Navigation und Service

SINA-Systembeschreibung

Im Mittelpunkt stehen bei SINA zwei Produktkategorien, nämlich die Netzwerkverschlüsseler (SINA L3 Box, SINA L2 Box) sowie die Clientgeräte (SINA Workstation, SINA Terminal, SINA Tablet). Erstere sind Netzwerkkomponenten, welche die durchgängige Verschlüsselung aller mit ihnen verbundenen Komponenten gewährleisten, während letztere Arbeitsplatzgeräte sind, mit denen vertrauliche Daten verarbeitet werden können. Die Funktionsweise der Komponenten wird nachfolgend im Rahmen von drei praxisbezogenen Anwendungsfällen erläutert.

Szenario 1: Verbindung von Standorten

Der grundsätzliche Zweck der SINA Boxen besteht darin, eine sichere Verbindung von räumlich getrennten Standorten über ein unsicheres Transportnetz, wie z.B. dem Internet, zu ermöglichen. Hierfür bauen die SINA Boxen miteinander einen kryptographisch gesicherten VPN-Tunnel auf, über den der gesamte Datenverkehr zwischen den Standorten fließt. Im Fall der SINA L3 Box wird dieser VPN-Tunnel nach dem IPsec-Standard auf OSI-Schicht 3 aufgebaut, während bei der speziell auf hochperformanten Datendurchsatz ausgerichteten SINA L2 Box eine Ethernet-Verschlüsselung auf OSI-Schicht 2 stattfindet.

Zwei Gebäude (Standort A und Standort B) sind über das Internet (Transportnetz) miteinander verbunden.

Szenario 2: Nutzung mobiler Arbeitsplätze

Mit der SINA Workstation, welche sowohl als Laptop als auch Desktop-PC verfügbar ist, sowie dem SINA Tablet lassen sich sichere Arbeitsplätze für mobiles Arbeiten oder Homeoffice realisieren. Hierzu bauen die Clientgeräte über eine beliebige Internetanbindung (WLAN, LTE, etc.) einen kryptographisch gesicherten VPN-Tunnel nach dem IPsec-Standard mit einer SINA L3 Box auf der Gegenseite auf. Auf diese Weise ist es möglich, über ein nicht vertrauenswürdiges Transportnetz auf entfernte, schutzbedürftige Ressourcen wie z.B. firmeninterne Dokumente zuzugreifen. Gleichzeitig werden alle auf der SINA Workstation bzw. SINA Tablet abgelegten Daten ausschließlich in verschlüsselter Form auf den lokalen Datenträgern gespeichert. Dies verhindert eine Kenntnisnahme von vertraulichen Informationen durch Unbefugte selbst dann, wenn das Clientgerät entwendet werden sollte.

Ein Laptop (Mobiler Client) ist über das Internet (Transportnetz) mit einem Gebäude (Organisation) verbunden.

Eine Alternative zur SINA Workstation ist das SINA Terminal, welches sich aus Nutzersicht wie eine SINA Workstation bedienen lässt. Technisch gesehen ist das SINA Terminal aber ein Thin Client, welcher nur als Ein- und Ausgabeschnittstelle für die Datenverarbeitung auf einem entfernten Terminal-Server im geschützten Bereich dient. Daher fallen beim SINA Terminal keine schützenswerten, lokal zu speichernden Daten an, die durch Verschlüsselung geschützt werden müssten. Wie die SINA Workstation verschlüsselt auch das SINA Terminal seine Netzwerkkommunikation über einen VPN-Tunnel nach dem IPsec-Standard mit einer SINA L3 Box auf der Gegenseite.

Szenario 3: Separation von Arbeitsplatzsitzungen

Auf einer SINA Workstation lassen sich zwei oder mehr verschiedene Arbeitsplatzsitzungen parallel nutzen. Dies ermöglicht z.B. die Bearbeitung vertraulicher Daten in einer Sitzung mit eingeschränktem oder deaktiviertem Internetzugriff, während eine andere Sitzung vollen Internetzugriff erlaubt. Erreicht wird dies durch eine Kapselung der für die einzelnen Sitzungen verwendeten Betriebssysteme (z. B. Windows oder Linux) mittels Virtualisierung. Als zugrunde liegender Unterbau kommt SINA Linux OS, ein minimalisiertes, gehärtetes Linux, zum Einsatz. Aus Nutzersicht erfolgt die Virtualisierung ebenso transparent wie die lokale Datenverschlüsselung und die Netzwerkverschlüsselung.

Auf dem Bildschirm eines Laptops sind zwei separate Arbeitsplatzsitzungen dargestellt, eine für Internet und eine für Zugriff auf vertauliche Daten einer Organisation.

Konfiguration und Verwaltung

Zur zentralen Konfiguration und Verwaltung von SINA-Infrastrukturen dient das SINA Management. Mittels dieser Managementsoftware wird festgelegt, welche Kommunikationsbeziehungen die einzelnen SINA-Komponenten untereinander eingehen können. Dies geschieht auf Basis einer PKI (Public-Key-Infrastruktur), bei der personalisierte Smartcards als Sicherheitsanker für die einzelnen Nutzer bzw. Geräte dienen.

Weitere SINA Komponenten

Neben den bislang vorgestellten Produkten enthält die SINA Produktfamilie noch weitere Produkte für spezielle Einsatzszenarien.

So steht mit dem SINA One Way eine Datendiode zur Verfügung, welche sicherstellt, dass jeglicher Netzwerkverkehr die Diode nur in einer Richtung passieren kann. Dies ist beispielsweise dann sinnvoll, wenn aus dem Internet bezogene Daten zur weiteren Verarbeitung in einen abgetrennten Sicherheitsbereich fließen sollen.

Weiterhin existiert mit SINA Workflow eine elektronische Registratur zur medienbruchfreien Verarbeitung von digitalen Verschlusssachen.