Sichere Clients und Infrastruktur für VS-NfD-Kommunikation

Sichere Clients und Infrastruktur für
VS-NfD-Kommunikation
genua gmbh in Kooperation mit Bundesdruckerei GmbH
und Virtual Solution AG
Die IT-Strategie der Bundeswehr fordert die Digitalisierung der Operationsführung. Gleichzeitig steigen die Anforderungen an die IT-Sicherheit und Nutzerfreundlichkeit für moderne
und attraktive IT-Arbeitsplätze. Zudem werden immer mehr logistische und administrative
Aufgaben mittels IT und Apps unterstützt und abgebildet. Für die Umsetzung bedarf es einer sicheren, durch das BSI für VS-NfD zugelassenen Kommunikationsplattform, die einerseits auf der bestehenden Infrastruktur aufsetzt und andererseits moderne, flexible Technologien verwendet.
Eine von deutschen IT-Sicherheitsunternehmen angebotene Lösung zur sicheren VS-NfDKommunikation soll im Folgenden dargestellt werden:
Das System besteht aus verschiedenen mobilen Clients, mit denen Mitarbeiter sicher und
einfach arbeiten können. Die Anbindung an die Bundeswehr-Cloud erfolgt mittels eines virtuellen, privaten Netzwerks (VPN) über Internet oder WAN. Eine weitere Firewall dient der
Kontrolle des Inhalts des Datenverkehrs u. a. durch Virenscanning und Anomalie-Erkennung, bevor mit den Clients auf die Anwendungen der Cloud zugegriffen oder im Internet
gesurft werden kann. Die Identifizierung des Nutzers, die Entschlüsselung der Clients und
der Aufbau der VPN-Verbindung erfolgt durch den bestehenden elektronischen Dienst- und
Truppenausweis (eDTA) unter Verwendung der Bundeswehr-Public-Key-Infrastruktur (PKI).
Seite 1
4 Sichere Clients
An die bestehende Infrastruktur können derzeit vier Clients für unterschiedliche Einsatzszenarien angeschlossen werden: Laptops, Smart Devices wie Smart Phone und Tablet,
Home Office-Arbeitsplätze und (kleine) Liegenschaften mit einer Gruppe von Arbeitsplätzen.
Laptop: Der Security Laptop vs-top* ermöglicht komfortables Arbeiten: z. B. unter Windows mit der VPN-Anbindung über Mobilfunk, WLAN oder Ethernet. Der bestehende eDTA
dient hier zur Festplattenverschlüsselung, VPN-Authentifizierung sowie bspw. VS-NfD
Email-Verschlüsselung s/mail*** oder zur Windows-Anmeldung. Eine weitere Smatcard ist
nicht erforderlich. Darüber hinaus bietet der vs-top neben einer eigenen Firewall ein zweites separates Compartment für private Nutzung und direktes Internet-Surfing an. Derzeit
sind über 500 vs-tops in einem Projekt im Behördenumfeld mit Zulassung des BSI im Einsatz.
Smart Devices: Über Smartphone oder Tablet mit den Betriebssystemen iOS oder Android kann mittels der App SecurePIM** auf Email, Kalender und Kontakte zugegriffen werden. Aber auch sicher im Internet surfen oder Dokumente im Intranet lesen ist damit möglich. Geplant sind zudem die Integration weiterer Apps der Bundeswehr in die SecurePIM
sowie die Sprachverschlüsselung der Telefongespräche. Auch hier dient der eDTA zur
Identifizierung des Nutzers und Entschlüsselung der App auf dem Smart Device. Die SecurePIM auf iOS zusammen mit den zentralen Sicherheitskomponenten genuscreen und genugate im Backend befindet sich derzeit mit einer vorläufigen Zulassung des BSI in vier
Behörden im Pilotbetrieb.
Home Office: Zu Hause am PC oder auch an einem Laptop angeschlossen, bietet das
Personal Security Device genucard* eine sichere Verbindung über WLAN, Ethernet oder
UMTS an die Bundeswehr-Cloud. Eine integrierte Firewall schützt zusätzlich den PC. Die
genucard ist für VS-NfD zugelassen, bei der Bundeswehr sind derzeit über 12.000 Devices
zusammen mit den zentralen Sicherheitskomponenten genuscreen und genugate im Backend im produktiven Einsatz.
Liegenschaften: Bei Liegenschaften oder mobilen Standorten mit wenigen Arbeitsplätzen
eignet sich die Firewall & VPN-Appliance genuscreen* als Gateway für interne Sicherheitszonen oder Standortanbindungen. Als Firewall filtert genuscreen zudem den Datenverkehr. Mit VS-NfD Zulassung und Common Criteria (CC) EAL 4+ Zertifizierung ist die genuscreen in einer Vielzahl von Anwendungsbereichen bei der Bundeswehr im produktiven
Einsatz.
Sichere Anbindung und Kontrolle
Als zentrales Gateway und erstes System zur Netzwerk-Sicherheit dient die Firewall &
VPN-Appliance genuscreen* (s. o.). Hier werden alle VPN-Verbindungen der Anwender
geprüft und angenommen. Durch intelligentes Bandbreitenmanagement und ClusterFähigkeit wird Performance, Verfügbarkeit und Flexibilität garantiert. genuscreen ist
Seite 2
kompatibel mit allen Client-Typen und kann auch in einem vollvermaschten VPN mit vielen
Teilnehmern betrieben werden.
Für den Schutz des Systems wird der Daten-Traffic durch die High Resistance Firewall
genugate* komplett analysiert und kontrolliert. Zwei unterschiedliche Firewall-Systeme –
ein Application Level Gateway und ein Paketfilter jeweils auf separater Hardware – sind zu
einer kompakten Lösung kombiniert und ermöglichen u. a. das Virenscanning, das Filtern
von Inhalten und Blacklisting sowie die Erkennung von Anomalien. Dadurch werden die Sicherheitsrichtlinien für die Clients konsequent umgesetzt. Zudem schützt die genugate zuverlässig das System vor Angriffen aus dem Internet, denn diese Firewall ist nach CC in
EAL 4+ zertifiziert sowie als einzige der Welt als „Highly Resistant“ eingestuft.
Beide Komponenten bilden derzeit die zentrale VPN-Infrastruktur des RAS mit Anbindung
von über 12.000 genucard-Clients und Liegenschaften über genuscreens. Clients wie Laptops oder Smart Devices können somit direkt an die RAS-Bestandsinfrastruktur der Bundeswehr angebunden werden.
Zentrales Management
Alle genua Clients vs-top, genucard und genuscreen lassen sich über die Central Management Station genucenter* verwalten. Damit haben Sie den Status aller Systeme jederzeit
im Blick, können Änderungen und Updates vornehmen und komfortabel auf ganze Bereiche übertragen. Das separate Mobile Application Management** Portal (MAM) konfiguriert und verwaltet die SecurePIM Apps auf den Smart Devices.
* Produkt der genua gmbh ** Produkt von Virtual Solution AG *** Produkt von cryptovision GmbH
Über genua
genua ist ein deutscher Spezialist für IT-Sicherheit. Seit der Firmengründung 1992 beschäftigen wir uns mit der Absicherung von Netzwerken und bieten hochwertige Lösungen.
Unser Leistungsspektrum umfasst die Absicherung sensibler Schnittstellen im Behördenund Industriebereich bis hin zur Vernetzung hochkritischer Infrastrukturen, die zuverlässig
verschlüsselte Datenkommunikation via Internet, Fernwartungs-Systeme sowie Remote
Access-Lösungen für mobile Mitarbeiter und Home Offices. Unsere Lösungen werden in
Deutschland entwickelt und produziert. Viele Firmen und Behörden setzen auf Lösungen
von genua zum Schutz ihrer IT. genua ist ein Unternehmen der Bundesdruckerei-Gruppe.
VS-NfD-WP-0416-1-D
So erreichen Sie uns:
genua gmbh, Domagkstraße 7, 85551 Kirchheim bei München
tel +49 89 991950-0, fax +49 89 991950-999, [email protected], www.genua.de
Seite 3