Um den richtlinienkonformen Informationsaustausch zwischen IT-Netzwerken mit unterschiedlichen Schutzbedarfen oder Vertraulichkeitsstufen zu gewährleisten, reichen klassische IT-Security-Maßnahmen oft nicht aus. Mit dem Konzept des „sicheren Netzübergangs“ existiert ein erweiterter Sicherheitsansatz für die Betreiber sensibler IT-Infrastrukturen.

Besonders im behördlichen und militärischen Bereich gehört der Umgang mit verschiedenen Geheimhaltungsstufen wie etwa „Verschlusssache – Nur für den Dienstgebrauch (VS-NfD)“, „Vertraulich“ oder „Geheim“ zur täglichen Praxis. Ähnliches gilt für den privatwirtschaftlichen Bereich, denn hier spielt die Regelung der Vertraulichkeit – beispielsweise im Rahmen des Wirtschaftsschutzes – ebenfalls eine wichtige Rolle: Geistiges Eigentum oder Geschäftsergebnisse sollen nur einem begrenzten Personenkreis zugänglich sein. Es gilt deshalb, ein unerwünschtes Abfließen unternehmenskritischer Daten, etwa durch eine versehentlich versendete E-Mail, technisch zuverlässig und automatisiert zu verhindern.

Umsetzen lässt sich eine solche Sicherheitsmechanik beispielsweise mit einer übergeordneten Netzsegmentierung auf der Basis spezieller Sicherheits-Gateways: Sogenannte „Security Exchange Gateways“ (SEGs) verbinden zwei Netze mit unterschiedlichen Sicherheitseinstufungen und etablieren so einen sicheren Netzübergang. Indem sie eine Datenklassifizierung und eine Filterung am Perimeter einer Sicherheitsdomäne durchführen, erzwingen sie den richtlinienkonformen Informationsaustausch und schließen so menschliche Fehlleistungen oder Zuwiderhandlungen aus.

Der Begriff Domäne bezieht sich in diesem Zusammenhang nicht zwangsläufig auf einen IT-spezifischen Namens- oder IP-Adressraum, sondern repräsentiert vielmehr einen abgegrenzten Bereich innerhalb von Staaten, Behörden oder sonstigen geschlossenen Benutzergruppen. Sicherheitsdomänen definieren sich über einheitliche personelle, organisatorische und technische Sicherheitsstandards und lassen sich technisch durch geschlossene IT-Architekturen realisieren. Ein solches System kann dabei sowohl aus einem Einzelplatzrechner, einem lokalen Netz oder einem Verbund aus Netz-werken bestehen.

Um die Integrität einer Sicherheitsdomäne zu gewährleisten, übernimmt das SEG die Aufgabe eines IT-gestützten Türwächters: Ähnlich wie bei einer Firewall ist nur eine vorher explizit definierte und als zulässig deklarierte Kommunikation in ein Netz mit abweichender Vertraulichkeit erlaubt (zum Beispiel von „VS-NfD“ zu „Geheim“) – alle anderen Verbindungsaufrufe werden technisch unterbunden und zur späteren Auditierung protokolliert. Der Informationsaustausch zwischen einzelnen Netzsegmenten kann dabei unidirektional oder bidirektional erfolgen. Getrennte Filterketten sorgen hier für eine strikte Trennung der beiden Kanäle, da für den Informationsfluss je nach Kommunikationsrichtung unterschiedliche Sicherheitsanforderungen bestehen können.

Im Gegensatz zu Next-Generation Firewalls (NGFWs), die vorwiegend auf Netzwerkprotokollebene arbeiten, nutzen Sicherheits-Gateways elektronisch signierte „Security-Label“ zur Kommunikationssteuerung. Diese enthalten Metadaten über die Art der Applikation (SMTP, HTTP), die Datenflussrichtung (unidirektional/bidirektional) und den Vertraulichkeitsstatus der zu übertragenden Informationen. Eine Filterstruktur überprüft alle relevanten Parameter am Domänenübergang auf ihre Richtlinienkonformität. Aus Gründen der Prozesstrennung findet dabei jeder Prüfvorgang in einem unabhängigen Filtermodul statt. Ein Filtermodul setzt jeweils eine Sicherheitsrichtlinie oder einen Teil davon durch (zum Beispiel das Überprüfen von Absender und Empfänger einer SMTP-Nachricht). Um komplette Sicherheitsrichtlinien für ein Protokoll oder einen IT-Dienst zu konfigurieren, lassen sich einzelne Filtermodule auch zu logischen Filterketten zusammensetzen und bei Bedarf – etwa bei hohem Datenaufkommen – parallelisiert betreiben.

Ein Beispielfall: Zwischen einem PC-Arbeitsplatz mit der Klassifizierung „Geheim“ (High) und einem Empfänger, der als „VS-NfD“ (Low) eingestuft ist, will man eine sichere E-Mail-Kommunikation etablieren. Aufgrund interner Richtlinien dürfen nur Nachrichten weitergeleitet werden, die als „VS-NfD“ oder „NATO Restricted“ gekennzeichnet sind. Die E-Mail-Kennzeichnung erfolgt mittels Security-Label. Dieses enthält Informationen über die Security-Richtlinie (etwa „NATO“), die Security-Klassifizierung (etwa „Restricted“) und die Security-Kategorie (etwa „Releasable to…“). Das Security-Label ist eine definierte Erweiterung des S/MIME-Standards (Enhanced Security Service) und dient der Ende-zu-Ende-Verschlüsselung sowie der Signatur der E-Mail.

Ein SEG ermöglicht den bidirektionalen hochsicheren Datenaustausch zwischen Netzen mit unterschiedlichem Schutzbedarf. Bild: Airbus Defence & Space CyberSecurity

Der Ablauf gestaltet sich dann wie folgt: Bevor eine Nachricht in ein Netz mit niedriger Sicherheitseinstufung (Low) gesendet wird, verifiziert der Absender diese mit seiner digitalen Signatur. Anschließend wird die Integrität der Nachricht anhand der Signatur geprüft und festgestellt, ob die Nachricht nach dem Absenden manipuliert wurde. Im nächsten Schritt wird geprüft, ob der Absender berechtigt ist, eine Nachricht von High nach Low zu versenden. Die Prüfung erfolgt ebenfalls anhand der digitalen Signatur durch Abgleich mit einer Whitelist. Nun folgt die Überprüfung des Security-Labels anhand der im Gateway gespeicherten Sicherheitsrichtlinie, anschließend eine Bereinigung der E-Mail-Protokollelemente. Dabei lassen sich optionale Protokollelemente entfernen oder durch vordefinierte Werte ersetzen. Diese Maßnahme verhindert, dass in diesen Protokollelementen unbemerkt sensitive Informationen übertragen werden.

Schlägt einer der Prüfvorgänge fehl, bricht das SEG die Kommunikation ab. Das Gateway generiert dann eine Alarm-E-Mail an einen festgelegten Empfänger mit dem Hinweis auf einen Sicherheitsverstoß. Der Absender erhält in solchen Fällen ebenfalls eine Fehlermeldung.

Heute kommen Security Exchange Gateways hauptsächlich im Bereich sensibler Netze der öffentlichen Hand zum Einsatz. Die Verschärfung der allgemeinen IT-Bedrohungslage durch Ransomware und Spearphishing zeigt jedoch, dass gerade im industriellen und privatwirtschaftlichen Umfeld noch wirksame Konzepte zum Aufbau von nachhaltiger IT-Sicherheit fehlen. Hier kann eine Ergänzung klassischer IT-Sicherheitstechniken durch Einsatz von sicheren Netzübergängen zu einer erheblichen Stärkung der allgemeinen IT-Security beitragen – speziell im Zusammenhang mit dem Aufbau einer sicheren E-Mail-Kommunikation. Dies gilt insbesondere für die als kritisch eingestuften nationalen Infrastrukturen der Energie- und Wasserversorgung sowie des Transportwesens.

Horst Pleines ist Project Manager bei Airbus Defence & Space CyberSecurity, www.cybersecurity-airbusds.com/de.