Thought LeadershipKlüber Lubrication schützt Daten und Netzwerke durch verschlüsselte Internet-Verbindungen und zweistufige Firewalls.
Ob Fensterheber, Lager in Windkraftanlagen oder Tablettenpressen: Wenn es darum geht, dass Bauteile und Anlagen zuverlässig funktionieren, ist Klüber Lubrication gefragt. Der führende Hersteller von Spezialschmierstoffen mit rund 1800 Mitarbeitern gehört zur Freudenberg Gruppe, Weinheim. Aktivitäten an Standorten in über 30 Ländern und mit Geschäftspartnern in aller Welt erfordern eine ständige Datenkommunikation. Diese Kommunikationswege müssen zuverlässig funktionieren und einfach zu administrieren sein. Besonders wichtig ist dabei die IT-Sicherheit. Die Geschäftsdaten müssen vor unbefugten Zugriffen und/oder Verlusten geschützt werden.
Hubs und VPN
Die Administration beim Schmierstoff-Spezialisten ist eine Herausforderung. Wie können zuverlässig funktionierende Datenverbindungen zu allen Konzernteilen und Geschäftspartnern erzeugt, dabei aber ein hohes Sicherheitsrisiko erreicht und der Aufwand für die Administration zudem noch gering gehalten werden? Das Unternehmen geht diesen Lösungsweg:
-
1. Konzentration zentraler Dienste wie Web- und E-Mailserver, Internet-Access und Kundenportale an fünf Hub-Standorten.
-
2. Anbindung aller Teilnehmer weltweit an ein Virtual Private Network (VPN) zur verschlüsselten Datenübertragung via Internet.
-
3. Unternehmensweiter Einsatz einheitlicher IT-Sicherheitslösungen mit zentraler Administration durch den Kundenservice des Herstellers
Durch die zentrale Bereitstellung vieler Dienste sparen wir viel Infrastruktur und Administrationsaufwand an den kleineren Standorten. An den zentralen Hubs haben wir dann alle Verbindungen im Blick und können unsere IT Security Policies konsequent durchsetzen“, erläutert Florian Fröhler, Corporate Network Administrator bei Klüber Lubrication. In den Hubs sind leistungsstarke Verbindungen zum Internet installiert sowie Server für zentrale Dienste wie Websites, Kundenportale und E-Mail. Untereinander sind die Hubs mit einem VPN zur verschlüsselten Datenübertragung via Internet verbunden. An das jeweils nächstgelegene Hub werden die kleineren Niederlassungen in der Region per VPN angebunden und können so über stark verschlüsselte Verbindungen die zentralen Dienste nutzen und unternehmensweit Daten austauschen.
Hochwertige IT-Sicherheit durch zweistufige Firewalls
An den Übergängen zum Internet müssen unbefugte Zugriffe, Spam, Viren und sonstiger Schadcode zuverlässig abgeblockt werden. An dieser Stelle setzt das Unternehmen Firewalls des Typs Genugate ein. Bei dieser Lösung des deutschen Herstellers Genua sind zwei unterschiedliche Firewalls – ein Application Level Gateway und ein Paketfilter – zu einem mehrstufigen System kombiniert. Die Firewalls laufen auf separater Hardware, sind aber in Reihe geschaltet.
Durch die zweistufige Konstruktion lassen sich ohne weiteres Equipment separate Sicherheitszonen bilden: Server, die Dienste im Internet anbieten wie Websites, Kundenportale oder Einwahlknoten für mobile Anwender, kommen in die so genannte demilitarisierte Zone (DMZ). Diese wird zwischen beiden Firewalls eingerichtet, zum Internet ist das Application Level Gateway vorgeschaltet, zum LAN von Kübler Lubrication der Paketfilter. Das LAN istzusätzlich durch den Paketfilter von der DMZ getrennt. Daten auf dem Weg vom Internet zum LAN müssen also beide Firewalls passieren.
Zuerst gelangen die Datenpakete zum Application Level Gateway. Dies ist das aufwändigere der beiden Firewall-Systeme und überprüft den Inhalt des Datenstroms. Dazu stoppt es zunächst die eintreffenden Pakete und setzt sie zu Datensätzen zusammen. Denn nur anhand kompletter Datensätze kann der Inhalt überprüft werden. Jetzt analysieren spezielle Prüfprogramme sowie zusätzlich ein Virenscanner den Inhalt der empfangenen Daten. Unerwünschter und gefährlicher Code wie aktive Inhalte, Viren und Spam können so zuverlässig identifiziert, abgeblockt oder gekennzeichnet werden.
Ist die Inhaltsprüfung bestanden, erreichen Datenpakete in Richtung LAN den Paketfilter. Dieser prüft die formalen Informationen im Paket-Header. Nur wenn die Verbindung gemäß den konfigurierten Regeln erlaubt ist, werden die Daten an den Empfänger im LAN weitergeleitet. Die Kontrollmechanismen der beiden Firewalls arbeiten somit auf unterschiedlichen Ebenen und ergänzen sich. Ein weiterer Vorteil der Zweistufigkeit: Sollte mal eine Firewall ausfallen oder gar von einem Angreifer ausgehebelt werden, sichert immer noch das zweite System die Schnittstelle. Und da es sich dabei um ein anderes Firewall-System handelt, hilft dem Angreifer auch sein Wissen aus dem ersten Hack nicht weiter. „Durch die Mehrstufigkeit und vor allem das Application Level Gateway mit seinen zahlreichen Filterfunktionen erreichen wir an der kritischen Schnittstelle zum Internet ein hohes Sicherheitsniveau“, erklärt Florian Fröhler.
Qualitätssiegel: BSI-Zertifikat nach CC EAL 4+
Dass diese abgestimmte Kombination von zwei Firewall-Systemen hochwertige IT-Sicherheit bietet, wurde von unabhängiger Seite bestätigt. Die Firewall Genugate 6.3 wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem internationalen Standard Common Criteria (CC) in der Stufe EAL 4+ zertifiziert. Dieses Sicherheitszertifikat ist das Ergebnis einer unabhängigen Qualitätskontrolle, die beim Level EAL 4 ein ausführliches Testprogramm sowie die Überprüfung des Quellcodes einschließt.
Angesichts des erheblichen Aufwandes ist EAL 4 die höchste Zertifizierungsstufe, die komplett auf komplexe Systeme wie Firewalls anwendbar ist. Da die Genugate aber beim Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten und unter günstigen Bedingungen geschickt ausgeführten Angriffen wird stärkster Widerstand entgegengesetzt – hat das BSI den Zusatz „Highly Resistant“ vergeben. Genugate ist die einzige Highly Resistant Firewall der Welt.
An einzelnen Standorten sind jeweils zwei Genugates als Cluster installiert. So teilen sich die Firewalls die Arbeit und beobachten dabei stets den Partner, um bei einem Ausfall sofort dessen Aufgabe übernehmen zu können. So wird sichergestellt, dass die Verbindung zum Internet jederzeit verfügbar und sicher ist.
VPN ist nicht zu knacken
Das VPN für den sicheren Datenaustausch zwischen den Unternehmensstandorten wird mit Appliances des Typs GenuCrypt aufgebaut. Diese VPN-Appliances sind ebenfalls Lösungen des IT-Sicherheitsunternehmens Genau und werden an den Hubs sowie den weiteren Niederlassungen installiert. Mit dem AES-Verfahren und Keys von 256 Bit erzeugen diese zwischen den Teilnehmern verschlüsselte Verbindungen via Internet, die mit heutigen Methoden nicht zu knacken sind. So können sensible Daten sicher und kostengünstig übertragen werden. Da die kompakte Appliance zudem ohne Lüfter und Festplatte auskommt, ist die Hardware wartungsfrei und kann auch an Standorten eingesetzt werden, an denen keine technische Betreuung geleistet wird.
Administriert werden die weltweit verteilten VPN-Appliances über die Central Management Station GenuCenter. Das Management-System von Genua zeigt in übersichtlichen Darstellungen den Status aller Appliances, und Änderungen und Updates können mittels Gruppierungs-Funktionen gleichzeitig auf beliebig viele Systeme übertragen werden. Neue Appliances lassen sich mit wenigen Klicks in den VPN-Verbund hinzufügen und mit bewährten Konfigurationen ausstatten. Die Firewall kann ab dem Release 7.0 auch über die Central Management Station verwaltet werden.
„Die Lösungen bieten eine starke Sicherheitsleistung und der Kundenservice nimmt uns viele Aufgaben ab und löst auftretende Probleme sehr schnell. Mit Hilfe von Genua erreichen wir ein hohes Sicherheitsniveau.“ (Zitat Florian Fröhler)
Routineaufgaben, wie zum Beispiel Logfiles auswerten oder neue User anlegen, erledigen die Administratoren von Klüber Lubrication; umfangreichere Aufgaben übernimmt dagegen der Kundenservice des Herstellers. Dieser Service erfolgt bereits auf der ersten Support-Stufe direkt durch Genua und nicht durch einen anderen Dienstleister, wie es in der IT-Branche leider häufig der Fall ist. Die Support-Spezialisten des Herstellers haben die Sicherheitssysteme bei Klüber Lubrication über ein Monitoring-Tool ständig im Blick und können via VPN auf das Central Management System zugreifen, um Administrationsaufgaben oder auch Störungen zu bearbeiten. Das Unternehmen arbeitet bereits seit 1999 mit Genua zusammen.
Dr. Michaela Harlander, GeNUA
