Sicherheit in optischen High-Speed-Netzen
Verschlüsseltes Licht
Geschäftliche Kommunikation ohne den Einsatz von E-Mail scheint heute undenkbar, und in zunehmend dezentralisierten Organisationen benötigen Unternehmen überall und jederzeit einfachen Zugriff auf wichtige Daten. Sobald vertrauliche Daten jedoch übertragen werden, sind sie auch in Gefahr. Lauschangriffe machen selbst vor Glasfasern nicht halt.Ein Umstand, der in Unternehmen gerne ausgeblendet wird, ist dabei die Tatsache, dass nicht nur Server, Datenbanken, Router und Switches vor unberechtigtem Zugriff und Manipulation zu schützen sind, sondern auch die Daten, die gerade übertragen werden ("Data in Flight" genannt). Dies betrifft nicht nur Kupferleitungen oder WLANs, die bekanntermaßen leicht auszuspähen sind, sondern selbst optische Datenleitungen wie Glasfasernetze. Diese sind als Backbones und für Breitbanddienste unersetzlich und daher ein lohnenswertes Ziel für Lauschangriffe. Dennoch unterschätzen Unternehmen häufig die Gefahr durch Abhörattacken auf Glasfaserkabel, da sich sehr hartnäckig das Gerücht hält, diese seien per se sicherer - weit gefehlt. Die erforderliche Technikausrüstung und Software für Hacker ist frei erhältlich und durchaus nicht besonders teuer. Unbefugte können damit auch große Datenmengen mitlesen und verwerten. Den einfachsten Zugang zum Glasfasernetz erhalten Wirtschaftsspione über häufig ungenügend geschützte Verteilerkästen, die sich zur Überbrückung größerer Distanzen in periodischen Abständen auf der gesamten Übertragungsstrecke befinden. Die so genannte Splice- oder Splicing-Methode macht sich die Faserstruktur der Leitungen zunutze. Die Glasfaser wird aufgetrennt und ein entsprechendes Gerät dazwischengeschaltet, das die Signale auf eine zweite Glasfaser überträgt. Im Moment der Zwischenschaltung wird die Verbindung allerdings kurz unterbrochen, sodass Fachleute diese Methode relativ einfach entdecken können. Selbst eine Signalunterbrechung von nur einer Millisekunde kann bedeuten, dass der Datenverkehr umgeleitet wurde. Ein weiteres Angriffsverfahren ist die Coupler-Methode, auch Bending genannt. Die Glasfaser wird hierbei mithilfe eines Clip-on-Kopplers gebogen, sodass ein kleiner Anteil des Lichts austreten kann. Dieses wird wiederum von einem Fotodetektor aufgefangen und über einen optisch-elektrischen Konverter in ein binäres elektrisches Signal verwandelt. Da bereits zwei Prozent des Lichtsignals alle übertragenen Informationen enthalten, reicht ein kleinster Knick aus, um verwertbare Informationen zu erhalten. Es entsteht zwar keine Unterbrechung, jedoch ist dieser Eingriff aufgrund der unvermeidlichen Dämpfung ebenfalls nachweisbar. Eine weitere Möglichkeit zum Abhören von Glasfasern ist die Non-Touching-Methode, bei der empfindliche Fotodetektoren die minimalen Lichtmengen auffangen, die auf natürliche Weise seitlich aus dem Kabel strahlen (Rayleigh-Streuung). Das Signal wird dann bis zu einer brauchbaren Intensität verstärkt, ohne die Leitung oder das Signal dabei zu dämpfen.
Gefahrenabwehr im Glasfasernetz
Aufgrund der Beschaffenheit des optischen Signals erfassen die genannten Methoden die kompletten übertragenen Informationen. Zur Abwehr potenzieller Mitlauscher sollte der Transport vertraulicher Informationen über Glasfasernetze daher nur verschlüsselt erfolgen. Neben der Server-Sicherheit und der Verschlüsselung lokal abgelegter Daten (Data at Rest) ist eine so genannte Data-in-Flight-Verschlüsselung unerlässlich, um sensible Informationen auf ihrem Weg über die Netzwerke zu schützen.
Da viele Anwendungen in einem Unternehmensnetzwerk für die Datenübertragung oder Kommunikation das Internet Protocol und damit OSI-Layer 3 nutzen, scheint die Verschlüsselung auf Anwendungsebene häufig die logische Wahl. Bei diesem Ansatz sind die Daten bereits verschlüsselt, wenn sie zur Übermittlung in einen anderen Teil des Unternehmensnetzwerks in das optische Netz eingespeist werden. Wenn hier die richtigen Verschlüsselungsstandards zu Einsatz kommen, bietet dieser Ansatz ausreichend Sicherheit für viele IT-Anwendungen, vor allem solche, die nicht datenintensiv oder zeitkritisch sind.
Allerdings passt eine solche Lösung nicht immer, vielmehr birgt sie unter Umständen sogar deutliche Nachteile. Denn bei einigen IT-Anwendungen wie der Echtzeitspiegelung von Festplatten für Business Continuity und Disaster Recovery oder zeitkritische Übertragungen von Sprach- oder Videodaten kann die Layer-3-Verschlüsselung die Effizienz von Prozessen nachteilig beeinflussen: Der durch die Verschlüsselung bedingte Daten-Overhead senkt den operativen Datendurchsatz, und es entsteht erhebliche Latenz. Dies kann sich negativ auf höherrangige Anwendungen auswirken und Netzwerkschwankungen sowie schwere Leistungseinbußen hervorrufen.
Das herkömmliche operative Modell für die Bereitstellung von Verschlüsselungslösungen ist zudem zeitaufwändig und kostspielig. Da die einzelnen Verkehrsströme individuelle Verschlüsselungsgeräte erfordern, die meist spezifisch für das eingesetzte Protokoll sind, werden pro MAN/WAN-Netzwerkelement mehrere Ports belegt. Dies treibt die Kosten und Komplexität in die Höhe, zudem wird die Bandbreite nur wenig effizient genutzt.
Optische Verschlüsselung
Eine Verschlüsselungslösung, die sich auf die unteren Ebenen des OSI-Schichtenmodells bezieht, hat sich hier als besonders geeignet erwiesen. Diese Methode ist zwar nicht für alle Unternehmensanwendungen erforderlich, jedoch können gerade bandbreitenintensive (zum Beispiel 10GBit/s-abhängige) sowie latenzempfindliche Anwendungen profitieren. Mit einer gut geplanten und richtig umgesetzten Verschlüsselungslösung, die auf dem Transport-Layer integriert wird, lässt sich die Anzahl erforderlicher Netzwerkelemente reduzieren, während gleichzeitig höchste Sicherheitsstandards gewährleistet sind. Die vorhandene Netzwerkbandbreite ist voll nutzbar und dank der minimalen Latenz beim Verschlüsselungsprozess kommt es nicht zu Performance-Verlusten bei den Anwendungen.
Fünf Aspekte sind bei der Wahl der richtigen Verschlüsselungslösung entscheidend:
Erstens gilt: Datensicherheit genießt insbesondere in international agierenden Unternehmen höchste Priorität, da dieses Thema sehr sensibel ist und von rechtlicher Seite unter intensiver Beobachtung steht. So muss beispielsweise ein typisches europäisches Finanzunternehmen, das auch auf dem US-Markt aktiv ist, sieben oder mehr Standards erfüllen - darunter Sarbanes-Oxley, PCI-DSS, ISO 27001 und Basel II. Hinzu kommen zahlreiche Regulierungen des Heimatlands. Eine Verschlüsselungslösung muss daher mit sämtlichen Compliance-Vorgaben konform sein und sich flexibel an Änderungen anpassen können.
Zweitens: Um einen hohen, international gültigen Sicherheitsstandard zu gewährleisten, sind anerkannte zertifizierte Verschlüsselungsalgorithmen mit 256-Bit und Schlüssel-Management-Lösungen zu bevorzugen, beispielsweise der FIPS-zertifizierte (Federal Information Processing Standard) Advanced Encryption Standard (AES-256). Dieser Standard wird auch vom US-amerikanischen Inlandsgeheimdienst NSA (National Security Agency) für Informationen genutzt, die als "Secret" oder "Top-Secret" eingestuft sind. Entsprechende Lösungen führt die international anerkannte Institution NIST (National Institute of Standards and Technology) auf. Wichtig ist zudem, dass die Lösung die Schlüssel in sehr rascher Folge neu erstellt, spätestens alle zehn Minuten. Dabei gilt: je öfter, desto sicherer.
Drittens: Unternehmensnetzwerke und Dienste entwickeln sich sehr dynamisch. Vorhandene Dienste werden konsolidiert oder allmählich durch neue Übertragungsprotokolle ersetzt. Bei Verschlüsselungslösungen sollte ein Unternehmen daher darauf achten, dass diese unabhängig von bestimmten Protokollen sind und unterschiedliche Transporttypen tragen können, zum Beispiel 10 Gigabit Ethernet LAN/WAN, 8/10 Gigabit Fibre Channel, PSIFB (Parallel Sysplex Infiniband), OC-192, STM-64 und OTU2. Die Netzwerkbandbreite selbst wird sich vermutlich ebenfalls verändern, daher sollte man auch die Skalierbarkeit einer Lösung immer im Blick behalten.
Viertens: Die Verschlüsselungslösung kann die Performance latenzempfindlicher Netzwerkprotokolle oder Anwendungen deutlich beeinflussen. Moderne Verschlüsselungslösungen sollten in der Lage sein, die Latenz mit hardwarebezogenen Parametern in der Größenordnung einiger Mikrosekunden unter Kontrolle zu halten. Eine optische Lösung, bei der die Verschlüsselung in der Hardware auf einer unteren Ebene erfolgt (OSI-Schichtenmodel Layer 0/1), ist dabei deutlich im Vorteil.
Fünftens: In jedem Fall sollte sichergestellt sein, dass der "Besitzer" der Daten, also der Anwender, die Kontrolle über die Kodierungsschlüssel hat, und zwar unabhängig davon, ob das Unternehmen die verschlüsselten WAN-Verbindungen selbst verwaltet und wartet oder ein Service-Provider dies übernimmt. So kann das Unternehmen bei Bedarf neue Schlüssel zuweisen und ist stets umfassend über Alarmmeldungen und -berichte auf End-to-End-Basis informiert. Dazu sollte man das Optical-Transport-Management von der Verwaltung der Schlüssel getrennt halten. Kauft man beispielsweise den verschlüsselten Dienst von einem Service-Provider, verwaltet dieser wie bei jedem anderen Dienst die Verbindungen, deren Bereitstellung, die Administration und das Performance Monitoring. Er hat jedoch keine Kontrolle über die Zuteilung der Schlüssel oder die Wartung. In Abstimmung mit den Sicherheitsregelungen des Unternehmens kann dies manuell oder automatisch über sichere, verschlüsselte Kanäle erfolgen.
Fazit
Die gleichen Sicherheitsstandards, die für die Daten im Rechenzentrum gelten, sollten unbedingt auch für die Daten gelten, die aktuell zu übertragen sind. Ein Sicherheitskonzept sollte deshalb drei wichtige Hauptbereiche abdecken: Server-Sicherheit sowie Data-at-Rest- und Data-in-Flight-Verschlüsselung. Durchdachte Verschlüsselungslösungen für Glasfaserleitungen können sicherstellen, dass Daten an keinem Punkt ihrer Reise durch die Netze auslesbar oder manipulierbar sind - und dies ohne Auswirkungen auf den Durchsatz oder die Leistung der Anwendungen.
Lesen Sie mehr zum Thema
