Internet-Sicherheit

Anwenderbericht

Schutzwall fürs Schulsystem

Sascha Pfannstiel, Korbach

Das Ministerium für Bildung, Wissenschaft und Kultur Mecklenburg- Vorpommern verwaltet die landesweit größte Personaldatenbank mit elektronischen Akten von über 16.000 Lehrern. Cyber-Gangstern und Spionen stellt es beim Angriff auf die "Schulen am Netz" und das VPN zu den Schulbehörden sowohl Hardware-Firewalls als auch Verschlüsselungsgeräte entgegen.

----------Anfang Textkasten----------

Schweriner Schloss
Stadtmauern, Befestigungsanlagen, Burgen und Schlösser sind hier zu Lande die wohl ältesten Symbole für Schutz gegen Angreifer. Das ist beim 1080 erstmals erwähnten Schweriner Schloss nicht anders. Im Mittelalter flüchteten sich die Einwohner hinter die direkt im Stadtzentrum auf der Burginsel errichteten Steinmauern, wenn Raubritter und marodierende Banden nach Hab und Gut der Städter trachteten.

Ministerium für Bildung, Wissenschaft und Kultur Mecklenburg-Vorpommern Landeswappen
Nur einen Steinwurf vom Schweriner Schloss mit seinen goldglänzenden Türmen entfernt, befindet sich heute das Ministerium für Bildung, Wissenschaft und Kultur Mecklenburg-Vorpommern. Im elektronischen Zeitalter wehren dort Firewalls und komplexe Schutzmechanismen unsichtbare Eindringlinge aus dem weltweiten Computernetz ab: Wer in die Behördenrechner eindringen will, muss digitale Schutzwälle, elektronische Gräben und softwaregesteuerte Wachtposten überwinden.

 

----------Ende Textkasten----------

Allein die Anschriften der Lehrer wären fette Beute für kriminelle Adresshändler, wenn sie diese beispielsweise an Vertriebsfirmen für den Lehrmittelbedarf weiterreichen könnten. Das Bildungsministerium im norddeutschen Mecklenburg-Vorpommern bewacht die "Schätze" in seinem Geschäftsbereich jedoch mit einer landesweiten Gesamtsicherheitslösung aus Firewall-, Administrations- und Verschlüsselungssystemen der Firma Biodata Information Technology AG und hat seit 1996 alle Hacker- und Spionage-Angriffe erfolgreich abgeblockt.

Fast 200 Mitarbeiter haben Zugriff auf zentrale Datenbanken und nutzen E-Mail- und Internetdienste. Zu den Aufgaben des Ministeriums unter Leitung von Prof. Dr. Peter Kauffold zählen unter anderem die Auswertung aller Datenerhebungen, um das Lehrerpersonalkonzept und die Bedarfsplanung für die beginnenden Schuljahre mit den Schulämtern abzustimmen. Insgesamt fünf Abteilungen mit den Themen "Allgemeines", "Allgemeinbildende Schulen", "Hochschulen, Wissenschaft und Forschung", "Kultur" sowie "Berufliche Schulen und Erwachsenenbildung" koordinieren alle landesweiten Projekte und Aufgabengebiete.

Dem Ministerium unterstellt sind vier staatliche Schulämter in Greifswald, Neubrandenburg, Rostock und Schwerin. In Mecklenburg-Vorpommern gibt es 816 öffentliche und 27 private allgemeinbildende Schulen sowie 40 Berufsschulen. Insgesamt 16.500 Lehrkräfte unterrichten 250.000 Schüler. Bei so vielen Menschen und Institutionen sind heutzutage auch eine Menge Daten, Computer und Kommunikation im Spiel, die gesichert sein wollen.

Die Hoheitskompetenz für die IT-technische Umsetzung der behördlichen Abläufe fällt in den Aufgabenbereich der Allgemeinen Abteilung. "Regierungsdirektor Johann-Wolfgang Andler hat ein abgeschlossenes Elektrotechnik-Hochschulstudium und ist seit März 1992 verantwortlicher Referatsleiter in unserem Haus", erläutert Hermann Fischer, Leiter der Allgemeinen Abteilung. "Durch die Möglichkeiten moderner Technologien nähern wir uns Schritt für Schritt dem Ideal einer papierarmen und bürgernahen 'Landesverwaltung 2000'."

Mitte der neunziger Jahre zählte das Breitband-Wissenschaftsnetz B-Win zu den Aushängeschildern der Informationstechnologie. Das Netz mit Übertragungsraten von 622Mbit/s regelt den elektronischen Datenaustausch zwischen Hochschulen, Forschungseinrichtungen und Ministerien und ermöglicht so den breiten Diskurs im Internet-Zeitalter. Auch das Schweriner Bildungsministerium sollte damals an das Wissenschaftsnetz angeschlossen werden. Oberste Priorität hatte der Aspekt Sicherheit. Aufgabe des Teams um Johann-Wolfgang Andler war die Überprüfung und Einordnung aller Sicherheitskonzepte auf dem Security-Markt.

Komplettlösung

Zu den Vorgaben an das IT-Referat zählte neben der reinen Anbindung an das Wissenschaftsnetz, dass die Mitarbeiter im Ministerium E-Mail und Internet-Dienste nutzen können. Diese Umstellungen durften aber natürlich nicht die Sicherheitsvorkehrungen in der Behörde kompromittieren. Der IT-Strukturrahmen für die Landesverwaltung Mecklenburg-Vorpommern legt weitere Grundregeln für die Planung, Auswahl, Beschaffung und den Betrieb informationstechnischer Systeme und Verfahren fest. Dieser Leitfaden dient IT-Entscheidern in der Landesverwaltung als praxisbezogene Prüfstelle für den IT-Einsatz von Hard- und Software. Anhand der Zielsetzung für den "Aufbau einer homogenen IT-Infrastruktur" und die "auf einen längerfristigen Zeitraum bezogene bedarfsgerechte und wirtschaftliche Beschaffungen von IT" haben die Verantwortlichen dann die unterschiedlichen Angebote im Markt geprüft.

"Bis heute haben wir außerdem insbesondere die Empfehlungen des BSI über Sicherheitskonzepte in modernen Netzen berücksichtigt", erklärt Gerd Schurig, Projektleiter der IT-Experten. So sind alle Maßnahmen darauf ausgerichtet, dass die Steuerungskompetenz hinsichtlich entsprechender Daten auch weiterhin, wie im Datenschutzgesetz vorgegeben, durch das Ministerium wahrgenommen wird.

Angriffspunkt Web-Server

Durch die direkte Verbindung mit dem weltweiten Datennetz sind insbesondere Web- und Domain-Name-Server (DNS) beliebte Angriffsziele. Hacker versuchen DNS-Server, die IP-Adressen in Namen übersetzen, so zu manipulieren, dass Anfragen zunächst über eine Hacker-Site geleitet werden, die alle Daten fein säuberlich ausspioniert oder einfach löscht. Um solche Angriffe zu vermeiden, haben Schurig und Andler ein Hardware-Firewall-System als Sicherheitsfilter vor die Angriffspunkte platziert.

Bei dieser BIGfire+ handelt es sich um eine Firewall mit eigenem Sicherheitsbetriebssystem, die als Stand-alone-Lösung den kompletten Datenstrom überwacht. Der dreistufige Aufbau (Paketfilter, Application Gateway, Paketfilter) kontrolliert den gesamten Datenverkehr zwischen zwei Netzen in beiden Richtungen und auf allen Netzwerk-Schichten, ist aber als aufrüstbare Einstiegslösung für unter 10.000DM bereits für kleinere Behörden erschwinglich.

"Biodata war einer der ersten deutschen Firewall-Hersteller. Das Thema Sicherheit war Mitte der neunziger Jahre noch nicht in aller Munde wie jetzt durch I-LOVE-YOU-Viren und Denial-of-Service-Attacken", erinnert sich Schurig. Seit er in einem dreitägigen Kurs die Firewall kennen gelernt hat, verwaltet er das System direkt vor Ort: "Kompliziertes Spezialwissen musste ich mir nicht aneignen." Als Schutz vor Manipulationen geschieht die Administration des Gerätes dabei separat vom eigentlich Datenstrom über eine eigene Leitung.

Aller guten Dinge...

Mehrere Firewalls sind bis heute im Bildungsministerium im Einsatz. Ein System sichert die Verbindung zum Internet, indem es nach Mustern gängiger Hacker-Angriffe fahndet und als Proxy Server alle eingehenden E-Mails und Anfragen scannt und sicherheitsüberprüft, bevor sie an die Rechner im internen Netz weitergeleitet werden. Die Auswertung des Proxy-Server-Protokolls erfolgt in handelsüblicher Büro-Software.

IT-Struktur in den Netzwerken des Bildungsministeriums und den Schulämtern
IT-Struktur in den Netzwerken des Bildungsministeriums und den Schulämtern: Der unabhängige Administrationskanal gewährleistet eine manipulationssichere Verwaltung der Geräte separat vom zu schützenden Datenstrom.

Zentrale Netzdienste wie zum Beispiel X400 und TESTA, die behördenübergreifend genutzt werden, sichert eine eigene Firewall. Ein drittes System schützt schließlich die Kommunikation mit den vier Schulämtern, die Lehrerakten und andere amtliche Schuldaten auf elektronischem Weg übertragen. Direkte Verbindungen zwischen einem Rechner im Netz und einem Rechner außerhalb des Behördennetzes (sowie die damit verbundenen Sicherheitslücken) sind in diesem Szenario nicht möglich.

Für die vertrauliche Kommunikation zwischen den Ämtern kommen außerdem Verschlüsselungsapparate zum Einsatz: Diese Babylon-Geräte werden zwischen Endgerät und Anschluss installiert und chiffrieren den gesamten elektronischen Datenstrom zwischen beiden Enden der Leitung mit Triple-DES. Andler: "Neben den Standortvorteilen, die ein inländisches Unternehmen in punkto Training, Support, Entwicklung und Preis hat, war für uns entscheidend, dass Biodata nicht den US-amerikanischen Exportbeschränkungen unterliegt, hier also die kryptographisch stärksten Schlüssellängen verwendet."

Installation der Hard- und Software sowie Teile des Supports liegen in den Händen des Systemhauses Corporate Express/BiT. Der IT-Service-Dienstleister ist Teil der Unternehmens gruppe Corporate Express, die ein eigenes Filialnetz in ganz Norddeutschland mit Schwerpunkt Mecklenburg-Vorpommern unterhält. Neben Beratung gehören Technik-Service, Netzwerkinstallationen und WAN-Anbindungen mit Firewall-Lösungen zu den Aufgaben des Systemhauses.

"Die Support- und Service-Leistungen abseits der eigentlichen Sicherheitsfunktionen werden ein immer wichtigerer Aspekt", sagt IT-Projektleiter Schurig. Die rapide steigende Zahl an Netzwerkknoten erhöht die Komplexität von Computer-Netzwerken exponentiell. Im geschilderten Beispielfall lassen sich neue Konfigurationen, Sicherheits-Policies oder Software-Versionen über eine zentrale Sicherheits-Management-Station im Netz durchführen. Schurig schätzt: "Monatlich haben wir derzeit einen Verwaltungsaufwand von maximal zwei Stunden - hauptsächlich für die Einrichtung neuer User und das Konfigurieren neuer Filterregeln." Die Software BALI (Biodata Application Link Interface) steuert und überwacht alle Biodata-Produkte direkt mittels einer grafischen Benutzer-Oberfläche. Die Konfigurations-Datenbanken verfügen über erweiterte Sicherheits-Funktionen wie Authentifizierungssysteme, Zugriffsregelungen (z.B. nach dem 4-Augen-Prinzip) und Logging-Funktionalität. Die Kommunikation mit den Geräten erfolgt verschlüsselt.

Zukunftsprojekt "Schulen ans Netz"

Auf Basis seiner Erfahrungen mit Computer-Netzwerken setzt das Bildungsministerium zurzeit ein weiteres IT-Projekt im Rahmen der Initiative "Schulen ans Netz" um. So ist ein landesweites Virtual Private Network (VPN) errichtet worden, an das sich die fast 900 Schulen des Bundeslandes anschließen können. Anwender können dadurch Datenbanken nutzen, die sich in regional voneinander getrennten Netzen befinden, ohne mit unbefugten Lauschern rechnen zu müssen. Dafür knüpfen fünf Firewall-Systeme ein virtuelles, abhörsicheres Netz zwischen dem Bildungsministerium und den vier Schulämtern. Starke Kryptographie verschlüsselt alle übertragenen Daten.

VPN-Struktur in den Netzwerken des Bildungsministeriums
VPN-Struktur in den Netzwerken des Bildungsministeriums (BM) und der Schulämter

Diese VPN-Lösung ermöglicht es den autorisierten Behörden, auf eine gemeinsame Schuldatenbank zuzugreifen, die täglich gepflegt und aktualisiert werden kann. Mecklenburg-Vorpommern steht über das VPN eine sichere Grundlage für das geplante Schulberichtssystem zur Verfügung. Ministerium, Schulämter und Schulen ermitteln auf diese Weise alle Schulkennzahlen und verfügen über eine hochmoderne Kommunikationsplattform für alle schulrelevanten Verwaltungsvorgänge. Die Errichtung eines teuren, redundanten Datennetzes durch die Verlegung neuer Kommunikationsleitungen ist in diesem Szenario überflüssig. In den Schulen können außerdem Einzelarbeitsplätze (beispielsweise in Internet-Cafès und schulinternen Informatik-Gruppen) über die Windows-PC-Firewall SPHINX kostengünstig sichere Verbindungen aufbauen.

Sascha Pfannstiel ist freier Journalist mit Schwerpunkt Foto- und Technik-Themen.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 4/2000, Seite 59