Das „Merkel-VPN“

Anforderungen an Virtual Private Networks mit VS-NfD-Zulassung

| Autor / Redakteur: Jürgen Hönig, NCP / Susanne Ehneß

Handelsübliche Virtual-Private-Network-Lösungen sind nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik erhalten haben.
Handelsübliche Virtual-Private-Network-Lösungen sind nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik erhalten haben. (Quelle: © Marco2811 - Fotolia)

Geschützte und abhörsichere Zugänge ins Behördennetz sind wichtiger Bestandteil der Behörden­kommunikation. Jede technische Lösung zum Schutz von Kommunikationsdaten für den Behördeneinsatz muss mindestens die unterste Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS–NfD) erfüllen.

Wer hätte das gedacht? Amerikanische Spione schnüffeln deutsche Regierungsstellen aus. Doch auch wenn das Thema Sicherheit ­gerade besonders aktuell ist: Geschützte und abhörsichere Zugänge ins Behördennetz sind schon lange ein wichtiger Bestandteil der Behördenkommunikation. An einen Netzzugang, bei dem Integrität und Vertraulichkeit der Informationen garantiert sind, stellen Behörden ­mindestens die gleichen, wenn nicht noch höhere Anforderungen als ­Unternehmen der Privatwirtschaft.

Die Verfahrensvorschriften für den staatlichen Bereich und die private Wirtschaft, die darauf abzielen, Geheimnisse vor allgemeiner Kenntnisnahme zu sichern, sind im Handbuch für den Geheimschutz festgelegt. ­Unterteilt wird er in vier Stufen. Oberhalb von VS-NfD sind „VS-Vertraulich“, „Geheim“ und „Streng Geheim“ angesiedelt. Schon die grundlegende unterste Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS–NfD) fordert stringente Schutzfunktionen der Hardware und besonnenen Umgang damit durch die Anwender.

VS-NfD als Einstiegsstufe

Im täglichen Büroalltag lassen sich naturgemäß die meisten Daten in die niedrigste Stufe VS-NfD einordnen. Jede technische Lösung zum Schutz von Kommunikationsdaten für den Behördeneinsatz muss also zumindest diese Anforderungen erfüllen. Handelsübliche Virtual-Private-Network-Lösungen sind dafür nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten haben.

In Deutschland bieten mehrere Firmen solche Lösungen an, darunter ist auch die „Secure VPN GovNet Box“ von NCP aus Nürnberg. Der ­Zulassung gehen intensive Prüfungen voraus, nach bestandenen Tests werden die IT-Sicherheitsprodukte in die BSI-Schrift 7164 „Liste der zugelassenen IT-Sicherheitsprodukte und -Systeme“ aufgenommen. Diese Liste ist selbst VS-NfD-eingestuft und wird halbjährlich aktualisiert. Sie kann von Behörden und Firmen, die sich in der Geheimschutzbetreuung des Bundesministeriums für Wirtschaft befinden, angefordert werden.

Prüfungen

Ganz allgemein betrachtet konzentrieren sich die Prüfungen auf zwei Themen. Ein Kernbereich sind die Zertifikatsschlüssel: Sie müssen zuverlässig geschützt werden und ­sicher verwahrt sein. Dafür sind meist Hardware-Security-Module wie Smartcards zuständig. Der andere Schwerpunkt ist die Verschlüsselung selbst, sie darf sich mit vernünftigem Aufwand nicht aufheben lassen. ­Darum kommen zur Verschlüsselung Algorithmen wie AES (Advanced ­Encryption Standard), digitale Signaturen auf Basis von elliptischen Kurven (ECDSA) und ein sicherer Pseudozufallszahlengenerator (Pseudo Random Number Generator – PRNG) zum Einsatz. Um die hohen Sicherheitsanforderungen eines Kryptosystems zu erfüllen, werden PRNG oft mit echten Zufallszahlen kombiniert. Dabei erzeugt ein physikalischer Prozess eine echte Zufallszahl, die als Startwert für den PRNG dient.

Die Aufgabe besteht zunächst ­darin, ein Client-System (Laptop) mit dem VPN-Gateway des Behörden­netzes sicher zu verbinden. Letzteres muss ebenfalls den Sicherheitsanforderungen von VS-NfD entsprechen und zudem eine sehr hohe Verfügbarkeit aufweisen. Wenn sich die Mitarbeiter nur über dieses besonders gesicherte VPN-Gateway einwählen und verbinden können, muss es auch zu jeder Zeit betriebsbereit sein. Redundanz sollte daher sowohl beim Gateway selbst als auch bei der Netzanbindung über den Provider gewährleistet sein. Mehrere Standorte können die Situation vereinfachen – ist ein Gateway außer Betrieb, übernimmt ein anderes Rechenzentrum des Unternehmens die Abwicklung. Das setzt aber voraus, dass die Benutzerinformationen für die Anmeldung sicher zwischen den Standorten repliziert werden und dass die VPN-Gateways in der Lage sind, den Ausfall eines entfernten Systems zu erkennen und dessen Verbindungsanfragen entgegenzunehmen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42860237 / Kommunikation)