Case Study
Bundesbehörden vernetzt – Informationsverbund Berlin-Bonn (IVBB)
Alle obersten deutschen Bundesbehörden sind für den schnellen und sicheren Datenaustausch untereinander vernetzt – über den Informationsverbund Berlin-Bonn (IVBB). An den Übergängen von diesem internen Netz zum Internet gelten hohe Leistungs- und Sicherheitsanforderungen, die mit Firewall-Clustern von genua erfüllt werden.
Als die deutsche Bundesregierung ihren Sitz nach Berlin verlegte, blieben viele Dienststellen der Ministerien in der vormaligen Hauptstadt Bonn zurück. Um den reibungslosen und schnellen Informationsaustausch zwischen beiden Standorten sicherzustellen, richtete die Bundesregierung ein exklusives Netzwerk ein: den Informationsverbund Berlin-Bonn (IVBB). An diese interne Datenautobahn sind alle Dienststellen der obersten Bundesbehörden angebunden – vom Präsidialamt über das Kanzleramt und alle Ministerien bis hin zum Rechnungshof.
Hohe Anforderungen an die Firewalls
Der IVBB ist zudem über zentrale Knotenpunkte an das Internet angeschlossen und bietet allen Behörden somit Zugang zum weltweiten Web. Für diese Übergänge vom internen Behördennetz zum öffentlichen Internet gelten hohe Sicherheits- und Leistungsanforderungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte für die dort einzusetzenden Firewalls folgenden Forderungskatalog auf:
- hochwertige Zertifizierung der Sicherheitsleistung nach den internationalen Standards ITSEC oder Common Criteria (CC)
- garantierte Verfügbarkeit des Systems von 99,93 Prozent
- hoher Datendurchsatz zur schnellen Internet-Anbindung aller obersten Bundesbehörden
- Cluster-Fähigkeit zur flexiblen Anpassung an höhere Leistungsanforderungen
Lediglich zwei Anbieter konnten die hohen Anforderungen abdecken und wurden zu Praxisvorführungen im Labor zugelassen. In dieser Endauswahl setzte sich der Firewall-Hersteller genua durch.
Zwei Firewalls in einer Lösung
Die Lösung des deutschen IT-Sicherheitsunternehmens: Die High Resistance Firewall genugate. Bei diesem Sicherheitssystem sind zwei unterschiedliche Firewalls – ein Application Level Gateway und ein Paketfilter – zu einer kompakten Lösung kombiniert. Die beiden Firewalls sind in Reihe geschaltet, sodass alle Datenpakete zwei unterschiedliche Prüfungen bestehen müssen, bevor sie die Schnittstelle Internet – IVBB passieren dürfen. Das Application Level Gateway prüft den Inhalt der empfangenen Daten und kann Spam, Viren und weiteren unerwünschten Content zuverlässig abblocken. Der Paketfilter kontrolliert anschließend anhand formaler Kriterien wie IP-Adresse und Protokolltyp, ob die angefragte Verbindung zulässig ist.
Dass diese zweistufige Konstruktion eine starke Sicherheitsleistung garantiert, belegen hochwertige Zertifikate nach ITSEC E3/hoch für genugate in den Versionen 4.0 und 5.0 sowie nach CC EAL 4+ für 6.0. Da beim Sicherheitsmerkmal Selbstschutz noch höhere Anforderungen erfüllt werden, ist genugate zusätzlich als Highly Resistant eingestuft – als einzige Firewall der Welt.
Teamarbeit in Clustern
Die anspruchsvollen Anforderungen bei Verfügbarkeit und Datendurchsatz erfüllt genugate durch Teamarbeit: Alle Aufgaben sind auf mehrere Firewalls verteilt, die in Clustern zusammenarbeiten. Sollte ein System ausfallen, übernehmen die anderen Teammitglieder sofort dessen Aufgaben. Diese Cluster können beliebig erweitert und somit jederzeit an höhere Leistungsanforderungen angepasst werden.