Perimeterschutz sensible IT-Bereiche

Schützt präventiv vor Bedrohungen durch Schadcode in IT- und OT-Infrastrukturen: mehrstufige Überprüfung von Dateien auf Malware und zentraler Übergabepunkt in interne Netzwerkbereiche und -Segmente.

Anfragen

Datenschleuse – unsere Expertise für Sie

Schützt kritische Infrastrukturen & sensible IT & OT

Die Datenschleuse ist die digitale Einlasskontrolle für den kontrollierten Empfang von Dateien. Der Fokus liegt auf Schadcode-Prävention, Datenflusskontrolle, detaillierter Protokollierung und ist Teil einer Zero Trust Architektur. Sie überprüft mobile Datenträger, E-Mails, Downloads auf Malware und Risiken bevor Schaden in Ihrer IT & OT entstehen kann. Denn besonders sensible IT-Umgebungen und ungeschützte OT-Systeme benötigen ein Höchstmaß an Sicherheit.

Ihre IT ist vielfältigen Angriffsvektoren ausgesetzt, Ihre OT meist einem besonders kritischen: Schadsoftware über mobile Datenträger – ein Top-10-Risiko für beide Welten. Gerade sensible Bereiche wie Entwicklungsabteilungen, Produktionsanlagen und industrielle Steuerungssysteme (IKS/SCADA) sind deshalb oft physisch und logisch isoliert (Air Gap). Der Datenaustausch und Systemupdates erfolgen dort in der Regel über mobile Speichergeräte.

Hierzu einige aktuelle Fakten und Anwendungsfälle

  • Moderne Analysen aus 2024 zeigen, dass 51 % der Schadsoftware-Angriffe für USB-Sticks entwickelt werden. 9 % Steigerung gegenüber 2019 (Honeywell Cybersecurity
  • Air-gap Umgehung: Malware wird über USB in streng isolierte Umgebungen eingebracht. Anschließend Exfiltration über Covert-Channels
  • Fehlende Malware-Überprüfung bei Daten-Eintrittspunkten wie z. B. bei Kommunikation im Medizinwesen (KIM) 
  • Anwendungsfälle sind der sichere Datenaustausch zwischen IT & OT, System- & Software-Updates in isolierten Netzwerken, Integration in Upload-Portale, Behörden & kritische Infrastrukturen, Schutz vor Industriespionage etc.

Die Lösung: Datenschleusen

Eine Datenschleuse, bei OT wegen der Spezialisierung auf mobile Speichergeräte auch Wechseldatenträgerschleuse genannt, übernimmt die sichere Prüfung von Dateien und Datenträgern in einer isolierten Quarantänestation. Mehrfach-Scans mit mehreren Antiviren-Engines, heuristische Analysen sowie optionale Datei-Desinfektion (CDR) und Sandbox-Technologie eliminieren selbst Zero Day Schadsoftware, evasive und polymorphen Schadcode, versteckte Payloads, gefährliche Links oder Makros.

Unbedenkliche Dateien gelangen anschließend kontrolliert ins Netzwerk – wahlweise über das ursprüngliche oder ein bereitgestelltes Medium, oder per Managed File Transfer auch in isolierte/air-gapped Netzwerksegmente. Damit erfüllen Sie auch Compliance-Anforderungen wie IT-SIG, BSI-Grundschutz und ISO 27001.

Einsatzgebiete

Datenschleusen werden in hochsensiblen Infrastrukturen eingesetzt, etwa in Industrie & Fertigung, Energieversorgung, Forschung, Luft- und Raumfahrt, Rüstung, Gesundheitswesen, Finanzsektor sowie bei Behörden in D/A/CH. Sie überprüfen als digitale Sicherheitsschleuse alle eingehenden Daten und integrieren sich modular in Angriffsvektoren wie E-Mail, Netzwerkverkehr, Cloud Storage, Online-Portale und Downloads.

Ihr Anwendungsfall bestimmt den Umfang einer Datenschleuse. Ihre IT ist mehreren Angriffsvektoren ausgesetzt, ihre OT meist nur einem: Über mobile Datenträger eingeschleuste Schadsoftware, gehört aber zu den Top-10 Risiken für IT- und OT-Umgebungen. Besonders sensible Bereiche oder nahezu ungeschützte Systeme, wie beispielsweise Entwicklungsabteilungen, Produktionsanlagen und industrielle Steuerungssysteme (IKS und SCADA) Infrastrukturen werden nicht grundlos physisch und logisch (Air Gap) isoliert. Dementsprechend wird der Datenaustausch mit anderen Computern und Netzwerken sowie Systemupdates häufig über mobile Speichergeräte realisiert.

Die Funktionsweise kurz erklärt

  • Eingang: Die Dateien oder Datenträger wird an der Schleuse übergeben; das System arbeitet isoliert oder air‑gapped. 
  • Analyse: Multi‑Engine‑Scan, optional CDR bzw. Datenwäsche & Sandbox, Metadaten‑Prüfung; Schadsoftware bleibt in der Quarantäne.
  • Freigabe: Nur geprüfte, ggf. durch CDR konvertierte Dateien werden an interne IT-/OT-Netzwerke bzw. Netzwerksegmente übertragen; alle Vorgänge werden protokolliert.

Angebot anfordern

Gerne beraten wir Sie zu den Themen rund um die Datenschleuse für IT und OT. Telefonische Beratung, vor-Ort-Termin oder unverbindlicher Webcast erwünscht?

Angebot anfordern

MetaDefender Kiosk von OPSWAT

Die Datenschleuse MetaDefender Kiosk scannt vor Zutritt einer kritischen Infrastruktur mobile Datenträger auf Bedrohungen und Schadsoftware, löscht kritische Dateien oder eingebettete Objekte wie Skripte und Makros und speichert die bereinigten Dateien manipulationssicher ab. Das Alleinstellungsmerkmal bei MetaDefender Kiosk ist die hohe Sicherheit durch die parallele Überprüfung durch mindestens 8 bis über 30 kommerzieller Antiviren Engines verschiedener Hersteller von allen Kontinenten. Weltweit vertrauen über 1.700 Kunden Cybersecurity-Lösungen von OPSWAT. ProSoft ist seit 2014 Platinum Partner von OPSWAT!

Die Datenschleuse scannt als Quarantänestation mobile Speichergeräte. Für höchste Erkennungsraten werden Dateien mit mehreren Antivirenlösungen gleichzeitig gescannt (siehe auch Anti-Malware Multiscanner). Zusätzlich kommuniziert MetaDefender Kiosk Datenschleuse von OPSWAT mit dem unidirektionalen Security Gateway MetaDefender NetWall oder Datendioden führender Hersteller.

Zusammen mit Datei-Desinfektion (Data Sanitization; CDR) und dem sicheren Dateitransfer MetaDefender Managed File Transfer (vormals Vault), haben Sie eine Komplettlösung zur Umwandlung sicherheitskritischer Daten in unkritische Dateiformate und deren sichere Weiterleitung in sensible und auch isolierte (air gap) und segmentierte IT-Infrastrukturen und Produktionsumgebungen (OT).

Die Zeitschrift elektro Automation berichtet im Juni 2022 über »Sicheres Datenhandling in der OT«.

Download Whitepaper

Erfahren Sie in unserem kostenlosen Whitepaper, wie Sie Ihr Unternehmen oder Ihre Organisation durch den modularen Zero Trust-Ansatz von OPSWAT vor Cyberangriffen und ständig wechselnden Bedrohungsszenarien schützen. 

Alle Felder mit * sind Pflichtfelder. Ihre Daten werden gemäß unserer Datenschutzerklärung verarbeitet.

Datenschleuse

Schützen Sie sensible IT- und OT-Infrastrukturen, indem Sie typische Angriffsvektoren vor hochentwickelter Malware mehrfach schützen.

Beratung & Test

Die Funktionen der OPSWAT Datenschleuse im Überblick

Anti-Malware Multiscanner > 99 % Sicherheit

Die OPSWAT Datenschleuse nutzt den Anti-Malware Multiscanner MetaDefender Core. Dieser sorgt mit seinen 8 bis 34 Anti-Malware Scan-Engines, für maximalen Schutz gegen Schadsoftware aller Art. Darin werden Anti-Malware Lösungen aus unterschiedlichen Regionen paketiert und auf API-Ebene eingebettet. Die Speichergeräte werden mit allen eingesetzten Engines parallel, d. h. gleichzeitig überprüft. Das erspart lange Wartezeiten! Die dadurch erreichte Performance ist außergewöhnlich hoch. Es gibt Pakete ab 8 Anti-Malware Engines, darunter je nach Paket, Hersteller wie Avira, Symantec, McAfee, Trend Micro u. a. Zusätzlich zu den Paketen können eigene Anti-Viren-Lösungen oder einzelne Anti-Malware Hersteller ergänzt werden.

Datenschleuse als Kiosk Lösung
Mobile Datenschleuse
Mobile-Datenschleuse K2100

Mehr Sicherheit durch Datei-Desinfektion & Sandbox

Datei-Desinfektion (Data Sanitization) geht davon aus, dass jede Datei Schadcode enthält. Bei der OPSWAT Datenschleuse, ist die Datenwäsche eine sinnvolle Ergänzung zur Erreichung höchstmöglicher Erkennungsraten. Die Datenschleuse scannt über 30 Archivtypen, verschlüsselte Archive mit Passwortschutz, komprimierte Dateien (.zip, .rar), Installer (MSI, NSIS) sowie in Dateien eingebettete gefährliche Objekte, wie Skripte und Makros, mit inzwischen über 120 Datei-Desinfektion Engines. Eine weitere Option zur Nachbearbeitung bereits gescannter Daten ist die MetaDefender Sandbox, die ebenfalls an die Datenschleuse angeschlossen werden kann. Nach der multiplen Überprüfung können die Dateien auf vertrauenswürdige portable Speichermedien oder Netzwerkfreigaben kopiert oder über den optionalen Managed File Transfer (MFT) von OPSWAT in einem verschlüsselten Datentresor (siehe MetaDefender Managed File Transfer) gespeichert werden.

Die detaillierte Speicherung und Archivierung aller bereits durchgeführten Scans ermöglicht auch die Erkennung von Veränderungen auf Dateiebene durch Vergleich über SHA–256 Hash Werte aus historischen Daten.

Die Dateityp-Erkennung verhindert Spoofing und der integrierte Filter blockiert die Ausführung definierter Executables durch Nutzer mit normaler Berechtigung. Durch Deep-Freeze Software kann die Datenschleuse nach jedem Scan in einen unbedenklichen Zustand zurückgesetzt werden.

Datenblatt Datenschleuse

Integration mit NetWall USG / BSG oder Datendioden

In hochsicheren Netzwerken wie z. B. in der Produktion und in air-gapped Infrastrukturen kommen häufig Datendioden zum Einsatz, um den Datenstrom auf eine Richtung zu beschränken und damit zusätzlich Datendiebstahl zu verhindern. Die OPSWAT Datenschleuse kann in alle führenden Datendioden-Lösungen integriert werden. Der Hersteller bietet mit MetaDefender NetWall sowohl ein unidirektionales Security Gateway (USG) als auch ein bidirektionales Security Gateway (BSG) an. Lesen Sie dazu auch das MetaDefender NetWall USG Datenblatt

Nach Überprüfung auf Schadsoftware durch die Wechseldatenträgerschleuse, werden die unkritischen Dateien durch die Datendiode unidirektional in das sichere Netzwerk übertragen. Dort wird es entweder auf ein internes Speichermedium wie z. B. einem USB-Stick, in MetaDefender Managed File Transfer Datensafe oder auf einem UNC-Pfad gespeichert. Dadurch kann der Benutzer auf die erlaubten Dateien im sicheren Netzwerk zugreifen. Alle mitgebrachten Daten können dauerhaft gespeichert werden, um sie beispielsweise später noch einmal auf Malware zu überprüfen.

Datenschleuse im Einsatz mit Datendiode
+ Ansicht mit Klick vergrößerbar

Workflow- und Richtlinien-Management

Pro Benutzer oder Benutzergruppe können die nachfolgend beschriebenen automatisierten Workflows, Richtlinien und Authentifizierungsmethoden im Workflow-Management der Verwaltungskonsole (Screenshot) der Datenschleuse definiert und überwacht werden.

  • Die Benutzerabfragen können bei der Datenschleuse frei definiert und angepasst werden. Wird z. B. der besuchte Mitarbeiter angegeben, wird dieser per E-Mail darüber informiert, dass der Besucher im Haus ist.
  • Je nach eingesetzter Hardware kann die Authentifizierung über Biometrie oder PKI erfolgen. Alle durchgeführten Scan-Prozesse werden dem Nutzer zugeordnet. Scan-Ergebnisse werden über SHA 256 Hash-Werte mit vergangenen Überprüfungen verglichen.
  • Beschreibbare Speichermedien wie USB-Sticks können nach Dateiübertragung auch formatiert oder sicher gelöscht und bis zu 7-Mal überschrieben werden. Alle Überschreibungen werden dabei mit unterschiedlichen Zeichensätzen durchgeführt.
  • Über 30 unterschiedliche Archiv-Typen, darunter komprimierte Dateien wie ZIP und RAR, Installationspakete wie MSI und NSIS und eingebettete Dateien und Objekte in Office- und PDF-Dokumenten werden gescannt. Bei passwortgeschützten Archiven bietet die Datenschleuse MetaDefender Kiosk einen Login-Bildschirm an.
  • Zum Schutz vor Zero-Day-Angriffen können riskante Dateitypen in sichere konvertiert werden. Ausführbare Dateien können blockiert werden (Datei-Desinfektion).
  • Um die OPSWAT Datenschleuse vor Kompromittierung zu schützen, kann sie optional mit einer Deep-Freeze-Software zurückgesetzt und in einen sauberen Zustand versetzt werden.
  • Größere Datenmengen wie z. B. auf Notebooks werden mit MetaDefender Drive (Malware-Multiscanning-on-a-Stick) auf Malware überprüft.

MetaDefender Datenschleuse

Die HighEnd Datenschleuse von OPSWAT scannt mobile Datenträger auf Bedrohungen und Schadsoftware.

Screenshots
Metadefender Kiosk mit Datendiode
+ mit Klick vergrößern

Einsatz & Systemanforderungen

MetaDefender Kiosk Datenschleuse (Wechseldatenträgerschleuse) kann stand-alone ohne und mit Netzwerkanbindung, mit zentralem Management, in Zusammenhang mit einer Datendiode, mit Managed File Transfer (MFT), Vault oder in einer verteilten Infrastruktur eingesetzt werden.

Als Kiosk-Hardware haben Sie verschiedene Optionen: Vom Mini Tischgerät mit Touchscreen über ein Standgerät mit allen Anschlüssen bis hin zu einer mobilen Datenschleuse K2100, die auf einem speziellen Notebook auch die härtesten militärischen Standards erfüllt. Die MetaDefender Kiosk K-Serie kann auch inkl. Software als Komplettsystem bestellt werden. Wir bieten aber auch kompatible Kiosk-Hardware von europäischen Herstellern an.

Die Datenschleuse wird auf Standard x64 Hardware ab Windows 7 installiert und ist kompatibel zu gehärteten Kiosksystemen führender Hersteller.

Systemvoraussetzungen der Datenschleuse

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 7
  • Windows 8
  • Windows 10

Unterstützte Formfaktoren

  • 3,5 " Disketten
  • CD/DVD
  • Flash-Speicherkarten
  • Mobile Speichergeräte wie USB-Sticks und USB-HDD/SSD
  • Mobile Endgeräte etc.

Bitte lesen Sie dazu auch das MetaDefender Kiosk Datenblatt.

Anti-Malware Paket-Optionen

8-20 Anti-Malware Engines sowie einzelne Engines ergänzen. Basis ist die Kerntechnologie MetaDefender.

Anti-Malware Multiscanner

Anfrage MetaDefender Kiosk Datenschleuse

Für weitere Informationen nutzen Sie bitte das Formular. Gerne beraten wir Sie über Umfang und Funktionen der MetaDefender Kiosk Datenschleuse. Die Konzeption einer OPSWAT Datenschleuse kann je nach Anwendungsfall umfangreich werden. Wir beraten Sie abhängig von Ihren Anforderungen und nutzen dabei unsere 10-jährige Erfahrung. Gerne präsentieren wir Ihnen die Funktionen in einem Webcast

Alle Felder mit * sind Pflichtfelder. Ihre Daten werden gemäß unserer Datenschutzerklärung verarbeitet.