Effizienter Datenschutz ist für das Schweizerische Rote Kreuz (SRK) von zentraler Bedeutung: Das breite Aufgabenspektrum der Organisation bringt es mit sich, dass am Hauptsitz in Bern personenbezogene Daten wie etwa Patientendaten von Kriegsfolteropfern, Organspendern beziehungsweise Organempfängern, elektronisch vorgehalten werden müssen. Die Sicherheit dieser Datenbestände wird innerhalb des SRK sehr ernst genommen. Zudem muss der Zugriff auf die Datensätze rund um die Uhr sichergestellt sein.

Bisher vertraute das SRK dafür auf eine Firewall-Lösung mit zwei geclusterten Inhouse Appliances, die von einer externen Firma im Rahmen eines Outsourcing-Vertrages betreut wurden. Die Nachteile dieses Verfahrens machten sich mit der Zeit immer störender bemerkbar: Für jede kleinste Konfigurationsänderung musste bei der betreuenden Firma ein schriftlicher Änderungsantrag gestellt werden. Darüber hinaus wurden die gewünschten Changes oft mit Verzögerung implementiert. Beim SRK entstand zudem der Eindruck, dass das Produkt nicht mehr aktiv weiter entwickelt wurde. So verfügte die Lösung beispielsweise nicht über die zunehmend wichtigeren Intrusion-Prevention-Funktionen. Auch waren keine Auswertungsmöglichkeiten über die Firewall-Aktivitäten vorgesehen, das SRK erhielt lediglich einmal pro Monat ein einfaches Reporting über die momentan aktuellen Gefahren (Virenwarnungen) und über das von der Firewall geprüfte Verkehrsvolumen in MBytes.

Schlimmer noch: Die alte Lösung war nicht mehr zuverlässig. Nach einigen Hardware-Ausfällen stand bei den IT-Verantwortlichen des SRK fest: Jetzt musst das System abgelöst werden. Benno Stucki, Leiter der SRK ICT Services, die für alle Schweizer Rotkreuz-Institutionen IT-Dienstleistungen erbringen: «Wir haben uns entschieden, den Betrieb der Firewall nicht länger in fremde Hände zu geben. Stattdessen suchten wir eine Inhouse-Lösung.»

Bei der Evaluation waren Aspekte wie Hochverfügbarkeit, Markenbekanntheit des Produkts und gute Referenzen wichtige Auswahlkriterien. Darüber hinaus sollte sich die Lösung nahtlos in die bestehende Infrastruktur einbinden lassen und alle Sicherheitsbedürfnisse des Perimeterschutzes vollumfänglich abdecken. Überdies sollte das neue System einfach in der Handhabung und kostengünstig im Unterhalt sein. Die Lösung sollte zudem über genügend Performance-Reserven verfügen, damit nach der Beschaffung auch der Investitionsschutz für einige Jahre gesichert bleibt. «Als Non-Profit-Organisation sind wir ganz besonders darauf angewiesen, unsere Hilfsmittel kostengünstig zu beschaffen und zu betreiben», erklärt Benno Stucki.

In einer ersten Sondierungsphase verschafften sich Benno Stucki und sein Team durch das intensive Studium von Fachliteratur einen umfassenden Überblick über die Möglichkeiten und entsprechende Produkte. Dabei wurden auch zahlreiche Erfahrungsberichte anderer Anwender sowie Whitepapers mit ins Kalkül gezogen.

Der langjährige Netzwerk-Implementierungspartner des SRK, die Netlan in Belp, brachte schliesslich den Hersteller Fortinet ins Spiel und berichtete von erfolgreichen Implementierungen bei anderen Kunden. Daraufhin verglich man beim SRK die Ergebnisse der eigenen Recherchen mit den von Netlan gelieferten Daten sowie den technischen Daten der FortiGate Applian-ces von Fortinet. Diese ASIC-beschleunigten Firewalls verstehen sich als Realtime-Security-Gateways, welche die Funktionen Stateful Firewall, VPN, Antivirus, IPS, Web Content Filtering, Antispam und Traffic Shap-ing vereinen.

Dieses Konzept überzeugte das SRK-IT-Team und Fortigate erhielt den Zuschlag für das Projekt. Daraufhin wurden in den beiden Rechenzentren in Bern zwei grössere FortiGate Appliances implementiert. Diese arbeiten im High-Availability-Modus. Ergänzt wird das System durch eine Appliance namens FortiAnalyzer, welche das zentrale Logging und Reporting mehrerer FortiGate Firewalls erlaubt. Für den Remote-Zugriff setzen die Systemadministratoren auf ihren Notebooks und PCs zusätzlich die Endpoint-Security-Software FortiClient ein. Kleinere Aussenstellen, die von dem ASP-Angebot der Berner Zentrale Gebrauch machen möchten, können jetzt bei Bedarf ebenfalls mit Fortinet Appliances ans Internet angeschlossen werden.

In Bern ist man mit dem neuen Rundumschutz zufrieden. Das Produkt besticht durch einfache Konfigurier- und Wartbarkeit, das Userinterface ist verständlich aufgebaut. «Die Administratoren schätzen es, dass das Webinterface für jeden Firewall-Typen - ob klein oder gross - immer gleich aufgebaut ist», führt Stucki aus. «Dies reduziert den Trainingsaufwand und verhindert Konfigurationsfehler weitgehend.»

Erstaunlich sei auch, so der IT-Experte, dass die Spam-Erkennung recht gut sei, obwohl Fortinet klar zum Ausdruck bringe, dass die integrierte Spam-Erkennung nicht als vollwertiges Werkzeug gedacht sei und nebenher nach wie vor eine separate Spam Appliance eingesetzt werden sollte. Last but not least ermöglicht der FortiAnalyzer dem IT-Verantwortlichen, die immer umfassender werdenden Compliance-Erfordernisse auf einfache Art und Weise nachzuweisen.

Die Kostenfrage beantwortet Stucki folgendermassen: «Sicherheit kann nicht monetär quantifiziert werden. Erst wenn ein Schaden entstände, wäre die Rechnung aussagekräftig. Dieser Schaden könnte aber katastrophal sein - man denke nur an den Image- und Vertrauensverlust ins SRK.»

Immerhin soviel kann Stucki aber schon heute sagen: «Verglichen mit der einstigen, ausgelagerten Lösung spart das SRK bei den wiederkehrenden Kosten jetzt ungefähr 40 Prozent.»

Die Organisation

Als nationale Rotes-Kreuz-Gesellschaft der Schweiz und Teil der weltweiten Rotes-Kreuz- und Roter-Halbmond-Bewegung, unterstützt das 1866 von General Guillaume-Henry Dufour und Bundesrat Jakob Dubs in Bern gegründete SRK weltweit Menschen in Not.

Kantonalverbände und Mitgliederorganisationen wie etwa die Rettungsflugwacht, der Samariterbund, die Lebensrettungs-gesellschaft oder der Verein für Katastrophenhunde «Redog» erhalten Unterstützung von zahlreichen Gönnern, 50000 Freiwilligen und über 400000 Mitgliedern. Die Kerntätigkeiten im Inland konzentrieren sich auf das Gesundheitswesen, den sozialen und sozialmedizinischen Bereich, die Migration und Integration von Flüchtlingen sowie Erste Hilfe und Rettungswesen. Im Ausland engagiert sich das SRK in der humanitären Hilfe in Kriegs- und Katastrophensituationen, im Wiederaufbau und in der sozialen Entwicklung zur Schaffung menschenwürdiger Lebensbedingungen.

SRK ICT Services bietet seine ICT-Dienste allen Rotes-Kreuz-Institutionen (z.B. Samariterbund, Rettungsflugwacht, Schweiz. Lebensrettungsgesellschaft und viele mehr) in der gesamten Schweiz an und fungiert als ASP-Provider. Die Bürostandorte der Institutionen, die das ASP-Angebot des SRK wahrnehmen möchten, werden via Internet mit dem Rechenzentrum in Bern verbunden. Um ein sicheres Arbeiten auf den Terminalservern des SRK gewährleisten zu können, werden die Daten zwischen dem Berner Rechenzentrum und den angeschlossenen Institutionen über einen VPN-Tunnel transportiert.