IBM entwickelt Sicherheits-Stick für die Unternehmens-Cloud

Secure Enterprise Desktop

Flexibel, einfach und schnell: IBM Research präsentiert neuartigen Sicherheits-Stick für den geräteunabhängigen Zugriff auf den eigenen Desktop in einer Unternehmens-Cloud.

---

„Mit dem Secure Enterprise Desktop kann dem Bedürfnis nach geräteunab-hängigem Zugriff auf Inhalte und Programme nachgekommen und gleichzeitig den steigenden Sicherheitsanforderungen an die Unternehmens-IT Rechnung getragen werden“, erklärt Dr. Paolo Scotton, Projektleiter im Labor Zürich bei IBM Research. Denn zunehmende Mobilität von Arbeitskräften, der Trend, private Hardware auch für berufliche Zwecke zu verwenden („Bring your own device“) sowie wachsende Sicherheitsanforderungen für Unternehmensnetzwerke verlangten neue Konzepte für den einfachen und vor allem sicheren Zugriff von Mitarbeitern auf Daten innerhalb des Firmennetzes.

Dafür hat Scotton mit seinem Team den Secure Enterprise Desktop entwickelt, der einen sicheren Zugriff von einem beliebigen Computer auf die Cloud-Umgebung eines Unternehmens ermöglichen soll. Mithilfe eines USB-Sticks kann ein Benutzer ein virtuelles Abbild seines Rechners aus der Cloud über eine Internetverbindung in wenigen Minuten auf einen PC oder Laptop laden und dann damit online und offline arbeiten, ohne dass vorab Software installiert werden muss.

Der auf der Cebit in Hannover präsentierte Sicherheits-Stick (IBM-Hauptstand A 10 in Halle 2, Demopunkt Nr. 66) kann über die USB-Schnittstelle an den (privaten) Rechner eines Mitarbeiters angeschlossen werden. Er stellt dann eine sichere Verbindung zwischen der Cloud-Umgebung des Unternehmens (bzw. dem Backend-Server) und dem Rechner des Mitarbeiters her. Er übernimmt dabei alle sicherheitsrelevanten Aufgaben, wie Authentisierung und Verschlüsselung. Der Stick nutzt dazu den „Zone Trusted Information Channel“ (ZTIC) für das Online-Banking, der 2009 vorgestellt wurde und mittlerweile von mehreren Banken eingesetzt wird.

Mithilfe einer eigens für den Stick entwickelten Betriebssystem-Streaming-Technologie werden die wichtigsten Software-Elemente, die eine Benutzeroberfläche in der Unternehmens-Cloud ausmachen, in kurzer Zeit sicher auf den Computer geladen. So kann der Mitarbeiter bei einer schnellen Internetverbindung bereits nach nur zwei Minuten mit dem virtuellen, sicheren Desktop arbeiten, während im Hintergrund weitere Inhalte nachgeladen werden.

Im Gegensatz zu anderen Lösungen auf Basis von USB-Sticks, werden bei dem Secure Enterprise Desktop keine Anwendungsdaten auf dem Stick selbst gespeichert. Ein Verlust des Sticks alleine exponiert somit keine Firmendaten und stellt kein Sicherheitsrisiko dar. Zudem sind alle herunter geladenen Inhalte auf dem Rechner des Mitarbeiters verschlüsselt, so dass auch hier kein Sicherheitsrisiko bei Verlust oder Diebstahl entsteht.

Im Detail funktioniert die Lösung so: Sobald ein Mitarbeiter seinen eigenen oder einen beliebigen anderen Rechner für den Zugriff auf Daten und Programmen im Firmennetz nutzen will, schließt er seinen personalisierten Sicherheitsstick an den USB-Port des Rechners an und fährt ihn dann hoch. Ein spezialisierter Hypervisor, der in der Lage ist, verschiedene Betriebssysteme zeitgleich auf einem Rechner auszuführen, übernimmt die Kontrolle. Er stellt eine sichere Verbindung zu einem Server des Unternehmens her, validiert die Zugangsberechtigungen des Mitarbeiters und lädt dann ein „Kontrollbetriebssystem“ herunter. Sobald dieses auf dem Rechner installiert ist, kann das Betriebssystem aus der Unternehmens-Cloud (momentan Windows oder Linux) aktiviert werden, das mit allen erforderlichen Sicherheitsmechanismen für das Firmennetz ausgestattet ist.

Secure Enterprise Desktop stellt somit sicher, dass alle möglicherweise auf dem „privaten Teil“ des Mitarbeiterrechners vorhandene Schadsoftware, z.B. Spionagesoftware wie Keyboard-Logger, unwirksam wird. Da sämtliche Zugriffe auf die Festplatte des verwendeten Rechners durch den Hypervisor vom USB-Stick kontrolliert werden, kann das „Firmenbetriebssystem“ bereits starten, auch wenn noch nicht alle in einem Betriebssystem erforderlichen Komponenten heruntergeladen wurden. Dies wird erreicht, indem alle noch nicht vorhandenen Komponenten dynamisch vom Server geladen werden, sobald sie erstmals angefordert wurden („streaming“).

Damit das System schneller betriebsbereit ist und insgesamt flüssig läuft, lassen sich bereits herunter geladene Komponenten des „Firmenbetriebssystems“ auf der Festplatte des genutzten Rechners verschlüsselt speichern, um erneute Netzwerkzugriffe dafür zu vermeiden. Dies ist vor allem in Konfigurationen nützlich, in denen etwa der Privatrechner eines Mitarbeiters, regelmäßig für den Zugriff genutzt wird.

Zusätzlich besteht die Option eines Offline-Betriebs, bei dem nach dem Herunterladen aller Anwendungen und Betriebssystemkomponenten ohne Netzwerkverbindung gearbeitet werden kann. In diesem Fall werden zunächst sämtliche noch nicht lokal vorhandene Daten heruntergeladen und wie immer verschlüsselt gespeichert. Danach kann der Benutzer offline arbeiten. Sobald zu einem späteren Zeitpunkt wieder eine Internetverbindung besteht, werden sämtliche Änderungen – ebenfalls gesichert – synchronisiert.

www.ibm.de

www.zurich.ibm.com

www.cebit.com

Bildquelle: IBM

---