Anforderungen an Virtual Private Networks mit VS-NfD Zulassung

Wer hätte das gedacht? Amerikanische Spione schnüffeln deutsche Regierungsstellen aus. Doch auch wenn das Thema Sicherheit gerade besonders aktuell ist: Geschützte und abhörsichere Zugänge ins Behördennetz sind schon lange ein wichtiger Bestandteil der Behördenkommunikation. An einen Netzzugang, bei dem Integrität und Vertraulichkeit der Informationen garantiert sind, stellen Behörden mindestens die gleichen, wenn nicht noch höhere Anforderungen, als Unternehmen der Privatwirtschaft.

Die Verfahrensvorschriften für den staatlichen Bereich und die private Wirtschaft, die darauf abzielen, Geheimnisse vor allgemeiner Kenntnisnahme zu sichern, sind im Handbuch für den Geheimschutz festgelegt. Unterteilt wird er in vier Stufen. Oberhalb von VS-NfD sind VS-Vertraulich, -Geheim und -Streng Geheim angesiedelt. Schon die grundlegende unterste Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) fordert stringente Schutzfunktionen der Hardware und besonnenen Umgang damit durch die Anwender.

VS-NfD als Einstiegsstufe

Im täglichen Büroalltag lassen sich naturgemäß die meisten Daten in die niedrigste Stufe VS-NfD einordnen. Jede technische Lösung zum Schutz von Kommunikationsdaten für den Behördeneinsatz muss also zumindest diese Anforderungen erfüllen. Handelsübliche Virtual Private Network-Lösungen sind dafür nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten haben.

Der Zulassung gehen intensive Prüfungen voraus, nach bestandenen Tests werden die IT-Sicherheitsprodukte in die BSI-Schrift 7164 „Liste der zugelassenen IT-Sicherheitsprodukte und -Systeme“ aufgenommen. Diese Liste ist selbst VS-NfD eingestuft und wird halbjährlich aktualisiert. Sie kann von Behörden und Firmen, die sich in der Geheimschutzbetreuung des Bundesministeriums für Wirtschaft befinden, angefordert werden.

Ganz allgemein betrachtet konzentrieren sich die Prüfungen auf zwei Themen. Ein Kernbereich sind die Zertifikatsschlüssel: Sie müssen zuverlässig geschützt werden und sicher verwahrt sein. Dafür sind meist Hardware-Security-Module wie Smartcards zuständig. Der andere Schwerpunkt ist die Verschlüsselung selbst; sie darf sich mit vernünftigem Aufwand nicht aufheben lassen. Darum kommen zur Verschlüsselung Algorithmen wie AES (Advanced Encryption Standard), digitale Signaturen auf Basis von elliptischen Kurven (ECDSA) und ein sicherer Pseudozufallszahlengenerator (Pseudo Random Number Generator – PRNG) zum Einsatz. Um die hohen Sicherheitsanforderungen eines Kryptosystems zu erfüllen, werden PRNG oft mit echten Zufallszahlen kombiniert. Dabei erzeugt ein physikalischer Prozess eine echte Zufallszahl, die als Startwert für den PRNG dient.

Verfügbarkeit und Geo-Redundanz

Die Aufgabe besteht zunächst darin, ein Client System (Laptop) mit dem VPN Gateway des Behördennetzes sicher zu verbinden. Letzteres muss ebenfalls den Sicherheitsanforderungen von VS-NfD entsprechen und zudem eine sehr hohe Verfügbarkeit aufweisen. Wenn sich die Mitarbeiter nur über diesen besonders gesicherten VPN-Gateway verbinden können, muss es auch zu jeder Zeit betriebsbereit sein. Redundanz sollte daher sowohl beim Gateway selbst, als auch bei der Netzanbindung über den Provider gewährleistet sein. Mehrere Standorte können die Situation vereinfachen – ist ein Gateway außer Betrieb, übernimmt ein anderes Rechenzentrum des Unternehmens die Abwicklung. Das setzt aber voraus, dass die Benutzerinformationen für die Anmeldung sicher zwischen den Standorten repliziert werden und dass die VPN-Gateways in der Lage sind, den Ausfall eines entfernten Systems zu erkennen und dessen Verbindungsanfragen entgegen zu nehmen.

Zwei Strategien

Der Datentunnel kann die Informationen nur schützen, wenn der Anwender die Informationen auch darüber überträgt; der Tunnel muss unumgehbar sein. Doch eine bestimmte Netzverbindung zwingend vorzuschrieben und technisch durchzusetzen ist umso schwieriger, je mehr Variablen bei Hard- und Software des Client-Endgeräts erlaubt sind. Ein Weg ist also, Hard- und Software rigoros festzulegen und keine Abweichungen zu erlauben. Die Alternative, wenn die Umgebung nicht kontrolliert werden kann oder soll, benötigt die Mithilfe des Betriebssystems und einen sicheren externen Schlüsselspeicher.

Aktuell sind beide Varianten von VS-NfD-zugelassenen VPN-Tunneln verfügbar. Die restriktive Umgebung wird über eine vorgegebene Hardware und ein angepasstes, gehärtetes Betriebssystem – einen Microkernel – realisiert. Innerhalb des Microkernels sind nur die ebenfalls gehärteten Treiber enthalten, die sich in dieser Hardware befinden. Auf dem Micro-Kernel läuft ein Hypervisor, der andere Betriebssysteme als virtuelle Gäste verwaltet. Der Hypervisor „besitzt“ die Hardware, auch die Kommunikationsschnittstellen. Er stellt also sicher, dass ein Gastbetriebssystem, das VS-NfD Daten verarbeitet, nur den gesicherten VPN-Tunnel zur Kommunikation benutzen darf. Andere Gäste könnten – falls gewünscht – theoretisch auch für direkte Kommunikation mit dem Internet freigeschaltet werden.

Sicherheit durch externe Hardware

Die zweite Variante zur VS-NfD-zugelassenen Kommunikation lässt den Anwendern praktisch freie Hand bei der Windows-Hardwareauswahl. Sie wird als externe Hardware realisiert, Smartcard und Kryptofunktionen sind innerhalb der Hardware untergebracht.

VS-NfD erfordert besonnenen Umgang

VS-NfD ist keine technische Vorgabe, die nur IT-Systeme einschließt. Auch Papierdokumente können als VS-NfD klassifiziert sein und es ist sehr lehrreich, sich den geforderten Schutzlevel abseits der elektronischen Kommunikation anzusehen. Um der Klassifizierung zu entsprechen, würde es nämlich bereits genügen, die entsprechenden Dokumente in einem verschlossenen Umschlag aufzubewahren. Der Umschlag dürfte durchaus im geparkten Auto liegen, solange das Auto verriegelt ist. Digitale Informationssysteme interpretieren VS-NfD eher strenger als deren Entsprechung in der analogen Welt. Um mit der Klassifizierung den bestmöglichen Schutz zu erhalten, ist also die Mithilfe des Anwenders essenziell. So gibt es Fälle, in denen die Anwender Admin-Rechte auf ihren Endgeräten haben müssen. Auch dann schützt VS-NfD die übertragenen Informationen, erfordert aber die Mithilfe der Nutzer.

Selbstverständlich wird normalerweise versucht, das System wasserdicht zu konfigurieren und Änderungen an den Kommunikationsschnittstellen zu verbieten. Doch wenn der Anwender mit Administrationsrechten ausgestattet ist, obliegt es ihm, dafür zu sorgen, dass der VPN-Tunnel immer korrekt aufgebaut ist, bevor er Daten überträgt. Jeder Mitarbeiter, der mit VS-NfD-Material umgehen muss, erhält eine entsprechende Einweisung in seine Pflichten und Sorgfaltsgebote. Er haftet dafür, die anvertrauten Informationen nach diesen Richtlinien zu behandeln, und nichts zu unternehmen, was die Sicherheit der Informationen gefährden würde. Die Zwangsbindung des VPN-Tunnels an die Kommunikationsschnittstelle aufzuheben, fällt ganz klar unter dieses Verbot. Genauso wird der Administrator einer Institution darin unterwiesen, wie eine VS-NfD-konforme VPN-Lösung zu installieren und zu verwalten ist.

Vorgaben für ganzheitliche ­Sicherheit

Darüber hinaus gibt es weitere Regeln, die bei VS-NfD eingehalten werden müssen. So darf Material nur an Personen weitergegeben werden, die in das Thema eingebunden sind (Need-to-know) und entsprechend belehrt wurden. Selbstverständlich ist das VPN nicht die einzige elektronische Schutzmaßnahme, die VS-NfD erfordert. Eine Festplattenverschlüsselung ist ebenso notwendig wie Dateiverschlüsselung über das BSI-eigene Programm Chiasmus. Funkmäuse und Tastaturen dürfen wegen der Abhörgefahr nicht benutzt werden und wenn sich kein zugelassener VPN-Tunnel etablieren lässt, müssen Anwender offline mit VS-NfD-Material arbeiten. In den höheren Geheimhaltungsstufen kommen noch umfangreichere und schärfere Maßnahmen zum Tragen, beispielsweise ein lückenloses Lese- und Zugriffsprotokoll für die genutzten Dateien. Doch bereits mit VS-NfD ist bei der richtigen Anwendung die Hürde für Datendiebstahl oder -verlust sehr hoch gelegt.

Aufmacherbild: NCP Secure GovNet Box. (Bild: NCP engineering GmbH)

Jürgen Hönig

JHG_1000pxAnschrift des Verfassers:
Jürgen Hönig
Marketingleiter
NCP engineering GmbH
Dombühler Straße 2
90449 Nürnberg

 

Ingenieursstudium zum Werkstoffwissenschaftler / Uni Erlangen-Nürnberg
Anschließend: Aufbaustudium zum Dipl.-Wirtschafts-Ingenieur / TU München
Berufliche Stationen:
PR- und Partnermarketing bei HOB electronic GmbH
Qualitätsmanagement bei Siemens AG/München
Seit 2007: PR-Leiter und anschl. Marketingleiter bei der NCP engineering GmbH/Nürnberg