FAQ zu SINA und "SINA Laptops"
In der aktuellen Berichterstattung zu Spionage-Aktivitäten rund um den ehemaligen Wirecard-COO Jan Marsalek wurde dargelegt, dass „SINA Laptops“ in die Hände des russischen Geheimdienstes gelangt sein sollen.
Mit den folgenden FAQ wollen wir häufig gestellte Fragen rund um das Thema beantworten.
Stand: 16.04.2024
Was ist SINA?
Die Sichere Inter-Netzwerk Architektur (SINA) ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit secunet entwickelte Produktfamilie zur Übertragung und Verarbeitung von schützenswerten Informationen in unsicheren Netzen.
SINA umfasst eine stetig wachsende Familie von modularen Komponenten zur Absicherung verschiedenster Anwendungsszenarien, wie z.B. der Verbindung von Standorten, der Nutzung mobiler Arbeitsplätze oder dem Betrieb unterschiedlich schutzbedürftiger Arbeitsplatzsitzungen auf nur einem Rechner.
Durch den weitgehenden Einsatz von Open-Source-Software sowie zahlreicher, aufeinander abgestimmter Sicherheitsmechanismen (u.a. VPN-basierte Netzwerkverschlüsselung, lokale Datenverschlüsselung, Kapselung von Betriebssystemen, Schnittstellenkontrolle) werden flexible, skalierbare und hochsichere Lösungen realisiert.
Mehr Informationen finden sich hier auf der Website des BSI.
Was ist ein „SINA Laptop“ und was unterscheidet ihn von einem normalen Laptop?
Ein „SINA Laptop“ ist ein Client aus der SINA Produktfamilie, der Produktname lautet SINA Workstation. Im Gegensatz zu einem herkömmlichen Laptop kommen bei einer SINA Workstation aufeinander abgestimmte modulare Sicherheitsmaßnahmen zum Einsatz, die eine standortunabhängige und sichere Bearbeitung auch von Verschlusssachen oder anderen sensiblen Daten ermöglichen.
Zu den ineinandergreifenden Sicherheitsmaßnahmen bei SINA Workstations zählen unter anderem:
- IPsec-geschütztes VPN - zur abhörsicheren Verschlüsselung des Datenverkehrs
- Zwei-Faktor-Authentifizierung - damit nur berechtigte Nutzer mit einer Smartcard und dazugehöriger PIN auf das Gerät zugreifen können
- Virtualisierung / SINA OS - zur Kapselung der Gastbetriebssysteme
- Festplattenverschlüsselung - damit alle Informationen jederzeit verschlüsselt sind und von Unbefugten nicht ausgelesen werden können
- Schnittstellenkontrolle – regelt die Freigabe dafür, ob und welche Geräte an eine SINA Workstation angeschlossen werden dürfen.
Den einen „SINA Laptop“ gibt es nicht. Für die unterschiedlichen Geheimhaltungsgrade VS-NfD, VS-VERTRAULICH und GEHEIM gibt es unterschiedliche Geräte, die jeweils entsprechende Zulassungen besitzen und je nach Sicherheitsniveau auch mit zusätzlichen Maßnahmen geschützt sind.
Wer mehr zu den Geheimhaltungsgraden wissen möchte, wird hier fündig.
Am weitesten verbreitet im Formfaktor Laptop ist die SINA Workstation S, die vom BSI für die Verarbeitung, Speicherung und Übertragung von Informationen bis zum Geheimhaltungsgrad VS-NfD im nationalen Kontext zugelassen ist. Insgesamt sind mehr als 200.000 SINA Workstation S bei Kunden im Einsatz.
Ergänzend zu den technischen Voraussetzungen muss die jeweilige Organisation, welche SINA Komponenten einsetzt, die Einsatz- und Betriebsbedingungen einhalten. Diese werden durch die zuständige Cybersicherheitsbehörde – in Deutschland das BSI – vorgegeben. Dazu kann zum Beispiel zählen, wer welche Information mit den Geräten verarbeiten darf und wie Authentisierungs-Faktoren zu behandeln sind. Für die Einhaltung dieser Einsatz- und Betriebsbedingungen ist die Organisation des Nutzers zuständig.
Können Hacker oder andere Angreifer Daten von einem entwendeten „SINA Laptop“ auslesen?
Die SINA Architektur ist genau für solche Szenarien – Spionage, Manipulation, Verlust oder Diebstahl eines Geräts – entwickelt worden. Sollten also Unbefugte in den Besitz von SINA Geräten gelangen, sind weder die darin gespeicherten Informationen noch die Technologie der Systeme selbst gefährdet.
SINA Produkte setzen das sogenannte "Kerckhoffs´sche Prinzip" um. Die Sicherheit der Kryptographie beruht bei SINA ausschließlich auf der Geheimhaltung des Schlüssels selbst, nicht auf der Geheimhaltung verwendeter Verschlüsselungsalgorithmen oder technischer Komponenten. SINA Systeme verwenden hier ausschließlich Standard-Verfahren wie bspw. AES für den Bereich VS-NfD (RESTRICTED) und beruhen maßgeblich auf Open-Source-Software. Dieses Konzept erlaubt es secunet und Dritten, wie dem BSI, die Sicherheit anhand des Sourcecodes zu prüfen.
Kurz: Die Systeme sind so konstruiert, dass auch durch zum Beispiel Reverse Engineering ein Angreifer keine wesentlichen Erkenntnisse erlangen könnte, die ihn dazu befähigen, (weitere) SINA Geräte anzugreifen oder auf dort gespeicherte Informationen zuzugreifen.
Technologisch verhindert SINA, dass Angreifer von einem entwendeten oder verlorenen Laptop Daten auslesen oder damit unautorisiert auf angebundene Netzwerke zugreifen können. Dies setzt voraus, dass die Angreifer nicht im Besitz aller Authentisierungs-Faktoren (Zugangsdaten, Smartcards, Zertifikate) sind.
Mit dem zentralen SINA Management kann eine betreibende Organisation jederzeit Personen und Geräte sperren und damit einen unbefugten Zugriff auf das Netzwerk verhindern.
Organisationsübergreifende Angriffe sind technisch nicht möglich.
Die SINA Architektur und die im Betrieb befindlichen Geräte sind sicher und werden in keiner Weise von den berichteten Vorkommnissen beeinflusst. Das gilt unabhängig vom Zulassungsgrad der Geräte.
Kann secunet auf die gespeicherten Daten in einer SINA Workstation zugreifen?
Nein, secunet als Hersteller hat generell keinerlei Zugriff auf die Daten, die auf SINA Geräten seiner Kunden gespeichert sind oder damit übermittelt werden. SINA Netzwerkinfrastrukturen werden in der Regel von den Kunden selbst betrieben und verwaltet. Dazu gehört auch die Verwaltung bzw. das Management von Zugriffsbeschränkungen und der Authentisierungsmaßnahmen. Das ist auch ein wesentlicher Beitrag zur digitalen Souveränität.
In der Medienberichterstattung wird die mutmaßlich entwendete SINA Workstation oftmals als „Geheim-Laptop“ beschrieben.
Generell ist zwischen der umgangssprachlichen Verwendung des Wortes „Geheim“ und den in der öffentlichen Verwaltung geltenden, klar definierten Geheimhaltungsstufen zu unterscheiden.
Für drei der vier in Deutschland geltenden Geheimhaltungsstufen sind SINA Komponenten mit entsprechenden Zulassungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) verfügbar: VS-NfD, VS-VERTRAULICH und GEHEIM. Die meisten im Umlauf befindlichen Geräte sind für den niedrigsten Grad VS-NfD („VERSCHLUSSSACHE – NUR FÜR DEN DIENSTGEBRAUCH“) zugelassen. Sie stellen in vielen Bundesbehörden den Standardarbeitsplatz. Für VS-VERTRAULICH oder GEHEIM zugelassene Geräte sind mit zusätzlichen Sicherheitsmaßnahmen geschützt.
Darüber hinaus besitzen viele SINA Produkte auch Zulassungen für vergleichbare internationale Geheimhaltungsgrade, etwa für den Einsatz in internationalen Organisationen wie EU und NATO.
Sie sind Journalist*in oder Blogger*in? Dann können Sie sich bei weiteren Fragen gern über das folgende Kontaktformular an uns wenden.
Wir freuen uns über Ihre Nachricht.