• Unsere Philosophie
• Unsere Kunden
• Unsere Partner
• Unsere Forschungsprojekte
• Unser Kinderhaus
• Unsere Meilensteine
• Ihre Karriere

Anwenderbericht:
Landratsamt Ansbach setzt zweistufige Firewall ein

• Als PDF zum Download

Das Landratsamt Ansbach hat viel zu tun. Als zentraler Dienstleister für insgesamt 58 Kommunen, die zusammen den größten Landkreis in Bayern bilden, ist es für zahlreiche Aufgaben zuständig: von der Abfallberatung über das Baurecht, die KFZ-Zulassung und den Umweltschutz bis hin zu Wohnberechtigungsscheinen. Um das breite Aufgabenspektrum effizient zu bearbeiten, ist zuverlässige Vernetzung und Internet-Anbindung erforderlich. Gleichzeitig müssen die sensiblen Daten vor unbefugten Zugriffen geschützt werden. Diese beiden gegensätzlichen Anforderungen – hohe IT-Sicherheit und komfortable Vernetzung – hat das Landratsamt Ansbach durch den Einsatz eines zweistufigen Firewall-Systems an einer eigenen Internet-Anbindung erfüllt.

Landratsamt Ansbach: Zentraler Dienstleister für 58 Kommunen

Rückblick: Bis Anfang 2004 verfügte das Landratsamt Ansbach über keinen eigenen Zugang zum Internet. Stattdessen waren die Ansbacher, wie viele öffentliche Einrichtungen im Freistaat, über das Bayerische Behördennetz und dann weiter über den zentralen Anschluss des Landesamtes für Statistik und Datenverarbeitung indirekt mit dem Internet verbunden. „Angesichts ständig steigender Internet-Nutzung durch alle angeschlossenen Behörden war es nur eine Frage der Zeit, bis diese Konstruktion zum Flaschenhals wird. Deshalb wollten wir einen eigenen Zugang zum Internet haben“, sagt Walter Dittrich, Leiter EDV beim Landratsamt Ansbach.

Zuverlässige Absicherung und Mitbenutzung durch Kommunen

An diese eigene Verbindung zum Internet waren zwei grundlegende Bedingungen geknüpft: Zum einen zuverlässige Absicherung. Denn wer auf der einen Seite an das abgeschottete Bayerische Behördennetz angeschlossen ist, darf in Richtung Internet nicht zum Einfallstor für unbefugte Dritte werden. Hier muss ein hohes Sicherheitsniveau garantiert sein. Zum anderen sollten alle Kommunen des Landkreises, die ihre eigenen lokalen Netze (LAN) betreiben, diesen direkten Zugang um weltweiten Web mitbenutzen können - und sich somit ebenfalls den Umweg über Behördennetz und zentrale Schnittstelle ersparen.

IT-Sicherheit durch zweistufige Firewall

Mit dieser Aufgabenstellung begann die Suche nach einer geeigneten IT-Sicherheitslösung für die Schnittstelle zum Internet. Die Wahl fiel schließlich auf die Firewall GeNUGate, ein zweistufiges System des deutschen Herstellers GeNUA. „Ausschlaggebend für dieses System waren ein schlüssiges Anbindungskonzept, die hohe Zertifizierung sowie einschlägige Referenzen“ unterstreicht Andreas Wittwer, Consultant beim IT-Systemhaus Bechtle in Nürnberg.

Zweistufige Firewall GeNUGate

Separate Sicherheitszonen für Landratsamt und Kommunen

Die GeNUGate besteht aus zwei Firewall-Systemen, die hintereinander in Reihe geschaltet sind: ein Application Level Gateway und ein Paketfilter. Diese zweistufige Konstruktion bietet die Möglichkeit, separate Sicherheitszonen zu bilden. So wird das LAN des Landratsamtes durch beide Firewalls vom Internet abgeschottet. Der Datenverkehr zwischen Internet und Landrats-LAN durchläuft also die Kontrollen beider Systeme, die restriktiv eingestellt sind und nur ausdrücklich gewünschte Verbindungen zulassen.

Kommunen gehen über Demilitarisierte Zone ins Netz

Anders läuft die Internet-Verbindung der angeschlossenen Kommunen. Sie verbinden sich über ISDN-Einwahl oder verschlüsselte Datentunnel auf einen Server in einem speziellen Sicherheitsbereich, der so genannten Demilitarisierten Zone (DMZ). Diese Zone wird durch das Application Level Gateway vom Internet getrennt – und durch den Paketfilter vom LAN des Landratsamtes. Von der DMZ aus geht die Verbindung der Kommunen durch das Application Level Gateway weiter Richtung Internet.

Application Level Gateway und Paketfilter

Das Application Level Gateway, das die Außenabsicherung Richtung Internet leistet, ist das stärkere der beiden Firewall-Systeme. Es analysiert den Inhalt des passierenden Datenstroms und verfügt über einen integrierten Virenscanner, um unerwünschten Content abzublocken. Der Paketfilter kontrolliert den Datenverkehr dagegen auf formaler Ebene anhand Absender- und Empfänger-Adresse, Protokolltyp und angesteuerter Port-Nummer. Wenn die Verbindung gemäß den konfigurierten Regeln erlaubt ist, dürfen die Daten passieren. Zusätzlich werden alle WWW-Anfragen an das Internet über URL-Filter geschickt, um den Abruf illegaler und jugendgefährender Inhalte zu verhindern. Insgesamt ermöglicht die Sicherheitslösung mit der zweistufigen Firewall-System die gemeinsame Nutzung eines Internet-Anschlusses, ohne dass der Anbieter – das Landratsamt Ansbach - sein Netzwerk öffnen und damit ein Risiko bei der IT-Sicherheit eingehen muss.

BSI-Zertifizierung als Qualitätssiegel

Ein weiteres Merkmal der Firewall-Lösung ist die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese unabhängige Prüfung erfolgte nach dem internationalen Standard ITSEC in der Stufe E3. Dafür sind die Vorlage einer detaillierten Design-Dokumentation, des Quellcodes sowie zahlreiche Tests erforderlich. Das Ergebnis: Zertifizierung in der Stufe E3 hoch. Der Zusatz „hoch“ bewertet die Mindeststärke aller wichtigen Sicherheitsmechanismen und ist die Bestnote. Die GeNUGate ist das einzige Firewall-System, das dieses aufwändige Verfahren beim BSI erfolgreich abgeschlossen hat. Aufgrund der BSI-Zertifizierung wird die Lösung von zahlreichen Behörden zum Schutz von Netzwerken eingesetzt, z.B dem Bundesministerium des Inneren, dem Deutschen Bundestag und dem Generalbundesanwalt beim Bundesgerichtshof.

Bayern-CERT lobt Sicherheitskonzept

Das Konzept für den eigenen Web-Anschluss ließ das Landratsamts Ansbach vom Bayern-CERT, also den IT-Sicherheitsspezialisten des Landesamtes für Statistik und Datenverarbeitung mit dem zentralen Internet-Knoten, begutachten. „Unser Anbindungskonzept mit der zweistufigen Firewall wurde vom Bayern-CERT ausdrücklich gelobt“, sagt Walter Dittrich: „Heute nutzen neben dem gesamten Landratsamt mit seinen fünf Außenstellen 34 Gemeinden den Internet-Anschluss und können sich trotz ständig steigender Datenmengen auf zuverlässige Bandbreite und IT-Sicherheit verlassen.“