20101112r Infoguard Sicherheit in optischen Netzen
|
|
|
»manage
it«
als
|
Sicherheit in optischen Netzen Fata Morgana im Glasfasernetz Unternehmensspionage ist eine reale Gefahr. Optische Datenleitungen verwehren – entgegen weitverbreiteter Meinung – nicht den Blick auf geheime Inhalte. Umfassende Sicherheitsmaßnahmen sind auch oder gerade bei optischen Glasfasernetzen angebracht.
ei einer Fata Morgana wird Licht durch unterschiedlich warme Luftschichten gebrochen und aus Sicht des Betrachters an anderer Stelle gespiegelt. Einen vergleichbaren Effekt gibt es auch bei Lichtsignalen in Glasfaserleitungen und die Auswirkungen sind ähnlich trügerisch. Der »Fata-Morgana-Effekt« lässt sich ausnutzen, um Bild-, Sprach- und Systemdaten mitzulesen. Noch immer unterschätzen Banken, Versicherungen, Unternehmen und öffentliche Verwaltungen das Risiko, wenn Angreifer optische Daten ableiten und vertrauliche Informationen auswerten.
Datenschnüffler im Netzwerk. Bleibt die Abhöreinrichtung unbemerkt, kann der Datenstrom fortan bequem mitgeschnitten werden. Nach dem heutigen Stand der Technik ist solch ein massiver Eingriff in das Kabelnetz aber eigentlich unnötig. Denn Angreifer können den direkten Kontakt mit der Datenleitung auch komplett vermeiden (»Non-touching Methods«), indem sie über empfindliche Fotodetektoren sogenannte Rayleigh-Streuung auffangen. Bei jedem Glasfaserkabel treten minimale Lichtmengen seitlich aus dem Kabel aus. Den Carriern ist der Streueffekt bekannt, gleichen sie doch den Verlust auf langen Übertragungsstrecken aus, indem sie die Signale verstärken. Nichts anderes machen die Angreifer und werten die nun lesbaren Informationen über Packet-Sniffer aus, die Netzwerkdaten aufzeichnen, überwachen und in Echtzeit analysieren. Auf diese Weise lassen sich auch riesige Datenmengen anhand bekannter IP-Nummern oder Schlüsselbegriffe systematisieren. Für die oben genannten Angriffsmöglichkeiten bilden die Verteilerkästen der Glasfasernetze die besten Angriffspunkte, die beispielsweise Verstärker zur Überbrückung von größeren Distanzen bei der Übertragung von Datensignalen enthalten. Sie sind über das ganze Streckennetz an verschiedenen Orten verteilt und werden normalerweise nur für notwendige Wartungsarbeiten geöffnet. Hier werden die einzelnen Fasern der Kabel miteinander verbunden und einzelne Leitungen eines Kabelbündels markiert. Verschaffen sich Angreifer unbefugten Zugriff auf die Wartungskästen, kann der Lauschangriff beginnen. Sicherheit nur eine optische Täuschung? Unweit der Finanzmetropole Frankfurt am Main ist genau das geschehen. Unbekannte Eindringlinge starteten einen Abhörversuch auf drei Hauptverbindungen und wollten den über Glasfaserleitungen laufenden Datenverkehr mitschneiden. Der Abhörversuch erfolgte in der Nähe des Frankfurter Flughafens, an dem jährlich rund 50 Millionen Passagiere starten und landen. Der damit verbundene Austausch von persönlichen Daten und für Geldtransaktionen notwendige Informationen läuft über solche Kommunikationsnetze und bildet ein besonders lohnendes Angriffsziel. In einem anderen Fall führte ein Hackerangriff auf die US-amerikanische Supermarktkette Hannaford nachweisbar zum Diebstahl von circa 4,2 Millionen Kreditkartendaten. Illegal installierte Glasfaser-Abhörgeräte wurden auch im Fibrenet von Verizon bei einem Finanzinstitut vor Bekanntgabe der Quartalszahlen entdeckt. Die Gefahr solcher Angriffe ist hoch, denn optische Glasfaserkabel haben sich als Standardtechnologie beim verzögerungsfreien Transport großer Datenmengen über weite Entfernungen etabliert. Glasfasernetze kommen vor allem bei global aufgestellten Konzernen und renommierten Instituten aus dem Finanz-, Telekommunikations- und öffentlichen Sektor zum Einsatz. Die Nachfrage ist in den vergangenen Jahren rapide gestiegen, um die Anforderungen an moderne Kommunikationswege in puncto Geschwindigkeit, Kapazität und Wirtschaftlichkeit abzudecken. Typische Beispiele sind Metropolitan Area Networks (MAN), in denen Multimediadaten in Echtzeit übertragen werden, Wide Area Networks (WAN), die mehrere lokale Netze per Fernleitungen verbinden, und Storage Area Networks (SAN), die Rechenzentren über Direktverbindung an separate Speichersysteme anbinden. Fachleute sehen beim Schutz vor Abhörattacken deshalb dringenden Handlungsbedarf. So greift der Analyst Romain Fouchereau in der IDC-Studie das zu Anfang gewählte Bild einer Fata Morgana auf und fragt, ob die vermeintliche Sicherheit in optischen Glasfasernetzen nicht nur eine optische Täuschung sei. Schließlich gehe Glasfasernetzen in der öffentlichen Wahrnehmung fälschlicherweise immer noch der Ruf voraus, sicherer als herkömmliche Netze zu sein. »Optische Glasfasernetze galten lange Zeit als die schnellste, zuverlässigste und sicherste Art, Daten zwischen verschiedenen Netzwerken auszutauschen«, meint Fouchereau. »Dieser Ruf hat sich als falsch erwiesen, denn neue und kostengünstige Technologien haben es Hackern ermöglicht, auf einfache Art und Weise Daten zu stehlen.« Kryptographie als Schlüssel zum Erfolg. Branchen wie der Banken- und Versicherungssektor, Pharmazieunternehmen mit lukrativen Patenten, aber auch Industrie und öffentliche Behörden kommen deshalb nicht mehr darum herum, sich der Thematik Absicherung von Glasfasernetzen zu widmen. Und der einzig wahre Schutz vor Wirtschaftsspionage, so Foucherau weiter, besteht darin, die Daten in verschlüsselter Form zu verschicken und somit für unbefugte Blicke unbrauchbar zu machen. Best-Practice-Vorgaben für das Banken- und Versicherungsumfeld sowie andere Branchen empfehlen daher, den Transport sensibler Informationen grundsätzlich durch starke Verschlüsselung zu schützen. Dafür eignen sich Kryptographiemethoden wie AES (Advanced Encryption Standard), der als symmetrischer Algorithmus mit Schlüssellängen bis zu 256 Bit arbeitet. Zur Wahrung von Informationssicherheit sind verschlüsselte Datentransfers über öffentliche Leitungen eine bewährte und bezahlbare Methode im Rahmen einer umfassenden Information-Risk-Management-Strategie, die neben Sicherheitsaspekten auch wirtschaftliche Kriterien integriert. Erstaunlicherweise kümmern sich im lukrativen Netzwerksicherheitsmarkt nur wenige Unternehmen um die Verschlüsselung vertraulicher Daten in optischen Glasfasernetzen. Einer dieser wenigen Anbieter ist die Schweizer Info Guard AG, die sich auf die kryptographische Absicherung hochsensibler Umgebungen im Banken-, Industrie- und Dienstleistungsumfeld spezialisiert hat. Info Guard bietet Verschlüsselungsplattformen mit Übertragungsraten bis zu zehn Gigabit pro Sekunde. Stark ausgelastete Links und zeitkritische Anwendungen sind typische Einsatzszenarien für die eidgenössische Produktpalette, die eine verzögerungsfreie Chiffrierung ohne Overhead digitaler Informationen ohne Änderung der Netzwerkstruktur gewährleistet. Zur Anbindung verschiedener Standorte in MAN-, WAN- und SAN-Umgebungen kommen die Verschlüssler in unterschiedlichsten Netzwerktopologien zum Einsatz und schützen Gigabit-Ethernet-, Fibre-Channel-, FICON-, Fast-Ethernet- und E1-Verbindungen. Für traditionelle Netzwerksicherheit geben Unternehmen einen beträchtlichen Geldbetrag aus. Firewalls, Antivirenprogramme, Kommunikationssicherheit, Intrusion-Prevention-Systeme, Sicherheitsmanagementlösungen und Data-Loss-Prevention-Technologien sind feste Bestandteile aktueller Sicherheitsstrategien. Das Hochsicherheitsrisiko durch Hochgeschwindigkeitsnetze wird nach wie vor vernachlässigt. Das ändert sich erst, wenn sensible Daten gestohlen werden und der Bedarf nach Anhörsicherheit für optische Kabelnetzwerke offensichtlich wird. Foucherau: »Unternehmensspionage ist eine reale Gefahr und muss fester Bestandteil der Sicherheitspläne jeder Organisation sein.« René Mürset __________________________________________ René Mürset, Product Manager Highspeed Encryption, Info Guard AG
|
Fachleute kennen mehrere »Optical
Tapping Methods«, mit denen die Datenintegrität der über 300 Millionen Kilometer
weltweit gezogenen Glasfaserkabel in Frage gestellt wird. Abhörattacken lassen
sich bei optischen Datenleitungen herbeiführen, indem man zum Beispiel die
Glasfaser biegt. Größtenteils folgt das durchströmende Licht dann weiterhin der
Biegung, aber ein Teil der Lichtmenge strahlt auch aus der Faser heraus. Diese
Splitter-Coupler-Methode genannte Abhörtechnik ermöglicht es Wirtschaftsspionen,
mittels Biegekoppler auf den Informationsfluss heimlich zuzugreifen. Über
moderne Empfänger verstärken sie anschließend das Signal, wandeln es in eine
digitale Form um und werten die Daten aus. Die dafür notwendige Technologie
gehört zur Standardausrüstung aller Wartungstechniker, die den Zustand und die
Funktion von Lichtwellenleitern testen. Auf Empfängerseite bleibt der
Netzwerkbetrieb störungsfrei und die minimale Veränderung des Nutzsignals ist
nur technisch nachweisbar.