Firewall-Cluster für sichere IT-Dienstleistungen bei Arvato Systems

Dass es in Leipzig nachts taghell, in Reutlingen im Winter warm und in Hamburg immer schön sauber ist – dazu leistet im Hintergrund Arvato Systems seinen Beitrag. Arvato Systems unterstützt Unternehmen der Energie- und Wasserwirtschaft sowie Entsorgung und Verkehrsinfrastruktur in ganz Deutschland mit branchenspezifischen IT-Dienstleistungen.

Über 3.000 Mitarbeiter des Unternehmens planen, implementieren und betreuen SAP-Systeme im Kundenauftrag. Um die zentralen Versorger- und Unternehmensanwendungen als Hosting-Lösungen anbieten zu können, betreibt Arvato Systems zwei Rechenzentren u. a. in Leipzig. Die Verbindungen zu den Outsourcing-Kunden müssen zuverlässig abgesichert und hochverfügbar sein – hier setzt Arvato Systems an der Schnittstelle zwischen Rechenzentrum und Internet auf zweistufige und zertifizierte Firewalls.

Zahlreiche kommunale Ver- und Entsorger wie die Stadtwerke Leipzig, die Kommunale Netzgesellschaft Südwest oder auch die Leipziger Messe und die Stadtreinigung Hamburg haben Arvato Systems wichtige IT-Anwendungen anvertraut: bspw. Abrechnungs- und Handelssysteme für den Energievertrieb, Lösungen für die Logistik, Buchhaltung und das Controlling aus dem Baukasten von SAP. Diese teils individuell angepassten Anwendungen laufen auf modernsten Servern in den Rechenzentren von Arvato Systems, werden fortlaufend gepflegt und auf Kundenwunsch auch redundant und somit hochverfügbar vorgehalten. Über verschlüsselte Internet-Verbindungen greifen die Kunden darauf zu. Wenn die Systeme dem Datenaustausch mit Dritten dienen, z. B. Energieerzeugern, Dienstleistern oder dem Finanzamt, stellt Arvato Systems die Server in spezielle Sicherheitsbereiche – sogenannte Demilitarisierte Zonen (DMZ). Die DMZ werden vom restlichen Netzwerk abgeschirmt, sodass externe Zugriffe von Dritten nur auf die explizit freigeschalteten Systeme erfolgen können.

Die Übergänge vom Rechenzentrum zum Internet sowie zu den Demilitarisierten Zonen werden mit Firewalls überwacht. Die Sicherheitssysteme müssen zulässige Anfragen von Kunden erkennen und zur angesprochenen Anwendung durchstellen. Unerwünschte Verbindungen, Viren und sonstiger Schadcode sind dagegen abzublocken. An die Firewalls stellt Arvato Systems weitreichende Anforderungen: „Unsere Kunden aus der Versorgerbranche haben hohe Sicherheitsansprüche und verlangen für zentrale Anwendungen Verfügbarkeiten von bis zu 99,9 Prozent. Diese Anforderungen können wir nur mit Firewalls erfüllen, die zum einen eine starke Sicherheitsleistung bieten und zum anderen zuverlässig in ausfallsicheren Clustern arbeiten“, erläutert Holger Maschke, Director System & Infrastructure Services bei Arvato Systems.

Nach außen in Richtung öffentliches Internet ist das Application Level Gateway ausgerichtet. Dies ist das aufwendigere der beiden Firewall-Systeme und überprüft den Inhalt des Datenstroms. Dazu stoppt es die eintreffenden IP-Pakete und setzt sie zu Datensätzen zusammen. Denn nur anhand kompletter Datensätze kann der Inhalt überprüft werden. Jetzt analysieren Prüfprogramme für alle gängigen Protokolle sowie ein Viren-Scanner den Inhalt der empfangenen Daten. Unerwünschter und auch gefährlicher Code wie aktive Inhalte und Viren werden so zuverlässig identifiziert und abgeblockt.

Ist die Inhaltsprüfung bestanden, erzeugt das Application Level Gateway eine neue Verbindung und schickt die Datenpakete zum zweiten Firewall-System, dem Paketfilter. Dieser prüft die formalen Informationen im Paket-Header wie Absender- und Empfängeradresse, Protokolltyp und Port-Nummer. Nur wenn die Verbindung gemäß den konfigurierten Regeln erlaubt ist, leitet der Paketfilter die Daten an den Empfänger im Rechenzentrum von Arvato Systems weiter. Die Kontrollmechanismen der beiden Firewalls arbeiten somit auf unterschiedlichen Ebenen und ergänzen sich.

Ein weiterer Vorteil der Zweistufigkeit: Die Demilitarisierten Zonen mit Servern, auf die externe Dritte zugreifen, können einfach zwischen den beiden Firewalls eingefügt werden. So sichert das Application Level Gateway in Richtung Internet, und auf der anderen Seite separiert der Paketfilter die DMZ vom internen Netzwerk. „Durch die zweifache Prüfung mit Inhaltskontrolle bietet die Firewall starken Schutz, sodass wir noch nie Sicherheitsprobleme hatten. Auch wiederholte Penetrationtests, die unabhängige Experten in unserem bzw. im Auftrag von sicherheitsbewussten Kunden gegen die Firewall gefahren haben, konnten keine Schwachstellen aufdecken“, so Thomas Barth, Senior System Engineer im Bereich System & Infrastructure Services bei Arvato Systems.

Auch die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) haben genugate geprüft. Hier wurde als Maßstab der internationale Standard Common Criteria (CC) angelegt. Dabei wird das System ausführlich getestet und die korrekte Umsetzung aller Sicherheitsmechanismen bis hinunter zum Quellcode nachgeprüft. Das Ergebnis: Sicherheitszertifikat in der Stufe EAL 4+ mit dem Zusatz „Highly Resistant“. EAL 4+ ist der höchste Level, der auf ein komplexes System wie eine Firewall vollständig anwendbar ist. Da genugate aber beim wichtigen Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten und unter günstigen Bedingungen geschickt ausgeführten Angriffen wird stärkster Widerstand entgegengesetzt –, hat das BSI den Zusatz „Highly Resistant“ vergeben. genugate ist die einzige Highly Resistant Firewall der Welt.

Die ausfallsichere Anbindung des Rechenzentrums an das Internet gewährleistet ein Firewall Cluster: Am zentralen Übergang teilen sich zwei genugates mittels Load Sharing die Arbeit und beobachten sich dabei stets gegenseitig. Sollte ein System ausfallen, übernimmt sofort der Partner dessen Aufgaben, sodass keine Verbindungen unterbrochen werden. Durch die Zusammenarbeit wird auch ein hoher Datendurchsatz sichergestellt, der bei steigenden Anforderungen durch die Einbindung zusätzlicher Firewalls in das Cluster weiter gesteigert werden kann.

Über das Cluster führt Arvato Systems alle Verbindungen zu Kunden mit sehr hohen Verfügbarkeitsanforderungen. Weitere Anbindungen des Rechenzentrums ans Internet werden mit einzelnen genugates abgesichert, an zwei Stellen sind noch Ersatzsysteme im Cold-Standby-Modus beigefügt, die innerhalb weniger Minuten hochgefahren werden können. Heute werden insgesamt acht dieser Systeme eingesetzt.