Case Study
EUROGATE setzt auf genugate
Größter Containerterminal-Betreiber Europas sichert IT und Datenkommunikation mit einem hochverfügbaren Firewall Cluster.
Der globale Handel hat eine universelle Verpackung: den Container. Ob Textilien, Fernseher, Rohstahl, gekühltes Obst oder Benzin – alles findet Platz in den genormten Boxen. Die meisten davon reisen auf Containerschiffen rund um die Welt, und es werden immer mehr. Im Gleichschritt mit dem Containerverkehr wächst sowohl die Anzahl als auch die Größe der Schiffe. Auf den neuesten Containerschiffen stapeln sich bis zu 15.500 TEUs (Twenty-foot Equivalent Units, Standard-Container).
Im Zielhafen spielt der Container seinen großen Vorteil aus: Statt die Waren umständlich einzeln umzuladen, wird die gesamte Box für den anschließenden Transport einfach auf die Bahn oder einen Lkw umgesetzt. An dieser Schnittstelle ist gute Koordination gefordert. Computer berechnen den optimalen Ablauf, damit alle Container schnell an der richtigen Stelle landen, und die Kunden werden stets über den Status ihrer Lieferung informiert. Hier muss der Datenaustausch stets funktionieren, da Ausfälle zu längeren Schiffsliege- und Transportzeiten und damit hohen Kosten führen.
Der größte europäische Containerterminal-Betreiber EUROGATE setzt zur hochverfügbaren Absicherung seiner Datenverbindungen an der Schnittstelle LAN – Internet ein Cluster mit der High Resistance Firewall genugate, einem zweistufigen Systemen, ein.
EUROGATE betreibt mit 6.600 Beschäftigten insgesamt neun Containerterminals in Europa, der größte ist Bremerhaven, der wachstumsstärkste Hamburg. Sobald hier ein Schiff anlegt, beginnen die großen Containerbrücken ihr Werk: Emsig fahren sie hin und her, ent- und beladen innerhalb kürzester Zeit die großen Schiffe.
Ermöglicht wird das hohe Tempo durch perfekte Koordination. Software-Programme berechnen alle Abläufe und erstellen den optimalen Beladungsplan. So steht kein Container plötzlich im Weg oder muss mehrmals umgesetzt werden.
Koordination erfordert ständigen Datenaustausch
Für diese Koordination der Abläufe müssen ständig Daten ausgetauscht werden: Reeder schicken per E-Mail Informationen über ihre Schiffsladungen, Container-Anlieferungen und den weiteren Abtransport. Der Terminalbetreiber bietet wiederum über das sogenannte Infogate umfassende Informationen über den Status der Schiffsentladungen, damit die Kunden jederzeit wissen, wo sich jeder einzelne ihrer Container gerade befindet. Darüber hinaus steht EUROGATE ständig mit zahlreichen Partnern via Datenleitung in Kontakt, die weitere Logistikdienstleistungen oder Wartungsarbeiten erbringen. Sollte dieser Informationsfluss einmal abreißen, würde die Arbeit auf den langen Kais innerhalb kurzer Zeit ruhen – und EUROGATE würden somit erhebliche Kosten entstehen.
„Damit bspw. ein Container aus Peking zum vereinbarten Termin beim richtigen Empfänger in Berlin ankommt, müssen ganz viele Räder exakt ineinandergreifen. Für dieses logistische Meisterwerk ist der zuverlässige Datenaustausch mit allen Beteiligten unbedingt erforderlich, IT- und Ausfallsicherheit haben deshalb bei uns höchste Priorität“, erläutert Stephan Krause, IT-Administrator bei EUROGATE in Hamburg. Bei dieser Aufgabe wird der Terminalbetreiber vom Hamburger IT-Beratungs- und Dienstleistungsunternehmen secion GmbH unterstützt.
Kritischer Punkt: Schnittstelle zum Internet muss gesichert werden
Entscheidend für eine zuverlässige Datenkommunikation ist die Absicherung des Übergangs zwischen dem lokalen Netz von EUROGATE und dem Internet. Hier empfahlen die IT-Spezialisten von secion den Einsatz von zwei Firewalls des Typs genugate, die zu einem Cluster verbunden sind. „Bei diesen Anforderungen ist die Firewall genugate die passende Lösung. Das System kann in einem Cluster hochverfügbar eingesetzt werden und bietet durch die Zweistufigkeit eine Sicherheitsleistung, die vom Bundesamt für Sicherheit in der Informationstechnik geprüft und auf einem einzigartig hohen Level zertifiziert ist“, so Hellmuth Michaelis, Geschäftsführer von secion.
genugate ist eine Sicherheitslösung des deutschen Firewall-Herstellers genua aus Kirchheim bei München. Die Möglichkeit, genugates in Clustern zusammenzufassen, ist ein wichtiges Merkmal: Die Systeme in den Clustern teilen sich die Aufgaben und überwachen sich gegenseitig. Sollte ein System ausfallen, übernimmt das andere kurzfristig die gesamte Last. So bilden die Firewalls einen leistungsstarken und hochverfügbaren Schutzriegel zwischen dem Internet und dem Firmennetz.
Sicher: Demilitarisierte Zone für Online-Dienste
Zusätzlich unterteilen die Firewalls den internen Bereich von EUROGATE in zwei separate Netze, die Demilitarisierte Zone (DMZ) und das eigentliche Local Area Network (LAN). In der DMZ stehen die Systeme, auf die sowohl von außen aus dem Internet als auch aus dem LAN zugegriffen werden kann, z. B. das Infomationssystem Infogate. Das LAN mit den Clients ist dagegen noch stärker abgeschottet. Hier sind – abgesehen von gezielt zugelassenen Verbindungen – keine Zugriffe von außen möglich. „Die neutrale Pufferzone zwischen Internet und LAN ist eine intelligente Lösung“, betont Stephan Krause: „So können wir unseren Kunden und Partnern nach außen komfortable Online-Dienste anbieten, ohne die Sicherheit unseres Firmennetzes zu gefährden.“
Die beiden internen Sicherheitszonen können problemlos eingerichtet werden, da genugate zwei Firewall-Systeme in einer Lösung bietet: ein Application Level Gateway und einen Paketfilter. Beide Systeme sind unterschiedliche Firewall-Typen und laufen auf physisch getrennten Rechnern. So wird die DMZ vom Internet durch das Application Level Gateway abgeschirmt, während das LAN zweistufigen Schutz durch den zusätzlich vorgeschalteten Paketfilter genießt.
Starker Schutz: Zwei Firewall-Systeme in einer Lösung
Daten aus dem Internet müssen also zwei Firewall-Systeme passieren, um ins LAN von EUROGATE zu gelangen. Aber bereits am ersten Kontrollpunkt ist ihr Weg zu Ende: Das Application Level Gateway stoppt die Datenpakete – eine durchgehende Verbindung lässt es niemals zu. Das System schaut in die Pakete hinein, analysiert die Inhalte und blockt schädliche Daten wie Viren oder aktiven Web Content.
Nach der sorgfältigen inhaltlichen Prüfung durch das Application Level Gateway gelangen die Daten zum zweiten Firewall-System, dem Paketfilter, unmittelbar vor dem LAN. Der Paketfilter ist noch restriktiver ausgelegt. Er lässt generell nur Datenpakete passieren, die zuvor aus dem LAN angefordert wurden. Dazu werden die Datenpakete auf der Netzwerk- und Transportebene anhand der Header-Informationen kontrolliert. Für andere Verbindungen von außen müssen gezielt einzelne Ports freigeschaltet werden.
Greylisting trickst Spammer aus
Gegen lästigen Spam bietet genugate zudem mit Greylisting ein effizientes Verfahren. Greylistig basiert auf einem einfachen Trick: Bei jeder eingehenden E-Mail werden die drei Informationen IP-Adresse des sendenden Mails-Servers, Absender- sowie Empfängeradresse abgefragt. Wenn diese Dreier-Kombination zum ersten Mal vorkommt, wird die E-Mail abgewiesen, das neue Triple jedoch gespeichert. Seriöse Mail-Server unternehmen in diesem Fall nach kurzer Zeit einen zweiten Zustellversuch. Jetzt ist die Dreier-Kombination bereits bekannt, die Post wird zum Empfänger durchgelassen. Spammer setzen dagegen auf Masse innerhalb möglichst kurzer Zeit und halten sich nicht mit wiederholten Zustellungen auf. Deshalb scheitern sie am Greylisting. „Rund 30.000 E-Mails bekommen wir täglich zugestellt, durch das Greylisting werden aber nur 5.000 angenommen. Das lästige Spam-Problem ist somit entschärft“, sagt Stephan Krause.
EUROGATE setzt zwei genugates in einem Cluster ein, die regelmäßig mit Software-Updates vom Hersteller genua an neue Gefahren angepasst werden. Stephan Krause resümiert: „genugate mit zwei aufeinander abgestimmten Firewalls, deren Kontrollmechanismen sich auf unterschiedlichen Ebenen ergänzen, bietet zuverlässigen Schutz für unser Netzwerk. Obwohl wir mit dem wachsenden Erfolg von EUROGATE immer mehr Angriffsversuche registrieren, hat die Lösung noch nie Sicherheitsprobleme zugelassen.“
Firewall genugate ist auf hohem Niveau zertifiziert
Diese Einschätzung bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es hat die zweistufige Lösung nach dem internationalen Standard Common Criteria (CC) in der Stufe EAL 4+ zertifiziert. Dies ist die höchste Stufe, die komplett auf ein komplexes Sicherheitssystem wie eine Firewall anwendbar ist. genugate erfüllt jedoch beim wichtigen Sicherheitsmerkmal „Selbstschutz gegen direkte Angriffe“ noch höhere Anforderungen – die Leistung entspricht hier den Anforderungen von Level EAL 6. Dies ist ein entscheidender Punkt: Eine Firewall muss selbst gegen alle Angriffe und Manipulationsversuche gewappnet sein, damit sie das anvertraute Netzwerk zuverlässig sichern kann. Aufgrund dieser Leistung ist die Firewall zusätzlich als „Highly Resistant“ eingestuft – als einzige Firewall weltweit.