Kurzgutachten
COMCITY Secured Data Server

Sachverständige

technisch:	Dipl. Inf. Birger Fritzowski
rechtlich	Stephan Hansen-Oest

1. Zeitpunkt der Prüfung

Die Begutachtung der Applikation COMCITY Secured Data Server fand im Juni 2003 statt.

2. Adresse des Antragstellers

Antragstellerin dieses Gutachtens ist die Firma COMCITY GmbH, An der Halle400 Nr.1, 24143 Kiel 
als Hersteller der Krypto-Fileserver Software. Ansprechpartner ist Herr Michael Schulz

3. Adressen des/der Sachverständigen

Die Sachverständigen dieses Gutachtens sind:

technisch:	rechtlich:
Herr Dipl. Ing. Birger Fritzowski  Kattenbek 33 24248 Mönkeberg  Tel.: 0431 - 2 30 37  Fax: 0431 – 2 30 47  birger@fritzowski.de	Herr Stephan Hansen-Oest Speicherlinie 40 24937 Flensburg Tel.: 0461 – 2 13 53 Fax: 0461 – 2 21 42  sh@datenschutzkontor.de

4. Kurzbezeichnung des IT-Produktes

COMCITY Secured Data Server (SDS)
COMCITY Secured Data Server Client (SDSC)
Der COMCITY Secured Data Server (SDS) ermöglicht es öffentlichen Stellen und Unternehmen, ihre Daten 
mit hoher Sicherheit verschlüsselt zu speichern. Der Zugriff auf gespeicherte Dateien kann nur durch autorisierte 
Personen erfolgen, die über den entsprechenden digitalen Schlüssel verfügen, mit dem die Daten auf dem Server 
gespeichert und verschlüsselt worden sind.

Durch die eingesetzte patentierte Virtual Private Disk-Technologie kann die Bearbeitung der gespeicherten Daten 
direkt auf den verschlüsselten Dateien erfolgen.

5. Detaillierte Bezeichnung des IT-Produktes

COMCITY SDS ist eine Krypto-Fileserver-Anwendung, die das transparente verschlüsselte Speichern und das transparente Lesen verschlüsselter Daten ermöglicht. Der SDS ist auf Grund seiner Architektur nicht auf einen speziellen Einsatzbereich beschränkt. Überall wo Daten geschützt vor dem Zugriff nicht autorisierter Dritter gespeichert werden sollen oder müssen, kann der SDS eingesetzt werden. 

Als Betriebssystemplattformen werden auf Server-Seite Redhat Linux oder SUN Solaris verwendet. Bei der Installation kann das Basis-Betriebssystem des SDS-Servers einer automatisierten Härtung unterzogen werden, die jedoch nicht Bestandteil der Zertifizierung ist und die Betriebsicherheit der Anwendung nicht beeinflusst.

Der COMCITY SDS kann in unterschiedlichen Anwendungsszenarien eingesetzt werden.

Im Serverbetrieb können auf dem Server installierte Anwendungen den sicheren SDS-Speicher als Daten- Schreib- und Lesekanal nutzen. Diese Einsatzvariante verzichtet auf eine Interaktion durch den Benutzer.

Für den Client-Server-Betrieb steht ein Windows-Programm zur Verfügung, das ein Laufwerksmapping zum Server initiiert und steuert. Diese Einsatzvariante ermöglicht die gesicherte Übertragung und Speicherung der Daten durch direkte Interaktion des Benutzers.

Zwischen diesen Produktkomponenten werden die Daten über eine bestehende Netzinfrastruktur (LAN / WAN (Internet)) verschlüsselt übertragen. Als Übertragungsprotokoll dient in allen Fällen TCP/IP. Die im SDS integrierte SSH-Übertragungstechnologie ermöglicht den sicheren Client-Server-Betrieb auch über das Internet.

Der SDS-Server stellt dem Anwender die lokal zu bearbeitenden Dateien über ein Windows-Laufwerk zur Verfügung. Die standardisierte Schnittstelle zwischen SDS-Server und Client erfolgt über eine getunnelte SMB-Verbindung. Außerdem ist der Client für den Austausch der digitalen Schlüssel und Passwörter mit dem SDS-Server im LAN verantwortlich.

Der SDS-Server, der die anwendungsbezogene verschlüsselte Datenspeicherung übernimmt, ist das Gegenstück zum Windows-Client bzw. zur direkt auf den SDS zugreifenden Anwendung. Auf dem Server können beliebig viele, unterschiedlich verschlüsselte Speicherbereiche für verschiedene Anwendungen und Benutzer mit unterschiedlichen Zugangsberechtigungen eingerichtet werden.

Die für einen Datenserver individuell notwendigen Backup und Recovery Strukturen sind nicht Bestandteil des zertifizierten Produktes.

Die eingesetzte Basistechnologie VPDisk (Virtual Private Disk) trennt den Informationszugriff komplett von dem vom Betriebssystem geregelten Dateizugriff. Hierdurch bedingt haben auch privilegierte Anwender (Administratoren) oder solche, die sich die entsprechenden Privilegien unrechtmäßig verschafft haben (Hacker, Cracker), keinerlei Zugriff auf die Daten. Diese Trennung wird dadurch bewerkstelligt, dass die Vergabe bzw. Generierung der Authentisierungsinformationen für den Produktivbetrieb (Passwort, RSA-Schlüsselpaar, Passphrase) vollständig in der Hoheit der Anwender liegt und eine Konsistenzprüfung dieser, in einer verschlüsselten Datenbank vorliegenden, Zugangsinformationen durch die auf dem Server zwischengeschaltete Middleware erfolgt. Administratoren (oder User, die sich entsprechende Rechte angeeignet haben) können diese Konsistenzprüfung weder umgehen noch manipulieren. 
VPDisk bietet unterschiedliche Chiffrierverfahren, von denen AES (Rijndael Algorithmus, ECB-Modus, 256-Bit Schlüssellänge) im SDS-Betrieb standardmäßig verwendet wird.

Die Anbindung von Windows-basierten Clients (Windows NT/SP3, Win2000, WinXP, Windows Terminal Server (WTS) und .NET-Server) erfolgt mittels Laufwerks-Mapping (SMB-Connect) über einen SSH-getunnelten Kommunikations- und Datenkanal. Sowohl das Laufwerks-Mapping als auch die Verwaltung der Authentisierungsinformationen (Passwort, RSA-Schlüsselpaar) sowie der Passphrase für den Zugang zur benutzerspezifischen Keybox, in der die für die transparente Ver-/Entschlüsselung von Dateien enthaltenen Keys vorhandenen sind, erfolgen mit Hilfe eines speziell hierfür entwickelten Clients (Secured Data Server Client – SDSC).

COMCITY SDS kann sowohl als Einzelsystem betrieben werden, als auch in Form eines Server-Verbundes, bei dem die Last auf mehrere Einzelsysteme, die als gemeinsames Massenspeichermedium ein NAS- oder SAN-System verwenden, verteilt wird.

Die optional anwendbaren Logging-Aktivitäten ermöglichen die nach den allgemeinen und besonderen Maßnahmen zur Datensicherheit erforderlichen Protokollierungen für Revisionszwecke und für die Kontrolle der Integrität der Daten. 

6. Tools, die zur Herstellung des IT-Produktes verwendet wurden

Für die Windows-Client-Applikation wurden verwendet:

Setup2GO V 1.9.7 für das Installations-Setup
OpenWatcom IDE 1.0 für die Client-Applikation
OpenSSH_3.2.3p1, SSH protocols 1.5/2.0, OpenSSL 0x0090604f
GNU Wget 1.5.3.1
UnZip 5.50, by Info-ZIP
KILL Version 3.5, by Microsoft

Für die Server-Installationsroutine wurden verwendet:

GNU bash, version 2.05b
dialog-0.9b-20020519
verschiedene GNU-Hilfsprogramme (sed, cut, colrm, awk, tr)

Die Middleware wurde kompiliert mit:

GCC Version 3.2

Die Basistechnologie VPDisk Pro für die transparente Ver-/Entschlüsselung ist ein Produkt der Firma OMNISECURE, Inc. 

7. Zweck und Einsatzbereich

COMCITY SDS kann überall dort eingesetzt werden, wo vertrauliche Daten geschützt werden sollen oder müssen. Herkömmliche Systeme bergen das immanente Risiko in sich, dass Mitarbeiter, die administrative Aufgaben zu erledigen haben, Zugang zu ihnen erhalten. Eine solche „autorisierte“ Hintertür erlaubt es Systemverwaltern und nicht autorisierten kenntnisreichen Benutzern, vertrauliche Daten auszuspähen. Diese Möglichkeit der Ausspähung ist durch die auf dem COMCITY SDS eingesetzte VPDisk-Technologie ausgeschlossen.

Ein Dienstleister, der COMCITY SDS als Speicherdienst (Storage Service Providing) anbietet, kann somit denjenigen, die die Dienstleistung in Anspruch nehmen garantieren, dass ihre Daten vor unberechtigtem Zugriff geschützt sind. Hierbei ist es unerheblich, ob es sich um eine „hausintern erbrachte Dienstleistung“ handelt, oder ob diese externen Kunden angeboten wird.

8. Modellierung des Datenflusses

Die Arten der verschlüsselt zu speichernden Daten unterliegen keinerlei Einschränkungen – es kann sich bei diesen um Klartext-ASCII-Dateien, Text-, Tabellen-, Datenbankdateien in ihrem jeweiligen nativen Format, Bilddaten, Videostreams und selbst um Programme handeln, die verschlüsselt auf dem Server abgespeichert werden und nur von demjenigen Benutzer wieder geöffnet werden können, der über die Passphrase zum Öffnen der Keybox, in der der Key für die Verschlüsselung enthalten ist, verfügt.

Legende:
 Applikation bzw. Dienst
 verschlüsselter Kommunikations-/Datenstrom bzw. verschlüsselte Datenhaltung
 unverschlüsselter Kommunikations-/Datenstrom

A. In einem ersten Schritt stellt der Client eine Initialverbindung in Form eines SSH-basierten Kommunikationskanals zum Server her, über die Statusabfragen vorgenommen werden. Bei der Erstanmeldung wird der Anwender gezwungen, die ihm mitgeteilten Authentisierungs-Tokens (Passwort und RSA-Schlüsselpaar) durch eigene zu ersetzen. Das Passwort muss alle 30 Tage vom Benutzer geändert werden.
B. Der Benutzer legt mit Hilfe des Clients eine sogenannte Keybox an, in der der Schlüssel, auf dessen Basis die spätere Verschlüsselung/Entschlüsselung erfolgt, abgelegt wird. Diese Keybox ist durch eine vom Benutzer selbst festgelegte und somit ausschließlich ihm bekannte Passphrase geschützt.
C. Bei dem Versuch eines Laufwerks-Mappings wird die Wertigkeit des SMB-Passworts geprüft und dann der Key aus der Keybox entnommen. Der Client baut nach erfolgreicher Authentisierung einen SSH-basierten Datenkanal auf, durch den getunnelt die dem Benutzer zur Verfügung gestellte Server-Plattenressource in der lokalen Laufwerksliste des Clients zur Verfügung gestellt wird.
D. Windows-Applikationen speichern Daten transparent verschlüsselt auf dem Server oder lesen verschlüsselt gespeicherte Daten transparent von diesem. Eine besondere Form der Nutzung der VPDisk-Technologie ist in dem hellblau unterlegten Teil des Blockdiagramms skizziert: Hier wird die Verschlüsselung von Daten, die von Unix-Applikationen direkt auf dem Server erstellt werden, dargestellt. Bei diesem Verfahren entfällt die Nutzung des Clients und des gesicherten Kommunikations-/Datenkanals.

9. Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Version 1.0a

10. Zusammenfassung der Prüfungsergebnisse

Der COMCITY SDS ist eine Krypto-Fileserver-Anwendung, die das transparente verschlüsselte Speichern und das transparente Lesen verschlüsselter Daten ermöglicht. Der SDS ist auf Grund seiner Architektur nicht auf einen speziellen Einsatzbereich beschränkt. Überall wo Daten geschützt, vor dem Zugriff nicht autorisierter Dritter gespeichert werden, kann der SDS eingesetzt werden. Als Betriebssystemplattformen werden auf Server-Seite Redhat Linux oder SUN Solaris verwendet.

Während der Installation des Servers kann das Basis Betriebs System, REDHAT LINUX oder SOLARIS, automatisch gehärtet werden, weder das Betriebssystem noch die Härtung sind Bestandteile der Zertifizierung, da beide Komponenten die Funktionalität der Anwendung nicht beeinflussen. Der COMCITY SDS kann in unterschiedlichen Anwendungsszenarien eingesetzt werden:

A. im reinen Serverbetrieb
hier können auf dem Server installierte Anwendungen den sicheren SDS-Speicher als Daten- Schreib- und Lesekanal nutzen. Die für einen Datenserver individuell notwendigen Backup und Recovery Strukturen sind nicht Bestandteil des zertifizierten Produktes.

B. im Client- Server – Betrieb
Für den Client-Server-Betrieb steht ein Windows-Programm zur Verfügung, das ein Laufwerksmapping zum Server initiiert und steuert; dieses ermöglicht die gesicherte Übertragung und Speicherung der Daten

Zwischen diesen Produktkomponenten werden die Daten über eine bestehende Netzinfrastruktur (LAN / WAN (Internet) verschlüsselt übertragen, als Protokoll dient in allen Fällen TCP/IP. Die im SDS integrierte SSH-Übertragungstechnologie ermöglicht den sicheren Client-Server-Betrieb auch über das Internet. Die eingesetzte Basistechnologie VPDisk (Virtual Private Disk) trennt den Informationszugriff komplett von dem vom Betriebssystem geregelten Dateizugriff.

Zum Zeitpunkt der Verschlüsselung, im Moment des Schreibens / Lesens werden keine temporäre Zwischenspeicherungen von unverschlüsselten Dateien vorgenommen.

Bei der Passwort – Generierung und Gültigkeitsdauer wurden die Regeln technisch konsequent angewendet.

Ein Betreiber dieser Lösung hat keine Möglichkeit festzustellen, welcher Anwender Daten auf dem Server geschrieben hat, auch für einen Administrator ist kein Personenbezug herstellbar. 

Es werden unterschiedliche Logging – Daten erhoben, Aktions-, Sitzungs- und Volumen – Logging; dabei werden die zur Verfügung gestellten Informationen auf nur notwenige Daten reduziert, alle notwendigen Logging – Daten wurden unter dem Gesichtspunkt der Datensparsamkeit adäquat erhoben und gespeichert. Die Logging-Daten sind geeignet, der auftraggebenden Daten verarbeitenden Stelle, eine Kontrolle der Datenverarbeitung zu ermöglichen.

Bei der Aufstellung der Server sind die Anforderungen „IT Grundschutz“ für Betrieb von Servern in RZs zu beachten, hierauf wird im Administratorenhandbuch hingewiesen, weiterhin wird auf das „Technisch – Organisatorisches Einsatzmodell“ hingewiesen.

Nr.	Anforderungsprofil	Bewertung / Kommentar
Datenart A: (Primärdaten)
A1	Produktbeschreibung	verständlich und aussagekräftig,  in adäquater Weise umgesetzt
A2	Authentizität der Nutzer	in vorbildlicher Weise umgesetzt
A3	Integrität der Primärdaten	in vorbildlicher Weise umgesetzt
A4	Authentizität der Primärdaten	in vorbildlicher Weise umgesetzt
A5	Vertraulichkeit der gespeicherten Primärdaten	in vorbildlicher Weise umgesetzt
A6	Revisionsfähigkeit	in adäquater Weise umgesetzt
Datenart B: Protokoll- und Loggingdaten (Sekundärdaten)
B1	Produktbeschreibung	verständlich und aussagefähig,  in adäquater Weise umgesetzt
B2	Datenvermeidung	in adäquater Weise umgesetzt
B3	Integrität der Sekundärdaten	in adäquater Weise umgesetzt
B4	Authentizität der Sekundärdaten	in adäquater Weise umgesetzt
B5	Vertraulichkeit der gespeicherten Sekundärdaten	in adäquater Weise umgesetzt

11. Beschreibung, wie das IT-Produkt den Datenschutz fördert

Das Produkt COMCITY SDS ist eine Krypto-Fileserver-Anwendung, die das transparente verschlüsselte Speichern und das transparente Lesen verschlüsselter Daten ermöglicht. Der SDS ist auf Grund seiner Architektur nicht auf einen speziellen Einsatzbereich beschränkt. Überall wo Daten geschützt vor dem Zugriff nicht autorisierter Dritter gespeichert werden, kann der SDS eingesetzt werden. Das Produkt ist insbesondere auch bei öffentlichen Stellen einsetzbar. Durch die Verschlüsselung werden Integrität und Authentizität der Daten gewährleistet, Sekundärdaten werden ohne Personbezug gespeichert. Das Produkt entspricht der Anforderung in adäquater Weise, die eingesetzten technischen Lösungen ermöglichen die Umsetzung der gesetzlichen Vorgaben.