirken nicht nur direkt auf die IT-
Systeme, sondern zielen insbesondere auf die Kompromittierung der mit den IT-Systemen
verarbeiteten und übertragenen Informationen ab.
Auch nach Konzeption und Umsetzung von entsprechenden Sicherheitsmaßnahmen (z.B. nach IT-
Grundschutzhandbuch), die existierende Risiken minimieren können, bleiben eine Reihe von
Restrisiken bestehen, die im Folgenden kurz aufgezeigt werden.
IT-Systeme (Hardware und Software) unterliegen meist kurzen Innovationszyklen, die es notwendig
machen, Hardware-Upgrades vorzunehmen oder neue Software zu installieren. Ein bestehendes
System wird dadurch verändert. Die bisherigen Sicherheitsmaßnahmen können hierdurch ihre
Wirksamkeit verlieren. Es können neue Fehler in das System eingebracht werden, die zunächst
nicht offensichtlich sind (z.B. gibt es keine fehlerfreie Software). Somit können neue Bedrohungen
entstehen, die nicht durch die bestehenden Sicherheitsmaßnahmen abgedeckt werden.
Durch die Einbindung in ein größeres IT-Umfeld (z.B. LAN, Intranet) ist das betrachtete IT-System
Bedrohungen ausgesetzt, auf die man im Allgemeinen nur bedingt Einfluss ausüben kann (z.B.
erkennt ein Virenscanner immer nur die ihm bekannten Viren). Auch dieses IT-Umfeld entwickelt
sich weiter (z.B. entstehen neue Viren), sodass hier neue Bedrohungen entstehen können, auf die
man entsprechend reagieren muss.
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 3 von 13
Anhang2_Vorlage V1.6
Inhaltsverzeichnis
1 Zielstellung ................................................................................................................................... 4
2 Verantwortlichkeiten ..................................................................................................................... 4
3 Richtlinien ..................................................................................................................................... 4
4 Szenario ........................................................................................................................................ 4 4.1 Rahmenbedingungen ..................................................... Fehler! Textmarke nicht definiert. 4.2 Beschreibung ......................................................................................................................... 4
5 Einstufung ..................................................................................................................................... 8
6 Transport und Aufbewahrung ....................................................................................................... 8
7 Administration, Installation und Konfiguration ........................................................................... 8
8 Betrieb ........................................................................................................................................... 9
9 Wartung / Instandsetzung............................................................................................................ 11
10 Vernichtung / Aussonderung ................................................................................................... 12
11 Sicherheitsvorkommnisse ....................................................................................................... 12
12 Kontakt .................................................................................................................................... 12
Anhang 2 BSI-VSA-10146
Stand: 15.04.2016
Anhang 2 V1.6 Seite 4 von 13
Anhang2_Vorlage V1.6
1 Zielstellung
Ziel des vorliegenden Dokumentes ist es, dem Nutzer (Sicherheitsadministrator, Anwender) von
Trusted Disk sicherheitsrelevante Hinweise für die Handhabung des Systems zu geben.
Die Hinweise basieren auf der gültigen Fassung der Verschlusssachenanweisung (VSA). Sie sind
mit jedem ausgelieferten Produkt dem Nutzer zur Verfügung zu stellen und ggf. beim
Bedarfsträger in vorhandene Dienstanweisungen zu integrieren (Aufgabe des Geheimschutz-
bzw. IT-Sicherheitsbeauftragten).
2 Verantwortlichkeiten
Das Dokument richtet sich insbesondere an Personen, die in ihrer Organisation für die IT-
Sicherheit zuständig sind (im Allgemeinen der IT-Sicherheitsbeauftragte). Sie sind dafür
verantwortlich, dass eine entsprechende Dienstanweisung mit den hier aufgeführten Maßnahmen
erstellt wird, bzw. dass diese Vorgaben in die in der jeweiligen Organisation vorhandenen
Regelungen und Dienstanweisungen integriert und die Maßnahmen anschließend umgesetzt
werden.
Natürlich wird auch der Nutzer adressiert, da er die IT-Sicherheit in seiner Organisation
praktizieren muss. Deshalb müssen die entsprechenden Dienstanweisungen dem Nutzer in
geeigneter Weise zur Kenntnis gegeben werden.
3 Richtlinien
Bei der VS-Verarbeitung sind grundsätzlich die einschlägigen VS-Bestimmungen, insbesondere
die VSA anzuwenden. Entsprechende Richtlinien der Ressorts1 sind sinngemäß umzusetzen.
Die jeweiligen Regularien zur Abstrahlsicherheit müssen bei der Installation, Inbetriebnahme,
Betrieb, Administration sowie Wartungs- und Instandsetzungsarbeiten eingehalten werden. Dies
sind u.a. die VSA und ihre Ausführungsbestimmungen für nationale Verschlusssachen (VS)
sowie die ZDV A-960/1 und A-962/1für den Bereich der Bundeswehr, bzw. SDIP 27, 28 und 29
für den NATO-VS und die IASG7-x Dokumente für EU-VS.
4 Szenario
4.1 Beschreibung
Bei dem Produkt Trusted Disk handelt es sich um eine Festplattenverschlüsselungssoftware,
welche mehrbenutzerfähig ist. In Verbindung mit einer entsprechenden Smartcard ermöglicht
Trusted Disk das Verschlüsseln von Partitionen mit eingestuften Daten bis zum Einstufungsgrad
VS-NfD (Daten sind im ausgeschalteten Zustand verschlüsselt) sowie das Verschlüsseln von
mobilen Datenträgern (bspw. USB-Sticks). Dadurch wird der Schutz der Vertraulichkeit von
sensiblen Daten bzw. Verschlusssachen auf Datenträgern im Falle eines Verlustes gewährleistet,
1 So sind z.B. im Bereich der Bundeswehr insbesondere die dort geltenden Vorschriften (z.B. ZDv 2/30, ZDv A-
960/1, ZDv A-962/1) zu beachten.
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 5 von 13
Anhang2_Vorlage V1.6
sofern das System ausgeschaltet ist.
Für die Verschlüsselung und die Entschlüsselung eines Systems ist die Nutzung einer Smartcard
mit PIN notwendig. Um einen Verlust der Zugriffsmöglichkeit auf die Daten zu verhindern,
sollten die Benutzer oder der Systemverwalter eine Ersatzkarte besitzen. Ersatzkarten sind
ständig sicher aufzubewahren.
Ein mit Trusted Disk geschützter Computer darf Stand-Alone oder in dem (der Organisation
zugehörigen) sicheren, für VS-NfD freigegebenen Netz2 betrieben werden. Ist der Computer in
ein Netzwerk eingebunden, muss jederzeit sichergestellt sein, dass das Installieren oder
Einschleusen von Schadcode verhindert wird.
Zur Aktivierung der Sicherheitsleistung („Schutz der VS“, siehe Anwendungsfälle unten) ist der
Computer auszuschalten bzw. muss das aktive Gerät geschlossen werden. Dies kann durch
Auswahl der Menüpunkte "Herunterfahren" (Shutdown) oder "Ruhezustand" (Hibernation) im
Windows-Startmenu geschehen. Ein Schutz der gespeicherten Verschlusssachen wird durch den
Energiesparmodus, das Sperren des Gerätes oder das Ziehen der Smartcard nicht gewährleistet.
Es werden folgende Anwendungsfälle unterstützt:
Schutz von VS an einem stationären VS-Arbeitsplatz
Sicherheitsleistung: Vertraulichkeit der VS in der Zeit, in der das System abgeschaltet ist
Schutz von VS an einem mobilen VS-Arbeitsplatz
Sicherheitsleistung: Vertraulichkeit der VS in der Zeit, in der das System abgeschaltet ist
Schutz der VS auf inaktiven VS-Datenträgern bei Verbringung
Schutz der VS bei Verlust durch Abhandenkommen / Diebstahl des ausgeschalteten
Systems
Sicheres Löschen von Datenträgern mit VS
„Schutz der VS“ bedeutet hier stets „Schutz der Vertraulichkeit der VS“. Die Authentizität und
Integrität gespeicherter VS wird auch bei einem verschlüsselten Datenträger im ausgeschalteten
Zustand nicht in jeder Situation sichergestellt.
Wird das verschlüsselte System unbeaufsichtigt in einer ungesicherten Umgebung belassen, dann
besteht auch im ausgeschalteten Zustand insbesondere die Möglichkeit einer Manipulation des
Bootsektors. Es sollte daher grundsätzlich vermieden werden, dass Unbefugte unbeaufsichtigten
Zugang zu einem verschlüsselten Trusted Disk-Volume erhalten.
Durch Trusted Disk wird ein sogenannter Stealth-Modus angeboten. Der Stealth-Modus ist eine
optional konfigurierbare Funktionalität des Trusted Disk-Bootloaders. In diesem Modus können
auf einer Festplatte mehrere voneinander unabhängige verschlüsselte und unverschlüsselte
Partitionen eingerichtet werden, auf denen jeweils auch ein Betriebssystem (in aller Regel
vorgesehen Microsoft Windows) installiert werden kann. Beim Systemstart kann im Bootloader
ausgewählt werden, welche dieser Systempartitionen gestartet werden soll. Ist im Stealth-Modus
keine Smartcard angeschlossen, dann wird durch den Bootloader grundsätzlich ohne
Benutzerinteraktion das auf einer bestimmten unverschlüsselten Partition liegende
Betriebssystem gestartet.
2 Z. B. erfüllt der Aufbau und Betrieb des Netzes die Vorgaben der Anlage 4 des Geheimschutzhandbuchs (Merkblatt
für die Behandlung von Verschlusssachen) und es liegt eine Freigabe durch den Verantwortlichen vor. Das
Geheimschutzhandbuch ist auf den Internetseiten des BMWi in der aktuellen Fassung herunterladbar.
Anhang 2 BSI-VSA-10146
Stand: 15.04.2016
Anhang 2 V1.6 Seite 6 von 13
Anhang2_Vorlage V1.6
Das verschlüsselte Betriebssystem wird dabei so konfiguriert, dass ein Zugriff von der
verschlüsselten Partition auf die unverschlüsselte Partition nur mit Administratorprivilegien
möglich ist. Entsprechend muss auch die unverschlüsselte Windows-Partition so konfiguriert
werden, dass die Existenz einer zweiten, verschlüsselten Partition für einen Benutzer ohne
Administratorrechte in dem unverschlüsselten Bereich nicht offensichtlich ist.
Das im Stealth-Modus startbare Windows sowie das BIOS des zu schützenden Rechners müssen
in jedem Fall so konfiguriert werden, dass hinsichtlich des Zugangsschutzes für das auf der
Täuschpartition installierte offene Windows-System und hinsichtlich der Möglichkeit, den
Rechner von einem externen Boot-Medium zu starten, die Bestimmungen der VSA und
insbesondere des VS-NfD-Merkblattes eingehalten werden. Insbesondere sollte das Windows-
System durch ein Passwort geschützt werden.
Der Benutzer muss explizit auf die entsprechenden Inhalte des VS-NfD-Merkblattes hingewiesen
werden. Er muss des Weiteren auf die Restrisiken hingewiesen werden, die sich aus einer
Aktivierung des auf der Täuschpartition installierten Betriebssystems durch Unbefugte ergeben
können.
Eine Nutzung der Täuschpartition aus dem zu schützenden System heraus ist unzulässig. Die
Täuschpartition darf nur für den vorgesehenen Anwendungsfall verwendet werden (erzwungenes
Booten durch Drittpartei). Falls dieser Anwendungsfall eintritt, muss der Rechner als
kompromittiert betrachtet werden, sofern eine logische Verbindung zu Rechnersystemen oder
Datenträgern der Drittpartei hergestellt wurde oder dies zu vermuten ist (Beispiel: Beim Zoll
wird die Täuschpartition durch den Zollbeamten ausgelesen.).
Die aus der Nutzung des Stealth-Modus erwachsenen zusätzlichen Restrisiken sind vom Nutzer
zu tragen.
4.2 Zentrales Management
Für den zulassungskonformen Betrieb des Produktes Trusted Disk mit einem zentralen
Management ist eine Freigabe dieser Managementkomponente für diesen Einsatzzweck
zwingend Voraussetzung. Der von der Sirrix AG entwickelte TrustedObjectManager (TOM) ist
eine solche Komponente (s. Konstruktionsstand). Dabei sind die folgenden Bedingungen zu
beachten:
Der TOM kann entweder in einem abgeschotteten, physikalisch zugriffsgesicherten Netzwerk
ohne Online-Anbindung der Clients oder mit Netzverbindung zu den gemanagten Trusted Disk
Clients über das NfD-Netz des Betreibers betrieben werden.
Mit einem abgeschotteten, physikalisch zugriffsgesicherten Netzwerk ist ein Netzwerk gemeint,
das keinen Netzübergang und keine online-Verbindung zu den Client-Systemen oder
Komponenten außerhalb einer eng definierten kontrollierten Umgebung unterhält. Solche
Netzwerke finden sich z.B. in der zentralen IT-Administration zur Installation von neuen
Systemen und sind nur vor Ort zugänglich.
Sollte der TOM nicht in einem solchen abgeschotteten Netz betrieben werden, ist dieser in einem
für den Schutz und die Handhabung von Daten mit der maximalen Einstufung VS-NUR FÜR
DEN DIENSTGEBRAUCH ausgelegten und freigegebenen Netz zu betreiben. Hierbei sind
Vertraulichkeit, Integrität und Authentizität der in dem Netzwerk übertragenen, eingestuften
Informationen auf Übertragungsebene sicherzustellen und es ist zu verhindern, dass an
Netzübergängen ein Abfluss eingestufter Information oder eine Manipulation bestehender
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 7 von 13
Anhang2_Vorlage V1.6
Informationen im gesicherten Netzwerk stattfindet. Die vom Trusted Objects Manager
beziehungsweise den Trusted Workstation Agents an das Netzwerk übergebenen Daten sind als
eingestufte Daten zu behandeln. Folgendes ist sicherzustellen:
1. Das Netzwerk, in dem der TOM betrieben wird, ist für die Übermittlung von VS-NfD
eingestuften Informationen freigegeben. Der Betreiber muss sicherstellen, dass alle
Komponenten dieses Netzwerkes zuverlässig funktionieren und nicht durch Angreifer
kompromittiert worden sind. Der durch die Managementkomponente von Trusted Disk
erzeugte Netzwerkverkehr (sowohl Client- als auch Serverseite) ist als VS – NfD eingestuft
zu behandeln. Insbesondere muss ein entsprechender Schutz dieses Datenverkehrs
hinsichtlich der Eigenschaften Vertraulichkeit, Integrität und Authentizität gewährleistet
werden, der diesem Einstufungsgrad entspricht. Der Betreiber muss sicherstellen, dass der
durch den TOM und die Trusted Workstation Agents erzeugte Netzwerkverkehr durch das
Netzwerk als eingestuftes Material behandelt wird (z.B. an Netzwerkübergängen).
Bei der Umsetzung der obigen Bestimmungen sind auch temporär in das Netzwerk
eingebrachte Netzwerkkomponenten oder Rechnersysteme gegebenenfalls als Bedrohung zu
berücksichtigen (Besucher, externes Wartungspersonal, etc.).
2. Durch Trusted Disk geschützte Computer werden außerhalb des Netzwerkes des Betreibers
ausschließlich und durchgängig unvernetzt genutzt. Alle Netzwerkschnittstellen sind
abzuschalten, wenn der Rechner außerhalb des Netzwerkes des Betreibers verwendet werden
soll.
3. Der physische Zugang zum TOM wird durch entsprechende organisatorische Maßnahmen
auf Administratoren und Wartungspersonal unter Aufsicht von Administratoren beschränkt.
4. Logischer Zugang zum Administrations-Interface des TOM besteht nur aus einem speziell
gesicherten Teilnetzwerk des Betreiber-Netzwerkes (im folgenden kurz als Admin-Netz
bezeichnet), das mit dem Rest des Netzwerkes physisch nur über den Administrationsrechner
verbunden ist und das logisch vom Rest dieses Netzwerkes getrennt ist. Alle Komponenten
des Admin-Netzes sind gegen physischen Zugriff durch nicht autorisierte Personen zu
sichern (autorisierte Personen sind Trusted Disk Administratoren und Wartungspersonal unter
Aufsicht von Administratoren).
5. Ein unautorisierter Zugriff auf die im TOM vorhandene PUK-Datenbank wird als
Sicherheitsvorfall aufgefasst, dessen Bedeutung der unautorisierten Offenlegung von VS-
NfD eingestuftem Material entspricht. Daher ist diese Datenbank entsprechend zu behandeln.
6. Jeder neue Client muss nach der erstmaligen Anmeldung bei dem TOM einzeln durch den
Administrator überprüft und akzeptiert werden.
7. Jeder Client darf zu einem Zeitpunkt nur mit einem TOM verbunden sein, sodass nur ein
aktiver TOM im gesamten Netzwerk existieren darf. Erlaubt ist der Betrieb einer inaktiven
Instanz eines TOM, die ausschließlich als Standby-Gerät dient. Das Standby-Gerät muss sich
in demselben Netz befinden wie der aktive TOM. Dabei ist das Standby-Gerät logisch gegen
Datenverkehr zu anderen Netzwerkkomponenten als dem aktiven TOM abzusichern, solange
das Standby-Gerät nicht aktiv geschaltet werden soll. Weiterhin gelten für die Standby-
Instanz dieselben Anforderungen an die Sicherheit der Netzwerkumgebung und der
physischen Umgebung wie für die aktive Instanz. Im Falle des Umschaltens von der aktiven
auf die Standby-Instanz muss durch einen Administrator sichergestellt sein, dass jeder
Client erst dann eine neue Verbindung aufbaut, nachdem die Verbindung zur aktiven Instanz
durch Trennung derselben vom Netz abgebrochen wurde. Durch entsprechende
Konfiguration der Client-Systeme muss sichergestellt werden, dass Clients lediglich
entweder eine Verbindung zu der aktiven oder der Standby-Instanz aufbauen können.
Anhang 2 BSI-VSA-10146
Stand: 15.04.2016
Anhang 2 V1.6 Seite 8 von 13
Anhang2_Vorlage V1.6
8. Sicherheitsleistungen zum Schutz von Vertraulichkeit und Integrität übertragener oder
gespeicherter Informationen dürfen nur von zugelassenen Komponenten erbracht werden.
Der TOM ist keine in diesem Sinne zugelassene Komponente. Die im internen Netzwerk des
Betreibers vorhandenen Sicherheitsmaßnahmen müssen daher sicherstellen, dass die von
diesen Komponenten erzeugten Daten dieses Netzwerk nicht verlassen. Ebenso müssen die
in den vorliegenden Einsatz- und Betriebsbedingungen enthaltenen Auflagen zur Separierung
unterschiedlicher Netzwerkkomponenten (z.B. TOM und Standby-TOM, Admin-Netz und
Rest des Betreiber-Netzwerks) ausdrücklich durch Maßnahmen im Netzwerk des Betreibers
durchgesetzt werden.
5 Einstufung
Die PIN und PUK der verwendeten Smartcards sind VS-NfD einzustufen und dementsprechend
ist der sichere Zugriff bzw. die sichere Verwahrung zu gewährleisten.
Die einzelnen Komponenten von Trusted Disk - Software, Smartcardleser und Smartcard - sind
nicht eingestuft, aber sicher zu verwahren. Für die Behandlung der Smartcard gelten
insbesondere die folgenden Bedingungen:
1. Die Smartcard soll in persönlichem Gewahrsam gehalten werden.
2. In Ausnahmefällen, in denen ein persönlicher Gewahrsam nicht möglich ist, muss die
Smartcard unter Verschluss gehalten werden.
3. Es ist sicherzustellen, dass ein Verlust der Smartcard umgehend an den zuständigen IT-
SiBe/Geheimschutzbeauftragen und den IT-Administrator gemeldet wird.
4. PIN und PUK sind geheim zu halten.
5. Die Nutzer sind darauf hinzuweisen, dass eine vorhersagbare Wahl der PIN (z.B.
Geburtsdatum o.ä.) die Sicherheit des Systems genauso beeinträchtigt wie eine unsichere
Verwahrung der PIN.
6 Transport und Aufbewahrung
Während des Transportes ist das mit Trusted Disk verschlüsselte System oder Speichermedium
auszuschalten bzw. zu deaktivieren.
Die Smartcard muss getrennt vom System aufbewahrt bzw. versendet werden. Insbesondere ist
die Smartcard immer unter Kontrolle zu behalten. Die Aufbewahrung bzw. der Versand von PIN
und PUK zusammen mit der Smartcard ist nicht zulässig.
Auf mitgeführten verschlüsselten externen Datenträgern und mobilen Computern (z.B. auf
Dienstreisen), die mit der ebenfalls mitgeführten Smartcard zugänglich sind, sollen nur die
unbedingt erforderlichen eingestuften Dokumente abgespeichert werden.
7 Administration, Installation und Konfiguration
Die Administration, Installation und Konfiguration von Trusted Disk muss von dazu
berechtigtem Personal in einer Umgebung durchgeführt werden, die für die Verarbeitung und
Speicherung von Daten mit der Einstufung VS‑NUR FÜR DEN DIENSTGEBRAUCH
freigegeben ist. Hierzu müssen die Anweisungen aus den Handbüchern befolgt werden.
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 9 von 13
Anhang2_Vorlage V1.6
Um Trusted Disk zu installieren, ist ein Computer mit mindestens einer Festplatte notwendig. Es
wird eine bestehende, frische Installation des Betriebssystems vorausgesetzt (bei Windows
7/8/10 mit der Standardpartitionierung).
Eine initiale Vollverschlüsselung des Systems vor dem Aufbringen von Verschlusssachen wird
empfohlen.
Die Installation des TrustedIdentity Manager (Standalone) muss auf einer getrennten
Administrations-Station erfolgen. Die Administrations-Station muss für die Verarbeitung von VS
zugelassen sein und in einem gesicherten Bereich stehen. Eine Datensicherung der Schlüssel und
Zertifikate der Administrations-Station wird empfohlen. Diese ist ebenfalls geschützt
aufzubewahren. Die entsprechenden kryptographischen Geheimnisse (insbesondere der private
Schlüssel der durch den TrustedIdentity Manager (Standalone) erzeugten CA) sind dabei als VS-
NfD eingestufte Daten zu behandeln. Ihre Vertraulichkeit und Integrität sind entsprechend
sicherzustellen.
Für die Verwendung von Trusted Disk wird die Benutzung einer Smartcard mit PIN (s.o)
vorausgesetzt. Die Personalisierung der Karten erfolgt durch den TrustedIdentity Manager bzw.
durch den TrustedIdentity Manager (Standalone).
Nach der Installation von Trusted Disk auf den Clients folgt die Initialisierung des Systems.
Anschließend kann die Systempartition verschlüsselt werden.
Bei der Verschlüsselung von externen Medien wie USB-Sticks durch Trusted Disk werden alle
Daten auf dem zu verschlüsselnden Medium gelöscht. Bei der Installation auf der System-
Festplatte eines PC-Systems werden die Daten der zu verschlüsselnden Partition in dieselbe
überführt. Insbesondere bei Verwendung von Solid State-Speichern ist aber nicht auszuschließen,
dass unverschlüsselte Daten in beiden Fällen mit forensischen Mitteln nach Abschluss des
Verschlüsselungsvorgangs auf dem Trägermedium noch nachgewiesen werden können. Eine
Speicherung von Daten mit der Einstufung "VS-NUR FÜR DEN DIENSTGEBRAUCH" sollte
erst nach der Verschlüsselung der Partition erfolgen.
8 Betrieb
8.1 Allgemeines
Als maximale Partitionsgröße ist je Partition höchstens 1 Terabyte zu verwenden.
Eine Umschlüsselung ist nach 5 Jahren durchzuführen.
Anlassbezogen ist eine Umschlüsselung möglichst zeitnah dann durchzuführen, wenn der
Verdacht besteht, dass Schlüsselmaterial kompromittiert wurde, wenn ein Nutzertoken verloren
gegangen ist, oder wenn einem Nutzer die Zugriffsrechte entzogen wurden oder wenn das
System eine Umschlüsselung verlangt.
Verschlüsselte externe mobile Datenträger dürfen nicht auf Chiffratebene kopiert und
vervielfältigt werden. Soll z.B. die gleiche VS an verschiedene Empfänger verteilt werden, so
muss für jeden Empfänger ein externer mobiler Datenträger eingerichtet und die VS darauf
kopiert werden.
Für den zugelassenen Betrieb ist nur eine für diesen Zweck geeignete Smartcard (siehe
Konstruktionsstand) zu verwenden, für deren Verwendung zusammen mit Trusted Disk vom BSI
Anhang 2 BSI-VSA-10146
Stand: 15.04.2016
Anhang 2 V1.6 Seite 10 von 13
Anhang2_Vorlage V1.6
eine Freigabeempfehlung erteilt wird. Für die Behandlung der Smartcard gelten insbesondere die
folgenden Bedingungen:
1. Die Smartcard soll in persönlichem Gewahrsam gehalten werden.
2. Die Smartcard ist getrennt von dem Gerät aufzubewahren und die Eingabe der PIN darf nur
in einer Umgebung erfolgen, in der eine Einsichtnahme durch Dritte nicht erwartet wird und
in der auf die gespeicherten Verschlusssachen zugegriffen werden darf.
3. In Ausnahmefällen, in denen ein persönlicher Gewahrsam nicht möglich ist, muss die
Smartcard unter Verschluss gehalten werden.
4. Es ist sicherzustellen, dass ein Verlust der Smartcard umgehend an den zuständigen IT-
SiBe/Geheimschutzbeauftragen und den IT-Administrator gemeldet wird.
5. PIN und PUK sind geheim zu halten.
6. Die Nutzer sind darauf hinzuweisen, dass eine vorhersagbare Wahl der PIN (z.B.
Geburtsdatum o.ä.) die Sicherheit des Systems genauso beeinträchtigt wie eine unsichere
Verwahrung der PIN.
Änderungen bzw. Updates sind für die betroffenen Systeme durchzuführen. Das Booten eines
Computers von anderen Medien außer der Systemplatte darf nicht möglich sein. Die lokale
Systemplatte darf nicht mit anderen Computern z.B. über ein Netzwerk geteilt werden, um das
Aufspielen kompromittierter Daten oder bösartiger Software zu vermeiden.
Der eingesetzte Computer muss konsequent durch organisatorische Maßnahmen gegen
Manipulation geschützt werden. Regulär muss er in einer Umgebung aufbewahrt werden, die für
die Verwahrung von VS-NfD eingestuften Dokumenten geeignet ist. Beim Betrieb außerhalb
einer solchen Umgebung ist vor der Benutzung des Systems zu prüfen, ob
Manipulationsversuche erkennbar sind. Das System sollte bei temporärer unbeaufsichtigter
Verwahrung in einer solchen Umgebung so aufbewahrt werden, dass ein Zugriff durch
Unbefugte nachträglich erkannt werden kann. Der Zeitraum einer unbeaufsichtigten
Aufbewahrung in einer solchen Umgebung ist auf ein Minimum zu reduzieren. Die Mitnahme
eingestufter Daten ist in diesem Fall ebenfalls auf das unbedingt notwendige Maß zu reduzieren.
Die Smartcard ist immer mitzuführen.
Mobile Datenträger (z.B. USB-Sticks), die mit Trusted Disk verschlüsselt sind, dürfen
grundsätzlich nicht unbeaufsichtigt in einer nicht vertrauenswürdigen Umgebung belassen
werden. Die initiale Schlüsselgenerierung für einen solchen mobilen Datenträger sollte in einer
gesicherten Umgebung erfolgen. Es sollen grundsätzlich in ein solches, mit Trusted Disk
verschlüsseltes, externes Medium nur solche Daten kopiert werden, die zu kopieren unbedingt
notwendig ist. Ausgenommen sind externe Laufwerke, die dauerhaft in einer sicheren Umgebung
verwahrt werden.
Beim Betrieb des Computers muss regelmäßig vor der Benutzung geprüft werden, ob
Manipulationsversuche erkennbar sind (Sichtprüfung). Insbesondere ist darauf zu achten, dass
die Systemfestplatte nicht entfernt und kein Keylogger angebracht worden ist. Bei Systemen mit
einfach entfernbarer Festplatte (z.B. Laptop) sollte durch geeignete technische oder
organisatorische Maßnahmen, z.B. durch das Anbringen entsprechender fälschungssicherer
Etiketten am Gerät oder eine dauerhafte Aufbewahrung des Geräts unter Kontrolle des
Benutzers, sichergestellt werden, dass feststellbar ist, ob das Gerät geöffnet wurde oder nicht.
Bei Verwahrung in einer ungesicherten Umgebung (s.o.) ist eine Prüfung vor jedem Gebrauch
durchzuführen, falls technische Maßnahmen (i.e. Versiegelung) ergriffen worden sind. Ohne
technische Maßnahmen ist eine Verwahrung in einer ungesicherten und unbeaufsichtigten
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 11 von 13
Anhang2_Vorlage V1.6
Umgebung (s.o.) nicht zulassungskonform. Bei Verdacht einer Manipulation sollte das System
nicht gestartet, sondern der Sicherheitsbeauftragte informiert werden.
Die Zulassung von Trusted Disk bezieht sich auf den Betrieb mit dem Betriebssystem Microsoft
Windows 7, Windows 8, Windows 8.1 und Windows 10. Maßnahmen des BSI-
Grundschutzkatalogs zur Sicherheit von Systemen wie z.B. das Einspielen aktueller
Sicherheitsupdates und -patches, Installation von Service Packs für das Betriebssystem, etc. sind
umzusetzen. Zusätzlich ist der Einsatz eines aktuellen Anti-Viren Scanners notwendig. Nicht
vertrauenswürdige Software, die Sicherheitsfunktionen von Trusted Disk einschränken oder
außer Kraft setzen könnte, darf nicht vorhanden sein. Das System muss regelmäßig auf den
Befall durch Viren mit einer geeigneten Software geprüft werden.
Die Installation von sonstiger Software, welche die von Trusted Disk bereitgestellten
Zugriffsmöglichkeiten auf die Festplatte umgeht oder modifiziert, ist auf einem durch Trusted
Disk geschützten System grundsätzlich nicht zulassungskonform. Im Zweifelsfall ist der
Hersteller von Trusted Disk zu befragen. Ebenso wenig darf Software installiert werden, welche
ggf. bösartige Anteile (z.B. Viren, Trojaner) enthält. Es darf nur solche Software installiert
werden, welche für die Nutzung auf entsprechend freigegebenen Arbeitsplätzen in der
Organisation erlaubt ist. Im Zweifelsfall ist der IT-Sicherheitsbeauftragte zu befragen. Der
Betrieb von Trusted Disk auf einer virtuellen Maschine wird durch die Zulassung ebenfalls nicht
abgedeckt.
Die Benutzer sind darüber zu belehren, dass auch zu Zwecken der Datensicherung keine
Abbilder eines Volumes erzeugt werden dürfen. Soweit Sicherungskopien von Inhalten erzeugt
werden sollen, müssen diese erneut mit Trusted Disk oder einer anderen, zugelassenen
Festplattenverschlüsselung gesichert werden. Alternativ muss durch entsprechende
organisatorische Maßnahmen sichergestellt werden, dass ein unberechtigter Zugriff auf diese
Festplattenabbilder nicht möglich ist. Abbilder auf Chiffrat Ebene im Zuge einer
Sicherungskopie sind nur durch vertrauenswürdige Administratoren zu erstellen und in einer für
VS-NfD freigegebenen Umgebung (z.B. Rechenzentrum, gesicherte Serverräume)
aufzubewahren. Gegebenenfalls könnte ein ISO-Abbild der Klardaten oder des Chiffrats auch
mit einer zugelassenen Dateiverschlüsselungs-Lösung vor Einsichtnahme durch Unbefugte
geschützt werden.
8.2 Hinweis
Während des Betriebs wird durch das Produkt Trusted Disk kein Schutz für die VS-Daten
geboten. Der Einsatz verhindert nicht den Abfluss vertraulicher Informationen aus dem
laufenden System durch Abspeicherung auf unverschlüsselten externen Speichermedien, durch
unverschlüsselte Netzlaufwerke oder andere Gefahren im laufenden Betrieb. Es sind die
Maßnahmen zur Wahrung der Integrität des Gesamtsystems zu beachten, um Manipulationen am
System zu begegnen. Die Nutzer sind über diese Gefahren zu belehren.
9 Wartung / Instandsetzung
Bei Wartungsarbeiten ist entsprechend verpflichtetes oder sicherheitsüberprüftes Personal
einzusetzen oder anderes Personal durch geeignetes Personal zu beaufsichtigen.
Bei diesen Arbeiten geht es zum einen um die Installation der Software auf einem neuen System,
die Durchführung von Updates, die Deinstallation von Trusted Disk und die Erstellung der
Anhang 2 BSI-VSA-10146
Stand: 15.04.2016
Anhang 2 V1.6 Seite 12 von 13
Anhang2_Vorlage V1.6
Installationspakete. Zum anderen gehören auch das Hinzufügen bzw. das Entfernen von Profilen,
das Erstellen, Umschlüsseln und Löschen des Systems sowie die Initialisierung und
Personalisierung der Token zu diesen Arbeiten.
Produktupdates und Patches dürfen nur durch berechtigte Benutzer über eine zentrale
Softwareverteilung oder durch Plattformadministratoren lokal auf dem System veranlasst
werden.
10 Vernichtung / Aussonderung
Bei Aussonderung von Komponenten der genutzten Geräte sind die entsprechenden VS-
Bestimmungen zu beachten.
Bei Aussonderung der mit Trusted Disk verschlüsselten Systeme ist die von Trusted Disk
angebotene Löschfunktion zu benutzen. Dazu wählt der Besitzer in der GUI die Funktion
"Volume löschen" aus und folgt den Anweisungen. Anschließend ist das Volume gelöscht und
der Datenbereich wurde sicher überschrieben.
Soll das Speichermedium ausgesondert werden, das die Trusted Disk Pre-Boot-Umgebung
enthält, wird empfohlen, zusätzlich zu der vorstehenden Maßnahme das gesamte
Speichermedium mit einem geeigneten Löschprodukt zu überschreiben. Hintergrund sind das
Entfernen der installierten Trusted Disk Software sowie das Überschreiben von in dieser
Umgebung gespeicherten Informationen (wie z.B. Nutzerzertifikate).
Sollte die Smartcard nicht mehr benötigt werden, so ist diese zu de-personalisieren und
anschließend zu vernichten.
Weitere Vorgaben können beim BSI (Kontaktadresse s. Punkt 12 b) angefordert werden.
11 Sicherheitsvorkommnisse
Bei Verdacht auf Manipulation oder Feststellung sonstiger Auffälligkeiten (unerklärliche
Störungen, etc.) ist Trusted Disk außer Betrieb zu nehmen und der zuständige
Geheimschutzbeauftragte oder IT-Sicherheitsbeauftragte und ggf. das BSI (s. Punkt 12 ) zu
informieren.
Der Bedarfsträger bzw. Nutzer des Produktes ist verpflichtet, dem Hersteller einen
Ansprechpartner für Sicherheitsthemen z.B. den IT-Sicherheitsbeauftragten inkl. Kontaktdaten
zu benennen und diese Informationen auf dem aktuellen Stand zu halten. Der Hersteller wird
diesen Ansprechpartner nur für Informationen zu Sicherheitsvorfällen, sicherheitsrelevanten
Produktupdates sowie Aktualisierungen dieser Zulassung kontaktieren.
12 Kontakt
a) Bei entdeckter oder vermuteter Manipulation nennen Sie bitte nur die Gerätebezeichnung
und Ihre Kontaktinformation.
Weitere Informationen müssen vertraulich ausgetauscht werden.
Bundesamt für Sicherheit in der Informationstechnik
Krypto-Support
BSI-VSA-10146 Anhang 2
Stand: 15.04.2016
Anhang 2 V1.6 Seite 13 von 13
Anhang2_Vorlage V1.6
Postfach 20 03 63
53133 Bonn
E-Mail: krypto-support@bsi.bund.de
b) Bei Fragen zum Verfahren verweisen wir auf unsere FAQ-Übersicht im Internet unter
https://www.bsi.bund.de/DE/Service/FAQ/EvaluierungundZulassung/faq_node.html
Sollten darüber hinaus noch Fragen offen sein, so können Sie sich – sofern es sich um nicht
sensible Inhalte handelt – per E-Mail an folgende Adresse wenden:
E-Mail: zulassung@bsi.bund.de
c) Hersteller
Sirrix AG
Im Stadtwald D3 2
66123 Saarbrücken
Deutschland Tel.: +49 681 95986-0
E-Mail: post@sirrix.com
top related