Ich komme aus dem Bereich und ich interessiere mich für

Case Study

Würth dreht an der Sicherheitsschraube

Zentrales Rechenzentrum wird mit mehrstufiger Firewall geschützt

Große Unternehmen sind beliebte Angriffsziele für Hacker aller Art. Zumal, wenn es sich dabei wie im Falle der Würth-Gruppe um eines der größten und bekanntesten Familienunternehmen in Deutschland mit weltweiter Präsenz handelt. Zum Schutz vor ungebetenen Gästen im Netz hat der Spezialist für Montage- und Befestigungsmaterialien ein mehrstufiges Firewall-Konzept umgesetzt, das am Perimeter keine Angriffsflächen offen lässt.

Frühjahr 2014: Hacker erbeuten die persönlichen Daten von 4,5 Millionen Krankenhauspatienten in den USA. Ebenfalls in dieser Zeit greifen Unbekannte stattliche 145 Millionen Zugangsdaten beim Internet-Auktionator eBay ab. Und als wenn der Diebstahl von Daten ein sportlicher Wettbewerb sei, verschaffen sich im August 2014 russische Angreifer Zugriff auf rekordverdächtige 1,2 Milliarden Passwörter rund um den Globus. Dagegen scheint der erfolgreiche Angriff 2013 auf die FDP, bei dem Nutzerdaten der Website der Liberalen im Internet veröffentlicht wurden, direkt harmlos.

Egal, ob Mittelständler, Großunternehmen oder Behörde: Organisationen aller Art müssen jederzeit mit folgenschweren Angriffen über die unterschiedlichsten Angriffsvektoren rechnen. Fast ein Drittel der Unternehmen in Deutschland, so eine Studie des IT-Branchenverbands Bitkom vom März dieses Jahres, habe in den vergangenen zwei Jahren Angriffe auf die IT-Systeme verzeichnet. In 30 Prozent der Fälle sei der Angriff über das Internet erfolgt. Die Folgekosten sind immens. Ein großer Virenschutzanbieter rechnete 2013 vor, dass ein Cyber-Angriff die großen Unternehmen mit mehr als 1.500 Mitarbeitern durchschnittlich 479.000 Euro kostete. Kleine und mittlere Unternehmen kommen günstiger davon, hier stehen „nur“ 42.000 Euro pro Angriff in der Ausgabenspalte der Buchhaltung.

Maximaler Schutz

Gute Gründe für prominente Unternehmen, in den Schutz der IT zu investieren. So auch für die im baden-württembergischen Künzelsau ansässige Würth-Gruppe. Die idyllische Kleinstadt am Kocher ist Hauptsitz des vor allem für Befestigungstechnik bekannten Mutterunternehmens Adolf Würth GmbH & Co. KG und zentrale Verwaltung für weltweit über 400 Tochtergesellschaften mit mehr als 65.000 Mitarbeitern. Auch wenn viele Niederlassungen ihre IT in weiten Teilen selbst betreiben: Ein erheblicher Teil des Datenverkehrs der Würth-Gruppe wird über das Rechenzentrum in Künzelsau-Gaisbach abgewickelt. Um bei ein- und ausgehenden Daten die notwendige Sicherheit zu gewährleisten, setzt Würth am Perimeter des Rechenzentrums auf hochsichere Firewalls, wie Matthias Sturm, bei Würth für den operativen Betrieb der Firewalls zuständig, erläutert: „Wir nutzen Firewalls verschiedener Anbieter, um einen maximalen Schutz zu den bestmöglichen Kosten zu erhalten. Die zentrale Komponente in diesem Ansatz sind Firewalls des Typs genugate von genua. Diese haben unter anderem die kritische Aufgabe, den Zugriff von außen auf die bei uns gehosteten Dienste abzusichern.“

Obwohl es am Markt günstigere Firewalls zu kaufen gibt, hat sich die Würth-Gruppe für die High Resistance Firewall genugate entschieden. Für Sturm gibt es dafür gewichtige Gründe: „Als deutscher Hersteller kann genua uns schnell und einfach Support vor Ort bieten, der für eine zentrale Sicherheitskomponente wie eine Firewall notwendig ist. Zudem haben wir einen direkten Kontakt zum Hersteller und zu allen Spezialisten, falls Probleme auftreten. Ein längerer Ausfall dieser Komponenten beeinträchtigt die Arbeitsabläufe innerhalb der Unternehmensgruppe erheblich, hier sind wir auf schnelle Hilfe angewiesen.“ Nicht zuletzt war auch die Sicherheit der Firewall genugate ein zentraler Aspekt bei der Auswahl: „Das Schutzniveau ist extrem hoch und zudem vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Und die Sicherheit ist ja letztlich das entscheidende Argument für eine Firewall“, so Sturm. Kompromisse wären aus seiner Sicht für diesen kritischen und sensiblen Einsatzbereich problematisch.

Empfohlene P-A-P-Konfiguration

Die eingesetzte Firewall genugate sei zweistufig ausgelegt, erläutert Sturm. Zum einen verfügt Würth damit über einen Paketfilter, der die Daten anhand der Header-Informationen kontrolliert. Zum anderen bietet die Firewall ein Application Level Gateway, das die Daten selbst prüft. Damit ist es mit relativ geringem Aufwand möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufzubauen: „Indem wir einen Paketfilter eines anderen Herstellers mit genugate kombinieren, erfüllen wir vollständig die aus Sicht der IT-Sicherheit sehr sinnvolle BSI-Empfehlung.“ Dieses Sicherheitskonzept fordert von den Firewall-Administratoren, die alle Firewalls im Unternehmen zentral verwalten, etwas Engagement: Das Konzept von genugate basiert darauf, Verbindungen zu terminieren. Das bedeutet, dass alle ein- und ausgehenden Datenpakete von der Firewall so angenommen werden, als wären die Pakete für sie bestimmt. Nach der Prüfung der Pakete verschickt die Firewall die Daten über eine neue Verbindung an den ursprünglichen Empfänger. Zudem kommt aus Sicherheitsgründen ein nicht routender Betriebssystem-Kernel zum Einsatz, der Pakete nicht an andere Schnittstellen weiterleitet. „Da muss man bei der Administration teilweise umdenken“, so Sturm. „Hieraus ergeben sich ein paar Besonderheiten, an die man sich erst gewöhnen muss. Im täglichen Betrieb werden diese Aspekte aber schnell zur Routine. Zudem können wir im Zweifelsfall auf den Hersteller-Support zurückgreifen.“

Auf der anderen Seite haben die terminierenden Verbindungen auch deutliche Vorteile. Etwa, wenn neuartige Angriffe über IPv6 abgewehrt werden sollen: Durch die Extension Header bietet das neue Protokoll zahlreiche Möglichkeiten. Die Diskussion darüber, welche Merkmale bei der Implementierung unterstützt werden sollen und welche nicht, ist noch nicht abgeschlossen. Diese Header-Funktionen erlauben Angriffe, die sich sehr effizient über eine terminierende Verbindung unterbinden lassen: Das Application Level Gateway als logischer Endpunkt der Datenübertragung erzeugt beim Weiterversand einen neuen Header, der von der internen IT vorgegeben wird. Damit laufen Angriffsversuche ins Leere.

Performance und Hochverfügbarkeit

Neben der Sicherheit ist bei der Schnittstelle zwischen dem Rechenzentrum und der Außenwelt auch die Performance der Firewalls von großer Wichtigkeit. Denn diese müssen alle ein- und ausgehenden Datenströme prüfen, ohne dass es dabei zu für die Anwender spürbaren Verzögerungen kommt. Die Paketfilter sind hier weniger kritisch, da dabei nur der Header der Datenpakete überwacht wird: IP-Adresse, Art des Protokolls und Port, über den die Daten verschickt werden. Ganz anders hingegen bei der Filterung auf Anwendungsebene. Hier müssten die einzelnen Datenpakete zunächst zwischengespeichert, zusammengesetzt, geprüft und wieder weitergeschickt werden. Das Application Level Gateway terminiert also die Verbindung zwischen den kommunizierenden Rechnern, um dann die Daten über eine neue Verbindung ans Ziel weiterzuleiten. Der Rechenaufwand dabei ist signifikant höher als bei einem Paketfilter. Gefährliche Inhalte wie Malware, Spam oder aktiver Content lassen sich jedoch nur auf diesem Weg frühzeitig aus den Datenströmen entfernen. Paketfilter sind nur in der Lage, den Datenstrom auf formale Aspekte hin zu überprüfen.

Aktuell ist das Rechenzentrum in Gaisbach mit Gigabit an das Internet angebunden. Um den benötigten Datendurchsatz und die geforderte Hochverfügbarkeit sicher zu gewährleisten, setzt Würth auf einen Cluster aus zwei Firewalls des Typs genugate in der höchsten Ausbaustufe, die zusammen bis zu 3 Gbit/s über TCP und 6 Gbit/s über UDP verarbeiten können. „Die Performance wird ständig überwacht. Bislang hatten wir keine Probleme“, bestätigt Sturm. „Auch Ausfälle treten nicht auf. Eigentlich sind die Firewalls nur beim Einspielen von Updates oder anderen Wartungsarbeiten kurz vom Netz.“

Kapazitätsreserven sind auch dringend nötig. Denn wie in den meisten Unternehmen nimmt das Datenvolumen auch bei der Würth-Gruppe laufend zu. So sollen in nächster Zeit weitere Niederlassungen über das Gaisbacher Rechenzentrum versorgt werden. Dadurch ist nicht nur mit einem deutlich höheren Datenvolumen zu rechnen, auch die Gefahren für die IT steigen damit rasant an. Die Sicherheitsverantwortlichen in der Würth IT sind gerüstet: Neben den Firewalls sind selbstverständlich auch Malware- und Spam-Filter im Einsatz. Sturm ist davon überzeugt, dass die Strategie sich bewährt hat: „Bislang hatten wir keine Vorfälle in der IT-Sicherheit, die unserem Unternehmen Schaden zugefügt hätten.“