NCP-Lösung erhält BSI-Zulassung Sichere Datenübertragung für Behörden

Autor Melanie Staudacher

Behörden, Ämter und vom Geheimschutz betreute Unternehmen übermitteln höchst schützenswerte Informationen. Deshalb spielt die Sicherheit der VPN-Verbindungen eine wichtige Rolle. NCP hat eine Software entwickelt, die den Anforderungen des BSI gerecht wird.

Firmen zum Thema

Dateien mit der Kennzeichnung VS-NfD enthalten hochsensible Informationen und dürfen nicht von Dritten eingesehen werden.
Dateien mit der Kennzeichnung VS-NfD enthalten hochsensible Informationen und dürfen nicht von Dritten eingesehen werden.
(Bild: Naeblys - stock.adobe.com)

„Verschlusssache – Nur für den Dienstgebrauch“: Für Behörden und Ämter ist ein hoher Datenschutz staatlich vorgegeben. Die so genannte VS-NfD ist die unterste von insgesamt vier Geheimhaltungsstufen für deutsche Behörden. Informationen, die mit dieser Abkürzung gekennzeichnet sind, dürfen nur berechtigte Personen einsehen. Als Verschlusssache gilt, was aus staatlichen Interessen geheim gehalten werden muss. Als Pendant auf EU-Ebene gibt es die Kennzeichnung „Restreint UE/EU Restricted“ und die Geheimhaltungskennzeichnung der NATO lautet „NATO Restricted“.

Voraussetzung dafür, dass die Geheimhaltungsstufen funktionieren, sind sichere Hard- und Softwareprodukte. Damit sie als sicher gelten und Behörden sie einsetzen können, muss das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese zulassen.

Welche Geheimhaltungsgrade gelten in der EU?

Die EU vergibt die Geheimhaltungsstufen je nach Schwere der Auswirkungen, wenn Unbefugte Daten einsehen könnten. Dementsprechend gibt es vier Geheimhaltungsgrade, angefangen mit dem höchsten:

  • Très secret UE/EU Top Secret: Die unbefugte Weitergabe könnte den wesentlichen Interessen der EU oder der Mitgliedstaaten äußerst schweren Schaden zufügen.
  • Secret UE/EU Secret: Die unbefugte Weitergabe könnte den wesentlichen Interessen der EU oder der Mitgliedstaaten schweren Schaden zufügen.
  • Confidentiel UE/EU Confidential: Die unbefugte Weitergabe könnte den wesentlichen Interessen der EU oder der Mitgliedstaaten Schaden zufügen.
  • Restreint UE/EU Restricted: Die unbefugte Weitergabe könnte für die Interessen der EU oder der Mitgliedstaaten nachteilig sein.



  • BSI-zugelassene Lösung für Behörden

    Politiker, Regierungsbeamte und behördliche Mitarbeiter müssen in der Lage sein, auf Netzwerkressourcen und Daten schnell und sicher zuzugreifen. Der Softwarehersteller NCP Engineering hat Produkte im Sortiment, die die BSI-Zulassung haben und sich somit für die Datenübermittlung in Behörden eignen.

    Der VS GovNet Connector stellt auf Basis des IPsec-Standards über den Client sichere Datenverbindungen zum Secure VPN GovNet Server her. Anwender und IT-Administratoren profitieren von vielen Funktionen und hoher Sicherheit. Zu den Funktionen gehören ein zentrales Rechte- und Konfigurationsmanagement, Nutzer-Authentisierung, Network Access Control und VPN Path Finder.

    Gegenstelle zum Connector ist die Lösung VPN GovNet Server, die ebenfalls die Zulassung vom BSI hat. Das bedeutet, dass Behörden sie für die Verarbeitung von Daten der Geheimhaltungsstufe VS-NfD nutzen dürfen. Die Software wird auf einem Fujitsu-Server mittels Komplett-Image installiert.

    Die Benutzerverwaltung erfolgt über Backend-Systeme wie Radius, LDAP, MS Active Directory oder direkt am VPN Gateway. Zudem nutzt NCP aus Sicherheitsgründen ein gehärtetes Linux-Basisbetriebssystem sowie Privilege Separation.

    VS GovNet Connector 2.0 von NCP

    Mit dem Update des VS GovNet Connectors auf Version 2.0, erhalten Behörden die Funktion Self Check. Dies ist ein Integritätsdienst, der die Sicherheit steigern soll. Dafür führt der VPN-Client beim Start und regelmäßig während des Betriebs Selbsttests der sicherheitsrelevanten Funktionen durch. Die Tests beinhalten die Prüfung der Authentizität und Integrität der VPN-Software sowie das korrekte Ausführen von Krypto-Algorithmen. Schlägt ein Selbsttest fehl, nimmt der VPN-Client einen sicheren Zustand ein und der Arbeitsplatzrechner darf nicht mehr mit anderen Systemen kommunizieren.

    Zudem bietet die Lösung eine biometrische Authentisierung vor der VPN-Einwahl über Fingerabdruck oder Gesichtserkennung. Die Authentisierung erfolgt direkt nach dem Klick auf den Verbinden-Button in der Connector-GUI. Der Verbindungsaufbau startet erst, wenn die biometrische Authentisierung erfolgreich abgeschlossen ist. Besitzt der Rechner keine Hardware zur biometrischen Authentisierung oder ist diese nicht aktiviert, kann sich der Anwender auch über sein Passwort authentisieren.

    Als weitere Alternative zur Authentisierung, gibt es ein Benutzerzertifikat. Dieses befindet sich auf einer vom BSI zugelassenen SmartCard. Dafür benötigen Anwender den entsprechenden Kartenleser und müssen den PIN der SmartCard eingeben. Das zur Benutzung freigeschaltete Benutzerzertifikat ist aktiv am Aufbau der VPN-Verschlüsselung beteiligt. Nur mit erfolgreicher Authentisierung baut sich der VPN-Tunnel auf.

    Wie erhalten Hersteller eine Zulassung vom BSI?

    Generell kann jedes Unternehmen für jedes Produkt eine Zulassung für die Geheimhaltungsstufen beim BSI einreichen. Ob das BSI die Zulassung erteilt, ist eine andere Frage. Wie Swen Baumann, Head of Product Management bei NCP, erklärt, sollten Hersteller, die eine Zulassung beantragen, beim BSI bereits eine hohe Stellung in Sachen Vertrauen haben. Darüber hinaus muss der Hersteller ausführlich belegen, wie die Lösung arbeitet und warum sie als sicher angesehen werden kann.

    Um die Anforderungen des Geheimhaltungsgrades VS-NfD zu erfüllen, hat NCP den VS GovNet Connector auf die Bedürfnisse von Behörden abgestimmt. Die Software basiert auf dem Enterprise Client, den NCP bereits seit vielen Jahren bei Unternehmen jeder Größe einsetzt. Besonderen Fokus für Behörden legte der Hersteller auf eine möglichst einfache, verständliche Bedienung sowie hohe Transparenz.

    (ID:47531754)