Das „Merkel-VPN“ Anforderungen an Virtual Private Networks mit VS-NfD-Zulassung

Autor / Redakteur: Jürgen Hönig, NCP / Susanne Ehneß

Geschützte und abhörsichere Zugänge ins Behördennetz sind wichtiger Bestandteil der Behörden­kommunikation. Jede technische Lösung zum Schutz von Kommunikationsdaten für den Behördeneinsatz muss mindestens die unterste Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS–NfD) erfüllen.

Firma zum Thema

Handelsübliche Virtual-Private-Network-Lösungen sind nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik erhalten haben.
Handelsübliche Virtual-Private-Network-Lösungen sind nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik erhalten haben.
(Quelle: © Marco2811 - Fotolia)

Wer hätte das gedacht? Amerikanische Spione schnüffeln deutsche Regierungsstellen aus. Doch auch wenn das Thema Sicherheit ­gerade besonders aktuell ist: Geschützte und abhörsichere Zugänge ins Behördennetz sind schon lange ein wichtiger Bestandteil der Behördenkommunikation. An einen Netzzugang, bei dem Integrität und Vertraulichkeit der Informationen garantiert sind, stellen Behörden ­mindestens die gleichen, wenn nicht noch höhere Anforderungen als ­Unternehmen der Privatwirtschaft.

Die Verfahrensvorschriften für den staatlichen Bereich und die private Wirtschaft, die darauf abzielen, Geheimnisse vor allgemeiner Kenntnisnahme zu sichern, sind im Handbuch für den Geheimschutz festgelegt. ­Unterteilt wird er in vier Stufen. Oberhalb von VS-NfD sind „VS-Vertraulich“, „Geheim“ und „Streng Geheim“ angesiedelt. Schon die grundlegende unterste Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS–NfD) fordert stringente Schutzfunktionen der Hardware und besonnenen Umgang damit durch die Anwender.

VS-NfD als Einstiegsstufe

Im täglichen Büroalltag lassen sich naturgemäß die meisten Daten in die niedrigste Stufe VS-NfD einordnen. Jede technische Lösung zum Schutz von Kommunikationsdaten für den Behördeneinsatz muss also zumindest diese Anforderungen erfüllen. Handelsübliche Virtual-Private-Network-Lösungen sind dafür nicht ausreichend, die Produkte müssen eine Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten haben.

In Deutschland bieten mehrere Firmen solche Lösungen an, darunter ist auch die „Secure VPN GovNet Box“ von NCP aus Nürnberg. Der ­Zulassung gehen intensive Prüfungen voraus, nach bestandenen Tests werden die IT-Sicherheitsprodukte in die BSI-Schrift 7164 „Liste der zugelassenen IT-Sicherheitsprodukte und -Systeme“ aufgenommen. Diese Liste ist selbst VS-NfD-eingestuft und wird halbjährlich aktualisiert. Sie kann von Behörden und Firmen, die sich in der Geheimschutzbetreuung des Bundesministeriums für Wirtschaft befinden, angefordert werden.

Prüfungen

Ganz allgemein betrachtet konzentrieren sich die Prüfungen auf zwei Themen. Ein Kernbereich sind die Zertifikatsschlüssel: Sie müssen zuverlässig geschützt werden und ­sicher verwahrt sein. Dafür sind meist Hardware-Security-Module wie Smartcards zuständig. Der andere Schwerpunkt ist die Verschlüsselung selbst, sie darf sich mit vernünftigem Aufwand nicht aufheben lassen. ­Darum kommen zur Verschlüsselung Algorithmen wie AES (Advanced ­Encryption Standard), digitale Signaturen auf Basis von elliptischen Kurven (ECDSA) und ein sicherer Pseudozufallszahlengenerator (Pseudo Random Number Generator – PRNG) zum Einsatz. Um die hohen Sicherheitsanforderungen eines Kryptosystems zu erfüllen, werden PRNG oft mit echten Zufallszahlen kombiniert. Dabei erzeugt ein physikalischer Prozess eine echte Zufallszahl, die als Startwert für den PRNG dient.

Die Aufgabe besteht zunächst ­darin, ein Client-System (Laptop) mit dem VPN-Gateway des Behörden­netzes sicher zu verbinden. Letzteres muss ebenfalls den Sicherheitsanforderungen von VS-NfD entsprechen und zudem eine sehr hohe Verfügbarkeit aufweisen. Wenn sich die Mitarbeiter nur über dieses besonders gesicherte VPN-Gateway einwählen und verbinden können, muss es auch zu jeder Zeit betriebsbereit sein. Redundanz sollte daher sowohl beim Gateway selbst als auch bei der Netzanbindung über den Provider gewährleistet sein. Mehrere Standorte können die Situation vereinfachen – ist ein Gateway außer Betrieb, übernimmt ein anderes Rechenzentrum des Unternehmens die Abwicklung. Das setzt aber voraus, dass die Benutzerinformationen für die Anmeldung sicher zwischen den Standorten repliziert werden und dass die VPN-Gateways in der Lage sind, den Ausfall eines entfernten Systems zu erkennen und dessen Verbindungsanfragen entgegenzunehmen.

Strategien zur Umsetzung VS-NfD-konformer VPNs

Die „NCP Secure GovNet Box“ verbindet sicher ein Client-System (Laptop) mit dem VPN-Gateway des Behördennetzes
Die „NCP Secure GovNet Box“ verbindet sicher ein Client-System (Laptop) mit dem VPN-Gateway des Behördennetzes
(Foto: NCP Secure)

Der Datentunnel kann die Informationen nur schützen, wenn der Anwender die Informationen auch darüber überträgt, der Tunnel muss unumgehbar sein. Doch eine bestimmte Netzverbindung zwingend vorzuschrieben und technisch durchzusetzen ist umso schwieriger, je mehr Variablen bei Hard- und Software des Client-Endgeräts erlaubt sind. Ein Weg ist also, Hard- und Software rigoros festzulegen und keine Abweichungen zu erlauben. Die Alternative, wenn die Umgebung nicht kontrolliert werden kann oder soll, benötigt die die Mithilfe des Betriebssystems und einen sicheren externen Schlüsselspeicher.

Aktuell sind beide Varianten von VS-NfD-zugelassenen VPN-Tunneln verfügbar. Die restriktive Umgebung wird über eine vorgegebene Hardware und ein angepasstes, gehärtetes Betriebssystem – einen Micro-Kernel – realisiert. Innerhalb des ­Micro-Kernels sind nur die ebenfalls gehärteten Treiber enthalten, die sich in dieser Hardware befinden. Auf dem Micro-Kernel läuft ein Hypervisor, der andere Betriebssysteme als virtuelle Gäste verwaltet. Der Hyper­visor „besitzt“ die Hardware, auch die Kommunikationsschnittstellen. Er stellt also sicher, dass ein Gast­betriebssystem, das VS-NfD-Daten verarbeitet, nur den gesicherten VPN-Tunnel zur Kommunikation benutzen darf. Andere Gäste könnten theoretisch auch für direkte Kommunikation mit dem Internet freigeschaltet werden, wenn das gewünscht ist.

Sicherheit durch externe Hardware

Die zweite Variante zur VS-NfD-zugelassenen Kommunikation lässt den Anwendern praktisch freie Hand bei der Hardwareauswahl. Sie wird als externe Hardware realisiert, Smartcard und Kryptofunktionen sind innerhalb der Hardware untergebracht. Egal ob Windows oder Mac OS X, Smartphone oder Notebook, die Lösung kann grundsätzlich mit sehr vielen Hardware- und Betriebssystemkombinationen zusammenarbeiten. Die im September 2013 vom BSI für VS-NfD zugelassene NCP ­GovNet Box nutzt diesen Ansatz. Sie besteht aus einem flachen Kästchen mit kapazitiver Tastatur, Smartcard-Reader und einer USB-Verbindung zum zu schützenden Endgerät.

Der Anwender muss zwar ein zusätzliches Stück Hardware mit sich führen, gewinnt aber dafür weitere Schutzmöglichkeiten. Durch die ­kapazitive Tastatur in der Gehäuse­oberfläche findet beispielsweise ­eine Zwei-Faktor-Authentisierung komplett in der GovNet Box statt, ganz ohne Mitwirkung des, möglicherweise mit Schadsoftware verseuchten, Endgerätes. Die Security-Mechanismen der GovNet Box greifen bereits während der Boot-Phase noch vor dem Windows-Login. User-ID und Passwort für den Domänencontroller können ohne vorheriges lokales Anmelden am Client direkt über Windows Gina (Windows XP) oder Windows Credential Provider (Windows 8,7 und Vista) eingegeben werden. Alle Anmeldedaten werden sicher in einem VPN-Tunnel übertragen.

Gewohnte Hardware bleibt

Durch das externe Gerät können die Benutzer ihre gewohnte Hardware weiter verwenden, die Arbeitsoberfläche auf dem Endgerät verändert sich nicht. Über Hardware-Merkmale lässt sich die GovNet Box auch fest an ein Endgerät koppeln, damit Angreifer mit Zugang zu mehreren Endgeräten nicht vorhandene Anmeldedaten auf anderen Systemen missbrauchen können.

Der aufgebaute VPN-Tunnel ist transparent, und alle Applikationen funktionieren wie gewohnt. Das gehärtete Betriebssystem und eine Firewall schützen die Box und das angeschlossene Endgerät zusätzlich vor Angriffen aus dem Internet. Der VPN-Tunnel wird wie bei einer herkömmlichen, nicht für VS-NfD zugelassenen Lösung, als Netzwerkadapter im System ein­geblendet. Sowohl LAN- als auch WLAN- oder Mobilfunk-Verbindungen können als Medium verwendet werden. Benutzer besitzen üblicherweise keine Admin-Rechte auf dem Endgerät, sodass sie die Pflicht-Nutzung des Tunnels nicht abstellen können. Damit erfüllt er die Bedingung des BSI, „unumgehbar“ zu sein.

VS-NfD ist keine technische Vorgabe, die nur IT-Systeme einschließt. Auch Papierdokumente können als VS-NfD klassifiziert sein und es ist sehr lehrreich, sich den geforderten Schutzlevel abseits der elektronischen Kommunikation anzusehen. Um der Klassifizierung zu entsprechen, würde es nämlich bereits genügen, die entsprechenden Dokumente in einem verschlossenen Umschlag aufzubewahren. Der Umschlag dürfte durchaus im geparkten Auto liegen, solange das Auto verriegelt ist. Digitale Informationssysteme interpretieren VS-NfD eher strenger als deren Entsprechung in der analogen Welt. Um mit der Klassifizierung den bestmöglichen Schutz zu erhalten, ist also die Mithilfe des Anwenders essenziell. So gibt es Fälle, in denen die Anwender Admin-Rechte auf ­ihren Endgeräten haben müssen. Auch dann schützt VS-NfD die übertragenen Informationen, erfordert aber die Mithilfe der Nutzer.

Selbstverständlich wird normalerweise versucht, das System wasserdicht zu konfigurieren und Änderungen an den Kommunikationsschnittstellen zu verbieten. Doch wenn der Anwender, aus welchen Gründen auch immer, mit Admin-Rechten ausgestattet ist, obliegt es ihm, dafür zu sorgen, dass der VPN-Tunnel immer korrekt aufgebaut ist, bevor er Daten überträgt. Jeder Mitarbeiter, der mit VS-NfD-Material umgehen muss, erhält eine entsprechende Einweisung in seine Pflichten und Sorgfaltsgebote. Er haftet dafür, die anvertrauten Informationen nach diesen Richtlinien zu behandeln, und nichts zu unternehmen, was die Sicherheit der Informationen gefährden würde. Die Zwangsbindung des VPN-Tunnels an die Kommunikationsschnittstelle aufzuheben, fällt ganz klar unter dieses Verbot.

Genauso wird der Administrator einer Institution darin unterwiesen, wie eine VS-NfD-konforme VPN-­Lösung zu installieren und zu verwalten ist. Bei der GovNet Box laufen alle Aufgaben für die Authentisierung, Verwaltung und Konfiguration an einer zentralen Stelle im NCP Secure Enterprise Management (SEM) zusammen. Komfortabel aufbereitete Statistiken informieren den IT-Administrator jederzeit über den Zustand der VPN-Verbindungen.

Zahlreiche Vorgaben für ganzheitliche Sicherheit

Darüber hinaus gibt es weitere ­Regeln, die bei VS-NfD eingehalten werden müssen. So darf Material nur an Personen weitergegeben werden, die in das Thema eingebunden sind (Need-to-know) und entsprechend belehrt wurden. Selbstverständlich ist das VPN nicht die einzige elek­tronische Schutzmaßnahme, die VS-NfD erfordert. Eine Festplattenverschlüsselung ist ebenso notwendig wie Dateiverschlüsselung über das BSI-eigene Programm Chiasmus.

Funkmäuse und Tastaturen dürfen wegen der Abhörgefahr nicht benutzt werden und wenn sich kein zugelassener VPN-Tunnel etablieren lässt, müssen Anwender offline mit VS-NfD-Material arbeiten. In den höheren Geheimhaltungsstufen kommen umfangreichere und schärfere Maßnahmen zum Tragen, beispielsweise ein lückenloses Lese- und Zugriffsprotokoll für die genutzten Dateien. Doch bereits mit VS-NfD ist bei der richtigen Anwendung die Hürde für Datendiebstahl oder -verlust sehr hoch gelegt.

(ID:42862820)