Das Wiener Bundesrechenzentrum betreibt die Mission-Critical-IT-Infrastruktur des österreichischen Bundesministeriums für Justiz. Eine zentrale Aufgabe ist es, die rund 12 000 Mitarbeiter vor allen Gefahren aus dem Internet und speziell dem Web 2.0 zu schützen.
Gerichte, Staatsanwaltschaften, Justizanstalten und das österreichische Bundesministerium für Justiz selbst nutzen seit mehr als 20 Jahren die IT-Kompetenz des Wiener Bundesrechenzentrums (BRZ). Hier laufen auch die zentralen Applikationen der Justiz. Alle Mitarbeiter und Justizeinrichtungen sind in das sogenannte Corporate Network Austria (CNAx) eingebunden. Auch die Kommunikation mit den anderen Ministerien, den zugehörigen Dienststellen und den Bürgern wird über das BRZ abgewickelt. VoIP-basiert können auch Telefongespräche und Videokonferenzen abgewickelt werden. Das CNAx ist ferner die Grundlage für das E-Mail-System (IBM Lotus Notes) und für den Zugang aller Justizbediensteten zum Internet. Zur sicheren Nutzung des Internets hatte das BRZ bereits vor einigen Jahren eine erste Lösung eingeführt. Die inzwischen veraltete Technologie zeigte aber allmählich im täglichen Betrieb deutliche Schwächen. Die Software musste auf sechs Proxyservern installiert und gewartet werden. Dabei wurde nicht nur teurer Stellplatz in den Racks belegt, sondern auch viel Verwaltungsaufwand erzeugt. Zudem handelte es sich bei dem insgesamt drei Jahre lang genutzten Produkt um einen reinen URL-Filter, dessen Datenbank nicht mit der Geschwindigkeit im Web mithalten konnte. «Viele Seiten waren unzutreffend oder gar nicht kategorisiert», erläutert Günter Plessberger, Senior System-Engineer beim Bundesrechenzentrum in Wien. «Dadurch ist es vorgekommen, dass gefährliche Webseiten nicht gesperrt und andere, die eigentlich zugänglich sein müssten, blockiert waren. Wir konnten uns eigentlich nicht darauf verlassen», erklärt Plessberger rückblickend. Ein gravierender Mangel, da das BRZ den sicheren Webzugang für das Justizministerium gewährleisten muss. Reinem Glück hatte man es zu verdanken, dass Trojaner oder anderer Schadcode nie in das Netz eindringen konnte oder einzelne Rechner lahmgelegt haben.
Appliance aus Hard- und Software
Auf der Suche nach einer neuen Lösung, wurde recht schnell klar, dass eine vorkonfigurierte Appliance die zentralen Anforderungen am besten erfüllt: Technologie auf dem neusten Stand, eine sichere Nutzung des Internet, die inhaltliche Überwachung von dynamisch sich ändernden Web-2.0-Seiten in Echtzeit und die Kontrolle von SSL-verschlüsseltem Datenverkehr. Die BRZ-Security-Fachleute analysierten dazu den Markt, holten Angebote ein, stellten Vergleiche an und präsentierten dem Justizministerium dann die Lösung: Die zuvor genutzten sechs Rechner mit Microsoft Internet Security and Acceleration Server (ISA Server) werden durch zwei Websense Secure Gateway V10000 Appliances ersetzt. «Die Lösung ist technisch ausgereift und hat unsere Vorgaben zum Schutz vor sich ständig ändernden Bedrohungen aus dem Web am besten erfüllt», kommentiert Plessberger. Dem System Engineer zufolge zeichnet sich das System durch eine einfache Implementierung, eine flexible Erweiterbarkeit und eine hohe Performance aus. Das kombinierte Hardware-/Software-System spart Platz im Serverraum und macht die Anschaffung neue Serversysteme überflüssig.
Die integrierte Redundanz und Hochverfügbarkeit gewährleistet kontinuierlichen Schutz, selbst wenn einzelne Komponenten ausfallen sollten. Die Appliance nutzt zudem Virtualisierungstechnologie, um mehrere Security-Funktionen unabhängig voneinander auszuführen, beispielsweise Virenschutz, Reputations- und Verhaltensanalysen von Webseiten oder die Kontrolle von Netzwerkprotokollen. Dadurch können die Administratoren einzelne Komponenten flexibel administrieren und bei Bedarf unabhängig voneinander stoppen bzw. neu starten. Die virtualisierte Architektur unterstützt zudem auch künftige Upgrades oder Erweiterungen, ohne dass zusätzliche Hardware eingekauft werden muss. Auf der nächsten Seite: Gefahrenklassifizierung und Lösungsansatz
Gefahrenklassifizierung
Herzstück der Lösung bilden die Klassifikations- und Content-Inspection-Funktionen des Websense ThreatSeeker: Diese klassifiziert in Echtzeit bekannten und sich ständig ändernden Content, um zu entscheiden, ob eine Webseite sowie deren Inhalte sicher sind. Dabei wird der gesamte Content – und nicht nur die Webseite selbst – kategorisiert. Mit diesem fein abgestuften Ansatz lässt sich der Zugriff auf Webseiten so steuern, dass ein Zugang auf sichere Elemente erlaubt ist, andere, als hochriskant eingestufte Inhalte aber nicht zugänglich sind. Warum das so wichtig ist, erklärt Plessberger so: «Für die Mitar- beiter bei den Staatsanwaltschaften und anderen Ermittlungsbehörden ist die Blockade bestimmter Webseiten kein gangbarer Weg. Im Rahmen ihrer Tätigkeiten benötigen sie ja gerade einen möglichst uneingeschränkten Zugang.» Darüber hinaus schützt die Lösung vor Bedrohungen, die sich aus Spams oder böswilligen Links ergeben, wie sie in Blogs, User-Foren oder auf Social-Networking-Seiten zu finden sind. Spezielle Technologien suchen nach Sicherheitsrisiken jeder Art. Dazu wird in Echtzeit der auf solchen Seiten gepostete Inhalt analysiert und gefährliche Malware geblockt. «Gerade solche Funktionen sind für viele Mitarbeiter des Justizministeriums unverzichtbar», erläutert Plessberger. «Sie müssen sich ungehindert im Web 2.0 bewegen können und dennoch jederzeit sicher vor bekannten und potenziellen Bedrohungen sein.»
Zentrale Lösung für alle
Genutzt wird die Lösung von allen Workstations in den rund 240 Dienststellen der österreichischen Justiz. Dazu kommen die über 600 Notebooks, von denen sich die Mitarbeiter – ausgestattet mit mobilem Breitband – über einen gesicherten Zugang in das Corporate Network Austria einloggen und von dort auch ins Internet einsteigen. Die Integration in das Microsoft Active Directory sorgt für eine sehr komfortable Möglichkeit, Anwender in Gruppen zusammenzufassen und sie mit bestimmten Benutzerrechten auszustatten. Die einfache Bedienung, das zentrale Management und die problemlose Erstellung von Reports mit der Appliance spare viel Zeit und Geld, resümiert Plessberger. Damit habe das BRZ sein Ziel erreicht: «eine unkomplizierte, aber dennoch wirksame Umsetzung und Kontrolle der anspruchsvollen Sicherheitsrichtlinien für das Bundesministerium der Justiz». Michael Rudrich ist Regional Director Central Europe bei Websense Jürgen Wasem-Gutensohn ist Redakteur bei der Beratungsgesellschaft für strategische Kommunikation PR-COM in München
