The project partners AIT Austrian Institute of Technology GmbH and X-Net Services GmbH will pursue OpenSecurity in terms of cooperation and bring it to the market as a product. To this end the prototype will be adapted to the needs of the stakeholders (i.e. public institutions and commercial large scale enterprises).

Thanks to the complementary strengths of the project partners AIT Austrian Institute of Technology GmbH and X-Net Services GmbH, further development of OpenSecurity in terms of a cooperation model is an ideal basis for the success of the Open Source based solution.

• X-Net Services GmbH has high level expertise in the implementation of large projects and especially in First and Second Level Support, which plays a major role in such projects. X-Net Services GmbH is in direct contact with customers ensuring a smooth cooperation and system maintenance. If required, X-Net Services GmbH can also adapt and newly implement OpenSecurity solutions within their sphere of competence.
• AIT Austrian Institute of Technology GmbH acts as integrator with good contacts to industry and a solid reputation. Due to its large number of highly qualified developers, AIT Austrian Institute of Technology GmbH can acquire and promote large projects, and adapt OpenSecurity to the customers’ needs.

OpenSecurity wird von den Projektpartnern AIT Austrian Institute of Technology GmbH und X-Net Services GmbH in Form einer Kooperation weitergeführt und als Produkt in den Markt eingeführt. Dazu wird der entwickelte Prototyp als Produkt an die Erfordernisse der Bedarfsträger (v.a. öffentliche Institutionen und kommerzielle Großunternehmen) angepasst.

Die Weiterführung von OpenSecurity in einem Kooperationsmodell ist aufgrund der unterschiedlichen, sich ergänzenden, Stärken der beiden Projektpartner AIT Austrian Institute of Technology GmbH und X-Net Services GmbH als ideale Voraussetzung für den Erfolg der entwickelten Open Source basierten Lösung zu sehen.

• X-Net Services GmbH hat hohe Expertise in der Umsetzung von Großprojekten sowie vor allem in First und Second Level Support, der in solchen Projekten eine große Rolle spielt. Als direkter Ansprechpartner für Kunden sorgt X-Net Services GmbH für den reibungslosen Ablauf in der Zusammenarbeit mit den Kunden sowie für die Wartung des Systems und führt zudem Anpassungen und Adaptionen – sowie Neu-Implementierungen, die sich im Kompetenzbereich von X-Net Services GmbH befinden – der Lösung OpenSecurity nach Bedarf durch.
• AIT Austrian Institute of Technology GmbH tritt als Integrator mit guten Kontakten in die Wirtschaft sowie einer hohen Reputation auf. Durch die Vielzahl an hochqualifizierten Entwicklern kann AIT Austrian Institute of Technology GmbH große Projekte akquirieren und vorantreiben sowie OpenSecurity an die Bedürfnisse der Kunden anpassen.

OpenSecurity points out that not all personal data and its interconnections should be freely accessible. Sensitive data as well as inferences from that data related to individuals and their preferences, characteristics, etc. must be safeguarded.

Both the results of the survey and the interviews, which have been conducted with IT-experts from the Linz City Administration and the Austrian Federal Ministry of Internal Affairs in the context of OpenSecurity, suggest distinctly that security aspects of IT-infrastructure in the public sector have gained momentum during the last years. We can assume that the situation is very similar in other public authorities and agencies – provided that those are of a similar size. In addition to the federal agencies (e.g. ministries, courts) and the state institutions (e.g. federal governments, regional courts, and state police departments), the regional administrative authorities and magistrates of bigger cities can be considered as potential prospects as well. Moreover OpenSecurity can be employed in public institutions like universities, museums or libraries. OpenSecurity can be adapted to the needs of larger NGOs/NPOs or commercial enterprises as well.

The software solution has the potential to expand to at least the German-speaking market. To introduce OpenSecurity to the international market the consortium plans to pursue the project on an EU level. The aim is to create a unified EU-standard for the public area as well as for offices and authorities.

Some features of OpenSecurity, which have an impact on the development of its potential, relate to its Open Source based approach.

• Market situation: OpenSecurity is a valuable alternative to other currently available IT-security solutions, e.g. safe-browsing solutions like Bitbox (Sirrix), SurfCanister (Quick Heal Technologies), or Sandboxie (Sandboxie Holdings).
• Implementation: OpenSecurity makes an unobtrusive integration into existing infrastructures possible. Smooth transfer and migration of single use cases on a large scale is possible during on-going operations. The administrative effort for migrating to OpenSecurity, or for a first installation of the Open Source solution is not more laborious than the change to a similar proprietary product.
• Economical benefits: The software is available Open Source and can be downloaded for free from the website. The public sector can profit from savings mainly related to no licensing fees and low costs for further development. OpenSecurity can be fully integrated with existing IT-structures independently from the operating system, and can be adapted to existing usability and accustomed workflows. This means that for training only low or no costs can be expected.

OpenSecurity gibt zu bedenken, dass nicht alle personenbezogenen Daten sowie deren Vernetzung frei zugänglich sein dürfen – der Schutz von sensiblen Daten, die Rückschlüsse auf Personen und deren Vorlieben, Charakteristika etc. zulassen, muss gewährleistet sein.

Sowohl die Ergebnisse einer im Rahmen von OpenSecurity erfolgten Fragebogenerhebung als auch die Interviews, die mit IT-ExpertInnen vom Magistrat der Stadt Linz und dem Bundesministerium für Inneres durchgeführt wurden, geben deutliche Hinweise darauf, dass Sicherheitsaspekte bei der IT-Infrastruktur im öffentlichen Bereich in den letzten Jahren zunehmend an Bedeutung gewonnen haben. Es ist anzunehmen, dass sich die Situation bei anderen öffentlichen Behörden und Einrichtungen in Österreich ähnlich darstellt – sofern diese eine bestimmte Größe aufweisen. Neben den Einrichtungen des Bundes (z. B. Ministerien, Organe der Gerichtsbarkeit) und der Länder (z. B. Landesregierungen, Landesverwaltungsgerichte, Landespolizeidirektionen) kommen damit auch die Bezirksverwaltungsbehörden und die Magistrate der größeren Städte als potenzielle InteressentInnen für OpenSecurity in Frage. Des Weiteren kann OpenSecurity in öffentlichen Einrichtungen wie Universitäten, Museen oder Bibliotheken eingesetzt werden. OpenSecurity kann ebenso den Bedürfnissen von größeren NGOs/NPOs oder privatwirtschaftlichen Unternehmen angepasst werden.

Die Software-Lösung hat durchaus Potenzial einer Ausdehnung auf zumindest den deutschsprachigen Markt. Um OpenSecurity international am Markt einführen zu können, ist eine Weiterführung auf EU-Ebene geplant. Ein einheitlicher EU-Standard für den öffentlichen Bereich sowie für Ämter und Behörden soll erreicht werden.

Mit dem Open Source basierten Ansatz von OpenSecurity sind einige Besonderheiten verbunden, die auf die Entfaltung des Potenzials entsprechende Auswirkungen haben.

• Marktsituation: OpenSecurity reiht sich als vielversprechende Alternative zu anderen derzeit am Markt verfügbaren IT-Sicherheitslösungen ein, z.B. Safe-Browsing-Lösungen wie Bitbox (Sirrix), SurfCanister (Quick Heal Technologies), oder Sandboxie (Sandboxie Holdings).
• Implementierung: OpenSecurity ermöglicht eine unaufdringliche Integration in bestehende Infrastrukturen. Bei gleichzeitigem Betrieb kann eine sanfte Überführung und Migration einzelner bestehender Anwendungsfälle in großem Maßstab durchgeführt werden. Der administrative Aufwand für eine Migration bzw. eine erstmalige Installation der Open Source Lösung ist nicht aufwändiger als der Umstieg auf ein vergleichbares proprietäres Produkt.
• Ökonomische Vorteile: Die Software selbst ist unter Open Source gestellt und steht auf der Webseite zum freien Download bereit. Einsparungen für den öffentlichen Bereich können sich hier vor allem bei den Lizenzierungskosten und den Weiterentwicklungskosten ergeben. Da sich OpenSecurity in bestehende IT-Strukturen betriebssystemunabhängig integrieren und der bestehenden Usability und dem gewohnten Workflow anpassen lässt, sind keine hohen Kosten für Schulungsaufwand zu erwarten.

Image by www.perspecsys.com License: CC-BY-SA

In a nutshell, IT-security is about safe interaction with information and data. Risks and threats for IT systems always rise at the level of information or at transition points and interfaces where information is transformed from one form into another. An example is user authentication by password entry. A professional IT-security management must ensure protection of IT systems and information during their whole lifecycle, from data creation to editing, transfer, and storage, and finally to deletion.

The Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik - BSI) in Germany lists five different threat categories in their baseline security manual. In general all ofthese threats can be attributed to a missing or inadequate IT-security concept. This comprises in particular IT-infrastructure security (e.g. server, network, computer, and mobile devices), building security, data security, computer virus protection, communication security (e.g. telephone, fax, e-mail, and internet), and contingency plans.

To minimise the risks, IT-security requires a comprehensive analysis of the organisation’s IT-structures and IT-systems. In addition to the exact definition of the devices and resources to be included (e.g. IT-systems, IT-infrastructure, processes) risk analysis is a key feature in order to establish the IT-security concept as substantial part of a risk management process. Such an IT-security concept must describe responses to potential risks and has to meet other requirements, in particular performance targets and quality or architecture requirements.

Bild von www.perspecsys.com Lizenz: CC-BY-SA

Im Kern geht es bei IT-Sicherheit um den sicheren Umgang mit Informationen und Daten. Risiken und Bedrohungen für IT-Systeme entstehen immer in erster Linie in Bezug auf Informationen oder bei Übergängen und Schnittstellen von einer Informationsform in eine andere, etwa der Personenauthentifizierung durch Passworteingabe. Ein professionelles IT-Sicherheitsmanagement hat dafür Sorge zu tragen, dass IT-Systeme und Informationen während ihres gesamten Lebenszyklus geschützt sind, d. h. von der Entstehung über die Bearbeitung, Übertragung und Speicherung bis hin zur Entsorgung.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) weist im Grundschutzhandbuch fünf verschiedene Kategorien für Bedrohungen aus. Allgemein liegt diesen Bedrohungen das Fehlen eines ausreichenden IT-Sicherheitskonzepts und –managements zugrunde. Hierzu zählen insbesondere IT-Infrastruktursicherheitskonzept (z.B. Server, Netzwerk, Computer, mobile Geräte), Gebäudesicherheitskonzept, Datensicherungskonzept, Computervirenschutz-Konzept, Kommunikationssicherheitskonzept (z.B. Telefon, Fax, E-Mail, Internet) und Notfallkonzept.

Um die Risiken aus Perspektive der IT-Sicherheit minimieren zu können, ist eine umfassende Analyse der in einer Organisation vorhandenen IT-Strukturen und IT-Systeme notwendig. Neben der exakten Definition der miteinzubeziehenden Gegenstände und Ressourcen (z. B. IT-Systeme, IT-Infrastruktur, Prozesse) stellt dabei eine Risiko-Analyse einen wesentlichen Bestandteil dar, um das IT-Sicherheitskonzept als Teil eines Risiko-Management-Prozesses zu etablieren. Ein derartiges IT-Sicherheitskonzept muss neben der Darstellung der Bewältigung potenzieller Risiken auch weitere Anforderungen erfüllen, insbesondere Leistungsvorgaben, Qualitätsanforderungen oder Architektur-Vorgaben.

During the last years a number of public institutions in European cities and communities have successfully integrated Open Source Software in their IT landscape. Renowned examples are Munich (LiMux with Ubuntu Linux, KDE, OpenOffice, Gimp), Leipzig (OpenOffice), Schwäbisch Hall (SUSE Linux, KDE and OpenOffice) or Treuchtlingen (Linux, KDE, Gimp, Scribus, and Inkscape).

In einigen öffentlichen Einrichtungen in europäischen Städten und Gemeinden wurden in den letzten Jahren erfolgreiche Versuche unternommen, Open Source Software zu integrieren. Bekannte Beispiele hierfür sind etwa München (LiMux mit Ubuntu Linux, KDE, OpenOffice, Gimp), Leipzig (OpenOffice), Schwäbisch Hall (SUSE Linux, KDE und OpenOffice) oder Treuchtlingen (Linux, KDE, Gimp, Scribus, Inkscape).

The Secure USB and Secure Web Browsing features have been integrated with an existing Windows-interface and with Windows user workflows. Data import and -export occur via the Windows Explorer. The Secure Browser opens as a window on the desktop and persists user bookmarks. In both mechanisms the user does not need to deal directly with the SecureVirtualMachine. If necessary the OpenSecurity user is being guided through any required steps by tray-notifications and dialogues.

OpenSecurity was tested under normal office conditions by the stakeholder IKT Linz. Additional requirements on the existing infrastructure could be modularly and flexibly implemented.

Secure USB

The current version of OpenSecurity allows data import from both unencrypted and encrypted USB-sticks. Imported data is automatically (and potentially centrally, if so configured) virus- and malware scanned. If a potential virus or malware is detected by the system, access to the data is denied. Potential viruses/rootkits that automatically activate upon access, can – if they are able to run on a Linux-system at all – only harm the used disposable SecureVirtualMachine, and not the user workstation.

It is also possible to export data to a USB-stick. In this case the user is requested to initialise the stick with an encrypted container. This way OpenSecurity prevents data loss by prohibiting export to devices other than encrypted USB-sticks.

In addition, it is possible for all data transactions to be recorded on a central logging- or monitoring server. In this way, potential data losses can be tracked.

Secure Web Browsing

By clicking the desktop- or tray-icon, the user can start the Secure Browser. In OpenSecurity Version 1.0 the open browser Chromium is being used. The browser is executed within a SecurityVirtualMachine, which is graphically integrated with the Windows-interface. It opens as a standard browser window in the usual desktop environment.

Also in this case a virus or malware attack originating from the browser can only affect the SecurityVirtualMachine and cannot contaminate the user workstation. Data from the browsing session can only be transferred via similar mechanisms and security measures as in the USB data import/export feature.

Die Funktionen Secure USB und Secure Web Browsing wurden in die bestehenden Windows-Oberfläche und Arbeitsabläufe für den User integriert. So finden Datenimport und -export über den Windows-Explorer statt. Der Secure Browser erscheint als Windows-Fenster und hält auch Lesezeichen des Benutzers bereit. Bei beiden Mechanismen kommt der Benutzer nicht mit der SecureVirtualMachine in Berührung. Bei Bedarf wird der Benutzer von OpenSecurity mit Hilfe von Tray-Meldungen und Dialogen durch die notwendigen Schritte geführt.

OpenSecurity wurde beim Bedarfsträger IKT Linz unter normalen Bürobedingungen getestet. Zusätzliche Anforderungen der bestehenden IT-Infrastruktur konnten modular und flexibel umgesetzt werden.

Secure USB

Die derzeit vorliegende OpenSecurity Version ermöglicht im Bereich Secure USB das Importieren von Daten von unverschlüsselten und verschlüsselten USB-Sticks. Die importierten Daten werden vor dem Zugriff durch OpenSecurity automatisch (und zentral, wenn so konfiguriert) auf Viren oder Malware gescannt. Bei einem Fund wird der Zugriff verweigert. Eventuell vorhandene Viren/Rootkits, die sich beim Zugriff selbst aktivieren, können – sofern sie überhaupt auf einem Linux-System lauffähig sind – nur die benutzte SecureVirtualMachine und nicht den Arbeitsrechner des Benutzers befallen.

Beim ebenfalls möglichen Datenexport auf einen USB-Stick wird der Benutzer aufgefordert, diesen zuerst als verschlüsselten Stick zu initialisieren. Ein Export auf unverschlüsselte USB-Sticks und ein nachfolgender Datenverlust sind daher durch den Einsatz von OpenSecurity nicht mehr möglich.

Zusätzlich können alle exportierten Daten auf einem zentralen Logging- bzw. Monitoring Server aufgezeichnet werden. Dadurch kann der Weg nachvollzogen werden, den verloren gegangene Daten genommen haben.

Secure Web Browsing

Beim Secure Web Browsing kann der Benutzer über ein Desktop- bzw. ein Tray-Icon einen „sicheren“ Browser starten. In OpenSecurity Version 1.0 kommt hierbei der freie Browser Chromium zum Einsatz. Er wird innerhalb einer SecurityVirtualMachine ausgeführt, integriert sich allerdings graphisch in die Windows-Oberfläche und erscheint als normales Browser-Fenster in der gewohnten Desktop-Umgebung.

Auch hier führt ein Befall durch Viren bzw. Malware wieder nur zum Befall der SecurityVirtualMachine und nicht zur Kontaminierung des Arbeitsrechners des Benutzers. Auch ein Datenaustausch kann während einer Browsersitzung nur über ähnliche Mechanismen und Sicherheitsmaßnahmen wie beim USB Import/Export erfolgen.

• Open Security V1.0 (.exe / 1.2 GB)

Bedienungsanleitungen

• User Guide (.pdf)
• Installations Manual (.pdf)

OpenSecurity Weiterentwickeln

• Source Code Repositories

English

Das Ziel unserer Forschung war es Datensicherheit und –Verfügbarkeit zu erhöhen und zugleich damit zusammenhängenden Aufwand zu reduzieren. Zu diesem Zweck untersuchten wir die Machbarkeit und Implementierung  einer zentralisierten Sicherheitsschicht aufgrund unserer Erfahrung mit Intensive Computing, Antivirus und Verschlüsselung. Das Ergebnis ist eine Schicht, welche jegliche Kommunikation, die auf Client-Geräten stattfindet (z.B. USB Sticks, Laptops) kontrolliert, verifiziert und verschlüsselt. OpenSecurity ist unter einer Lizenz verfügbar, die sowohl öffentliche Verifikation als auch Anpassung in heterogenen IT-Systemlandschaften zulässt. Leistungen unserer Forschungsarbeit:

• Erhöhte Sicherheit und Sicherheitsbewusstsein von Bürgern
• Schutz für Angestellte gegen unabsichtliche Offenlegung von sensiblen Daten
• Verhinderung unkontrollierten Datenaustausches

English

Das Projekt OpenSecurity wurde vom nationalen KIRAS Programm des BMVIT zur Förderung der Sicherheitsforschung in Österreich gefördert.

Die Integration der Schutzmaßnahmen erfolgt dabei unaufdringlich in eine bestehende IT Infrastruktur, ohne die vorhandenen und verwendeten domainspezifischen Lösungen und Einrichtungen zu gefährden.

OpenSecurity ist auf drei Anwendungsgebiete fokussiert:

• Secure USB: Die Sicherheitsschicht kontrolliert, verifiziert und verschlüsselt jegliche Kommunikation, die auf USB-Geräten stattfindet.
• Secure Web Browsing: Sicheres und isoliertes Web-Browsing wird ermöglicht.
• Zentrales Viren-Scanning und Monitoring

English