Security Gateway

für File und E-Mail-Transfer

Bedürfnis

Durch zunehmende Vernetzung sind kritische Infrastrukturen vermehrt Angriffen ausgesetzt. Gerade bei der Verarbeitung und der Ablage von elektronischen Daten müssen diese entsprechend ihrer Sensitivität geschützt werden. Dieser Schutz muss auch gewährleistet sein, wenn die Daten zwischen Systemen und Organisationseinheiten ausgetauscht werden. Dies zu erreichen, setzt ein systematisches Vorgehen und nachvollziehbare Prozesse voraus. Die zwei Schlüsselelemente sind dabei die Klassifizierung der Daten und die Bildung von unterschiedlich gehandhabten Sicherheitszonen. Zu diesem Zweck ist es üblich, für beide konsequent einzuhaltende Richtlinien zu definieren.

Die Kommunikation muss zwingend nach vordefinierten Regeln stattfinden und die Zonenübergänge müssen durch geeignete Systeme angemessen geschützt werden.

Solution

Werden Daten zwischen Sicherheitszonen mit verschiedenen Schutzniveaus ausgetauscht, ist dafür ein Zonenübergang notwendig. Bei einem Datentransfer in eine weniger sichere Zone müssen diese durch eine vorgängige Autorisierung deklassifiziert werden – ansonsten droht ein Verlust von deren Vertraulichkeit und Integrität. Umgekehrt muss mit Daten verfahren werden, die von einer weniger geschützten Zone in eine sicherere Zone transferiert werden, sollen sie nicht die Sicherheit der gesamten Zielzone gefährden.

Eine hierfür entwickelte Datenschleuse dient als Security Gateway für die Übertragung von Daten zwischen verschieden klassifizierten Sicherheitszonen und ebenso deren Austausch zwischen physisch getrennten Netzen. Dies wird durch die Verwendung eines Zwischen-
speichers ermöglicht, analog einer Schiffsschleuse: Die Datenschleuse stellt sicher, dass jeweils gleichzeitig nur eine Verbindung zwischen einem Netzwerksegment und dem Zwischenspeicher besteht. Sie verhindert den direkten physischen Kontakt zwischen den zwei Netzwerksegmenten. Während sich die Dateien im Zwischenspeicher befinden, können sie einer inhaltlichen und formalen Prüfung unterzogen werden.

Die Datenschleuse ermöglicht die Datenübertragung zwischen physisch und logisch voneinander getrennten Netzen. Dabei ist sichergestellt, dass nie eine direkte Verbindung zwischen den verschiedenen Netzen aufgebaut wird (Store-and-forward-Prinzip). Mithilfe dieser Kernfunktionalität lassen sich verschiedene Lösungen für häufig auftretende Bedürfnisse umsetzen.

Nutzen

  • Gefilterte Datenübertragung zwischen physisch getrennten Netzen.
  • Automatisches Herunterladen von Software-Updates oder Virendefinitionen.
  • Zeitsynchronisation
  • Nutzung von E-Mails aus isolierten Systemen.
  • Sämtliche Anwendungen, welche über die Datenschleuse betrieben werden, benötigen nur eine temporäre Verbindung.
  • Unterstützende Beratung für die Definition von kundenspezifischen Lösungen zur Datenübertragung über die Zonengrenzen hinweg.

Referenzen

Die Vernetzung Kritischer Infrastrukturen – mit gleicher und/oder unterschiedlicher Sicherheitseinstufung – muss über äusserst wirksame und zuverlässige Schutzprozeduren erfolgen. Crypto-Security-Gateway-Lösungen wurden spezifisch für solche Szenarien entwickelt und eingesetzt. Sie bewähren sich z. B. erfolgreich in Infrastrukturen zur Energieerzeugung.

Die Datenschleuse separiert physisch die Zonen bzw. das Netzwerk – ein direkter Kontakt zwischen den Netzen wird vermieden. Daten können nach dem Store-and-Forward-Prinzip nach individuellen Regeln analysiert und gegebenenfalls verworfen werden.

Damit lässt sich die Verantwortung für existenzielle Infrastrukturbereiche in Wirtschaft und Gesellschaft mit massgeschneiderten Lösungen absichern.

+41 41 749 77 22
Kontakt