Case Study
Landratsamt Ansbach setzt zweistufige Firewall ein
Das Landratsamt Ansbach hat viel zu tun. Als zentraler Dienstleister für insgesamt 58 Kommunen, die zusammen den größten Landkreis in Bayern bilden, ist es für zahlreiche Aufgaben zuständig: von der Abfallberatung über das Baurecht, die Kfz-Zulassung und den Umweltschutz bis hin zu Wohnberechtigungsscheinen. Um das breite Aufgabenspektrum effizient zu bearbeiten, sind eine zuverlässige Vernetzung und Internet-Anbindung erforderlich. Gleichzeitig müssen die sensiblen Daten vor unbefugten Zugriffen geschützt werden. Diese beiden gegensätzlichen Anforderungen – hohe IT-Sicherheit und komfortable Vernetzung – hat das Landratsamt Ansbach durch den Einsatz der High Resistance Firewall genugate, eines zweistufigen Systems, an einer eigenen Internet-Anbindung erfüllt.
Rückblick: Zunächst verfügte das Landratsamt Ansbach über keinen eigenen Zugang zum Internet. Stattdessen waren die Ansbacher, wie viele öffentliche Einrichtungen im Freistaat, über das Bayerische Behördennetz und dann weiter über den zentralen Anschluss des Landesamtes für Statistik und Datenverarbeitung indirekt mit dem Internet verbunden. „Angesichts ständig steigender Internet-Nutzung durch alle angeschlossenen Behörden war es nur eine Frage der Zeit, bis diese Konstruktion zum Flaschenhals wird. Deshalb wollten wir einen eigenen Zugang zum Internet haben“, sagt Walter Dittrich, Leiter EDV beim Landratsamt Ansbach.
Zuverlässige Absicherung und Mitbenutzung durch Kommunen
An diese eigene Verbindung zum Internet waren zwei grundlegende Bedingungen geknüpft: Zum einen eine zuverlässige Absicherung. Denn wer auf der einen Seite an das abgeschottete Bayerische Behördennetz angeschlossen ist, darf in Richtung Internet nicht zum Einfallstor für unbefugte Dritte werden. Hier muss ein hohes Sicherheitsniveau garantiert sein. Zum anderen sollten alle Kommunen des Landkreises, die ihre eigenen lokalen Netze (LAN) betreiben, diesen direkten Zugang zum weltweiten Web mitbenutzen können – und sich somit ebenfalls den Umweg über das Behördennetz und zentrale Schnittstelle ersparen.
IT-Sicherheit durch zweistufige Firewall
Mit dieser Aufgabenstellung begann die Suche nach einer geeigneten IT-Sicherheitslösung für die Schnittstelle zum Internet. Die Wahl fiel schließlich auf die Firewall genugate, ein zweistufiges System des deutschen Herstellers genua. „Ausschlaggebend für dieses System waren ein schlüssiges Anbindungskonzept, die hohe Zertifizierung sowie einschlägige Referenzen“, unterstreicht Andreas Wittwer, Consultant beim IT-Systemhaus Bechtle in Nürnberg.
Separate Sicherheitszonen für Landratsamt und Kommunen
genugate besteht aus zwei Firewall-Systemen, die hintereinander in Reihe geschaltet sind: ein Application Level Gateway und ein Paketfilter. Diese zweistufige Konstruktion bietet die Möglichkeit, separate Sicherheitszonen zu bilden. So wird das LAN des Landratsamtes durch beide Firewalls vom Internet abgeschottet. Der Datenverkehr zwischen Internet und Landrats-LAN durchläuft also die Kontrollen beider Systeme, die restriktiv eingestellt sind und nur ausdrücklich gewünschte Verbindungen zulassen.
Kommunen gehen über Demilitarisierte Zone ins Netz
Anders läuft die Internet-Verbindung der angeschlossenen Kommunen. Sie verbinden sich über ISDN-Einwahl oder verschlüsselte Datentunnel mit einem Server in einem speziellen Sicherheitsbereich, der sogenannten Demilitarisierten Zone (DMZ). Diese Zone wird durch das Application Level Gateway vom Internet getrennt – und durch den Paketfilter vom LAN des Landratsamtes. Von der DMZ aus geht die Verbindung der Kommunen durch das Application Level Gateway weiter Richtung Internet.
Application Level Gateway und Paketfilter
Das Application Level Gateway, das die Außenabsicherung Richtung Internet leistet, ist das stärkere der beiden Firewall-Systeme. Es analysiert den Inhalt des passierenden Datenstroms und verfügt über einen integrierten Virenscanner, um unerwünschten Content abzublocken. Der Paketfilter kontrolliert den Datenverkehr dagegen auf formaler Ebene anhand Absender- und Empfängeradresse, Protokolltyp und angesteuerter Port-Nummer. Wenn die Verbindung gemäß den konfigurierten Regeln erlaubt ist, dürfen die Daten passieren. Zusätzlich werden alle WWW-Anfragen an das Internet über URL-Filter geschickt, um den Abruf illegaler und jugendgefährender Inhalte zu verhindern. Insgesamt ermöglicht die Sicherheitslösung mit dem zweistufigen Firewall-System die gemeinsame Nutzung eines Internet-Anschlusses, ohne dass der Anbieter – das Landratsamt Ansbach – sein Netzwerk öffnen und damit ein Risiko bei der IT-Sicherheit eingehen muss.
BSI-Zertifizierung als Qualitätssiegel
Ein weiteres Merkmal der Firewall-Lösung ist die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese unabhängige Prüfung erfolgte nach dem internationalen Standard Common Criteria (CC) in der Stufe EAL 4+. Dabei wird die Firewall ausführlich getestet und die korrekte Umsetzung aller Sicherheitsmechanismen bis hinunter zum Quellcode nachgeprüft. Das Ergebnis: Sicherheitszertifikat in der Stufe EAL 4+. Dies ist der höchste Level, der auf ein komplexes System wie eine Firewall vollständig anwendbar ist. Da genugate aber beim Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten und unter günstigen Bedingungen geschickt ausgeführten Angriffen wird stärkster Widerstand entgegengesetzt –, hat das BSI den Zusatz „Highly Resistant“ vergeben. genugate ist die einzige Highly Resistant Firewall der Welt.
Bayern-CERT lobt Sicherheitskonzept
Das Konzept für den eigenen Web-Anschluss ließ das Landratsamts Ansbach vom Bayern-CERT, also den IT-Sicherheitsspezialisten des Landesamtes für Statistik und Datenverarbeitung mit dem zentralen Internet-Knoten, begutachten. „Unser Anbindungskonzept mit der zweistufigen Firewall wurde vom Bayern-CERT ausdrücklich gelobt“, sagt Walter Dittrich: „Heute nutzen neben dem gesamten Landratsamt mit seinen fünf Außenstellen 34 Gemeinden den Internet-Anschluss und können sich trotz ständig steigender Datenmengen auf zuverlässige Bandbreite und IT-Sicherheit verlassen.“