Sichere IT-Konsolidierung öffentlicher Rechenzentren

Trends

Es folgt die Einschätzung von Peter Rost, Leiter Business Development und Marketing bei Rohde & Schwarz SIT: In Verwaltungen und Behörden mangelt es zunehmend an Fachkräften – gerade im IT-Bereich. Gleichzeitig steigt die Zahl der Angriffe auf Behörden- und Landesnetze. Durch Konsolidierung und Vernetzung von Rechenzentren sollen deshalb Effizienz und Effektivität in den Verwaltungen und Behörden deutlich gesteigert werden. Voraussetzung ist jedoch ein geeignetes Sicherheitskonzept.

Die IT ist für kommunale Verwaltungen ein erheblicher Wettbewerbsfaktor. Denn Bürokratie verursacht für Unternehmen hohe Kosten, besonders für den Mittelstand. Effiziente, IT-gestützte Verwaltungsprozesse bieten damit einen bedeutenden Standortvorteil. Mit der Einführung des E-Government-Gesetzes soll nun der Ausbau der elektronischen Kommunikation zwischen Behörden, Bürgern und Unternehmen beschleunigt werden. Dabei hilft eine weitreichende Konsolidierung und Vernetzung der beteiligten Rechenzentren. Hier winken darüber hinaus enorme wirtschaftliche Effizienzpotenziale. Aber nur, solange die Sicherheit gewährleistet ist.

Ein Großteil der Datenverarbeitung von Verwaltungen, Ämtern und öffentlichen Institutionen erfolgt in Kommunal- und Landes-Rechenzentren. Diese sind über Netze miteinander verbunden, in denen Daten unterschiedlicher Vertraulichkeitsstufen transportiert werden. Zum Beispiel übermitteln Bürger über Online-Formulare personenbezogene Daten über die Landesnetze, und Firmen transferieren Steuererklärungen und Informationen für statistische Zwecke elektronisch an die betreffenden Ämter. Diese sensiblen Daten unterliegen dem Datenschutz und dürfen damit nicht durch Dritte ausgespäht werden können. Behörden unterliegen daher den höchsten Sicherheitsauflagen.

Hardware: harte Schale, sicherer Kern

Um den erforderlichen und gesetzlich vorgeschriebenen Datenschutz jederzeit gewährleisten zu können, bedarf es unter anderem eines umfassenden Schutzes des Netzwerkverkehrs zwischen den Standorten. Um vor Hackern und Cyber-Angriffen maximal sicher zu sein, ist die Grundsicherung des Transportnetzes über separate Krypto-Hardware eine wesentliche Voraussetzung: Separate Krypto-Geräte sind aus der Ferne kaum angreifbar und auch von Innentätern nur extrem schwer zu umgehen. Denn um eine Verschlüsselungs-Hardware auszuschalten, muss der Angreifer vor Ort die Netzwerkverbindung trennen, also das Netzwerkkabel ziehen. In diesem Fall schlagen Sicherheits- und Netzwerkmanagementsysteme jedoch sofort Alarm. Die Manipulation von Software-Verschlüsselung, wie sie zum Beispiel in Netzwerkequipment optional aktiviert werden kann, kann prinzipiell standortungebunden und unbemerkt erfolgen.

Kommunen und Behörden, die ihre hoheitlichen Daten absichern wollen, sind mit einer Verschlüsselung auf Layer 2 auf der sicheren Seite. Neben umfassender Sicherheit bietet Ethernet-Verschlüsselung weitere Vorteile: Durch den um bis zu 40 Prozentpunkte geringeren Verschlüsselungs-Overhead gegenüber IPsec wird Bandbreite gewonnen und der Datenfluss deutlich geringer ausgebremst. Auch können die Krypto-Latenzen gegenüber den Leitungslaufzeiten vernachlässigt werden. Damit können zeitkritische Anwendungen, wie etwa SAN/NAS Systeme, auch für VS-NfD eingestufte Daten betrieben werden. Den möglichen Payload-Durchsatzraten von 10 bis 40 Gigabit/s pro Kryptogerät stehen Layer 3-Lösungen gegenüber, die aktuell auf wenige Gigabit/s beschränkt sind.

Sicher & mitwachsend: SITLine ETH

Mit dem SITLine ETH40G hat Rohde & Schwarz SIT die erste Lösung entwickelt, die behördentaugliche Sicherheit mit höchster Schnelligkeit und kostensparenden Betrieb verbindet. Dieser dedizierte Ethernet-Verschlüsseler mit 40 Gbit/s Datendurchsatz pro Gerät ist speziell für den chiffrierten Austausch riesiger Datenmengen in Echtzeit konzipiert. Damit optimiert diese Lösung erstmals die Performance-kritischen Faktoren Bandbreite, Latenz, Quality-of-Service, Portdichte und Energieverbrauch in einem platzsparenden Gerät mit nur 4,4 cm Bauhöhe im Rack. Vor allem für den Einsatz in Backbone-Netzen und zur Anbindung von Standorten und Rechenzentren ist diese neue Geräteklasse ideal: Sie bietet Schutz auf VS-NfD-Niveau in öffentlichen und privaten Netzen, ohne deren Leistungsfähigkeit und Resilienz zu beeinträchtigen. Im Falle eines Wiederanlaufs ist die Kryptolösung selbst bei großen, vermaschten Netzen in kürzester Zeit wieder in Betrieb.

Wenn derart hohe Bandbreiten heute noch nicht notwendig sind, ein Wachstum aber absehbar ist, kommen mitwachsende Ethernet-Verschlüsseler zum Einsatz. Mit dem neuen SITLine ETH4G gewinnen Netzwerkverantwortliche enorme Skalierbarkeit: Weltweit erstmalig verschlüsselt schon das Einstiegsmodell simultan bis zu vier Leitungen zu je 100 Mbit oder 1Gbit. Das Gerät kann im Feld per Firmware-Upgrade auf bis zu 4x 10 Gbit-Ethernet aufgerüstet werden. Es muss dazu nicht einmal aus dem Rack entnommen werden. Ob Kupfer oder Glasfaser, 1 Gbit- oder 10 Gbit-Ethernet: IT-Verantwortliche können die für ihre Geschäftsanforderungen passende Anschlusslösung wählen.

Zusätzliche Kontrolle per Firewall

Neben dem Schutz der Datenübertragung zwischen Standorten bedarf es auch einer ausreichenden Sicherung des Netzwerks vor unerwünschtem Datenabfluß ins Internet. Dazu rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutzkatalog zu einer Applikations-Firewall bzw. einem Application-Level Gateway. Diese schützen vor maliziösen Netzwerkzugriffen auf interne Endpoints.

Anders als traditionelle Stateful-Firewalls, die mit Ports und Protokollen zu tun haben, analysieren Next Generation Firewalls (NGFW) den Datenverkehr darauf, welche Anwendungen die Netzwerkteilnehmer nutzen. Ihre permanent laufenden Protokoll-Decoder kategorisieren alle internen sowie ein- und ausgehende Datenströme nach Layer 7-Anwendungen und prüfen sie auf nutzerspezifische Zutritts- und Zugriffsrechte. Selbst differenzierte Sicherheitsrichtlinien können so automatisiert eingehalten und jederzeit flexibel aktualisiert werden, was die Sicherheit erhöht und Aufwand einspart.
So erkennen sie auch kompliziertere Angriffsszenarien und reagieren darauf.

Traditionelle Firewalls bzw. UTM-Appliances führen die Prüfungen auf verschiedene Angriffsarten meist noch in isolierten Software-Modulen durch. Das führt zu Leistungseinbußen und hohem Konfigurationsaufwand. Echte NGFWs hingegen arbeiten mit der sogenannten Single-Pass Technologie. Diese haben eine gemeinsame Datenbank für Firewall- und Webfilter-Richtlinien, wie auch für Antivirus- und IPS-Signaturen. Das Ergebnis sind gesteigerte Leistung und einfachere Konfiguration des Regelwerks, was sich günstig auf die Benutzerfreundlichkeit und Betriebskosten auswirkt.

Lesen Sie auch :