Stand: 15.04 - · PDF fileBSI-VSA-10146 Report Stand: 15.04.2016 Report V1.17 Seite 2 von 7 Report_Vorlage Z_V1.17 Vorbemerkung Das Bundesamt für Sicherheit in der

Report

Stand: 15.04.2016

BSI-VSA-10146

Trusted Disk

Version 2.3.10

der

Sirrix AG

BSI-VSA-10146 Report

Stand: 15.04.2016

Report V1.17 Seite 2 von 7

Report_Vorlage Z_V1.17

Vorbemerkung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemäß BSI-Gesetz1 und

VS-Anweisung2 die Aufgabe, für IT-Sicherheitsprodukte (Systeme oder Komponenten)

Zulassungen zu erteilen.

Diese Zulassung eines Produktes wird auf Veranlassung eines behördlichen Antragstellers, nach

einer begründeten Bedarfsmeldung und im Einvernehmen mit dem Hersteller durchgeführt.

Bestandteil des Verfahrens ist die technische Prüfung (Evaluierung) des Produktes gemäß den

Richtlinien des BSI.

Die Prüfung wird in der Regel vom BSI durchgeführt.

Das Ergebnis des Verfahrens ist im hier vorliegenden Report zusammengefasst. Hierin als Anhang

enthalten sind die für diese Zulassung gültigen Konstruktionsstände (Anhang 1), sowie die Einsatz-

und Betriebsbedingungen (Anhang 2).

1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom

14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821

2 Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und

organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA) vom 31. März 2006

Report BSI-VSA-10146

Stand: 15.04.2016



Inhaltsverzeichnis

1. Grundlagen des Zulassungsverfahrens ......................................................................................... 4

2. Prüfgegenstand ............................................................................................................................. 4

3. Bestehende Zulassungen ............................................................................................................... 4

4. Prüfstelle ....................................................................................................................................... 4

5. Durchführung der Evaluierung und Zulassung ............................................................................. 4

6. Ergebnis der Zulassung ................................................................................................................. 4

7. Gültigkeit der Zulassung ............................................................................................................... 5

8. Internationale Zulassungen ........................................................................................................... 5

8.1. EU .......................................................................................................................................... 5 8.2. NATO .................................................................................................................................... 6

9. Veröffentlichung ........................................................................................................................... 6

10. Hinweise an den Hersteller ....................................................................................................... 7

10.1. Änderungen am zugelassenen Produkt .............................................................................. 7 10.2. Vertrieb .............................................................................................................................. 7

11. Literaturverzeichnis .................................................................................................................. 7


Stand: 15.04.2016



1. Grundlagen des Zulassungsverfahrens

Die Zulassungsstelle führt das Verfahren nach Maßgabe der folgenden Vorgaben durch:

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821

Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen

und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA)

vom 31. März 2006

2. Prüfgegenstand

Gegenstand der Zulassung ist das Produkt

Trusted Disk, Version 2.3.10

des Herstellers

Sirrix AG

Im Stadtwald D3 2

66123 Saarbrücken

Deutschland

3. Bestehende Zulassungen

Die Version 1.2 des Produktes Trusted Disk wurde am 04.06.2013 von der Zulassungsstelle unter

der Kennung BSI-Z-VSA-0108-2013 für die Verarbeitung und Übertragung von VS-NfD

eingestuften Informationen erstmalig zugelassen.

Die Zulassung BSI-Z-VSA-0108-2013 ist bis zum Ablauf ihrer Befristung zum 31.12.2016

weiterhin gültig.

4. Prüfstelle

Die Evaluierung wurde vom Bundesamt für Sicherheit in der Informationstechnik, Abteilung KT,

durchgeführt.

5. Durchführung der Evaluierung und Zulassung

Die Evaluierung des Prüfgegenstandes wurde von der oben angegebenen Prüfstelle durchgeführt.

Sie wurde am 30.03.2016 beendet.

Das Verfahren wurde damit beendet, dass das BSI die Übereinstimmung mit den Richtlinien

überprüft und den vorliegenden Report erstellt hat.

6. Ergebnis der Zulassung

Die Zulassung wurde mit Datum vom 15.04.2016 erteilt.

Trusted Disk Version 2.3.10 ist hiermit für die Übertragung und Verarbeitung von nationalen

Verschlusssachen bis einschließlich zum Geheimhaltungsgrad VS - NUR FÜR DEN

DIENSTGEBRAUCH zugelassen.


Stand: 15.04.2016



7. Gültigkeit der Zulassung

Dieser Report bezieht sich nur auf die angegebene Version des Prüfgegenstandes.

Die Zulassung gilt nur

für die in Anhang 1 (Konstruktionsstände Trusted Disk) aufgeführten oder referenzierten

Konstruktionsstände,

für Produkte, die gemäß Anhang 2 (Einsatz- und Betriebsbedingungen Trusted Disk)

installiert und betrieben werden.

Hierzu sind die Einsatz- und Betriebsbedingungen mit jedem ausgelieferten Produkt dem

Nutzer zur Verfügung zu stellen und ggf. beim Nutzer in vorhandene Dienstanweisungen zu

integrieren. Die Überwachung der wirksamen Umsetzung der Einsatz- und Betriebsbe-

dingungen liegt in der Verantwortung des zuständigen Geheimschutz- bzw. IT-Sicherheits-

beauftragten, des Betreibers und des Anwenders.

Die Zulassung ist befristet bis zum 30.04.2020.

Die Zulassung berücksichtigt die technischen Möglichkeiten zum Zeitpunkt der Ausstellung.

Angriffe, mit neuen oder weiterentwickelten Methoden, die in Zukunft möglich sind, können im

Rahmen dieses Verfahrens nicht berücksichtigt werden. Die Zulassungsstelle befristet daher die

Zulassung, um regelmäßig eine Einschätzung der Widerstandsfähigkeit vornehmen zu können.

8. Internationale Zulassungen

Für diesen Prüfgegenstand liegen folgende internationale Zulassungen vor bzw. werden durch

das BSI erteilt:

8.1. EU

Trusted Disk, Version 2.3.10 erfüllt die EU-Anforderungen, gemäß dem EU „Requirements

Model” für „Strength of Cryptographic Mechanism“ STANDARD1 und ist zugelassen für den

Schutz von EU eingestuften Informationen, in Einsatzszenarien, die mit Kryptomechanismen der

Stärke STANDARD geschützt werden können.

Sofern die vorgegebenen Einsatz- und Betriebsbedingungen eingehalten werden, kann Trusted

Disk, ohne weitere Einschränkung, in allen Einsatzszenarien für den Schutz von RESTREINT

UE / EU RESTRICTED eingestuften Informationen eingesetzt werden.

In allen anderen nationalen Einsatzfällen sind eine Risikobewertung des Einsatzszenarios (Threat

und Impact Level nach dem EU Requirements Model) und die Einhaltung der Vorgaben zur

Abstrahlsicherheit (d.h. geeignete Hardware, Aufstellungsort und Installation Installation nach

IASG 7-01, IASG 7-02 und IASG 7-03)2 erforderlich.

1 Vgl. EU Council 10745/11 – IASP 2 – Information Assurance Security Policy on Cryptography, 30 May 2011,

RESTREINT UE/EU RESTRICTED 2 Vgl. IASG 7-01: European Union, IASG 7-01 IA Security Guidelines on Selection and Installation of TEMPEST

Equipment, RESTREINT UE/EU RESTRICTED

IASG 7-02: European Union, IASG 7-02 IA Security Guidelines on TEMPEST Zoning Procedures,

RESTREINT UE/EU RESTRICTED

IASG 7-03: European Union, IASG 7-03 IA Security Guidelines on EU TEMPEST Requirements and

Evaluation Procedures, CONFIDENTIEL UE/EU CONFIDENTIAL


Stand: 15.04.2016



Diese ist von der nationalen Crypto Approval Authority (CAA) und der zuständigen Security

Accreditation Authority (SAA) zu prüfen. Ein Einsatz kann, bei Einhaltung der EU-

Anforderungen und nach positiver Prüfung, durch CAA und SAA genehmigt werden.

Die Aufgaben einer CAA werden in Deutschland vom BSI wahrgenommen, die einer SAA vom

BMI, wobei technische Anfragen, wie z.B. zur Prüfung und Genehmigung einer

Risikobewertung, ebenfalls an das BSI zu richten sind.

Soll das Produkt im Rat der EU oder einer anderen EU-Organisation benutzt werden, ist eine

Zweitevaluierung durch eine Appropriately Qualified Authority (AQUA) und eine Zulassung

durch den Rat erforderlich (EU-Vorschrift 2013/488/EU). Diese Zulassung liegt derzeit nicht vor.

8.2. NATO

Trusted Disk, Version 2.3.10 erfüllt die NATO-Anforderungen, gemäß dem NATO

„Requirements Model” für „Strength of Mechanism“ STANDARD3 und ist zugelassen für den

Schutz von NATO eingestuften Informationen, in Einsatzszenarien, die mit Kryptomechanismen

der Stärke STANDARD geschützt werden können.

Sofern die vorgegebenen Einsatz- und Betriebsbedingungen eingehalten werden, kann Trusted

Disk, ohne weitere Einschränkung, in allen Einsatzszenarien für den Schutz von NATO

RESTRICTED4 eingestuften Informationen eingesetzt werden.

In allen anderen nationalen Einsatzfällen sind eine Risikobewertung des Einsatzszenarios (Threat

und Impact Level nach dem NATO Requirements Model) und die Einhaltung der NATO-

Regularien zur Abstrahlsicherheit (d.h. geeignete Hardware, Aufstellungsort und Installation

nach SDIP 27, 28 und 29)5 erforderlich.

Diese ist von der National Communications Security Authority (NCSA) und der zuständigen

Security Accreditation Authority (SAA) zu prüfen. Ein Einsatz kann, bei Einhaltung der NATO

Anforderungen und nach positiver Prüfung, durch NCSA und SAA genehmigt werden.

Die Aufgaben einer NCSA werden in Deutschland vom BSI wahrgenommen, die einer SAA vom

BMI, wobei technische Anfragen, wie z.B. zur Prüfung und Genehmigung einer

Risikobewertung, ebenfalls an das BSI zu richten sind.

9. Veröffentlichung

Das Produkt Trusted Disk, Version 2.3.10 wird in die nächste aktualisierte Ausgabe der „Liste

der zugelassenen IT-Sicherheitsprodukte und -Systeme“ (BSI 7164) aufgenommen. Die BSI-

Druckschrift 7164 kann von behördlichen Bedarfsträgern beim BSI angefordert werden.

3 Vgl. AC/322-D/0047-REV2 – INFOSEC Technical and Implementation Directive on Cryptographic Security and

Cryptographic Mechanisms, NATO RESTRICTED

4 Für einen Einsatz mit Geheimhaltungsgrad „NATO-SECRET“ oder höher ist eine erfolgreiche Zweitevaluierung

durch die zuständige NATO-Behörde und eine Zulassung durch das NATO Military Committee (NAMILCOM)

erforderlich. 5 Vgl. SDIP 27 – NATO TEMPEST Requirements and Evaluation Procedures, NATO CONFIDENTIAL

SDIP 28 – NATO Zoning Procedures, NATO RESTRICTED

SDIP 29 – Selection and Installation of Equipment for the Processing of Classified Information, NATO

RESTRICTED


Stand: 15.04.2016



10. Hinweise an den Hersteller

10.1. Änderungen am zugelassenen Produkt

Im Falle von Änderungen an der evaluierten Version des Produktes kann die Gültigkeit auf neue

Versionen ausgedehnt werden, sofern für das geänderte Produkt ein entsprechender Antrag durch

die behördlichen Bedarfsträger gestellt wird und die Evaluierung keine sicherheitstechnischen

Mängel ergibt.

10.2. Vertrieb

Zugelassene Kryptosysteme und deren Komponenten unterliegen einem eingeschränkten

Vertrieb.

Der Export von zugelassenen Kryptosystemen und deren Komponenten unterliegt der deutschen

Exportgesetzgebung und bedarf grundsätzlich der Zustimmung der zuständigen Stellen.

11. Literaturverzeichnis

[BSI-Gesetz, 2009]

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

vom 14. August 2009, Bundesgesetzblatt Teil I Nr. 54, S. 2821

[IT-Grundschutz-Kataloge, 2008]

Webseite des BSI,

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html

[Verschlusssachenanweisung, 2006]

Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen

und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA)

vom 31. März 2006

[EU-Council Security Rules, CSR]

COUNCIL DECISION of 23 September 2013 on the security rules for protecting EU

classified information (2013/488/EU)

[NATO C-M(2002)49, 2002]

Security within the North Atlantic Treaty Organisation vom 26. März 2002

http://www.bsi.de/gshb/deutsch/m/m02011.htm

http://www.bsi.de/gshb/deutsch/m/m02011.htm

http://www.bsi.bund.de/gshb

BSI-VSA-10146 Anhang 1

Stand: 15.04.2016

Anhang 1 V1.6 Seite 1 von 3

Anhang1_Vorlage V1.6

Konstruktionsstände

Trusted Disk Version 2.3.10

BSI-VSA-10146

Anhang 1 BSI-VSA-10146

Stand: 15.04.2016



1 Konstruktionsstand Trusted Disk

1.1 Zugelassene Software

Die Zulassung gilt für das Produkt Trusted Disk in der Version 2.3.10.

1.2 Weitere Komponenten

1.2.1 Smartcard

Für den Betrieb wird eine Smartcard benötigt, deren Verwendung zusammen mit Trusted Disk

vom BSI freigegeben wird. Aktuell handelt es um die Smartcard des Types SLE 66CX680PE mit

CardOS 4.4, die vom Hersteller mit ausgeliefert wird. Weitere Freigaben können andere

Smartcards mit einbeziehen.

1.2.2 TrustedIdentity Manager

Zum Zeitpunkt der Zulassung ist der TrustedIdentity Manager Version 3.0 freigegeben.

Weitere Freigaben können andere Versionen des TrustedIdentity Manger beinhalten.

1.2.3 Trusted Object Manager

Zum Zeitpunkt der Zulassung alle Versionen des Trusted Object Manager (TOM) freigegeben,

die die folgenden für den Betrieb von Trusted Disk erforderlichen Module enthalten:

Sirrix.TrustedDisc Module 1.1.(4)

Smartcard Management 1.2.(5)

Sobald eines dieser beiden Module aktualisiert wird, muss der Trusted Object Manager erneut

freigegeben werden.


Stand: 15.04.2016



1.3 Auslieferungszustände

Zur Installation von Trusted Disk müssen Software-Module installiert werden. die die folgenden

SHA-256 Hashwerte besitzen:

1.3.1 TrustedWorkstation Agent: 2.3.(1):

TrustedWorkstationAgentSetup.msi. DA27BE886C85483B2E670D054219570AB9F91E69B8D65665D65A25AF5CB697AB

1.3.2 TrustedDisk: 2.3.10

TrustedDiskSetup.msi: 8F2595CA7BBA4CA420259121CFBDFF4446063659F7EDAAE6D6A19F465474F7F4

TDCryptoHelper Setup 2.3.10.exe: 396FA57363EBBD1D93CC7CC6EB0E5B070D54D0B9F552E4227C6551156A4C0D79

1.3.3 TrustedIdentity Manager Standalone 3.0.(0)

TrustedIdentityManagerStandaloneSetup.msi: 9DCB81507CE4C45CC2BCC3D45223E561F777A7012ED030B2C1E2061B89EA5083

1.3.4 TrustedIdentity Manager 3.0.(8)

TrustedIdentityManagerSetupCertificate.msi: EEE46946D761C5844BBFB6900EEA5545A65BAF66EDD4C60F2AE55482E1E72B90

TrustedIdentityManagerSetupCredentials.msi: 5330773B4CA47D498ABFD2BC6913EB499BE4663A74AE378D7B32203FDC2B8F49


Stand: 15.04.2016



Einsatz- und Betriebsbedingungen

Trusted Disk Version 2.3.10

BSI-VSA-10146


Stand: 15.04.2016



Vorbemerkung

IT-Systeme sind im täglichen Betrieb grundsätzlichen Bedrohungen und Risiken durch ihre

Interaktion mit der Umwelt ausgesetzt. Diese Bedrohungen wirken nicht nur direkt auf die IT-

Systeme, sondern zielen insbesondere auf die Kompromittierung der mit den IT-Systemen

verarbeiteten und übertragenen Informationen ab.

Auch nach Konzeption und Umsetzung von entsprechenden Sicherheitsmaßnahmen (z.B. nach IT-

Grundschutzhandbuch), die existierende Risiken minimieren können, bleiben eine Reihe von

Restrisiken bestehen, die im Folgenden kurz aufgezeigt werden.

IT-Systeme (Hardware und Software) unterliegen meist kurzen Innovationszyklen, die es notwendig

machen, Hardware-Upgrades vorzunehmen oder neue Software zu installieren. Ein bestehendes

System wird dadurch verändert. Die bisherigen Sicherheitsmaßnahmen können hierdurch ihre

Wirksamkeit verlieren. Es können neue Fehler in das System eingebracht werden, die zunächst

nicht offensichtlich sind (z.B. gibt es keine fehlerfreie Software). Somit können neue Bedrohungen

entstehen, die nicht durch die bestehenden Sicherheitsmaßnahmen abgedeckt werden.

Durch die Einbindung in ein größeres IT-Umfeld (z.B. LAN, Intranet) ist das betrachtete IT-System

Bedrohungen ausgesetzt, auf die man im Allgemeinen nur bedingt Einfluss ausüben kann (z.B.

erkennt ein Virenscanner immer nur die ihm bekannten Viren). Auch dieses IT-Umfeld entwickelt

sich weiter (z.B. entstehen neue Viren), sodass hier neue Bedrohungen entstehen können, auf die

man entsprechend reagieren muss.


Stand: 15.04.2016



Inhaltsverzeichnis

1 Zielstellung ................................................................................................................................... 4

2 Verantwortlichkeiten ..................................................................................................................... 4

3 Richtlinien ..................................................................................................................................... 4

4 Szenario ........................................................................................................................................ 4 4.1 Rahmenbedingungen ..................................................... Fehler! Textmarke nicht definiert. 4.2 Beschreibung ......................................................................................................................... 4

5 Einstufung ..................................................................................................................................... 8

6 Transport und Aufbewahrung ....................................................................................................... 8

7 Administration, Installation und Konfiguration ........................................................................... 8

8 Betrieb ........................................................................................................................................... 9

9 Wartung / Instandsetzung............................................................................................................ 11

10 Vernichtung / Aussonderung ................................................................................................... 12

11 Sicherheitsvorkommnisse ....................................................................................................... 12

12 Kontakt .................................................................................................................................... 12


Stand: 15.04.2016



1 Zielstellung

Ziel des vorliegenden Dokumentes ist es, dem Nutzer (Sicherheitsadministrator, Anwender) von

Trusted Disk sicherheitsrelevante Hinweise für die Handhabung des Systems zu geben.

Die Hinweise basieren auf der gültigen Fassung der Verschlusssachenanweisung (VSA). Sie sind

mit jedem ausgelieferten Produkt dem Nutzer zur Verfügung zu stellen und ggf. beim

Bedarfsträger in vorhandene Dienstanweisungen zu integrieren (Aufgabe des Geheimschutz-

bzw. IT-Sicherheitsbeauftragten).

2 Verantwortlichkeiten

Das Dokument richtet sich insbesondere an Personen, die in ihrer Organisation für die IT-

Sicherheit zuständig sind (im Allgemeinen der IT-Sicherheitsbeauftragte). Sie sind dafür

verantwortlich, dass eine entsprechende Dienstanweisung mit den hier aufgeführten Maßnahmen

erstellt wird, bzw. dass diese Vorgaben in die in der jeweiligen Organisation vorhandenen

Regelungen und Dienstanweisungen integriert und die Maßnahmen anschließend umgesetzt

werden.

Natürlich wird auch der Nutzer adressiert, da er die IT-Sicherheit in seiner Organisation

praktizieren muss. Deshalb müssen die entsprechenden Dienstanweisungen dem Nutzer in

geeigneter Weise zur Kenntnis gegeben werden.

3 Richtlinien

Bei der VS-Verarbeitung sind grundsätzlich die einschlägigen VS-Bestimmungen, insbesondere

die VSA anzuwenden. Entsprechende Richtlinien der Ressorts1 sind sinngemäß umzusetzen.

Die jeweiligen Regularien zur Abstrahlsicherheit müssen bei der Installation, Inbetriebnahme,

Betrieb, Administration sowie Wartungs- und Instandsetzungsarbeiten eingehalten werden. Dies

sind u.a. die VSA und ihre Ausführungsbestimmungen für nationale Verschlusssachen (VS)

sowie die ZDV A-960/1 und A-962/1für den Bereich der Bundeswehr, bzw. SDIP 27, 28 und 29

für den NATO-VS und die IASG7-x Dokumente für EU-VS.

4 Szenario

4.1 Beschreibung

Bei dem Produkt Trusted Disk handelt es sich um eine Festplattenverschlüsselungssoftware,

welche mehrbenutzerfähig ist. In Verbindung mit einer entsprechenden Smartcard ermöglicht

Trusted Disk das Verschlüsseln von Partitionen mit eingestuften Daten bis zum Einstufungsgrad

VS-NfD (Daten sind im ausgeschalteten Zustand verschlüsselt) sowie das Verschlüsseln von

mobilen Datenträgern (bspw. USB-Sticks). Dadurch wird der Schutz der Vertraulichkeit von

sensiblen Daten bzw. Verschlusssachen auf Datenträgern im Falle eines Verlustes gewährleistet,

1 So sind z.B. im Bereich der Bundeswehr insbesondere die dort geltenden Vorschriften (z.B. ZDv 2/30, ZDv A-

960/1, ZDv A-962/1) zu beachten.


Stand: 15.04.2016



sofern das System ausgeschaltet ist.

Für die Verschlüsselung und die Entschlüsselung eines Systems ist die Nutzung einer Smartcard

mit PIN notwendig. Um einen Verlust der Zugriffsmöglichkeit auf die Daten zu verhindern,

sollten die Benutzer oder der Systemverwalter eine Ersatzkarte besitzen. Ersatzkarten sind

ständig sicher aufzubewahren.

Ein mit Trusted Disk geschützter Computer darf Stand-Alone oder in dem (der Organisation

zugehörigen) sicheren, für VS-NfD freigegebenen Netz2 betrieben werden. Ist der Computer in

ein Netzwerk eingebunden, muss jederzeit sichergestellt sein, dass das Installieren oder

Einschleusen von Schadcode verhindert wird.

Zur Aktivierung der Sicherheitsleistung („Schutz der VS“, siehe Anwendungsfälle unten) ist der

Computer auszuschalten bzw. muss das aktive Gerät geschlossen werden. Dies kann durch

Auswahl der Menüpunkte "Herunterfahren" (Shutdown) oder "Ruhezustand" (Hibernation) im

Windows-Startmenu geschehen. Ein Schutz der gespeicherten Verschlusssachen wird durch den

Energiesparmodus, das Sperren des Gerätes oder das Ziehen der Smartcard nicht gewährleistet.

Es werden folgende Anwendungsfälle unterstützt:

Schutz von VS an einem stationären VS-Arbeitsplatz

Sicherheitsleistung: Vertraulichkeit der VS in der Zeit, in der das System abgeschaltet ist

Schutz von VS an einem mobilen VS-Arbeitsplatz

Sicherheitsleistung: Vertraulichkeit der VS in der Zeit, in der das System abgeschaltet ist

Schutz der VS auf inaktiven VS-Datenträgern bei Verbringung

Schutz der VS bei Verlust durch Abhandenkommen / Diebstahl des ausgeschalteten

Systems

Sicheres Löschen von Datenträgern mit VS

„Schutz der VS“ bedeutet hier stets „Schutz der Vertraulichkeit der VS“. Die Authentizität und

Integrität gespeicherter VS wird auch bei einem verschlüsselten Datenträger im ausgeschalteten

Zustand nicht in jeder Situation sichergestellt.

Wird das verschlüsselte System unbeaufsichtigt in einer ungesicherten Umgebung belassen, dann

besteht auch im ausgeschalteten Zustand insbesondere die Möglichkeit einer Manipulation des

Bootsektors. Es sollte daher grundsätzlich vermieden werden, dass Unbefugte unbeaufsichtigten

Zugang zu einem verschlüsselten Trusted Disk-Volume erhalten.

Durch Trusted Disk wird ein sogenannter Stealth-Modus angeboten. Der Stealth-Modus ist eine

optional konfigurierbare Funktionalität des Trusted Disk-Bootloaders. In diesem Modus können

auf einer Festplatte mehrere voneinander unabhängige verschlüsselte und unverschlüsselte

Partitionen eingerichtet werden, auf denen jeweils auch ein Betriebssystem (in aller Regel

vorgesehen Microsoft Windows) installiert werden kann. Beim Systemstart kann im Bootloader

ausgewählt werden, welche dieser Systempartitionen gestartet werden soll. Ist im Stealth-Modus

keine Smartcard angeschlossen, dann wird durch den Bootloader grundsätzlich ohne

Benutzerinteraktion das auf einer bestimmten unverschlüsselten Partition liegende

Betriebssystem gestartet.

2 Z. B. erfüllt der Aufbau und Betrieb des Netzes die Vorgaben der Anlage 4 des Geheimschutzhandbuchs (Merkblatt

für die Behandlung von Verschlusssachen) und es liegt eine Freigabe durch den Verantwortlichen vor. Das

Geheimschutzhandbuch ist auf den Internetseiten des BMWi in der aktuellen Fassung herunterladbar.


Stand: 15.04.2016



Das verschlüsselte Betriebssystem wird dabei so konfiguriert, dass ein Zugriff von der

verschlüsselten Partition auf die unverschlüsselte Partition nur mit Administratorprivilegien

möglich ist. Entsprechend muss auch die unverschlüsselte Windows-Partition so konfiguriert

werden, dass die Existenz einer zweiten, verschlüsselten Partition für einen Benutzer ohne

Administratorrechte in dem unverschlüsselten Bereich nicht offensichtlich ist.

Das im Stealth-Modus startbare Windows sowie das BIOS des zu schützenden Rechners müssen

in jedem Fall so konfiguriert werden, dass hinsichtlich des Zugangsschutzes für das auf der

Täuschpartition installierte offene Windows-System und hinsichtlich der Möglichkeit, den

Rechner von einem externen Boot-Medium zu starten, die Bestimmungen der VSA und

insbesondere des VS-NfD-Merkblattes eingehalten werden. Insbesondere sollte das Windows-

System durch ein Passwort geschützt werden.

Der Benutzer muss explizit auf die entsprechenden Inhalte des VS-NfD-Merkblattes hingewiesen

werden. Er muss des Weiteren auf die Restrisiken hingewiesen werden, die sich aus einer

Aktivierung des auf der Täuschpartition installierten Betriebssystems durch Unbefugte ergeben

können.

Eine Nutzung der Täuschpartition aus dem zu schützenden System heraus ist unzulässig. Die

Täuschpartition darf nur für den vorgesehenen Anwendungsfall verwendet werden (erzwungenes

Booten durch Drittpartei). Falls dieser Anwendungsfall eintritt, muss der Rechner als

kompromittiert betrachtet werden, sofern eine logische Verbindung zu Rechnersystemen oder

Datenträgern der Drittpartei hergestellt wurde oder dies zu vermuten ist (Beispiel: Beim Zoll

wird die Täuschpartition durch den Zollbeamten ausgelesen.).

Die aus der Nutzung des Stealth-Modus erwachsenen zusätzlichen Restrisiken sind vom Nutzer

zu tragen.

4.2 Zentrales Management

Für den zulassungskonformen Betrieb des Produktes Trusted Disk mit einem zentralen

Management ist eine Freigabe dieser Managementkomponente für diesen Einsatzzweck

zwingend Voraussetzung. Der von der Sirrix AG entwickelte TrustedObjectManager (TOM) ist

eine solche Komponente (s. Konstruktionsstand). Dabei sind die folgenden Bedingungen zu

beachten:

Der TOM kann entweder in einem abgeschotteten, physikalisch zugriffsgesicherten Netzwerk

ohne Online-Anbindung der Clients oder mit Netzverbindung zu den gemanagten Trusted Disk

Clients über das NfD-Netz des Betreibers betrieben werden.

Mit einem abgeschotteten, physikalisch zugriffsgesicherten Netzwerk ist ein Netzwerk gemeint,

das keinen Netzübergang und keine online-Verbindung zu den Client-Systemen oder

Komponenten außerhalb einer eng definierten kontrollierten Umgebung unterhält. Solche

Netzwerke finden sich z.B. in der zentralen IT-Administration zur Installation von neuen

Systemen und sind nur vor Ort zugänglich.

Sollte der TOM nicht in einem solchen abgeschotteten Netz betrieben werden, ist dieser in einem

für den Schutz und die Handhabung von Daten mit der maximalen Einstufung VS-NUR FÜR

DEN DIENSTGEBRAUCH ausgelegten und freigegebenen Netz zu betreiben. Hierbei sind

Vertraulichkeit, Integrität und Authentizität der in dem Netzwerk übertragenen, eingestuften

Informationen auf Übertragungsebene sicherzustellen und es ist zu verhindern, dass an

Netzübergängen ein Abfluss eingestufter Information oder eine Manipulation bestehender


Stand: 15.04.2016



Informationen im gesicherten Netzwerk stattfindet. Die vom Trusted Objects Manager

beziehungsweise den Trusted Workstation Agents an das Netzwerk übergebenen Daten sind als

eingestufte Daten zu behandeln. Folgendes ist sicherzustellen:

1. Das Netzwerk, in dem der TOM betrieben wird, ist für die Übermittlung von VS-NfD

eingestuften Informationen freigegeben. Der Betreiber muss sicherstellen, dass alle

Komponenten dieses Netzwerkes zuverlässig funktionieren und nicht durch Angreifer

kompromittiert worden sind. Der durch die Managementkomponente von Trusted Disk

erzeugte Netzwerkverkehr (sowohl Client- als auch Serverseite) ist als VS – NfD eingestuft

zu behandeln. Insbesondere muss ein entsprechender Schutz dieses Datenverkehrs

hinsichtlich der Eigenschaften Vertraulichkeit, Integrität und Authentizität gewährleistet

werden, der diesem Einstufungsgrad entspricht. Der Betreiber muss sicherstellen, dass der

durch den TOM und die Trusted Workstation Agents erzeugte Netzwerkverkehr durch das

Netzwerk als eingestuftes Material behandelt wird (z.B. an Netzwerkübergängen).

Bei der Umsetzung der obigen Bestimmungen sind auch temporär in das Netzwerk

eingebrachte Netzwerkkomponenten oder Rechnersysteme gegebenenfalls als Bedrohung zu

berücksichtigen (Besucher, externes Wartungspersonal, etc.).

2. Durch Trusted Disk geschützte Computer werden außerhalb des Netzwerkes des Betreibers

ausschließlich und durchgängig unvernetzt genutzt. Alle Netzwerkschnittstellen sind

abzuschalten, wenn der Rechner außerhalb des Netzwerkes des Betreibers verwendet werden

soll.

3. Der physische Zugang zum TOM wird durch entsprechende organisatorische Maßnahmen

auf Administratoren und Wartungspersonal unter Aufsicht von Administratoren beschränkt.

4. Logischer Zugang zum Administrations-Interface des TOM besteht nur aus einem speziell

gesicherten Teilnetzwerk des Betreiber-Netzwerkes (im folgenden kurz als Admin-Netz

bezeichnet), das mit dem Rest des Netzwerkes physisch nur über den Administrationsrechner

verbunden ist und das logisch vom Rest dieses Netzwerkes getrennt ist. Alle Komponenten

des Admin-Netzes sind gegen physischen Zugriff durch nicht autorisierte Personen zu

sichern (autorisierte Personen sind Trusted Disk Administratoren und Wartungspersonal unter

Aufsicht von Administratoren).

5. Ein unautorisierter Zugriff auf die im TOM vorhandene PUK-Datenbank wird als

Sicherheitsvorfall aufgefasst, dessen Bedeutung der unautorisierten Offenlegung von VS-

NfD eingestuftem Material entspricht. Daher ist diese Datenbank entsprechend zu behandeln.

6. Jeder neue Client muss nach der erstmaligen Anmeldung bei dem TOM einzeln durch den

Administrator überprüft und akzeptiert werden.

7. Jeder Client darf zu einem Zeitpunkt nur mit einem TOM verbunden sein, sodass nur ein

aktiver TOM im gesamten Netzwerk existieren darf. Erlaubt ist der Betrieb einer inaktiven

Instanz eines TOM, die ausschließlich als Standby-Gerät dient. Das Standby-Gerät muss sich

in demselben Netz befinden wie der aktive TOM. Dabei ist das Standby-Gerät logisch gegen

Datenverkehr zu anderen Netzwerkkomponenten als dem aktiven TOM abzusichern, solange

das Standby-Gerät nicht aktiv geschaltet werden soll. Weiterhin gelten für die Standby-

Instanz dieselben Anforderungen an die Sicherheit der Netzwerkumgebung und der

physischen Umgebung wie für die aktive Instanz. Im Falle des Umschaltens von der aktiven

auf die Standby-Instanz muss durch einen Administrator sichergestellt sein, dass jeder

Client erst dann eine neue Verbindung aufbaut, nachdem die Verbindung zur aktiven Instanz

durch Trennung derselben vom Netz abgebrochen wurde. Durch entsprechende

Konfiguration der Client-Systeme muss sichergestellt werden, dass Clients lediglich

entweder eine Verbindung zu der aktiven oder der Standby-Instanz aufbauen können.


Stand: 15.04.2016



8. Sicherheitsleistungen zum Schutz von Vertraulichkeit und Integrität übertragener oder

gespeicherter Informationen dürfen nur von zugelassenen Komponenten erbracht werden.

Der TOM ist keine in diesem Sinne zugelassene Komponente. Die im internen Netzwerk des

Betreibers vorhandenen Sicherheitsmaßnahmen müssen daher sicherstellen, dass die von

diesen Komponenten erzeugten Daten dieses Netzwerk nicht verlassen. Ebenso müssen die

in den vorliegenden Einsatz- und Betriebsbedingungen enthaltenen Auflagen zur Separierung

unterschiedlicher Netzwerkkomponenten (z.B. TOM und Standby-TOM, Admin-Netz und

Rest des Betreiber-Netzwerks) ausdrücklich durch Maßnahmen im Netzwerk des Betreibers

durchgesetzt werden.

5 Einstufung

Die PIN und PUK der verwendeten Smartcards sind VS-NfD einzustufen und dementsprechend

ist der sichere Zugriff bzw. die sichere Verwahrung zu gewährleisten.

Die einzelnen Komponenten von Trusted Disk - Software, Smartcardleser und Smartcard - sind

nicht eingestuft, aber sicher zu verwahren. Für die Behandlung der Smartcard gelten

insbesondere die folgenden Bedingungen:

1. Die Smartcard soll in persönlichem Gewahrsam gehalten werden.

2. In Ausnahmefällen, in denen ein persönlicher Gewahrsam nicht möglich ist, muss die

Smartcard unter Verschluss gehalten werden.

3. Es ist sicherzustellen, dass ein Verlust der Smartcard umgehend an den zuständigen IT-

SiBe/Geheimschutzbeauftragen und den IT-Administrator gemeldet wird.

4. PIN und PUK sind geheim zu halten.

5. Die Nutzer sind darauf hinzuweisen, dass eine vorhersagbare Wahl der PIN (z.B.

Geburtsdatum o.ä.) die Sicherheit des Systems genauso beeinträchtigt wie eine unsichere

Verwahrung der PIN.

6 Transport und Aufbewahrung

Während des Transportes ist das mit Trusted Disk verschlüsselte System oder Speichermedium

auszuschalten bzw. zu deaktivieren.

Die Smartcard muss getrennt vom System aufbewahrt bzw. versendet werden. Insbesondere ist

die Smartcard immer unter Kontrolle zu behalten. Die Aufbewahrung bzw. der Versand von PIN

und PUK zusammen mit der Smartcard ist nicht zulässig.

Auf mitgeführten verschlüsselten externen Datenträgern und mobilen Computern (z.B. auf

Dienstreisen), die mit der ebenfalls mitgeführten Smartcard zugänglich sind, sollen nur die

unbedingt erforderlichen eingestuften Dokumente abgespeichert werden.

7 Administration, Installation und Konfiguration

Die Administration, Installation und Konfiguration von Trusted Disk muss von dazu

berechtigtem Personal in einer Umgebung durchgeführt werden, die für die Verarbeitung und

Speicherung von Daten mit der Einstufung VS‑NUR FÜR DEN DIENSTGEBRAUCH

freigegeben ist. Hierzu müssen die Anweisungen aus den Handbüchern befolgt werden.


Stand: 15.04.2016



Um Trusted Disk zu installieren, ist ein Computer mit mindestens einer Festplatte notwendig. Es

wird eine bestehende, frische Installation des Betriebssystems vorausgesetzt (bei Windows

7/8/10 mit der Standardpartitionierung).

Eine initiale Vollverschlüsselung des Systems vor dem Aufbringen von Verschlusssachen wird

empfohlen.

Die Installation des TrustedIdentity Manager (Standalone) muss auf einer getrennten

Administrations-Station erfolgen. Die Administrations-Station muss für die Verarbeitung von VS

zugelassen sein und in einem gesicherten Bereich stehen. Eine Datensicherung der Schlüssel und

Zertifikate der Administrations-Station wird empfohlen. Diese ist ebenfalls geschützt

aufzubewahren. Die entsprechenden kryptographischen Geheimnisse (insbesondere der private

Schlüssel der durch den TrustedIdentity Manager (Standalone) erzeugten CA) sind dabei als VS-

NfD eingestufte Daten zu behandeln. Ihre Vertraulichkeit und Integrität sind entsprechend

sicherzustellen.

Für die Verwendung von Trusted Disk wird die Benutzung einer Smartcard mit PIN (s.o)

vorausgesetzt. Die Personalisierung der Karten erfolgt durch den TrustedIdentity Manager bzw.

durch den TrustedIdentity Manager (Standalone).

Nach der Installation von Trusted Disk auf den Clients folgt die Initialisierung des Systems.

Anschließend kann die Systempartition verschlüsselt werden.

Bei der Verschlüsselung von externen Medien wie USB-Sticks durch Trusted Disk werden alle

Daten auf dem zu verschlüsselnden Medium gelöscht. Bei der Installation auf der System-

Festplatte eines PC-Systems werden die Daten der zu verschlüsselnden Partition in dieselbe

überführt. Insbesondere bei Verwendung von Solid State-Speichern ist aber nicht auszuschließen,

dass unverschlüsselte Daten in beiden Fällen mit forensischen Mitteln nach Abschluss des

Verschlüsselungsvorgangs auf dem Trägermedium noch nachgewiesen werden können. Eine

Speicherung von Daten mit der Einstufung "VS-NUR FÜR DEN DIENSTGEBRAUCH" sollte

erst nach der Verschlüsselung der Partition erfolgen.

8 Betrieb

8.1 Allgemeines

Als maximale Partitionsgröße ist je Partition höchstens 1 Terabyte zu verwenden.

Eine Umschlüsselung ist nach 5 Jahren durchzuführen.

Anlassbezogen ist eine Umschlüsselung möglichst zeitnah dann durchzuführen, wenn der

Verdacht besteht, dass Schlüsselmaterial kompromittiert wurde, wenn ein Nutzertoken verloren

gegangen ist, oder wenn einem Nutzer die Zugriffsrechte entzogen wurden oder wenn das

System eine Umschlüsselung verlangt.

Verschlüsselte externe mobile Datenträger dürfen nicht auf Chiffratebene kopiert und

vervielfältigt werden. Soll z.B. die gleiche VS an verschiedene Empfänger verteilt werden, so

muss für jeden Empfänger ein externer mobiler Datenträger eingerichtet und die VS darauf

kopiert werden.

Für den zugelassenen Betrieb ist nur eine für diesen Zweck geeignete Smartcard (siehe

Konstruktionsstand) zu verwenden, für deren Verwendung zusammen mit Trusted Disk vom BSI


Stand: 15.04.2016



eine Freigabeempfehlung erteilt wird. Für die Behandlung der Smartcard gelten insbesondere die

folgenden Bedingungen:

1. Die Smartcard soll in persönlichem Gewahrsam gehalten werden.

2. Die Smartcard ist getrennt von dem Gerät aufzubewahren und die Eingabe der PIN darf nur

in einer Umgebung erfolgen, in der eine Einsichtnahme durch Dritte nicht erwartet wird und

in der auf die gespeicherten Verschlusssachen zugegriffen werden darf.

3. In Ausnahmefällen, in denen ein persönlicher Gewahrsam nicht möglich ist, muss die

Smartcard unter Verschluss gehalten werden.

4. Es ist sicherzustellen, dass ein Verlust der Smartcard umgehend an den zuständigen IT-

SiBe/Geheimschutzbeauftragen und den IT-Administrator gemeldet wird.

5. PIN und PUK sind geheim zu halten.

6. Die Nutzer sind darauf hinzuweisen, dass eine vorhersagbare Wahl der PIN (z.B.

Geburtsdatum o.ä.) die Sicherheit des Systems genauso beeinträchtigt wie eine unsichere

Verwahrung der PIN.

Änderungen bzw. Updates sind für die betroffenen Systeme durchzuführen. Das Booten eines

Computers von anderen Medien außer der Systemplatte darf nicht möglich sein. Die lokale

Systemplatte darf nicht mit anderen Computern z.B. über ein Netzwerk geteilt werden, um das

Aufspielen kompromittierter Daten oder bösartiger Software zu vermeiden.

Der eingesetzte Computer muss konsequent durch organisatorische Maßnahmen gegen

Manipulation geschützt werden. Regulär muss er in einer Umgebung aufbewahrt werden, die für

die Verwahrung von VS-NfD eingestuften Dokumenten geeignet ist. Beim Betrieb außerhalb

einer solchen Umgebung ist vor der Benutzung des Systems zu prüfen, ob

Manipulationsversuche erkennbar sind. Das System sollte bei temporärer unbeaufsichtigter

Verwahrung in einer solchen Umgebung so aufbewahrt werden, dass ein Zugriff durch

Unbefugte nachträglich erkannt werden kann. Der Zeitraum einer unbeaufsichtigten

Aufbewahrung in einer solchen Umgebung ist auf ein Minimum zu reduzieren. Die Mitnahme

eingestufter Daten ist in diesem Fall ebenfalls auf das unbedingt notwendige Maß zu reduzieren.

Die Smartcard ist immer mitzuführen.

Mobile Datenträger (z.B. USB-Sticks), die mit Trusted Disk verschlüsselt sind, dürfen

grundsätzlich nicht unbeaufsichtigt in einer nicht vertrauenswürdigen Umgebung belassen

werden. Die initiale Schlüsselgenerierung für einen solchen mobilen Datenträger sollte in einer

gesicherten Umgebung erfolgen. Es sollen grundsätzlich in ein solches, mit Trusted Disk

verschlüsseltes, externes Medium nur solche Daten kopiert werden, die zu kopieren unbedingt

notwendig ist. Ausgenommen sind externe Laufwerke, die dauerhaft in einer sicheren Umgebung

verwahrt werden.

Beim Betrieb des Computers muss regelmäßig vor der Benutzung geprüft werden, ob

Manipulationsversuche erkennbar sind (Sichtprüfung). Insbesondere ist darauf zu achten, dass

die Systemfestplatte nicht entfernt und kein Keylogger angebracht worden ist. Bei Systemen mit

einfach entfernbarer Festplatte (z.B. Laptop) sollte durch geeignete technische oder

organisatorische Maßnahmen, z.B. durch das Anbringen entsprechender fälschungssicherer

Etiketten am Gerät oder eine dauerhafte Aufbewahrung des Geräts unter Kontrolle des

Benutzers, sichergestellt werden, dass feststellbar ist, ob das Gerät geöffnet wurde oder nicht.

Bei Verwahrung in einer ungesicherten Umgebung (s.o.) ist eine Prüfung vor jedem Gebrauch

durchzuführen, falls technische Maßnahmen (i.e. Versiegelung) ergriffen worden sind. Ohne

technische Maßnahmen ist eine Verwahrung in einer ungesicherten und unbeaufsichtigten


Stand: 15.04.2016



Umgebung (s.o.) nicht zulassungskonform. Bei Verdacht einer Manipulation sollte das System

nicht gestartet, sondern der Sicherheitsbeauftragte informiert werden.

Die Zulassung von Trusted Disk bezieht sich auf den Betrieb mit dem Betriebssystem Microsoft

Windows 7, Windows 8, Windows 8.1 und Windows 10. Maßnahmen des BSI-

Grundschutzkatalogs zur Sicherheit von Systemen wie z.B. das Einspielen aktueller

Sicherheitsupdates und -patches, Installation von Service Packs für das Betriebssystem, etc. sind

umzusetzen. Zusätzlich ist der Einsatz eines aktuellen Anti-Viren Scanners notwendig. Nicht

vertrauenswürdige Software, die Sicherheitsfunktionen von Trusted Disk einschränken oder

außer Kraft setzen könnte, darf nicht vorhanden sein. Das System muss regelmäßig auf den

Befall durch Viren mit einer geeigneten Software geprüft werden.

Die Installation von sonstiger Software, welche die von Trusted Disk bereitgestellten

Zugriffsmöglichkeiten auf die Festplatte umgeht oder modifiziert, ist auf einem durch Trusted

Disk geschützten System grundsätzlich nicht zulassungskonform. Im Zweifelsfall ist der

Hersteller von Trusted Disk zu befragen. Ebenso wenig darf Software installiert werden, welche

ggf. bösartige Anteile (z.B. Viren, Trojaner) enthält. Es darf nur solche Software installiert

werden, welche für die Nutzung auf entsprechend freigegebenen Arbeitsplätzen in der

Organisation erlaubt ist. Im Zweifelsfall ist der IT-Sicherheitsbeauftragte zu befragen. Der

Betrieb von Trusted Disk auf einer virtuellen Maschine wird durch die Zulassung ebenfalls nicht

abgedeckt.

Die Benutzer sind darüber zu belehren, dass auch zu Zwecken der Datensicherung keine

Abbilder eines Volumes erzeugt werden dürfen. Soweit Sicherungskopien von Inhalten erzeugt

werden sollen, müssen diese erneut mit Trusted Disk oder einer anderen, zugelassenen

Festplattenverschlüsselung gesichert werden. Alternativ muss durch entsprechende

organisatorische Maßnahmen sichergestellt werden, dass ein unberechtigter Zugriff auf diese

Festplattenabbilder nicht möglich ist. Abbilder auf Chiffrat Ebene im Zuge einer

Sicherungskopie sind nur durch vertrauenswürdige Administratoren zu erstellen und in einer für

VS-NfD freigegebenen Umgebung (z.B. Rechenzentrum, gesicherte Serverräume)

aufzubewahren. Gegebenenfalls könnte ein ISO-Abbild der Klardaten oder des Chiffrats auch

mit einer zugelassenen Dateiverschlüsselungs-Lösung vor Einsichtnahme durch Unbefugte

geschützt werden.

8.2 Hinweis

Während des Betriebs wird durch das Produkt Trusted Disk kein Schutz für die VS-Daten

geboten. Der Einsatz verhindert nicht den Abfluss vertraulicher Informationen aus dem

laufenden System durch Abspeicherung auf unverschlüsselten externen Speichermedien, durch

unverschlüsselte Netzlaufwerke oder andere Gefahren im laufenden Betrieb. Es sind die

Maßnahmen zur Wahrung der Integrität des Gesamtsystems zu beachten, um Manipulationen am

System zu begegnen. Die Nutzer sind über diese Gefahren zu belehren.

9 Wartung / Instandsetzung

Bei Wartungsarbeiten ist entsprechend verpflichtetes oder sicherheitsüberprüftes Personal

einzusetzen oder anderes Personal durch geeignetes Personal zu beaufsichtigen.

Bei diesen Arbeiten geht es zum einen um die Installation der Software auf einem neuen System,

die Durchführung von Updates, die Deinstallation von Trusted Disk und die Erstellung der


Stand: 15.04.2016



Installationspakete. Zum anderen gehören auch das Hinzufügen bzw. das Entfernen von Profilen,

das Erstellen, Umschlüsseln und Löschen des Systems sowie die Initialisierung und

Personalisierung der Token zu diesen Arbeiten.

Produktupdates und Patches dürfen nur durch berechtigte Benutzer über eine zentrale

Softwareverteilung oder durch Plattformadministratoren lokal auf dem System veranlasst

werden.

10 Vernichtung / Aussonderung

Bei Aussonderung von Komponenten der genutzten Geräte sind die entsprechenden VS-

Bestimmungen zu beachten.

Bei Aussonderung der mit Trusted Disk verschlüsselten Systeme ist die von Trusted Disk

angebotene Löschfunktion zu benutzen. Dazu wählt der Besitzer in der GUI die Funktion

"Volume löschen" aus und folgt den Anweisungen. Anschließend ist das Volume gelöscht und

der Datenbereich wurde sicher überschrieben.

Soll das Speichermedium ausgesondert werden, das die Trusted Disk Pre-Boot-Umgebung

enthält, wird empfohlen, zusätzlich zu der vorstehenden Maßnahme das gesamte

Speichermedium mit einem geeigneten Löschprodukt zu überschreiben. Hintergrund sind das

Entfernen der installierten Trusted Disk Software sowie das Überschreiben von in dieser

Umgebung gespeicherten Informationen (wie z.B. Nutzerzertifikate).

Sollte die Smartcard nicht mehr benötigt werden, so ist diese zu de-personalisieren und

anschließend zu vernichten.

Weitere Vorgaben können beim BSI (Kontaktadresse s. Punkt 12 b) angefordert werden.

11 Sicherheitsvorkommnisse

Bei Verdacht auf Manipulation oder Feststellung sonstiger Auffälligkeiten (unerklärliche

Störungen, etc.) ist Trusted Disk außer Betrieb zu nehmen und der zuständige

Geheimschutzbeauftragte oder IT-Sicherheitsbeauftragte und ggf. das BSI (s. Punkt 12 ) zu

informieren.

Der Bedarfsträger bzw. Nutzer des Produktes ist verpflichtet, dem Hersteller einen

Ansprechpartner für Sicherheitsthemen z.B. den IT-Sicherheitsbeauftragten inkl. Kontaktdaten

zu benennen und diese Informationen auf dem aktuellen Stand zu halten. Der Hersteller wird

diesen Ansprechpartner nur für Informationen zu Sicherheitsvorfällen, sicherheitsrelevanten

Produktupdates sowie Aktualisierungen dieser Zulassung kontaktieren.

12 Kontakt

a) Bei entdeckter oder vermuteter Manipulation nennen Sie bitte nur die Gerätebezeichnung

und Ihre Kontaktinformation.

Weitere Informationen müssen vertraulich ausgetauscht werden.

Bundesamt für Sicherheit in der Informationstechnik

Krypto-Support


Stand: 15.04.2016



Postfach 20 03 63

53133 Bonn

E-Mail: [email protected]

b) Bei Fragen zum Verfahren verweisen wir auf unsere FAQ-Übersicht im Internet unter

https://www.bsi.bund.de/DE/Service/FAQ/EvaluierungundZulassung/faq_node.html

Sollten darüber hinaus noch Fragen offen sein, so können Sie sich – sofern es sich um nicht

sensible Inhalte handelt – per E-Mail an folgende Adresse wenden:


c) Hersteller

Sirrix AG

Im Stadtwald D3 2

66123 Saarbrücken

Deutschland Tel.: +49 681 95986-0


mailto:[email protected]



Documents

Stand: 15.04 - · PDF fileBSI-VSA-10146 Report Stand: 15.04.2016 Report V1.17 Seite 2 von 7 Report_Vorlage Z_V1.17 Vorbemerkung Das Bundesamt für Sicherheit in der