Hochsicher Budgetschonend Alles auf einem Stick

Hochsicherer Zugriff auf Daten und Anwendungen

ECOS SECUREBOOTSTICK

Datenfernzugriff einfach, flexibel, hochsicher

Behrden, Einrichtungen und Unternehmen verzeichnen gleichermaen einen zunehmenden Bedarf fr Heim- oder mobile Arbeitspltze. Sei es im Rahmen einer Flexibilisierung von Arbeitszeit und Arbeitsort, internationaler Aktivitten oder der Schaffung von Notfallarbeitspltzen die Anforderungen sind immer hnlich: Mit begrenztem Budget, geringem Aufwand fr die IT und hchsten Anforderungen an Daten-schutz und Datensicherheit sollen mglichst viele Anwender ausgestattet werden.

Hochsicher ins Behrden-/UnternehmensnetzDer ECOS SECURE BOOT STICK ermglicht einen hochsicheren

Zugang zu einer Terminalserver- oder Virtual-Desktop-Infra-

struktur und Webanwendungen aus einer gesicherten und ge-

kapselten Umgebung heraus. Mit dem Stick bootet ein beliebiger

PC oder Mac das speziell gehrtete ECOS Secure Linux-Betriebs-

system. Die interne Festplatte bleibt ausgeschaltet, so dass eine

mgliche Schadsoftware auf dem Rechner nicht aktiviert wird.

Damit wird eine 100%ige Trennung zwischen der beruf lichen

und der privaten Nutzung des PCs sichergestellt. Smt liche

Firmware und Applikationen befinden sich auf dem Behrden-

oder Firmen-Stick. Der private PC dient damit nur noch als pri-

vate Peripherie.

Varianten - Fr hohe und hchste Anforderungen Der ECOS SECURE BOOT STICK wird seit ber 12 Jahren hchs-

ten Anforderungen der IT-Security gerecht. In der neuen SECURE

BOOT STICK [FX]-Variante wird das Sicherheitsniveau nochmals

gesteigert, durch die zustzliche Absicherung per Smartcard und

PIN-Eingabe direkt auf dem Stick.

Einfache Implementierung und AdministrationDer ECOS SECURE BOOT STICK terminiert gegen ein beliebi-

ges bestehendes VPN-Gateway unter Verwendung von IPsec,

OpenVPN oder https. Dies ermglicht eine schnelle Integration

in eine bereits vorhandene Infrastruktur. Je nach Bedarf stehen

auch ein NCP-Client, Cisco AnyConnect-Client und Java fr

einen Clientless VPN-Zugang via Browser zur Verfgung. Mit

dem ECOS Easy Enrollment lsst sich auch eine groe Anzahl an

Zugngen innerhalb krzester Zeit ausrollen. Dabei erhlt jeder

Anwender einen identisch vorkonfigurierten Stick. Das zentrale

Management generiert fr berechtigte Anwender ihre persnli-

chen Aktivierungscodes. Mit der Aktivierung erfolgt die perma-

nente Kopplung von Benutzer und Stick, die die Basis fr eine

sichere Multi-Faktor-Authentisierung bildet. Dank des zentralen

Einsatzszenario ECOS SECURE BOOT STICK

VPN-ClientRDP-Client

Citrix Workspace-App/ReceiverVMware Horizon-Client

Web-Browser

Firewall

ECOS Secure Linux

Multi-Faktor- Authentisierung

mit PIN + Smartcard [FX]

Internetzugangber LAN,

WLAN,UMTS, LTE

oder HotSpot

Citrix Virtual Apps undDesktops

Microsoft Terminalserver (RDSH)

VMware HorizonWeb-Anwendungen

VPN VPN

PC oder MacECOS SECURE BOOT STICK VPN-Gateway Applikationen

ECOS System Management lassen sich alle Sticks zentral ver-

walten und remote aktualisieren.

Maximale KompatibilittMit der Einbindung privater Endgerte steigen die Anforder-

ungen an die Kompatibilitt. So sind auf dem ECOS SECURE

BOOT STICK die Treiber fr alle marktgngigen PCs und Macs

implementiert. Dies umfasst Grafiktreiber, LAN-, WLAN-,

UMTS- und LTE-Treiber sowie einen Browser zur Anmeldung am

Hot Spot. Fr eine optimale bertragung von Audio- und Video-

signalen, im Speziellen auch in Verbindung mit Microsoft Skype

for Business, wurde die Citrix HDX RealTime Media Engine inte-

griert. In Verbindung mit RDP sorgt Microsoft RemoteFX fr eine

bestmgliche Audio qualitt. Der Stick enthlt die notwendigen

Clients fr einen hochsicheren Zugriff auf Microsoft Terminal-

server (RDSH), Citrix Apps und Desktops, VMware Horizon

(RDP, PCoIP oder BLAST), PCs mit Remotedesktop-Freigabe

und Webanwendungen. Fr die internationale Nutzung sind die

Tastaturtreiber fr ber 90 Sprachen und Lnder auf dem Stick

enthalten.

Aufbau des ECOS SECURE BOOT STICKDer Stick unterteilt sich in mehrere Partitionen. Smtliche

Komponenten, wie der Bootloader fr UEFI und BIOS, Kernel,

Firmware sowie smtliche Applikationen, welche fr den hoc h-

sicheren Zugang auf die Infrastruktur bentigt werden, sind auf

schreibgeschtzten Partitionen abgelegt. Hinzu kommt eine ver-

schlsselte Partition fr die Ablage von Zugangsinformationen,

Rechten und Benutzereinstellungen. Eine weitere Partition kann

zur Ablage von Dokumenten genutzt werden. In der [FX]-Vari-

ante ist diese als Datensafe ausgelegt, in Form eines separaten,

hardware-verschlsselten Laufwerks, abgesichert per Smartcard

und PIN-Eingabe. Datenablage und Datensafe beim [FX], lassen

sich unter Windows und MacOS X als normales Laufwerk nut-

zen. Entsprechende Rechte vorausgesetzt, knnen Dokumen-

te aus einer Server-Session heraus in der Datenablage oder im

Datensafe abgelegt werden, um diese offline zu bearbeiten.

Absicherung per SmartcardDer ECOS SECURE BOOT STICK [FX] verfgt ber einen inte-

grierten Smartcard-Reader fr Smartcards im SIM-Karten-For-

mat ID-000. Die Smartcard dient damit als Besitzkomponente

fr eine starke Multi-Faktor- Authentisierung. Smtliche Prozes-

se sind per Smartcard abgesichert, vom Rollout, ber die An-

meldung am Gateway, bis hin zur Aktualisierung des Sticks. Per

PC-/SC- Forwarding lsst sich die Smartcard fr weitere Funk-

tionen nutzen, z.B. zum Signieren, Verschlsseln oder Windows

Smartcard-Logon.

SicherheitsszenarienDer ECOS SECURE BOOT STICK zeichnet sich durch eine Kaska-

dierung zahlreicher Sicherheitsmanahmen aus, welche fr smt-

liche Bedrohungsszenarien einen maximalen Schutz darstellen.

verschlsselt + signiertsigniert verschlsselt read-only read/write

Firmware,Clients,Browser

KernelBIOS-Boot-loader

UEFI-Boot-loader

Verbindungs-parameter,

User-Einstellungen

Dokumenten-ablage/-safe

Aufbau des ECOS SECURE BOOT STICK

ECOS SECURE BOOT STICK

Schutz vor infiziertem PCDurch das Booten des (Gast-) PC aus einer gekapselten und

gehrteten Linux-Umgebung heraus wird eine mgliche Schad-

software auf der internen Festplatte nicht aktiviert. Zustzlich

bernimmt das ECOS Secure Linux-Betriebssystem die Hoheit

ber die angeschlossene Peripherie, so dass selbst eine Schad-

software im BIOS oder im UEFI keine Bedrohung darstellt.

Schutz vor SpionageAls Grundlage fr eine sichere Authentifizierung der Anwender

dient eine starke Multi-Faktor-Authentisierung. So erfordert die

Anmeldung am Gateway oder der Zugriff auf den Datensafe

nicht nur das Wissen um die persnliche PIN, sondern auch den

Besitz der zugehrigen Smartcard und des zugehrigen ECOS

SECURE BOOT STICK. Die Verbindung zwischen dem Endgert

und dem Gateway erfolgt auf Basis einer gesicherten VPN-Ver-

bindung, welche erst nach der erfolgreichen Authentifizierung

aufgebaut wird. Als Schutz vor mglichen Trojanern auf Web-

sites, z.B. bei der Anmeldung an einem HotSpot, befinden sich

smtliche relevanten Teile der Firmware auf einer schreib-

geschtzten Partition. Darber hinaus sind smtliche Bestand-

teile der Firmware und Applikationen digital signiert, so dass

jeglicher Versuch der Manipulation zu einem sofortigen Ab-

bruch der Anwendung und zum Shutdown des Rechners fhrt.

Schutz vor Online-AngriffenBeim ECOS Secure Linux-Betriebssystem handelt es sich um ein

sehr schlankes System, welches nur diejenigen Komponenten

umfasst, die zum Betrieb der Lsung bentigt werden. Damit

wird das Potential mglicher Sicherheitslcken deutlich redu-

ziert. Zudem wurde das Betriebssystem speziell gehrtet und

eigens kompiliert, so dass es hchsten Sicherheitsanforderun-

gen gerecht wird. Der ECOS SECURE BOOT STICK verfgt ber

eine eigene Fire wall als Schutz vor Angriffen aus dem gleichen

Netz, sei es durch Hacker oder ber einen infizierten PC. Diese

blockiert zudem smtliche TCP/IP- und Ping-Anfragen, so dass

ein mglicher Angreifer, zum Beispiel im Hotel oder im ICE, wo

man sich mit fremden Nutzern im selben Netz befindet, den

Rechner erst gar nicht aufspren kann.

Schutz vor ManipulationDer Schreibschutz fr die gesamte Firmware und die Anwen-

dungen in Kombination mit der Verschlsselung von Firmware

und Konfigurationsdaten sorgt fr ein hohes Sicherheitsniveau.

Darber hinaus sind alle Daten und Programme digital signiert.

In einer Chain of Trust berprfen sich Bootloader, Kernel und

Applikationen gegenseitig durch einen sich permanent wieder-

holenden Prozess. Jegliche Manipulation des Filesystems oder

der Austausch von Sourcecode macht den Stick sofort un-

brauchbar und fhrt im laufenden Betrieb zu einem unmittelba-

ren Shutdown des Rechners. Damit wird jegliche Manipulation

wirkungsvoll verhindert.

Schutz vor Aushebelung durch AnwenderVor Ausfhrung der Firmware erfolgt eine Prfung, ob der Stick

in einer virtuellen Maschine gebootet wurde. Dies verhindert,

dass die Schutzmanahmen des Sticks unterlaufen werden und

beispielsweise ein Keylogger oder Trojaner auf dem Hostsystem

Bildschirminhalte oder Tastaturanschlge protokolliert.

ECOS SECURE BOOT STICK [FX]

Schutz vor manipulierten UpdatesSobald vom Stick eine Verbindung zum zentralen Management

besteht, erfolgt eine Prfung auf mgliche Updates und berech-

tigte Anwender. Liegen diese vor, so wird im Hintergrund ein

neues Image geladen. Dabei wird sowohl der richtige Ursprung

als auch die Integritt des Update-Images verifiziert. Nach er-

folgreichem Download und Verifikation wird beim nchsten

Booten des Sticks das neue Image ausgefhrt.

DatenschutzVor unbefugtem Einsehen des Bildschirms schtzt ein speziel-

ler Instant-Logout-Prozess. Mit Abziehen des Sticks fhrt der

PC in Sekundenschnelle runter. Abhngig von dem eingestellten

Timeout kann der Anwender nach erneutem Aufbau der Ver-

bindung an gleicher Stelle weiterarbeiten. Mit seiner Multi-Fak-

tor-Authentisierung, der granularen Rechtevergabe, der Ver-

meidung jeglicher lokaler Datenspeicherung, dem Ausschluss

von Trojanern und der gesicherten VPN-Verbindung erfllt der

ECOS SECURE BOOT STICK alle technischen Anforderungen ge-

m Art. 32 DSGVO.

Einfach und flexibel fr AnwenderDie Nutzung des ECOS SECURE BOOT STICK ist fr die An-

wender denkbar einfach. Nach Einschalten und Eingabe der PIN

bootet der PC oder Mac und fhrt die Nutzer zu einer Auswahl

der freigegebenen Systeme oder Anwendungen. Beim Betrieb

am WLAN erfolgt die Eingabe des Schlssels genauso einfach

wie beim Smartphone und wird fr die knftige Anmeldung ver-

schlsselt abgespeichert. Nach der Auswahl des gewnschten

Systems oder der gewnschten Anwendung befindet sich der

Anwender in der vertrauten Umgebung.

WirtschaftlichkeitsbetrachtungIn der Gesamtkostenkalkulation ergibt sich durch den ECOS

SECURE BOOT STICK ein Einsparungspotential von bis zu 80%

im Vergleich zur Ausgabe von Behrden-/Firmennotebooks.

Dies beruht zum einen auf den deutlich geringeren Investitio-

nen und den niedrigeren Betriebskosten, zum anderen auf dem

deutlich reduzierten Supportaufwand.

Zentrales ManagementMit der ECOS SYSTEM MANAGEMENT APPLIANCE lassen

sich alle Zugnge zentral verwalten und aktualisieren. So lsst

sich sehr granular festlegen, welche Benutzer oder welche Be-

nutzergruppen Zugang zu welchen Zielsystemen haben, wer

Daten ggf. aus einer Sitzung heraus im Datensafe oder einem

sonstigen freigegebenen Gert speichern oder Dokumente zu

Hause ausdrucken darf. Die System Management Appliance

erlaubt eine Kopplung mit dem Active Directory oder sonsti-

gen Verzeichnisdiensten und damit eine Synchronisierung von

Benutzern und Rechten. Die ECOS SYSTEM MANAGEMENT

APPLIANCE beinhaltet eine eigene CA zum Erstellen von Zer-

tifikaten sowie zum Ausrollen und Verwalten von Smartcards,

kann aber auch mit einer vorhandenen PKI gekoppelt werden.

Das Ausstellen, Verlngern und Sperren von Sticks erfolgt ber

das Token Lifecycle-Management und das Easy Enrollment, bei-

des Teile der Management Appliance. Im Falle eines verloren

gegangenen Sticks kann der Zugang zentral gesperrt und die

bestehende Lifetime-Lizenz auf einen Ersatzstick bertragen

werden. Darber hinaus beinhaltet die System Management

Appliance ein detailliertes Reporting mit einer breiten Auswahl

vordefinierter Reports sowie einem Report-Editor, ber den sich

beliebige Auswertungen erstellen und abspeichern lassen.

Die ECOS SYSTEM MANAGEMENT APPLIANCE ist eine virtuel-

le Appliance, lauffhig unter VMware, Microsoft Hyper-V, Citrix

XenServer, Oracle Virtualbox oder Linux KVM.

Vorteile auf einen Blick: + Gehrtetes ECOS Secure Linux-Betriebssystem + 100%ige Trennung berufliche/private Nutzung + Smtliche Software auf dem Stick + Zertifikatsbasierte 2-Faktor-Authentisierung + Multi-Faktor-Authentisierung per Smartcard [FX] + Integrierte Firewall + Zentrales Management + Remote-Aktualisierung + Datensafe zur Ablage von Dokumenten [FX]

ECOS TECHNOLOGY GMBHSant-Ambrogio-Ring 13aD-55276 Oppenheim

Telefon: +49 (6133) 939200E-Mail: info@ecos.deInternet: www.ecos.de

136.

PB.2

018/

12.D

E.01

.1

ECOSSECUREBOOTSTICK ist eine Marke der ECOS Technology GmbH

Leistungsmerkmale ECOS SECURE BOOT STICK

Applikationen+ RDP-Client, Citrix Receiver, VMware Horizon, Firefox, mit/ohne Java-Untersttzung, VNC, NoMachine, TeamViewer+ Citrix HDX RealTime Media Engine, Citrix HDX RealTime Media Engine for Microsoft Skype for Business, Microsoft RemoteFX fr Audio+ Integrierter VPN-Client fr IPsec und SSL+ Opt.: NCP-Client, Cisco AnyConnect und Java fr einen Clientless VPN-Zugang via Browser (ggf. sind zustzliche Hersteller-Lizenzen erforderlich)

Untersttzte Zielsysteme+ Microsoft Terminalserver (RDSH), Citrix Apps und Desktops, VMware Horizon (RDP, PCoIP, BLAST) oder Webserver

VPN+ Anbindung an beliebiges Gateway ber IPsec oder https

Administration+ Profile zum Zugriff auf unterschiedliche Applikationen/-Server auf User-, Gruppen- oder Rollen-Ebene+ Nutzung lokaler Ressourcen nach Freigabe durch den Admin (externe USB-Speicherdevices, lokale Drucker)+ Berechtigungsvergabe fr externe Gerte gebunden an die Hersteller-ID oder die Seriennummer des Gerts+ Remote-Aktualisierung smtlicher Applikationen und Firmware

Kompatibilitt+ Anbindung an beliebiges Gateway ber IPsec, Open VPN oder https+ Verbindung ber Proxyserver konfigurierbar + Integrierter Smartcard-Reader fr Smartcards mit CardOS 5.3 im Format ID-000 [FX]+ Treiber fr alle gngigen 64-bit-basierten Intel/AMD PCs, x86-basierte Tablets sowie alle gngigen Macs+ UEFI Secure Boot-Untersttzung+ Tastaturtreiber fr mehr als 90 Sprachen und Lnder+ Multi-Monitor-Support+ Verbindungsaufbau per LAN, WLAN, UMTS, LTE inkl. Browser zur Anmeldung an einem HotSpot+ Software in Deutsch und Englisch (voreinstellbar)

Weitere Funktionen+ Signieren, Verschlsseln, Windows Smartcard-Logon durch PC-/SC- Forwarding+ Forwarding externer USB- und LAN-Devices, z.B. fr den Anschluss eines IP-Telefons

Datenablage | Datensafe [FX]+ 2 GB, nutzbar zur sicheren Ablage von Dokumenten+ Hardwareverschlsselung mittels AES 256, abgesichert per 2-Faktor-Authentisierung, Smardcard plus PIN [FX]+ Installationsfreie Nutzung als USB-Laufwerk unter Windows, Linux und Max OS X

Sicherheit+ Zertifikatsbasierte 2-Faktor-Authentisierung + Multi-Faktor-Authentisierung ber Smartcard und PIN-Eingabe in der Boot-Phase [FX]+ Integrierte Tastatur zur sicheren Eingabe der PIN [FX]+ Schreibgeschtzte und signierte Partitionen fr Bootloader und Kernel+ Schreibgeschtzte, verschlsselte und signierte Partition fr Formware und Applikationen+ Separate, verschlsselte Partition zur Ablage der User-Parameter+ Gehrtetes ECOS Secure Linux-Betriebssystem+ Digital signierte Bootloader, Firmware und Applikationen; Verifikation der Signatur im Chain of Trust-Verfahren+ Absicherung smtlicher Prozesse per Smartcard wie z.B. Easy Enrollment, Anmeldung am Gateway, Aktualisierung [FX]+ Integrierte Firewall (Schutz vor Angriffen im gleichen Netz, Blockieren von TCP/IP- und Ping-Anfragen)+ Verhinderung der Nutzung in einer virtuellen Umgebung+ Instant-Logout beim Abziehen des Sticks+ Abgesicherter Prozess zur Aktualisierung von FirmwareApplikationen; Prfung auf Integritt und korrekte Update-Server

Abmessungen und Gewicht+ 12 x 22 x 4 mm | 3g + 27,5 x 84,8 x 12,7 mm | 68g [FX]

Liederumfang+ Stick, Trageband+ Stick, 3 Anschklusskabel fr USB (A, C und Micro), Trageband [FX]