Das „Merkel-VPN“

Anforderungen an Virtual Private Networks mit VS-NfD-Zulassung

| Autor / Redakteur: Jürgen Hönig, NCP / Susanne Ehneß

Strategien zur Umsetzung VS-NfD-konformer VPNs

Die „NCP Secure GovNet Box“ verbindet sicher ein Client-System (Laptop) mit dem VPN-Gateway des Behördennetzes
Die „NCP Secure GovNet Box“ verbindet sicher ein Client-System (Laptop) mit dem VPN-Gateway des Behördennetzes (Foto: NCP Secure)

Der Datentunnel kann die Informationen nur schützen, wenn der Anwender die Informationen auch darüber überträgt, der Tunnel muss unumgehbar sein. Doch eine bestimmte Netzverbindung zwingend vorzuschrieben und technisch durchzusetzen ist umso schwieriger, je mehr Variablen bei Hard- und Software des Client-Endgeräts erlaubt sind. Ein Weg ist also, Hard- und Software rigoros festzulegen und keine Abweichungen zu erlauben. Die Alternative, wenn die Umgebung nicht kontrolliert werden kann oder soll, benötigt die die Mithilfe des Betriebssystems und einen sicheren externen Schlüsselspeicher.

Aktuell sind beide Varianten von VS-NfD-zugelassenen VPN-Tunneln verfügbar. Die restriktive Umgebung wird über eine vorgegebene Hardware und ein angepasstes, gehärtetes Betriebssystem – einen Micro-Kernel – realisiert. Innerhalb des ­Micro-Kernels sind nur die ebenfalls gehärteten Treiber enthalten, die sich in dieser Hardware befinden. Auf dem Micro-Kernel läuft ein Hypervisor, der andere Betriebssysteme als virtuelle Gäste verwaltet. Der Hyper­visor „besitzt“ die Hardware, auch die Kommunikationsschnittstellen. Er stellt also sicher, dass ein Gast­betriebssystem, das VS-NfD-Daten verarbeitet, nur den gesicherten VPN-Tunnel zur Kommunikation benutzen darf. Andere Gäste könnten theoretisch auch für direkte Kommunikation mit dem Internet freigeschaltet werden, wenn das gewünscht ist.

Sicherheit durch externe Hardware

Die zweite Variante zur VS-NfD-zugelassenen Kommunikation lässt den Anwendern praktisch freie Hand bei der Hardwareauswahl. Sie wird als externe Hardware realisiert, Smartcard und Kryptofunktionen sind innerhalb der Hardware untergebracht. Egal ob Windows oder Mac OS X, Smartphone oder Notebook, die Lösung kann grundsätzlich mit sehr vielen Hardware- und Betriebssystemkombinationen zusammenarbeiten. Die im September 2013 vom BSI für VS-NfD zugelassene NCP ­GovNet Box nutzt diesen Ansatz. Sie besteht aus einem flachen Kästchen mit kapazitiver Tastatur, Smartcard-Reader und einer USB-Verbindung zum zu schützenden Endgerät.

Der Anwender muss zwar ein zusätzliches Stück Hardware mit sich führen, gewinnt aber dafür weitere Schutzmöglichkeiten. Durch die ­kapazitive Tastatur in der Gehäuse­oberfläche findet beispielsweise ­eine Zwei-Faktor-Authentisierung komplett in der GovNet Box statt, ganz ohne Mitwirkung des, möglicherweise mit Schadsoftware verseuchten, Endgerätes. Die Security-Mechanismen der GovNet Box greifen bereits während der Boot-Phase noch vor dem Windows-Login. User-ID und Passwort für den Domänencontroller können ohne vorheriges lokales Anmelden am Client direkt über Windows Gina (Windows XP) oder Windows Credential Provider (Windows 8,7 und Vista) eingegeben werden. Alle Anmeldedaten werden sicher in einem VPN-Tunnel übertragen.

Gewohnte Hardware bleibt

Durch das externe Gerät können die Benutzer ihre gewohnte Hardware weiter verwenden, die Arbeitsoberfläche auf dem Endgerät verändert sich nicht. Über Hardware-Merkmale lässt sich die GovNet Box auch fest an ein Endgerät koppeln, damit Angreifer mit Zugang zu mehreren Endgeräten nicht vorhandene Anmeldedaten auf anderen Systemen missbrauchen können.

Der aufgebaute VPN-Tunnel ist transparent, und alle Applikationen funktionieren wie gewohnt. Das gehärtete Betriebssystem und eine Firewall schützen die Box und das angeschlossene Endgerät zusätzlich vor Angriffen aus dem Internet. Der VPN-Tunnel wird wie bei einer herkömmlichen, nicht für VS-NfD zugelassenen Lösung, als Netzwerkadapter im System ein­geblendet. Sowohl LAN- als auch WLAN- oder Mobilfunk-Verbindungen können als Medium verwendet werden. Benutzer besitzen üblicherweise keine Admin-Rechte auf dem Endgerät, sodass sie die Pflicht-Nutzung des Tunnels nicht abstellen können. Damit erfüllt er die Bedingung des BSI, „unumgehbar“ zu sein.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42860237 / Kommunikation)