P-A-P-Firewall-Struktur schützt VS-NfD-Netzwerk

Die P-A-P-Struktur bietet einen wirksamen Schutz für Netze, in denen Verschlusssachen (VS-NfD) verarbeitet werden. Sie erfüllt die hohen Anforderungen von Bundesbehörden und der geheimschutzbetreuten Industrie, indem sie Datenströme gezielt filtert und unberechtigte Zugriffe verhindert.

Erfahren Sie mehr über Funktionsweise, Anforderungen und den richtigen Einsatz der Lösungen von genua - abgestimmt auf die Bedürfnisse von Vertrieb, Consulting und Support.

Was ist eine P-A-P-Struktur?

VS-NfD-Merkblatt fordert

  • P-A-P-Struktur bestehend aus:
    • äußerem Paketfilter (PFL)
    • Application Level Gateway (ALG)
    • innerem Paketfilter (PFL)
  • 3 physisch getrennte Zonen, d.h. es gibt
    • keinen Switch, der gleichzeitig für DMZ und internes Netz zur Verfügung steht
    • keinen Virtualisierungsserver, der gleichzeitig für DMZ und internes Netz zur Verfügung steht
  • innerhalb des VS-NfD-Netzes kann unverschlüsselte Kommunikation erfolgen
  • außerhalb des VS-NfD-Netzes müssen VS-NfD-Daten mit einem vom BSI dafür zugelassenen Produkt verschlüsselt werden

IT-Grundschutz fordert

  • Unterteilung des internen Netzes (VS-NfD-Zone) in logische Segmente
    • das kann auch der PFL machen, der am ALG hängt (P-A-P-Sparversion) -> hat aber viele Nachteile!
    • dementsprechend ist es für die interne Segmentierung sinnvoll, einen weiteren Paketfilter ZUSÄTZLICH für die Segmentierung zu nutzen (eigenes Regelwerk für interne Segmentierung und NICHT für Perimeter-Übergang)

Der Infrastrukturplan für ein sicheres Netzwerk

Drei physische Zonen

  • Corporate Network / Internet
  • DMZ
  • Internes Netz / VS-NfD-Zone
     

Internes Netz segmentiert, mindestens

  • Clients
  • Serversegmente
  • Drucker
  • Managementnetz

VPN nicht an ALG, sondern am internem Paketfilter, d. h.

  • genuscreen (VPN) am externen Perimeter terminiert am PFL der genugate am internen Perimeter

Wann ist der Einsatz einer

P-A-P-Struktur erforderlich?

  • Eine P-A-P-Struktur ist immer dann erforderlich, wenn das Netz, in dem der Kunde VS-NfD Daten bearbeitet (das für VS-NfD freigebene Netz) einen Übergang zu einem Nicht-VS-NfD-Netz hat.

  • Mit der P-A-P-Struktur ist es für den Kunden möglich, aus dem VS-NfD-Netz heraus auf Systeme in einem anderen, nicht für VS-NfD freigegebenen Netz zuzugreifen. Dies kann z. B. das Firmennetz oder das Internet sein.

  • Eine P-A-P-Struktur schafft den Übergang von einer VS-NfD-Zone in eine unsichere Zone. Dient eine unsichere Zone (Firmennetz, Internet) ausschließlich dem zugelassen verschlüsselten Transport von VS-NfD-Daten (IPSec-Tunnel), so ist das kein Übergang. 

Welche Vorgaben erfordern den Einsatz einer P-A-P-Struktur?

Geheimschutzbetreute Industrie

VS-NfD-Merkblatt 2023

  • Neufassung vom August 2023 präzisiert und verschärft die Vorgaben: auf Basis der Anlage 4 müssen sich Unternehmen im Geheimschutz-Sektor bis zum 01.09.2025 selbst akkreditieren.
  • fordert für alle für VS-NfD-freigegebenen Netzsegmente, die nicht abgeschottet betrieben werden, eine Umsetzung gemäß IT-Grundschutz
  • Einsatz einer P-A-P-Firewall-Struktur ist gemäß Anforderung aus dem IT-Grundschutz Pflicht

Im Teil 3, Absatz 1.1 "Allgemeines" wird gefordert:

  • "... geeignete technische sowie organisatorische Maßnahmen zu treffen und deren Einhaltung regelmäßig zu kontrollieren. Zu den geeigneten technischen Maßnahmen zählen unter anderem IT-Sicherheitsprodukte, die über eine Zulassungsaussage (Zulassung oder Einsatzerlaubnis) des BSI verfügen ..."
  • Der Einsatz einer zugelassenen Firewall (Paketfilter, ALG oder beiden) wid als "geeignete technische Maßnahme" empfohlen, aber nicht zwingend vorgeschrieben (im Gegensatz zur VSA bei Behörden!)

IT-Grundschutz

  • empfiehlt für erhöhten Schutzbedarf den Einsatz einer Firewall mit Zertifizierung nach CC EAL 4 oder höher (nicht verpflichtend!)

 

Grundschutzkompendium

  • VS-NfD-Merkblatt Teil 3, Absatz 2.2.:
    "... Trennung des VS-NfD-Netzsegments von anderen Netzwerksegmenten beispielsweise durch ein mehrstufiges Firewall System entsprechend der PAP-Struktur nach IT-Grundschutz des BSI ..."
  • Baustein NET.3.2 Firewall, Anforderung A31 (hoher Schutzbedarf): 
    "Firewalls mit einer Sicheheitsevaluierung nach Common Criteria SOLLTEN eingesetzt werden, mindestens mit der Stufe EAL4"
    → geeignete Maßnahme zur Risikoreduktion
    ABER
    nicht verpflichtend, wenn eine Risikoanalyse vorliegt und diese keine zertifizierten Produkte fordert.

 

NIS2-Richtlinie der EU

fordert technische und organisatorische Maßnahmen (TOMs) zur Minimierung von Cyberrisiken → eine von der nationalen Sicherheitsbehörde BSI zertifizierte und zugelassene P-A-P-Firewall-Struktur ist eine geeignete und dem technischen Stand entsprechende Maßnahme

Fazit

Die Umsetzung von IT-Grundschutz ist verpflichtend.

Der Einsatz einer zugelassenen oder zertifizierten Firewall ist weder nach VS-NfD Merkblatt noch nach IT-Grundschutz verpflichtend, aber

  • das VS-NfD Merkblatt empfiehlt eine vom BSI für VS-NfD zugelassene Firewall (PAP-Struktur) als geeignete technische Maßnahme
  • der Grundschutz empfiehlt bei hohem Schutzbedarf den Einsatz einer CC EAL4 zertifizierten Firewall als geeignete Maßnahme zur Risikoreduktion.

Das Risiko beim Einsatz einer nicht zugelassenen/nicht zertifizierten Firewall trägt die Unternehmensleitung!

Behörden

VSA Bund (Verschlusssachenanweisung des Bundes)

  • "Verwaltungsvorschrift zum materiellen Geheimschutz"
  • verpflichtend für Bundesbehörden und "bundesunmittelbare öffentlich-rechtliche Einrichtungen"
  • Herausgeber: BMI
  • Aktuelle Version: VSA 2023

Anforderungen an Behördennetze (verpflichtend!)

  • Einsatz von durch das BSI zugelassenen Geräten
  • Umsetzung des IT-Grundschutz
    • ISMS gemäß BSI-Standard 200-1 und Baustein ISMS.1 Sicherheitsmanagement
    • Sichereheitskonzept gemäß BSI-Standard 200-2
      • Geltungsbereich
      • Strukturanalyse
      • Schutzbedarfsfeststellung
      • Modellierung
      • Grundschutzcheck
      • Risikoanalyse
      • Umsetzungsplan 

Sicherheitskonzept

Die (dokumentierte) Ermittlung, Planung und Umsetzung aller Maßnahmen, die für die Aufrechterhaltung und Verbesserung des für die Organisation adäquaten Sicherheitsniveaus notwendig sind, d. h.

  • Leitlinie, Richtlinien, spezifische Richtlinien
  • Risikomanagementprozess
  • Strukturanalyse und Asset-Inventory
  • Dokumentation der umgesetzten Sicherheitsmaßnahmen
  • Risikoanalysen
  • Umsetzungsplan der noch nicht umgesetzten Maßnahmen

Produkttypen für VS-NfD

  • Übertragungsverschlüsselung Layer 1
  • Übertragungsverschlüsselung Layer 2
  • Festplattenverschlüsselung
  • Sicherer mobiler Datenträger
  • Funkgeräte
  • E-Mail und Dateiaustauschverschlüsselung
  • Sichere mobile Lösung
  • Sicherer Messenger
  • E-Mail-Verschlüsselung

Fazit

Die Umsetzung von IT-Grundschutz ist verpflichtend.

Der Einsatz einer zugelassenen oder zertifizierten Firewall ist für Behörden verpflichtend.

Erforderliche Komponenten von genua

High Resistance Firewall genugate

Vollständige Datenanalyse für höchste Netzwerksicherheit
Zertifiziert Zugelassen

Die High Resistant Firewall genugate kombiniert Paketfilter und Application Level Gateway. Zugelassen für VS-NfD, NATO RESTRICTED und RESTREINT UE/EU RESTRICTED. Zertifiziert nach Common Criteria EAL 4+.

Firewall & VPN-Appliance genuscreen

Zuverlässiger Schutz für Datentransfers und Netze
Zertifiziert Zugelassen

Die VPN-Appliance genuscreen nutzt einen Stateful Packet Filter. Zugelassen für VS-NfD, NATO RESTRICTED und RESTREINT UE/EU RESTRICTED. Zertifiziert nach Common Criteria EAL 4+.

Abgrenzung von Marktbegleitern durch höchste Sicherheitsstandards

Die Umsetzung einer P-A-P-Struktur mit Systemen von zwei verschiedenen Herstellern ist keine zwingende Forderung, sondern nur ein Vorschlag. Unsere Komponenten sind so hoch zertifiziert, dass eine Verwendung eines 2. Herstellers eher kontraproduktiv/nicht nötig wäre (zumal der zweite Hersteller i.d.R. nicht zertifiziert ist und damit eine viel schwächere Komponente wäre).

Vorteile der High Resistant Firewall genugate

  • Zugelassen für den Einsatz im VS-NfD-Umfeld
  • Zertifiziert nach Common Criteria (CC) EAL4+ mit AVA_VAN.5 (Advanced Methodical Vulnerability Analysis)
  • Bester Selbstschutz: einzige vom BSI als „highly resistant“ eingestufte Firewall der Welt
  • 2-stufige Firewall: Implementierung der zwei Komponenten in zwei unabhängigen Rechnern: innen ein Paketfilter (PFL), außen ein Application Level Gateway (ALG)
  • Application Level Gateway: Gesamtheitliche, vollständige Inhaltsanalyse – nicht nur eine Stichprobe
  • Paketfilter-Firewall mit individuell konfigurierbarem Regelwerk
  • Integrierte Web Application Firewall (WAF) schützt zuverlässig gegen Angriffe auf Webanwendungen
  • Offline-Modus: Die Lizenz ist offline aktivierbar, Patches und Updates lassen sich manuell ausführen.
  • REST-API-Support zur Automation von Administrationsaufgaben
  • Hochsicherer Update-Mechanismus schützt vor Angriffen mit Quantencomputern

  • Normalerweise gibt Grundschutz vor, dass für P-A-P zwei Hersteller benötigt werden, nämlich in 

    IT Grundschutzkompendium, Baustein NET.3.2 Firewall

    • Anforderung NET.3.2.A27 // Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer mehrstufigen Firewall-Architektur: "In einer mehrstufigen Firewall-Architektur SOLLTEN unterschiedliche Betriebssysteme und -produkte für die äußeren und inneren Firewalls eingesetzt werden."
       

Gründe für eine Lösung nur mit Produkten von genua

  • Es handelt sich um eine Anforderung für erhöhten Schutzbedarf. Diese ist nicht zwingend umzusetzen, sondern es ist immer eine Risikoanalyse durchzuführen.
  • Die Hochsicherheitsfirewall genugate besteht aus zwei unabhängigen Systemen, dem ALG und dem gehärteten Paketfilter. Die Paketfilterkonfiguration kann im zertifizierten Betrieb nicht vom ALG aus verändert werden.
  • genugate hat eine Zertifizierung  CC EAL4+, augmentiert mit AVA.VAN5, dem Nachweis der erweiterten methodischen Schwachstellenanalyse. Diese Schwachstellenanalyse (Stufe 5 von 5) testiert eine nachgewiesene Widerstandsfähigkeit gegenüber Angreifern mit hohem Angriffspotential (z.B. Geheimdiensten).
  • genuscreen hat eine Zertifizierung nach CC EAL4+, augmentiert mit AVA.VAN4 (Schutz vor Angreifern mit mittleren Angriffspotential).
  • Beide Systeme haben im Rahmen ihrer Zertifizierung den Nachweis der erweiterten Schwachstellenbehebung ALC_FLR.2 erbracht.
  • Damit dürfte eine Risikoanalyse zu dem Ergebnis kommen, dass eine PAP-Struktur, bestehend aus genugate und genuscreen, aufgrund der hohen Zertifizierungen der Komponenten auch bei erhöhtem Schutzbedarf gegenüber den in der Kreuzreferenztabelle referenzierten Gefährdungen ausreichend geschützt ist.
  • Auch in der Bundesverwaltung werden P-A-P-Strukturen ausschließlich bestehend aus Lösungen von genua eingesetzt und vom BSI als ausreichend betrachtet.
  • IT-Sicherheit made in Germany

Wie gestaltet sich ein Angebot?

Das Angebot richtet sich nach individuellen Faktoren wie dem benötigten Gbit/s-Durchsatzwert, der vorhandenen Hardware-Ausstattung und den Netzwerk-Gegebenheiten.

Laden Sie ein Beispielangebot herunter, um einen Eindruck zu gewinnen – spezifische Durchsatzwerte und Schnittstellen finden Sie in den genua Hardware-Datenblättern.

DOWNLOAD BEISPIELANGEBOT

Vertrieb & Presales

Es sollte geprüft werden, ...

  • ..., ob der Kunde bereits eine nicht-zugelassene Firewall nutzt, die in der PAP-Infrastruktur zusätzlich eingesetzt werden kann.
  • ..., ob es auch mobile Arbeitsplätze gibt, die mit VS arbeiten. Auch dann ist eine PAP-Struktur als VS-Netz sehr hilfreich.

Discovery Questions:

  • Verarbeiten Sie VS-NfD-konforme Daten?
  • Nutzen Sie für die Verarbeitung VS-NfD-konformer Daten heute bereits Insellösungen (abgekoppelte Netze)?
  • Möchten Sie einen Übergang schaffen zwischen Insellösung (abgekoppeltes Netz) und Firmennetzwerk? (nur möglich mit PAP)
  • Möchten Sie im VS-NfD-Netz auf Webservices wie E-Mail oder Internet zugreifen? (nur möglich mit PAP)
  • Besteht die Notwendigkeit, mit mobilen Geräten auf VS-NfD-Netz und Firmennetz zuzugreifen? (nur möglich mit PAP+VPN)

Consulting

Beratungsleistung

  • Konzept für grundschutzkonforme Netzwerkarchitektur 

Empfohlenes Vorgehen

  • Gemeinsamer Kundentermin mit Unterstützung der Account Manager von genua zur Erstbewertung der Kundensituation und Vorbereitung der weiteren Angebotslegung
  • Je nach Bedarf:
    • 1-Tages-Workshop zur Netzinfrastruktur des Kunden (Bestandsanalyse & Lösungsansatz, ohne Lösungskonzept)
    • Erweiterung um 5-10 DL-Tage (von Architekturberatung bis hin zu kompletter Netzkonzeptionierung inkl. Dokumentation sowie Unterstützung bei der Vor-Ort-Installation ist alles möglich)

Infomaterial zum Download