Startseite > Security > SD-WAN? Ja, aber bitte mit Sicherheit!

Unternehmensvernetzung

SD-WAN? Ja, aber bitte mit Sicherheit!

28. Januar 2025, 8:00 Uhr | Autor: Jens Thaele / Redaktion: Diana Künstler

Studien zufolge setzen fast 95 Prozent der Unternehmen weltweit SD-WAN-Lösungen ein, in Deutschland immerhin bereits etwa 50 Prozent. Bei ungefähr der Hälfte der Installationen soll es am notwendigen Sicherheitskonzept hapern. Warum es keinesfalls eine gute Idee ist, an der Sicherheit zu sparen.

Heutzutage gilt im Bereich der Unternehmensvernetzungen das Software Defined Wide Area Network, kurz SD-WAN, schon fast als eine Art Standard. Dies ist einerseits logisch und zielführend, da gleichzeitig immer umfangreichere Clouddienste in Unternehmen Einzug halten, die mittels einer zentralen Intelligenz im Netz entsprechend flexibel verwaltet werden können. Andererseits erzeugt die Vielzahl an Clouddiensten, die über das Internet eingebunden werden, sehr viele neue Angriffspunkte an den zentralen Steuerungsmechanismen des Netzwerkes.

Auf diesen Zusammenhang hatte bereits der 2019 veröffentlichte Artikel „SD-WAN: Heilsbringer oder Verführer mit Nebenwirkungen?“ hingewiesen, der eine generelle Orientierung des Pro und Contra von SD-WAN-Netzen liefert. Wie sehr sich die Einschätzung zum Thema der Sicherheit dieser Netze bewahrheiten sollte, zeigt im Januar 2025 die Webseite des BSI, wenn nach Eingabe des Suchbegriffs „SD-WAN“ allein 173 Warnmeldungen auftauchen¹. Die Dunkelziffer liegt erfahrungsgemäß um ein Vielfaches höher und die verheerendsten Angriffe sind genau die Unentdeckten. Hier erweist sich die Kernidee des SD-WAN, Netzintelligenz nebst Funktionen zu zentralisieren und damit schnell und automatisiert Netzwerkressourcen zu steuern, gleichzeitig als Fluch und Segen.

Segen, da durch den hohen Automatisierungsgrad Anwendungen und Netzwerkressourcen automatisiert, schnell und flexibel gesteuert sowie über das gesamte Netz ausgerollt werden können. Vorteilhaft ist ebenso, dass an einer zentralen Stelle im Netzwerk Sicherheitsvorgaben besser durchsetz- und kontrollierbar sind; denn komplexe IT-Netzwerke sind ohne technische Hilfe heute kaum noch sicher beherrschbar.

Fluch, da Fehler in der zentralisierten Instanz oder an Peripheriegeräten, verursacht durch Angriffe über das Internet oder auch aus der eigenen Organisation heraus, schnell katastrophale Auswirkungen haben könnten. Gelingt es einem Angreifer, ein wichtiges Netzelement zu kompromittieren, so hat er im ungünstigsten Fall die Gesamtsicht auf das Netzwerk, weil er dieses dann recht einfach und rasend schnell – da automatisiert – übernehmen kann.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Kritische Angriffspunkte – ein Auszug

Die Management- und Orchestrierungsebene
Es ist das Herzstück des Netzwerkes. Ein erfolgreicher, illegaler Zugriff auf das SD-WAN Controller-Interface wäre der Worst Case. Der oben beschriebene ungünstigste Fall könnte direkt bevorstehen. Die Wahrscheinlichkeit eines erfolgreichen, direkten Angriffes von außen ist hier zwar sehr gering, jedoch kann dies indirekt durch eine Manipulation anderer Komponenten oder Schnittstellengeschehen.

Die Peripheriegeräte und Schnittstellen
Die SD-WAN-Router sind begehrte Angriffsobjekte, da sie von außen direkt erreichbar sind. Eine Manipulation oder Kompromittierung von SD-WAN-Routern wird benutzt, um Konfigurationen zu ändern oder Malware einzuschleusen. Anschließend werden von hier aus weitere Netzkomponenten, Schnittstellen oder Software infiziert. Weitere Schnittstellen tiefer im Netzwerk dienen dem Austausch von Daten. Daher sind alle schlecht gesicherten APIs ideale Ziele für Angreifer, besonders bei Open-Source-Anwendungen. Traurige Berühmtheit haben auch die Denial-of-Service-Angriffe erlangt, also die Überlastung des SD-WAN durch Angriffe auf Edge-Geräte wie Router.

Datenverkehr zwischen Peripheriegeräten und zentralen Netzkomponenten
Bestehen keine entsprechend sicheren kryptographischen Schutz- und Authentifizierungsstandards, können Daten während des Austausches abgefangen und manipuliert werden. Bekannt sind hier vor allem die Man-in-the-Middle-Attacken.

Sicherheitsrichtlinien, fehlende Patches und Updates
Fehlende oder vernachlässigte Richtlinien, die oftmals auch mit nicht aktualisierten Updates und/oder unzureichenden Patchmanagement einhergehen, sind bereits in herkömmlichen Netzwerken problematisch; in hochzentralisierten, automatisch provisionierten Netzen sind sie ein absolutes Tabu!

Oftmals wird ein Wartungsservice als Dienstleistung eingekauft, während die Sicherheitsrichtlinien, die eher organisatorischer als technischer Natur sind, nicht oder nur unzureichend auf die individuelle Organisation abgestimmt und gelebt werden. Die Gefahr eines Angriffes aus der eigenen Organisation heraus ist sehr real – je höher die Anzahl der zugriffsberechtigten Personen, je größer ist das Gefährdungspotenzial.

Und die Erkenntnis daraus?

Eine SD-WAN-Lösung erfordert ein ganzheitliches Sicherheitskonzept, sowohl auf der Technikseite als auch operativ und administrativ im jeweiligen Unternehmen. Das immer wieder kommunizierte Versprechen, ein SD-WAN werde Kosten einsparen, ist aufgrund der notwendigen Ausgaben für die Sicherheit in den seltensten Fällen haltbar. Die Entscheidung, für die eine oder andere Lösung, sollte daher vom zusätzlichen Nutzen ausgehen, die das Gesamtkonzept bietet.

Auf der technischen Anbieterseite hat sich mittlerweile ein riesiger Zoo an Produkten und Anbietern etabliert, der sich dem kritischen Thema der IT-Sicherheit angenommen hat. Hier sind sehr viele gute Lösungen zu finden, die nicht nur umfassende Sicherheit, sondern auch zusätzlichen Mehrwert durch den Einsatz von Künstlicher Intelligenz für Betrieb und Netzüberwachung leisten. Ob schlussendlich ein Managed Service Provider die komplette Systemumgebung verwaltet oder nur einzelne Produkte und Lösungen zum Einsatz kommen, ist stets eine individuelle Entscheidung.

Wo jeder selbst ran muss

Doch ein Themenbereich sollte unternehmensseitig stets größte Aufmerksamkeit genießen: Gibt es eine aktuelle, vollständige Dokumentation der IT- und Kommunikationslandschaft, welche mindestens enthalten sollte?

Eine Auflistung sämtlicher Hardware (Server, Clients, Netzpläne)
Vollständige Liste der Software mit Konfigurationen, Rechten und Rollen
Schnittstellenbeschreibungen
Sicherheitsbestimmungen (Datensicherheit, Verschlüsselung, Redundanz) unter
Beachtung der BSI-Grundschutzbausteine² und gesetzlicher Vorgaben
Vertragsmanagement, Wartung und Produkt LifeCycle

Ein guter und aktueller Netzüberblick ist Voraussetzung für eine Entscheidung für oder gegen bestimmte Konzepte und Anbieter, denn es werden zahlreiche Fragen auftauchen. Es ist beispielsweise wichtig, ob die intern eingesetzte Hard- und Software und die existierenden Sicherheitskonzepte zur Implementierung des ausgewählten SD-WAN passen. Je nach Anbieter könnte dies zu Komplikationen führen. Denn der Mehrwert einer Lösung entsteht durch eine tiefe, gut abgestimmte Integration in die bestehende IT-Landschaft. Und je besser diese bereits zu den Produkten und Dienstleistungen eines potenziellen Lieferanten passt, desto geringer der Aufwand der Integrationskosten.

Sicherheitsaspekte bereits frühzeitig einplanen

Die Angebotsvielfalt zu SD-WAN Lösungen reicht von den klassischen Telkos im WAN-Bereich, über die Netzwerkhersteller- und Integratoren, bis zu den auf Sicherheit spezialisierten Unternehmen. Jeder bietet zu seinen Produkten und Diensten adäquate Schutzmechanismen an – gegen Einwurf kleiner oder größerer Münzen, versteht sich. Einige Anbieter haben ihre Produkte sogar vom BSI zertifizieren lassen. So weit – so gut.

An dieser Stelle sei daran erinnert, dass ein SD-WAN kein Produkt oder eine durchgehend standardisierte Dienstleistung ist, sondern eher eine Gesamtkonzeption an unterschiedlichen Technologien. Ein SD-WAN bildet ein Overlay-Netz mit der zentralen Steuerungsfunktion zu einem Underlay-Netzwerk, dem eigentlichen WAN, ab.

Eine sicherheitstechnische Gesamtbetrachtung ist eine unverzichtbare Notwendigkeit. Und die kann schon bei mittelgroßen Netzen aufwendig sein, wenn zahlreiche IT-Anwendungen aus der Cloud in das Unternehmensnetzt integriert werden. Zur Orientierung können hier die BSI-Grundschutz Bausteine als Kompass sehr hilfreich sein, die thematisch sortiert sind.

Es ist sehr empfehlenswert, je nach Netzwerkgröße und Komplexität sowie unternehmenseigenen Ressourcen, frühzeitig zu entscheiden, welche Leistungen intern selbst erbracht und welche Anforderungen bereits in der Angebotsphase bei einem oder mehreren Anbietern platziert werden.

^{1 https://www.bsi.bund.de/SiteGlobals/Forms/Suche/Expertensuche_Formular.html?templateQueryString=SD-WAN&cl2Categories_Themen=warnmeldung (173 Warnmeldungen Stand 27.01.2025)

2 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html}