Die Niedersächsische Staatskanzlei in Hannover ist das "Ministerium" des niedersächsischen Ministerpräsidenten. Sie setzt die politischen Ziele der Landesregierung in konkrete Planungen um, koordiniert die Arbeit der verschiedenen Ministerien und beobachtet die wirtschaftliche und politische Entwicklung. Zur Staatskanzlei gehört auch die Presse- und Informationsstelle der Landesregierung. Da die Bundes- und Europapolitik in der Staatskanzlei angesiedelt sind, koordiniert sie auch die Arbeit der Landesvertretungen in Berlin und Brüssel. Sie beschäftigt 350 Mitarbeiter, davon 30 in Berlin und zehn in Brüssel.
Für die Unterstützung ihrer Mitarbeiter durch moderne Informationstechnik setzt die Staatskanzlei rund 315 PCs und 15 Server ein, die in einem Ethernet unter Microsoft Windows NT arbeiten. Als Software kommen vornehmlich Standard-Office-Pakete zum Einsatz. Das Netz der Staatskanzlei ist in ein landesweites Intranet integriert, das die Netze aller niedersächsischen Landesbehörden bündelt. Als IT-Dienstleister des Landes verwaltet das Informatikzentrum Niedersachsen (IZN) dieses Intranet und schützt es vor Angriffen von außen.
Das IZN sichert die Staatskanzlei zwar gegenüber dem Internet, die Datenströme, die vom und zum Intranet flossen, blieben jedoch weitgehend unbekannt. Wie Studien zur Datensicherheit gezeigt haben, kam aber ein Großteil der Angriffe von dort. Um besonders die – teilweise personenbezogenen – Datenbestände des Ministerpräsidenten, der Pressestelle und des Bereiches Staatsmodernisierung wegen ihrer politischen Bedeutung besonders zu schützen, musste die Staatskanzlei ihre Daten auch vor unerlaubten Zugriffen von eigenen Mitarbeitern und aus dem Landes-Netz abschirmen.
Deswegen hat sich die Niedersächsische Staatskanzlei nach einer Firewall umgesehen, die hauptsächlich nach innen arbeitet. Sie sollte ihre sensitiven lokalen Daten zusätzlich schützen und den Informationsfluss kontrollieren, um das Tagesgeschäft noch besser abzusichern. Für die Produktauswahl haben Mitarbeiter der Staatskanzlei bei anderen Ministerien verschiedene Firewalls im praktischen Betrieb begutachtet und die finanziellen Rahmenbedingungen im Hinblick auf Kauf und Betrieb geprüft. In die Endauswahl kamen drei Lösungen von renommierten Anbietern. CA hat mit eTrust Firewall die geforderten Kriterien hinsichtlich Preis-/Leitungsverhältnis und leichter Administration am besten erfüllt. Das System ließ sich zudem einfach in die vorhandene Windows-Umgebung einbinden und arbeitet nahtlos mit der Firewall des IZN im kaskadierten Betrieb zusammen.
Um das Tagesgeschäft nicht zu behindern, musste eTrust Firewall zunächst zentral so konfiguriert werden, dass alle wichtigen Anwendungen ungehindert passieren können. Deshalb hatte die Staatskanzlei zusammen mit dem CA-Partner Elanity Network Partner GmbH aus Hannover zunächst eine Woche lang den Netzwerkverkehr beobachtet. Vor allem abgelehnte Verbindungen wurden intensiv studiert, um gegebenenfalls noch nachzuarbeiten. Das Team präzisierte, welche Anwendungen die Firewall standardmäßig passieren dürfen und in einer Policy festgelegt, welcher Datenverkehr im normalen Geschäftsbetrieb stattfinden darf.
Anschließend ging die Firewall nach Umkonfiguration des Routers ohne Testbetrieb produktiv ins Netz. Natürlich wurden die Anwender vorher über den Einsatz der eTrust Firewall informiert, sodass sie bei eventuell auftretenden Problemen mit einer Anwendung eine Meldung absetzen konnten, um für die notwendige Anpassung des Regelwerkes zu sorgen.
Die bisherige Praxis hat gezeigt, dass das eTrust-System einfach administrierbar ist, kein spezielles Know-how und keine aufwändig geschulten Mitarbeiter erfordert. Regelerstellung oder -änderungen sind über eine grafische Oberfläche, die alle Konfigurationsmöglichkeiten darstellt, innerhalb von wenigen Minuten eingepflegt.
Zudem hat die eTrust Firewall auch gute Hilfe in Bereichen geleistet, die nicht direkt mit dem Thema Sicherheit verbunden sind: So traten früher manchmal Fehler bei der Sicherung des E-Mail-Servers auf, wenn währenddessen neue E-Mails eingingen. Deshalb wurde das neue System so konfiguriert, dass während des Backups keine elektronische Post durchkommt. Seitdem läuft die Sicherung sauber und ohne Ausfall.
Die niedersächsische Staatskanzlei ist mit ihrer Wahl so zufrieden, dass sie eTrust Firewall auch anderen Landesbehörden empfiehlt. Auch von Anwenderseite kamen keine Beanstandungen über Beeinträchtigungen nach der Implementierung der Firewall. Die Staatskanzlei plant derzeit den Einsatz von eTrust Intrusion Detection und gegebenenfalls im kommenden Jahr von eTrust Content Inspection. Mit dem IDS will man – neben dem allgemeinen Sicherheitsgewinn – auch einer Ermahnung des Landesrechnungshofes nachkommen, der das nicht immer "amtliche" Surfverhalten der Landesbehörden beanstandet hat. Der zurzeit eingesetzte Proxy-Server kann das Surfverhalten jedoch nicht reglementieren – diese Lücke gilt es zu schließen.
Axel Steding ist in der Niedersächsischen Staatskanzlei für IT-Sicherheit zuständig.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/6, Seite 58