Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Wie Deutschlands Botschaften sicher über das Internet kommunizieren


29.08.2003 - 

Auswärtiges Amt spart mit Linux

Die gesamte Kommunikation über das öffentliche Internet laufen zu lassen und dabei nahezu ausschließlich Open-Source-Software einzusetzen, traut sich kaum ein Unternehmen - wohl aber das Auswärtige Amt. Die Diplomaten installieren auf Linux-Basis für ihre 217 Auslandsvertretungen einen Netzverbund, der auch für den Austausch von Geheiminformationen zertifiziert ist.

"Mit dem Anschluss an das Intranet endet für uns das Steinzeitalter der Kommunikation", freute sich Martin Kobler, Deutscher Botschafter in Ägypten, über die Anbindung seiner Vertretung an das globale IP-Netz des Auswärtigen Amtes (AA). Die Botschaft in Kairo ist die hundertste von insgesamt 217 Außenstellen, die ab Ende 2003 via Internet mit der Zentrale in Berlin kommunizieren werden. Dabei nimmt das Projekt des Auswärtigen Amtes im Rahmen der Initiative "Bund Online 2005" unter zwei Gesichtspunkten eine Spitzenstellung ein: Den IT-Mitarbeitern gelang es durch den konsequenten Einsatz von Open-Source-Technologien wie etwa Linux-Servern, die Projektkosten zu senken und gleichzeitig über das öffentliche Internet ein Virtual Private Network (VPN) einzurichten, das für den schnellen Austausch vertraulicher und geheimer Nachrichten geeignet ist.

Der 11. September hat alles verändert

Gerade den Aspekt der schnellen und sicheren Kommunikation weiß Botschafter Kobler in der politisch sensiblen Region des Mittleren Ostens besonders zu schätzen. Früher erfolgte die Kommunikation oft mühsam per Telegrammticker, da nur ein Viertel der 8000 AA-Mitarbeiter einen E-Mail-Account besaßen. Eine höhere Verbreitung verhinderten die teuren X.25-Verbindungen.

Wie wichtig jedoch eine schnelle, ausfallsichere und effiziente elektronische Informationsübermittlung ist, zeigten den Diplomaten auf schmerzvolle Weise die Vorgänge um die Terroranschläge des 11. Septembers. Unter dem Eindruck dieser Ereignisse traf Gunter Pleuger, ehemaliger Staatssekretär im Auswärtigen Amt und heute UNO-Botschafter in New York, die Entscheidung, für alle Mitarbeiter E-Mail-Zugänge einzuführen sowie ein Intranet zur gemeinsamen Dokumentenbearbeitung einzurichten.

X.25 und MS-Exchange waren zu teuer

Eine erste Kostenkalkulation zeigte Bernd Erbel, IT-Leiter des Auswärtigen Amtes, und seinem Team, dass eine Vernetzung auf Basis von X.25 und dem bislang als Mail-Server verwendeten Microsoft Exchange das Budget sprengen würden. So hätten alleine die X.25-Verschlüsselungsboxen mit jeweils rund 20000 Euro für die 217 Vertretungen den Etat über Gebühr belastet - ganz zu schweigen von den Exchange-Lizenzkosten für über 8000 Mitarbeiter. Angesichts dieser Rahmenbedingungen kristallisierte sich schnell heraus, dass das Projekt nur mit Hilfe von verschlüsselten IP-Verbindungen über das Internet finanziell zu realisieren ist, wenn der Kommunikationsetat von acht Millionen Euro pro Jahr konstant bleiben soll. Die kostendeckelnde Idee dabei ist bestechend einfach: Vor Ort nutzen die Diplomaten das jeweils günstigste verfügbare Zugangsmedium zum Internet, also etwa DSL, ISDN oder Standleitungen. Über das globale Netz werden die Daten dann nach Deutschland transferiert. Darüber hinaus kommen Satellitenverbindungen über "Inmarsat IV" zum Einsatz, die in Ländern mit guter Internet-Verfügbarkeit als Backup-Medium zur Erhöhung der Ausfallsicherheit dienen. An Lokationen, an denen keine zuverlässige Internet-Infrastruktur vorhanden ist, dient Inmarsat als primäres Kommunikationsmedium. Um dem Sicherheitsbedürfnis des Auswärtigen Amtes gerecht zu werden, sah das gemeinsam mit der Essener Secunet AG entwickelte Konzept vor, die Internet-Kommunikation über verschlüsselte VPN-Tunnel zu bewerkstelligen.

Vorteile offenen Quellcodes

In dieser Architektur sollten dann die Exchange-Server zugunsten einer kostengünstigeren Linux-Lösung weichen. Für das Open-Source-Sytem sprach laut Rolf Schuster, Leiter IT-Strategie im Auswärtigen Amt, neben der Kosten und Leistungsfähigkeit noch ein anderer Aspekt: "Hier haben wir ein Betriebssystem, bei dem der Quellcode offen gelegt ist, so dass wir genau wissen, was in den Tiefen des Systems geschieht." Aufgrund der sensiblen Informationen, mit denen die Diplomaten hantieren, sind den IT-Strategen nämlich geschlossene Systeme, die im Verdacht stehen Hintertürchen für Spionagedienste wie die US-amerikanische National Security Agency (NSA) zu besitzen, ein Greuel. Deshalb kamen für den Aufbau des Netzes auch keine Networking-Komponenten von Herstellern wie Cisco in Frage, da deren Geräte ebenfalls über komplexe Betriebssysteme verfügen, deren genaue Funktionsweise dem Anwender unbekannt ist.

Das BSI entwickelte die Sicherheitstechnik

Vor diesem Hintergrund entschieden sich die IT-Experten des AA dazu, ihr Netz auf Basis der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Sicherheitsarchitektur "Sina" (Sichere Inter-Netzwerk Architektur) zu realisieren. Durch die Kombination von Thin-Client/Server-Verarbeitung und VPN-Technologie sowie den weitgehenden Einsatz von Open-Source-Software können mit Sina hochsichere, kostengünstige Systemlösungen aufgebaut werden. Die Verschlüsselung des IP-Verkehrs im Intranet des Auswärtigen Amtes übernimmt dabei eine "Sina-Box", die als IP-Kryptogateway fungiert und bis zu den Sicherheitsstufen "Geheim" sowie "Nato Secret" zertifiziert ist. Diese Geräte sind in den Rechenzentren des Auswärtigen Amtes in Berlin und Bonn installiert und auf der Gegenseite in den 217 deutschen Auslandsvertretungen, so dass sich ein sternförmiger Netzaufbau ergibt.

Preiswerte Datenverschlüsselung

Die Komponenten der gemeinsam vom BSI und der Essener Secunet AG entwickelten Sina-Box basieren auf handelsüblicher PC-Hardware sowie einem speziell verkleinerten und in Sachen Sicherheit "gehärteten" Linux, das von einem ROM (etwa von CD) geladen wird. Die eigentliche Kryptografie erfolgt dabei mit Hilfe von Softwarealgorithmen oder durch den Einsatz eines Verschlüsselungschips. Dank dem konsequenten Einsatz von Standardkomponenten kostet die Sina-Box mit 2000 Euro nur einen Bruchteil des Preises klassischer Verschlüsselungsgeräte.

Dabei sei die Box, wie Peter Kraaibeek betont, der auf Seiten von Secunet als Projektleiter an der Installation beteiligt war, mit ihrem mehrstufigen Sicherheitsverfahren genauso gut geschützt wie klassische proprietäre Geräte: "Neben der CD-ROM mit dem Verschlüsselungsalgorithmus ist noch eine Smartcard sowie eine persönliche Identifikationsnummer (PIN) erforderlich, um das System in Betrieb zu nehmen." Seine Feuertaufe hatte dieses Konzept, als AA-Mitarbeiter die Botschaft in Bagdad im Zuge des zweiten Golfkriegs schnell verlassen mussten und die Box zurückblieb. Das System ist auch in solchen Fällen sicher, da ein potenzieller Lauscher es nur dann knacken kann, wenn er mit CD-ROM, Smartcard und PIN alle drei Verschlüsselungskomponenten besitzt.

Sieben Teams sorgen für Rollout

Die eigentliche Installation in den Botschaften obliegt sieben Teams, die sich aus BSI- und Secunet-Mitarbeitern zusammensetzen. Vor Ort richten die Mannschaften zudem Linux-Rechner als Mail-Server ein, wobei jedoch das eigentliche Mail-Routing bei der von Secunet konzipierten Netzarchitektur über die Zentrale in Deutschland erfolgt. Hierzu dient die Open-Source-Software "Exim" als Message Transfer Agent, während die Postfächer selbst ein "Cyrus Imap Server" vorhält. Gleichzeitig erlauben die Linux-Server über die Software "Samba" die gemeinsame Nutzung von Dokumenten im Intranet.

Open LDAP als Verzeichnisdienst

Mit dem Einsatz der Linux-Server als Exchange-Ersatz mussten die IT-Strategen auch einen neuen Verzeichnisdienst aufsetzen, denn bislang diente ein Exchange-Verzeichnis der Version 5.5 als Telefonbuch und zum Identitäts-Management. Dabei ist ein leistungsfähiges Directory für das Auswärtige Amt von strategischer Bedeutung, denn turnusmäßig nehmen pro Jahr ein Drittel der Mitarbeiter neue Aufgaben wahr, so dass etwa ihre Zugangsberechtigungen geändert werden müssen. Kommerzielle Produkte wie die Novell Directory Services oder Siemens DirX kamen für die Behörde sowohl aus Kostengründen als auch aufgrund ihrer Funktionsfülle nicht in Frage. In der IT-Abteilung hat sich nämlich die Grundhaltung durchgesetzt, nur noch Produkte einzusetzen, die mit den benötigten Features aufwarten und nicht mit Zusatzfunktionen überfrachtet sind. Diesem Gedanken und dem Open-Source-Ansatz folgend fiel die Entscheidung dann auf "Open LDAP" als Verzeichnisdienst.

Dank der konsequenten Ausrichtung auf Standardkomponenten, Internet und Open Source kostete das Projekt das Auswärtige Amt nur 30 Prozent der Investitionssumme einer klassischen Lösung. Zudem eröffnete der Einsatz von offenen Standards wie dem Internet Protocol Optionen, an die zu Beginn des Projekts noch niemand gedacht hatte. So nutzen die Diplomaten etwa in Moskau Voice over IP (VoIP), um abhörsicher zwischen den beiden Liegenschaften in der Stadt über ganz normale Leitungen zu telefonieren. Die Verschlüsselung der VoIP-Pakete übernehmen dabei jeweils zwei Secunet-Sina-Boxen am Leitungsende. Ein Trick, der, wie das IT-Management stolz erzählt, deutlich weniger kostet als eine klassische abhörsichere Telefonleitung.

Während Botschafter Kobler und seine Kollegen sich über die sichere und leistungsfähige Vernetzung freuen, "wir haben ein Botschaftsnetz realisiert, das jährlich nur ein Viertel der Kommunikationskosten verursacht, die einer unserer EU-Partner zahlt", denken die IT-Strategen des Auswärtigen Amts bereits über die nächsten Schritte nach. Sie wollen bis 2007 alle Anwendungen auf Betriebssystem-unabhängige Versionen migrieren, um nicht mehr von einem Lieferanten abhängig zu sein. Sollte dann noch einmal ein Hersteller wie etwa Microsoft mit "License 6", für eine Kostenexplosion sorgen, könnte die Behörde schnell auch auf dem Desktop zu Linux wechseln. Noch laufen auf den Arbeitsplatzrechnern Windows XP und Microsoft Office.

Jürgen Hill, jhill@computerwoche.de