Autoriteiten, kantoren en bedrijven die onder toezicht van de Geheime Dienst staan, geven zeer gevoelige informatie door. Daarom speelt de beveiliging van VPN-verbindingen een belangrijke rol. NCP heeft software ontwikkeld die voldoet aan de eisen van de BSI.
“Classified – For official use only”: Voor overheden en kantoren is een hoog niveau van gegevensbescherming voorgeschreven door de staat. Het zogeheten VS-NfD is het laagste van in totaal vier niveaus van geheimhouding voor de Duitse autoriteiten. Informatie die met deze afkorting is gemarkeerd, mag alleen door bevoegde personen worden ingezien. Gerubriceerde informatie is informatie die om redenen van staatsbelang geheim moet blijven.
Als tegenhanger op EU-niveau is er de markering “Restreint UE/EU Restricted” en de geheimhoudingsmarkering van de NAVO is “NATO Restricted”.
Voorwaarde voor het functioneren van de geheimhoudingsniveaus zijn veilige hardware- en softwareproducten. Om ze als veilig te kunnen beschouwen en ze door de autoriteiten te laten gebruiken, moeten ze door het Bundesamt für Informationssicherheit (BSI) worden goedgekeurd.
De EU kent classificatieniveaus toe naar gelang van de ernst van de gevolgen indien onbevoegden de gegevens zouden inzien. Er zijn dus vier rubriceringsniveaus, te beginnen met het hoogste:
Très secret UE/EU Top Secret: openbaarmaking zonder machtiging zou zeer ernstige schade kunnen toebrengen aan de wezenlijke belangen van de EU of de lidstaten. Geheim UE/EU Geheim: openbaarmaking zonder machtiging zou ernstige schade kunnen toebrengen aan de wezenlijke belangen van de EU of de lidstaten. Confidentiel UE/EU Confidential: openbaarmaking zonder machtiging zou de wezenlijke belangen van de EU of de lidstaten kunnen schaden. Restreint UE/EU Restricted: bekendmaking zonder toestemming zou de belangen van de EU of de lidstaten kunnen schaden.
BBSI-goedgekeurde oplossing voor overheidsinstanties
Politici, overheidsfunctionarissen en officiële werknemers moeten snel en veilig toegang kunnen krijgen tot netwerkbronnen en -gegevens. De softwarefabrikant NCP Engineering heeft producten in zijn assortiment die BSI-goedgekeurd zijn en dus geschikt voor datatransmissie bij overheidsinstanties.
De VS GovNet Connector brengt via de client beveiligde dataverbindingen tot stand met de Secure VPN GovNet Server op basis van de IPsec-standaard. Gebruikers en IT-beheerders profiteren van vele functies en een hoge mate van veiligheid. De functies omvatten centraal rechten- en configuratiebeheer, gebruikersauthenticatie, netwerktoegangscontrole en VPN Path Finder.
De tegenhanger van de Connector is de VPN GovNet Server-oplossing, die ook BSI-goedkeuring heeft. Dit betekent dat overheidsinstanties het mogen gebruiken voor de verwerking van VS-NfD gerubriceerde gegevens. De software wordt geïnstalleerd op een Fujitsu-server door middel van een complete image.
Het gebruikersbeheer wordt uitgevoerd via backend-systemen zoals Radius, LDAP, MS Active Directory of rechtstreeks op de VPN-gateway. Bovendien maakt NCP gebruik van een gehard Linux-basisbesturingssysteem om veiligheidsredenen, evenals van Privilege Separation.
Met de update van de VS GovNet Connector naar versie 2.0 krijgen overheden de Self Check-functie. Dit is een integriteitsdienst, bedoeld om de veiligheid te verhogen. Daartoe voert de VPN-client bij het opstarten en regelmatig tijdens de werking zelftests uit van de beveiligingsrelevante functies. De tests omvatten het controleren van de authenticiteit en integriteit van de VPN-software, alsmede de correcte uitvoering van crypto-algoritmen. Als een zelftest mislukt, neemt de VPN-client een beveiligde toestand aan en mag de werkstationcomputer niet meer met andere systemen communiceren.
Daarnaast biedt de oplossing biometrische verificatie voor het inbellen in VPN via vingerafdruk- of gezichtsherkenning. Authenticatie vindt plaats direct na het klikken op de Verbinden knop in de Connector GUI. De verbinding wordt pas tot stand gebracht nadat de biometrische verificatie met succes is voltooid. Als de computer geen hardware voor biometrische verificatie heeft of als deze niet is geactiveerd, kan de gebruiker zich ook via zijn wachtwoord verifiëren.
Een ander alternatief voor verificatie is een gebruikerscertificaat. Deze bevindt zich op een door het BSI goedgekeurde smartcard. Hiervoor hebben de gebruikers de juiste kaartlezer nodig en moeten zij de PIN-code van de smartcard invoeren. Het voor gebruik vrijgegeven gebruikerscertificaat is actief betrokken bij het opzetten van de VPN-versleuteling. De VPN tunnel komt alleen tot stand met een succesvolle authenticatie.
In het algemeen kan elk bedrijf voor elk product een goedkeuring voor de geheimhoudingsniveaus bij het BSI indienen. Of het BSI goedkeuring verleent, is een andere vraag. Zoals Swen Baumann, Hoofd Product Management bij NCP, uitlegt, moeten fabrikanten die goedkeuring aanvragen al een hoge vertrouwensstatus hebben bij het BSI. Bovendien moet de fabrikant gedetailleerd aantonen hoe de oplossing werkt en waarom deze als veilig kan worden beschouwd.
Om aan de eisen van het VS-NfD classificatieniveau te voldoen, heeft NCP de VS GovNet Connector toegesneden op de behoeften van overheidsinstanties. De software is gebaseerd op de Enterprise Client, die NCP al vele jaren gebruikt bij bedrijven van allerlei omvang. Voor de overheid heeft de fabrikant bijzondere aandacht besteed aan een zo eenvoudig en begrijpelijk mogelijke bediening en een hoge mate van transparantie.