Downloads  |  Referenzen  |  Training Center  |  Publikationen  |  Events  |  Jobs  |  Presse

Sie möchten mehr über die Vorteile einer Hochsicheren Standortvernetzung und den Schutz vor Cyber-Kriminalität erfahren? Fordern Sie hier gratis die neuen Whitepaper für Industrie und Behörden an:

 

FAQ Hochsichere Standortvernetzung

Was versteht LANCOM unter „Hochsicherer Standortvernetzung“?

LANCOM Lösungen für hochsichere Standortvernetzung basieren auf dem LANCOM CC-Portfolio mit hochintegrierten und praxiserprobten LANCOM Netzwerkkomponenten für ausgeprägte Sicherheitsanforderungen. Das in Deutschland entwickelte und gefertigte CC-Portfolio für die hochsichere Vernetzung von Standorten bietet umfassenden, zertifizierten Schutz (CC EAL 4+) gegen Cyber-Angriffe – mit all der Flexibilität und Schnittstellenvielfalt moderner Business-Router. Darüber hinaus verpflichtet sich LANCOM Systems zu einem konsequenten Verzicht auf jegliche versteckte Zugangsmöglichkeiten – so genannte Backdoors.

 

Was bedeutet Common Criteria EAL 4+?

Bei Common Criteria (CC) handelt es sich um einen international anerkannten Standard zur Zertifizierung von Hardware und Software im Bereich Datensicherheit. Innerhalb der CC-Zertifizierung gibt es Stufen der Evaluierung, die Evaluation Assurance Level (EAL), welche den Umfang und die Tiefe der jeweiligen Zertifizierung deutlich machen. Insgesamt gibt es sieben verschiedene Zertifizierungsstufen von EAL 1 bis EAL 7, von denen jede auf der vorherigen aufbaut und neue Komponenten hinzufügt oder vorherige erweitert. Das durchlaufene mehrjährige Prüfverfahren ist enorm aufwendig: Der gesamte Quellcode, die umfangreiche Dokumentation und das definierte Sicherheitsziel wurden durch unabhängige Experten geprüft. Die Entwicklung der Software findet innerhalb einer Hochsicherheitszone statt. Die Produkte wurden auf Funktionalität als auch auf potentielle Schwachstellen untersucht und haben mehrere hundert System- und Modultests durchlaufen. Darüber hinaus wurden die kryptographischen Algorithmen (AES, RSA, Diffie-Hellman), die Hashing-Routinen (SHA) sowie der kryptografisch sichere Zufallszahlen-Generator intensiv getestet. Die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik gewährleistet, dass die Evaluierung der LANCOM Produkte nach weltweit höchsten Standards durchgeführt wird. Mit CC EAL 4+ erreichten die LANCOM Router die höchste international anerkannte Zertifizierung, die ein kommerzielles Netzwerkprodukt dieser Komplexität erhalten kann.

 

Für welche Sicherheitsanforderungen sind die LANCOM CC-Produkte geeignet?

LANCOM CC-Produkte bieten vollumfänglichen Schutz für alle Institutionen, in denen der Einsatz zertifizierter Produkte vorgeschrieben ist, bzw. die ausgeprägte Sicherheitsanforderungen haben, u.a. öffentliche Einrichtungen, Finanzdienstleister, Wirtschaftsunternehmen, Industrieanlagen und kritische Infrastrukturen (KRITIS). Dabei bieten LANCOM CC-Router die Grundlage für die Absicherung kritischer Infrastrukturen und schützen vor folgenden Cyber-Angriffen:

  • Schutz gegen das Mithören sensibler Sprach-, Daten- und Videoverbindungen (Sniffing).
  • Schutz gegen das Vortäuschen einer falscher Identität eines Teilnehmers der Gegenseite (Man-in the-Middle-Angriffe)
  • Schutz gegen Angriffe auf die Verfügbarkeit der Übertragungsstrecke (Denial-of-Service-Angriffe)

Ebenso lassen sich mit LANCOM CC-Produkten bestehende Netzwerkinfrastrukturen um hochsichere Teilbereiche erweitern. Dabei ist gewährleistet, dass solche sensiblen Daten ausschließlich im Zugriffsbereich dieses hochsicheren Netzwerkes ausgetauscht werden können. So lassen sich beispielsweise Entwicklungsabteilungen, Vorstandsbüros oder andere Bereiche mit kritischen Daten vom restlichen Unternehmensnetz abgrenzen.

 

Wodurch unterscheiden sich die LANCOM CC-Produkte von den normalen LANCOM Produkten?

Der Unterschied liegt in der Zertifizierung. Alle LANCOM Produkte - ob CC-zertifiziert oder nicht - basieren auf dem LANCOM Sicherheitsversprechen und bieten ein Höchstmaß an Sicherheit, das weit über das marktübliche Niveau hinausgeht. Die Zertifizierung durch das BSI bestätigt diese Hochsicherheit durch eine unabhängige, sehr aufwändige Prüfung einer eigens für die neue Router-Serie optimierten Hochsicherheitsvariante unseres LCOS - dem LCOS 8.70 CC. Das LCOS 8.70 CC ermöglicht den hochsicheren Betrieb eines VPN gemäß den strikten Vorgaben der Common Criteria (CC). In diesem zertifizierten CC-Betrieb stehen ausschließlich hochsichere Schnittstellen, Protokolle und Funktionen zur Verfügung. Zudem ist das Vorgehen bei der Inbetriebnahme für den zertifizierten CC-Betrieb vorgegeben.

 

Kann ich in LANCOM CC-Produkte auch normale LCOS-Versionen einspielen?

Ja. Sie können jede beliebige LCOS-Firmware in die LANCOM CC-Produkte einspielen. Diese LCOS-Versionen sind allerdings nicht gemäß CC EAL 4+ zertifiziert, weshalb ausschließlich mit LCOS 8.70 CC ein zertifizierter CC-Betrieb möglich ist.

 

Kann ich meine vorhandenen LANCOM Geräte für den hochsicheren CC-Betrieb „aufrüsten“?

Nein. Die zertifizierte Hochsicherheits-Firmware LCOS 8.70 CC lässt sich nur in dafür vorgesehene LANCOM CC-Produkte einspielen. Allerdings können Sie Ihr vorhandenes Netzwerk mit CC-Produkten komfortabel erweitern.

 

Was sind die Vorteile der LANCOM CC-Produkte?

Die LANCOM CC-VPN-Router bieten eine am Markt einzigartige Kombination von Produktmerkmalen: Als Grundlage dient die hunderttausendfach erprobte LANCOM Router-Technologie mit ihrer großen Flexibilität und Schnittstellenvielfalt. Die Produkte sind in Deutschland entwickelt und gefertigt und - wie alle LANCOM Router und Access Points - garantiert frei von versteckten Zugangsmöglichkeiten (Backdoors). Kombiniert mit der sehr umfangreichen Zertifizierung durch das BSI - zertifiziert wurden neben dem IPSec VPN auch Backup und Redundanz, Routing, Firewalling, Nutzung digitaler Zertifikate, Netzvirtualisierung (ARF) und Management - und dem günstigen Preis ist dieses Angebot einzigartig am Markt.

 

Sind die LANCOM CC-Produkte sicherer als die normalen LANCOM Produkte?

Das Zertifizierungsverfahren der LANCOM CC-Produkte bringt viele Sicherheitsvorteile für alle LANCOM Produkte mit sich: Die gesamte Entwicklung der Software findet in einer Hochsicherheits-Umgebung statt und viele Sicherheitsaspekte der LCOS 8.70 CC sind in die Standard-LCOS-Versionen eingeflossen. Dabei sind auch die „normalen“ LANCOM Produkte sicher, der einzige Unterschied liegt in der unabhängig geprüften und auditierten Zertifizierung der eingesetzten Security-Firmware LCOS 8.70 CC für LANCOM CC-Produkte, welche eine Konfiguration für einen hochsicheren Einsatz gemäß CC EAL 4+ gewährleistet.

 

Sind die LANCOM Produkte wirklich Backdoor-frei?

Ja. LANCOM hat bereits vor vielen Jahren eine Selbstverpflichtung unterzeichnet, in der wir uns zum Verzicht auf jegliche versteckte Zugangsmöglichkeiten (Backdoors, Magic Packets etc.) in allen Produkten verpflichten. Diese Selbstverpflichtung wird bedingungslos eingehalten, schließlich stellen Backdoors ein massives Sicherheitsrisiko für IT-Infrastrukturen dar.

 

Sind die LANCOM Produkte für Behörden zugelassen?

LANCOM CC-Produkte bieten mit ihrer CC EAL-4+ Zertifizierung ein international anerkanntes hohes Sicherheitsniveau. Im Einzelfall ist im Behördenumfeld zu prüfen, inwiefern diese Zertifizierung als ausreichend erachtet wird. Eine Zulassung für Verschlusssachen (z.B. VS-NfD / VS-Vertraulich / VS-Geheim) besteht aktuell nicht.

 

Wie werden LANCOM CC-Geräte in Betrieb genommen?

Eine vereinfachte Darstellung der Schritte, die zu einer zertifizierten Inbetriebnahme von LANCOM CC-Geräten führen, finden Sie im Reiter "Konfiguration". Ein wesentlicher Bestandteil der zertifizierten Inbetriebnahme ist die Generierung einer hochsicheren Zufallszahl mittels einer vertrauenswürdigen Smartcard, wie im LANCOM CC Start-up Kit enthalten. Der in LANCOM CC-Geräten enthaltene Software-Zufallszahlengenerator nutzt diese Zufallszahl (Seed) zur Erstellung weiterer Zufallszahlen, beispielsweise für die Generierung kryptographisch hochsicherer Schlüssel und Zertifikate.

 

Wie kann ich den Betrieb der LANCOM CC-Produkte überwachen?

Im zertifizierten CC-Betrieb ist nur eine einfache "Rot/Grün"-Statusüberwachung per ICMP möglich, tiefergehende Statusinformationen können per SSH ausgelesen werden. Da SNMP im zertifizierten Betrieb deaktiviert sein muss, ist keine SNMP-basierte Überwachung z. B. mit LANmonitor oder LANCOM Large Scale Monitor möglich.

 

Wie sieht das Rollout und Management der LANCOM CC-Produkte aus?

LANCOM CC-Produkte müssen für den zertifizierten CC-Betrieb gemäß einer gesonderten Guidance-Dokumentation in Betrieb genommen werden. Dazu gehören u.a. spezielle Inbetriebnahmeschritte.

Zur Erleichterung der Inbetriebnahme bietet LANCOM Systems einen spezielles Zubehör an, das LANCOM CC Start-up Kit, sowie angepasste CC Setup-Assistenten ab LANconfig 8.82 RU1.

Nach Erstinbetriebnahme können die CC-Geräte über das SSH-Protokoll lokal und via VPN normal remote gemanagt werden (CLI, LANconfig ab Version 8.82 sowie LANCOM LSR).

 

Welche VPN-Funktionalitäten werden im zertifizierten CC-Betrieb unterstützt?

Im zertifizierten CC-Betrieb muss bei auszuhandelnden VPN-Verbindungen mindestens eine der beiden Gegenstellen eine feste IP-Adresse haben. Dabei lassen sich sowohl VPN-Verbindungen mit Preshared Keys, als auch über die Verwendung digitaler Zertifikate aufbauen. Bei Verwendung von digitalen Zertifikaten können nur selbstsignierte Zertifikate (self-signed) ohne zentrale Certificate Authority (CA) verwendet werden. Somit muss bei zertifikatsbasierten VPN-Verbindung für jedes beteiligte Gerät ein privates, selbstsigniertes Zertifikat ausgestellt werden. Alle anderen VPN-Betriebsarten sind weiterhin nutzbar, allerdings nur außerhalb des zertifizierten CC-Betriebs.

 

Ist mit WLAN-Geräten auch ein CC-Betrieb möglich?

LANCOM WLAN-Geräte sind nicht Gegenstand der Zertifizierung gemäß CC EAL 4+. Dennoch lassen sich WLAN-Infrastrukturen hinter LANCOM Routern im zertifizierten CC-Betrieb komfortabel nachschalten, beispielsweise für die sichere WLAN-Anbindung von Mitarbeitern.

 

Welche speziellen Sicherheitsfunktionen bieten die LANCOM CC-Produkte?

Im zertifizierten CC-Betrieb dürfen aus Sicherheitsgründen eine Reihe von unverschlüsselten Protokollen nicht verwendet werden. Stattdessen können hochsichere Protokolle für verschiedene Anwendungen eingesetzt werden: Statt über SNMP kann ein Monitoring über SYSLOG und ICMP erfolgen; umfassendes Management ist über SSHv2 statt über TELNET möglich. Alle Schnittstellen und Protokolle, die die Sicherheit des Systems kompromittieren können, sind standardmäßig deaktiviert (z. B. ISDN oder USB). Bei Bedarf können diese Funktionen dennoch außerhalb des zertifizierten CC-Betriebs aktiviert werden. Für eine schnelle und komfortable Konformitäts-Prüfung und Einrichtung gibt es einen entsprechenden Befehl für die Geräte-Kommandozeile.

 

Welche Funktionen werden im zertifizierten CC-Betrieb unterstützt?

 

Funktion zertifizierter CC-Betrieb außerhalb des zertifizierten CC-Betriebs
AES Ja Ja
CRL - Ja
DES, 3DES - Ja
Diffie-Hellmann-Gruppe 14 Ja Ja
Digitale Zertifikate (CA) - Ja
Digitale Zertifikate (self-signed) Ja Ja
Dynamic DNS - Ja
Dynamic VPN - Ja
Firewall Ja Ja
HTTP/HTTPS - Ja
ICMP Ja Ja
IPSec Ja Ja
IPSec-over-HTTPS - Ja
ISDN/LANCAPI - Ja
LANCOM VPN Option Ja Ja
MD5 - Ja
Netzwerkvirtualisierung (ARF) Ja Ja
OCSP - Ja
PPTP - Ja
RIP (lernen) - Ja
RIP (propagieren) Ja Ja
SCEP - Ja
SHA-1 Ja Ja
SHA-256 Ja Ja
SNMP - Ja
SSHv2 Ja Ja
SYSLOG (intern) Ja Ja
TELNET - Ja
TFTP - Ja
USB (extern) - Ja
xAuth - Ja