Case Study
Klüber Lubrication setzt auf zweistufige Firewall
Zuverlässiger Schutz von Geschäftsdaten durch abgesicherte Informationstechnologie
Ob Fensterheber, Lager in Windkraftanlagen oder Tablettenpressen: Wenn es darum geht, dass Bauteile und Anlagen zuverlässig funktionieren, ist Klüber Lubrication gefragt. Mit leistungsstarken Spezialschmierstoffen und vielfältigem Service bietet das Unternehmen seinen Kunden aus nahezu allen Industriebereichen Lösungen, um selbst an extrem belasteten Stellen die Reibung zu minimieren. Der führende Hersteller von Spezialschmierstoffen mit rund 1.800 Mitarbeitern gehört zur Freudenberg Gruppe, Weinheim. Aktivitäten an Standorten in über 30 Ländern und mit Geschäftspartnern in aller Welt erfordern die ständige Datenkommunikation. Diese Kommunikationswege müssen zuverlässig funktionieren und einfach zu administrieren sein. Wichtig ist dabei die IT-Sicherheit: Die Geschäftsdaten müssen vor unbefugten Zugriffen oder Verlust unbedingt geschützt werden. Klüber Lubrication setzt hier auf zentrale Hubs, die mit der High Resistance Firewall genugate, einem zweistufigen System, gesicherte Internetzugänge anbieten. Ein Virtual Private Network (VPN) ermöglicht zwischen den weltweit verteilten Standorten und mit den Geschäftspartnern verschlüsselten Datentransfer.
Zahlreiche Niederlassungen auf allen Kontinenten, direkte Anbindungen zu anderen Konzernteilen und vielen Geschäftspartnern – die Administration der IT beim Schmierstoff-Spezialisten Klüber Lubrication ist eine Herausforderung. Wie können zuverlässig funktionierende Datenverbindungen zu den Teilnehmern erzeugt, dabei ein hohes Sicherheitsniveau erreicht und der Aufwand für die Administration zudem noch gering gehalten werden? Klüber Lubrication geht diesen Lösungsweg:
- Konzentration zentraler Dienste wie Web- und E-Mailserver, Internet Access und Kundenportale an fünf Hub-Standorten
- Anbindung der Teilnehmer weltweit an ein VPN zur verschlüsselten Datenübertragung via Internet
- unternehmensweiter Einsatz einheitlicher IT-Sicherheitslösungen mit zentraler Administration durch den Kundenservice des Herstellers
„Durch die zentrale Bereitstellung vieler Dienste sparen wir viel Infrastruktur und Administrationsaufwand an den kleineren Standorten. An den zentralen Hubs haben wir dann alle Verbindungen im Blick und können unsere IT Security Policies konsequent durchsetzen“, erläutert Florian Fröhler, Corporate Network Administrator bei Klüber Lubrication. In den Hubs sind leistungsstarke Verbindungen zum Internet installiert sowie Server für zentrale Dienste wie Websites, Kundenportale und E-Mail. Untereinander sind die Hubs mit einem VPN zur verschlüsselten Datenübertragung via Internet verbunden. An das jeweils nächstgelegene Hub werden die kleineren Niederlassungen in der Region per VPN angebunden und können so über stark verschlüsselte Verbindungen die zentralen Dienste nutzen und unternehmensweit Daten austauschen.
Hochwertige IT-Sicherheit durch zweistufige Firewalls
An den Übergängen zum Internet müssen unbefugte Zugriffe, Spam, Viren und sonstiger Schadcode zuverlässig abgeblockt werden. An dieser Stelle setzt Klüber Lubrication Firewalls des Typs genugate ein. Bei dieser Lösung des deutschen Herstelles genua sind zwei unterschiedliche Firewalls – ein Application Level Gateway und ein Paketfilter – zu einem mehrstufigen System kombiniert. Die Firewalls laufen auf separater Hardware, sind aber in Reihe geschaltet.
Durch die zweistufige Konstruktion lassen sich ohne weiteres Equipment separate Sicherheitszonen bilden: Server, die Dienste im Internet anbieten wie Websites, Kundenportale oder Einwahlknoten für mobile Anwender, kommen in die sogenannte Demilitarisierte Zone (DMZ). Diese wird zwischen beiden Firewalls eingerichtet, zum Internet ist das Application Level Gateway vorgeschaltet, zum LAN von Klüber Lubrication der Paketfilter. Das LAN ist dagegen zusätzlich durch den Paketfilter von der DMZ getrennt. Daten auf dem Weg vom Internet zum LAN müssen also beide Firewalls passieren.
Zuerst gelangen die Datenpakete zum Application Level Gateway. Dies ist das aufwendigere der beiden Firewall-Systeme und überprüft den Inhalt des Datenstroms. Dazu stoppt es zunächst die eintreffenden Pakete und setzt sie zu Datensätzen zusammen. Denn nur anhand kompletter Datensätze kann der Inhalt überprüft werden. Jetzt analysieren spezielle Prüfprogramme sowie zusätzlich ein Virenscanner den Inhalt der empfangenen Daten. Unerwünschter und auch gefährlicher Code wie aktive Inhalte, Viren und Spam können so zuverlässig identifiziert, abgeblockt oder gekennzeichnet werden.
Ist die Inhaltsprüfung bestanden, erreichen Datenpakete in Richtung LAN den Paketfilter. Dieser prüft die formalen Informationen im Paket-Header. Nur wenn die Verbindung gemäß den konfigurierten Regeln erlaubt ist, werden die Daten an den Empfänger im LAN weitergeleitet. Die Kontrollmechanismen der beiden Firewalls arbeiten somit auf unterschiedlichen Ebenen und ergänzen sich. Ein weiterer Vorteil der Zweistufigkeit: Sollte mal eine Firewall ausfallen oder gar von einem Angreifer ausgehebelt werden, sichert immer noch das zweite System die Schnittstelle. Und da es sich dabei um ein anderes Firewall-System handelt, hilft dem Angreifer hier auch nicht sein Wissen aus dem ersten Hack. „Durch die Mehrstufigkeit und vor allem das Application Level Gateway mit seinen zahlreichen Filterfunktionen erreichen wir an der kritischen Schnittstelle zum Internet ein hohes Sicherheitsniveau“, erklärt Florian Fröhler.
Qualitätssiegel: BSI-Zertifikat nach CC EAL 4+
Dass diese abgestimmte Kombination von zwei Firewall-Systemen hochwertige IT-Sicherheit bietet, wird von unabhängiger Seite bestätigt: Die Firewall genugate ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem internationalen Standard Common Criteria (CC) in der Stufe EAL 4+ zertifiziert. Dieses Sicherheitszertifikat ist das Ergebnis einer unabhängigen Qualitätskontrolle, die beim Level EAL 4 ein ausführliches Testprogramm sowie die Überprüfung des Quellcodes einschließt.
Angesichts des erheblichen Aufwands ist EAL 4 die höchste Zertifizierungsstufe, die komplett auf komplexe Systeme wie Firewalls anwendbar ist. Da genugate aber beim Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten und unter günstigen Bedingungen geschickt ausgeführten Angriffen wird stärkster Widerstand entgegengesetzt –, hat das BSI den Zusatz „Highly Resistant“ vergeben. genugate ist die einzige Highly Resistant Firewall der Welt.
An einzelnen Standorten sind jeweils zwei genugates als Cluster installiert: Hier teilen sich die Firewalls die Arbeit und beobachten dabei stets den Partner, um bei einem Ausfall sofort dessen Aufgaben zu übernehmen. So wird sichergestellt, dass die Verbindung zum Internet jederzeit verfügbar ist.
VPN ist nicht zu knacken
Das VPN für den sicheren Datenaustausch zwischen den Unternehmensstandorten wird mit Appliances des Typs genucrypt aufgebaut. Diese VPN-Appliances sind ebenfalls Lösungen des IT-Sicherheitsunternehmens genua und werden an den Hubs sowie den weiteren Niederlassungen installiert. Mit dem AES-Verfahren und Keys von 256 Bit erzeugen diese zwischen den Teilnehmern verschlüsselte Verbindungen via Internet, die mit heutigen Methoden nicht zu knacken sind. So können sensible Daten sicher und kostengünstig übertragen werden. Da die kompakte Appliance zudem ohne Lüfter und Festplatte auskommt, ist die Hardware wartungsfrei und kann auch an Standorten eingesetzt werden, an denen keine technische Betreuung geleistet wird.
Administriert werden die weltweit verteilten VPN-Appliances über die Central Management Station genucenter. Das Management-System von genua zeigt in übersichtlichen Darstellungen den Status aller Appliances, und Änderungen oder Updates können mittels Gruppierungsfunktionen gleichzeitig auf beliebig viele Systeme übertragen werden. Auch neue Appliances lassen sich mit wenigen Klicks in den VPN-Verbund hinzufügen und mit bewährten Konfigurationen ausstatten.
Routineaufgaben, wie z. B. Logfiles auswerten oder neue User anlegen, erledigen die Administratoren von Klüber Lubrication, umfangreichere Aufgaben übernimmt dagegen der Kundenservice des Herstellers. Dieser Service kommt bereits auf der ersten Support-Stufe direkt von genua und nicht von einem anderen Dienstleister – wie es in der IT-Branche häufig üblich ist. Die Support-Spezialisten des Herstellers haben die Sicherheitssysteme bei Klüber Lubrication über ein Monitoring–Tool ständig im Blick und können via VPN auf das Central Management System zugreifen, um Administrationsaufgaben oder auch Störungen zu bearbeiten. Bereits seit 1999 arbeitet Klüber Lubrication mit genua zusammen, das Fazit von Florian Fröhler: „Die Lösungen bieten eine starke Sicherheitsleistung und der Kunden-Service nimmt uns viele Aufgaben ab und löst auftretende Probleme sehr schnell. Mithilfe von genua erreichen wir ein hohes Sicherheitsniveau.“