Das Internet ist auf Grund seiner geringen Kosten und der großen geografischen Reichweite zum bevorzugten weltweit nutzbaren Netzwerk geworden. Doch das öffentliche Netz, das für alle zugänglich ist, birgt auch Gefahren in sich. Bei ungenügenden Sicherheitsmechanismen könnten sich Unbefugte Zugang zu eigenständigen Unternehmens- bzw. Organisationsnetzwerken und damit zu kritischen Daten verschaffen. Obwohl durch die Citrix-Technologie die Anwendungen zu 100 Prozent auf dem Server laufen und über das Citrix ICA-Protokoll (Independent Computing Architecture) nur Tastatureingaben, Mausklicks und Bildschirmdarstellungen übertragen werden, gibt es Restrisiken, die nur durch den Einsatz von Sicherheitsmechanismen wie beispielsweise Verschlüsselung, Authentifizierung und Zugriffskontrollen zu vermeiden sind.

Virtual Private Networks (VPNs) stellen in der Regel eine effektive Methode dar, über Remote Access einen sicheren Zugang zu Unternehmensressourcen über das Internet zu gewährleisten. VPNs sind private Netzwerke, die auf einem öffentlichen Netzwerk aufgesetzt werden. Ein VPN richtet einen sicheren Datenweg ein, baut einen Tunnel auf und nutzt dafür Standardprotokolle wie IPSec oder PPTP, die für die Kapselung der übertragenen Informationen sorgen.

Da aber für die CSU-Fraktion, um eine aufwändige Softwareverteilung und -administration zu vermeiden, eine VPN-Lösung nicht in Frage kam, musste eine Alternative gefunden werden, die ähnliche hohe Sicherheitskriterien wie ein Virtual Private Network erfüllt, um einen Zugang zu dem geschützten internen Netz zu ermöglichen.

COMPAREX Global Services realisierte für die CSU-Fraktion eine einfache und kostengünstige Sicherheitslösung: Mit Hilfe von Citrix Secure Gateway (CSG) wurden alle Datenströme zwischen den Anwendungs-Servern und den Clients verschlüsselt, der Zugang in das interne Netzwerk über die Firewall abgesichert und die Verwaltung von digitalen Zertifikaten vereinfacht.

Technische Details der Implementierung

Eine typische CSG-Implementierung benötigt neben der Server-Farm mit den Anwendungen einen Secure Gateway Server, einen Webserver mit NFuse Classic und einen Server mit einer Secure Ticket Authority (STA). Aufgrund der Tatsache, dass im Falle der Installation bei der CSU-Fraktion die Anzahl der Anwender nicht sehr groß ist, konnten die CSG- und NFuse-Instanzen gemeinsam auf dem Webserver installiert werden. MetaFrame XP und NFuse Classic unterstützen Verschlüsselung gemäß SSL (Secure Sockets Layer) und TLS (Transport Layer Security). Beides sind Standardprotokolle, die die Datenverschlüsselung, Server- und ClientAuthentifizierung und Nachrichtenintegrität sicherstellen. Eine weitere Sicherheitskomponente stellt die installierte Ticketing-Funktionalität dar. Der NFuse-Server generiert dabei zeitlich begrenzte Tickets die nach Benutzung oder nach zeitlichem Ablauf eine Anmeldung nicht mehr zulassen. Die sichere Webbrowser-zu- Webserver-Kommunikation wird auch durch die Verwendung von digitalen Zertifikaten gewährleistet. Dabei überprüft der Webbrowser zuerst die Identität des Servers, indem er das Zertifikat des Webservers mit einer Liste der vertrauenswürdigen Zertifizierungsstellen vergleicht. Nach dieser Überprüfung verschlüsselt der Webbrowser die Anfragen des Benutzers und entschlüsselt dann die Dokumente, die vom Webserver zurückgegeben werden. Eine SSL-Integritäts-Überprüfung stellt sicher, dass keine Manipulation der übertragenen Daten stattgefunden hat. Durch die Implementierung von CSG wird außerdem die Zertifkatsverwaltung deutlich vereinfacht, da nur auf diesem Gateway die Installation von Zertifikaten notwendig ist und nicht auf allen Servern in der Server-Farm.

Für die Anwender ist die Kommunikation über CSG vollkommen transparent. Eine spezielle Installation und Konfiguration des Webbrowsers ist nicht notwendig. Die Anmeldung an das System erfolgt, wie gewohnt, durch eine Eingabe der entsprechenden Adresse in den Browser. Nach Übergabe der Benutzerinformation wie Benutzername und Passwort, wird für jeden Anwender eine individuelle Liste der für ihn zur Verfügung gestellten Applikationen bereitgestellt. Auch für die Systembetreuer hat das System nur Vorteile. Die Administration kann von zu Hause über jede Art von Anbindung erfolgen. Eine Betreuung der Rechnersysteme der Abgeordneten ist nicht notwendig, da außer einem Webbrowser keine weiteren Anwendungen zu installieren sind.

Reibungslose und sichere Information

Mit Citrix NFuse und Citrix Secure Gateway wurde durch den COMPAREX Global Service ein kostengünstiger, einfacher und sehr sicherer Zugang über das Internet realisiert. Über einen Webbrowser können die CSU-Abgeordneten und ihre Mitarbeiter von jedem beliebigen Ort und über jede Art von Verbindung auf ihre Anwendungen und Informationen zugreifen.

Sicherheit und Qualität erhöhen Effizienz der Mitarbeiter

Vollkommen zufrieden sind Markus Straub als Projektleiter und Albert Eicher, Leiter des Referats Personal, Organisation und IT, mit dem bisherigen Projektverlauf. „Unsere Anforderungen an die Qualität des Projektes und an die Schnelligkeit der Implementierung wurden durch die COMPAREX Global Services Mitarbeiter voll erfüllt. Durch die partnerschaftliche Zusammenarbeit der COMPAREX mit den Mitarbeitern des IT-Referats konnten wir das System in sehr kurzer Zeit unseren Abgeordneten und den Mitarbeitern zur Verfügung stellen.“