Datendiode mit BSI-Zulassung

Kuhn Fachmedien

Artikel vom 30. Januar 2022
IT und Organisation

Datentransfers vom schwarzen ins rote Netz mit der neuen Datendiode (Bild: genua).

Eine neuralgische Schnittstelle für Cyber-Spionageangriffe ist die Datenübertragung aus sicherheitstechnisch niedrig eingestuften, sog. »schwarzen« Netzen, in als geheim eingestufte »rote« Netze, z. B. beim Empfang von E-Mails, bei der Übertragung von Videodaten oder beim Upload aktueller Patterns für Antivirensysteme.

»vs-diode« für sichere Datentransfers

Für umfassend abgesicherte Datentransfers an diesen Rot-Schwarz-Gateways hat genua die Datendiode »vs-diode« entwickelt. Deren aktuelle Version 2.0 erhielt laut Unternehmensangabe erneut die BSI-Zulassung für die Verarbeitung und Übertragung von Informationen bis einschließlich zum Geheimhaltungsgrad »Geheim«. Zudem ist die Datendiode bis zum Geheimhaltungsgrad »Secret UE / EU Secret« für den nationalen Einsatz sowie für den Schutz von Nato-Informationen bis zum Geheimhaltungsgrad »Nato Secret« zugelassen.

Die Datendiode besteht aus zwei Application Level Gateways (ALG) – jeweils für das schwarze und rote Netzwerk – sowie einem dazwischen liegenden One-Way-Mittelteil, der nur von Schwarz nach Rot kopiert. In die Gegenrichtung wird ausschließlich signalisiert, ob die Daten korrekt auf der Gegenseite angekommen sind. Diese Übermittlungsmeldung ermöglicht eine rasche Datenübertragung ohne ein redundantes und langsames Senden. Die Kommunikation zwischen dem roten und schwarzen ALG erfolgt mittels TCP oder UDP.

Der Mittelteil besteht aus zwei paravirtualisierten »genuscreen«-Firewalls und einem dazwischen liegenden One-Way-Task. Er nutzt einen Separation-Kernel der L4-Familie, der die Hardware in drei strikt voneinander getrennte Compartments aufteilt. Jedes dieser Compartments besitzt seinen eigenen CPU-Kern. Auch der Arbeitsspeicher ist durch den Microkernel strikt von den anderen Compartments separiert. Zwischen den beiden Firewalls befindet sich der One-Way-Task, der die einzige Schnittstelle zwischen den beiden Firewall-Compartments darstellt.

Die Datendiode unterstützt neu das Protokoll FTPS (FTP mit TLS-Verschlüsselung) sowie weiterhin die Protokolle FTP, SMTP, SNMP Traps, TCP, Lumberjack (Elastic Stack), Syslog und UDP. Die Leistung konnte von 2 auf bis zu 3 Gbit/s gesteigert werden.