Übertragung von Protokollen, Warnmeldungen und Telemetriedaten über eine Datendiode

Erfahren Sie, wie
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Regierung | Kundengeschichten

NATO-Seestreitkräfte erreichen NCSC-zertifizierte domänenübergreifende Dateisicherheit und skalieren auf über 1 Million Dateien pro Tag

Im Rahmen strenger Verteidigungsvorschriften kombinierte der Kunde verschiedene OPSWAT , um eine kritische Sicherheitslücke innerhalb eines verbindlichen Compliance-Rahmens zu schließen.
By Oana Predoiu
Jetzt teilen

Über das Unternehmen: Als führende Seestreitkraft der NATO mit einer der weltweit längsten ununterbrochenen Einsatzgeschichten verfügt der Kunde über umfassende maritime Fähigkeiten – von der nuklearen Einsatzbereitschaft bis hin zu humanitären Hilfsmaßnahmen. Mit komplexen Operationen, die auf geheimen und äußerst sensiblen Informationen basieren, agiert er in einem der anspruchsvollsten Cybersicherheitsumfelder im Bereich der kritischen Infrastruktur.

Worum geht es? Der Kunde hatte den betrieblichen Bedarf, komplexe und vielfältige Daten über kritische Sicherheitsgrenzen hinweg zu übertragen, verfügte jedoch über keine genehmigte Vorgehensweise dafür und unterlag zudem einem strengen Compliance-Rahmenwerk, das hohe Anforderungen an die Definition von „genehmigt“ stellte. Um diese Lücken zu schließen, wurden OPSWAT modular implementiert, die speziell darauf ausgelegt sind, die NCSC-Vorgaben für den Datentransfer über Sicherheitsgrenzen hinweg zu erfüllen. Gemeinsam haben wir die erste staatlich zertifizierte Cross-Domain-Gateway-Import-/Export-Lösung in großem Maßstab entwickelt und damit eine kritische Lücke im gesamten Unternehmen geschlossen.

Aufgrund der Art des Geschäfts wurde der Name der Organisation, die in diesem Artikel vorgestellt wird, anonym gehalten, um die Integrität ihrer Arbeit zu schützen.

INDUSTRIE:

Verteidigung / Regierung

STANDORT:

Europa

GRÖSSE:

+30.000 festangestellte Mitarbeiter

VERWENDETE PRODUKTE:

MetaDefender
MetaDefender File Transfer™
MetaDefender Diode™

VERWENDETE TECHNOLOGIEN:

Metascan™ Multiscanning,Deep CDR™-Technologie, Adaptive Sandbox

Cybersicherheit war noch nie eine einfach zu bewältigende Herausforderung, doch in Branchen mit kritischer Infrastruktur bewegen sich die Verantwortlichen für die Sicherheit in einer ganz eigenen Liga.

Es beginnt mit den Gegnern, die keine opportunistischen Kriminellen sind, die auf einen schnellen Gewinn aus sind.

Die Rede ist von staatlich geförderten Gruppen, die mit staatlichen Mitteln operieren, oder von organisierten Netzwerken der Cyberkriminalität, deren Ziele von Ransomware bis hin zu langfristiger Spionage reichen.

Zu sagen, dass viel auf dem Spiel steht, wäre eine Untertreibung; der „Internet Crime Report 2024“ des FBI verzeichnete über 4.800 Beschwerden von Organisationen aus dem Bereich der kritischen Infrastruktur. Das mag zunächst nicht nach einer hohen Zahl klingen, bis man sie im Jahreskontext betrachtet; statistisch gesehen kann diese Zahl 13 Angriffe pro Tag bedeuten, also einen alle zwei Stunden. Speziell für Verteidigungsorganisationen kann ein erfolgreicher Angriff die nationale Souveränität direkt untergraben.

Es ist keine Überraschung, dass ein derart bedrohungsintensives Umfeld unter strengen, nicht verhandelbaren Compliance-Rahmenbedingungen betrieben wird, wie beispielsweise beim NCSC (National Cyber Security Centre) im Vereinigten Königreich.

Gleichzeitig müssen Sicherheitslösungen, die den Vorgaben des NCSC entsprechen, systemweit reproduzierbar sein. Verteidigungsorganisationen sind vielschichtig aufgebaut, daher muss ihr Schutz modular gestaltet sein und sich auf die gesamte Organisation erstrecken – nicht nur auf diejenigen Bereiche, in denen der Bedarf zuerst erkannt wurde.

Vor diesem Hintergrund ging eine führende NATO-Seestreitkraft eine Partnerschaft mit OPSWAT ein, OPSWAT einem klaren Auftrag: eine zertifizierte, NCSC-konforme CDS (Cross Domain Solution), die über eine einzelne Division hinaus skalierbar ist und als Grundlage für eine breite Einführung dienen kann.

Entwurf einer skalierbaren CDS-Architektur für verschiedene Dateitypen und Zweige bei null regulatorischer Flexibilität

Unser Kunde stand vor einer Herausforderung, die zunächst unlösbar schien.

Entwicklung einer CDS-Lösung für IMPEX-Datenflüsse (Import/Export) zwischen verschiedenen Klassifizierungsebenen, die den strengen Anforderungen des NCSC an die Netzwerktrennung entspricht. Die Lösung musste skalierbar und auf mehrere Verteidigungszweige übertragbar sein, eine Vielzahl von Dateiformaten unterstützen und ein Höchstmaß an Widerstandsfähigkeit gegenüber Cyberbedrohungen gewährleisten.

Schauen wir uns die einzelnen Ebenen der Reihe nach an.

Es gab kein zugelassenes IMPEX-Cross-Domain-Gateway

Für klassifizierte Netzwerke innerhalb von Regierungs- und Verteidigungsbehörden sind offiziell genehmigte Regeln für IMPEX-Datenflüsse erforderlich, deren Einhaltung über ein IMPEX Cross Domain Gateway sichergestellt wird. Ein solches Gateway war in den Systemen unseres Kunden ursprünglich nicht vorhanden.

In der Praxis bedeutet dies, dass es für IMPEX-Vorgänge überhaupt keinen genehmigten digitalen Prozess gab. Ohne einen solchen Prozess war es dem Kunden nicht möglich, Daten auf nachvollziehbare und prüfungssichere Weise über Klassifizierungsgrenzen hinweg zu übertragen.

Erforderliche Prüfmöglichkeiten zur Unterstützung verschiedener Dateiformate

Über unterschiedlich eingestufte Netzwerke wurden verschiedene Datentypen übertragen: Benutzerdateien, Sicherheitspatches, Hardware-Firmware-Updates, containerisierte Anwendungen und maßgeschneiderte Militärsoftware mussten alle dieselbe Grenze passieren. Die Daten mussten gründlich überprüft werden, um sicherzustellen, dass keine schädlichen Elemente in streng geheime Umgebungen eindringen konnten.

Je umfangreicher und komplexer die Daten jedoch sind, desto schwieriger ist es, ihre Sauberkeit zu überprüfen. Bestimmte Dateitypen konnten nicht wie gewöhnliche Dokumente behandelt werden. Patches, Installationsprogramme, Firmware, Skripte und maßgeschneiderte Militärsoftware mussten einer Verhaltensprüfung unterzogen werden, da ein statischer Scan allein keinen Aufschluss darüber geben konnte, wie sie sich nach dem Einbringen in eine klassifizierte Umgebung verhalten würden. Gleichzeitig hätte jede Lücke in der Abdeckung die Grenze selbst gefährden können.

Strenge Standards erfordern eine absolute Netzwerktrennung

Das NCSC-Rahmenwerk sieht strenge Vorgaben dafür vor, wie Daten zwischen den Klassifizierungsstufen übertragen werden müssen. Im Mittelpunkt stehen dabei die SEFs (Security Enforcing Functions): Sicherheitsprüfungen, die alles von der Malware-Erkennung bis zur Formatvalidierung abdecken.

Da der Kunde unter der Zuständigkeit des NCSC tätig war, musste er strenge Regeln für die Netzwerktrennung (Einstufung „SECRET“/„OPEN“) festlegen. Die klassifizierten und nicht klassifizierten Umgebungen dürfen unter keinen Umständen miteinander kommunizieren, wobei das CDS-Gateway als uneingeschränkte Barriere fungiert.

Wird die SEF-Prüfung nicht bestanden, könnte dies entweder dazu führen, dass eine schädliche Datei in ein klassifiziertes Netzwerk gelangt oder dass sensible Informationen abgegriffen werden.

Entwicklung einer Lösung, die sich für eine breitere Einführung eignet

Es ging nie nur darum, ein einzelnes Problem zu lösen.

Die Regierungsbehörde umfasst mehrere Abteilungen, Behörden, Standorte und Kommandos, und die vom Kunden implementierte domänenübergreifende Lösung musste in allen Bereichen funktionieren.

Etwas, das nur in einem bestimmten Kontext funktionierte, würde dazu führen, dass ein anderer Bereich der Abteilung mit einer identischen Lücke konfrontiert wäre. Der Kunde musste ein System entwickeln, das als einheitlicher Standard dienen und auf die gesamte Organisation ausgeweitet werden konnte.

Wenn kein Spielraum für Fehler bleibt: Eine mehrschichtige, NCSC-zertifizierte domänenübergreifende Architektur

Die vom Kunden gestellte Herausforderung ließ sich nicht mit einem einzigen Produkt lösen.

Stattdessen OPSWAT eine vielschichtige Architektur OPSWAT , die auf zahlreichen Produkten und Technologien basiert und in der jede Ebene auf das übergeordnete Ziel hinarbeitet: sicherzustellen, dass nichts ungeprüft die Klassifizierungsgrenze überschreitet.

Physische Netzwerktrennung durch die MetaDefender Optical DiodeDiode™

Die Architektur basierte auf Hardware-Datendioden, die auf Netzwerkebene einen einseitigen Datenfluss erzwingen. Im Gegensatz zu softwarebasierten Kontrollen, die falsch konfiguriert oder umgangen werden können, macht eine Hardware-Diode einen Rückfluss physikalisch unmöglich.

Physikalische Einschränkungen gewährleisten die vom NCSC geforderte absolute Trennung zwischen SECRET- und OPEN-Netzwerken.

DieOptical Diode entwickelt, um eine sichere, hardwaregestützte Einweg-Datenübertragung zwischen IT- und OT-Netzwerken zu ermöglichen, wodurch es physikalisch unmöglich wird, dass Datenverkehr von niedrigeren Sicherheitsstufen in geschützte Umgebungen gelangt.

Mehrschichtige Dateiverwaltung über dieMetaDefender Core™ -Plattform

Jede Datei, die die Grenze überschreitet, wird von MetaDefender Core abgefangen und überprüft, wobei die Überprüfungsintensität an die Zielumgebung angepasst wird.

Dateien, die in das SECRET-Netzwerk gelangen, durchlaufen den gesamten Stack: ein Multiscanning mit mehreren Scan-Engines zur Steigerung der Erkennungsrate sowie die Deep CDR™-Technologie zur Beseitigung versteckter Bedrohungen. Die Adaptive Sandbox eine emulationsbasierte dynamische Analyse auf verdächtige DateienSandbox und zwingt so Malware, die sich der Erkennung entziehen will, dazu, Verhaltensmuster offenzulegen, die bei einer statischen Überprüfung oder herkömmlichem VM-basiertem Sandboxing möglicherweise nicht erkennbar sind.

Dateien, die in Umgebungen mit niedrigerer Sicherheitsstufe weitergeleitet werden, werden ausschließlich mit mehreren Anti-Malware-Engines gescannt, wodurch ein einheitlicher Schutz über alle Datenflüsse hinweg gewährleistet wird.

MetaDefender Core die Plattform OPSWATzur Erkennung und Abwehr komplexer Bedrohungen. Sie kombiniert die Deep CDR™-Technologie, Metascan™ Multiscanning und Adaptive Sandbox Datei-Workflows in kritischen Infrastrukturen zu schützen.

Automatisierte Dateiübertragung mit der MetaDefender Managed File TransferTransfer™ -Technologie

DieManaged File Transfer MetaDefender automatisiert den Import und Export aller vom Kunden verarbeiteten Datentypen und schafft so eine geregelte, nachverfolgbare Pipeline.

Nichts wird manuell verschoben, nichts wird ohne Nachverfolgung verschoben, und nichts umgeht die Prüfebenen.

MetaDefender Managed File Transfer richtlinienbasierte Kontrollen und integrierte Maßnahmen zur BedrohungsabwehrManaged File Transfer , um sensible Dateien sicher zwischen Organisationen, Systemen oder Sicherheitszonen zu übertragen.

NCSC-zertifizierte Architektur

Die auf den Produkten OPSWATbasierende Architektur entspricht den Sicherheitsmustern des NCSC für domänenübergreifende Datenflüsse. Sie wurde als erste IMPEX-Lösung von der Regierung zertifiziert, was bedeutet, dass sie als einheitlicher Standard in anderen Bereichen der Organisation übernommen werden kann, ohne dass eine Neugestaltung von Grund auf erforderlich ist.

Einmal richtig aufbauen und auf über 1 Million Dateien pro Tag skalieren

Im Kern geht es bei CDS darum, die richtigen Komponenten zu einem System zusammenzufügen, das den strengsten Vorschriften entspricht, alle Dateiformate abdeckt und den Anforderungen realer Verteidigungsoperationen gerecht wird.

Das Umfeld ist gnadenlos: Raffinierte, hochmotivierte Gegner, null Toleranz gegenüber Compliance-Lücken und keinerlei Spielraum für Fehler.

Für unseren Kunden ist CDS im großen Maßstab kein Problem mehr. Gemeinsam haben wir eine zertifizierte, modulare Architektur aufgebaut, die auf die Verarbeitung von über einer Million Dateien pro Tag skalierbar ist.

Wenn das einfach klingt, dann nur deshalb, weil OPSWAT seit über zwanzig Jahren auf Dateisicherheit konzentriert – und zwar in den anspruchsvollsten Umgebungen, die kritische Infrastruktur zu bieten hat.

Ganz gleich, ob Ihr Unternehmen mit einer ähnlichen domänenübergreifenden Herausforderung oder einem allgemeineren Problem im Bereich der Dateisicherheit kritischer Infrastrukturen konfrontiert ist – OPSWAT die nötige Erfahrung, um Ihnen zu helfen. Lassen Sie uns darüber sprechen.

Ähnliche Geschichten

Jun 25, 2026 | Unternehmensnachrichten

OPSWAT Ausfallzeiten im Wert von 1 Mio. US-Dollar pro Stunde bei einem der drei führenden Halbleiterhersteller

Jun 24, 2026 | Unternehmensnachrichten

Visana erhöht die Sicherheit beim Datei-Upload für Kunden ohne zusätzlichen Betriebsaufwand

Jun 17, 2026 | Unternehmensnachrichten

Weltweit führendes Energieunternehmen stellt von veralteten Sicherheitslücken auf moderne Industrial um

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.