BSI-Zulassung für GEHEIM

29. Oktober 2020

Performante und zuverlässige Datentransfers in Hochsicherheits-Netze + Für die Datendiode vs-diode hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zulassung bis zur Geheimhaltungsstufe GEHEIM erteilt. Die Datendiode des deutschen IT-Sicherheitsherstellers genua GmbH kann somit eingesetzt werden, um Daten in GEHEIM-eingestufte Netze zu übertragen. In Gegenrichtung wird dagegen jeglicher Informationsfluss abgeblockt, um das Abfließen geheimer Daten in ungesicherte Netze zuverlässig auszuschließen. Die vs-diode erreicht beim Einbahn-Datenverkehr bis zu 1 Gbit/s Durchsatz und ermöglicht die Übertragung großer Datenmengen in eingestufte Netze.

In Hochsicherheits-Netzen, in denen Behörden, das Militär oder geheimschutzbetreute Firmen eingestufte Verschlusssachen bearbeiten, werden auch Daten aus anderen Netzwerken benötigt: z. B. E-Mails, Informationen aus Datenbanken, Videodaten, aktuelle Patterns für Antiviren-Systeme oder Software-Updates. Mit der vs-diode können Daten performant und zuverlässig in GEHEIM-eingestufte Netze transferiert werden, ohne an der Schnittstelle Sicherheitslücken aufzureißen. Denn die Diode überträgt Daten ausschließlich in eine Richtung. In der Gegenrichtung ist der Weg blockiert, so dass keine sensiblen Daten aus dem eingestuften Netz abfließen können.

Übertragen werden die Daten mit den Protokollen FTP für Dateien, SMTP für E-Mails sowie TCP. So wird eine hohe Zuverlässigkeit erreicht. Dadurch unterscheidet sich die vs-diode von anderen Lösungen auf dem Markt, die ausschließlich mit dem langsameren und fehleranfälligen Protokoll UDP arbeiten.

Hohe Performance mit den Protokollen FTP, SMTP und TCP

Die vs-diode besteht aus drei Komponenten: zwei Firewalls und in der Mitte das Filter-System, jede auf separater Hardware. Die erste Firewall nimmt die zu übertragenden Daten an und sendet sie über das Filter-System an die zweite Firewall. Auf dem zwischengeschalteten Filter befindet sich die Dioden-Funktion, die den Abfluss von Daten in die Gegenrichtung verhindert – mit einer Ausnahme: Eine finale Status-Meldung der zweiten Firewall, ob alle Daten korrekt angekommen sind, wird durchgelassen. Denn die Protokolle FTP, SMTP und TCP benötigen dieses minimale Feedback, um die schnelle und zuverlässige Datenübertragung sicherzustellen.

Andere Protokolle wie z. B. UDP, die ohne Feedback arbeiten, bieten weniger Datendurchsatz und liefern oft unvollständige und somit unbrauchbare Daten.

Geringe Komplexität garantiert hohe Sicherheit

Die Dioden-Funktion des Filters besteht aus lediglich wenigen hundert Zeilen Programm-Code und läuft auf einem auf das Allernotwendigste reduzierten Microkernel-Betriebssystem. Durch die geringe Komplexität kann der komplette Code des zentralen Sicherheitssystems Zeile für Zeile geprüft und formal verifiziert werden, um die fehlerfreie Funktion zu garantieren. Dies ermöglicht die Zulassung der vs-diode für den Einsatz bis zur Geheimhaltungsstufe GEHEIM, die jetzt nach ausführlicher Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt ist.

www.genua.de