Home FAQ TwinLock Informationssicherheit optimieren

TwinLock Informationssicherheit optimieren

Posted on by Kay-Tino Schönknecht Posted in

Wie sicher ist das TwinLock ProtectMaster?

Alle TwinLock Schloss-Systeme sind für alle VdS-Klassen nach EN1300 zertifiziert und entsprechen daher allerhöchsten deutschen und europäischen Sicherheitsstandards. Es wurde nicht „nur“ das Schloss-System in Klasse B und C zertifiziert, sondern zusätzlich auch alle Systemkomponenten, wie der Überfallmelder TwinXT (VdS C), das Sperrelement TwinXT (VdS C) und das Blockschloss TwinAlarm (VdS C). Hier finden Sie alle VdS-Zertifikate. Zusätzlich wurden die Systeme vom ECB•S zertifiziert. Hier finden Sie die ECB•S Zertifikate.

Wie sicher ist Ihr Verschluss-Konzept?

Neben der VdS zertifizierten System-Sicherheit des Tresor-Schlosses und der IT-Sicherheit, muss die Sicherheit für Tresorschlösser auch und in erster Linie konzeptionell implementiert werden. Die Praxis zeigt, dass die häufigsten und grundlegendsten Sicherheitsmängel im fehlerhaft implementierten Prozess begründet liegen. Der „Mensch“ ist das schwächste Glied in der Kette. Dies gilt für alle internen Prozesse, aber auch für die Cash-Logistik Prozesse, welche an WDL (Werttransport- Dienstleister) ausgegliedert wurden. Hier finden Sie wichtige grundlegende Informationen für das Erstellen von Verschluss-Konzepten.

Innerhalb des gesicherten Banken-Netzwerks sind in der Regel keine zusätzlichen Sicherheitsmaßnahmen notwendig.

Der generelle prozessuale Systemaufbau trennt zwischen „VdS geprüfter“ Sicherheit und „optionaler“ IT-Sicherheit, welche „On Top“, also zusätzlich zur VdS Sicherheit greift. Beim Design des Schloss-Systems und der Prozesse des Informations-Flusses zwischen Anwender und Schloss (Client und Server) wurde grundsätzlich ausgeschlossen, dass sicherheitsrelevante Informationen ausgetauscht werden. Bei der Daten-Kommunikation über das Netzwerk des Geldinstitutes oder bei jeglicher Datenspeicherung außerhalb des Schloss-Systems handelt es sich ausschließlich um Informationen, welche nicht risikobehaftet sind, da jene Informationen keine Öffnungsgeheimnisse der Schlösser enthalten. Dies ist ein entscheidender Punkt hinsichtlich der Sicherheitsanforderungen, da ein Kompromittieren der IT-Systeme nicht zur Manipulation, bzw. Öffnung der Hochsicherheitsschlösser führen kann.

Beispielhaft lässt sich dieses Sicherheitskonzept wie folgt beschreiben. Sie haben einen mechanischen Tresorschlüssel. Jeder PIN-Code oder jede Karte des Schlosses stehen für jenen mechanischen Schlüssel. Der Schlüssel wird im übertragenen Sinn nun zusätzlich weggesperrt (z.B. in einen Schlüsselkasten). Diese zusätzliche Sperre oder Sicherheit greift „On Top“. Der Schlüsselkasten stellt eine zusätzliche Sicherheit dar, wie bei einer 2-Faktor Authentifizierung im Internet, jedoch mit dem Unterschied, dass die VdS Prüfungsanforderungen bereits ein ausreichend „sicheres“ Passwort erfordern, um das erforderliche Sicherheitsniveau zu gewährleisten. Der zweite Faktor ist daher obsolet. Natürlich ist „mehr“ Sicherheit immer besser. Alle „optionalen“ IT-Sicherheits-Funktionen, ersetzen also nicht die eigentliche VdS-Sicherheit (den Schlüssel, PIN, PAsswort), sondern ergänzen diese. Das System wird noch sicherer und es ergeben sich neue organisatorische Möglichkeiten, welche sich mit diesen zusätzlichen IT-Sicherheitsfunktionen geordneter und sicherer durchführen lassen.

Welche Grundregeln sollten zum Thema Sicherheit beachtet werden?

  • Der WEB-Administrator sollte nicht gleichzeitig auch Schloss-Master (Benutzer 00) sein. Eine Trennung dieser beiden Berechtigungen schafft die Möglichkeit einer gegenseitigen Kontrolle. Der WEB-Administrator kann vom Schloss-Master überwacht werden und vice versa.
  • Der WEB-Administrator sollte über keine eigenen Benutzer-Codes am Schloss verfügen. Der WEB-Administrator hat dann auch keine Möglichkeit sich eigene Öffnungsberechtigungen zu generieren. Der WEB-Administrator kann dann alle Berechtigungen verwalten und neue Benutzer anlegen, aber die eigentlichen Öffnungsgeheimnisse (PIN-Code/Karte) werden im 4-Augenprinzip durch „andere“ Benutzer angelegt.
  • Jeder Schloss-Benutzer mit eigenen PIN-Codes oder jene Gruppe, welche sich PIN-Codes oder Karten teilen, sollte mit diesen Öffnungsgeheimnissen sehr sorgsam umgehen. Jedes Öffnungsgeheimnis (PIN-Code/Karte) ist einem mechanischen Schlüssel oder einer mechanischen Kombi gleichzusetzen. Jeder PIN-Code ist geheim und sollte niemals trivial (123456, 111111, o.ä.) gewählt werden. Nutzen Sie auch keine Zahlen für PIN-Codes, welche BLZ oder Filialnummern enthalten. Auch wenn PIN-Codes zusätzlich biometrisch oder via Fern-/Web-Sperre oder Einmalcode gesichert sind, sind diese Codes geheim und nicht trivial.
  • Verwenden Sie nicht die gleichen Codes auf unterschiedlichen Systemen. Codes die ausgespäht werden und kompromittiert sind, müssen dann nicht an allen Systemen geändert werden. Nutzen Sie ggf. die Codeeingabe über Pfeil- anstelle Zifferntasten (siehe globale Einstellungen).
  • PIN-Codes werden nicht weitergereicht (weitererzählt) und PIN-Codes sollten regelmäßig geändert werden. PIN-Codes oder Karten, welche nicht mehr benötigt werden, sollten gelöscht werden. Je weniger Berechtigte, desto sicherer. Verlorene Karten oder Codes ausgeschiedener Benutzer müssen umgehend gelöscht werden.
  • Um die interne Sicherheit zu erhöhen (4-Augen-Prinzip) sind folgende Schritte ratsam. Richten Sie nach Möglichkeit unterschiedliche Master-Codes (Benutzer 00) ein. Schloss 1 – Master und Schloss 2 – Master. Trennen Sie bei einem 1-Schloss-System den einzigen Master auf zwei Benutzer auf (ersten drei- und zweiten drei-Stellen des 6-stelligen Codes). Richten Sie auch nach Möglichkeit 2 WEB-Administratoren ein und aktivieren Sie 4-Augen Konfiguration in den globalen Einstellungen. Deaktivieren Sie die Öffnungsmöglichkeiten für den Mastercode (Servicemenü oder TwinCom Konfigurationskarte).
  • Um ein Ausspähen von Codes zu verhindern, können Sie die Bedienung so umstellen, dass die Code-Eingabe „spionagesicher“ erfolgt. ► Menü ► Bedienung nicht über die Zahlentastatur, sondern Pfeiltasten.

Dies sind die wichtigsten Grundregeln zum Thema Sicherheit im Umgang mit Öffnungsberechtigungen.

Wartung, Pflege und Updates

„Never change a running system“ – dieser Grundsatz bei Computern bedeutet etwa „Verändere nie etwas an einem funktionierenden System“. Durch das eigene Eingreifen riskiert man mögliche Fehlfunktionen – ein längst überholter Gedanke und unzutreffend, wenn es um regelmäßige Softwareaktualisierungen geht. Nur mit regelmäßigen Updates sorgen Sie für maximale Sicherheit und profitieren von neuen Funktionen. Da sich Technik und digitale Kommunikation stetig weiterentwickeln, stellt SAFECOR regelmäßig eine aktualisierte Firmware zur Verfügung (siehe hier). Gerade in puncto Sicherheit ist eine stets weiterentwickelte Firmware unerlässlich, um auch neue potenzielle Gefahren zuverlässig abwehren zu können. Daher gilt: Um im Bankennetz für maximalen Schutz zu sorgen, sind Updates regelmäßig durchzuführen. Wir unterstützen Sie im Rahmen unserer Beratung- und Serviceverträge bei der Pflege Ihrer Systeme. Hier finden Sie weitere Informationen.

Zusätzliche IT-Sicherheit – Verschlüsselung

Wenn Sie TwinLock Systeme über „öffentliche“ oder unsichere Leitungen (z.B. außerhalb des Banknetzes) betreiben, dann beachten Sie folgende zusätzliche Sicherheitsmaßnahmen. Optional steht es Ihnen natürlich frei, jene Maßnahmen auch innerhalb des „sicheren“ Netzes des Instituts zu verwenden.

  1. Aktivieren Sie die SSL-Verschlüsselung. Sofern Sie über einen eigenen CA-Server verfügen, können Sie sich eine Zertifikatsanfrage erstellen. Die erforderlichen Einstellungen finden Sie im Menü Systemverwaltung ► Secure Socket Layer.
  2. Gehen Sie in das Menü Systemverwaltung ► Netzwerk einstellen und aktivieren Sie „Nur SSL Verbindungen zulassen“, sowie „Externe Programme/API deaktivieren“.
  3. Aktivieren Sie im Menü Benutzerverwaltung ► Benutzermatrix ► unter Rechte bearbeiten für alle administrativen Benutzer die „2-Faktor Authentifizierung“. Anleitung hier.
  4. Stellen Sie optional das System auf ein 4-Augen-Login um: Menü ► Schloss-Konfiguration ► Globale Einstellungen ► 4-Augen-Prinzip ► aktivieren Sie „4-Augen Konfiguration“.

Transport Layer Security (TLS), Secure Sockets Layer (SSL)

Transport Layer Security (TLS), weitläufiger bekannt unter der alten Bezeichnung SSL (Secure Sockets Layer), ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Netzwerk/Internet.

Gemäß der Vorgaben des Bundesamtes für Sicherheit und Informationstechnik (BSI) für empfohlene kryptografische Verfahren und Protokolle sind die Protokolle TLS 1.0, TLS 1.1 sowie diverse Cipher Suites in allen Systemen zu deaktivieren. Auch die Browserhersteller werden diese Protokolle in Zukunft nicht mehr unterstützen. Die Finanz Informatik wird diese Protokolle ab Anfang 2020 blockieren. Ein Aussage zum Fahrplan der Rechenzentren der Volksbanken liegen derzeit noch nicht vor. Alle Geräte, welche noch mit jener alten Protokollversion arbeiten und nicht die Version TLS 1.2 unterstützen, werden dann im Netzwerk nicht mehr unterstützt.

Die aktuelle Netzwerkerweiterung „TwinIP V3“ unterstützt TLS 1.2. Ältere Netzwereinheiten der Version 1 oder 2 unterstützen das Protokoll nicht. Diese Systeme müssen hardwareseitig vor Ort ausgetauscht werden.

Welche Cipher Suites werden unterstützt?

Die aktuelle Netzwerkerweiterung „TwinIP V3“ unterstützt folgende Cipher Suites.

* TLSV1_2 Cipher Suites:
Preferred:
AES256-GCM-SHA384 - 256 bits HTTP 200 OK
Accepted:
AES256-SHA256 - 256 bits HTTP 200 OK
AES256-SHA - 256 bits HTTP 200 OK
AES256-GCM-SHA384 - 256 bits HTTP 200 OK
RC4-SHA - 128 bits HTTP 200 OK
RC4-MD5 - 128 bits HTTP 200 OK
IDEA-CBC-SHA - 128 bits HTTP 200 OK
AES128-SHA256 - 128 bits HTTP 200 OK
AES128-SHA - 128 bits HTTP 200 OK
AES128-GCM-SHA256 - 128 bits HTTP 200 OK
DES-CBC3-SHA - 112 bits HTTP 200 OK

Wie können Sie ermitteln, welche Hardware Version Ihre Systeme haben?

  1. Melden Sie sich im Bios / Servicemenü des Schlosses an, indem Sie sich die IP-Adresse (oder den Hostnamen) des Systems aufrufen und hinter der IP-Adresse (oder dem Hostnamen) „:8080“ (Doppelpunkt Achtzig Achtzig) eingeben. Es erscheint ein Anmeldefenster.
  2. Achten Sie auf das korrekte Datum/Uhrzeit unter der Longin-Maske und korrigieren Sie dieses entsprechend. (Time (2016-06-28 12:14) is not correct? Please set time!)
  3. Geben Sie dort die von Ihnen definierten Benutzerdaten ein (bei Werksauslieferung lautet der Standard-Benutzer „twinip“ mit Passwort „hifoko64“). Sie sind anschließend im Servicemenü angemeldet.
  4. Oben in der Ecke des Menüs wird jetzt der Hardware/Softwarestand angezeigt. TwinIP Service 1.xx (z.B. 1.4 80) ist die alte Version, welche ausgetauscht werden muss. TwinIP Service 3.xx (z.B. 3.0 96) ist die neue Version, welche bereits TLS 1.2 unterstützt.

Welche Ports sind geöffnet?

Im Rahmen von sog. IT-Sicherheits-Audits werden von den (externen) IT-Prüfern häufig „einfache“ Port-Scans mit nmap im Netzwerk des Geldinstituts durchgeführt. Der Port-Scan versucht durch extensives Probieren herauszubekommen, welche Dienste ein Netzwerkgeräte im Bankennetz anbieten. Ein Portscan fragt höflich und formgerecht alle möglichen Dienste (das sind 65535 statusbehaftete und nochmal so viele statuslose Quellen auf Basis von IP) ab. Der Test (Port-Scan) ist praktisch und ungefährlich, weil das Geldinstitut keine Dienste anbieten möchte, die die Bank nicht kennt. Der Scan ist im praktischen Leben vergleichbar mit der Beobachtung von der Straße in einem Wohngebiet auf der Suche nach einem (geeigneten) Haus. Ebenso wie ein Betrachter eines Hauses einen Einbruch planen kann, kann ein Scan einen Angriff vorbereiten. Das Geldinstitut möchte also wissen, welche Ports geöffnet sind und warum diese offene sind. Je weniger Ports geöffnet sind, desto geringer die potentielle „Angriffsfläche“.

Folgende Ports sind am Schloss-System geöffnet (Standard):

Starting Nmap at 2014-05-12 10:05 Mitteleuropäische Sommerzeit
NSE: Loaded 118 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 10:05
Scanning 192.168.0.82 [3 ports]
Completed Ping Scan at 10:05, 0.14s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:05
Completed Parallel DNS resolution of 1 host. at 10:05, 0.00s elapsed
Initiating SYN Stealth Scan at 10:05
Scanning 192.168.0.82 [1000 ports]
Discovered open port 8080/tcp on 192.168.0.82
Discovered open port 443/tcp on 192.168.0.82
Discovered open port 80/tcp on 192.168.0.82
Completed SYN Stealth Scan at 10:05, 13.32s elapsed (1000 total ports)

80/tcp http Mongoose httpd Webinterface des Schlosses
443/tcp ssl/https Mongoose httpd Webinterface des Schlosses (über SSL)
8080/tcp http httpd Webinterface des Servicemenüs

Folgende Ports sind am Schloss-System geöffnet, wenn Sie alle Funktionen nutzen:

Schloss Web Browser eingehend Port 80
Schloss Web Browser https eingehend Port 443
Schloss SMTP (E-Mail Server) ausgehend Port 25
Schloss Signalbox (OSPlus Anbindung) ausgehend Port 2222
Schloss Signalbox (OSPlus Anbindung) eingehend Port 80
Schloss NTP Server (Zeitserver) ausgehend Port 123
Schloss PM-Studio eingehend Port 443