Projekt
SINA in der Praxis

Lösungsansätze mit SINA in der Praxis

Zentrale Fernadministration mit dem SINA Remote Admin Server S
Der SINA Remote Admin Server S (SINA RAS) ermöglicht die Fernwartung der SINA Workstation S und macht so die Administration Ihrer IT-Infrastruktur sehr flexibel.

Fast alle Elemente, die Sie in der Benutzeroberfläche einrichten, können Sie mit dem SINA RAS „remote“ anpassen. Damit ermöglicht SINA RAS eine umfassende und zeitsparende Client Lifecycle Administration für bestehende und neue Geräte.
Mit einer zentralen Remote-Administration Zeit sparen und Personal entlasten
Vorteile der zentralen Fernadministration
IT-Infrastruktur

Mit der SINA Workstation S können Mitarbeiter*innen standortunabhängig VSA-konform arbeiten. Anpassungen an den Clients durch Administrator*innen sind aber notwendig, um Sicherheitsstandards oder Arbeitsplätze zu aktualisieren oder neue Betriebsumgebungen anzulegen.

Mit dem SINA Remote Admin Server S können diese Arbeiten „remote“ durchgeführt werden, ohne dass das Gerät der Administration physisch zur Verfügung steht. Logistischer Aufwand und ein Ausfall des Arbeitsgeräts werden vermieden, gleichzeitig wird die Administration entlastet.

Mobile Arbeit

Egal ob im Home-Office oder auf Reisen – die Herausforderung für die IT-Abteilungen ist die gleiche.

Die Mitarbeiter*innen und Arbeitsgeräte sind nicht vor Ort und es kann keine direkte Betreuung stattfinden. Dafür gibt es die Fernwartung, die aber in Infrastrukturen mit erhöhten Sicherheitsanforderungen nicht ohne weiteres möglich ist.

In SINA Infrastrukturen steht der Remote Admin Server S zur Verfügung. Dieser kann – über eine sichere Verbindung – Konfigurationsänderungen an der SINA Workstation S vornehmen, automatisiert für viele oder auch für einzelne SINA Workstations.

Massenrollout

Eine manuelle Installation und Personalisierung von SINA Workstations erfordert Zeit und Personalressourcen.

Mit dem SINA Remote Admin Server S können automatisiert eine große Anzahl von SINA Workstations grundinstalliert und personalisiert werden. Die Installation kann in entsprechend ausgestalteten Installationsumgebungen oder auch im Feld bei den Mitarbeiter*innen durchgeführt werden.

In Krisenzeiten wie in der Corona-Pandemie können Behörden und Unternehmen die Maßnahmen wie Home-Office-Pflichten unvorbereitet treffen. Sehr viele Mitarbeiter*innen müssen dann in kurzer Zeit in Heimarbeit geschickt werden, ohne dass die entsprechenden Voraussetzungen vorhanden sind. Hier können die betroffenen Behörden und Unternehmen mit einer SINA Infrastruktur schnell reagieren und ihre Mitarbeiter*innen mit automatisiert installierten SINA Workstations ausstatten. Damit sinkt zugleich das Risiko für sicherheitsrelevante Konfigurationsfehler, die durch manuelle Installationen unter Zeitdruck entstehen.

Update

Für das SINA Sicherheitsbetriebssystems werden laufend Updates bereitgestellt, um auf neue Technologien und Nachfragen zu reagieren und die Sicherheit der Systeme zu gewährleisten. Die Anwender*innen führen dann in einem flexiblen Zeitfenster das Update selbst durch. Doch die Erfahrung zeigt – Updates werden gerne aufgeschoben.

Mit dem SINA Remote Admin Server S kann die Administration noch nicht aktualisierte Clients automatisiert updaten. So wird sichergestellt, dass alle SINA Workstations die aktuellste Version des SINA Sicherheitsbetriebssystems nutzen.

Integration

Für eine Administration der SINA Clients über Drittsysteme bietet der SINA Remote Admin Server S Schnittstellen an, die von anderen Administrationsprogrammen verwendet werden können. Dabei ist der SINA RAS der Vermittler zwischen dem Administrationstool und den SINA Workstations. Durch die verwendete Groovy-Technologie ist eine vollständige Integration in Ihren Workflow möglich.

Business Continuity

Mit SINA werden Ihre Daten durch Verschlüsselungstechnologie und weitere Sicherheitsmaßnahmen der SINA Workstation – wie beispielsweise die Schnittstellenkontrolle und Secure Boot – umfangreich geschützt. Dennoch stellt Schadcode wie Viren, Trojaner und Würmer eine Bedrohung auch in hoch gesicherten Netzen dar.

Ist ein Sicherheitsvorfall durch Malware trotz aller Maßnahmen eingetreten, kann mit SINA der Schaden deutlich vermindert werden. So kann die SINA Workstation dank der Virtualisierungstechnologie und strikter Separierung weiter mit der SINA Infrastruktur kommunizieren, auch wenn ein Arbeitsplatz (z. B. Windows) infiziert ist. Über das zentrale Management können die betroffenen Systeme schnell vom Netz getrennt werden, sodass sich das Schadprogramm nicht weiterverbreiten kann.

Bei einer Bereinigung und Neuinstallation der Systeme verzögert sich die Wiederanlaufzeit, wenn diese manuell durchgeführt wird. Mit dem SINA Remote Admin Server S kann der Wiederanlaufprozess bei Disaster Recoverys remote automatisiert laufen. Die Wiederanlaufzeit reduziert sich somit von mehreren Wochen auf wenige Tage oder gar Stunden.

Kernfunktionen
Schritt 1 von 3
Schritt 1
Schritt 2 von 3
Schritt 2
Schritt 3 von 3
Schritt 3
Fragen und Lösungen in der Praxis

Der SINA Remote Admin Server S ist eine leistungsfähige Komponente, um SINA Workstations im Feld zu installieren, administrieren oder zu inventarisieren. Mit dem SINA RAS ist es möglich, auch große Anzahlen von SINA Workstations mit geringen Personalressourcen zu managen und damit einen sicheren Zugriff innerhalb der PKI zu gewährleisten.

Die Administration ist ein zentraler Bestandteil von digitalen Infrastrukturen. Die SINA Workstation kann sowohl lokal als auch – über den SINA Remote Admin Server S – remote verwaltet werden.

Bei Organisationen mit wenigen SINA Workstations kann die lokale Administration funktionieren. Für Wartungsarbeiten müssen die Geräte dann zur Administration vor Ort gebracht werden. Manuelle Änderungen haben aber einen nicht zu unterschätzenden Zeit- und Personalaufwand und ein erhöhtes Fehlerrisiko.

Ein großer Vorteil der SINA Workstation ist die ortsunabhängige Nutzung. Daher können die mobil einsetzbaren Geräte weit verstreut sein, wenn Wartungsarbeiten anstehen oder ein Fehler eintritt. Wir empfehlen daher die Fernwartung für Organisationen mit vielen SINA Workstations, wo die Administration auch mehrere Standorte betreut.

Der SINA RAS kann Konfigurationen automatisiert für mehrere Mitarbeiter*innen gleichzeitig ausführen. Damit wird die Administration der SINA Workstations flexibler, einfacher und weniger fehleranfällig.


Die Arbeitsweise des SINA RAS entspricht grundsätzlich einer asynchronen Stapelverarbeitung (Batch-Betrieb), was bedeutet, dass einzelne Jobs in entsprechende Job Queues eingestellt und dann im Stapelbetrieb abgearbeitet werden. Ist die SINA Workstation für den SINA RAS konfiguriert (also eine entsprechende Sicherheitsbeziehung (SA) vorhanden), nimmt sie Kontakt mit dem SINA RAS auf und trägt sich in die Liste der Workstations ein. Der Server prüft regelmäßig, ob Jobs zur Verarbeitung anstehen. Ist die SINA Workstation in die Liste eingetragen, wird die Abarbeitung der anstehenden Jobs initiiert.

Dabei kann der SINA RAS ohne großen Aufwand auf die organisationsspezifischen Workflows zur Steuerung (Skripte, Jobs, Templates) angepasst werden. Mit den üblichen Unix-Mechanismen kann der Server auch in andere Workflow-Systeme integriert werden.

 


Bevor eine SINA Workstation an Mitarbeiter*innen ausgegeben wird, wird diese eingerichtet – also beispielsweise mit den entsprechenden Berechtigungen versehen und mit verschlüsselten Dateisystemen und Arbeitsplätzen (z. B. Windows) ausgestattet. Sie können Clients zentral an einem Installationsstandort installieren oder bei den Mitarbeitenden am Arbeitsplatz.

Für größere Organisationen lohnt sich eine zentrale Installationsstraße, in der eine große Anzahl von SINA Workstations mit dem SINA RAS automatisiert installiert und parametrisiert werden können (Massenrollout).

Wenn der logistische Aufwand zu hoch ist, liefern Sie das Gerät direkt an die Mitarbeiter*innen und schreiben Sie nur den SINA ID Token zentral. Sie können dann die SINA Workstation remote durch den SINA RAS installieren und parametrisieren. Die Installation eines Arbeitsplatzes, wie z.B. Windows, kann durch PXE Boot oder durch die Datenmenge beeinträchtigt sein. Die SINA seitige Installation und Parametrisierung der Workstation braucht keine besonders performante Verbindung.

Auch ein gemischter Ansatz ist möglich. Die SINA Installation, Parametrisierung und Vorbereitung erfolgt beim Mitarbeiter, die Installation des Arbeitsplatzes (mit bestehenden Systemen wie z. B. SCCM) später im sicheren Standortnetz.


Bevor eine SINA Workstation an Mitarbeiter*innen ausgegeben wird, wird diese eingerichtet – also beispielsweise mit den entsprechenden Berechtigungen versehen und mit verschlüsselten Dateisystemen und Arbeitsplätzen (z. B. Windows) ausgestattet. Eine Installation des SINA Sicherheitsbetriebssystems muss nicht durchgeführt werden, da dies üblicherweise in der aktuell freigegebenen Version mit der Workstation ausgeliefert wird

Um eine große Anzahl an SINA Workstations automatisiert zu installieren, empfiehlt sich der Aufbau einer zentralen Installationsstraße. Die einzelnen Installationen können so parallel durchgeführt werden, da jede Installation asynchron auf der entsprechenden Workstation angestoßen wird.

Es bietet sich im Hinblick auf Netzauslastung und Sicherheitskriterien an, hier einen abgetrennten Netzbereich für die Installation zu verwenden, was aber nicht zwingend erforderlich ist. Wenn die Installationen an einer zentralen Stelle durchgeführt werden, ist es zudem ratsam, für die Installationsstraße eine entsprechende Anzahl an Dockingstations zur
Verfügung zu haben.

Statt der Einrichtung einer zentralen Installationsstraße können solche Installationen mithilfe der mitgelieferten Custom Scripts auch dezentral bei den Mitarbeitenden durchgeführt werden. Da in diesem Fall keine Verarbeitung über Templates stattfindet, muss hierbei jedoch skriptgesteuert jede einzelne Installation parametrisiert werden.

Infrastrukturvoraussetzungen der Installationsumgebung

Aus dem (Installations-)Netzbereich muss es möglich sein, dass die zu installierenden SINA Workstations Kontakt zum SINA Remote Admins Server S aufnehmen können und während des Installationsvorgangs der Server seinerseits die Verbindung zu den SINA Workstations initiieren kann. Des Weiteren ist es notwendig, dass die SINA Workstations während der Installation Zugriff auf den LDAP-Dienst des SINA Managements oder auf den Replikationsserver (LDAP Consumer) haben. Das Ready for Install (RFI) Flag im SINA Betriebssystem, das als eine Art Erkennungsmerkmal für Installationen mit dem Installserver Plugin notwendig ist, wurde in der Regel bereits vor der Auslieferung gesetzt.

Für einen solchen Installationsvorgang mit dem SINA RAS Installserver Plugin bietet es sich an, dedizierte Installationskarten zu verwenden, die nur die für die Installation notwendigen SAs und Berechtigungen besitzen. Alle benutzten temporären Kryptodateisysteme des Installationsbenutzers werden im Anschluss an die Installation wieder entfernt, sodass die SINA Workstation lediglich die für die Anwender*innen notwendigen und personalisierten
Informationen enthält. Alternativ kann auch die Benutzersmartcard verwendet werden, bei der die Sicherheitsbeziehung (SA) zum Server mit auf den Token geschrieben wird. Vorteil ist, dass der Installserver dann auch zur Versionsnachverfolgung der SINA Workstation genutzt werden kann, die alternativ aus Log- oder LDAP-Daten gesammelt wird.

Kurzbeschreibung Installationsvorgang

Der Installationsvorgang einer SINA Workstation mit dem Installserver Plugin läuft üblicherweise in den folgenden Schritten ab:

  1. Booten der SINA Workstation mit der entsprechenden SINA Smartcard (Install-Karte, Benutzer*innenkarte)
  2. Bei gesetztem Ready for Install (RFI) Flag nimmt die SINA Workstation Kontakt zum SINA RAS auf.
  3. Der SINA RAS prüft, ob entsprechende Installationsinformationen vorhanden sind. Ist dies der Fall, wird der Installationsvorgang gestartet.
  4. Während des Installationsvorgangs geht die Interaktion immer vom SINA RAS aus, indem die einzelnen zu startenden Installationsschritte anhand der parametrisierten Konfigurationsdateien, remote auf der zu installierenden SINA Workstation ausgeführt werden.
  5. Die temporären Daten des Installationsbenutzers werden entfernt.
  6. Nach erfolgreicher Installation wird das RFI Flag zurückgesetzt, damit bei erneuter Kontaktaufnahme kein erneuter Installationsprozess angestoßen wird.

Verwaltung der Templates

Im SINA RAS werden vorgefertigte Templates (Vorlagen) für die verschiedenen Installationsschritte mit ausgeliefert, die über „Listendateien“ parametrisiert werden. In den einzelnen Templates werden alle Parameter gesetzt, die für den jeweiligen Installationsschritt (z. B. Kryptodateisysteme erstellen, Arbeitsplatz anlegen, Hotplug-Regel definieren etc.)
notwendig sind. Je nach Anforderungen können für die Einrichtung mehrerer SINA Workstations die gleichen oder unterschiedliche Konfigurationen verwendet werden. Über die Listendateien wird gesteuert, für welche Benutzer*innen welches Template verwendet wird.

Da diese Parameterdateien durch unterschiedlichste Konfigurationen schnell eine beachtliche Anzahl erreichen können, ist es von Anfang an ratsam, ein für die Organisation passendes System zu finden, wie die Daten verwaltet werden sollen. So ist davon auszugehen, dass unterschiedliche Konfigurationen für die einzelnen Workstation-Modelle verwaltet werden
müssen. Innerhalb der Modelltypen kann es wiederum viele unterschiedliche Konfigurationen im Hinblick auf die einzelnen Anforderungen der Organisation geben. Eine Verwaltung nach Hardwaremodell und darunter die auf die internen organisatorischen Anforderungen abgestimmten Ausprägungen (was sich auch in den unterschiedlichen Konfigurationen im SINA Management abbildet) bietet sich dabei an.

Installation der Arbeitsplätze und SINA Apps

Die Installationen der SINA Apps – also spezieller Arbeitsplätze wie secunet Desktop, SINA Hotspot App, SINA Private Browser und SINA VoIP App – können ebenfalls zeitsparend durch den SINA RAS erfolgen. Üblicherweise wird der Arbeitsplatz für die Installation vorbereitet und kann dann, wenn die Installationsdatei als ISO oder IMG vorliegt, auch durch das InstallserverPlugin des SINA RAS mit auf die Workstation aufgebracht werden. Normale (Windows-)Arbeitsplätze können auch über SCCM installiert werden.


Von Zeit zu Zeit ist es notwendig, Änderungen an den Arbeitsgeräten der Mitarbeiter*innen vorzunehmen. Beispielsweise können zusätzliche Arbeitsplätze auf einer SINA Workstation bereitgestellt werden, um den Funktionsumfang für Mitarbeiter*innen zu erweitern. Dies erfolgt üblicherweise durch die Systemadministration. Um die im Feld befindlichen SINA Workstations effizient managen zu können, werden mit dem SINA Remote Admin Server S vorbereitete „Custom Scripts“ (Basisskripte) ausgeliefert, die es ermöglichen, die administrativ notwendigen Tätigkeiten an SINA Workstations zeitnah, effizient und ohne großen logistischen Aufwand online (d.h. im Rahmen einer Fernwartung) durchzuführen.

Die mitgelieferten Skripte decken eine große Zahl von Anwendungsfällen ab und können in Workflows eingebunden werden, die diese dann in die Job-Tabelle des SINA RAS einstellen. Der SINA RAS stößt die Abarbeitung der Jobs an, sobald die betroffene SINA Workstation eine Verbindung zum Server hergestellt hat. Da es sich dabei um dedizierte Jobs für einzelne SINA Workstations handelt, sind entsprechende Kontrollmechanismen ratsam, um die Ausführung
der Jobs zu überwachen.

m Gegensatz zum Installserver Plugin, mit dem große Anzahlen von Installationen abgearbeitet werden, adressiert das Custom Scripts Plugin primär den Anwendungsbereich im Feld, wenn die SINA Workstation bereits ausgeliefert ist. Mit etwas zusätzlicher Skripterstellung können auch mit diesem Plugin große Anzahlen von Workstations automatisiert bearbeitet werden, indem beispielweise Aufgaben zusammengefasst werden.


Die Inventarisierungsfunktion zeigt der Administration die aktuellen Konfigurationen der SINA
Workstations.

Mitarbeiter*innen können Ihre SINA Workstation in vielen Bereichen komfortabel auf die eigene Arbeitsweise anpassen. Das kann aber auch zu Fehlkonfigurationen führen. Durch das Auslesen der Konfigurationen der SINA Workstation wird die Problembehebung bei Fehlern extrem vereinfacht.

Des Weiteren können die vom SINA RAS gesammelten Informationen auch für alle bestehenden Inventarisierungssysteme weiterverwendet werden.

Im Rahmen der Inventarisierung kann sich eine große Datenmenge pro SINA Workstation ansammeln. Daher kann es sinnvoll sein, diese Funktion in ein eigenes SINA RAS System auszulagern, je nachdem in welchen Zeitintervallen die Inventarisierungsläufe automatisiert sind.


Wenn die SINA Workstation ausgeliefert wurde, ist Sie für die Administration erst einmal nicht mehr im Zugriff und Veränderungen an der SINA Workstation durch Benutzer*innen können nicht ohne Weiteres ermittelt werden. Das Inventory Plugin des SINA Remote Admin Servers ermöglicht daher eine Sicht auf die SINA Workstation und kann die aktuellen Konfigurationen der SINA Workstation für eine Inventarisierung sowie auch für die Fernwartung feststellen.

Insbesondere für die Fernadministration über Custom Scripts ist es unabdingbar, die lokalen Konfigurationen der SINA Workstation zu ermitteln, da mit den Custom Scripts dediziert auf Veränderungen und aktuelle Einstellungen reagiert wird. So ist es beispielsweise erforderlich, bei Veränderungen z. B. am Kryptodateisystem oder am Arbeitsplatz die Benennung sowie die aktuell eingestellten Parameter zu kennen. Diese Möglichkeit, die vollständige Konfiguration der SINA Workstation einfach remote auszulesen, bietet auch im akuten Fehlerfall eine Zeitersparnis und vermeidet Übermittlungsfehler zwischen Benutzer*in und Administrator*in.


Für die unterschiedlichen Einsatzszenarien benötigt das Personal unterschiedliche fachspezifische Kenntnisse über den SINA RAS und die SINA Technologie.

Wenn Sie den SINA RAS als Installationsserver in einer Installationsstraße einsetzen wollen, muss ein Teil der beteiligten Personen Kenntnisse über die gesamte SINA Infrastruktur und über den SINA RAS haben. Dieser kleine Fachpersonenkreis erstellt die Vorlagen und Installationsskripte für die Installationsfiles der Einzelinstallationen. Dabei können auch secunet Berater*innen helfen, die über die SINA RAS Kompetenz und Erfahrung aus der Praxis verfügen.

Das Personal, das die SINA Workstations installiert, muss nur vorgangsbezogenes SINA Wissen haben und kann mit einer kurzen Einweisung die Installationen durchführen. Wie schnell und wie viele SINA Workstations Sie installieren können, hängt von der Anzahl der Installationsplätze ab. Die Installation der einzelnen Workstations kann parallel laufen.

DWenn Sie den SINA RAS als Remote-Administrationsserver einsetzen wollen, müssen die Personen fundiertes UNIX Scripting-Wissen, umfangreiche Kenntnisse der SINA Infrastruktur und der SINA Workstation haben. Der SINA RAS liefert alle notwendigen Basisskripte für die Remote-Administration, aber diese müssen in eigene Automationsmechanismen und Jobsteuerungen eingebunden werden

Die Workflow-Einbindung wird nicht mitgeliefert, weil diese auf die bestehenden Prozesse des Unternehmens oder der Behörde abgestimmt werden müssen. Mit Ihren individuellen Workflows können Sie mit wenig Personal eine große Anzahl SINA Workstations dezentral verwalten.


Sie können entscheiden, welche Funktionen des SINA RAS – Grundinstallation, Remote-Administration und Inventarisierung der SINA Workstation – Sie nutzen wollen.

Die einzelnen Plugins können auch auf mehrere SINA RAS Systeme aufgeteilt werden, um so die Funktion des Installationsservers von der Funktion des Remote-Administrations- und Inventarisierungsservers zu trennen.

Eine Funktionstrennung zwischen Installation und Remote-Administration kann sinnvoll sein, wenn Sie Personen mit unterschiedlichen Qualifikationen einsetzen möchten. So werden für die reine Installation von SINA Workstations wenig bis keine Netzwerk-/IT-Kenntnisse oder SINA Know-how benötigt. Für die Vorbereitung der Installationstemplates und der Remote-Administration sind hingegen umfangreiche Kenntnisse im Bereich Netzwerk, SINA und UNIX Scripting notwendig.

Außerdem unterscheiden sich die Netzwerk-Anforderungen. Der Installationsserver muss nur aus dem internen Netz erreichbar sein. Für die Funktionen der Remote-Administration muss der SINA RAS auch aus dem externen Netz erreichbar sein.


Wenn der SINA RAS in Installation und Remote-Administration getrennt wird, ist es sinnvoll mehrere SINA RAS Systeme zu verwenden. Der SINA RAS ist eine Softwarekomponente, die zusätzlich auf dem SINA Managementserver oder auf einem/mehreren Servern unabhängig vom SINA Management installiert wird. Der SINA RAS muss netzwerktechnisch für die SINA Workstations erreichbar sein, aber auch seitens des SINA RAS muss es möglich sein, initial Verbindungen zu den Workstations aufzubauen (ggf. sind dafür Firewall-Freischaltungen notwendig).

Der Zugriff für die SINA Workstations ist über eine Management-Sicherheitsbeziehung (SA) und ein SSL-Zertifikat für den SINA RAS geregelt, sodass die Zugriffe auf SINA Management Ebene verwaltet und beschränkt werden können. Eine Konfigurationsänderung durch den SINA RAS ist nur innerhalb der im SINA Management konfigurierten Rahmenbedingungen möglich.

Aus Sicht eines Servicedienstleisters wäre es daher möglich, kundenbezogene SINA RAS Systeme zur Verfühung zu stellen, sodass der Kunde seine SINA Workstations verwalten kann, ohne das Sicherheitsniveau zu gefährden.


Der SINA RAS sollte aus dem internen Netz und aus einem externen Netz für die SINA Workstations erreichbar sein. Denn die Installation der SINA Workstation erfolgt im internen Netz der Organisation, aber vorhandene Geräte werden auch im Home-Office oder unterwegs verwendet.


Für das SINA Sicherheitsbetriebssystems werden laufend Aktualisierungen bereitgestellt. Die Produktentwicklung von secunet arbeitet stets an der Optimierung der SINA Software, um auf neue Technologien und Nachfragen zu reagieren. Neben neuen Features geht es vor allem darum, sicherheitstechnisch auf dem neusten Stand zu bleiben. Dazu gehört auch, dass alte SINA Softwareversion nach einiger Zeit Ihre Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verlieren und daher auf die neuen zugelassenen Versionen aktualisiert werden müssen, damit die SINA Infrastruktur dem Sicherheitsanspruch weiter erfüllt.

Alle Änderungen an den Komponenten des SINA Sicherheitsbetriebssystems unterliegen strengen Regularien. Nachdem Programmänderungen durchgeführt worden sind, werden diese durch eine unabhängige Instanz geprüft. Diese Prüfung wird durch das BSI vorgenommen und dadurch sichergestellt, dass sie den Schutzkriterien entsprechen. Das BSI gibt die einzelnen SINA Versionen frei und innerhalb der SINA Infrastruktur ist sichergestellt, dass nur signierte und freigegebene SINA Versionen installiert werden können.

Es ist also unerlässlich, dass Mitarbeiter*innen die Aktualisierung an Ihrer SINA Workstation durchführen. In der Regel dauert ein Update nur wenige Minuten. Üblicherweise werden die Anwender*innen der SINA Workstation durch das SINA Sicherheitsbetriebssystem sowie durch die Systemadministration informiert, wenn eine Aktualisierung vorzunehmen ist. Mitarbeiter*innen können dann in einem Zeitrahmen flexibel das Update ausführen. Die Erfahrung zeigt jedoch, dass Updates immer wieder ignoriert und aufgeschoben werden.

Mit dem SINA Remote Admin Server S hat die Administration dann über die Wartungsfunktion die Möglichkeit, die Aktualisierung automatisiert bei den Clients durchzuführen, die noch die alte SINA Softwareversionen einsetzen. So kann schnell und einfach sichergestellt werden, dass alle SINA Workstations immer auf dem neusten Stand sind. Bedacht werden sollte jedoch, dass hierbei gegebenenfalls aktive Arbeitsplätze „hart“ ausgeschaltet werden, was zu Datenverlust führen kann.


Mit SINA werden Ihre Daten durch Verschlüsselungstechnologie und vielen weiteren Sicherheitsmaßnahmen der SINA Workstation tion – wie beispielsweise die Schnittstellenkontrolle und Secure Boot – umfangreich geschützt. Dennoch stellt Schadcode zum Beispiel in Form von Viren, Trojanern und Würmern immer eine Bedrohung auch in hoch gesicherten Netzen dar. Malware wie zum Beispiel Emotet wird dabei immer leistungsfähiger und die Anzahl an neuen Schadprogrammen nimmt zu. Häufig wird der „Faktor Mensch“ als Schwachstelle genutzt, indem beispielsweise infizierte E-Mailanhänge geöffnet werden. 

Ist ein Sicherheitsvorfall durch Malware wie Emotet trotz aller Maßnahmen eingetreten, kann mit SINA der Schaden dennoch deutlich vermindert werden. Die SINA Workstation ist aufgrund des Sicherheitssystems weniger anfällig für die üblichen Viren und kann aufgrund derVirtualisierung und strenger Separierung der Arbeitsplätze/Gastsysteme immer noch mit der SINA Infrastruktur kommunizieren, auch wenn einer der Gastsysteme infiziert ist. Zudem können die betroffenen Systeme über das zentrale Management schnell vom Netz getrennt werden, sodass sich das Schadprogramm nicht weiterverbreiten kann. Im Vorfeld können
Anwender*innen über die SINA Bedienoberfläche jederzeit unkompliziert lokale Backups ihrer Arbeitsplätze erstellen, die verschlüsselt auf einem externen Medium gespeichert werden.

Denn oft ist dann der einzige Weg, dass die infizierten Systeme händisch einen „Cleaning-Prozess“ durchlaufen und neu installiert werden müssen, da man davon ausgehen muss, dass sich Schadcode immer noch auf irgendeinem Rechner versteckt hält und dann das neu aufgesetzte Netzwerk wieder befällt. Da die Geräte üblicherweise geografisch weit verteilt sind, verzögert sich die Wiederanlaufzeit auf unbestimmte Zeit.

Der SINA Remote Admin Server S hingegen schafft eine Möglichkeit, den Wiederanlaufprozess im Kontext eines Disaster Recoverys remote automatisiert durchlaufen lassen. Bestenfalls werden die Systeme bereits von einem Ernstfall auf solche Szenarien vorbereitet und entsprechende Prozesse entwickelt. Die Wiederannlaufzeit lässt sich dann von mehreren Wochen auf wenige Tage oder gar Stunden reduzieren.

Bei einem sicherheitsrelevanten Vorfall wie die Infizierung eines Systems durch Schadcode ist es mit den Mechanismen, die die SINA Infrastruktur bietet, möglich, auch Systeme, die sich außerhalb der Organisation/Dienststelle befinden, eine weitere Voerbreitung wirksam zu unterbinden.

Automatischer Lockdown der relevanten Gastsysteme

Wenn beispielsweise durch die etablierten Virenscanner und Schutzsysteme festgestellt wird, dass ein Arbeitsplatz/Gastsystem (z.B. Windows-System o.Ä.) durch Schadcode infiziert wurde, so kann die Administration durch das Entziehen der relevanten Sicherheitsbeziehung (Security Association, kurz SA) der betroffene Arbeitsplatz sofort vom zu schützenden Produktivnetz trennen. Denn die SA ist für die Kommunikation mit den nachgelagerten Systemen eine unabdingbare Voraussetzung. So ist eine Infizierung des zu schützenden nachgelagerten Produktivnetz unterbunden, ohne die betroffene SINA Workstation komplett vom Netz zu trennen. Die Workstation kann ihre SA zum SINA Management weiterhin zur Kommunikation nutzen und ist damit auch weiterhin gefarenlos remote administrierbar.

Die Trennung vom Netz kann über das SINA Management zentral und schnell remote erfolgen, sodass Mitarbeiter*innen betroffener Systeme nicht manuell aktiv werden müssen. Nicht vergessen werden sollte dennoch eine geeignete Notfallkommunikation an die betroffenen Mitarbeiter*innen.

Ein Quarantäne-Modus für Gastsysteme

Die einzelnen Gastsysteme der betroffenen SINA Workstation befinden sich damit in einer Art Quarantäne-Modus, in dem sie - wenn überhaupt - lediglich eine Kommunikation zu einzelnen Diensten wie z.B. VoIP-Telefon oder Virenscan-Server aufnehmen können. Die SA zu dem einzelnen Dienst kann der SINA Workstation dann entsprechend über den LDAP-Dienst zugewiesen werden, beispielsweise zu einem Scan-Server, der den Arbeitsplatz überprüft. So könnte auch ein ISO-Image-Virenscanner mit einem Removal-Tool au der Festplatte des Arbeitsplatzes gestartet werden, damit sich der Schadcode (zB. ein Trojaner oder Virus) nicht unentdeckt im Windows-System verbergen kann.

Wiederanlauf des Gastsystems

Konnte der Schadcode im Arbeitsplatz/Gastsystem entwernt werden, kann dem Gastsystem über den LDAP-Dienst wieder die Security Association (SA) in das Produktionsnetz zugewiesen werden und der betroffene Arbeitsplatz wieder genutzt werden.

Worst Case - Neuinstallation des Arbeitsplatzes

Für den Fall, dass der Schadcode im Arbeitsplatz nicht entfernt werden kann, muss der (Windows-)Arbeitsplatz neu installiert werden. Dazu sollte zunächst das alte Kryptodateisystem gelöscht und dann ein neues erstellt werden. Auch in diesem Fall bietet sich innerhalb einer SINA Infrastruktir die Möglichkeit, einen neuen Arbeitsplatz in ein separates Gastsystem mit den notwendigen SAs automatisiert zu installieren, ohne dass der Rechner vor Ort bei der Administration sein muss.

Für die hier beschriebenen Workflows und Lösungsansätze sit etwas zusätzliches Scripting im SINA Remote Admin Server S zusammen mit dem SINA Management und der LDAP-Datenbank notwendig. Es wäre denkbar, bereits vorhandene (Teil-)Lösungen wie bestehende Installationsumgebungen (beispielsweise einen Windows-Installationsserver) mit in den Disaster-Recovery-Ansatz der Organisation zu integrieren, was aber im Einzelfall zu prüfen ist. Darüber hinaus sind dabei Prozesse zu entwickeln, wie z.B. im Worst-Case auch außerhalb des Hauses befindliche SINA Workstations automatisiert (d.h. beispielsweise mittels PE Boot und speziell vorbereiteter ISO-Datei für den SCCM) neuistalliert werden können. Voraussetzung ist in jedem Fall, dass der SINA RAS für die Workstation intern wie extern erreichbar ist. Da der SINA RAS immer eine verschlüsselte Verbindung benötigt, bedeutet dies, dass auch im internen (meist unverschlüsselten) Netz, netzwerktechnisch eine verschlüsselte Verbindung zum SINA RAS aufgebaut werden kann.

Mit einigen Vorüberlegungen in Hinblick auf ein Disaster Recovery können in einer SINA Infrastruktur mit den bestehenden Mechanismen sehr leistungsfähige Workflows aufgebaut werden, die auch bei anderen ähnlichen Problemfällen wie beispielsweise bei Hardware- oder Arbeitsplatzfehlern hilfreich sind un die Wiederanlaufzeit extrem verkürzen können. Dabei können durch die Möglichkeiten der Automatisierung erhebliche Personalressourcen eingespart werden, die ansonsten mit der Problemlösung für jeden einzelnen Arbeitsrechner gebunden wären.


Kontaktanfrage
Haben Sie noch Fragen zum SINA Remote Admin Server S?
Haben Sie noch Fragen zum SINA Remote Admin Server S?

Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.

Industry Partner Kontakt