Sichere Internetverbindungen

So sind dezentrale Strukturen unproblematisch

Mit neuen Sicherheitslösungen überwacht die Gemeinde Markt Peiting nicht nur alle aktiven Netzwerkkomponenten. Vielmehr lassen sich auch einheitliche Richtlinien für die Informationssicherheit und den Datenschutz zentral steuern.

  • Mann greift auf Netzwerk zu

    In der Gemeinde ist die IT-Sicherheit nun für die gesamte Infrastruktur zentral verwaltbar.

  • Das Rathaus von Markt Peiting

    Das Rathaus von Markt Peiting

Peiting ist eine Marktgemeinde im Pfaffenwinkel im oberbayerischen Landkreis Weilheim-Schongau. Die florierende Gemeinde bietet den rund 11.500 Einwohnern ein großes Portfolio an modernen öffentlichen Einrichtungen, darunter auch zwei Grundschulen und eine Mittelschule.

In der Vergangenheit hatten sich in Markt Peiting unterschiedliche IT-Systeme an unterschiedlichen Standorten etabliert. Die Verwaltungsgebäude, der Bauhof, das Wasser- und Klärwerk, die Bücherei, das Jugendzentrum und die drei Schulen beruhten auf keiner einheitlichen und zentralen IT. Insbesondere in den Grundschulen und der Mittelschule war die Zuverlässigkeit und Sicherheit der Internetanbindung nicht mehr zeitgemäß und ausreichend. Zudem mussten die IT-Administratoren der Marktgemeinde für jeden Eingriff in die verteilten IT-Systeme von Gebäude zu Gebäude wechseln, eine einheitliche und zentrale Administration war nicht existent.

Aus Sicht der Internettechnologie war Markt Peiting an das kommunale Behördennetzwerk (KomBN) des Landkreises angebunden. Das Regelwerk der KomBN lässt jedoch keine direkte Anbindung der Außenstellen und Schulen an eine zentrale IT der Gemeinde zu, wodurch die Einzelsysteme dieser Topologie kaum noch zu beherrschen waren. Vor allem im Hinblick auf das neu eingeführte Informationssicherheitsmanagement gemäß Isis12 und das Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 konnte dieser Zustand nicht gehalten werden.

Vor diesem Hintergrund starteten die Verantwortlichen bereits im Oktober 2016 die Suche nach einer Lösung, um die Gemeinde und alle Nebenstellen autark an das Internet anzubinden. Ziel war eine wesentliche Verbesserung der Administration, eine deutlich bessere Stabilität des Internetbetriebs und durch entsprechende Sicherheitslösungen eine Einhaltung des eigenen IT-Sicherheitsmanagements und der DSGVO sowie aller anderen Regeln, die öffentliche Einrichtungen berücksichtigen müssen.

Das Ziel: komplette und sichere Vernetzung

Die neue Infrastruktur hatte das Ziel, eine sichere und redundante Anbindung aller Außenstellen und Schulen an das Internet unabhängig vom kommunalen Behördennetz zu ermöglichen. Insbesondere sollte die IT-Sicherheit für die gesamte Infrastruktur zentral verwaltbar sein und den hohen Ansprüchen des öffentlichen Bereiches genügen. Ein zentrales IT-Sicherheitsmanagement aller Objekte und die Einhaltung der IT-Sicherheitsrichtlinien inklusive zentralem Virenschutz war mit einer möglichst einfachen Anbindung mobiler Nutzer mittels SSL-VPN gewünscht. Die Gemeinde nahm sich mit der Securelink Germany einen IT-Spezialisten an die Seite, der mit Umstellungen und Sicherheitskonzepten dieser Größenordnung viel Erfahrung hatte.

Gemeinsam mit Securelink arbeiteten die Verantwortlichen die IT-Strategie aus, wobei nach der Sondierung der möglichen Systemoptionen im Bereich Security die Wahl auf Sophos fiel. Im August 2017 wurden mehrere Sophos-Firewalls (UTM) und Remote Ethernet Devices (RED) geordert, um die gesamte Infrastruktur abzusichern. Die „SG Series Firewall Appliances“ des Herstellers bieten dabei die ideale Balance zwischen Performance und Sicherheit. Überdies ist das Modell SG 310 UTM sehr leistungsfähig, skalierbar und eignet sich insbesondere für Organisationen mit vielen verteilten Standorten, die Sicherheitsfunktionen der Enterprise-Klasse benötigen. Die Firewall basiert auf Intel-Technologie und bietet acht GbE-Kupferports, zwei GbE-SFP- und zwei 10 GbE SFP+- Glasfaserports sowie einem Flexi-Port-Steckplatz zur Konfiguration mit einem optionalen Modul. Das SG 310 Cluster dient in Markt Peiting als zentrale Einheit in der Verwaltung und damit auch zur zentralen Administration der gesamten Sicherheitsumgebung.

Die etwas kleineren SG 230 UTM kommen in den Grundschulen und in der Mittelschule zum Einsatz. Sie sind auf die Bedürfnisse von kleinen bis mittelgroßen Organisationen und Außenstellen abgestimmt. Die Firewalls sind mit sechs GbE-Kupferports, zwei GbE SFP-Ports sowie einem Flexi-Port-Steckplatz zur Konfiguration mit einem optionalen Modul ausgestattet. Damit liefern sie Flexibilität und hohe Durchsatzraten.

Datenverschlüsselung inklusive

Mit den Remote Ethernet Devices kann ein sicheres Netzwerk einfach auf andere Standorte ausgeweitet werden. Dafür ist kein technisches Fachwissen am Remote-Standort erforderlich; man gibt lediglich die ID der RED-Appliance in der Administrationsoberfläche der Firewall ein und schickt das Gerät an den Standort. Sobald das Gerät mit dem Internet verbunden ist, stellt es automatisch eine Verbindung zur Firewall her und baut einen sicheren Ethernet-Tunnel auf – inklusive Fernwartung und Datenverschlüsselung.

Neben der hohen Sicherheit und Kosten-Nutzen-Kalkulation lag der Vorteil der beschriebenen Lösungen für die IT-Verantwortlichen insbesondere darin, dass alle Anforderungen in einer zentralen Appliance über alle Außenstellen und Schulen hinweg erreicht wurden und dadurch eine zentrale Administration möglich ist. Zudem ist zu einem späteren Zeitpunkt ein Wechsel auf die Sophos-XG-Plattform möglich, die zusätzliche Security-Features, darunter Synchronized Security, d.h. die intelligente Vernetzung aller Sicherheitsinstanzen, bietet.

Nachdem die neuen Internetanbindungen standen, wurden Server, Netzwerk und Clients auf den neusten Stand gebracht. Gleichzeitig wurden die UTM-Appliances in redundanter Ausführung im zentralen Verwaltungsgebäude der Marktgemeinde in das Netzwerk eingebunden. Sie dienen als zentrales Gateway für alle Internetzugänge der Verwaltung und schützen diese bereits am Zugangspunkt. Speziell die multiplen Web-Proxy-Konfigurationsmöglichkeiten der Firewall ermöglichen einen stabilen und sicheren Internetzugang je nach eingesetztem Endgerät. Die Außenstellen wurden mit insgesamt sieben RED-Appliances angebunden.

Für die Firewalls bietet der Hersteller unterschiedliche Funktionspakete. Die Gemeinde entschied sich für die Full-Guard-Option mit großem Funktionsumfang inklusive Sicherheit für Netzwerk, Web, E-Mail, Wireless und Webserver. Dadurch konnten weitere Anforderungen erfüllt werden, darunter OTP (One Time Passwort), ein HTML5-Portal und ein Gastnetzwerk mittels eines Hotspot-Portals. Insbesondere für die Schulen wurde somit eine Situation geschaffen, die den heutigen Anforderungen an Zuverlässigkeit und Schutz entspricht. Kinder- und Jugendschutz für jegliche Art von Gerät hatten höchste Priorität und konnten gelöst werden.

„Gemeinden und öffentliche Organisationen müssen heute ihren Bürgerinnen und Bürgern moderne und digitale Lösungen bieten. Dabei hat der öffentliche Apparat besondere Sorgfaltspflicht in Bezug auf Datenschutz und Security. Diese muss meist mit einer relativ kleinen IT-Mannschaft bewerkstelligt werden. Effizienz bei höchstem Wirkungsgrad ist daher essenziell, insbesondere in der Security“, betont Florian Brandl, IT-Administrator bei der Marktgemeinde Peiting, abschließend.

Bildquellen: iStock/Getty Images Plus, Markt Peiting

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok