Bei optischen Netzwerken auf Nummer sicher gehen
IT-Sicherheit gerät immer dann in den Fokus, wenn sie überwunden wird. Beinahe täglich werden Einbrüche in Unternehmensnetze vermeldet. Diese Hacker-Angriffe haben mitunter drastische Folgen – sowohl für die betroffenen Unternehmen als auch für die Endkunden. Nicht alle Angriffe werden sofort bemerkt, was neben negativen Folgen für das Image auch wirtschaftliche Folgen bis hin zum finanziellen Ruin nach sich ziehen kann. Kürzlich erwischte es die Zertifizierungsstelle DigiNotar, der durch einen Einbruch in ihr System die Geschäftsgrundlage abhandenkam. Unbekannte Hacker hatten durch die gestohlenen SSL-Zertifikate die Möglichkeit, die Nutzer großer Internet-Angebote wie Google.com zu täuschen und auf diese Weise an sensible Daten zu kommen. Als Konsequenz wurde nur wenige Wochen nach dem Cyber-Angriff ein Insolvenzverfahren gegen das Unternehmen eingeleitet.
IT-Sicherheit und Datenschutz das A & O für Unternehmen
Angesichts dieses Beispiels wird sehr deutlich, dass selbst bei vermeintlich unangreifbaren Unternehmen kritische Sicherheitslücken in der Infrastruktur bestehen, welche Angreifer von außen zu nützen wissen. Dies zeigt, wie existentiell wichtig IT-Sicherheit und Datenschutz heute geworden sind. Der in den letzten Jahren kontinuierlich steigende Datentransfer innerhalb der Wide Area Network Infrastruktur von Unternehmen trägt zusätzlich dazu bei, Zweifel am hinreichenden Schutz vertraulicher Informationen zu nähren. Dies zeigt sich auch deutlich am rapide wachsenden Markt für Netzwerksicherheit, der in den kommenden fünf Jahren eine Größenordnung von zehn Milliarden US-Dollar erreichen soll, wie ABI Research prognostiziert.
Um Server, Datenbanken, Router und Switches optimal vor Zugriffen Unbefugter zu schützen, ist ein umfassender Sicherheitsansatz nötig, der über den Schutz des eigenen Equipments weit hinausgeht. Für Daten, die gerade übertragen werden, müssen die gleichen Sicherheitsstandards gelten wie für Daten, die im Rechenzentrum gespeichert sind. Dies ist unumgänglich, da der geschäftliche Datentransfer sowohl innerhalb der Private Cloud als auch außerhalb des Unternehmensnetzwerks stattfindet. IT-Sicherheit kann nur dann gewährleistet werden, wenn die Datenwege, die in ein Unternehmen hinein- und wieder aus ihm hinausführen, bekannt sind. Um unbefugte Zugriffe abzuwenden, müssen die relevanten Schnittstellen des Netzwerks überwacht und gesichert werden. Neben Server-Sicherheit und At-Rest-Verschlüsselung muss eine robuste In-Flight-Verschlüsselung sensibler Informationen auf ihrem Weg über die Glasfasernetze erfolgen. Ein so getarnter Datenverkehr schließt nicht nur Manipulationen aus, sondern verbirgt sogar, dass überhaupt ein Datenfluss stattfindet.
Glasfaser-Hacks
Die Sicherheitslücken von Kupferleitungen oder WLANs sind unter IT-Experten altbekannt. Dass aber auch optische Datenleitungen wie Glasfasernetze vor Hacking-Angriffen keineswegs gefeit sind, ist weit weniger verbreitet. Doch dies ist ein gravierender Irrtum. Mithilfe der richtigen Hard- und Software-Tools ist es für Hacker in Wirklichkeit ein leichtes, Zugang zu Glasfaserkabeln zu bekommen und mit verschiedenen Methoden Licht – respektive Daten – aus den hauchdünnen Glasfasern abzuleiten.
Beim so genannten Splicing wird eine Verbindung in die Faser hergestellt, um das übertragene Signal abzufangen. Dabei wird die Glasfaser aufgetrennt und ein entsprechendes Gerät zwischengeschaltet, welches Signale auf eine weitere Glasfaser ableitet. Diese Methode ist noch relativ leicht aufzudecken, da es im Moment der Zwischenschaltung zu einer Betriebsunterbrechung kommt. Selbst Signalunterbrechungen im Millisekundenbereich können darauf hinweisen, dass der Datenverkehr zu einem Ersatzpfad umgeleitet wurde. Potentielle Probleme können durch die Mitarbeiter des Netzwerkbetreibers sofort erkannt und bekämpft werden.
Anders verhält es sich bei der Coupler-Methode. Hier wird eine Glasfaser mittels eines Clip-On-Kupplers gebogen, um einen Mikro-Knick in der Leitung zu erzeugen. Das in der Glasfaser transportierte Licht folgt zum größten Teil dieser Biegung. Dies ist von größter Bedeutung, weil bereits zwei Prozent des Lichtsignals alle in der Glasfaser übertragenen Informationen enthalten. Das abgelenkte Licht muss nur durch einen Fotodetektor abgefangen werden, bevor es durch einen optisch-elektrischen Konverter in ein binäres, elektrisches Signal umgewandelt wird. Dieses kann durch eine Packet-Sniffer-Software in verwertbare Daten zurückverarbeitet werden.
Dies ist jedoch noch nicht alles. Das Glasfaserkabel müsste zum Abhören heute nicht einmal mehr physisch berührt werden. Durch die Einspeisung von zusätzlichem Licht in das Kabel erhalten Angreifer – mittels einer Analyse der Wechselwirkung zwischen den beiden Lichtströmen – Informationen über das ursprünglich übertragene Signal. Dieses muss danach nur bis zur benötigten Intensität verstärkt werden, was weder das Signal noch die Leitung dämpft.
Verschlüsseln – aber wie?
Die Methoden zum Hacken von Glasfaserleitungen erfassen aufgrund der Beschaffenheit optischer Kommunikation das gesamte Signal, das durch den Netzwerk-Core läuft. Als effektiver Schutz bleibt aus diesem Grund nur die Verschlüsselung der Daten. Eine Verschlüsselungslösung, die sich auf die unteren Ebenen des Netzwerks bezieht, hat nur Vorteile. Im Gegensatz zu anderen Lösungen ist dies weniger umständlich und kostenintensiv. Selbst bei höchsten Sicherheitsstandards kann so die Anzahl der notwendigen Netzwerk-Elemente verkleinert werden. Auf diese Weise kann die Netzwerkbandbreite voll genutzt werden. Dank der minimalen Latenz beim Verschlüsselungsprozess leidet auch die Performance nicht.
Dabei sollten folgende Punkte beachtet werden: International tätige Unternehmen haben eine Vielzahl von Rechtsvorschriften bezüglich der Datensicherheit zu beachten. Die gewählte Verschlüsselungslösung muss daher mit allen gesetzlichen Vorgaben konform gehen, in denen das Unternehmen agiert. Ein Verschlüsselungs-Algorithmus mit 256-Bit ist für einen hohen Sicherheitsstandard ratsam, ebenso wie die regelmäßige Erstellung neuer Schlüssel. Bei Zertifizierungen sollte die Frage nach dem FIPS-zertifizierten Advanced Encryption Standard (AES 256) gestellt werden. Außerdem sollte im Hinblick auf die Protokoll-Transparenz und –Skalierbarkeit gewährleistet werden, dass die Lösung Protokoll-agnostische Verschlüsselung unterstützt, welche mehrere verschiedene Transporttypen tragen kann.
Moderne Verschlüsselungslösungen sollten in der Lage sein, die Latenz mit Hardware-bezogenen Latenz-Parametern von einigen Mikrosekunden unter Kontrolle zu halten. Schließlich sollte sichergestellt sein, dass das Unternehmen oder dessen Service Provider die Kontrolle und Handhabung über den so genannten Kodierungsschlüssel besitzt. Bei Bedarf können so neue Schlüssel bereitgestellt werden. Zudem bleibt das Unternehmen im Bild über Sicherheitsalarme und –berichte auf End-to-End-Basis. Jedoch sollte das optische Transportmanagement von der Verwaltung der Schlüssel getrennt sein.
Fazit
Um künftig Hacker-Angriffe wie denjenigen auf DigiNotar und andere Datendiebstähle zu verhindern, müssen IT-Sicherheit und Datenschutz sehr genau beobachtet werden. Ein umfassender Sicherheitsansatz muss alle drei Schlüsselelemente beinhalten: Serversicherheit, At-Rest-Verschlüsselung und In-Flight-Verschlüsselung. Dabei spielen Netzwerkverschlüsselungslösungen auf der optischen Ebene eine gewichtige Rolle. Der Grund dafür ist einleuchtend: Informationen in einer virtualisierten Umgebung zu sichern, gleichzeitig aber ein ungesichertes Netzwerk zu betreiben, wäre in etwa so, als wenn man schwer gepanzerte Geldtransporter mit geöffneten Hecktüren durch die Stadt fahren ließe.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER