P-A-P-Firewall-Struktur schützt VS‑NfD-Netzwerk

Die P-A-P-Struktur bietet einen wirksamen Schutz für Netze, in denen Verschlusssachen (VS-NfD) verarbeitet werden. Sie erfüllt die hohen Anforderungen von Bundesbehörden und der geheimschutzbetreuten Industrie, indem sie Datenströme gezielt filtert und unberechtigte Zugriffe verhindert.

Erfahren Sie mehr über Funktionsweise, Anforderungen und den richtigen Einsatz der Lösungen von genua innerhalb einer P-A-P-Struktur.

Was ist eine P-A-P-Struktur?

VS-NfD-Merkblatt fordert

  • eine P-A-P-Struktur - bestehend aus:
    1. äußerem Paketfilter (PFL)
    2. Application Level Gateway (ALG)
    3. innerem Paketfilter (PFL)
  • 3 physisch getrennte Zonen, d.h. es gibt
    1. keinen Switch, der gleichzeitig für DMZ und internes Netz zur Verfügung steht
    2. keinen Virtualisierungsserver, der gleichzeitig für DMZ und internes Netz zur Verfügung steht
  • innerhalb des VS-NfD-Netzes kann unverschlüsselte Kommunikation erfolgen
  • außerhalb des VS-NfD-Netzes müssen VS-NfD-Daten mit einem vom BSI dafür zugelassenen Produkt verschlüsselt werden

IT-Grundschutz fordert

  • Die Unterteilung des internen Netzes (VS-NfD-Zone) in logische Segmente - aber
    1. das kann auch der Paketfilter übernehmen, der am Application Level Gateway hängt.
    2. sinnvoller ist es jedoch für die interne Segmentierung einen weiteren Paketfilter ZUSÄTZLICH für die Segmentierung zu nutzen (eigenes Regelwerk für interne Segmentierung und NICHT für Perimeter-Übergang)

Der Infrastrukturplan für ein sicheres Netzwerk

Drei physische Zonen

  • Corporate Network / Internet
  • DMZ
  • Internes Netz / VS-NfD-Zone
     

Internes Netz segmentiert, mindestens

  • Clients
  • Serversegmente
  • Drucker
  • Managementnetz

VPN nicht an ALG, sondern am internem Paketfilter, d. h.

  • genuscreen (VPN) am externen Perimeter terminiert am PFL der genugate am internen Perimeter

Wann ist der Einsatz einer P-A-P-Struktur erforderlich?

  • Eine P-A-P-Struktur ist immer dann erforderlich, wenn das Netz, in dem der Kunde VS-NfD Daten bearbeitet (das für VS-NfD freigebene Netz) einen Übergang zu einem Nicht-VS-NfD-Netz hat.
  • Mit der P-A-P-Struktur ist es für den Kunden möglich, aus dem VS-NfD-Netz heraus auf Systeme in einem anderen, nicht für VS-NfD freigegebenen Netz zuzugreifen. Dies kann z. B. das Firmennetz oder das Internet sein.
  • Eine P-A-P-Struktur schafft den Übergang von einer VS-NfD-Zone in eine unsichere Zone. Dient eine unsichere Zone (Firmennetz, Internet) ausschließlich dem zugelassen verschlüsselten Transport von VS-NfD-Daten (IPSec-Tunnel), so ist das kein Übergang. 

Welche Vorgaben erfordern den Einsatz einer P-A-P-Struktur?

Geheimschutzbetreute Industrie

VS-NfD-Merkblatt 2023

  • Neufassung vom August 2023 präzisiert und verschärft die Vorgaben: auf Basis der Anlage 4 müssen sich Unternehmen im Geheimschutz-Sektor bis zum 01.09.2025 selbst akkreditieren.
  • fordert für alle für VS-NfD-freigegebenen Netzsegmente, die nicht abgeschottet betrieben werden, eine Umsetzung gemäß IT-Grundschutz
  • Einsatz einer P-A-P-Firewall-Struktur ist gemäß Anforderung aus dem IT-Grundschutz Pflicht

Im Teil 3, Absatz 1.1 "Allgemeines" wird gefordert:

  • "... geeignete technische sowie organisatorische Maßnahmen zu treffen und deren Einhaltung regelmäßig zu kontrollieren. Zu den geeigneten technischen Maßnahmen zählen unter anderem IT-Sicherheitsprodukte, die über eine Zulassungsaussage (Zulassung oder Einsatzerlaubnis) des BSI verfügen ..."
  • Der Einsatz einer zugelassenen Firewall (Paketfilter, ALG oder beiden) wid als "geeignete technische Maßnahme" empfohlen, aber nicht zwingend vorgeschrieben (im Gegensatz zur VSA bei Behörden!)

IT-Grundschutz

  • empfiehlt für erhöhten Schutzbedarf den Einsatz einer Firewall mit Zertifizierung nach CC EAL 4 oder höher (nicht verpflichtend!)

 

Grundschutzkompendium

  • VS-NfD-Merkblatt Teil 3, Absatz 2.2.:
    "... Trennung des VS-NfD-Netzsegments von anderen Netzwerksegmenten beispielsweise durch ein mehrstufiges Firewall System entsprechend der PAP-Struktur nach IT-Grundschutz des BSI ..."
  • Baustein NET.3.2 Firewall, Anforderung A31 (hoher Schutzbedarf): 
    "Firewalls mit einer Sicheheitsevaluierung nach Common Criteria SOLLTEN eingesetzt werden, mindestens mit der Stufe EAL4"
    → geeignete Maßnahme zur Risikoreduktion
    ABER
    nicht verpflichtend, wenn eine Risikoanalyse vorliegt und diese keine zertifizierten Produkte fordert.

 

NIS2-Richtlinie der EU

fordert technische und organisatorische Maßnahmen (TOMs) zur Minimierung von Cyberrisiken → eine von der nationalen Sicherheitsbehörde BSI zertifizierte und zugelassene P-A-P-Firewall-Struktur ist eine geeignete und dem technischen Stand entsprechende Maßnahme

Fazit

Die Umsetzung von IT-Grundschutz ist verpflichtend.

Der Einsatz einer zugelassenen oder zertifizierten Firewall ist weder nach VS-NfD Merkblatt noch nach IT-Grundschutz verpflichtend, aber

  • das VS-NfD Merkblatt empfiehlt eine vom BSI für VS-NfD zugelassene Firewall (PAP-Struktur) als geeignete technische Maßnahme
  • der Grundschutz empfiehlt bei hohem Schutzbedarf den Einsatz einer CC EAL4 zertifizierten Firewall als geeignete Maßnahme zur Risikoreduktion.

Das Risiko beim Einsatz einer nicht zugelassenen/nicht zertifizierten Firewall trägt die Unternehmensleitung!

Behörden

VSA Bund (Verschlusssachenanweisung des Bundes)

  • "Verwaltungsvorschrift zum materiellen Geheimschutz"
  • verpflichtend für Bundesbehörden und "bundesunmittelbare öffentlich-rechtliche Einrichtungen"
  • Herausgeber: BMI
  • Aktuelle Version: VSA 2023

Anforderungen an Behördennetze (verpflichtend!)

  • Einsatz von durch das BSI zugelassenen Geräten
  • Umsetzung des IT-Grundschutz
    • ISMS gemäß BSI-Standard 200-1 und Baustein ISMS.1 Sicherheitsmanagement
    • Sichereheitskonzept gemäß BSI-Standard 200-2
      • Geltungsbereich
      • Strukturanalyse
      • Schutzbedarfsfeststellung
      • Modellierung
      • Grundschutzcheck
      • Risikoanalyse
      • Umsetzungsplan 

Sicherheitskonzept

Die (dokumentierte) Ermittlung, Planung und Umsetzung aller Maßnahmen, die für die Aufrechterhaltung und Verbesserung des für die Organisation adäquaten Sicherheitsniveaus notwendig sind, d. h.

  • Leitlinie, Richtlinien, spezifische Richtlinien
  • Risikomanagementprozess
  • Strukturanalyse und Asset-Inventory
  • Dokumentation der umgesetzten Sicherheitsmaßnahmen
  • Risikoanalysen
  • Umsetzungsplan der noch nicht umgesetzten Maßnahmen

Produkttypen für VS-NfD

  • Übertragungsverschlüsselung Layer 1
  • Übertragungsverschlüsselung Layer 2
  • Festplattenverschlüsselung
  • Sicherer mobiler Datenträger
  • Funkgeräte
  • E-Mail und Dateiaustauschverschlüsselung
  • Sichere mobile Lösung
  • Sicherer Messenger
  • E-Mail-Verschlüsselung
Fazit

Die Umsetzung von IT-Grundschutz ist verpflichtend.

Der Einsatz einer zugelassenen oder zertifizierten Firewall ist für Behörden verpflichtend.

Erforderliche Komponenten von genua

Die High Resistant Firewall genugate kombiniert Paketfilter und Application Level Gateway. Zugelassen für VS-NfD, NATO RESTRICTED und RESTREINT UE/EU RESTRICTED. Zertifiziert nach Common Criteria EAL 4+.

Die VPN-Appliance genuscreen nutzt einen Stateful Packet Filter. Zugelassen für VS-NfD, NATO RESTRICTED und RESTREINT UE/EU RESTRICTED. Zertifiziert nach Common Criteria EAL 4+.

Infomaterial zum Download

Lassen Sie sich jetzt beraten!

genua unterstützt Sie mit maßgeschneiderten IT-Sicherheitslösungen für den Einsatz im VS-NfD-Bereich. Kontaktieren Sie uns für eine individuelle Beratung!

*
*
*
*

Weitere Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie in unseren Datenschutzhinweisen.