Ich komme aus dem Bereich und ich interessiere mich für

Case Study

Bundeswehr: Infrastruktur für VS-NfD-Kommunikation

Verschlüsselung von Datentransfers genuscreen-vs-top-case-studies-bundeswehr-02.jpg

Kooperationsprojekt der genua GmbH sorgt für sichere Clients und Infrastruktur. Die IT-Strategie der Bundeswehr fordert die Digitalisierung der Operationsführung. Gleichzeitig steigen die Anforderungen an die IT-Sicherheit und Nutzerfreundlichkeit für moderne und attraktive IT-Arbeitsplätze. Zudem werden immer mehr logistische und administrative Aufgaben mittels IT und Apps unterstützt und abgebildet.

Für die Umsetzung dieser Zielsetzungen bedarf es einer sicheren, durch das BSI für VS-NfD zugelassenen Kommunikationsplattform. Diese setzt einerseits auf der bestehenden Infrastruktur auf und verwendet andererseits moderne Technologien. Die genua GmbH entwickelte in einem Kooperationsprojekt mit der Bundesdruckerei GmbH und der Virtual Solution AG eine entsprechende Lösung zur sicheren VS-NfD-Kommunikation. 

Lösungsweg: Mobile Clients für einen sicheren Workflow

Das System besteht aus verschiedenen mobilen Clients, mit denen Mitarbeiter sicher und einfach arbeiten können. Die Anbindung an die Bundeswehr-Cloud erfolgt mittels eines virtuellen privaten Netzwerks (VPN) über Internet oder WAN. Eine weitere Firewall dient der Kontrolle des Inhalts des Datenverkehrs u. a. durch Viren-Scanning und Anomalie-Erkennung, bevor mit den Clients auf die Anwendungen der Cloud zugegriffen oder im Internet gesurft werden kann. Die Identifizierung des Nutzers, die Entschlüsselung der Clients sowie der Aufbau der VPN-Verbindung erfolgen durch den bestehenden elektronischen Dienst- und Truppenausweis (eDTA) unter Verwendung der Bundeswehr-Public-Key-Infrastruktur (PKI). 

Vier Clients für unterschiedliche Einsatzbedarfe der VS-NfD-Kommunikation

An die bestehende Infrastruktur ließen sich zum Zeitpunkt der Projektumsetzung vier Clients für unterschiedliche Einsatzszenarien anschließen: Laptops, Smart Devices wie Smartphone und Tablet, Home-Office-Arbeitsplätze und (kleine) Liegenschaften mit einer Gruppe von Arbeitsplätzen.

Laptop: Das Security Laptop vs-top ermöglicht komfortables Arbeiten, etwa unter Windows mit der VPN-Anbindung über Mobilfunk, WLAN oder Ethernet. Der bestehende eDTA dient hier zur Festplattenverschlüsselung, VPN-Authentifizierung sowie bspw. VS-NfD-E-Mail-Verschlüsselung s/mail der cryptovision GmbH oder zur Windows-Anmeldung. Eine weitere Smartcard ist nicht erforderlich. Darüber hinaus bietet vs-top neben einer eigenen Firewall ein zweites separates Compartment für die private Nutzung und direktes Internet-Surfen an. Derzeit sind über 500 vs-tops in einem Projekt im Behördenumfeld mit Zulassung des BSI im Einsatz. 

Smart Devices: Über Smartphone oder Tablet mit den Betriebssystemen iOS oder Android kann mittels der App SecurePIM der Virtual Solution AG auf E-Mail, Kalender und Kontakte zugegriffen werden. Ein sicheres Surfen im Internet oder das Lesen von Dokumenten im Intranet ist damit ebenfalls möglich. Geplant sind zudem die Integration weiterer Apps der Bundeswehr in die SecurePIM sowie die Sprachverschlüsselung der Telefongespräche. Auch hier dient der eDTA zur Identifizierung des Nutzers und Entschlüsselung der App auf dem Smart Device. Die SecurePIM auf iOS zusammen mit den zentralen Sicherheitskomponenten genuscreen und genugate im Backend befindet sich derzeit mit einer vorläufigen Zulassung des BSI in vier Behörden im Pilotbetrieb.

Home Office: Zu Hause am PC oder auch an einem Laptop angeschlossen, bietet das Personal Security Device genucard eine sichere Verbindung über WLAN, Ethernet oder UMTS an die Bundeswehr-Cloud. Eine integrierte Firewall schützt zusätzlich den PC. genucard ist für VS-NfD zugelassen, bei der Bundeswehr sind derzeit über 12.000 Devices zusammen mit den zentralen Sicherheitskomponenten genuscreen und genugate im Backend im Einsatz.
 
Liegenschaften: Bei Liegenschaften oder mobilen Standorten mit wenigen Arbeitsplätzen eignet sich die Firewall & VPN-Appliance genuscreen als Gateway für interne Sicherheitszonen oder Standortanbindungen. Als Firewall filtert genuscreen zudem den Datenverkehr. Mit VS-NfD-Zulassung und Zertifizierung nach Common Criteria (CC) EAL 4+ ist genuscreen in einer Vielzahl von Anwendungsbereichen bei der Bundeswehr im Einsatz. 

Komplette Analyse und Kontrolle des Datenverkehrs

Als zentrales Gateway und erstes System zur Netzwerksicherheit dient die Firewall & VPN-Appliance genuscreen (s. o.). Hier werden alle VPN-Verbindungen der Anwender geprüft und angenommen. Intelligentes Bandbreitenmanagement und Cluster-Fähigkeit garantieren Performance, Verfügbarkeit und Flexibilität. 

genuscreen ist kompatibel mit allen Client-Typen und kann auch in einem vollvermaschten VPN mit vielen Teilnehmern betrieben werden. Für den Schutz des Systems wird der Daten-Traffic durch die High Resistance Firewall genugate komplett analysiert und kontrolliert. Zwei unterschiedliche Firewall-Systeme – ein Application Level Gateway und ein Paketfilter jeweils auf separater Hardware – sind zu einer kompakten Lösung kombiniert. Diese ermöglicht u. a. das Viren-Scanning, das Filtern von Inhalten und Blacklisting sowie die Erkennung von Anomalien. Somit werden die Sicherheitsrichtlinien für die Clients konsequent umgesetzt. 

Zudem schützt genugate zuverlässig das System vor Angriffen aus dem Internet, denn diese Firewall ist nach CC in EAL 4+ zertifiziert sowie als einzige der Welt als „Highly Resistant“ eingestuft. Beide Komponenten bilden derzeit die zentrale VPN-Infrastruktur des RAS mit Anbindung von über 12.000 genucard-Clients und Liegenschaften über genuscreens. Clients wie Laptops oder Smart Devices lassen sich somit direkt an die RAS-Bestandsinfrastruktur der Bundeswehr anbinden.

Zentrales Management

Alle genua-Clients vs-top, genucard und genuscreen lassen sich über die Central Management Station genucenter verwalten. Damit hat der Anwender den Status aller Systeme jederzeit im Blick, kann Änderungen und Updates vornehmen und komfortabel auf ganze Bereiche übertragen. Das separate Mobile Application Management Portal (MAM) der Virtual Solution AG konfiguriert und verwaltet die SecurePIM Apps auf den Smart Devices. 


Highlights der Systemlösung von genua für VS-NfD-Kommunikation

  • konsequente Durchsetzung der Sicherheitsrichtlinie
  • anwenderfreundliche Lösung mit hoher Akzeptanz
  • einfache Integration in bestehende Netze
  • Gütesiegel „IT Security made in Germany“