Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.03.2002 - 

Anwender müssen sich nicht allein auf Herstellerversprechen verlassen

BSI zertifiziert mit Genugate 4.0 die erste Firewall

BONN (sra) - Wer den Versprechen von Herstellern misstraut, wird womöglich lieber ein zertifiziertes Produkt einsetzen. Ein Zertifikat vom Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Art Gütesiegel dar, das die Angaben eines Anbieters bestätigt. "Genugate 4.0" ist das erste Firewallsystem, das die aufwändige BSI-Prozedur bestanden hat.

"Wenn sich Anwender für ein zertifiziertes Produkt entscheiden, brauchen sie sich nicht mehr auf die Werbeversprechen der Hersteller zu verlassen", schildert Michael Dickopf, Pressesprecher beim BSI in Bonn, einen Vorzug für die Benutzer der bewerteten Produkte. Sie haben quasi eine Zusicherung, dass die Angaben des Herstellers stimmen. So lässt sich auch das Vertrauen von Kommunikationspartnern in die verwendete Technik steigern. Im Fall einer Firewall hat der Anwender beispielsweise die Gewissheit, dass die Sicherheit des Systems nicht durch Schnittstellen-Probleme, wie etwa zwischen Betriebssystem und Firewall-Software, beeinträchtigt wird.

Für die Firewall Genugate 4.0 der Genua GmbH aus Kirchheim bei München hat das BSI ein Zertifikat nach Itsec für eine hohe Sicherheitsstufe (E3) erteilt. Itsec ist ein europäisches Kriterienwerk zur Evaluierung von IT-Sicherheitsprodukten und -systemen. Bei Genugate 4.0 handelt es sich um ein zweistufiges Firewall-System, das auf der Plattform BSD/OS Version 4.2 betrieben wird. Die erste Stufe der Lösung ist ein Application-Level-Gateway, das die Daten auf Anwendungsebene kontrolliert und auf Wunsch mit einem Virenscanner, einem Filter für aktive Inhalte oder einem URL-Filter überprüft. Die zweite (zum LAN hin orientierte) Stufe ist ein restriktiver Paketfilter, der nur Daten nach innen lässt, die in zulässiger Weise von der ersten Stufe erzeugt werden können. Bewertet wird im Rahmen der Zertifizierung übrigens nicht nur das Produkt, sondern auch die Verfahren, mit deren Hilfe es entwickelt wurde.

Am Prüfverfahren sind der Firewall-Hersteller, ein unabhängiges Prüflabor und die Zertifizierungsstelle im Bundesamt beteiligt. Der Hersteller stellt einen Antrag und übergibt die Design- und Testdokumentation sowie das zu evaluierende Produkt an das Prüflabor, das dieses gemäß den Itsec-Anforderungen begutachtet. Zusätzlich wird die Implementierung an Hand von Sourcecode geprüft und mit vom Hersteller vorgelegten sowie eigenen Tests auf einer Referenzanlage verifiziert. Die Zertifizierungsstelle nimmt die Berichte des Prüflabors ab und stellt die Vergleichbarkeit der Ergebnisse sicher. Danach erstellt das BSI den abschließenden Zertifizierungsbericht.

MarathonverfahrenZwei Jahre intensive Entwicklungsarbeit, umfangreiche Testläufe und Prüfvorgänge gingen bei Genua dem Abschluss des Verfahrens voraus. Der Umfang der vom Hersteller vorgelegten Dokumentation erstreckt sich über mehr als 2000 Seiten, verteilt auf insgesamt 15 Dokumente. Obwohl das BSI seit 1991 Hard- und Software jeder Art zertifiziert, gilt Genugate 4.0 als die erste BSI-zertifizierte Firewall. Laut Magnus Harlander, Geschäftsführer der Genua GmbH, "braucht man einen sehr langen Atem für so eine Zertifizierung." Ein anderer Anwärter auf eine Firewall-Zertifizierung habe nach sechs Jahren das Handtuch geworfen - das Verfahren war ihm zu aufwändig.

Schon wieder überholt?Problematisch ist das Marathonverfahren zudem, weil die Produkte bei der Zertifizierung unter Umständen schon wieder überholt sind. Dickopf vom BSI empfiehlt daher eine entwicklungsbegleitende Zertifizierung. So etwas Ähnliches hat Genua denn auch gemacht. "Wir haben zu Beginn ein Konzept erstellt, wie das Produkt in drei Jahren aussehen soll", erläutert Harlander. Das Unternehmen hat die Firewall also parallel zur Zertifizierung weiterentwickelt.

Ein solcher Aufwand kostet auch Geld. Allerdings fallen die Ausgaben für Gebühren und den Vertrag mit der Prüfstelle laut Harlander kaum ins Gewicht. "Wir beschäftigen drei Leute, die sich nur um die Zertifizierung kümmern", rechnet der Geschäftsführer vor. "Da liegen die Kosten. Das ist die größte Investition, die wir je getätigt haben." Er hofft natürlich, dass sich diese Ausgaben lohnen. Für Genua eröffnet die Zertifizierung einen neuen Kundenkreis: Bei Top-Level-Behörden oder der Polizei ist eine Sicherheitszertifizierung oft ein Muss. Außerdem verbesserte das Unternehmen dadurch auch seine Qualitätssicherung.