Sicher unterwegs im Web 2.0

Gerichte, Staatsanwaltschaften, Justiz­anstalten und das österreichische Bundesministerium für Justiz selbst nutzen seit mehr als 20 Jahren die IT-Kompetenz des Wiener Bundesrechenzentrums (BRZ). Hier laufen auch die zentralen Applikationen der Justiz. Alle Mitarbeiter und Justizeinrichtungen sind in das sogenannte Corporate Network Austria (CNAx) eingebunden. Auch die Kommunikation mit den anderen Ministerien, den zugehörigen Dienststellen und den Bürgern wird über das BRZ abgewickelt. VoIP-basiert können auch Telefongespräche und Videokonferenzen abgewickelt werden. Das CNAx ist ferner die Grundlage für das E-Mail-System (IBM Lotus Notes) und für den Zugang aller Justiz­bediensteten zum Internet.

Zur sicheren Nutzung des Internets hatte das BRZ bereits vor einigen Jahren eine erste Lösung eingeführt. Die inzwischen veraltete Technologie zeigte aber allmählich im täglichen Betrieb deutliche Schwächen. Die Software musste auf sechs Proxyservern installiert und gewartet werden. Dabei wurde nicht nur teurer Stellplatz in den Racks belegt, sondern auch viel Verwaltungsaufwand erzeugt. Zudem handelte es sich bei dem insgesamt drei Jahre lang genutzten Produkt um einen reinen URL-Filter, dessen Datenbank nicht mit der Geschwindigkeit im Web mithalten konnte. «Viele Seiten waren unzutreffend oder gar nicht kategorisiert», erläutert Günter Pleßberger, Senior System-Engineer beim Bundesrechenzentrum in Wien. «Dadurch ist es vorgekommen, dass gefährliche Webseiten nicht gesperrt und andere, die eigentlich zugänglich sein müssten, blockiert waren. Wir konnten uns eigentlich nicht darauf verlassen», erklärt Pleßberger rückblickend. Ein gravierender Mangel, da das BRZ den sicheren Webzugang für das Justizministerium gewährleisten muss. Reinem Glück hatte man es zu verdanken, dass Trojaner oder anderer Schadcode nie in das Netz eindringen konnte oder einzelne Rechner lahmgelegt haben.

Appliance aus Hard- und Software

Auf der Suche nach einer neuen Lösung, wurde recht schnell klar, dass eine vorkonfigurierte Appliance die zentralen Anforderungen am besten erfüllt: Technologie auf dem neusten Stand, eine sichere Nutzung des Internet, die inhaltliche Überwachung von dynamisch sich ändernden Web-2.0-Seiten in Echtzeit und die Kontrolle von SSL-verschlüsseltem Datenverkehr. Die BRZ-Security-Fachleute analysierten dazu den Markt, holten Angebote ein, stellten Vergleiche an und präsentierten dem Justizministerium dann die Lösung: Die zuvor genutzten sechs Rechner mit Microsoft Internet Security and Acceleration Server (ISA Server) werden durch zwei Websense Secure Gateway V10000 Appliances ersetzt. «Die Lösung ist technisch ausgereift und hat unsere Vorgaben zum Schutz vor sich ständig ändernden Bedrohungen aus dem Web am besten erfüllt», kommentiert Pleßberger. Dem System Engineer zufolge zeichnet sich das System durch eine einfache Implementierung, eine flexible Erweiterbarkeit und eine hohe Performance aus. Das kombinierte Hardware-/Software-System spart Platz im Serverraum und macht die Anschaffung neue Serversysteme überflüssig.

«Für Staatsanwaltschaften und Ermittlungsbehörden ist die Blockade von Webseiten kein gangbarer Weg»

Die integrierte Redundanz und Hochverfügbarkeit gewährleistet kontinuierlichen Schutz, selbst wenn einzelne Komponenten ausfallen sollten. Die Appliance nutzt zudem Virtualisierungstechnologie, um mehrere Security-Funktionen unabhängig voneinander auszuführen, beispielsweise Virenschutz, Reputations- und Verhaltensanalysen von Webseiten oder die Kontrolle von Netzwerkprotokollen. Dadurch können die Administratoren einzelne Komponenten flexibel administrieren und bei Bedarf unabhängig voneinander stoppen bzw. neu starten.

Die virtualisierte Architektur unterstützt zudem auch künftige Upgrades oder Erweiterungen, ohne dass zusätzliche Hardware eingekauft werden muss.

Auf der nächsten Seite: Gefahrenklassifizierung und Lösungsansatz