Zeit für eine Veränderung der ­Netzwerksicherheit

Ursprünglich wurde das Internet nicht als sicheres Netzwerk konzipiert. Die darunterliegenden Technologien sind über 30 Jahre alt und stossen allmählich an ihre Kapazitäts- und Skalierungsgrenzen. Es gab (und gibt) immer wieder Versuche, die Sicherheit über Anpassungen an Protokolle zu erhöhen, jedoch sind diese Verbesserungen lediglich punktuell und adressieren nur spezifische Angriffsszenarien.

Mit der zunehmenden Vernetzung und den Abhängigkeiten vom Internet ist auch die Angriffsfläche gewachsen. Täglich werden mehr Angriffe auf Unternehmen, öffentliche Einrichtungen, staatliche Institutionen und kritische Infrastrukturen gemeldet. Das Problem liegt nicht an der Internettechnologie selbst, sondern der Funktionsweise. Das Internet ist ein öffentliches Netzwerk, wodurch Dienste, die ins Internet gestellt werden, für alle Teilnehmenden sichtbar und zu einfachen Angriffszielen werden. Hinzu kommen zahlreiche unsichere und noch immer unverschlüsselte Protokolle, schlecht gewartete Software sowie regelmässig zu patchende Sicherheitslücken. Das zugrundeliegende Routing-Protokoll BGP ist ebenfalls ein beliebtes Angriffsziel. BGP-Hijacking, -Leaking, DDoS-Angriffe und IP-Spoofing treten täglich tausendfach auf, und obwohl die Auswirkungen meist nur regional spürbar sind, verursachen sie für die Betroffenen dennoch teils erheblichen Schaden. Um diesen Problemen entgegenzuwirken, wurde in über zehn Jahren Forschungsarbeit an der ETH Zürich die Internetarchitektur SCION (Scalability, Control and Isolation on Next-Generation Networks) entwickelt. Das Ziel: Sämtliche Nachteile der BGP-basierten Internettechnologie beseitigen.

Die Funktionsweise von SCION

Das SCION-Netzwerk besteht aus verschiedenen untereinander verbundenen Isolation Domains. Eine Isolation Domain (ISD) bildet eine geschlossene, logische Gruppierung mehrerer Autonomous Systems (AS). Die ISD isoliert die Routing Plane von der Data Plane und wird von einer Gruppe von AS, die den ISD Core bilden, administriert. Diese Gruppe definiert eine Trust Root Configuration (TRC). Die TRC spezifiziert die primären AS für die ISD, enthält die Root-Zertifikate und definiert die Control Plane­ Policy, also die Regeln innerhalb der ISD.

Ein SCION AS besteht aus mehreren Komponenten, die teilweise zusammengefasst werden können. Ähnlich wie in herkömmlichen Netzwerken gibt es interne Netze für die lokale Kommunikation, Router, Gateways und Control Services. Die Control Services implementieren die SCION Control Plane, die das Erstellen und Verwalten der einzelnen Pfadsegmente übernimmt und das Routing kryptografisch absichert. Diese Services laufen entweder auf dedizierten Hosts oder direkt auf den SCION-Routern. Die SCION-Router sind für die Implementierung der Data Plane verantwortlich und befinden sich in der Regel am Rande des AS, um Peering-Verbindungen mit anderen SCION-Anbietern aufzubauen oder verschiedene AS zusammenzufassen. Die Data Plane wiederum setzt die einzelnen Pfadsegmente zu einem End-to-End-Pfad zusammen und übernimmt das Paket-Forwarding. Dabei enthält jedes Datenpaket im Header den gesamten Pfad sowie den entsprechenden Payload. Der Router leitet die Pakete basierend auf den Header-Informationen entlang der AS-Pfade weiter. Um die Kommunikation von IP-basierten Endgeräten über SCION zu ermöglichen, sind zusätzliche IP-Gateways erforderlich. Diese verpacken den IP-Verkehr in SCION und stellen so die Brücke zwischen IP und SCION her, damit alle Anwendungen und Geräte über das SCION-Netzwerk miteinander kommunizieren können.

Um Teil einer ISD zu werden, benötigt ein AS ein von der ISD anerkanntes Zertifikat. Dieses stellt sicher, dass nur vertrauenswürdige Teilnehmende innerhalb der ISD kommunizieren können. Dadurch wird das AS gewissermassen unsichtbar für den Rest des Internets und die Angriffsfläche nahezu auf null reduziert. Dies spart nicht nur Nerven, sondern auch teure Investitionen in Schutzmechanismen. Die SCION-Architektur bietet noch weitere Vorteile wie die vollständige Pfadkontrolle. Dabei entscheidet der Sender, über welchen Pfad innerhalb des SCION-Netzwerks ein Ziel erreicht werden soll. Die Entscheidungen können auf Basis von Bandbreite, Verbindungskosten, geografischen oder gar CO2-Attributen getroffen werden.

Da die Kommunikationsbeziehungen meist unternehmenskritisch sind und Ausfälle finanzielle Schäden verursachen können, spielt die Verfügbarkeit eine entscheidende Rolle. Im SCION-Netzwerk sind sämtliche Pfade ­entweder als Backup oder aktiv nutzbar. Das SCION-Protokoll gewährleistet über den Pfaderkennungs­mechanismus, dass alle möglichen End-to-End-Pfade bekannt sind und entsprechend den Vorgaben der Pfadkontrolle genutzt werden können. Sollte ein Pfad etwa aufgrund eines Ausfalls nicht mehr verfügbar sein, wird innerhalb kürzester Zeit ein alternativer Pfad gewählt.

Vorteile für alle Unternehmen

Dank der hohen Vertrauenswürdigkeit der Teilnehmenden profitieren alle Unternehmen vom Schutz, können Kosten reduzieren und sich auf ihr Kerngeschäft konzentrieren. Statt teure Leased Lines oder MPLS-Leitungen zu installieren, kann über einen einfachen IP-Transportlink, auf dem SCION aktiviert ist, eine sichere und zuverlässige Verbindung mit anderen Teilnehmenden hergestellt werden. Dabei sind die Möglichkeiten nicht nur auf Partner beschränkt, die bereits Teil einer SCION ISD sind. Es gibt mittlerweile ausreichend technische Optionen, um Services innerhalb einer SCION ISD zur Verfügung zu stellen und über das klassische Internet zugänglich zu machen.

SCION wird derzeit im Schweizer Finanzwesen umgesetzt. Bis September 2024 müssen sämtliche Verbindungen, die bisher über das Finance IPNet liefen, auf SCION umgestellt werden. Dafür wurde das Secure Swiss Finance Network (SSFN) als dedizierte ISD aufgebaut. Der Umstieg trägt dazu bei, die Kommunikation der gesamten Branche abzusichern und die Verfügbarkeit zu erhöhen. Die nächste Branche, die auf SCION setzen wird, ist das Gesundheitswesen. Der Aufbau des HIN-Vertrauensraums (kurz HVR) zielt darauf ab, sämtliches Personal im Gesundheitswesen, einschliesslich Spitäler, Arztpraxen, Versicherungen und Anwendungsanbieter, über SCION anzubinden. Dadurch werden äusserst sensible Daten und kritische Infrastrukturen, die vermehrt Ziel von Angriffen wurden, vor unbefugtem Zugriff und Angriffen geschützt. Die jüngsten Angriffe auf die SBB, den Bund und externe Dienstleister des Bundes haben erwartungsgemäss dazu geführt, dass weitere Branchen im öffentlichen Sektor und Betreiber kritischer Infrastrukturen diesen Weg einschlagen und ihre Infrastrukturen sowie Services über SCION absichern werden. Unternehmen ausserhalb dieser Sektoren können aber dennoch von den Vorteilen von SCION profitieren, indem sie sich über die öffentliche Swiss ISD an SCION anbinden. Dafür benötigen sie ein entsprechendes Zertifikat und mindestens eine Verbindung über einen SCION-aktivierten Uplink. Die Aufwände und Kosten dafür sind überschaubar. Unternehmen benötigen einen oder mehrere ISP-Verbindungen (die von den meisten gros­sen Anbietern in der Schweiz angeboten werden) und ein passendes Endgerät – entweder als Hardware-Appliance oder virtuelle Maschine mit entsprechender Software. Die In­frastruktur für die Anbindung an SCION können die Unternehmen entweder selbst bereitstellen und betreiben oder an ihren Anbieter für Netzwerk- und Sicherheitsdienste auslagern.

SCION ist eine geprüfte Technologie, die zunehmend in vielen Sektoren eingesetzt wird. Die Verbreitung braucht Zeit, aber schreitet voran. Unternehmen können sich beim eigenen ISP über eine Anbindung an die Swiss ISD erkundigen oder mit Service- und Security-Providern sprechen, um erste Schritte zur Migration einfacher oder kritischer Services zu planen. Die Einführung von SCION bietet zukunftsgerichtete Netzwerksicherheit und vielfältige Verfügbarkeitsvorteile, von denen alle Unternehmen profitieren können und sollten, um ihre Cybersicherheit nachhaltig zu erhöhen.