Öffentliche Verwaltungen und kommunale Unternehmen durch VPNs schützen

Der Tunnel für mehr Sicherheit

Mit einer perfekt angepassten VPN-Lösung ist selbst die Übertragung hoch sensibler Daten der öffentlichen Verwaltungen über das Internet absolut sicher.

Auf moderne, kundenorientierte öffentliche Verwaltungen kommen große Herausforderungen zu. Mobile Clients, die sichere Zusammenarbeit mit anderen Dienststellen und externen Dienstleistern sowie der Mega-Trend Cloud – die Bandbreite der anstehenden Veränderungen für die IT-Systeme ist groß. Doch anders als Unternehmen der Privatwirtschaft sind IT-Abteilungen der Kommunen und Länder noch schärferen Regelungen für Datenschutz und Datensicherheit unterworfen. Die besonderen Bestimmungen einer Behörde oder Körperschaft des öffentlichen Rechtes sind Prüfsteine der modernen Kommunikation. Ein immens wichtiger Bestandteil jedes IT-basierten Datenaustauschs ist dabei der sichere Transport der Informationen. Dafür kommen Virtual Private Networks (VPN) zum Einsatz, die alle Daten zwischen Sender und Empfänger in einem verschlüsselten, hoch sicheren Tunnel einschließen. VPNs liegt bewährte und ausgereifte Technologie zu Grunde, trotzdem müssen für die Auswahl der richtigen Lösung, besonders für die öffentliche Verwaltung, zahlreiche Aspekte im Vorfeld geklärt und beachtet werden. Mit einer perfekt angepassten VPN-Lösung ist selbst die Übertragung hoch sensibler Daten durch das Internet absolut sicher. So wird unter anderem ELSTER, das bekannte IT-Projekt der deutschen Finanzverwaltung, über ein VPN geschützt.

Zertifizierte Produkte für VS-NfD nötig. Sensible Informationen der Behörden und der öffentlichen Verwaltung sind klassifiziert. Die unterste Geheimhaltungsstufe ist VS-NfD (Verschlusssache – Nur für den Dienstgebrauch). Bereits Informationen dieser Vertraulichkeitsstufe dürfen nicht über handelsübliche VPN-Lösungen ungesichert durch öffentliche Netze übertragen werden. Dazu muss eine der wenigen, durch das BSI zertifizierten, VPN-Lösungen zum Einsatz kommen. Die NCP engineering GmbH aus Nürnberg bietet mit der NCP Secure VPN GovNet Box für VS-NfD eine derart zertifizierte Lösung an. Der Zulassung gehen intensive Prüfungen voraus, sie kann nur durch das BSI ausgesprochen werden. Wenn man die technischen Details weitgehend beiseite lässt, konzentrieren sich die Prüfungen zur Zulassung von VPNs auf zwei große Themenbereiche. Zum einen müssen die Schlüssel zuverlässig geschützt und sicher verwahrt sein. Das wird in der Regel über Hardware-Security-Module wie eine Smartcard erreicht. Zum anderen darf die Verschlüsselung der Daten nicht mit vertretbarem Aufwand aufhebbar sein. Aktuell bedeutet das meist eine Verschlüsselung mit AES (Advanced Encryption Standard) auf Basis von elliptischen Kurven, sowie den Einsatz eines sicheren Pseudozufallszahlengenerators (Pseudo Random Number Generator – PRNG).

Die Basis für VS-NfD-sichere Datenkommunikation wäre damit gelegt, nun muss es darum gehen, dass der Anwender die zertifizierte Lösung optimal an seine spezifische Umgebung anpasst. Wichtig ist dabei zunächst, dass alle relevanten Betriebssysteme und Versionen unterstützt werden. In der Praxis werden das zurzeit vor allem Windows 7 und Windows 8/8.1 sein, auch Windows 10 dürfte bald ein wichtiges Thema werden. Betriebssysteme mobiler Geräte wie iOS und Android können eine weitere Anforderung sein, das hängt von der BYOD-Richtlinie innerhalb der Behörde ab. Ebenfalls individuell verschieden dürfte die Form der geforderten Authentisierung sein, die die VPN-Lösung unterstützen muss. Zwei-Faktor-Authentisierung über Smartcard und PIN sollte aber auf jeden Fall möglich sein. Die VPN GovNet Box von NCP nutzt dafür eigene Hardware auf der Client-Seite. Sie besteht aus einem flachen Kästchen mit kapazitiver Tastatur, Smartcard-Reader und einer USB-Verbindung zum zu schützenden Endgerät. Der Anwender muss dadurch zwar ein zusätzliches Stück Hardware mit sich führen, erhält aber ein höheres Schutzniveau.

Externe Hardware als zusätzliche Sicherheitsbarriere. Durch die kapazitive Tastatur in der Gehäuseoberfläche findet beispielsweise die Zwei-Faktor-Authentisierung komplett in der GovNet Box statt, ganz ohne Mitwirkung des, möglicherweise mit Schadsoftware verseuchten, Endgerätes. Die Security-Mechanismen der GovNet Box greifen bereits während der Boot-Phase noch vor dem Windows-Login. User-ID und Passwort für den Domänencontroller können ohne vorheriges lokales Anmelden am Client direkt über Windows Credential Provider (Windows 10, 8.x, 7 und Vista) eingegeben werden. Alle Anmeldedaten werden sicher in einem VPN-Tunnel zwischen GovNet Box und Endgerät übertragen. Durch das externe Gerät können die Benutzer ihre gewohnten Computer und Anwendungen weiter verwenden, die Arbeitsoberfläche auf dem Endgerät verändert sich nicht. Der aufgebaute VPN-Tunnel ist transparent und alle Applikationen funktionieren wie gewohnt.

Die NCP engineering GmbH aus Nürnberg bietet mit der NCP Secure VPN GovNet Box für VS-NfD * eine durch das BSI zertifizierte Lösung für öffentliche Verwaltungen und kommunale Unternehmen an. * (VS-NfD = Verschlusssache – Nur für den Dienstgebrauch)

Die NCP engineering GmbH aus Nürnberg bietet mit der NCP Secure VPN GovNet Box für VS-NfD * eine durch das BSI zertifizierte Lösung für öffentliche Verwaltungen und kommunale Unternehmen an.
* (VS-NfD = Verschlusssache – Nur für den Dienstgebrauch)

Als Verbindungsmedium können sowohl LAN- als auch WLAN- oder Mobilfunk-Verbindungen verwendet werden. In einer sicherheitskritischen Umgebung besitzen die Benutzer auch keine Admin-Rechte auf dem Endgerät, sodass sich die Pflichtnutzung des Tunnels nicht abstellen lässt. Damit erfüllt die VPN-Lösung von NCP auch die Bedingung des BSI »unumgehbar« zu sein. Die separat angeschlossenen Komponenten wirken wie eine zusätzliche Barriere und filtern jede Kommunikation über eingebaute Firewalls und andere Mechanismen. Weil die Hardware auch Smartcard und PIN – getrennt vom Betriebssystem des Computers – verwaltet, wird es für Angreifer noch schwieriger, Zugriff zu erlangen. Das Betriebssystem der externen Hardware muss natürlich entsprechend gehärtet und abgesichert sein, sodass es auch im Fall eines Verlusts oder Diebstahls keine Informationen preisgibt.

Verfügbarkeit und Geo-Redundanz bei der Planung beachten. Auf der Firmenseite ist vor allem die Verfügbarkeit des Gateways ein Thema. Wenn die Mitarbeiter nur über das besonders gesicherte VPN-Gateway Verbindung mit dem LAN aufnehmen dürfen, muss es auch zu jeder Zeit betriebsbereit sein. Das erfordert hohe Verfügbarkeit – über ausreichende Redundanz – sowohl beim Gateway selbst als auch bei der Netzanbindung über den Provider. Wenn möglich, sollten mehrere Standorte in Form der sogenannten Geo-Redundanz genutzt werden. Das setzt aber voraus, dass die Benutzerinformationen für die Anmeldung sicher zwischen den Standorten repliziert werden und dass die VPN-Gateways in der Lage sind, den Ausfall eines entfernten Systems zu erkennen und dessen Verbindungsanfragen entgegen zu nehmen.

Bei der Auswahl von VPN-Systemen für die öffentliche Hand sind sowohl die üblichen Vorgaben an eine VPN-Lösung zu beachten, als auch die spezifischen Anforderungen an eine Umgebung mit erhöhtem Sicherheitsniveau. Die Bandbreite reicht von grundsätzlichen Aspekten wie den unterstützten Client-Betriebssystemen und den möglichen Verschlüsselungsalgorithmen über die Art der Softwareverteilung an die Endgeräte, das Ausbringen von neuen Richtlinien oder von Änderungen bis hin zu Redundanz-Konstrukten für möglichst hohe Verfügbarkeit. Nur wenn die IT-Abteilung im Vorfeld die richtigen Fragen stellt und ihre Betriebsumgebung genau kennt, wird das Endergebnis sicher, einfach zu verwalten und ein Gewinn für das Sicherheitsniveau der Behörde sein.

 


autor_juergen_hoenigJürgen Hönig,
Marketingleiter,
NCP engineering GmbH, Nürnberg

 

 

Illustration: © gyn9037/shutterstock.com 

 

Weitere Artikel zu