Secure Remote Access Mobilität — aber sicher!


Bundesamt für Bauwesen und Raumordnung (BBR)

Das Bundesamt für Bauwesen und Raumordnung (BBR) ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Verkehr, Bau und Stadtentwicklung (BMVBS). Das BBR betreut zum einen die Bundesbauten im In- und Ausland und unterstützt zum anderen die Bundesregierung durch fachlichwissenschaftliche Beratung in den Politikbereichen Raumordnung, Städtebau,  Wohnungs- und Bauwesen. Dazu gehören Baumaßnahmen für Verfassungsorgane, oberste Bundesbehörden, diplomatische Vertretungen, Deutsche Schulen, Goethe- Institute, Sicherheitsbehörden, Wissenschafts- und Forschungseinrichtungen sowie die Baumaßnahmen der Stiftung Preußischer Kulturbesitz. Das Aufgabenspektrum reicht von der Großbaustelle bis zu raumordnerischen und städtebaulichen Modellprojekten, von Fragen der Baukultur und der Denkmalpflege bis Fragen der europäischen Zusammenarbeit, von Architekturwettbewerben bis zu Raumordnungsberichten und Wohnungsmarktstudien.


Wandel im Kommunikationsverhalten

Die zunehmende Vernetzung von Rechnern und Rechnerverbünden hat einen Wandel im Kommunikationsverhalten von Behörden und Unternehmen bewirkt. Kommunikationsnetze werden zur Suche nach Informationen eingesetzt, um Aufgaben effizient zu erledigen, vor allem aber zunehmend als universelles Transportmedium für Daten. Mit Hilfe von Virtuellen Privaten Netzen (VPNs) können Sicherheitsmaßnahmen realisiert werden, um schutzbedürftige Daten über nichtvertrauenswürdige Netze wie dem Internet zu übertragen.


Intelligentes SSL-VPN

Um eine einheitliche, sichere und zukunftsfähige Plattform für alle Remote- Access Dienste des BBR – unabhängig von Endgeräten, Nutzern und Standorten – zur Verfügung stellen zu können, wurden neben den bekannten Technologien für Authentifizierung und Autorisierung, sowie die sichere Kommunikation durch VPN-Tunnel, auch Funktionen für die Bewertung von Endgeräten und die entsprechende Kategorisierung in bestimmte Sicherheitszonen kombiniert. Dabei wird unabhängig vom Benutzer die Identität und Sicherheitssituation des Endgeräts ermittelt und bei der Vergabe der aktuellen Zugriffsberechtigungen berücksichtigt.


Innovative Lösung

Innovation und Zukunftssicherheit waren ausschlaggebende Faktoren bei der Definition der Anforderungen an eine Remote-Access-Lösung. Zu der beim BBR implementierten Lösung  gehören:

  • Remote-Access-Gateway SonicWALL Aventail EX6000
  • Zwei-Faktor-Authentisierung durch Token (One-Time-Password)
  • Active-Directory Integration (Duale-Authentifizierung)
  • Bereitstellung von Terminal-Services (RDP im Web-Browser)

Für die Anmeldung benötigt der Benutzer seinen Benutzernamen, sein AD-Passwort, die  Token-PIN und das Token-Passwort (OTP). Durch die Verifizierung am AD wird die Gruppenzugehörigkeit des Benutzers an das Remote-Access- Gateway übergeben. Mit der Prüfung der Identität und Sicherheitssituation des Endgeräts (EPC) wird die Sicherheitszone ermittelt. Ausgehend von diesen Faktoren werden die Zugriffsberechtigungen der Benutzer auf die einzelnen Ressourcen in Abhängigkeit der AD-Gruppenzugehörigkeit und des Endgeräte-Zustandes bei jeder Anmeldung geregelt.


Flexibel und Plattformunabhängig

Mit seinem richtlinienbasierten und geräteoptimierten Webportal erlaubt der SonicWALL Aventail WorkPlace als Reverse-Proxy einen einfachen Zugriff auf webbasierte Anwendungen, File-Shares und Client-Server-Applikationen und ist vom Zugangsmedium zum Internet weitgehend unabhängig. Weitergehend bieten die transparenten SSL-VPN-Tunnel durch den ConnectTunnel-Client oder einem Web-Browser (On-Demand-Tunnel) einen einfachen und vollständigen bidirektionalen Zugriff von Windows-, Macintosh- und Linux-Umgebungen auf sämtliche internen Ressourcen.


Schutz vertraulicher Daten

Die in der Appliance integrierten Native Access Module bieten den mobilen Benutzern einen systemeigenen Zugriff auf die Windows-Terminal-Services des BBR. Hierbei wird nicht der RDP-Client des Endgerätes genutzt sonder der integrierte RDP-Client über einen Web-Browser-Verbindung angezeigt. Damit kann der Zugriff auf interne Applikation kontrolliert und auf eine reine Visualisierung limitiert werden. Dabei wird sichergestellt, dass über diese Terminal-Services keine internen Daten des BBR nach Außen übertragen oder Schadprogramme eingeschleust werden können. Weiterhin wird eine Nutzung dieser Funktion auf Endgeräten mit unterschiedlichsten Betriebssystemen gewährleistet.


Endgeräte kontrollieren

Hohen Wert legte das Projektteam auf die Erkennung und Kontrolle der Endgeräte, die von außen auf das Behördennetz zugreifen. Mit SonicWALL Aventail End Point Control (EPC) können heute alle Endgeräteumgebungen zuverlässig abgefragt werden, gleich ob es sich um Windows, Windows Mobile, Macintosh oder Linux-Plattformen handelt. SonicWALL Aventail Policy Zones nutzt die am Endpunkt ermittelten Kriterien zur Erstellung automatisierter Zugriffsregeln. Cache Control entfernt Elemente aus dem Cache-Speicher und Sitzungsverlauf des Browsers und löscht Cookies sowie Kennworteingaben. Die Funktion Secure Desktop schafft eine virtuelle verschlüsselte Umgebung und verhindert, dass vertrauliche Informationen auf dem Gerät zurückbleiben.


Sicher in Zukunft

Durch die Minimierung der Anforderungen konnte bei der Anschaffung neuer Endgeräte für die Mobilen Nutzer des BBR eine deutliche Kosteneinsparung erreicht werden. Die Anbindung an das Internet über die Netze des IVBB (Informationsverbund Berlin-Bonn) wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) geprüft und freigegeben.


„Bemerkenswert waren die schnelle Integration in die bestehende IT-Infrastruktur, die einfache Konfiguration und das komfortable Management, die hohen Sicherheitsstandards, und die Stabilität des Systems“ erläutert Andreas Grimm (Leiter Informationstechnik BBR). „In Zukunft können nun die Mitarbeiter des BBR noch flexibler und effektiver an unseren Projekten im In– und Ausland arbeiten.“