Datenschutz von Amts wegen Sichere Infrastruktur fürs eGovernment

Autor / Redakteur: Christian Reschke* / Stephan Augsten

Das Internet bietet Stadtverwaltungen und Behörden enorme Chancen, die Kommunikation mit Bürgern und Unternehmen zu vereinfachen und auszubauen. Die Digitalisierung bringt aber nicht nur Chancen, sondern auch zahlreiche neue Aufgaben mit sich.

Firmen zum Thema

In der vernetzten Welt wird es auch für Behörden eine immer größere Herausforderung, die Daten-Transportwege zu schützen.
In der vernetzten Welt wird es auch für Behörden eine immer größere Herausforderung, die Daten-Transportwege zu schützen.
(Bild: Archiv)

Die Digitalisierung ist längst im Alltag der öffentlichen Hand angekommen. Neben dem wachsenden digitalen Datenaustausch zwischen Behörden steigt auch die Zahl digitaler Dienstleistungsangebote für Bürger.

Am verbreitetsten ist mittlerweile die Online-Terminvereinbarung bei Bürgerämtern, aber auch Meldeangelegenheiten wie die Abmeldung von Kraftfahrzeugen sind mittlerweile online möglich. Auch das Angebot für Unternehmen wächst: Sie erhalten beispielsweise die für den Export notwendigen Ursprungszeugnisse online schneller als bisher.

Ein Mehr an Services stellt Behörden und Verwaltungen aber auch vor neue Herausforderungen: Sie müssen mit neuen Technologien umgehen, die notwendigen finanziellen Mittel für Infrastruktur und Personal aufbringen und gleichzeitig den Schutz der wachsenden Datenmengen vor unrechtmäßigem Zugriff sicherstellen.

Ein großer Teil der Datenverarbeitung von Verwaltungen, Ämtern und anderen Behörden erfolgt in kommunalen und Landes-Rechenzentren. Hier bietet eine weitreichende Konsolidierung und Vernetzung der beteiligten Rechenzentren enormes Effizienzpotenzial und hilft, die Kosten neuer Serviceangebote zu schultern. Dieses Potenzial lässt sich aber nur ausschöpfen, wenn die Sicherheit der Daten gewährleistet ist – sowohl bei der Verarbeitung und Speicherung, als auch bei der Datenübertragung über öffentliche Netze und gemietete Leitungen.

Verlässlicher Basisschutz für Datennetze

Während Rechenzentren heutzutage Hochsicherheits-Tresoren gleichen, erreichen die Datenverbindungen zwischen den Rechenzentren oft nicht annähernd deren Schutzniveau. Über diese Netze werden aber Daten unterschiedlicher Vertraulichkeitsstufen transportiert. Um hier den erforderlichen und gesetzlich vorgeschriebenen Datenschutz unabhängig von den jeweiligen Anwendungen sicherzustellen, bedarf es eines grundlegenden Basisschutzes.

Sicherheit vor Hackern und Cyber-Angriffen bietet spezialisierte Hardware-Verschlüsselung: Separate Krypto-Geräte sind aus der Ferne kaum angreifbar und auch von Innentätern nur extrem schwer zu umgehen. Denn um eine Verschlüsselungs-Hardware auszuschalten, muss der Angreifer vor Ort die Netzwerkverbindung trennen, also das Netzwerkkabel ziehen.

In diesem Fall schlügen Sicherheits- und Netzwerkmanagementsysteme jedoch sofort Alarm. Hingegen erfolgt die Manipulation von Software-Verschlüsselung, wie sie zum Beispiel in Netzwerk-Equipment optional aktiviert werden kann, prinzipiell standortungebunden und unbemerkt.

Kommunen und Behörden, die ihre Datenübertragungen absichern wollen, sind mit einer Verschlüsselung auf Ethernet- bzw. Data-Link-Ebene (Layer 2 des ISO/OSI-Referenzmodells) auf der sicheren Seite. Neben umfassender Sicherheit der „Leitung“ bietet diese Ethernet-Verschlüsselung weitere Vorteile.

Durch den um bis zu 40 Prozentpunkte geringeren Verschlüsselungs-Overhead gegenüber IPsec (OSI Layer 3, Paketebene) bleibt die volle Bandbreite erhalten und der Datenfluss wird nicht ausgebremst. Damit können zeitkritische Anwendungen, wie etwa Storage-Systeme und Video-Konferenzen, auch für VS-NfD eingestufte Daten betrieben werden. Den möglichen Payload-Durchsatzraten von zehn bis 40 Gigabit pro Sekunde (Gbps) pro Kryptogerät stehen Layer 3-Lösungen gegenüber, die aktuell auf wenige Gbps beschränkt sind.

Sicherer Rückhalt per Firewall

Neben dem Schutz der Datenübertragung zwischen Standorten bedarf es auch einer ausreichenden Sicherung des Netzwerks vor unerwünschtem Datenabfluss ins Internet. Dazu rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutzkatalog zu einer Applikations-Firewall bzw. einem Application-Level Gateway. Diese schützen vor maliziösen Netzwerkzugriffen auf interne Endpoints.

Anders als traditionelle UTM-Lösungen und Stateful-Firewalls, analysieren Next-Generation Firewalls (NGFW) auch den Inhalt des Datenverkehrs. Ihre permanent laufenden Protokoll-Decoder kategorisieren alle Datenströme auf Applikationsbasis und prüfen selbst die Inhalte permanent auf versteckten Schadcode. So können differenzierte Sicherheitsrichtlinien automatisiert durchgesetzt und jederzeit flexibel aktualisiert werden, was die Sicherheit erhöht und Aufwand einspart.

Besonders sensible Netzbereiche lassen sich durch einen Whitelisting-Ansatz auch vor komplexen Angriffen schützen, die beispielsweise Zero-Day-Schwachstellen ausnutzen. In diesem Ansatz werden zuerst zulässige Protokolle und Inhalte festgelegt, jeder andere Datenverkehr wird blockiert.

Weiterer Vorteil: Traditionelle Firewalls bzw. UTM-Appliances führen die Prüfungen auf verschiedene Angriffsarten meist noch in isolierten Software-Modulen durch. Das führt zu Leistungseinbußen und hohem Konfigurationsaufwand. Echte NGFWs hingegen arbeiten mit der sogenannten Single-Pass Technologie

Diese haben eine gemeinsame Datenbank für Firewall- und Webfilter-Richtlinien, wie auch für Antivirus- und IPS-Signaturen. Das Ergebnis sind gesteigerte Leistung und einfachere Konfiguration des Regelwerks, was sich günstig auf die Benutzerfreundlichkeit und Betriebskosten auswirkt.

Fazit

Die rasanten technologischen Entwicklungen im Cloud- und Big Data-Bereich können auch im Umfeld sensibler, personenbezogener Daten genutzt werden. Sie verbessern die Kommunikation von Bürgern und Unternehmen mit Behörden. Gleichzeitig lassen sich Verwaltungsprozesse effizienter gestalten.

Christian Reschke
Christian Reschke
(Bild: Rohde & Schwarz SIT)

Voraussetzung hierfür ist, dass keine Abstriche bei Datenschutz und Informationssicherheit gemacht werden. Die notwendige Technik dafür steht längst zur Verfügung – die öffentliche Hand findet am Markt sogar gute Lösungen mit dem Prädikat „Made in Germany“.

* Über den Autor

Christian Reschke ist Marketing Manager bei Rohde & Schwarz SIT.

(ID:43780359)