Anwenderbericht:
IVBB sicher verbunden durch Firewall GeNUGate
Alle obersten deutschen Bundesbehörden sind für den schnellen und sicheren Datenaustausch untereinander vernetzt – über den Informationsverbund Berlin-Bonn (IVBB). An den Übergängen von diesem internen Netz zum Internet gelten hohe Leistungs- und Sicherheitsanforderungen, die mit Firewall-Clustern von GeNUA erfüllt werden.
Als die deutsche Bundesregierung ihren Sitz nach Berlin verlegte, blieben viele Dienststellen der Ministerien in der vormaligen Hauptstadt Bonn zurück. Um den reibungslosen und schnellen Informationsaustausch zwischen beiden Standorten sicherzustellen, richtete die Bundesregierung ein exklusives Netzwerk ein: den Informationsverbund Berlin-Bonn (IVBB). An diese interne Daten-Autobahn sind alle Dienststellen der obersten Bundesbehörden angebunden – vom Präsidialamt über das Kanzleramt und alle Ministerien bis hin zum Rechnungshof.
Sicher an die IVBB-Datenautobahn angebunden: Kanzleramt in Berlin
Hohe Anforderungen an die Firewalls
Der IVBB ist zudem über zentrale Knotenpunkte an das Internet angeschlossen und bietet allen Behörden somit Zugang zum weltweiten Web. Für diese Übergänge vom internen Behördennetz zum öffentlichen Internet gelten hohe Sicherheits- und Leistungsanforderungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte für die dort einzusetzenden Firewalls folgenden Forderungskatalog auf:
- Hochwertige Zertifizierung der Sicherheitsleistung nach den internationalen Standards ITSEC oder Common Criteria (CC)
- Garantierte Verfügbarkeit des Systems von 99,93 Prozent
- Hoher Datendurchsatz zur schnellen Internet-Anbindung aller obersten Bundesbehörden
- Cluster-Fähigkeit zur flexiblen Anpassung an höhere Leistungsanforderungen
Lediglich zwei Anbieter konnten die hohen Anforderungen abdecken und wurden zu Praxisvorführungen im Labor zugelassen. In dieser Endauswahl setzte sich der Firewall-Hersteller GeNUA durch.
Zwei Firewalls in einer Lösung
Die Lösung des deutschen IT-Sicherheitsunternehmens: Firewalls des Typs GeNUGate. Bei diesem Sicherheitssystem sind zwei unterschiedliche Firewalls – ein Application Level Gateway und ein Paketfilter – zu einer kompakten Lösung kombiniert. Die beiden Firewalls sind in Reihe geschaltet, so dass alle Datenpakete zwei unterschiedliche Prüfungen bestehen müssen, bevor sie die Schnittstelle Internet-IVBB passieren dürfen. Das Application Level Gateway prüft den Inhalt der empfangenen Daten und kann Spam, Viren und weiteren unerwünschten Content zuverlässig abblocken. Der Paketfilter kontrolliert anschließend anhand formaler Kriterien wie IP-Adresse und Protokolltyp, ob die angefragte Verbindung zulässig ist.
Dass diese zweistufige Konstruktion eine starke Sicherheitsleistung garantiert, belegen hochwertige Zertifikate nach ITSEC E3/hoch für die GeNUGate in den Versionen 4.0 und 5.0 sowie nach CC EAL 4+ für 6.0. Da beim Sicherheitsmerkmal Selbstschutz noch höhere Anforderungen erfüllt werden, ist die GeNUGate zusätzlich als Highly Resistant eingestuft - als einzige Firewall der Welt.
Teamarbeit in Clustern
Die anspruchsvollen Anforderungen bei Verfügbarkeit und Datendurchsatz erfüllt die GeNUGate durch Teamarbeit: Alle Aufgaben sind auf mehrere Firewalls verteilt, die in Clustern zusammenarbeiten. Sollte ein System ausfallen, übernehmen die anderen Teammitglieder sofort dessen Aufgaben. Diese Cluster können beliebig erweitert und somit jederzeit an höhere Leistungsanforderungen angepasst werden.
Im Sommer 2002 nahm der IVBB drei Cluster mit jeweils vier GeNUGates in Berlin in Betrieb, um den Übergang zum Internet abzusichern, im Jahr 2006 wurde der zweite Knotenpunkt in Bonn ebenfalls mit den Firewalls von GeNUA ausgerüstet. Insgesamt schützen heute 24 GeNUGates das interne Netz - und haben noch nie ein Sicherheitsproblem zugelassen.
