Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) brechen nicht nur für Anwender und Rechenzentren, sondern auch für Netzwerke neue Zeiten an. Der besondere Schutz personenbezogener Daten gilt nicht nur für solche, die sich auf Massenspeichern befinden, sondern auch für sogenannte „In-Flight“-Daten.

Aus den Schutzzielen ergibt sich die Verpflichtung, sowohl Rechenzentren als auch die Übertragungswege zu sichern. Viele Unternehmen müssen ihr Sicherheitskonzept in der Informationstechnik daher überdenken. Unterbleibt dieser Schritt, sind hohe Strafen fällig, die die Existenz des Unternehmens ernsthaft gefährden könnten – maximal 20 Millionen Euro oder bis zu vier Prozent des Bruttoumsatzes stehen auf dem Spiel. Im Vergleich zur alten Gesetzgebung, die Verstöße mit maximal 300.000 Euro ahndete, sind dies völlig andere Größen.

Hauptsache verschlüsselt

Da Daten prinzipiell auch während des Transports lesbar sind – und dies ist bei einer Übertragung per Glasfaser relativ einfach –, müssen sie dauerhaft verschlüsselt sein. Die Verschlüsselung von „At-Rest“- und „In-Flight“-Daten erfordert eine Lösung, die die Einhaltung der DSGVO gewährleistet. Bedienungsfehler sind jedoch nicht ausgeschlossen, auch wenn die permanente Verschlüsselung nicht deaktiviert werden kann und ständig läuft. Eine ständig laufende Verschlüsselung führt jedoch bisweilen zu einem geringeren Datendurchsatz.

Unternehmen verwenden oft eine Verschlüsselung auf Layer 2, 3 oder höher. Dann kommen protokollspezifische Stand-alone-Verschlüsselungs-Appliances zum Einsatz, die die Latenz deutlich erhöhen und sich negativ auf die Bandbreiteneffizienz auswirken. Abhängig von der Größe des Frames der verschlüsselten Daten kann bei der Verwendung einer L2- oder L3-Verschlüsselungslösung eine erhebliche Menge an Bandbreite verloren gehen. Im Durchschnitt kann der Durchsatz bei Verwendung von IPSec zur Verschlüsselung von Daten etwa 80 Prozent betragen.

Die Wahl einer hardwarebasierenden Layer-1-Lösung verhindert dies dagegen durch einen 100-prozentigen Durchsatz. Auf diese Weise kann die Verschlüsselung praktisch ohne Geschwindigkeitsverlust erfolgen. Experten empfehlen einen ganzheitlicher Ansatz: Das umfassende Sicherheitsmodell basiert dann im Wesentlichen auf drei Säulen, die die Vertraulichkeit, Integrität und Verfügbarkeit der Daten im Netzwerk gewährleisten.

Eine der Säulen ist die Vertraulichkeit der Datenübertragung im Netz. Um dies effektiv umzusetzen, sollte ein mehrschichtiges Sicherheitskonzept zum Einsatz kommen. Die erste Sicherheitsmaßnahme betrifft die Transportebene, die die Daten, so wie sie sind, in den Glasfasernetzen übermittelt. Um den Schutz der Daten auf dem Weg durch das Netzwerk zu gewährleisten, müssen Datenpakete auf dieser Ebene verschlüsselt sein. Mit diesem Basisschutz fällt es Cyberkriminellen schwerer, an die Informationspakete zu kommen. Dazu müssen diese In-Flight-Daten allerdings vom Sender bis zum Empfänger vollständig verschlüsselt sein.

Vertraulichkeit des Netzwerks

Ein Sicherheitskonzept sollte sich jedoch nicht ausschließlich auf die Verschlüsselung dieser Ebene konzentrieren. Eine weitere wichtige Strategie zur Verbesserung der Vertraulichkeit ist der Einsatz von virtualisierten Sicherheitslösungen der nächsten Generation im Netzwerk. Dies erfordert eine flexible und offene Infrastruktur, die die Bereitstellung virtualisierter Funktionen wie Firewalls und Intrusion Detection mit Deep Packet Inspection (DPI) bis hin zum virtualisierten Identity- und Access-Management unterstützt. Darüber hinaus können alternatives Routing und der Einsatz von Honeypot-Servern die Sicherheit erhöhen. Natürlich muss sichergestellt sein, dass die Infrastruktur so ausgelegt ist, dass alle Funktionen des virtuellen Netzwerks optimal aufeinander abgestimmt sind.

Schließlich sollten die Schutzmaßnahmen auch wirksame Authentifizierungs- und Autorisierungsdienste umfassen, die den Zugriff auf die angeschlossenen Geräte kontrollieren. Zukünftig werden auch weitere Methoden der Mensch-zu-Maschine-Authentifizierung ihren Weg in die Praxis finden.

Um echte Datenintegrität im Netzwerk zu erreichen, muss ein Netzbetreiber darauf achten, dass die Kernelemente seines Netzwerks in einem vertrauenswürdigen Zustand arbeiten. Damit die Integrität der übertragenen Daten gewährleistet ist, sollten Unternehmen darauf achten, dass Netzbetreiber und ihre Geschäftspartner, mit denen sie Informationen austauschen, über sichere und gut dokumentierte Lifecycle-Management-Prozesse und -Verfahren verfügen, die Komponentenbeschaffung und -herstellung, Netzwerkdesign, Bereitstellung und Betriebsabläufe umfassen. Um ein Höchstmaß an Datenschutz zu gewährleisten, sollten unabhängige Dritte in der Lage sein, diese Prozesse in puncto Einhaltung der neuesten Vorschriften zu überprüfen.

Netzverfügbarkeit

Gemäß der DSGVO muss ein Verantwortlicher technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung vorweisen. Dazu gehört im weitesten Sinne selbstverständlich auch der Betrieb einer stabilen Infrastruktur. Ein stabiles Netz ist nach Artikel 32, der die Sicherheit der Verarbeitung verlangt, unabdingbar. Er bezieht sich unter anderem auf „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ (Zitat Artikel 32 b) und „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“ (Artikel 32 c) sowie auf „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (Artikel 32 d).

Dies hat zur Folge, dass nicht nur die korrekte Funktion der Komponenten eines Rechenzentrums sichergestellt sein muss. Vielmehr muss auch die Netzinfrastruktur so gewählt sein, dass eine einwandfreie Bearbeitung der Daten möglich ist. In diesem Rahmen spricht der Gesetzgeber auch von Verhältnismäßigkeit, was bedeutet, dass kleine Vereine oder Handwerksbetriebe keine hochkomplexen Architekturen etablieren müssen – jedoch bedeutet dies auch, dass Großunternehmen, die personenbezogene Daten verarbeiten, eine ausreichend dimensionierte Struktur aufweisen müssen. Dies betrifft insbesondere Bereiche, die sehr intensiv mit personenbezogenen Daten arbeiten, beispielsweise Energieversorger, Versicherungen, Banken, der medizinische Sektor oder Handelsplattformen im Internet.

Zur Erfüllung der DSGVO gehört im weitesten Sinne auch der Betrieb einer stabilen Infrastruktur, hier Equipment für die WDM-Technik. Bild: Ciena

Es gilt etwa, die Datenverfügbarkeit erhalten zu können und die Daten bei Verlust oder technischen Problemen wiederherstellen zu können. Dadurch soll unter anderem erreicht werden, dass personenbezogene Daten nicht versehentlich an den falschen Adressaten geraten oder im Netzwerk „verloren“ gehen. Auch soll dies als vorbeugende Maßnahme gegen einen Datenverlust bei Cyberattacken oder Naturkatastrophen dienen.

Dazu müssen Unternehmen eine vollständig redundante Infrastruktur bereitstellen. Daher sollten alle Komponenten wie Prozessoren, Switch Fabrics oder die Stromversorgung redundant ausgelegt sein, um sicherzustellen, dass der Verkehr bei Bedarf auf eine alternative Infrastruktur umleitbar ist und die Primärpfade so schnell wie möglich automatisch wiederhergestellt werden.

Darüber hinaus kann eine erweiterte Netzwerkanalyse anomale Netzwerkverhaltensweisen erkennen und so Administratoren in die Lage versetzen, schneller auf Cyberattacken zu reagieren. Durch verbesserte Kapazitätsplanung, vorbeugende Wartung und rechtzeitige Fehlerbehebung trägt das Netzwerk dann zum Schutz personenbezogener Daten bei.

Verschlüsselung im Netzwerk auf Layer 1

Ein wirksames Mittel, um Daten im Netzwerk zu verschlüsseln, ist die Verwendung einer optischen Layer-1-Verschlüsselungslösung, die sich durch umfangreiche Einsätze weltweit bewährt hat. Die Funktionen sind direkt in die Netzelemente des Transportnetzes integriert. Dies macht die Netzwerke weniger komplex, da die verschiedenen Verschlüsselungslösungen für verschiedene Anwendungen keine separate Verwaltung benötigen. Eine solche Lösung sollte von externen Institutionen validiert und zertifiziert werden, um sicherzustellen, dass immer standardisierte Algorithmen und Sicherheitsfunktionen implementiert werden.

Mervyn Kelly ist Marketing Director bei Ciena EMEA, www.ciena.com.