Abwehr am Perimeter

Würth dreht an der Sicherheitsschraube

Schulze ist freier Autor der Website CIO.de und dem CIO-Magazin.
Zum Schutz vor Angreifern und ungebetenen Gästen im Netz hat die Würth-Gruppe, eines der größten und bekanntesten deutschen Familienunternehmen mit weltweiter Präsenz, ein mehrstufiges Firewall-Konzept umgesetzt, das am Perimeter keine Angriffsflächen offen lässt.

Frühjahr 2014: Hacker erbeuten die persönlichen Daten von 4,5 Millionen Krankenhauspatienten in den USA. Ebenfalls in dieser Zeit greifen Unbekannte stattliche 145 Millionen Zugangsdaten beim Internet-Auktionator eBay ab. Und als wenn der Diebstahl von Daten ein sportlicher Wettbewerb sei, verschaffen sich im August 2014 russische Angreifer Zugriff auf rekordverdächtige 1,2 Milliarden Passwörter rund um den Globus. Dagegen scheint der erfolgreiche Angriff 2013 auf die FDP, bei dem Nutzerdaten der Web-Site der Liberalen im Internet veröffentlicht wurden, direkt harmlos.

Egal, ob Mittelständler, Großunternehmen oder Behörde: Organisationen aller Art müssen jederzeit mit folgenschweren Angriffen über die unterschiedlichsten Angriffsvektoren rechnen. Fast ein Drittel der Unternehmen in Deutschland, so eine Studie des IT-Branchenverbands Bitkom vom März 2014, habe in den vergangenen zwei Jahren Angriffe auf die IT-Systeme verzeichnet. In 30 Prozent der Fälle sei der Angriff über das Internet erfolgt. Die Folgekosten sind immens. Ein großer Virenschutzanbieter rechnete bereits 2013 vor, dass ein Cyberangriff die großen Unternehmen mit mehr als 1500 Mitarbeitern durchschnittlich 479.000 Euro kostete. Kleine und mittlere Unternehmen kommen günstiger davon, hier stehen "nur" 42.000 Euro pro Angriff in der Ausgabenspalte der Buchhaltung.

Maximaler Schutz

Gute Gründe für prominente Unternehmen, in den Schutz der IT zu investieren. So auch die im baden-württembergischen Künzelsau ansässige Würth-Gruppe. Die idyllische Kleinstadt am Kocher ist Hauptsitz des vor allem für Befestigungstechnik bekannten Mutterunternehmens Adolf Würth GmbH & Co. KG und zentrale Verwaltung für weltweit über 400 Tochtergesellschaften mit mehr als 65.000 Mitarbeitern.

Die Würth-Zentrale in Künzelsau.
Die Würth-Zentrale in Künzelsau.
Foto: Philipp Schönborn

Auch wenn viele Niederlassungen ihre IT in weiten Teilen selbst betreiben: Ein erheblicher Teil des Datenverkehrs der Würth-Gruppe wird über das Rechenzentrum in Künzelsau-Gaisbach abgewickelt. Um bei ein- und ausgehenden Daten die notwendige Sicherheit zu gewährleisten, setzt Würth am Perimeter des Rechenzentrums auf hochsichere Firewalls, wie Matthias Sturm, bei Würth für den operativen Betrieb der Firewalls zuständig, erläutert: "Wir nutzen Firewalls verschiedener Anbieter, um einen maximalen Schutz zu den bestmöglichen Kosten zu erhalten. Die zentrale Komponente in diesem Ansatz sind Firewalls des Typs genugate des Herstellers genua. Diese haben unter anderem die kritische Aufgabe, den Zugriff von außen auf die bei uns gehosteten Dienste abzusichern."

Hardware-Firewalls aus der genua genugate-Produktfamilie kommen bei der Würth-Gruppe verstärkt zum Einsatz.
Hardware-Firewalls aus der genua genugate-Produktfamilie kommen bei der Würth-Gruppe verstärkt zum Einsatz.
Foto: genua

Die Entscheidung für diesen Anbieter hat laut Sturm mehrere Gründe: "Als deutscher Hersteller kann genua uns schnell und einfach Support vor Ort bieten, der für eine zentrale Sicherheitskomponente wie eine Firewall notwendig ist. Das Schutzniveau ist extrem hoch und zudem vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Und die Sicherheit ist ja letztlich das entscheidende Argument für eine Firewall", so Sturm.

Empfohlene P-A-P-Konfiguration

Die Firewall sei zweistufig ausgelegt, erläutert Sturm. Zum einen verfügt Würth damit über einen Paketfilter, der die Daten anhand der Header-Informationen kontrolliert. Zum anderen bietet die Firewall ein Application Level Gateway, das die Daten selbst prüft. Damit ist es mit relativ geringem Aufwand möglich, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene P-A-P-Konfiguration aus Paketfilter, Application Level Gateway und einem weiteren Paketfilter aufzubauen: "Indem wir einen Paketfilter eines anderen Herstellers mit der genugate kombinieren, erfüllen wir vollständig die aus Sicht der IT-Sicherheit sehr sinnvolle BSI-Empfehlung."

Dieses Sicherheitskonzept fordert von den Firewall-Administratoren, die alle Firewalls im Unternehmen zentral verwalten, etwas Engagement: Das Konzept der Firewall basiert darauf, Verbindungen zu terminieren. Das bedeutet, dass alle ein- und ausgehenden Datenpakete von der Firewall so angenommen werden, als wären die Pakete für sie bestimmt. Nach der Prüfung der Pakete verschickt die Firewall die Daten über eine neue Verbindung an den ursprünglichen Empfänger. "Hieraus ergeben sich ein paar Besonderheiten, an die man sich erst gewöhnen muss", resümiert Sturm. "Im täglichen Betrieb werden diese Aspekte aber schnell zur Routine."

Auf der anderen Seite haben die terminierenden Verbindungen auch deutliche Vorteile. Etwa, wenn neuartige Angriffe über IPv6 abgewehrt werden sollen: Durch die Extension-Header bietet das neue Protokoll zahlreiche Möglichkeiten. Die Diskussion darüber, welche Merkmale bei der Implementierung unterstützt werden sollen und welche nicht, ist noch nicht abgeschlossen. Diese Header-Funktionen erlauben Angriffe, die sich sehr effizient über eine terminierende Verbindung unterbinden lassen: Das Application Level Gateway als logischer Endpunkt der Datenübertragung erzeugt beim Weiterversand einen neuen Header, der von der internen IT vorgegeben wird. Damit laufen Angriffsversuche ins Leere.

Inhalt dieses Artikels