MetaDefender Kiosk – Die Datenschleuse

Datenschleusen bzw. Wechseldatenträgerschleusen überprüfen mobile Datenträger auf Malware und Änderungen, bevor Schaden entsteht. Denn besonders sensible IT-Umgebungen und ungeschützte OT-Systeme benötigen ein Höchstmaß an Sicherheit.

Über mobile Datenträger eingeschleuste Schadsoftware gehört zu den Top-10 Risiken für IT- und OT-Umgebungen. Eine Deaktivierung von Schnittstellen oder ein Verbot der Nutzung mobiler Datenträger ist in kaum einer (kritischen) Infrastruktur durchsetzbar oder realistisch.

Besonders sensible oder ungeschützte IT-Bereiche, wie beispielsweise Entwicklungsabteilungen, industrielle Steuerungssysteme (IKS) und SCADA Infrastrukturen, werden nicht grundlos physisch und logisch (Air Gap) isoliert. Der Schutz von neuen Innovationen und computergestützten Produktionsabläufen muss sichergestellt werden. Dementsprechend wird der Datenaustausch mit anderen Computern und Netzwerken sowie Systemupdates über mobile Speichermedien realisiert. Zusätzliche Gefahren entstehen durch mobile Speichergeräte, die von Besuchern und Geschäftspartnern mitgebracht werden.

Die Lösung: Datenschleusen bzw. Wechseldatenträgerschleusen überwachen und schützen den Datenaustausch über Speichergeräte zwischen der Außenwelt und den sicheren bzw. isolierten (Air-Gapped) Netzwerken. Mobile Datenträger werden sorgfältig, meist mit mehreren Anti-Viren-Scannern, vor Betreten der kritischen IT-Infrastruktur überprüft. Zusätzlich kann eine Datei-Desinfektion, manchmal auch Datenwäsche genannt, die Restrisiken eliminieren. Zero-Day-Malware wird dabei ebenso sicher geblockt, wie Makros und ausführbare Inhalte. Riskante Dateitypen werden in sichere Dateiformate umgewandelt und damit Payload (enthaltene Malware Komponenten) eliminiert.

Alle unbedenklichen Dateien können anschließend entweder auf dem mobilen Speichergerät verbleiben oder auf einen bereitgestellten USB-Stick kopiert werden. Alternativ können die Daten über Secure File Transfer in einen Datei-Safe im isolierten (Air-Gapped) IT-Netzwerk und OT-Umgebung gespeichert werden.

Die Datenschleuse scannt vor Zutritt einer kritischen Infrastruktur mobile Datenträger auf Bedrohungen und Schadsoftware, löscht kritische Dateien oder eingebettete Objekte wie Skripte und Makros und speichert die bereinigten Dateien manipulationssicher ab. Das Alleinstellungsmerkmal bei MetaDefender Kiosk ist die hohe Sicherheit durch die parallele Überprüfung durch mindestens 8 bis maximal 30+ AV-Engines. Der neue mobile Notebook-Kiosk scannt auch vor Ort Beweise auf Schadcode aller Art.

Zusätzlich kommuniziert MetaDefender-Kiosk Datenschleuse von OPSWAT mit dem unidirektionalen Security Gateway NetWall USG und optional mit allen führenden Herstellern von Datendioden (Unidirektionaler Datentransfer). Zusammen mit Datei-Desinfektion (Data Sanitization) und Secure File Transfer (SFT) in Verbindung mit MetaDefender Vault, haben Sie eine Komplettlösung zur Umwandlung sicherheitskritischer Daten in unkritische Dateiformate und deren sichere Weiterleitung in air-gapped Infrastrukturen und Produktionsumgebungen (OT) sowie deren längerfristige Speicherung für mögliche forensische Überprüfungen.

Als Kiosk-Hardware haben Sie verschiedene Optionen: Vom Tischgerät mit Touchscreen über ein Standgerät mit allen Anschlüssen bis hin zu einer mobilen Datenschleuse K2100, die  auf einem speziellen Notebook auch die härtesten militärischen Standards erfüllt.

Die Zeitschrift elektro Automation berichtet im Juni 2022 über «Sicheres Datenhandling in der OT».

Gerne beraten wir Sie zu den Themen rund um die Datenschleuse für IT und OT.

Telefonische Beratung, vor-Ort-Termin oder Webcast erwünscht?

Mehr erfahren

In hochsicheren Netzwerken wie z.B. air-gapped Infrastrukturen kommen häufig Datendioden zum Einsatz, um den Datenstrom auf eine Richtung zu beschränken und damit zusätzlich Datendiebstahl zu verhindern. Die OPSWAT Datenschleuse kann in alle führenden Datendioden-Lösungen integriert werden. Der Hersteller bietet mit OPSWAT NetWall sowohl ein unidirektionales Security Gateway (USG) als auch ein bidirektionales Security Gateway (BSG) an.

Nach Überprüfung auf Schadsoftware, werden die Dateien durch die Datendiode / NetWall USG unidirektional in das sichere Netzwerk übertragen und dort entweder auf ein internes Speichermedium wie z.B. einem USB-Stick, in MetaDefender Vault, auf einem UNC-Pfad oder auf dem optionalen OPSWAT SFT-Server (Secure File Transfer) gespeichert (siehe Schema). Erst danach kann der Benutzer auf die erlaubten Dateien im sicheren Netzwerk zugreifen. Alle mitgebrachten Daten können dauerhaft gespeichert werden, um sie beispielsweise später noch einmal zu überprüfen.

Pro Benutzer oder Benutzergruppe können die nachfolgend beschriebenen Workflows, Richtlinien und Authentifizierungsmethoden im Workflow-Management (Screenshot) der Datenschleuse definiert und überwacht werden:

• Die Abfragen von Informationen können frei definiert werden. Wird z. B. der besuchte Mitarbeiter angefragt, wird dieser per E-Mail darüber informiert, dass der Besucher im Haus ist.
• Je nach eingesetzter Hardware kann die Authentifizierung über Biometrie oder PKI erfolgen. Alle durchgeführten Scan-Prozesse werden dem Nutzer zugeordnet. Scan-Ergebnisse werden über SHA 256 Hash-Werte mit vergangenen Überprüfungen verglichen.
• Beschreibbare Speichermedien wie USB-Sticks können nach Dateiübertragung auch formatiert oder sicher gelöscht und bis zu 7-Mal überschrieben werden. Alle Überschreibungen werden dabei mit unterschiedlichen Zeichensätzen durchgeführt.
• Über 30 unterschiedliche Archiv-Typen, darunter komprimierte Dateien wie ZIP und RAR, Installationspakete wie MSI und NSIS und eingebettete Dateien und Objekte in Office- und PDF-Dokumenten werden gescannt. Bei passwortgeschützten Archiven bietet MetaDefender Kiosk einen Login-Bildschirm an.
• Zum Schutz vor Zero-Day-Angriffen können riskante Dateitypen in sichere konvertiert werden. Ausführbare Dateien können blockiert werden (Datei-Desinfektion).
• Um die OPSWAT Datenschleuse vor Kompromittierung zu schützen, kann sie optional mit einer Deep-Freeze-Software  zurückgesetzt und in einen sauberen Zustand versetzt werden.
• Größere Datenmengen wie z. B. auf Notebooks werden mit MetaDefender Drive (Malware-Multiscanning-on-a-Stick) auf Malware überprüft.

MetaDefender Kiosk Datenschleuse (Wechseldatenträgerschleuse) kann stand-alone ohne und mit Netzwerkanbindung, mit zentralem Management, in Zusammenhang mit einer Datendiode, mit Secure File Transfer (SFT), Vault oder in einer verteilten Infrastruktur eingesetzt werden.

Die Datenschleuse wird auf Standard x64 Hardware ab Windows 7 installiert und ist kompatibel zu gehärteten Kiosk Systemen führender Hersteller.

Systemvoraussetzungen der Datenschleuse

• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows 7
• Windows 8
• Windows 10

Unterstützte Formfaktoren:

• 3,5" Disketten
• CD/DVD
• Flash-Speicherkarten
• Mobile Speichergeräte wie USB-Sticks und USB-HDD/SSD
• Mobile Endgeräte etc.

Bitte lesen Sie dazu auch das MetaDefender Kiosk Datenblatt.