Highspeed-Datenverkehr
Sicherer Datenverkehr auf der Netzwerkautobahn
Datacenter gleichen heutzutage Hochsicherheitstresoren. Die Datenverbindungen zwischen den Rechenzentren erreichen aber meist nicht annähernd deren Schutzniveau. Die Anfälligkeit gegenüber Hackerangriffen ist hoch. Dabei reicht bereits ein IT-Basisschutz aus.
Zwischen Unternehmensstandorten und Rechenzentren werden täglich viele Daten ausgetauscht – mitunter hochsensible Informationen. Aber Daten, die über das Internet wandern, sind oft nur unzureichend oder überhaupt nicht geschützt. Was privat in vielen Fällen einfach toleriert wird, kann bei Verlust sensibler Daten für Unternehmen mitunter existenzbedrohend sein. Nicht nur das Mitlesen übertragener Inhalte kann dabei gravierende Folgen haben. Auch können Hacker bei ungesicherten Netzen nicht-authentische Daten in den Transfer einspeisen oder die Übertragung stören.
Das Problem: Je größer die Entfernungen zwischen Servern und Endgeräten oder Back-up-Rechenzentren sind, desto schwieriger wird ein nachhaltiger Schutz der Daten während der Übertragung. Das gilt nicht nur für Datentransfers über öffentliche Netze, sondern bereits bei Verbindungen, die zwar durch private Leitungen, aber über öffentlichen Grund und Boden laufen. Denn die vorhandene Netz-werkinfrastruktur ist oftmals veraltet und mit geringem Aufwand und unverdächtigem Standardwerkzeug angreifbar.
Es bedarf also einer hochsicheren Verschlüsselung des Datenverkehrs zwischen Server und RZ. Die Herausforderung: Das kryptografische Verfahren muss trotzdem schnell und effizient bleiben. Denn Big Data ist für Unternehmen ein wichtiger Schlüssel zum Erfolg. Hochgeschwindigkeits-Datennetze müssen deshalb auch unter strengsten Sicherheitsvorkehrungen tatsächlich hohe Geschwindigkeiten ermöglich. Aber auch der Bedarf an großen, georedundanten Speicherkapazitäten steigt durch Big Data stetig. Die Menge an Daten und Informationen bringt also besondere Anforderungen an die Schutzmaßnahmen mit sich.
Das Anwendungsszenario ist entscheidend
Ein wichtiger Faktor für eine effiziente und sichere Lösung ist die Wahl der Netzwerkschicht. Eine Verschlüsselung ist prinzipiell in jedem Layer möglich. Internetbrowser bieten beispielweise TLS-Verschlüsselung auf Layer 4 und darüber an, um maximal anwendungsunabhängig und interoperabel zu sein. Allerdings ist der Aufbau von TLS-gesicherten Verbindung auf Servern rechenintensiv – das kann zu starken Leistungseinbußen führen. Zudem verschlüsselt eine Kryptographie auf Layer 4 lediglich den Datentransfer zwischen zwei Endgeräten. Komplexere IT-Infrastrukturen haben in der Regel aber einen höheren Schutzbedarf.
Für ausreichende Sicherheit im Datenverkehr bedarf es daher einer Verschlüsselung in tieferen Schichten. Die Auswahl der Netzwerkschicht richtet sich nach den konkreten Leistungsanforderungen und dem individuellen Schutzbedarf des Anwenders. Standard ist bislang eine Verschlüsselung auf Layer 3-Schicht. Diese IPsec-Verschlüsselung bietet bereits ein hohes Sicherheitsniveau, sofern sie mit einer vertrauenswürdigen Technik umgesetzt wird. Denn IPsec-basierte Kryptografie schützt nicht nur den Datentransfer einzelner Protokolle und Anwendungen, sondern den gesamten Datenverkehr. Durch diesen ganzheitlichen Ansatz steht Unternehmen ein echtes privates Netz zur Verfügung.
Der Nachteil: Die Verschlüsselung auf Layer 3 ist komplex und mit einem hohen Administrationsaufwand verbunden. Hinzu kommt, dass die IPsec-basierte Verschlüsselung mit einer enormen Overhead-Belastung einhergeht. Die Folge sind unkalkulierbare Bandbreiteneinbußen, abhängig von den aktuell laufenden Anwendungen. Ein weiterer Nachteil: Die Auswertung und Verarbeitung der IPsec-Informationen kostet Zeit. Dadurch kommt es zu einer erhöhten Latenz und einer eingeschränkten Performance gegenüber unverschlüsselter Übertragung. Das kann das Aus für verteilte Speichersysteme (SAN, NAS) bedeuten. Damit ist eine Verschlüsselungslösung auf Layer 3-Schicht aufgrund seines ganzheitlichen Sicherheitsansatzes zwar für Geräte im IoT- und Industrie 4.0-Umfeld geeignet. Für Unternehmen, die einen hohen Datendurchsatz bei geringer Latenz benötigen, ist eine IPsec-Verschlüsselung jedoch nicht Mittel der ersten Wahl. Insbesondere in kritischen Infrastrukturen ist eine Hochverfügbarkeit durch Leitungsredundanz und Vollvermaschung erforderlich.
Schneller Basisschutz auf Layer 2
Entscheidend für Unternehmen und Behörden mit diesen Leistungsanforderungen sind Verschlüsselungstechnologien, die Daten zwar sicher vor Angriffen schützen, aber gleichzeitig einen hohen Datendurchsatz ermöglichen. Eine sichere Übertragung zwischen zwei oder mehr Standorten erfolgt daher idealerweise über eine Layer 2-Verschlüsselung, die auf Ethernet-Frames angewendet wird. Denn: Eine ETH-Verschlüsselung bietet – im Gegensatz zu IPsec-Verfahren – echte Vermaschung und Gruppenverschlüsselung. Diese zeichnet sich nicht nur durch Leistungsstärke und Schnelligkeit aus, auch werden hier die Metadaten der Kommunikationspartner verschlüsselt und sind damit für Unbefugte unlesbar. Ein weiterer wesentlicher Vorteil gegenüber IPsec-basierten Verschlüsselern ist der Bandbreitenzugewinn durch den um bis zu 40 Prozent geringeren Verschlüsselungs-Overhead. So wird der Datenfluss deutlich beschleunigt. Auch sind die Krypto-Latenzen gegenüber den Leitungslaufzeiten vernachlässigbar. Damit werden etwa SAN/NAS-Systeme auch für VS-NfD eingestufte Daten betreibbar. Mögliche Payload-Durchsatzraten von zehn bis 40 Gigabit/s pro Gerät stehen hier den in der Praxis auf wenige Gigabit/s beschränkten Layer 3-Lösungen gegenüber.
Hardware nicht vergessen
Nicht nur die übertragenen Daten müssen vor Spionage geschützt werden. Auch die Firmware, die Hardware oder die Managementsysteme sind grundsätzlich Ziele von Manipulation. Mit steigender Professionalisierung der Angreifer steigt auch die Wahrscheinlichkeit erfolgreicher und gleichzeitig unbemerkter Angriffe. Beispielsweise sollen laut einem Medienbericht in Servern von Apple, Amazon und anderen IT-Konzernen Spionagechips in der Größe eines Reiskorns eingebaut sein, mit denen China die Unternehmen ausspioniert haben könnte. Um solche Szenarien gar nicht erst entstehen zu lassen, müssen Firmware und Gerätehardware mit Mechanismen zur Erkennung von Angriffen gegen die angebotenen Sicherheitsfunktionen ausgestattet sein. Auch eine Notabschaltung sollte bereits integriert sein.
Armin Lunkeit ist Senior Director Network Encryption bei Rohde & Schwarz Cybersecurity
Lesen Sie mehr zum Thema
