Z1 SecureMail Gateway bei der Landesbank Baden-Württemberg

„Aufgrund unserer Anforderungen haben wir die Lösungen verschiedener Hersteller untersucht. Die Entscheidung fiel auf Z1 SecureMail Gateway von Zertificon. Die Software unterstützt die wichtigsten Standards, ist für die Administration einfach zu handhaben und fügt sich gut in die Gesamtarchitektur ein. Die Installation und Konfiguration erfolgte mit Unterstützung des Herstellers und verlief ohne Probleme.“

Dr. Malte Borcherding, IT Security Manager, Landesbank Baden-Württemberg

Die Ausgangssituation bei der LBBW

Das Hauptgebäude der Landesbank Baden-Württemberg mit VorplatzLBBW Hauptsitz Stuttgart

Die Landesbank Baden-Württemberg hat sich intensiv mit dem Schutz der E-Mail-Kommunikation der über 10.000 E-Mail-Nutzer befasst und dieses Thema in einer Sicherheitsrichtlinie geregelt. Die Richtlinie hat das Ziel, die Vertraulichkeit, Authentizität und Integrität zu wahren. Die Bank will materiellen und Image-Schäden vorbeugen und verhindern, dass Unbefugte vertrauliche Informationen über Transaktionen, vertragliche Vereinbarungen oder personenbezogene Daten erhalten oder verändern.

Ziel: Einheitliches Sicherheitsniveau statt Standalone-Rechner mit PGP

Früher wurde für die Absicherung von E-Mails mit Standalone-Rechnern gearbeitet, auf denen PGP (Pretty Good Privacy) installiert war. Auf separaten PCs wurden Daten ver- und entschlüsselt und direkt per E-Mail ins Internet versendet bzw. von dort empfangen. Dieser Arbeitsplatzwechsel für jede sensible Mail wurde mit zunehmendem E-Mail-Aufkommen allerdings schwer handhabbar und unproduktiv. Außerdem konnte dieser dezentrale Ansatz kein einheitliches Sicherheitsniveau garantieren. Die LBBW suchte daher eine Lösung, mit der die Sicherheitsanforderungen einfacher umzusetzen waren.

Eine Absicherung von E-Mails sollte ohne weitere Installationen oder Arbeitsplatz-wechsel durch die Benutzer möglich sein. Um eine möglichst hohe Akzeptanz der Lösung zu gewährleisten, sollte eine einfache Bedienung durch die Benutzer sichergestellt werden.

Spezielle Anforderungen der LBBW

Weitere Anforderungen zielten auf eine möglichst geringe Beeinflussung des bis-herigen Mailbetriebes, die Integrationsfähigkeit in die heterogene IT-Umgebung der LBBW und die Kombination mit anderen Sicherheitssystemen. Daher zählte zu den Anforderungen die Einbindung in den bisherigen Mailpfad (SMTP-basiert), mit der auch die Möglichkeit der Inhalts- und Virenprüfung voll erhalten bleiben sollte. Diese Anforderungen legten bereits eine serverbasierte Lösung nahe.

E-Mail-Kommunikation für geschäftskritische Vorgänge

Da die Mitarbeiter der Bank die E-Mail-Kommunikation immer mehr für geschäftskritische Vorgänge einsetzten, mussten Ausfallsicherheit und Hochverfügbarkeit durch die Lösung gewährleistet sein. Schließlich sollte künftig der gesamte E-Mail-Verkehr so verarbeitet werden.

Eine aufwändige PKI (Public Key Infrastructure) sollte vermieden werden, weil die Lösung schnell umgesetzt werden, dabei gleichzeitig aber nur einen geringen administrativen Aufwand benötigen sollte.

Evaluation und Implementierung

Anhand der genannten Anforderungen hat das Team um Dr. Borcherding, IT Security Manager der LBBW, die Lösungen verschiedener Hersteller untersucht. Die Entscheidung fiel auf das Z1 SecureMail Gateway von Zertificon Solutions, weil die Software die wichtigsten Standards unterstützt, für die Administration einfach zu handhaben ist und sich gut in die Gesamtarchitektur einfügt. Die Installa­tion und Konfiguration erfolgte mit Unterstützung von Zertificon-Mitarbeitern und verlief ohne Probleme. Diese Lösung ist seit November 2003 vollständig implementiert und im produktiven Einsatz. Nachdem der Pilotbetrieb mit einer eingeschränkten Benutzergruppe erfolgreich verlief, wird die Lösung nun allen internen Benutzern zur Verfügung gestellt.

Zertifikats- und Schlüsselverwaltung

Die Verwaltung der externen Zertifikate erfolgt weitgehend automatisch, indem Z1 SecureMail Gateway Zertifikate aus eingehenden E-Mails sofort übernimmt. Die LBBW selbst verfügt über ein Unternehmenszertifikat, so dass eine Verwaltung von internen Benutzerschlüsseln entfällt.

Die privaten Schlüssel der LBBW werden in einem Hardware-Security-Modul (Cryptobox) aufbewahrt und verwendet. Dadurch sind die Schlüssel gegen Manipulation und Diebstahl geschützt. Das Gateway ist doppelt ausgelegt, um Hochverfügbarkeit und Ausfallsicherheit zu gewährleisten. Beide Systeme laufen parallel und können bei Bedarf jeweils die Last des anderen zusätzlich über­nehmen.

Feature Requests und Support

„Unsere Vorschläge zu Funktionsverbesserungen und zusätzlichen Features, die sich im Laufe der Zeit ergeben hatten, nahm der Hersteller auf und arbeitete sie in weitere Produktversionen ein. Der Support von Zertificon war dabei in jeder Phase schnell und kompetent. Die Erwartungen an die Lösung haben sich damit erfüllt, und wir konnten unsere Anforderungen vollständig abdecken“, fasst Dr. Malte Borcherding zusammen.

Die Landesbank Baden-Württemberg (LBBW) ist eine Universal- und internationale Geschäftsbank mit voller Geschäfts- und Niederlassungsfreiheit. Sie ist sowohl Retail- als auch Wholesalebank und die Zentralbank der Sparkassen in Baden-Württemberg. Auf dem Gebiet der Landeshauptstadt Stuttgart erfüllt sie die Aufgaben einer Sparkasse. In der Bundesrepublik ist sie unter den zehn größten Kreditinstituten, weltweit unter den 50 größten Banken. Hauptsitze befinden sich in Stuttgart, Karlsruhe und Mannheim.

Kennzahlen

Bilanzsumme im Konzern: 379 Mrd. Euro (2016), 180 Filialen, über 11.300 Mitarbeiter im Konzern

Die Aufgabe

Umsetzung der Sicherheitsrichtlinie zum Schutz von Vertraulichkeit, Authentizität und Integrität der E-Mail-Kom­munikation.

Z1 SecureMail Gateway bei der Landesbank Baden-Württemberg

  • Automatische Verschlüsselung, Ent- schlüsselung, automatisches Signieren und Überprüfen von Signaturen
  • Betriebssystem Sun Solaris
  • Administration über eine web- basierte Management-Konsole
  • agiert als SMTP-Proxy
  • Bearbeitet den gesamten E-Mail-Verkehr entsprechend der zentralen Sicherheitspolitik und der jeweiligen individuellen Benutzervorgaben
  • S/MIME und PGP
  • Speicherung der privaten Schlüssel in einem Hardware-Security-Modul (Cryptobox)
  • Redundantes synchronisiertes System für Lastverteilung und Hochverfügbarkeit bzw. Ausfallsicherheit

 Als PDF herunterladen