Konzept einer Datenschleuse erklärt
Datenschleuse: Mehr als eine Firewall
War früher eine Datenschleuse ein Terminal, um als Quarantänestation bzw. digitale Einlasskontrolle Wechseldatenträger auf Malware und Schadsoftware zu überprüfen, ist heute darunter eine zentrale Sicherheitslösung für den kontrollierten Empfang von Datenträgern und Dateien mit dem Zielen Malware-Prävention, Protokollierung und Zero-Trust-Prüfung. Datenschleusen werden bei Upload-Portalen, E-Mail-Gateways und physische Medien (Datenträger) in sensiblen IT- und OT-Infrastrukturen bei Behörden, kritischen Infrastrukturen und OT-Netzen eingesetzt.
Um Dateien vor dem Datenfluss in interne Netze oder Netzwerksegmente weiterzuleiten, nutzen Datenschleusen Komponenten wie Anti-Malware-Multiscanner, Quarantänen, Datei-Desinfektion (auch Content Disarm und Reconstruct (CDR) genannt), Dateitransfer auch in air-gapped Netzwerksegmente, wie sie in OT-Umgebungen vorkommen. Eine Protokollierung und ggf. eine Admin-Freigabe für sicherheitsrelevante Vorgänge sind ebenfalls wichtige Komponenten von Datenschleusen.
Funktionsweise einer Datenschleuse kurz erklärt
- Eingang / digitale Einlasskontrolle: Dateien bzw. Datenträger wird an der Schleuse übergeben; System arbeitet isoliert oder air‑gapped.
- Analyse: Multi‑Engine‑Scan, optional CDR/„Datenwäsche“, Metadaten‑Prüfung; Malware wird in Quarantäne verschoben.
- Freigabe: Nur geprüfte, ggf. konvertierte Dateien werden an interne Shares über Workflows freigegeben; alle Vorgänge und Workflows werden detailliert protokolliert.
Kernfunktionen und -technologien einer Datenschleuse
Die Funktionsweise einer Datenschleuse gliedert sich in drei wesentliche Kernbereiche, die nachfolgend detailliert beschrieben werden:
- Inhaltskontrolle: Dies ist die primäre Funktion, die eine mehrstufige Prüfung der Daten vor der Freigabe gewährleistet. Sie umfasst den Einsatz von Multi-AV-Scanning, bei dem die Dateien parallel mit mehreren Antiviren-Engines von unterschiedlichen Anbietern gescannt werden. Die Notwendigkeit dieser Mehrfachprüfung ergibt sich aus der Tatsache, dass ein einzelner Scanner nur einen begrenzten Schutz bietet und hoch entwickelte, polymorphe Malware übersehen kann. Darüber hinaus können statische und dynamische Analysen (Sandboxing), Dateityp-Whitelists und die Technologie des Content Disarm & Reconstruction (CDR = Datei-Desinfektion) zum Einsatz. Letztere entfernt potenziell schädliche Inhalte wie Skripte oder Makros aus Dateien, indem sie den harmlosen Inhalt in einem neuen, sicheren Dateiformat neu rekonstruiert. Damit wird in einem großen Umfang auch der Schutz gegen Zero Day Cyberangriffe erreicht. Gefundene Bedrohungen werden in eine Quarantänezone verschoben, wodurch sichergestellt wird, dass nur saubere Dateien in das Zielnetzwerk gelangen.
- Richtungssteuerung / Datenflusskontrolle: Diese Funktion regelt den Datentransfer (MFT) auf physikalischer und logischer Ebene. Idealerweise wird ein Einweg-Prinzip (Data Diode) verwendet, um den Datenstrom auf eine Richtung zu beschränken und Datendiebstahl zu verhindern. Proxy-basierte Protokollumschaltungen verhindern direkte RDP- oder SMB-Freigaben, was das Risiko unautorisierter Zugriffe minimiert.
- Governance: Hierbei handelt es sich um organisatorische und prozessuale Maßnahmen, die den Betrieb der Schleuse regeln. Dazu gehören die Definition von Rollen, Workflows und Freigabeprozessen, die zeitliche Begrenzung von Wartungsfenstern und eine lückenlose Protokollierung. Jeder Scan-Vorgang und jede Dateifreigabe wird einem Nutzer zugeordnet und mit Hash-Werten verglichen. Diese Audit-Logs sind entscheidend für die Nachweisführung bei Audits, die Erstellung von Verzeichnissen der Verarbeitungstätigkeiten (VVT) und die Erfüllung von Compliance-Anforderungen.
Typische Einsatzgebiete von Datenschleusen
Datenschleusen sind in hohem Maße für sensible Infrastrukturen konzipiert, die ein überdurchschnittlich hohes Schutzniveau erfordern. Dazu gehören Behörden, kritische Infrastrukturen (KRITIS) und industrielle Netze (Operational Technology, OT). Die Analyse der Bedrohungen in diesen Sektoren legt die Motivation für den Einsatz von Datenschleusen offen.
Insbesondere mobile Datenträger wie USB-Sticks, SD-Karten und externe Festplatten stellen ein erhebliches Risiko dar. Sie sind ein häufiges Einfallstor für Malware und Viren.
Ein besonders prominentes Beispiel für die Gefahr, die von diesen Medien ausgeht, ist der Stuxnet-Angriff, der über USB-Sticks in physisch isolierte OT-Systeme eingeschleust wurde, um die physische Produktion zu manipulieren. Dieser Vorfall verdeutlicht, dass selbst in «Air-Gapped» - Umgebungen, die vom Internet getrennt sind, eine Bedrohung durch physische Vektoren besteht.
Die Datenschleuse ist eine direkte Antwort auf diese Bedrohung, indem sie einen kontrollierten und sicheren Weg schafft, Daten aus der Außenwelt in das Produktionsnetz zu übertragen. Der Einsatz von Datenschleusen in KRITIS-Unternehmen wird stark von regulatorischen Vorgaben getrieben. Das IT-Sicherheitsgesetz und die NIS2-Richtlinie fordern von Betreibern kritischer Infrastrukturen, dass sie den «Stand der Technik» einhalten und angemessene technische und organisatorische Vorkehrungen treffen. Ein Verstoß gegen diese Pflichten kann zu erheblichen finanziellen Verlusten durch Betriebsstörungen und rechtlichen Konsequenzen führen.
Die Datenschleuse fungiert dabei als eine dokumentierte technische und organisatorische Maßnahme (TOM), die die gesetzlichen Anforderungen erfüllt und die Risiken nachweislich absenkt. Der Kauf einer solchen Lösung ist in diesen Branchen nicht nur eine Frage der Risikominderung, sondern eine direkte Reaktion auf gesetzliche Verpflichtungen, was den Entscheidungsprozess maßgeblich beeinflusst.
Unverbindliche Beratung über Datenschleusen
Wir bei ProSoft haben eine über 10-jährige Erfahrung mit Datenschleusen und betreuen über 100 Kunden aus den Branchen Finanzen / Banken , Versicherung, Produktion / Industrie, Automotive, Energieversorger, Gesundheitswesen, Chemie sowie Landes- und Bundesbehörden.