Verschlüsselung auf Layer 1 und 2
Schutz vor Spionen auf Netzwerkebene
Schutz gegen Datenspionage in Kommunikationsnetzen, gegen die auch optische Netzwerke nicht gefeit sind, gibt es auf unterschiedlichen technischen Ebenen und von verschiedenen Herstellern. Eines der wichtigsten Elemente im Kampf gegen den Datenklau ist die Verschlüsselung - und diese findet am besten schon auf Layer 1 und 2 statt.
In der bisher wohl größten Affäre um Datendiebstahl im Internet hat eine Gruppe von Kriminellen mehrere Millionen Kunden- und Kreditkartennummern gestohlen und weiterverkauft.
Das Beispiel hat in der Öffentlichkeit viel Aufmerksamkeit auf sich gezogen. Die Dunkelziffer an Fällen von Betriebsspionage dürfte allerdings noch weitaus höher liegen. Das SANS-Institut - eine der führenden IT-Sicherheitsfirmen - gibt beispielsweise an, dass in den letzten Jahren der Datendiebstahl stetig zugenommen hat. Für 2008 verzeichnen die Spezialisten einen geradezu dramatischen Anstieg. In einer weiteren Untersuchung gaben über 56 Prozent der Fortune-1000-Unternehmen an, es schon einmal mit Datendiebstahl und Spionage zu tun bekommen zu haben. Spionage und entdeckte Firmengeheimnisse kosteten US-Unternehmen in der Vergangenheit demnach bereits geschätzte 250 Milliarden Dollar.
Die beschriebene Bedrohung müssen IT-Manager heute auf ihrer Agenda haben und die Transportwege entsprechend schützen. Auch wenn leitungsgebundene Techniken und besonders optische Netze im Gegensatz zur drahtlosen Datenübertragung traditionell als extrem sicheres Medium gelten: Sie sind nicht unverwundbar. Die meisten WDM-Techniken enthalten Intrusion-Detection-Systeme, die Alarm schlagen, wenn eine Glasfaser durchtrennt oder auf andere Weise beeinträchtigt wurde. Allerdings werden diese Signale im Alltag häufig vom IT-Personal übersehen oder nicht als Gefahr eingestuft, sondern als bloße Interferenz betrachtet. Dabei kann es in so einem Fall durchaus sein, dass das Ereignis von einem kriminellen Versuch herrührt, die optische Leitung anzuzapfen. 2003 entdeckten zum Beispiel Sicherheitskräfte ein illegales Abhörgerät, das am Netzwerk des US-amerikanischen Carriers Verizon hing - und zwar nahe einem Investmentfond, der sich gerade anschickte, seine Quartalsergebnisse bekannt zu geben.
Eine wichtige Technik gegen solche Übergriffe ist daher die Verschlüsselung der Daten auf dem Transportweg. Im Prinzip ist schon die WDM-Technologie, die den Datentransport durch das optische Netz bewirkt, ihrem Ursprung nach selbst eine Art natürlicher Verschlüsselung: Um Daten in optische Signale zu übersetzen, werden nicht weniger als 80 optische Wellenlängen verwendet, die am Empfangspunkt wieder rückübersetzt, sprich "entschlüsselt" werden müssen. Das Problem ist nur, dass der Datendieb sich den Schlüssel dazu besorgen kann, denn dieser ist öffentlich bekannt. Die Verschlüsselung muss folglich anders ansetzen, um einen wirklich wirksamen Schutz des Datentransports zu gewährleisten. Hier gibt es verschiedene Lösungen, die prinzipiell auf allen sieben Ebenen des OSI-Modells (Open System Interconnection) ansetzen.
Im Mittelpunkt des Interesses der Hersteller stand in der Vergangenheit vor allem die Verschlüsselung auf dem Layer 3, also der Netzwerkschicht, und der Layer darüber. Die Layer 3-Verschlüsselung basiert auf dem IPSec-Protokoll, das zwar alle bisherigen Sicherheitsmechanismen übertrifft, da IPSec seine Verschlüsselung direkt im Schichtenmodell, also in den einzelnen Paketen vornimmt und nicht etwa wie bei älteren Verfahren vor dem Schichtenmodell, also im Datenstrom. Jedoch belädt dieses Verfahren das Datenpaket mit zusätzlichen Informationen. Dadurch erhöht sich die Größe des Pakets beträchtlich, schließlich werden jedem verschlüsselten Paket nochmals 38 Bytes aufgeladen. Bei einer Sprachübertragung wächst die Paketgröße damit um 62 Prozent an. Darüber hinaus verlangt das IPSec-Protokoll, dass jedes einzelne Paket nacheinander ver- und entschlüsselt wird, was den Kommunikationsfluss durchaus ins Stocken geraten lassen kann. Die Layer 3-Verschlüsselung belastet also das Netz sehr stark und verkürzt damit die Reichweite eines effizienten Datentransports beträchtlich.
Diese Eigenschaften vertragen sich schlecht mit den Anforderungen, die der Markt heute an die Netzwerke stellt. Für Ausfälle, Staus und Wartezeiten haben Unternehmen im Zeitalter der Globalisierung keine Zeit. Unternehmensnetze von heute müssen hochverfügbar sein (mindestens 99,999 Prozent) und dabei extrem effizient und leistungsfähig arbeiten.
Wegen dieser Nachteile richten sich heute die Verschlüsselungstechniken vermehrt auf die Layer 1 und 2, also die physikalische und die Sicherungsschicht. Dies hat den Vorteil, dass die Datenpakete in höheren Schichten keine zusätzlichen Informationen aufnehmen müssen. Dadurch entstehen folglich weniger Latenzen. Hier ist der Datenverkehr durchaus vergleichbar mit dem realen Verkehr auf der Straße: Bei einer Verschlüsselung auf Layer 3 und höher müssen die Autos leicht umgebaut werden und in der Folge auch mehr Passagiere transportieren - wodurch auch das Ein- und Aussteigen länger dauert. Bei einer Verschlüsselung auf Layer 1 oder 2 wird die Autobahn einfach mit zusätzlichen Sicherheitswänden umgeben, ohne dass sich die Fahrbahnbreite oder die Höchstgeschwindigkeit ändern.
Außerdem können - um im Bild zu bleiben - auch neue genau so wie alte Autos diese Autobahn benutzen wie bisher: Die Layer-1- und 2-Verschlüsselung arbeitet nahtlos sowohl mit älteren Protokollen wie auch mit den bereits bekannten oder zu erwartenden Protokollen der nächsten Generation zusammen, wie etwa Sonet/SDH und Ethernet. Dafür muss dem Verschlüsselungsgerät lediglich das Layer-1/2-Protokoll (SDH oder Ethernet) bekannt sein. Alle Protokolle auf höheren Ebenen werden ohne weiteren Aufwand automatisch mitverschlüsselt.
Hinzu kommt ein weiterer Vorteil: Die Layer 1/2-Verschlüsselungsgeräte sind in der Regel Plug-and-Play-fähig und deutlich leichter zu einzurichten sind als IPSec-Geräte, weil sie nicht mit IP-Adressen konfiguriert werden müssen. Voreinstellung auf andere Übertragungsprotokolle wie Token Ring, SNA oder TCP/IP sind auch nicht nötig.
Darüber hinaus können die Lösungen bei einer Verschlüsselung auf Layer 1 und 2 auch in existierende Umgebungen integriert werden, ohne dass dabei die Netzwerkkonfiguration geändert werden muss. Zudem ist diese Art der Verschlüsselung transparenter und für die IT-Administratoren leichter zu managen. Und wenn dabei tatsächlich zusätzlicher Overhead anfällt, dann gilt dies hauptsächlich für die Bandbreite, die zum Austausch der Kodierungsschlüssel benötigt wird.
Fazit
Der Vergleich zeigt, dass bei der Layer-1/2-Verschlüsselung der Datentransport schneller und zuverlässiger läuft als bei Verschlüsselungstechniken, die auf Layer 3 ansetzen. Layer-1/2-Verschlüsselungsgeräte bieten in optischen Netzen eine hochleistungsfähige Lösung ohne Performance-Einbußen bei Applikationen oder höheren Protokollen. Mit ihnen können die Daten ungebremst laufen, gleichzeitig verringert sich die Komplexität bei der Implementierung deutlich.
Die Enterprise Strategy Group (ESG) schätzt, dass die Menge an unternehmenskritischen Daten, also vor allem vertrauliche digitale Dokumente, die in den falschen Händen großen Schaden anrichten können, jährlich um 64 Prozent zunimmt. Angesichts dieser Aussichten und des damit verbundenen wirtschaftlichen Risikos sollte die Layer-1- oder 2-Verschlüsselung als effizienter Weg in die Zukunft mehr Verbreitungfinden.
Lesen Sie mehr zum Thema
