Netzsegmentierung als Strategie zum Schutz hochsensibler Daten

Ende März wurde eine gravierende OpenSSH-Verwundbarkeit entdeckt, glücklicherweise früh genug, um größeren Schaden zu vermeiden. Wäre dieser Hack erfolgreich gewesen, hätte er weltweit großen Schaden anrichten können.  Eine zusätzliche Sorge bereitet die Tatsache, dass dieser Angriff nur zufällig durch die Beharrlichkeit des Softwareentwicklers Andres Freund entdeckt wurde. Dieser Vorfall macht deutlich, dass absolute Sicherheit in IT-Netzen unerreichbar ist, und unterstreicht den dringenden Bedarf an robusten Sicherheitsmaßnahmen.

In diesem Artikel werden die Vorteile der Implementierung netzwerkbasierter Zugangsbeschränkungen durch Segmentierung behandelt und einfache Methoden für eine wirksame Umsetzung vorgeschlagen. Die Einführung eines "Need to Connect"-Prinzips als ergänzende Maßnahme zum bewährten "Need to Know"-Grundsatz gewährleistet einen einheitlichen Ansatz zum Schutz von Informationen. Im Folgenden wird auf die technischen Einzelheiten dieses Prinzips und seine Bedeutung für die Stärkung der Cybersicherheitsabwehr eingegangen.

Nutzen und Risiken konvergenter Netze

Als ich meine berufliche Tätigkeit begann, waren getrennte Netze für verschiedene Anwendungen üblich. Für Privatkunden wurden getrennte Netze für Sprache, Fernsehen und das Internet betrieben. Industrieunternehmen und Versorgungsbetriebe nutzten für ihre Anwendungen eigene Netze, die meist mit proprietären Protokollen implementiert wurden. In der guten alten Zeit schützten die Nutzer ihre Informationen durch Abschottung der Netze.

Der Siegeszug von IP hat zu einer Konvergenz der Netze geführt, und viele Anwendungen werden jetzt über ein gemeinsames IP/Ethernet-Netz bereitgestellt. Das Internet bietet eine inhärente Konnektivität und damit eine sehr einfache Möglichkeit, Nutzer, Geräte, Anwendungen und Dienste miteinander zu verbinden. 

Die Konvergenz schafft einfachere Netze und bietet ein hohes Maß an Flexibilität. Neue Nutzer können ohne zeitaufwändige Bereitstellung auf Dienste im Netz zugreifen. Dienste lassen sich schnell für alle Nutzer an einem zentralen Ort einrichten. Der Vorteil der IP-Technologie liegt in ihrer inhärenten, robusten Erreichbarkeit. 

Wenn ein IP-Gerät eine Verbindung zu einem IP-Netz herstellt, erreicht es alle anderen angeschlossenen Geräte. Diese positive Eigenschaft hat jedoch auch ihre Schattenseiten, da Angreifern eine einfache Möglichkeit des Zugriffs auf Geräte geboten wird. Die dadurch entstehenden Bedrohungen müssen durch Schutzfunktionen wie Firewalls und IDS/IPS abgewehrt werden.  

Das "Need-to-Connect"-Prinzip: Verhinderung von unbefugtem Zugriff zu Diensten auf allen Layern

Im Hochsicherheitsbereich reicht es nicht aus, die Informationen nur auf den höheren Netzebenen an der Peripherie oder in den Endgeräten zu schützen. Einem Angreifer sollte gar nicht erst die Möglichkeit gegeben werden, sich im Netz zu bewegen. Dies lässt sich am besten durch eine physische Trennung erreichen, bei der das Netz mit dedizierten, geschützten Übertragungswegen sowie eigenen Übertragungseinrichtungen, Servern und Anwendungen strukturiert wird. 

Auf diese Weise wird ein "Luftspalt" (Air Gap) zwischen dem hochsicheren Netz und anderen Einrichtungen geschaffen, so dass der unbefugte Zugriff auf Ressourcen physisch verhindert wird. Nach dem Prinzip "Need to Connect" wird nur autorisierten Anwendern ein Zugang im Netz ermöglicht.

Leider ist dieser sehr pragmatische Ansatz der physischen Trennung sowohl aus wirtschaftlichen als auch aus praktischen Gründen nicht immer realisierbar. Dennoch gibt es auch innerhalb gemeinsam genutzter Netze Methoden, um den Datenverkehr von verschiedenen Clients und Nutzergruppen zu trennen.

Netzsegmentierung zur Trennung des Verkehrs geschlossener Benutzergruppen

Daten können auf verschiedene Weise und auf unterschiedliche Layern bei der Übertragung getrennt werden. Auf der IP-Schicht kann der Verkehr verschlüsselt und durch das Internet getunnelt werden. Bei IP/VPNs werden die Daten im MPLS-Kernnetz auf verschiedenen LSP-Pfaden übermittelt.

Auf Layer 2 können Ethernet-Verbindungen durch Techniken wie Ethernet Virtual Private Line (EVPL) oder Virtual LANs (VLAN) "virtualisiert" werden, um Benutzergruppen verlässlich zu trennen. Um die Sicherheit weiter zu erhöhen, kann Layer-2-Verschlüsselung eingesetzt werden. Darüber hinaus gibt es Implementierungsvarianten wie VxLAN, die VLANs über UDP in IP-Netzen emulieren.

Auf der physikalischen Übertragungsebene gibt es weitere Möglichkeiten der Netzsegmentierung. Auf Glasfaserstrecken können unterschiedliche Wellenlängen, Glasfasern, Kabel oder sogar Leerrohre verwendet werden, um den Verkehr verschiedener Benutzergruppen zuverlässig voneinander zu trennen. Zusätzliche Sicherheit bietet die Layer-1-Verschlüsselung.

Der Verkehr kann also auf jeder Netzschicht separiert und isoliert werden. Die Segmentierung auf den oberen Netzschichten ermöglicht die gemeinsame Nutzung der darunter liegenden Netzschichten und verbessert so die Effizienz eines Netzes. Dem stehen jedoch Nachteile in Bezug auf die Informationssicherheit aufgrund der höheren Angriffsfläche gegenüber, was die Trennung auf den unteren Netzschichten motiviert.

Zusammenfassung und Ausblick

Ein konvergentes Netz kann von vielen Anwendungen gleichzeitig genutzt werden und bietet wirtschaftliche Effizienz und hohe Flexibilität. Wenn jedoch die Sicherheit der Informationen im Vordergrund steht, sollte eine zuverlässige und robuste Trennung und Isolierung des Verkehrs im Übertragungsnetz gewährleistet sein. Das "Need-to-Connect"-Prinzip kann auf mehreren Netzschichten umgesetzt werden. Die aufwändigste und sicherste Maßnahme ist die vollständige physische Trennung im Zusammenspiel mit einer Layer-1-Verschlüsselung. Ein guter wirtschaftlicher Kompromiss, insbesondere bei der Verbindung von Standorten mit hohem Bandbreitenbedarf, wird mit einer Layer-2-Trennung und robuster Verschlüsselung erreicht. Für hohe Skalierbarkeit und schnelle Bereitstellung sind alternativ Layer-3-Methoden wie MPLS-basierte IP/VPNs oder IPsec-Tunnel ideal. 

Adva Network Security bietet BSI-zugelassene, verschlüsselte optische Übertragungstechnik und Ethernet-Netzwerkzugangsgeräte. Damit lassen sich sichere Verbindungsnetze mit Layer 1- und Layer 2-Technologie realisieren, die sich bereits in vielen Hochsicherheitsanwendungen bewährt haben. Kürzlich wurde eine Partnerschaft mit genua bekannt gegeben, um die sichere Netzlösung mit BSI-Zulassung noch besser zu machen und sie für einen umfassenden Schutz auf Layer 3 auszuweiten.