Anwenderbericht
Software-Spezialist schützt Know-how mit zweistufiger Firewall
Anti-Spam-Verfahren Greylisting blockt 95 Prozent des Datenmülls
Wenn ein Autofahrer trotz Vollbremsung noch die Kurve kriegt – das Antiblockiersystem (ABS) also einwandfrei arbeitet -, dann hat die SPA Software Entwicklungs GmbH einen kleinen, aber entscheidenden Anteil daran: Das mittelständische Unternehmen aus Coburg produziert Prüfsysteme, mit denen die Computer-Chips für die ABS-Steuerung auf fehlerfreie Funktion getestet werden. Diese Systeme zur sorgfältigen Kontrolle filigraner Kleinstbauteile sowie weitere Aufgabenstellungen in der Halbleiter-Industrie erfordern erheblichen Forschungs- und Entwicklungsaufwand. Als weiteren Service bietet SPA Software die Betreuung von installierten Anlagen via Internet und erhält hierzu Wartungszugänge in Kunden-Netzwerke. Angesichts des eigenen sensiblen Know-hows und direkten Datenverbindungen zu Hightech-Firmen ist klar: Die Coburger Spezialisten müssen ihr Netzwerk zuverlässig gegen unbefugte Zugriffe schützen. An der Schnittstelle zwischen lokalem Netz (LAN) und Internet wird dazu ein zweistufiges Firewall-System eingesetzt, dessen Leistungsfähigkeit durch Sicherheitszertifikate belegt ist und zudem mit Greylisting ein wirksames Verfahren gegen Spam bietet.
Bei der Chip-Herstellung sind die Anforderungen an Präzision und Sauberkeit extrem. Bereits Unebenheiten von wenigen Nanometern ruinieren die kleinen Schaltkreise, so dass selbst mit modernsten Verfahren ein Ausschuss nicht ganz zu vermeiden ist. Die Hersteller wollen die defekten Chips gleich bei der Produktion herausfiltern – hier kommen die Lösungen von SPA Software zum Einsatz: Damit werden die Schaltkreise noch in Form des Wafers, also bevor dieser in einzelne Chips zersägt wird, optisch und elektronisch geprüft. Defekte Schaltkreise erhalten eine Farbmarkierung, damit sie nach dem Zersägen aussortiert werden können. „In unserer Lösung steckt eine Menge Intelligenz, sie ist jedoch einfach einzusetzen und äußerst treffsicher. Deshalb verlassen sich Halbleiter-Hersteller in der ganzen Welt auf unsere Anlagen“, sagt Georg Sauer, Geschäftsführer von SPA Software. Auf der Kundenliste stehen unter anderen Infineon, Robert Bosch, Micronas und ZMD.
Fernwartungs-Verbindungen in fremde Kundennetze
Die Kunden verlangen Service rund um die Uhr, da die aufwändigen Produktionsanlagen nicht stillstehen dürfen. Deshalb betreut SPA Software die weltweit installierten Anlagen via Fernwartung. Über verschlüsselte Internet-Verbindungen (Virtual Private Network, VPN) greifen die Coburger Spezialisten auf die Kundennetze und weiter auf die Chip-Prüfanlagen zu, um Kontrolldaten abzurufen und bei Bedarf auch gleich Wartungsarbeiten durchzuführen. Diese VPN-Verbindungen via Internet von SPA Software zu den Kunden sind so stark verschlüsselt, dass die Datenkommunikation nicht abgehört oder manipuliert werden kann. Entscheidend ist die IT-Sicherheit an den Endpunkten – also an den Übergängen vom Internet zum LAN.
„Unser Geschäft basiert auf speziellem Know-how und guten Verbindungen zu unseren Kunden. Beides müssen wir zuverlässig schützen, deshalb legen wir großen Wert auf hochwertige IT-Sicherheit“, unterstreicht Georg Sauer. Dabei wird die Coburger Firma von dem IT-Dienstleister MHC Software unterstützt, der über langjährige Erfahrung im Bereich IT-Sicherheit verfügt. Als die bei SPA Software an der Schnittstelle Internet-LAN eingesetzten Linux-Firewalls immer mehr Administrationsaufwand erforderten, wurden diese auf Empfehlung der IT-Sicherheitsspezialisten durch ein System des Typs GeNUGate abgelöst.
Kompakte Lösung mit zwei Firewalls
Die GeNUGate ist eine Komplettlösung aus zwei unterschiedlichen Firewalls inklusive Betriebsystem und Hardware. Die Komponenten sind aufeinander abgestimmt und werden über eine einheitliche Oberfläche administriert. „Die kompakte Lösung bietet große Vorteile bei der Administration und durch die zweistufige Konzeption wird hochwertige Sicherheit erreicht, dies belegen Zertifikate vom Bundesamt für Sicherheit in der Informationstechnologie“, erläutert Matthias Henze, Geschäftsführer von MHC Software. Die zweistufige Firewall wird von der Firma GeNUA produziert, der Vertrieb erfolgt über Partner. MHC Software ist seit 2001 Vertriebspartner des Herstellers aus Kirchheim bei München.
Die beiden Firewall-Systeme - ein Application Level Gateway und einen Paketfilter – sind in Reihe geschaltet. Alle Daten werden an der Schnittstelle Internet-LAN also von beiden Systemen geprüft. Das Application Level Gateway ist dabei das aufwändigere System, es überprüft den Inhalt des Datenstroms. Dazu stoppt es die eintreffenden IP-Pakete und setzt sie zu kompletten Datensätzen zusammen. Diese aufbereiteten Daten werden von speziellen Prüf-Programmen analysiert und gefährlicher Codes wie Viren oder aktive Inhalte z.B. mit ActiveX identifiziert und geblockt.
Als zweites System kontrolliert der Paketfilter die Datenpakete anhand ihrer formalen Kennzeichen: Sind die Absenderadresse, der verwendete Protokolltyp sowie die angesteuerte Port-Nummer zugelassen? Die Kontrollmechanismen der beiden Firewall-Systeme arbeiten somit auf unterschiedlichen Ebenen. Erst wenn die Datenpakete beide Prüfungen bestanden haben, dürfen sie ins LAN bzw. Internet passieren. „Die Firewall läuft absolut stabil und hat noch nie ein Sicherheitsproblem zugelassen“, so Georg Sauer.
BSI-Zertifikat bestätigt hohes Sicherheitsniveau
Dass die zweifache Kontrolle hohe Sicherheit bietet, bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die BSI-Experten haben die Firewall GeNUGate 6.0 bis hinunter zur einzelnen Programmierzeile im Quellcode geprüft und insgesamt 978 Tests unterzogen. Das Ergebnis: Zertifizierung nach dem Standard Common Criteria (CC) in der Stufe EAL 4+. Dies ist die höchste Stufe, die komplett auf komplexe Systeme anwendbar ist.
Das Attribut „+“ zeigt aber, dass bei einzelnen Kriterien der Level EAL4 übertroffen wurde. Die GeNUGate erfüllt beim Sicherheitsmerkmal des Selbstschutzes höhere Anforderungen: Alle potenziellen Angriffspunkte wie z.B. Schnittstellen sind konsequent mit zwei unterschiedlichen Sicherheitsmechanismen geschützt. Dadurch wird direkten und intelligent ausgeführten Attacken hoher Widerstand entgegengesetzt - die Sicherheitsleistung entspricht hier den Anforderungen des Levels EAL 6. Aufgrund dieser Leistung ist die GeNUGate als „Highly Resistant“ eingestuft - als einzige Firewall weltweit.
Wirksames Verfahren gegen Spam: Greylisting auf Firewall
SPA Software nutzt zusätzlich das auf der Firewall integrierte Greylisting-Verfahren zur Spam-Abwehr. Greylisting basiert auf einem einfachen Trick: Direkt an den Eingang-Relays werden bei jeder empfangenen E-Mail die drei Informationen IP-Adresse des sendenden Mails-Servers, Absender- sowie Empfängeradresse abgefragt. Wenn diese Kombination zum ersten Mal vorkommt, wird die E-Mail abgewiesen. Seriöse Mail-Server unternehmen in diesem Fall gemäß dem RFC-Standard nach kurzer Zeit einen zweiten Zustellversuch. Jetzt ist die Dreierkombination bereits bekannt, die Post wird zum Empfänger durchgelassen.
Spammer setzen jedoch auf Masse in möglichst kurzer Zeit. Sie versenden Millionen E-Mails innerhalb weniger Minuten an großenteils geratene Adressen. Angesichts dieser schlechten Adressen-Qualität wären wiederholte Zustellversuche wenig sinnvoll – Spammer verzichten daher nahezu immer auf diese zweite Chance. Diese „fire and forget“-Methode wird vom Greylisting ausgehebelt, da einmalig zugestellte E-Mails mit unbekanntem Triple abgewiesen werden. Georg Sauer: „Mit der Einführung des Greylistings vor zwei Jahren haben wir das lästige Spam-Problem praktisch gelöst: Seitdem kommt in unseren E-Mail-Accounts 95 Prozent weniger Spam an.“