Datensicherheit ist das A und O im Internet - vor allem, wenn es um den Austausch besonders sensibler Informationen wie Gesundheitsdaten geht. Das Internetprotokoll SCION kann hier Abhilfe schaffen.
Das Border Gateway Protocol (BGP) in Verbindung mit dem Internet Protocol (IP) ist der etablierte Ansatz für das Routing zwischen verschiedenen Netzwerken. Allerdings bietet BGP kaum Schutz gegen verschiedene Angriffsarten.
(Bild: KanawatTH - stock.adobe.com)
"Die Bedrohungslage im Cyber-Raum ist so hoch wie nie zuvor". Zu diesem Schluss kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht 2023. Spätestens seit dem Beginn des russischen Angriffskrieges gegen die Ukraine ist zumindest das Bewusstsein dafür gewachsen, dass die Grundarchitektur des Internets einige empfindliche Schwachstellen aufweist und über diese sehr leicht angreifbar ist. Dennoch werden namhafte Unternehmen täglich von Hackern angegriffen. Besonders gefährlich wird es, wenn es um den Austausch sensibler Informationen wie Gesundheits- oder Bankdaten geht.
Das Problem: Die Grundlagen des Internets stammen noch aus dem letzten Jahrhundert. Es wurde im Geiste der damaligen Zeit entwickelt und seither nicht grundlegend überarbeitet. Insbesondere das essenzielle Routing Protokoll (Border Gateway Protocol – BGP) bietet Angriffspunkte für verschiedene Angriffsszenarien. Die ETH Zürich hat deshalb bereits vor einigen Jahren mit SCION (Scalability, Control, and Isolation on Next-Generation Networks) eine sichere, flexible und kostengünstige Alternative zum BGP entwickelt, die viele Angriffspunkte adressiert und so den Datenaustausch über das Internet deutlich sicherer macht. In einem Pilotprojekt haben Detecon Alpine, Anapaya Systems und Swisscom die Implementierung und die Schutzmöglichkeiten dieses Protokolls getestet und vielversprechende Ergebnisse erzielt.
Schwächen des etablierten BGP- und IP-Ansatzes im Internet-Routing
Das BGP in Verbindung mit dem Internet Protocol (IP) ist der etablierte Ansatz für das Routing zwischen verschiedenen Netzwerken, wie wir es kennen. Jedes Netzwerk wird dabei als autonomes System (AS) bezeichnet, und der Router eines Netzes ermöglicht seinen Clients die Kommunikation mit anderen Netzen über eine eindeutige AS-Nummer (ASN).
Jedoch bietet BGP kaum Schutz gegen verschiedene Angriffsarten. So kann ein fremder Router durch sogenanntes BGP-Hijacking unberechtigterweise vorgeben, für eine bestimmte ASN zuständig zu sein. Das führt dazu, dass der Datenverkehr, der für Webseiten wie etwa Google bestimmt ist, auf unerwünschte Wege umgeleitet wird. Angreifer können so Daten abfangen oder den Nutzern manipulierte Webseiten anzeigen.
Im Laufe der Zeit wurden zwar Erweiterungen für BGP entwickelt, um die Sicherheit zu erhöhen. Diese verlangsamen das Protokoll allerdings erheblich. Deshalb werden sie oft nicht genutzt, wodurch die Netze anfällig für Angriffe bleiben.
Herausforderung: Sicherheit in der vernetzten Welt
Private und öffentliche Organisationen sind jedoch auf zuverlässige Datenübertragungswege angewiesen. Diese über private Netze zu realisieren ist zwar sicher, aber auch teuer und unflexibel. Nutzt man hingegen das günstigere und flexiblere Internet können Angriffe wie BGP-Hijacking oder DDoS-Attacken die Verfügbarkeit und Performance kritischer Systeme beeinträchtigen. Um diesen Herausforderungen zu begegnen, ist eine sichere Internetarchitektur notwendig. SCION adressiert diese Anforderungen, indem es sichere Kommunikationswege für Organisationen schafft und gleichzeitig die Flexibilität und Offenheit des öffentlichen Internets bewahrt.
SCION wurde ursprünglich von Prof. Adrian Perrig an der ETH Zürich entwickelt. Im Rahmen einer erfolgreichen Pilotphase, wurde eine sichere Internetverbindung zwischen den Schweizer Botschaften in Berlin und Seoul sowie dem Eidgenössischen Departement für auswärtige Angelegenheiten in Bern hergestellt. Seitdem hat sich SCION einen festen Platz im Lösungsspektrum für sichere Kommunikation erschlossen. Die Ergebnisse bestätigen, was SCION verspricht: mehr Sicherheit, höhere Zuverlässigkeit und Pfadkontrolle für Endsysteme, die bisher nur über teure dedizierte Netze verfügbar waren.
Mehr Verlässlichkeit und Kontrolle
Das Protokoll ermöglicht es Unternehmen, geschützte Communities zu bilden, in denen sich streng vertrauliche Daten sicher austauschen lassen, ohne dass Unbefugte darauf zugreifen können: Durch eine geschickte Wahl des Pfades besteht die Möglichkeit, ein Geo Fencing zu aktivieren, das den Datenverkehr auf ein bestimmtes geografisches Gebiet beschränkt. Außerdem lassen sich die Verbindungen so konfigurieren, dass die Resilienz eines Netzes deutlich erhöht wird. Dies geschieht durch die – im Vergleich zu BGP – kürzen Umschaltzeiten zwischen verfügbaren Pfaden im Netz. Damit erhöht SCION nicht nur die Sicherheit und Geschwindigkeit im Netz, sondern auch die Verfügbarkeit von Applikationen, die ein SCION basiertes Netz nutzen. Und da ein solches SCION-Netzwerk im Internet nicht sichtbar ist, ist ein DDOS-Schutz inhärenter Bestandteil der Lösung: Was man nicht sehen kann, ist nur schwer angreifbar.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Skalierbarkeit über ISDs
Ein zentrales Konzept von SCION ist die Einführung so genannter Isolation Domains (ISD). Eine ISD besteht aus mehreren Netzwerken, sogenannten Autonomous Systems (AS), die zusammen eine gemeinsame Vertrauensbasis bilden. Innerhalb einer ISD verwenden die Netze eine gemeinsame Zertifizierungsstelle, um den Datenverkehr kryptographisch zu signieren. Anhand dieser Signaturen kann der Empfänger eines Pakets überprüfen, ob das Paket den vorgesehenen Weg genommen hat und ob es unterwegs verändert wurde. Diese Vertrauensbasis, auch Root of Trust genannt, wird innerhalb jeder ISD aufgebaut und benötigt keine globale vertrauenswürdige Instanz.
Neben der Pfadkontrolle bietet SCION auch die Möglichkeit, mehrere Pfade gleichzeitig zu verwenden. Dieses Multipathing hat mehrere Vorteile. Zum einen können vorhandene Bandbreitenressourcen im Internet besser genutzt werden. Zum anderen erlaubt das Protokoll ein sehr schnelles Umschalten bei Ausfall einzelner Pfade.
Einsatz in der Praxis
SCION bietet eine Reihe von Vorteilen wie Effizienz, Flexibilität, Verfügbarkeit und Sicherheit gegen Angriffe, die auf einem Netzwerkverbund wie dem Internet basieren. Die Sicherheit eines öffentlichen SCION Netzwerkes entspricht annähernd der eines privaten Netzes und dank der eingebauten DDoS-Abwehrmechanismen ist die Wirtschaftlichkeit ein zusätzlicher Vorteil.
Das Protokoll wird heute vor allem zur sicheren Vernetzung von Schweizer Banken eingesetzt (Swiss Secure Finance Network). Neben dem Bankensektor können aber auch viele andere kritische Infrastrukturen von den Vorteilen von SCION profitieren: zum Beispiel im Energie- oder Transport-, oder Gesundheitswesen. Und auch die Gaming- und VR/AR-Industrie würde von der latenzarmen Kommunikation profitieren. Darüber hinaus unterstützt SCION die ESG-Bemühungen (Environmental, Social and Corporate Governance) eines Unternehmens, mit der Funktion, den CO2-Fußabdruck eines Pfades abzuschätzen und diesen durch entsprechende Pfadwahl zu reduzieren.
Zukunftsweisende Lösung, die es zu fördern gilt
Das SCION-Protokoll bietet eine zukunftsweisende Lösung für den sicheren und flexiblen Datenaustausch innerhalb geschlossener Interessengruppen. Die erfolgreiche Implementierung zeigt, dass SCION eine zuverlässige Alternative zu herkömmlichen privaten Netzwerken darstellt. Durch die Förderung sicherer Kommunikationswege stärkt das Internetprotokoll die Cybersicherheit und ermöglicht es Organisationen, sensible Daten sicher zu übertragen und ihre Geschäftskontinuität zu gewährleisten. Natürlich erhöht SCION die Komplexität der bestehenden Internetinfrastruktur. Umso mehr hängt der Erfolg von einer schnellen und breiten Akzeptanz ab. Denn nur durch eine umfassende, weltweite Verbreitung können die Vorteile der Technologie voll zum Tragen kommen.
Über die Autoren
Dr. Ralf Helbig ist Managing Director der Detecon (Schweiz) AG sowie der Detecon Consulting Austria GmbH. Nach seiner Habilitation in Unternehmensführung und Prozessmanagement an der Universität Bonn, wo er heute als Privatdozent für Unternehmensführung und Geschäftsprozessmanagement tätig ist, kam er zu Detecon. Seitdem bringt er seine Expertise in Digital- und IT-Strategie-Projekten vor allem in den Branchen Pharma, Telekommunikation, Transport und Logistik einbringen.
Stefan Berg ist verantwortlich für das Security Consulting bei Swisscom und war in früheren Funktionen für die Implementierung von SCION im B2B Wireline Portfolio sowie für die Weiterentwicklung der Swisscom Strategie für Geschäftskunden zuständig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ba/28/ba28c91b25b40b9f89d386958ec01793/0124967859v1.jpeg "Wenn es um die Sicherung von Unternehmens- und Kunden-Assets geht, die durch das Entschlüsseln heutiger Kryptographieverfahren zugänglich werden, stellen sich viele Verantwortliche taub und blind. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/44/fa/44fa43e7bc83d074f5f004e348c622fe/0126745744v2.jpeg "ZTNA-Lösungen bieten identitäts- und kontextbasierte Zugriffe und machen so den unsicheren VPN-Fernzugriff überflüssig. (Bild: © Vladimir - stock.adobe.com)")