Mitte Februar 2023: Tausende Passagiere müssen wegen einer globalen IT-Panne bei einer großen Fluggesellschaft Verspätungen und Flugausfälle hinnehmen. Zumindest die Ursache war schnell erkannt: Ein Bagger hatte im Rahmen von Bauarbeiten an einer Bahnstrecke unweit eines großen deutschen Flughafens mehrere Glasfaserkabel durchtrennt.
Solche Ausfälle sind ärgerlich und können mitunter schwere Folgen haben, etwa wenn Verwaltungs- oder Regierungsstellen betroffen sind. Unternehmen müssen zudem wirtschaftliche Schäden befürchten. Generell lassen sich Störungen in redundant aufgebauten IT-Netzwerken durch automatisches Routing, also die selbstorganisierte Neukonfiguration von Netzwerkkomponenten, abfedern oder gänzlich vermeiden. Doch hochsichere, IPsec-geschützte Virtual Private Networks (VPN) waren früher davon ausgenommen: Bei diesen Netzen mussten Sicherheitsbeziehungen paarweise zwischen den beteiligten Gateways eingerichtet werden – und zwar manuell.
Das brachte nicht nur im Krisenfall Nachteile mit sich, sondern auch im IT-Alltag: Immer dann, wenn ein Element wegfiel oder eines hinzukam, musste neukonfiguriert werden. Mit der Anzahl der IPsec-Gateways im Netz wuchs auch der Verwaltungsaufwand. Zudem war das Vorgehen fehleranfällig.
Entwickelt in universitärer Forschung
Schließlich nahm sich die Technische Universität Ilmenau in einer Forschungskooperation mit secunet des Problems an. Prof. Dr. Günter Schäfer, Leiter des Fachgebiets Telematik/Rechnernetze an der Fakultät für Informatik und Automatisierung, trieb das Thema voran. Die Frage lautete: Wie kann man ein flexibles Konfigurationsverfahren für IPsec-gesichertes VPN so gestalten, dass auf Änderungen des Netzwerkstatus dynamisch reagiert wird, dabei aber kaum manueller Verwaltungsaufwand entsteht? Dabei durften die Sicherheitseigenschaften nicht beeinträchtigt werden, und das Verfahren sollte auf sehr große VPNs mit mehreren tausend Sicherheitsgateways hochskalierbar sein.
Die zentrale Idee des Ilmenauer Forscherteams um Professor Schäfer war es, die Gateways in einer Ringstruktur mit zusätzlichen Querverbindungen anzuordnen, so dass auch indirekte Szenarien (Sicherheitsgateways hinter Sicherheitsgateways) unterstützt wurden. Das war die Geburtsstunde von SINA SOLID.
Zulassung des BSI
SOLID steht für „Secure OverLay for IPsec Discovery”. Das Verfahren wurde von secunet zum gebrauchsfertigen Produkt ausgebaut und ist bereits seit einigen Jahren Teil der sicheren Kommunikationslösung SINA, die secunet in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hatte. SINA ist ein Portfolio von Sicherheitskomponenten vom Gateway bis zum Laptop, mit denen sich sichere IT-Infrastrukturen für eingestufte Daten unterschiedlicher Geheimhaltungsgrade bis einschließlich GEHEIM aufbauen lassen. SINA SOLID ist für die Stufe VS-NfD (NUR FÜR DEN DIENSTGEBRAUCH) zugelassen.
Beim automatischen Routing mit SINA SOLID bleiben alle Sicherheitseigenschaften von IPsec und SINA vollständig erhalten. Das Verfahren befähigt das Netz, selbstständig dynamisch auf Änderungen zu reagieren. Wenn zum Beispiel die Verbindung zwischen zwei Standorten unterbrochen wird, routet SOLID automatisch um – etwa über einen weiteren Standort –, ohne dass die Administration manuell tätig werden müsste. Wird eine neue SINA L3 Box (ein Sicherheitsgateway) in Betrieb genommen, organisiert sich daraufhin das Netz selbst neu.
Georedundante Cluster
Zudem kann SINA SOLID dafür sorgen, dass alle SINA L3 Boxen eines Netzwerks, auch über mehrere voneinander entfernte Standorte hinweg, in Bereitschaft stehen, falls Systeme ausfallen. So lassen sich georedundante Cluster aufbauen, um die Resilienz zu erhöhen.
Diese Cluster können auch in Verbindung mit einer Neuerung bei SINA SOLID sehr hilfreich sein. Zusätzlich zu den Gateways können sich nun auch die Clients – SINA Workstations als speziell abgesicherte Laptops auf VS-NfD-Ebene – selbstständig neu vernetzen. „Das ist insbesondere im Krisenfall von Vorteil“, sagt Armin Wappenschmidt, der als Leiter Innovationen und Produktmanagement bei secunet unter anderem für die Weiterentwicklung von SINA SOLID verantwortlich ist. „Üblicherweise läuft sämtlicher Datenverkehr über die Zugangsgateways. Bei einem zentralen Systemausfall ist das problematisch: Sind diese Gateways trotz vorhandener Redundanzen nicht erreichbar, können sich Mitarbeiter*innen nicht mehr mit dem Intranet verbinden oder zumindest keine zentralen Dienste mehr nutzen.“
Cleveres Routing statt Nadelöhr
Mit SINA SOLID hingegen können sich die SINA Workstations auf VS-NfD-Ebene nun auch mit einem georedundanten Cluster eines anderen Standorts verbinden. „Da es nun viele potenzielle Wege gibt, entsteht kein zentrales Nadelöhr“, erklärt Wappenschmidt. „Bei dem ständig zunehmenden Datenverkehr ist das ein wichtiger Schritt hin zu mehr Resilienz.“
Darüber hinaus können sich die VS-NfD-zugelassenen SINA Workstations auch erstmals untereinander verbinden (sogenannte „Peer-to-Peer-Kommunikation“). Auch das entlastet die zentralen Zugänge, da Telefonie- und Videodaten nicht mehr durch den Engpass müssen. Zudem können die Clients selbst dann, wenn die Verbindung zwischen den Standorten unterbrochen wird, immer noch untereinander kommunizieren. Das heißt: Bei entsprechender Konfiguration kann im Fall der Fälle weiterhin telefoniert werden, und auch bilaterale Videocalls sowie Anwendungen, die ohne zentralen Server funktionieren, sind weiter verfügbar.
„Das sind Nutzungsszenarien, die im Fall eines zentralen Serverausfalls die Krisenkommunikation enorm erleichtern“, so Wappenschmidt. „Doch nicht nur in Krisensituationen zahlt sich ein selbstorganisierendes Netzwerk aus. Administratoren werden zu schätzen wissen, dass sie nicht bei jeder Netzwerkkomponente, die neu hinzukommt, aktiv werden müssen – solche Tätigkeiten können bei großen Netzwerken sonst schnell zur Sisyphusarbeit werden.“
„SINA SOLID ist ein weiteres Beispiel dafür, dass sich stark abgesicherte Netzwerke für spezielle Einsatzzwecke wie Verschlusssachen mittlerweile genauso komfortabel nutzen und verwalten lassen wie unsichere oder kommerzielle Netze.“
HEAT heizt das Tempo der Netzwerkverschlüsselung an
Die Architektur von SINA schafft es, dass viele der anspruchsvollen Sicherheitsmaßnahmen im Hintergrund ablaufen, ohne dass die Benutzer*innen sich darum kümmern müssten. So ist es auch mit der zentralen Maßnahme der Netzwerkverschlüsselung. Im direkten Vergleich mit gewöhnlichen, unsicheren Netzwerkkomponenten fällt allerdings auf, dass Netzwerkverschlüsselung deutlich mehr Rechenleistung in Anspruch nimmt. Das liegt in der Natur der Sache, kann alltägliche Rechenprozesse aber durchaus verlangsamen. Um diesem Effekt entgegenzuwirken, hat die Fakultät für Informatik und Automatisierung der TU Ilmenau gemeinsam mit secunet HEAT entwickelt.
HEAT bedeutet „High-Speed Encryption Acceleration Track” und macht der Netzwerkverschlüsselung ordentlich Dampf. Das wird unter anderem dadurch erreicht, dass einige der Prozessoreinheiten (CPU-Kerne), die in der Hardware arbeiten, nun ausschließlich der Netzwerkverschlüsselung vorbehalten sind, während die übrigen andere Aufgaben erledigen.
Als Analogie taugt die Filiale eines Paketdiensts, in der man die Anzahl der täglich versendeten Pakete erhöhen möchte. Bislang kümmerten sich die 20 Mitarbeiter*innen der Filiale um alles gleichermaßen: Paketsendungen, aber auch zahlreiche andere Produkte und Services, die in der Filiale angeboten werden. Der administrative Aufwand war hoch, weil ständig neue Arbeitsmittel geholt werden mussten und die Tische nach jedem Vorgang aufgeräumt wurden – schließlich könnte der nächste Kunde ein völlig anderes Anliegen haben. Doch neuerdings bearbeiten 16 der 20 Mitarbeiter*innen ausschließlich Pakete, und es gibt verschiedene Schlangen für Kunden, die Pakte versenden wollen, und solche mit anderen Anliegen. Seit der Neuorganisation schafft die Filiale deutlich mehr Pakete pro Tag und ist aus diesem Grund sogar „Filiale des Jahres“ geworden.
Verfügbar ist HEAT mit der neuesten Softwareversion der SINA L3 Box in Verbindung mit SINA SOLID.
Haben Sie Fragen oder Anmerkungen zu diesem Artikel? Dann kontaktieren Sie uns über das nebenstehende Kontaktformular!
secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Hier finden Sie Neuigkeiten, Trends, Standpunkte und Hintergrundinformationen aus der Welt der Cybersicherheit für Behörden und Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.
Zusätzlich zum Online-Magazin erscheint secuview zweimal jährlich als Zeitschrift, die Sie in gedruckter Form kostenfrei abonnieren oder als PDF herunterladen können.
secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.