Anwenderbericht:
Zweistufige Firewall schützt Borgers-Gruppe
GeNUGate prüft Dateninhalt und blockt gefährlichen Schadcode ab
Ganz schön nackt würden viele Autos ohne den Beitrag der Borgers-Gruppe aussehen. Das Unternehmen mit Sitz im westfälischen Bocholt stattet PKW und LKW nahezu aller namhaften Hersteller weltweit mit Teppichen, Verkleidungen, Hutablagen und Dachhimmeln aus. Schönes Design ist nur eine Anforderung an diese Teile, sie müssen zudem leicht, funktional und beständig sein, sollen Fahrgeräusche dämpfen und dürfen natürlich nicht selbst durch Klappern auf sich aufmerksam machen. Auch für außen bietet Borgers Komponenten wie Radlaufschalen oder den kürzlich vorgestellten neuen Unterbodenschutz – hergestellt aus recycelten Textilstoffen. Zur Firmengruppe gehört zudem die Herbert Olbricht GmbH & Co. KG, die Werkzeugmaschinen oder auch komplette Produktionsanlagen an Kunden aus verschiedenen Branchen liefert, von der Automobilindustrie bis hin zur Tapetenherstellung. Um in diesen wettbewerbsintensiven Marktbereichen weiter zu wachsen, steckt das Unternehmen mit derzeit 4.500 Mitarbeitern an 21 Standorten in Europa und den USA viel Geld in die Entwicklung neuer Materialien und Produkte. Dieses Know-how und die Geschäftsbeziehungen zu vielen Automobilherstellern sind die Basis für den Erfolg der Borgers-Gruppe – die Produkt-, Betriebs- und Kundendaten müssen deshalb zuverlässig vor unbefugten Zugriffen, Verlust und Manipulationen geschützt werden. An der wichtigen Schnittstelle zwischen dem lokalen Firmennetz (LAN) und dem Internet wird dazu eine zweistufige Firewall eingesetzt, die auch den Inhalt des Datenstroms kontrolliert.
Autos in der ganzen Welt kleidet die Borgers-Gruppe aus dem westfälischen Bocholt ein
Das Internet ist der entscheidende Kommunikationskanal: Hierüber werden ständig Informationen ausgetauscht zwischen den verschiedenen Standorten von Borgers, mit Kunden und Lieferanten. Vieles geht per E-Mail, die Zusammenarbeit mit den großen Automobilherstellern und den zahlreichen Lieferanten wird weitgehend über Kundenportale im Internet organisiert. Insgesamt summieren sich die täglichen Datentransfers auf rund 15 GB. Dieser Datenaustausch muss über die Schnittstelle LAN-Internet ermöglicht werden. Gleichzeitig sind hier aber unbefugte Zugriffe, Spam, Viren und sonstiger Schadcode abzublocken, bevor sie aus dem Internet in das LAN gelangen. Die Aufgabe des digitalen Türstehers übernehmen Firewalls. Bei diesen IT-Systemen gibt es verschiedene Typen, die deutlich unterschiedliche Sicherheitsleistungen bieten.
Paketfilter prüft ausschließlich formale Kriterien
Bis Anfang 2010 verwendete Borgers an der Schnittstelle LAN-Internet eine Paketfilter-Firewall. Diese Sicherheitssysteme werden vom Administrator mit Filterregeln konfiguriert, die auf die ankommenden Datenpakete angewendet werden: Sind die Absender- und Empfängeradresse, der verwendete Protokolltyp und die angesteuerte Port-Nummer zugelassen? Paketfilter prüfen also ausschließlich formale Kennzeichen im Header – der eigentliche Inhalt der Datenpakete wird nicht angeschaut. Dies ist vergleichbar mit der Kontrolle der Empfänger- und Absenderdaten bei einem Paket in der gelben Post, ohne in den Karton hineinzuschauen. Wenn das Datenpaket die formalen Kriterien erfüllt, darf es passieren.
Stimmt die Akustik? Borgers steckt viel Geld in die Entwicklung geräuschdämmender Verkleidungen
Paketfilter sind also blind für Gefahren im Content-Bereich. Hier gibt es jedoch erhebliche Risiken, z. B. durch aktive Inhalte: Diese reisen Huckepack mit E-Mail- oder WWW-Daten und können beliebige Programme auf dem Ziel-Rechner im LAN ausführen, etwa eine animierte Webseite aufbauen oder aber unbemerkt einen Backdoor-Trojaner installieren. Auf dem infizierten Computer kann der Sender des Trojaners dann auf Daten zugreifen und diese beispielsweise verändern, versenden oder auch die vom Anwender gedrückten Tasten nachverfolgen. Die Funktionsweise der aktiven Inhalte wird ständig weiter verfeinert und ihre Anzahl nimmt im Internet stetig zu. Auch Viren und einen großen Teil des Spams können Paketfilter nicht erkennen und somit blocken oder kennzeichnen.
"Als die Erneuerung der Firewall anstand, wollten wir eine Lösung, die auch den Dateninhalt prüft und somit deutlich mehr Risiken ausschließt", sagt Ingo Bertulat, IT-Systemadministrator bei Borgers. Bei der IT-Sicherheit wird das Automotive-Unternehmen von der Dr. Bülow & Masiak GmbH aus Marl unterstützt, einem Spezialisten für Netzwerk-Lösungen. Die Fachleute empfahlen den Einsatz einer zweistufigen Firewall des Typs GeNUGate. Die GeNUGate ist eine Lösung des deutschen Herstellers GeNUA und kombiniert zwei Firewall-Systeme: ein Application Level Gateway und einen Paketfilter. Die Systeme laufen auf separater Hardware, sind aber direkt in Reihe geschaltet, so dass Datenpakete beide Firewalls durchlaufen müssen.
Zuverlässige IT-Sicherheit durch zweistufige Firewall GeNUGate
Application Level Gateway kontrolliert Dateninhalt
Auf dem Weg vom Internet zum LAN gelangen die Pakete zuerst an das Application Level Gateway. Dieses Firewall-System überprüft den Inhalt des Datenstroms. Dazu stoppt es zunächst die eintreffenden Pakete und setzt sie zu Datensätzen zusammen. Denn nur anhand kompletter Datensätze kann der Inhalt überprüft werden. Jetzt analysieren spezielle Prüfprogramme sowie zusätzlich ein Virenscanner den Inhalt der empfangenen Daten. Unerwünschter und auch gefährlicher Code wie aktive Inhalte, Viren und Spam können so zuverlässig identifiziert, abgeblockt oder gekennzeichnet werden. Ist die Inhaltsprüfung bestanden, erreichen die Datenpakete den Paketfilter. Dieser prüft die formalen Informationen im Paket-Header, bevor die Daten an den Empfänger im LAN weitergeleitet werden. Ein weiterer Vorteil der Zweistufigkeit: Sollte mal eine Firewall ausfallen oder gar von einem Angreifer ausgehebelt werden, sichert immer noch das zweite System die Schnittstelle. Und da es sich dabei um ein anderes Firewall-System handelt, hilft dem Angreifer hier auch nicht sein Wissen aus dem ersten Hack.
"Das Application Level Gateway prüft den Inhalt, der Paketfilter formale Kriterien. Durch das abgestimmte Zusammenspiel auf verschiedenen Ebenen wird eine außergewöhnlich hohe Sicherheitsleistung erzielt", erläutert Sascha Weßelmann, IT-Sicherheitsspezialist bei Dr. Bülow & Masiak. Diese Konzeption hat auch die unabhängigen Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überzeugt. Das BSI hat die zweistufige GeNUGate nach dem Standard Common Criteria (CC) geprüft. Dabei wird die Firewall ausführlich getestet und die korrekte Umsetzung aller Sicherheitsmechanismen bis hinunter zum Quellcode nachgeprüft. Das Ergebnis: Sicherheitszertifikat in der Stufe EAL 4+. Dies ist der höchste Level, der auf ein komplexes System wie eine Firewall vollständig anwendbar ist. Da die GeNUGate aber beim Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten und unter günstigen Bedingungen geschickt ausgeführten Angriffen wird stärkster Widerstand entgegengesetzt – hat das BSI den Zusatz "Highly Resistant" vergeben. Die GeNUGate ist die einzige Highly Resistant Firewall der Welt.
Für die Inhaltskontrolle der Daten sind erhebliche Rechnerkapazitäten erforderlich. Deshalb ist die zweistufige Firewall als Komplettlösung aus leistungsstarker Hardware, dem Betriebssystem OpenBSD und der Firewall-Software konstruiert. Durch das abgestimmte Zusammenspiel aller Komponenten erreicht die stärkste Variante GeNUGate 800 einen Datendurchsatz von 1.280 Mbit/s und ermöglicht somit schnelle Internet-Anbindungen. Diese abgestimmte Gesamtlösung vermeidet zudem jegliche Kompatibilitätsprobleme, die häufig auftreten, wenn Firewall-Software und Hardware von verschiedenen Herstellern kombiniert werden. Am Hauptsitz von Borgers in Bocholt sichert seit Mai 2010 eine GeNUGate die Schnittstelle LAN-Internet. "Die Firewall läuft absolut stabil und ist einfach zu bedienen, obwohl es ein zweistufiges System ist", resümiert Ingo Bertulat von Borgers. Um die Verfügbarkeit der zentralen Internet-Anbindung in jedem Fall zu garantieren, soll die Firewall-Lösung mittelfristig mit einer weiteren GeNUGate zu einem Cluster erweitert werden. Die verbundenen Firewalls teilen sich dann die Arbeit und übernehmen bei einem Ausfall sofort die Aufgaben des anderen Systems, ohne dass die Verbindung unterbrochen wird.
