Thought Leadership
Größter Containerterminal-Betreiber Europas sichert IT und Datenkommunika-tion mit einem hochverfügbaren Firewall-Cluster.
Der globale Handel hat eine universelle Verpackung: den Container. Ob Texti-lien, Fernseher, Rohstahl, gekühltes Obst oder Benzin – alles findet Platz in den genormten Boxen. Die meisten davon reisen auf Containerschiffen rund um die Welt, und es werden immer mehr. Um 10 Prozent pro Jahr wächst derzeit der Containertransport und im Gleichschritt sowohl die Anzahl als auch Größe der Schiffe. Auf den neuesten Containerschiffen stapeln sich bis zu 14.500 TEUs (Twenty-foot Equivalent Unit, Standard-Container). Im Zielhafen spielt der Container seinen großen Vorteil aus: Statt die Waren umständlich einzeln umzuladen, wird die gesamte Box für den anschließenden Transport einfach auf die Bahn oder einen LKW umgesetzt. An dieser Schnittstelle ist gute Koordi-nation gefordert. Computer berechnen den optimalen Ablauf, damit alle Con-tainer schnell an der richtigen Stelle landen, und die Kunden werden stets über den Status ihrer Lieferung infomiert. Hier muss der Datenaustausch stets funk-tionieren, da Ausfälle zu längeren Schiffsliege- und Transportzeiten und damit hohen Kosten führen. Der größte europäische Containerterminal-Betreiber EU-ROGATE setzt zur hochverfügbaren Absicherung seiner Datenverbindungen an der Schnittstelle LAN-Internet ein Cluster mit zweistufigen Firewall-Systemen ein.
EUROGATE betreibt mit 6.600 Beschäftigten insgesamt neun Containertermi-nals in Europa, der größte ist Bremerhaven, der wachstumsstärkste Hamburg. Sobald hier ein Schiff anlegt, beginnen die großen Containerbrücken ihr Werk: Emsig fahren sie hin und her, ent- und beladen innerhalb kürzester Zeit die großen Schiffe. Ermöglicht wird das hohe Tempo durch perfekte Koordination. Software-Programme berechnen alle Abläufe und erstellen den optimalen Bela-dungsplan. So steht kein Container plötzlich im Weg oder muss mehrmals um-gesetzt werden.
Koordination erfordert ständigen Datenaustausch
Für diese Koordination der Abläufe müssen ständig Daten ausgetauscht wer-den: Reeder schicken per E-Mail Informationen über ihre Schiffsladungen, Con-tainer-Anlieferungen und den weiteren Abtransport. Der Terminalbetreiber bie-tet wiederum über das so genannte Infogate umfassende Informationen über den Status der Schiffsentladungen, damit die Kunden jederzeit wissen, wo sich jeder einzelne ihrer Container gerade befindet. Darüber hinaus steht EUROGA-TE ständig mit zahlreichen Partnern via Datenleitung in Kontakt, die weitere Logistik-Dienstleistungen oder Wartungsarbeiten erbringen. Sollte dieser Infor-mationsfluss einmal abreißen, würde die Arbeit auf den langen Kais innerhalb kurzer Zeit ruhen – und EUROGA-TE somit erhebliche Kosten entstehen.
„Damit beispielsweise ein Container aus Peking zum vereinbarten Termin beim richtigen Empfänger in Berlin ankommt, müssen ganz viele Räder exakt inein-andergreifen. Für dieses logistische Meisterwerk ist der zuverlässige Datenaus-tausch mit allen Beteiligten unbedingt erforderlich, IT- und Ausfallsicherheit ha-ben deshalb bei uns höchste Priorität“, erläutert Stephan Krause, IT-Adminis-trator bei EUROGATE in Hamburg. Bei dieser Aufgabe wird der Terminalbetrei-ber vom Hamburger IT-Beratungs- und Dienstleistungsunternehmen secion GmbH unterstützt.
Kritischer Punkt: Schnittstelle zum Internet muss gesichert werden
Entscheidend für eine zuverlässige Datenkommunikation ist die Absicherung des Übergangs zwischen dem lokalen Netz von EUROGATE und dem Internet. Hier empfahlen die IT-Spezialisten von secion den Einsatz von zwei Firewalls des Typs GeNUGate, die zu einem Cluster verbunden sind. „Bei diesen Anfor-derungen ist die Firewall GeNUGate die passende Lösung. Das System kann in einem Cluster hochverfügbar eingesetzt werden und bietet durch die Zweistu-figkeit eine Sicherheitleistung, die vom Bundesamt für Sicherheit in der Infor-mationstechnik geprüft und auf einem einzigartig hohen Level zertifiziert ist“, so Hellmuth Michaelis, Geschäftsführer von secion.
Die GeNUGate ist eine Sicherheitslösung des deutschen Firewall-Herstellers GeNUA aus Kirchheim bei München. Die Möglichkeit, GeNUGates in Clustern zusammenzufassen, ist ein wichtiges Merkmal: Die Systeme in den Clustern teilen sich die Aufgaben und überwachen sich gegenseitig. Sollte ein System ausfallen, übernimmt das andere kurzfristig die gesamte Last. So bilden die Firewalls einen leistungsstarken und hochverfügbaren Schutzriegel zwischen dem Internet und dem Firmennetz.
Sicher: Demilitarisierte Zone für Online-Dienste
Zusätzlich unterteilen die Firewalls den internen Bereich von EUROGATE in zwei separate Netze, die demilitarisierte Zone (DMZ) und das eigentliche Local Area Network (LAN). In der DMZ stehen die Systeme, auf die sowohl von außen aus dem Internet als auch aus dem LAN zugegriffen werden kann, z.B. das Infor-mationssystem Infogate. Das LAN mit den Clients ist dagegen noch stärker ab-geschottet. Hier sind abgesehen von gezielt zugelassenen Verbindungen keine Zugriffe von außen möglich. „Die neutrale Pufferzone zwischen Internet und LAN ist eine intelligente Lösung“, betont Stephan Krause: „So können wir unse-ren Kunden und Partnern nach außen komfortable Online-Dienste anbieten, ohne die Sicherheit unseres Firmennetzes zu gefährden.“
Die beiden internen Sicherheitszonen können problemlos eingerichtet werden, da GeNUGate zwei Firewall-Systeme in einer Lösung bietet: ein Application Level Gateway und einen Paketfilter. Beide Systeme sind unterschiedliche Firewall-Typen und laufen auf physisch getrennten Rechnern. So wird die DMZ vom Internet durch das Application Level Gateway abgeschirmt, während das LAN zweistufigen Schutz durch den zusätzlich vorgeschalteten Paketfilter ge-nießt.
Starker Schutz: Zwei Firewall-Systeme in einer Lösung
Daten aus dem Internet müssen also zwei Firewall-Systeme passieren, um ins LAN von EUROGATE zu gelangen. Aber bereits am ersten Kontrollpunkt ist ihr Weg zu Ende: Das Application Level Gateway stoppt die Datenpakete eine durchgehende Verbindung lässt es niemals zu. Das System schaut in die Pake-te hinein, analysiert die Inhalte und blockt schädliche Daten wie Viren oder aktiven Web Content.
Nach der sorgfältigen inhaltlichen Prüfung durch das Application Level Gateway gelangen die Daten zum zweiten Firewall-System, dem Paketfilter, unmittelbar vor dem LAN. Der Paketfilter ist noch restriktiver ausgelegt. Er lässt generell nur Datenpakete passieren, die zuvor aus dem LAN angefordert wurden. Dazu werden die Datenpakete auf der Netzwerk- und Transportebene anhand der Header-Informationen kontrolliert. Für andere Verbindungen von außen müs-sen gezielt einzelne Ports freigeschaltet werden.
Greylisting trickst Spammer aus
Gegen den lästigen Spam bietet die GeNUGate zudem mit Greylisting ein effi-zientes Verfahren. Greylistig basiert auf einem einfachen Trick: Bei jeder ein-gehenden E-Mail werden die drei Informationen IP-Adresse des sendenden Mails-Servers, Absender- sowie Empfängeradresse abgefragt. Wenn diese Dreier-Kombination zum ersten Mal vorkommt, wird die E-Mail abgewiesen, das neue Triple jedoch gespeichert. Seriöse Mail-Server unternehmen in die-sem Fall nach kurzer Zeit einen zweiten Zustellversuch. Jetzt ist die Dreier-Kombination bereits bekannt, die Post wird zum Empfänger durchgelassen. Spammer setzen dagegen auf Masse innerhalb möglichst kurzer Zeit und hal-ten sich nicht mit wiederholten Zustellungen auf. Deshalb scheitern sie am Greylisting. „Rund 30.000 E-Mails bekommen wir täglich zugestellt, durch das Greylisting werden aber nur 5.000 angenommen. Das lästige Spam-Problem ist somit entschärft“, sagt Stephan Krause.
Seit 2001 setzt EUROGATE zwei GeNUGates in einem Cluster ein, die regelmä-ßig mit Software-Updates vom Hersteller GeNUA an neue Gefahren angepasst werden. Stephan Krause resümiert: „Die GeNUGate mit zwei aufeinander abge-stimmten Firewalls, deren Kontrollmechanismen sich auf unterschiedlichen Ebe-nen ergänzen, bietet zuverlässigen Schutz für unser Netzwerk. Obwohl wir mit dem wachsenden Erfolg von EUROGATE immer mehr Angriffsversuche regis-trieren, hat die Lösung noch nie Sicherheitsprobleme zugelassen.“
Firewall GeNUGate ist auf hohem Niveau zertifiziert
Diese Einschätzung bestätigt auch das Bundesamt für Sicherheit in der Infor-mationstechnik (BSI). Es hat die zweistufige Lösung nach dem internationalen Standard Common Criteria (CC) in der Stufe EAL 4+ zertifiziert. Dies ist die höchste Stufe, die komplett auf ein komplexes Sicherheitssystem wie eine Firewall anwendbar ist. Die GeNUGate erfüllt jedoch beim wichtigen Sicherheits-merkmal „Selbstschutz gegen direkte Angriffe“ noch höhere Anforderungen – die Leistung entspricht hier den Anforderungen von Level EAL 6. Dies ist ein entscheidender Punkt: Eine Firewall muss selbst gegen alle Angriffe und Mani-pulationsversuche gewappnet sein, damit sie das anvertraute Netzwerk zuver-lässig sichern kann. Aufgrund dieser Leistung ist die Firewall zusätzlich als „Highly Resistant“ eingestuft – als einzige Firewall weltweit.
Dietmar Bruhns, www.genua.de
