Suchen

Data-In-Flight-Verschlüsselung Glasfaser-Kabel hacken – Abhörsicherheit ist eine Illusion

Autor / Redakteur: Daniel Prokop, Ciena / Stephan Augsten

Lichtwellenleiter sind entgegen der landläufigen Meinung nicht abhörsicher. Deshalb ist die Data-In-Flight- oder auch Data-In-Motion-Verschlüsselung in Glasfaser-Netzwerken unverzichtbar. In diesem Beitrag erfahren Sie, wie Cyberkriminelle mittels Splicing und Bending sowie ohne physischen Zugriff optische Signale abfangen und manipulieren können.

Firma zum Thema

Glasfaser-Kabel sind vor unerwünschten Zugriffen nicht sicher.
Glasfaser-Kabel sind vor unerwünschten Zugriffen nicht sicher.
(Bild: VBM)

Während immer mehr Daten über das Wide Area Network (WAN) übertragen werden, verfeinern Hacker ihre Techniken zum Anzapfen von Glasfaserkabeln. Deshalb müssen IT-Manager die gleichen Sicherheitsstandards, die für Daten im Rechenzentrum gelten, auch auf in Bewegung befindliche Daten anwenden.

Neben Server-Sicherheit und Data-At-Rest-Verschlüsselung ist dementsprechend die Data-In-Flight-Verschlüsselung im Glasfasernetz absolut notwendig. Nur mit dieser Technik lassen sich sensible Informationen während ihrer Übertragung wirklich schützen.

Um vollständige Informationssicherheit in einem Unternehmen zu gewährleisten, muss jedoch erst einmal bekannt sein, welche Datenwege in eine Firma hinein- und aus ihr hinausführen. Nur dann ist es möglich, die wichtigen Schnittstellen zu überwachen und abzusichern, um Angriffe zu vermeiden.

Unter IT-Sicherheitsexperten ist bekannt, dass Kupferleitungen oder auch WLANs recht einfach ausgespäht werden können und die damit übertragenen Daten leicht zu knacken sind. Zwar hält sich bei optischen Datenleitungen wie Glasfasernetzen immer noch die Annahme, dass diese „von Natur aus“ sicher für den Transport sind; jedoch können auch diese mit Hilfe von leicht verfügbarer Hard- und Software gehackt werden.

Sobald Hacker sich mit Hilfe der richtigen Hardware einen Zugang zu den Glasfaserkabeln verschafft haben, können sie mit verschiedenen Methoden das Lichtsignal und damit auch die Daten innerhalb der hauchdünnen Glasfasern modifizieren. Drei gängige Methoden stellen wir auf der folgenden Seite vor.

Splicing

Bei der sogenannten Splice-Methode wird eine Verbindung in der Faser geschaffen, um das übertragene Signal nutzen zu können. Vereinfacht gesagt wird die Glasfaser aufgetrennt und ein entsprechendes Gerät dazwischen geschaltet, das dann die Signale auf eine weitere Glasfaser überträgt.

Da es im Moment der Zwischenschaltung zu einer Betriebsunterbrechung kommt, ist diese Methode leicht aufzudecken. Selbst eine Signalunterbrechung von nur einer Millisekunde kann bedeuten, dass der Datenverkehr zu einem Ersatzpfad umgeleitet wird. So wissen die Mitarbeiter des Netzwerk-Betreibers sofort über potentielle Probleme in diesem Abschnitt Bescheid.

Bending

Ganz anders funktioniert die Coupler-Methode, auch Bending genannt: Wird eine Glasfaser gebogen, folgt das Licht zum größten Teil der Biegung, ein kleiner Anteil des Lichts jedoch verlässt die Glasfaser. Um diesen Mikro-Knick (Biegung) in der Leitung zu erzeugen, wird ein Clip-On-Koppler verwendet. Ein Fotodetektor fängt das abgelenkte Licht ein. Ein optisch-elektrischer Konverter wandelt dieses dann in ein binäres, elektrisches Signal um. Anschließen kann das Signal von einer Packet-Sniffer-Software verarbeitet werden, um verwertbare Informationen zu erhalten.

Non-Touching-Methode

Jedoch gibt es heutzutage sogar Methoden zum Abhören von Glasfasern, für die das Kabel nicht physisch berührt werden muss. Bei der sogenannten Non-Touching-Methode wird zusätzliches Licht in das Kabel eingeleitet – durch eine Analyse der Wechselwirkung zwischen den zwei Lichtströmen erhält der Angreifer somit Informationen über das übertragene optische Signal. Im Anschluss wird das Signal bis zu einer brauchbaren Intensität verstärkt, was weder die Leitung noch das Signal dämpft.

Aufgrund der Beschaffenheit des optischen Signals erfassen die genannten Methoden das gesamte Signal, das durch den Netzwerk-Core läuft. Damit bleibt für den Schutz der Daten nur die Verschlüsselung des gesamten optischen Nutzsignals als effektive präventive Methode.

Eine Verschlüsselungslösung, die sich auf die unteren Ebenen des ISO/OSI 7-Schichten-Modells bezieht, birgt hier enorme Vorteile. Auf höchstem Sicherheitsniveau wird durch diesen Ansatz die Anzahl der notwendigen Netzwerk-Elemente – und damit auch Kosten und Komplexität des Netzwerks – auf ein Minimum reduziert. Die vorhandene Netzwerk-Bandbreite lässt sich voll nutzen und dank der minimalen Latenz beim Verschlüsselungsprozess kommt es nicht zu Performance-Verlusten.

Tipps zur Wahl der Verschlüsselungslösung

Bei der Wahl der richtigen Verschlüsselung-Lösung müssen fünf wichtige Punkte beachtet werden:

1. Allen voran müssen Unternehmen, die international tätig sind, eine Vielzahl von Rechtsvorschriften bezüglich der Datensicherheit beachten. Die gewählte Lösung mit daher mit allen gesetzlichen Vorgaben in den verschiedenen Ländern konform sein, wo das Unternehmen agiert.

2. Im Interesse eines hohen Sicherheitsstandards sollten ein anerkannter Verschlüsselungs-Algorithmus (z.B. AES 256) und ein anerkanntes Schlüsselmanagement (z.B. IKE) eingesetzt werden. Wichtig sind ebenfalls die Erneuerung der Schlüssel in rascher Abfolge – je schneller desto sicherer – also mindestens < 10 Minuten. Erste Wahl bei Verschlüsselungssystemen sollten zertifizierte Lösungen sein, hier gibt das international anerkannte NIST (National Institute of Standards and Technology) entsprechende Empfehlungen.

3. Bei den Verschlüsselungslösungen sollte darauf geachtet werden, dass diese Protokoll-unabhängig und -transparent sind, um eine Reihe verschiedener Transporttypen zu unterstützen (beispielsweise 10-Gigabit Ethernet LAN/WAN). Schließlich sind Firmennetze sehr dynamisch: Während sich stetig neue Dienste entwickeln, werden vorhandene Dienste konsolidiert oder nach und nach durch neue Übertragungsprotokolle ersetzt.

4. Bei der Wahl nach der richtigen Lösung muss auch die Latenz betrachtet werden. Latenzempfindliche Netzwerkprotokolle oder Anwendungen fordern Verschlüsselungslösungen mit Latenzzeiten von wenigen Mikrosekunden. Eine optische Lösung bei der die Verschlüsselung in Hardware auf einem unteren Layer (OSI-Schichtenmodel Layer 0/1) ist hier deutlich im Vorteil.

5. Wenn es um den Schlüsselbesitz und das Key-Management geht, sollte in jedem Falle sichergestellt sein, dass der Anwender – unabhängig davon, ob die Verbindung von einem Service Provider oder unternehmensintern betrieben wird – die Kontrolle und Handhabung über diese besitzt.

In diesem Fall kann die IT-Sicherheitsabteilung bzw. der Krypto-Officer des Unternehmens bei Bedarf neue Schlüssel zuweisen und bleibt im Bilde über Sicherheitsalarme und -Berichte auf End-to-End-Basis. Das Netzwerk-Management-System hingegen sollte von der Verwaltung der Schlüssel getrennt sein.

Kauft man beispielsweise den verschlüsselten Dienst von einem Service Provider, verwaltet dieser die Verbindungen, ihre Bereitstellung, die Administration und die Störungsbehebung wie bei jedem anderen Dienst. Allerdings hat er keine Kontrolle über die Zuteilung der Schlüssel oder die Wartung. In Abstimmung mit den Unternehmensrichtlinien können neue Kodierungsschlüssel manuell oder automatisch, jeweils über sichere, verschlüsselte Kanäle, in die Verschlüsselungssysteme eingetragen werden.

Fazit

Im laufenden Jahr sind eine bedeutende Anzahl von Hacker-Angriffen auf rund 72 Unternehmen und Organisationen in 14 Länder (darunter Regierungsorganisationen in Kanada und den Vereinigten Staaten, Grossunternehmen und F&E Institutionen) erfolgt. Solche Attacken machen deutlich, dass selbst in derart gesicherten Organisationen häufig Sicherheitslücken bestehen, die Angreifer nutzen können.

Data-In-Flight Verschlüsselungen sollten ein integraler Bestandteil eines ganzheitlichen Sicherheitskonzepts sein. Unternehmen wurden zwar bisher primär im Bereich Server angegriffen, jedoch gilt es die drei Grundelemente – Serversicherheit, Data-At-Rest Verschlüsselung und Data-In-Flight Verschlüsselungen – optimiert und aufeinander abgestimmt zu etablieren.

Daniel Prokop ist Channel Director bei Ciena.

(ID:30456560)