Kanguru Defender Family Next Generation - OPTIMAL

Kanguru Defender Family 

Next Generation 

Hardwareverschlüsselte USB-Sticks 

mit Remote Management. Consumer bis virtuell. 

Alles aus einer Hand. Höchste Zertifizierungen. 

Distributor 

Checkliste für sichere USB-Sticks auf Seite 12


Hardwareverschlüsselte USB-Sticks mit Remote Management 


Übersicht 

Kanguru liefert die weltweit sichersten 

hardwareverschlüsselten USB-Sticks. Diese können Sie 

mit einer ganzheitlichen Lösung für die mobile 

Datensicherheit optimal verwalten. Die USB-Sticks sind 

sehr flexibel und bieten das beste Preis- 

Leistungsverhältnis. Eine ganze Familie verschiedener 

Typen garantiert die optimale Lösung für jeden 

Anwendungsfall: von Kanguru Defender Basic bis hin zum 

virtuellen USB-Stick Kanguru Defender RocIT und der 

ganzheitlichen Management-Lösung Kanguru Remote 

Console. 

Auch die Speichergröße von 1GB bis hin zu 128 GB 

können Sie ganz nach Ihrem Bedarf wählen und aus einer 

breiten Palette die passende Farbe aussuchen. Die Sticks 

lassen sich auf der Rückseite und an den Seiten 

bedrucken, auch der Aufdruck (Gravur) einer fortlaufenden 

Inventarnummer ist möglich. Interne Produkt-IDs und 

Namen, Inventarnummern und Seriennummern können Sie 

individuell wählen. Selbst vollständig integrierte 

Virenscanner sind selbstverständlich. 

Kanguru Defender V2 

Kanguru Defender V2 kann alles, was 

Kanguru Defender Basic kann, und ist 

zusätzlich managebar. Er lässt sich also 

mit der Console, der Cloud-Lösung oder 

dem lokalen Administrator (KLA) verwalten. 

Kanguru Defender Elite 

Kanguru Defender Elite ist das Top- 

Modell und funktioniert sowohl unter 

Windows und Mac als auch unter Linux*. 

Er ist zertifiziert nach FIPS 140-2 und Sie 

können ihn unter den genannten 

Betriebssystemen verwalten. Kanguru 

Defender Elite wird zur Zeit vom 

Bundesamt für Sicherheit in der 

Informationstechnik (BSI) zertifiziert. 

Kanguru Defender Basic 

Kanguru Defender Basic ist das 

Einsteigermodell und wird oft auch als 

Consumer-Modell bezeichnet. Er unterstützt 

Windows und ist nach FIPS-197 zertifiziert. 

Kanguru Defender Basic hat viele Features, 

die seine großen Brüder auch haben. 

Kanguru RocIT Defender FS 

(FinanceSafe) 

* Aktuelle Linux-Distributionen unter 

www.optimal.de/produkte/kanguru/faq 

Kanguru RocIT Defender FS ist ein 

bootbarer USB-Stick, der aus sich heraus 

ein Linux System bootet und danach einen 

Browser startet. Der Browser ist gehärtet 

und lässt nur bestimmte Internetadressen 

aus einer White-List zu. Diese White-List 

kann angepasst werden. Kanguru RocIT 

Defender FS eignet sich hervorragend für 

das sichere Browsen bei Bank- 

Anwendungen. Darum heißt er auch 

„FinanceSafe“. 

2




Übersicht 

Kanguru RocIT Defender 

Kanguru RocIT Defender enthält – wie 

der Kanguru RocIT Defender FS – ein 

bootbares Mini-Linux von dem aus eine 

Virtual Box gestartet wird, also ein 

virtuelles Betriebssystem. Als 

Betriebssysteme eignen sich Windows 

XP, Windows 7 und Linux. Der 

Anwender kann beliebig viele (je nach 

Speicherbedarf) Betriebssysteme 

anlegen und starten. Kanguru RocIT 

Defender ist somit ein sicherer USB- 

Stick mit eigenem Betriebssystem, der 

überall hin mitgenommen werden kann. 

Selbstverständlich ist er optional 

managebar und besitzt die wichtigen 

offiziellen Zertifizierungen. 

Kanguru Defender 2000 

Kanguru Defender 2000 

repräsentiert die neueste 

Generation der 

hardwareverschlüsselten USB- 

Sticks und enthält einen neuen 4- 

Kanal-Speicher-Controller. Dadurch 

zählt Defender 2000 zu den zur Zeit 

schnellsten USB-Sticks auf dem 

Markt. Er ist zudem wasserdicht 

und besitzt die neuesten und 

aktuellsten Zertifizierungen. 

Kanguru Defender 3000 HDD 

Kanguru Defender 3000 HDD ist eine 

hardwareverschlüsselte, managebare High-Speed- 

Festplatte mit USB-3.0-Anschluss. Als Festplatte dient 

entweder eine SATA-Platte oder ein SSD. Die 

Verschlüsselung erfolgt im AES-XTS-Format. Eine FIPS- 

Zertifizierung ist in Arbeit. 

3




Vergleichstabelle 

Vergleichstabelle RocIT RocIT FS 

Virtuelles OS (Windows/Linux) 

Bootbares Mini-Linux ja ja 

ja 

3000 

HDD 

Zertifiziert nach FIPS 140-2 Opt. Opt. ja ja 

Zertifiziert nach FIPS 140-2 Level 3 

Wasserdicht und staubdicht 

Tamperproof Epoxy ja ja ja ja 

2000 Elite V2 Basic 

Support für MAC/Linux* inkl. grafischer Oberfläche Q1/2012 ja ja 

Remote Management Ready ja ja ja ja ja ja 

Konfigurierbar mit/ohne Serversoftware (Local 

Administrator) 

ja ja ja ja ja 

Optionaler Masterpasswort Support ja ja ja ja ja 

Passwortlänge und Sicherheitsrichtlinien anpassbar ja ja ja ja ja 

256-Bit-AES-CBC-Verschlüsselung (FIPS 197) ja ja ja ja ja ja 

256-Bit-AES-XTS Mode (FIPS197) 

ja 

Virenscanner integriert inkl. einjährigem Update ja ja ja ja ja 

Plug and Play - keine Softwareinstallation nötig ja ja ja ja ja ja ja 

Administratorrechte nicht erforderlich ja ja ja ja ja ja 

100% verschlüsselt - keine öffentliche Partition ja ja ja ja ja ja 

Sicherheitsprüfung vor Passworteingabe ja ja ja ja ja ja 

Anzahl ungültiger Passworteingaben anpassbar ja ja ja ja ja 

Aluminium-Gehäuse ja ja ja ja ja ja 

Nickel-Legierung-Gehäuse 

ja 

Physischer Schreibschutz ja ja ja ja ja 

Spezielle Versionen: Farben, Gravuren ja ja ja ja ja 

Spezielle Versionen: Seriennummern, eigene 

Produkt-IDs 

ja ja ja ja ja ja ja 

USB 3.0, USB 2.0/USB 1.1 kompatibel 

ja 

USB 2.0, USB 1.1 kompatibel ja ja ja ja ja ja 

Speichergröße 16GB (SLC), 32GB (SLC), 16GB 

(MLC), 32GB (MLC), 64GB (MLC), 128GB (MLC) 

ja 

Speichergröße 1GB, 2GB, 4GB, 8GB, 16GB, 32GB, 

64GB, 128GB 

ja ja 

Speichergröße 2GB, 4GB, 8GB, 16GB, 32GB, 

64GB, 128GB 

ja 

ja 

Speichergöße 500GB, 1000GB, SATA, opt. SSD 

ja 

* Aktuelle Linux-Distributionen unter www.optimal.de/produkte/kanguru/faq 

Opt. 

ja 

4




Software-Übersicht 

Kanguru Remote Management Console (KRMC) 

Die Kanguru Remote Management Console ist eine 

Server-Lösung, die es ermöglicht, managebare USB-Sticks 

von Kanguru aus der Ferne zu verwalten. Das 

Zurücksetzen von Passwörtern, Senden von Mitteilungen, 

Ändern von Passwortrichtlinien und Anbinden der Sticks an 

bestimmte IP-Adressen (extern/intern) sind nur einige 

Beispiele der Funktionalitäten. 

Da sich die USB-Sticks auch mit ihren IP-Adressen 

melden, weiß der Administrator immer, wo sie sich 

befinden. Selbst große Umgebungen (>10.000 Sticks) 

können von mehreren Administratoren verwaltet werden. 

Ein Superadministrator ist dann in der Lage, Zugriffsrechte 

für andere Administratoren zu vergeben. Somit kann jeder 

Administrator seinen Fachbereich verwalten, ohne Zugriff 

auf andere Bereiche zu haben. 

Die Management Console wird lokal auf einem Server 

installiert. 

Kanguru Remote Management Console Cloud 

Im Gegensatz zur Remote Management Console wird die 

Cloud-Lösung in einer Cloud verwaltet. Hierfür ist dann 

keine lokale Server-Installation nötig. 

Kanguru Local Administrator (KLA) 

Kanguru Local Administrator ermöglicht zum einen die 

Vorbereitung von USB-Sticks zur Einbindung in die KRMC 

und zum anderen deren lokale Administration. Dadurch 

lassen sich die Eigenschaften eines managebaren USB- 

Sticks auch ohne Server-Lösung lokal verwalten. 

Wenn zum Beispiel die Passwortrichtlinien geändert 

werden sollen (10-stelliges Passwort, 

Groß/Kleinbuchstaben), können Sie dies mit dem Local 

Administrator einstellen. 

Kanguru Device Management 

Das in der Remote Management Console optional 

integrierte Device Management ermöglicht die Sperrung 

von Geräten in einem Unternehmen (Klassisches Device 

Management). Die Device-Management-Lösung 

beschränkt sich auf die Kanguru-Sticks. Optional kann 

auch eine Endpoint Protector Appliance adaptiert werden, 

wodurch ein komplettes Device Management möglich ist. 

Cososys Endpoint Protection, die optimale 

Ergänzung 

Endpoint Protector schützt Firmendaten vor unbefugtem 

Zugriff, Datendiebstahl, Datenverlust und Datenlecks. 

Heutzutage haben alle PCs einfach zugängliche 

Schnittstellen (USB etc.). Jede Person, die Zugang zu den 

Schnittstellen hat, kann Daten unautorisiert und 

unkontrolliert kopieren. Diese Schnittstellen zu sperren und 

sämtliche Aktivitäten im Umgang mit tragbaren 

Datenspeichern zu überwachen, ist die Aufgabe von 

Endpoint Protector. 

5


Hardwareverschlüsselter USB-Stick 


Detaillierte Beschreibung 

Datenträger für Geheimniskrämer: 

Wie viel Sicherheit passt auf einen USB-Stick? 

Sicherer als Ali Babas Schatz 

Mit Kanguru Defender Elite gehen Ihre Daten nicht verloren, 

selbst wenn Sie den Stick verlieren: Der Datenträger 

mit Hardwareverschlüsselung und automatischer Passwortabfrage 

gewährleistet den sicheren Transport sehr 

großer vertraulicher Datenmengen auf kleinstem Raum. 

Nur wer das Passwort kennt, kann die Daten auf dem 

USB-Stick sehen. 

So sicher war der Transport Ihrer wertvollen Daten 

noch nie! 

Keine Angst vorm ersten Mal ... 

Keine Schulung, keine Installation, keine Hürden: Mit 

Kanguru Defender Elite können Ihre Mitarbeiter sofort loslegen, 

denn der Datenspeicher funktioniert selbsterklärend. 

Er verlangt beim ersten Einstecken ein Passwort und gibt 

sich nicht mit Trivialitäten zufrieden. 

Danach die Daten einfach abspeichern, fertig ist der 

Datentresor! 

Für Unternehmen: Kanguru Remote Management 

Console 

Mit der Remote Management Console (KRMC) können Sie 

unternehmensweit alle Kanguru Defender Elite sicher verwalten 

(auch über das Internet und als Cloud-Lösung). 

6

Schützen Sie Ihre vertraulichen Daten mit 


Hohe Qualität. Immer einen Sprung voraus. 

Produktinformationen 

Weitere Vorteile 

• Vertrauliche Daten sind sofort verschlüsselt 

• Funktioniert ohne zusätzliche Software an jedem 

Rechner 

• Verschlüsselung kann nicht vergessen oder 

abgeschaltet werden 

• Keine Adminrechte erforderlich 

• Keine Adminrechte zum Zurücksetzen erforderlich 

• 100% verschlüsselt, keine öffentliche Partition 

• Schutz vor Brute-Force-Attacken 

• Gemäß den Vorgaben von Telekommunikationsgesetz 

und Bundesdatenschutzgesetz (BDSG) sowie der 

Digitalen Steuerprüfung (GDPdU) 

• Zu Windows, MAC und Linux* kompatibel 

• Kurze Zugriffszeit, hohe Lebensdauer 

• Speichergrößen 1 GB bis 128 GB verfügbar 

• 256-Bit-AES-CBC-Verschlüsselung 

Sicherheit 

• FIPS-140-2 zertifiziert, 100% verschlüsselt, keine 

öffentliche Partition 

• Virtuelles Keyboard zur Passworteingabe vorhanden 

• Sicherheitsprüfungen vor Passworteingabe 

• Keine Administratorrechte erforderlich 

• Physischer Schreibschutz vorhanden 

• Integrierter Virenscanner (nur Windows) 

• Tamperproof Epoxy 

• Optionaler Masterpasswort-Support 

Kompatibilität 

• Kompatibel zu Windows Vista, XP, 2000 SP4, 

Windows 7, Windows Servern, MacOS (OS X 10.5+, 

Intel based only), Linux* 

• Kompatibel zu portable Apps 

• Daten USB-2.0 kompatibel und USB-1.1 

abwärtskompatibel 

• Einhaltung von Datensicherheitsstandards wie TKG, 

BDSG, GDPdU 

Verfügbare Speichergößen 

• 1 GB, 2 GB, 4 GB, 8 GB, 16 GB, 32 GB, 64 GB und 

128 GB 

Abmessungen und Gewicht 

• Kompakt und robust 

• Abmessungen: 

bis 16 Gigabyte: 64 x 18,5 x 9 mm, ca. 12 g, 

ab 32 Gigabyte: 71 x 27 x 9 mm, ca. 21 g 

Optional 

• Managebar über Kanguru Remote Management 

Console Cloud (KRMC-Cloud) 

• Managebar über Kanguru Remote Management 

Console Lokal (KRMC-Lokal) 

• Managebar über Kanguru Local Administrator (KLA) 

• Managebar über integrierte Kanguru Endpoint- 

Protection 

• Managebar über Endpoint-Protection 

Qualität 


• Transferraten 1 GB - 16 GB: 

Lesen 28 - 33 MB/s, Schreiben 11 - 13 MB/s 

• Transferraten 32 GB - 128 GB: 

Lesen 20 - 33 MB/s, Schreiben 10 - 13 MB/s 

• Schreibzyklen: 10.000 Schreibzyklen / Block 

• Data Retention: 10 Jahre 

• 3 Jahre Garantie 

• Shock Resistance: 1000 G 



Hardwareverschlüsselt 

Passwortgesichert 

Sicherheitsprüfungen vor 

Passworteingabe 

FIPS-140-2 zertifiziert 

Optionaler Masterpasswort-Support 

Physischer Schreibschutz 

Virtuelles Keyboard 

Integrierter Virenscanner 

Tamperproof Epoxy 

Zentral verwaltbar 

Ungefähr Originalgröße 1 GB bis 16 GB 

7


Der weltweit erste kommerzielle hardwareverschlüsselte USB-Stick 

mit virtuellem Betriebssystem. 


Datenträger für Geheimniskrämer: 

Die sichere mobile Plattform für die Westentasche 

All inclusive: Datenspeicher und Betriebssystem in 

einem 

Kanguru RocIT Defender ist mehr als ein hardwareverschlüsselter 

USB-Stick: RocIT Defender ist eine mobile 

Plattform mit eigenem Betriebssystem. Damit startet der 

Anwender Linux oder Windows direkt vom USB-Stick. Der 

Gastcomputer ist quasi nur die Karosserie, denn der Stick 

hat seinen eigenen Motor dabei. 

Mit Kanguru RocIT Defender sind Sie rundum autonom! 

Virtuelle Anwendungsumgebung 

Virtuelles Betriebssystem 

Unabhängig und unanfällig 

Kanguru RocIT Defender macht seinen Besitzer unabhängig 

von der Umgebung. Selbst im Internetcafé oder auf 

einem kompromittierten Rechner ist er vor Infektionen 

geschützt. Die Viren seines Gastgebers können ihm nichts 

anhaben, denn er ist rundum immun. 

Gib Angriffen keine Chance! 

Verschwiegen wie ein Grab 

Kanguru RocIT Defender bewahrt Ihre größten Geheimnisse. 

Dem kleinen Datentresor können Sie Ihre Passwörter 

und Bankdaten anvertrauen und ihn trotzdem überallhin 

mitnehmen. Einbruchsicherung schützt ihn vor Attacken 

und Schreibschutz vor Manipulation. Die optionale FIPS- 

140-2-Zertifizierung genügt sogar militärischen Ansprüchen. 

Zweite Authentifizierung 

Virtuelle Zwischenschicht 

Mini-Linux 

Passwort-Authentifizierung 

Auto-Boot Loader 

8



Hohe Qualität. Immer einen Sprung voraus. 


Weitere Vorteile 

• Vertrauliche Daten sind sofort verschlüsselt 

• Hochsichere Betriebssystem-Umgebung 

• Funktioniert ohne zusätzliche Software an jedem 

Rechner 

• Verschlüsselung kann nicht vergessen oder 

abgeschaltet werden 

• Authentifizierungsoptionen mit CAC/PIV, Smart Cards 

und weiteren 

• Gemäß den Vorgaben von Telekommunikationsgesetz 

und Bundesdatenschutzgesetz (BDSG) sowie der 

Digitalen Steuerprüfung (GDPdU) 

• Eigene virtuelle Laufzeitumgebung 


• Speichergrößen 16 GB bis 32 GB 

• 256-Bit-AES-CBC-Verschlüsselung 

Sicherheit 

• Optionale FIPS-140-2-Zertifizierung 

• 100% verschlüsselt, keine öffentliche Partition 

• US Departement of Defense Standard 

• Keine Administratorrechte erforderlich 

• Physischer Schreibschutz 

• Virtuelle Runtime-Umgebung 

• Virtuelle Betriebssystem-Umgebung 

• Tamperproof Epoxy 

Qualität 


• Transferraten SLC: 

Lesen 36 MB/s, Schreiben 20 - 30 MB/s 

• Schreibzyklen SLC: 100.000 Schreibzyklen / Block 

• Data Retention: 10 Jahre 

• 1 Jahr Garantie 

• Shock Resistance: 1000 G 

Kompatibilität 

• Bootbar auf jedem X86-Rechner 

• Daten USB-2.0 kompatibel und USB-1.1 

abwärtskompatibel 

Verfügbare Speichergößen 

• SLC: 16 GB, 32 GB 

MLC: 16 GB, 32 GB, 64 GB, 128 GB 

Abmessungen und Gewicht 

• Kompakt und robust 

• Abmessungen: 

SLC 16 GB / 32 GB: 

Optional 

71 x 27 x 9 mm, ca. 21 g 

• Optional auch nur mit virtueller Runtime-Umgebung 

erhältlich (Kanguru Defender Secure Browser: sicheres 

Browsen im Web) 

• Managebar über KRMC-Cloud 

• Managebar über KRMC-Local 

Virtuelles Betriebssystem 

Hardwareverschlüsselt 

Passwortgesichert 

Optional FIPS-140-2 zertifiziert 

Physischer Schreibschutz 

Tamperproof Epoxy 

Zentral verwaltbar 

9




Die Kanguru Remote Management Console (KRMC) ist 

eine web-basierte Anwendung, mit der Administratoren 

ausgewählte Kanguru Defender von überall in der Welt 

remote verwalten können. 

Wenn ein USB-Gerät verloren oder gestohlen wird, kann 

der Administrator die Daten automatisch löschen lassen, 

sobald das Gerät an einen Computer angeschlossen wird. 

Mit der KRMC werden die USB-Geräte vollständig vom 

Kunden verwaltet. 

Die Kanguru Remote Management Console (KRMC) 

arbeitet speziell mit dem Kanguru Defender V2, dem 

Kanguru Defender Elite und der Kanguru Harddisk (HDD) 

zusammen. 

Wenn ein zugelassenes Kanguru-USB-Gerät an einen 

Computer mit Netzwerk oder Internetanschluss 

angeschlossen wird, erhält der Administrator detaillierte 

Informationen und Aktivitätsberichte über das 

angeschlossene Gerät. 

Auf diese Weise ermöglicht KRMC es dem Administrator, 

die USB-Sticks zentral zu überwachen. Er sieht, wo das 

Gerät angeschlossen wird, inklusive dem Hostnamen. 

Wenn ein Administrator die Daten eines Geräts löscht, wird 

das von der Audit-Funktion automatisch protokolliert. Auch 

andere Anwender- und Administrations-Aktivitäten werden 

automatisch für verschiedene Regularien mitgeschrieben. 

Mit Hilfe des Kanguru Device Managements kann ein 

komplettes Gerätemanagement implementiert werden. 

Dann wird ein Management hinzugefügt, das es 

ermöglicht, USB-Geräte von Kanguru zuzulassen und 

andere zu sperren. Eine weitere optimale Ergänzung ist die 

Endpoint Protector Appliance, die alle Geräte verwalten 

kann. 

Funktionen 

Remote Deaktivieren/Löschen - KRMC erlaubt es 

Administratoren, aus der Ferne Geräte zu deaktivieren 

bzw. zu löschen, wenn diese verloren gegangen sind, 

gestohlen wurden oder sensible Informationen zu schützen 

sind. 

Passwort Management - Mit KRMC kann der 

Administrator eine Vielzahl von Passwort-Funktionen 

verwalten: Länge, Stärke, Haltbarkeit, maximale Anzahl 

von Login-Versuchen und Masterpasswort-Support. 

Passwörter können auch remote geändert oder aktualisiert 

werden. Somit kann ein vom Anwender vergessenes 

Passwort zurückgesetzt werden. 

Remote Provisioning - Sicherheitsrichtlinien können aus 

der Ferne durchgesetzt werden. Dies beinhaltet auch die 

Komplexität des Passwortes, seine Haltbarkeit und die 

Kontrolle für Online- und Offline-Zugriff. 

Offline Beschränkungen - Der Administrator kann 

steuern, ob ein Gerät offline verwendet werden darf, also 

zum Beispiel ohne Serverkontakt oder auch in fremden 

Netzen. 

IP und Domain Control - Mit Hilfe einer White- oder Black- 

List kann der Zugriff auf bestimmte IP-Bereiche oder 

Domänen beschränkt werden. 

Auditing und Reporting - KRMC erzwingt ein 

vollständiges Auditing, in dem auch eine grafische 

Auswertung enthalten ist. 

Erweiterte Filterung - Durch erweiterte Filter können 

Geräte innerhalb der Management Console schnell und 

effizient gefunden werden. Der Administrator kann sich 

innerhalb von Sekunden zwischen tausenden Geräten 

zurechtfinden. 

Unterstützung von Active Directory - Mit Hilfe der 

Anbindung an Microsoft Active Directory können Geräte 

schnell geliefert und bereitgestellt werden. 

Messaging und eMail Alerts - Nachrichten und 

Informationen können an entfernte Arbeitnehmer gesendet 

werden, wenn deren Geräte mit der Console verbunden 

sind. Alarmbenachrichtigungen können per eMail an 

Administratoren gesendet werden, etwa wenn ein Gerät 

deaktiviert oder das Passwort geändert wurde. 

Sicherer-Tunnel - Die gesamte Kommunikation erfolgt 

über einen sicheren SSL- oder TLS-Kanal. 

10

Cloud, KLA und Vergleichstabelle 

Vergleichstabelle 

K 

L 

A 

C 

L 

O 

U 

D 

K 

R 

M 

C 

K 

R 

M 

C 

+ Dev 

Gerätekonfiguration 

Freigeben und Sperren ja ja ja ja 

Masterpasswort Support ja ja ja ja 

Änderung Benutzerpasswort ja ja ja ja 

Passwort-Sicherheitsrichtlinien ja ja ja ja 

Zurücksetzen ja ja ja 

Autounmount ja ja ja 

Laden/Speichern für schnelle 

Bereitstellung 

ja ja ja 

Kontaktinformationen 

speichern 

ja ja ja 

IP-Domänen-Kontrolle 

(Whitelist/Blacklist) 

ja ja ja 

Offline-Konfiguration ja ja ja 

Netzwerk/Remote 

Management Configuration 

ja ja 

Dormant Device Mode ja ja 

Entfernte Aktionen 

Daten löschen ja ja ja 

Gerät sperren ja ja ja 

Daten löschen und sperren ja ja ja 

Benutzerpasswort ändern ja ja ja 

Sicherheitsrichtlinien ändern ja ja ja 

Softwareupdate ja ja 

Meldung senden ja ja ja 

IP- und Domänen- 

Restriktionen setzen (White- 

ja ja ja 

List/Black-List) 

Kontrolle 

Export nach XLS ja ja ja 

Grafische Reports ja ja ja 

Rollenbasierte Zugriffsrechte ja ja 

Support für mehrere 

Administratoren 

ja ja 

Gerätegruppen ja ja ja 

Erweitertes Auditing, Filter und 

Logging 

ja ja ja 

Active Directory Support ja ja 

Geräte-Management 

Rechner-, Benutzer-, Geräte- 

Management 

Systemweite Richtlinien 

Computerrichtlinien 

Sicherheitsvorlagen 

EMail-Alarm 

Erweiterte Filterung 

ja 

ja 

ja 

ja 

ja 

ja 


Kanguru Local Administrator (KLA) 

Der Kanguru Local Administrator ermöglicht zum einen die 

Vorbereitung von USB-Sticks im Unternehmen und zum 

anderen deren lokale Administration. Somit lassen sich die 

Eigenschaften eines managebaren USB-Sticks auch ohne 

Server-Lösung lokal verwalten. Sollten also zum Beispiel 

die Passwortrichtlinien geändert werden (z.B. 10-stelliges 

Passwort, Groß-/Kleinbuchstaben), so können Sie dies mit 

dem Local Administrator einstellen. 

Kanguru Remote Management Console Cloud 

Die Cloud-Lösung von Kanguru bietet im Wesentlichen die 

gleichen Funktionen wie die KRMC selbst. 

Die Cloud-basierte Lösung der KRMC erlaubt die 

Verwaltung von ausgewählten Kanguru-Geräten. Damit 

kontrollieren Sie konfigurierbare Sicherheitsrichtlinien und 

Passwortrichtlinien sowie IP- und Domänen- 

Anforderungen. Die Kanguru Cloud ermöglicht die 

Verwaltung von allen angeschlossenen Geräten überall in 

der Welt. 

KRMC-Cloud ist die KRMC-Enterprise-Lösung zum Mieten. 

Die Cloud wird auf Kangurus sicheren und zuverlässigen 

Servern verwaltet. 

Funktionen: 

• Entferntes Löschen (löscht alle Daten auf dem 

Zielgerät) 

• Zeitbasierte Aktionen 

• Auditing erweiterter Ereignisse und Hostnamen 

• Grafische Reports 

• Ortung anhand der IP-Adresse 

• IP- und Domänen-Kontrolle (Black-/White-List) 

• Gerätegruppen 

• Entfernte Meldungen 

• Entfernte Sicherheitsänderungen und Aktionen: 

Passwortanforderungen und -länge (10 Zeichen, 2 

Großbuchstaben, 2 Zahlen usw.) 

• Maximale Anzahl von Login-Versuchen, bevor ein 

Gerät gelöscht wird 

• Richtlinien zur Passwortänderung (z.B. nach 30, 60 

oder 90 Tagen) 

• Änderung des Benutzerpasswortes 

• Masterpasswort-Support 

• Gerät sperren 

11

Wie viel Sicherheit braucht ein USB-Stick? 

So funktionieren hardwareverschlüsselte USB-Sticks 

Checkliste für sichere USB-Sticks 

12 

Wie viel Sicherheit braucht ein USB-Stick? 

USB-Sticks sind beliebte Datenträger. Warum? Sie sind 

einfach zu verwenden: einstecken und loslegen. Außerdem 

sind sie klein und passen mal eben in die Hosentasche. 

Nachteil: Weil sie so klein sind, können sie abhanden 

kommen. Für vertrauliche Daten eignen sie sich also nicht - 

aber welche Daten sind nicht vertraulich? 

Die Richtlinien des Datenschutzgesetz sind sehr restriktiv: 

Wer einen Stick mit vertraulichen oder personenbezogenen 

Daten verliert, muss die Betroffenen informieren und mit 

empfindlichen Strafen rechnen. 

Also muss ich die Daten auf dem USB-Stick schützen, das 

heißt verschlüsseln. Die Frage ist: Software- oder 

Hardwareverschlüsselung? 

Bei Softwareverschlüsselung ist zu bedenken: Das 

Passwort ist frei wählbar, deshalb kann es auch ein 

unsicheres sein. Die Software muss gewartet werden: 

dabei könnte jemand den Datencontainer von außen 

kopieren, ohne dass jemand es bemerkt (Stichwort: 

Partition klonen). Außerdem sind für die Verwaltung in der 

Regel Administrationsrechte erforderlich. 

Hardwareverschlüsselung funktioniert anders. Die 

Verschlüsselung ist in den Stick integriert und der Stick ist 

von außen nicht angreifbar. Er löscht sich sogar selbsttätig, 

wenn mehrmals ein falsches Passwort eingegeben wird. 

So funktionieren hardwareverschlüsselte 

USB-Sticks 

Der hardwareverschlüsselte USB-Stick enthält zwei 

Partitionen. Zum einen ein CD-ROM, zum anderen den 

Datenbereich. Der Datenbereich ist gesperrt und kann 

auch nicht von außen eingesehen oder geöffnet werden. 

Der CD-ROM-Bereich enthält das Programm für den 

Passwortdialog. Der Start des Passwortdialogs erfolgt in 

der Regel über einen Autorun-Eintrag. Ist Autorun 

deaktiviert, so reicht ein Doppelklick auf das CD-ROM des 

USB-Sticks. Der Passwortdialog funktioniert auch für 

eingeschränkte Benutzer. 

Ist der Stick aus der Ferne verwaltbar, so wird dies auch 

vom Passwortdialog erledigt. Daher ist es wichtig, dass bei 

jedem Betriebssystem auch ein entsprechender 

Passwortdialog vorhanden ist. 

Nach erstmaliger Konfiguration des Sticks kann im 

Passwortdialog das vorher festgelegte Passwort 

eingegeben werden. Das Passwort wird dann über einen 

sicheren Kanal zum Controller Chip gesendet. Der 

Controller prüft das Passwort anhand eines Hash-Wertes. 

Ist der Hash-Wert korrekt, so wird die Datenpartition 

geöffnet und der Stick kann verwendet werden. Die 

Kommunikation zwischen dem Passwortdialog und dem 

Stick erfolgt, wie eben erwähnt, verschlüsselt. Nur wenige 

Passwortdialoge prüfen die interne Sicherheit, bevor sie 

aufgerufen werden. Anders der Kanguru Defender, der 

vorher interne Prüfungen macht. 

Werden nun Daten an den USB-Stick übertragen, so 

werden diese sofort verschlüsselt abgelegt. Wirft man den 

Stick also wieder aus, so liegen die Daten nur verschlüsselt 

auf dem Stick. 


Ist der Stick hardwareverschlüsselt? 

Hardwareverschlüsselung ist eine wichtige Voraussetzung 

für sichere USB-Sticks. 

Besitzt der Stick mindestens eine 256-Bit-AES-CBC- 

Verschlüsselung? 

Manche Sticks verwenden eine ECB-Verschlüsselung 

(electronic codebook). Das ist die einfachste Art der 

Verschlüsselung, die aber nicht sehr sicher ist. Sichere 

Verschlüsselung fängt bei CBC mit 256-Bit-AES an. 

Prüft der Stick vor dem Öffnen des Passwortdialogs 

die interne Sicherheit? 

Wichtig ist, dass der USB-Stick schon vor dem Öffnen des 

Passwortdialogs interne Sicherheitsprüfungen durchführt. 

Manche Produkte starten mit dem schnellen Aufblenden 

des Passwortdialogs. An dieser Stelle können dann keine 

Sicherheitsprüfungen vorgenommen werden. 

Ist keine öffentliche Datenpartition auf dem Stick 

vorhanden? 

Eine öffentliche Datenpartition kann den Anwender 

verwirren und er könnte aus Versehen vertrauliche Daten 

auf die öffentliche Partition speichern. Dasselbe kann auch 

für sogenannte PIN-code-geschützte Bereiche gelten. 

Funktioniert der Stick auch unter “normalen” 

Benutzern? 

Ein hardwareverschlüsselter USB-Stick sollte auch ohne 

Administrator-Rechte funktionieren. 

Ist der Stick zu allen Windows-Versionen 

kompatibel? 

Der Stick sollte zu allen Windows-Versionen kompatibel 

sein. 

Funktioniert der Stick auch unter Macintosh und 

Linux? 

Optional sollte der Stick auch unter MAC und Linux 

funktionieren. Wichtig ist, dass der Hersteller verschiedene 

Stick-Typen im Angebot hat. Warum sollte ich für eine


Funktionalität bezahlen, die ich normalerweise gar nicht 

benötige? 

Besitzt der Stick unter Linux* eine grafische 

Oberfläche? 

Wenn eine Linux-Version verfügbar ist, so sollte der 

Passwortdialog auch als grafische Oberfläche vorhanden 

sein. Denn nur dann lässt sich der Stick auch optional 

managen. Wird er einfach nur “gemounted”, so stehen die 

Management-Funktionen nicht zur Verfügung und ich 

könnte das Management umgehen. Auch ist eine 

Passwort-Änderung ohne GUI nicht möglich. 

Besitzt der Stick eine FIPS-197-Zertifizierung? 

Eine FIPS-197-Zertifizierung ist ein unbedingtes MUSS. 

Besitzt der Stick eine FIPS-140-2-Zertifizierung? 

Wichtig ist auch eine FIPS-140-2-Zertifizierung (Security 

Requirements for Cryptographic Module). Der Stick wird 

hier speziell auf die interne Sicherheit geprüft. Ist eine 

solche Zertifizierung verfügbar? Verfügt der Hersteller über 

ein breites Spektrum an USB-Sticks, so dass bei Bedarf 

auf ein höheres zertifiziertes Modell gewechselt werden 

kann? 

Besitzt der Stick eine deutsche Zertifizierung oder 

ist diese beantragt? 

Auch eine deutsche Zertifizierung kann wichtig sein. Ist 

eine Zertifizierung nach BSI verfügbar oder ist diese 

beantragt? 

Hat der Stick ein virtuelles Keyboard zur 

Passworteingabe? 

Das virtuelle Keyboard erlaubt die sichere Eingabe des 

Passwortes mit Hilfe der Maus. 

Hat der Stick einen integrierten Virenscanner? 

Ein zweiter, integrierter Virenscanner ist auf alle Fälle 

sinnvoll, um Viren abzuwehren. Selbst wenn ein 

Virenscanner installiert ist, kann ein zusätzlicher 

Virenscanner evt. Viren erkennen, die der lokale 

Virenscanner durchgelassen hat. Eine zusätzliche 

Sicherheitsmaßnahme also. Wichtig ist, dass der 

Virenscanner vollständig integriert ist und keine zusätzliche 

administrative Betreuung benötigt. 

Gibt es den Stick mit unterschiedlichen 

Speichergrößen? 

Der Hersteller sollte auf alle Fälle über viele 

Speichergrößen verfügen. 

Gibt es den Stick in unterschiedlichen Varianten? 

Hat der Hersteller verschiedene Typen zur Auswahl, so 

dass auch zu anderen Sticks gewechselt werden kann? 

Ist der Stick schnell? 

Ist der Stick von Hause aus schnell oder wird eine spezielle 

teurere Version benötigt? 

Kann der Stick auch ohne zusätzliche Admin-Rechte 

zurückgesetzt werden? 

Kann der Stick auch ohne Admin-Rechte zurückgesetzt 

werden? Dies ist nicht bei jedem Stick möglich. Manche 

Sticks benötigen gerade zum Zurücksetzen Admin-Rechte. 

Dies kann bei verwalteten Sticks fatal sein. 

Gibt es einen Schutz vor Brut-Force-Attacken? 

Sperrt sich also der Stick automatisch, wenn n-mal das 

falsche Passwort eingegeben wird? Wird der Stick dann 

auch sicher gelöscht? 

Ist der Stick physisch mit Tamperproof Epoxy 

geschützt? 

Besitzt der Stick Tamperproof Epoxy, ist er also vollständig 

vergossen? 

Unterstützt der Hersteller spezielle Versionen, bzw. 

wie flexibel ist er? 

Wie flexibel ist der Hersteller bei Spezialversionen wie 

Farben, Gravuren, firmeneigenen Produkt-IDs und 

fortlaufenden Seriennummern ? 

Kann der Stick aus der Ferne verwaltet werden? 

Eine Verwaltung kann viele zusätzliche Funktionen bieten, 

zum Beispiel Löschen des Sticks, Richtlinien setzen usw. 

Besteht die Möglichkeit, ein Masterpasswort zu 

setzen? 

Ein Masterpasswort wird fälschlicherweise oft als Backdoor 

bezeichnet. Ein Masterpasswort kann zum Beispiel 

verwendet werden, um viele Sticks in einer großen 

Umgebung von unterschiedlichen Administratoren 

verwalten zu lassen. Ein Masterpasswort kann nicht als 

Ersatz für ein Benutzerpasswort verwendet werden. 

Welche Management-Möglichkeiten werden 

unterstützt? 

Bietet der Hersteller verschiedene Möglichkeiten der 

Verwaltung an, zum Beispiel eine Cloud-Lösung, eine 

Server-Lösung oder eine lokale Administrationslösung? 

Wenn zum Beispiel keine Server- oder Cloud-Lösung 

verwendet werden soll, kann der Stick trotzdem mit Hilfe 

einer lokalen Anwendung verwaltet werden? Also alle 

Funktionen wie Passwortrichtlinien selbst setzen? 

Ist die Management Software zertifiziert? 

Wie sicher ist letzlich die Management Software? Ist sie 

zertifiziert oder befindet sie sich in der Zertifizierung? 



13

Endpoint Protector Appliance 

Die optimale Ergänzung zu Kanguru Sticks. 

Sichert ein Netzwerk in Minuten. Schaltet alle Gefahren aus. 

® 

Security 

Out of the box 

Pro-aktiver Schnittstellenschutz für PC und Mac 

Endpunkt-Sicherheit für Unternehmen 

Die Endpoint Protector Appliance bietet einen 

umfassenden und kostengünstigen Schutz gegen die 

steigende unkontrollierte Verwendung von tragbaren 

Datenspeichern im Alltag. 

Kontrollieren ohne zu blockieren 

Endpoint Protector regelt die Verwendung von mobilen 

Datenträgern (wie z.B. USB-Sticks). Mit dem intuitiv 

bedienbaren Regelassistenten gestalten Sie die 

Sicherheitsrichtlinien Ihrer Organisation. Endpoint Protector 

kontrolliert den Umgang mit Endgeräten, ohne die 

Produktivität einzuschränken. Einzelne Geräte und Dateien 

können für Benutzer oder für Gruppen freigegeben werden. 

Mobil? Aber sicher! 

Endpoint Protector schließt die mobilen Speichermedien in 

die Sicherheits-Policy des Unternehmens ein. Dadurch 

wird das Risiko von Datendiebstahl, Datenverlust oder 

Vireninfektion verringert. 

14


Endpoint Protector Appliance 

Pro-aktiver Schnittstellenschutz für PC und Mac 


Endpunkt-Sicherheit für PC und MAC als Appliance 

Schließt Sicherheitslücken, die von tragbaren Datenträgern 

ausgehen: vorsätzlicher Diebstahl, unbeabsichtigter 

Datenverlust, Vireninfektion. 

Gerätemanagement, Geräteüberwachung, 

Regelassistent 

Endpoint Protector verwaltet Geräte, Benutzer und 

Zugriffsberechtigungen. 

Zentrales web-basiertes Management / Dashboard 

Die zentrale Verwaltung der tragbaren Datenspeicher 

(Dashboard) liefert alle wichtigen Informationen für IT- 

Mitarbeiter und Management. Verdächtige Aktivitäten 

werden automatisch erkannt und als eMail Alert gemeldet. 

Dateiprotokollierung / Datenmitschnitt (Windows) 

Die Dateiprotokollierung (File Tracing) zeichnet jeden 

Datentransfer von und zu mobilen Datenträgern auf. Die 

transferierten Daten werden als Datenmitschnitt (File 

Shadowing) gespeichert. So entsteht ein lückenloser 

Bericht mit Dateinamen, Zeitstempel, Benutzerdaten und 

ggf. der Datei selbst. 

Endpoint Protector Client Administratoren-Passwort 

Selbst PC-Benutzer mit Admin-Rechten können den 

Schutz nicht umgehen. 

Datei Whitelist-Verfahren (Windows) 

Nur die ausgewählten Dateien dürfen auf berechtigte 

Datenspeicher kopiert werden. 

Geräteprotokoll 

Für Audits und Revisionen wird ein lückenloses Protokoll 

geführt, das alle mobilen Datenträger erfasst, die mit dem 

PC verbunden waren. 

Reports und Analysen 

Endpoint Protector liefert Reports, Grafiken und Analysen. 

Einfache Umsetzung von Sicherheitsrichtlinien 

(Active Directory) 

Netzwerkweite Sicherheitsrichtlinien werden durch 

einfache Abstimmung mit Active Directory GPOs 

umgesetzt. 

Überwachte Gerätetypen: 

USB-Sticks (U2, U3, wireless), Speicherkarten (SD, MMC, CF), CD/DVD- 

Spieler/Brenner (intern und extern), Externe Festplatten, Floppy- 

Laufwerke, Kartenleser (intern und extern), ZIP-Laufwerke, 

Digitalkameras, Smartphones (BlackBerry, PDA, iPod, iPhone, iPad), 

FireWire-Geräte, MP3 Player/Media Player, Biometrische Geräte, 

Bluetooth, Drucker, ExpressCard (SSD) 

Netzwerk-Offline-Modus / Offline-Gerätefreigabe 

Auch Rechner ohne Kontakt zum Netzwerk oder Server 

sind geschützt. Die vom Server festgelegten Richtlinien 

bleiben auch offline erhalten. Endgeräte ohne 

Netzwerkverbindung können durch ein Passwort 

freigeschaltet werden. 

15

OPTIMAL System-Beratung: 

Einfache Lösungen für das System-Management 

• Authentifizierungsplattform 

• Hardwareverschlüsselte USB-Sticks 

• Compliance 

• Client Management 

• Green IT 

• Lifecycle Management 

• Configuration Management 

OPTIMAL vertreibt für Kanguru die hardwareverschlüsselten USB-Sticks Kanguru 

Defender - optional mit Managementsoftware - die für höchste 

Sicherheitsanforderungen geeignet sind. Die Sicherheitslösung Endpoint Protector 

Appliance von Cososys ist ein pro-aktiver Schnittstellenschutz für PC und MAC: Die 

optimale Ergänzung zu den sicheren USB-Sticks von Kanguru. Außerdem distribuiert 

OPTIMAL die IT-Management-, Security- und Green-IT-Lösungen von New 

Boundary Technologies sowie die Multifaktor-Authentifizierung von Deepnet. 

Um den Anwendern das IT-Management zu erleichtern, suchen die Experten von 

OPTIMAL System-Beratung ständig nach einfachen Lösungen für komplizierte 

Anforderungen: Von der Beratung und Programmierung über den Vertrieb bis hin zur 

Installation. Dabei entwickelt OPTIMAL eigene Produkte oder erweitert und 

verbessert Software-Lösungen anderer Hersteller. In Deutschland und Österreich 

sowie den deutschsprachigen Regionen der Schweiz und Italiens beliefert OPTIMAL 

die Anwender entweder direkt oder mit Hilfe des ausgedehnten Partnernetzwerkes. 

OPTIMAL ist Mitglied im Bundesverband mittelständische Wirtschaft (BVMW) und 

dessen Kompetenzkreis IT. 

Kanguru, immer einen Sprung voraus! 

Distributor für: 

• Deutschland 

• Österreich 

• Schweiz 

Dennewartstraße 27 

52068 Aachen 

Germany 

Tel.: +49 241 531088 250 

Fax: +49 241 531088 259 

www.optimal.de 

info@optimal.de

Kanguru Defender Family Next Generation - OPTIMAL

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?