Layer-2- vs. Layer-3-Kryptografie
Verschlüsseltes schneller übertragen
Rechenzentren gleichen heute Hochsicherheitstresoren. Die Datenverbindungen zwischen den Rechenzentren erreichen hingegen meist nicht annähernd deren Schutzniveau. Die Anfälligkeit gegenüber Hackerangriffen ist hoch - dabei reicht bereits ein IT-Basisschutz für stabile, leistungsstarke und vor allem geschützte Datenverbindungen aus.
Daten, die über das Internet wandern, sind oft nur unzureichend oder überhaupt nicht geschützt. Was privat oft einfach toleriert wird, kann bei Verlust sensibler Daten für Unternehmen existenzbedrohend sein. Nicht nur das Mitlesen übertragener Inhalte kann gravierende Folgen haben. Auch können Hacker bei ungesicherten Netzen nicht-authentische Daten in den Transfer einspeisen oder die Datenübertragung stören.
Das Problem: Je größer die Entfernungen zwischen Servern und Endgeräten oder Servern und Backup-Rechenzentren sind, desto schwieriger wird ein nachhaltiger Schutz der Daten während der Übertragung. Das gilt nicht nur für Datentransfers über öffentliche Netze, sondern bereits bei Verbindungen, die zwar durch private Leitungen, aber über öffentlichen Grund und Boden laufen. Denn die vorhandene Netzwerkinfrastruktur ist oft veraltet und mit geringem Aufwand und unverdächtigem Standardwerkzeug angreifbar.
Es bedarf also einer hochsicheren Verschlüsselung des Datenverkehrs zwischen Server und Rechenzentrum. Die Herausforderung: Das kryptografische Verfahren muss schnell und effizient sein. Denn Big Data ist für Unternehmen ein wichtiger Schlüssel zum Erfolg. Hochgeschwindigkeits-Datennetze müssen deshalb auch unter strengsten Sicherheitsvorkehrungen tatsächlich hohe Geschwindigkeiten ermöglichen. Aber auch der Bedarf an großen, georedundanten Speicherkapazitäten steigt durch Big Data beständig. Die Menge an Daten und Informationen bringt also besondere Anforderungen an die Schutzmaßnahmen mit sich.
Anwendungsszenario entscheidet
Ein wichtiger Faktor für eine effiziente und sichere Lösung ist die Wahl der Netzwerkschicht. Eine Verschlüsselung ist prinzipiell in jedem Layer möglich. Web-Browser bieten beispielweise TLS-Verschlüsselung auf Layer 4 und darüber an, um maximal anwendungsunabhängig und interoperabel zu sein. Allerdings ist der Aufbau von TLS-gesicherten Verbindung auf Servern rechenintensiv - starke Leistungseinbußen drohen. Zudem kann eine Kryptografie auf Layer 4 nicht den gesamten Datentransfer und diesen lediglich zwischen zwei Endgeräten verschlüsseln. Ein umfassender Schutz auf TLS-Basis ist daher nur schwer zu realisieren und damit wenig praktikabel.
Es bedarf also einer Verschlüsselung in tieferen Schichten. Die Auswahl der Netzwerkschicht richtet sich nach den konkreten Leistungsanforderungen und dem individuellen Schutzbedarf des Anwenders. Standard ist bislang eine Verschlüsselung auf Layer 3 (IP-Schicht). Ein hohes Sicherheitsniveau bietet beispielsweise die IPSec-Verschlüsselung, sofern sie mit einer vertrauenswürdigen Technik umgesetzt ist. Kryptografie auf der IP-Schicht kann man nicht nur für einzelne Protokolle und Anwendungen, sondern für den gesamten Datenverkehr auf Layer 3 nutzen. Damit eröffnen Ansätze wie IPSec Unternehmen die Möglichkeit zum Aufbau echter privater Netze.
Der Nachteil: Die Verschlüsselung auf Layer 3 ist komplex und mit einem hohen Administrationsaufwand verbunden. Das Beispiel IPSec verdeutlicht, dass diese Ansätze mit einer enormen Overhead-Belastung einhergehen können. Die Folge sind Bandbreiteneinbußen je nach den aktuell laufenden Anwendungen. Ein weiterer Nachteil: Die Auswertung und Verarbeitung der jeweiligen Sicherheitsinformationen kann viel Zeit kosten. Dies erhöht die Latenz und schränkt die Performance gegenüber unverschlüsselter Übertragung ein. Die Folge: Der theoretisch erreichbare Verbindungsdurchsatz wird nicht erreicht. Das kann das Aus für verteilte Speichersysteme (SAN, NAS) bedeuten. Auch VoIP-Anwendungen und Media-Streamings wie beispielsweise Videoübertragungen sind damit nicht mehr möglich.
Damit ist eine Verschlüsselungslösung auf Layer 3 zwar für Geräte im IoT- und Industrie-4.0-Umfeld grundsätzlich geeignet. Für Unternehmen, die einen hohen Datendurchsatz bei geringer Latenz benötigen, sind Ansätze wie IPSec jedoch nicht das Mittel der Wahl. Insbesondere in kritischen Infrastrukturen ist eine Hochverfügbarkeit durch Leitungsredundanz und Vollvermaschung erforderlich. Zwar gibt es bereits Verschlüsselungslösungen auf Layer 3 mit hoher Bandbreite und geringer Latenz; allerdings können Angreifer hier Informationen über die Infrastruktur, beispielsweise IP-Adressen, weiterhin ausspähen.
Schneller Basisschutz auf Layer 2
Entscheidend für Unternehmen und Behörden mit diesen Anforderungen ist Verschlüsselungstechnik, die die Daten vor Angriffen schützt und gleichzeitig einen hohen Datendurchsatz ermöglicht. Eine sichere Übertragung zwischen zwei oder mehr Standorten erfolgt daher idealerweise über eine Layer-2-Verschlüsselung. Denn diese Ethernet-Verschlüsselung bietet mit den Möglichkeiten zur Vollvermaschung und Gruppenverschlüsselung die größte Ausfallsicherheit. Der Grund: Jede Station kann mit den anderen Standorten verbunden sein. Ist eine Verbindung nicht verfügbar, lässt sich der Datenverkehr umleiten - die Resilienz (Störungsunanfälligkeit) des Netzes steigt.
Die Ethernet-Verbindung zeichnet sich allerdings nicht nur durch Leistungsstärke und Schnelligkeit aus. Zugleich ist hier für die Verschlüsselung der Metadaten der Kommunikationspartner gesorgt, die Daten sind somit für Angreifer unlesbar. Außerdem ist eine Verschlüsselung auf Layer 2 für den Datenverkehr auf den darüber liegenden Schichten transparent. Dadurch gibt es keine negativen Effekte wie beispielsweise Latenzen, die die Qualität von IP-Telefonie oder Videoübertragungen beeinträchtigen.
Ein weiterer wesentlicher Vorteil gegenüber IPSec-basierten Lösungen ist die bessere Bandbreitennutzung, denn der Verschlüsselungs-Overhead ist um bis zu 40 Prozentpunkte geringer. Dies erhöht den Datendurchsatz deutlich. Auch sind die Kryptolatenzen gegenüber den Leitungslaufzeiten vernachlässigbar. Damit lassen sich zum Beispiel im Behördenumfeld auch VoIP, Videoübertragungen oder Site-to-Site-Sicherungen für Daten betreiben, die als VS-NfD eingestuft sind (Verschlusssache - Nur für den Dienstgebrauch). Mögliche Payload-Durchsatzraten von 10 bis 40 GBit/s pro Gerät stehen hier den in der Praxis weniger leistungsstarken Layer-3-Lösungen gegenüber.
Allerdings müssen Unternehmen, die auf eine Ethernet-Verschlüsselung setzen, diese bereits zu Beginn ihrer Netzplanung berücksichtigen. Denn um auf Layer 2 verschlüsseln zu können, bedarf es eines entsprechenden Ethernet-Zugangs: Anders als bei Layer-3-Verschlüsselungslösungen ist im WAN die direkte Kommunikation zwischen zwei Standorten per Ethernet nicht immer ohne Weiteres möglich. Der (Kosten-)Aufwand für die Anbindung lohnt sich für Unternehmen und Behörden, die den Gesamtdatenverkehr bei hohem Durchsatz und geringer Latenz abdecken wollen. Ist dies nicht gefordert, kann der Aufbau einer Layer-3-basierten Absicherung der richtige Ansatz sein.
Hardware nicht vergessen
Nicht nur die übertragenen Daten müssen vor Spionage geschützt sein: Auch die Firmware, Gerätehardware oder die Management-Systeme sind grundsätzlich Ziele von Manipulation. Mit steigender Professionalisierung der Angreifer steigt auch die Wahrscheinlichkeit erfolgreicher und gleichzeitig unbemerkter Angriffe. Die CPU-Schwachstellen Spectre und Meltdown haben in der jüngeren Vergangenheit gezeigt, welche umfassenden Probleme zu lösen sind. Um solche Szenarien gar nicht erst entstehen zu lassen, müssen Firm- und Gerätehardware über Mechanismen zur Erkennung von Angriffen auf Sicherheitsfunktionen verfügen. Auch eine Notabschaltung sollte bereits integriert sein.
Beim Umgang mit kritischen Daten ist die Nutzung geprüfter Produkte empfehlenswert. Mit Netzwerkverschlüsslern, die das BSI (Bundesamt für Sicherheit in der Informationstechnik) für die VS-NfD- und NATO-Restricted-Daten zugelassen hat, sind auch Behörden und Verwaltungen bestens gerüstet.
Lesen Sie mehr zum Thema
