Sicherheit von LWL-Netzen:
Hacker bringen Glasfasernetze zum »Sprechen«
Glasfasernetze sind das bevorzugte Transportmedium in Backbone-Netzwerken oder wenn um die Kopplung von Rechenzentren geht. So nahmen Anfang Juni die Hochleistungsrechenzentren der TU Dresden und der TU Bergakademie Freiberg eine 100-Gigabit-Strecke in Betrieb, die eine Entfernung von 60 Kilometern überbrückt. Wenig bekannt in der Öffentlichkeit ist dagegen die Anfälligkeit von LWL für Abhörattacken.
Glaserfaserstrecken kommen immer dann zum Einsatz, wenn Anwender besonders hohe Anforderungen in Bezug auf Rechenleistung – und Sicherheit haben. Neben den Hochleistungsrechenzentren von Forschungsinstituten sind Großkonzerne, Finanzinstitute, Industrie-, Telekommunikations- oder Chemieunternehmen typische Nutzer von Glasfasernetzen.
Nur scheinbar sicher: Auch Glasfaserstrecken lassen sich relativ einfach anzapfen.
Für optische Übertragungssysteme sprechen etliche Punkte: der hohe Datendurchsatz, die niedrigen Latenzzeiten, außerdem die hohe Skalierbarkeit und Kompatibilität. Hinzu kommt der Faktor Wirtschaftlichkeit: Der Austausch großer Datenmengen in Echtzeit zwischen mehreren Standorten lässt sich über Glasfaserleitungen am preisgünstigsten abwickeln.
Über Lichtwellenleiter laufen Video- und Sprachinformationen. Hinzu kommen Backup- und Disaster-Recovery-Daten, die unter Einhaltung von Compliance- und Best-Practice-Vorgaben über separate Speichermedien übertragen werden.
Schwachstelle Verteilerkästen
Viele Netzwerk- und Sicherheitsverantwortliche unterschätzen jedoch das Risiko, dem vertrauliche Informationen durch Angriffe auf optische Datenleitungen ausgesetzt sind. Angreifer können sich beispielsweise über Spleiß-Stellen, die nur ungenügend geschützt sind, Zugang zum Glasfasernetz verschaffen.
Verteilerkästen mit solchen Spleiß-Stellen sind entlang der gesamten Übertragungsstrecke zu finden. Darin befinden sich Verstärker, welche die Signale auffrischen, wenn sie über größere Distanzen übertragen werden.
Normalerweise werden die Kästen nur für Wartungsarbeiten geöffnet. Hier sind die einzelnen Fasern der Kabel verspleißt und einzelne Leitungen eines Kabelbündels markiert. Hat sich ein Angreifer Zugang zu einem solchen Verteilerkasten verschafft, hat er leichtes Spiel.
Angriffsszenarien
Es gibt unterschiedliche Methoden, um Informationen in Glasfasernetzen heimlich abzugreifen. Diese »Optical Tapping Methods« gefährden das allein in Deutschland 340.000 Kilometer große Glasfasernetz.
Mittels Fiber-Tapping kann in eine LWL-Strecke ein Analyse-System eingeklinkt werden. Einige Verfahren arbeiten berührungslos, sprich verletzen den LWL nicht.
Angriffsszenario Nummer eins ist der Zugriff über die fest eingebauten Zugangspunkte eines Glasfasernetzes. Provider nutzen diese Y-Bridges eigentlich zur Erkennung und Beseitigung von Störungen. Verschaffen sich Angreifer über die Y-Bridges Zugang zu einer Glasfaserstrecke, können sie die Lichtsignale mitlesen, indem sie ein Empfangsgerät zwischen Sender und Empfänger schalten.
Als zweite Angriffsmöglichkeit kommt das Biegen der Glasfaser in Frage. Ein kleiner Prozentsatz des Lichts wird dabei ausgekoppelt, ohne die Glasfaser zu verletzen. Jetzt müssen Mitlauscher das Signal mithilfe von Empfängern nur noch verstärken, digital umwandeln und die abgehörten Daten aufzeichnen.
Während des gesamten Lauschangriffes bleibt der Netzwerkbetrieb störungsfrei. Nur eine minimale Veränderung des Nutzsignals ist technisch nachweisbar. Diese Abhörtechnik ist sogar kostengünstig, denn Spezialtechnik benötigen die Angreifer nicht. Bei Wartungstechnikern gehören solche Geräte zur Standardausrüstung, um den Zustand und die Funktion von Lichtwellenleitern zu überprüfen.
Auffangen von Streulicht
Eine dritte Möglichkeit erlaubt es, den direkten Kontakt mit der Datenleitung komplett zu vermeiden. Bei jedem Glasfaserkabel treten minimale Lichtmengen seitlich aus dem Kabel aus, und empfindliche Fotodetektoren können diese Rayleigh-Streuung auffangen.
Die Carrier wissen um diesen Streueffekt und gleichen den Verlust auf langen Übertragungsstrecken aus, indem sie die Signale verstärken. In gleicher Weise gehen auch Angreifer vor. Die nunmehr lesbaren Informationen werten sie über Packet-Sniffer aus.
Diese Geräte zeichnen Nutzdaten auf und analysieren sie in Echtzeit. Anhand bekannter IP-Adressen oder Schlüsselbegriffe lassen sich so auch große Datenmengen auf verwertbare Informationen wie Passwörter, Projekt-, Kunden- oder Personendaten durchforsten.
Daten-Highway mit Sicherheitsrisiko
Die Gefahr solcher Angriffe ist hoch, denn optische Glasfaserkabel haben sich als Standardtechnologie für den verzögerungsfreien Transport großer Datenmengen über weite Entfernungen etabliert. Inzwischen sind mehrere Fälle bekannt geworden, bei denen Glasfaserverbindungen abgehört wurden.
So starteten unbekannte Eindringlinge unweit der Finanzmetropole Frankfurt am Main einen Abhörversuch auf drei Hauptverbindungen und wollten den über Glasfaserleitungen laufenden Datenverkehr mitschneiden. Ein anderer Lauschangriff auf die US-amerikanische Supermarktkette Hannaford zog den Diebstahl von circa 4,2 Millionen Kreditkartendaten nach sich. Kein Wunder also, dass die National Association of Manufacturers (NAM) als größter Industrieverband in Nordamerika den optischen Datenklau als reale Gefahr bewertet.
Wirtschaftsspionage leicht gemacht
NAM-Fachleute mutmaßen, dass das Anzapfen von Glasfaserleitungen eine weit verbreitete Methode zur Wirtschaftsspionage ist. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). sieht Handlungsbedarf, weil Glasfaserübertragungswege nicht abhörsicher sind.
In einer aktuellen IDC-Studie fragt der Analyst Romain Fouchereau provokativ, ob die vermeintliche Sicherheit in optischen Glasfasernetzen nicht nur eine optische Täuschung sei. Schließlich eile Glasfasernetzen in der öffentlichen Wahrnehmung fälschlicherweise immer noch der Ruf voraus, die schnellste, zuverlässigste und sicherste Technologie zu sein, um Daten zwischen verschiedenen Netzwerken auszutauschen.
Fouchereaus Fazit: »Dieser Ruf hat sich als falsch erwiesen, denn neue und kostengünstige Technologien haben es Hackern ermöglicht, auf einfache Art und Weise Daten zu stehlen.«
Durch Verschlüsselung Dunkel ins Licht bringen
Alle Unternehmen und Organisationen, die vertraulichen Informationen über Glasfasernetze verschicken, müssen sich der Gefahr durch Abhörtechnik bewusst sein. Best-Practice-Vorgaben für das Banken- und Versicherungsumfeld sowie andere Branchen empfehlen daher, den Transport sensibler Informationen grundsätzlich durch starke Verschlüsselung zu schützen. Das verlangen mittlerweile zahlreiche Regelwerke wie SOX, PCI-DSS, Basel II oder Datenschutzrichtlinien
Im Rahmen einer Information-Risk-Management-Strategie sind Verschlüsselungsverfahren wie AES (Advanced Encryption Standard) mit Schlüssellängen bis zu 256 Bit die bevorzugte Art, um sensible Daten zu schützen.
Verschlüsselte Datentransporte über öffentliche Leitungen, bei denen keine zusätzlichen Managementkosten durch Installations- und Konfigurationsarbeiten oder das Anpassen an Unternehmensnetze anfallen, berücksichtigen dabei neben Sicherheitsaspekten auch die Wirtschaftlichkeit.
Lösungen von Info Guard
Die Entwicklung und Implementierung von Verschlüsselungslösungen für optische Glasfasernetze ist somit ein wichtiger Nischenmarkt in der Netzwerksicherheitsbranche. Das Schweizer Unternehmen Info Guard AG [1] zählt als spezialisierter Anbieter zu diesem Marktsegment und konzentriert sich auf die kryptographische Absicherung hochsensibler Umgebungen im Banken-, Industrie- und Dienstleistungsumfeld.
Verschlüsselungssysteme wie das EG1 von Info Guard sichern den Datenverkehr, der über Glasfasern läuft.
Das Unternehmen bietet Verschlüsselungsplattformen mit Übertragungsraten von bis zu 10 GBit/s für Links und zeitkritische Anwendungen an. Die Chiffriergeräte zum Schutz von Gigabit-Ethernet-, Fibre-Channel-, FICON-, Fast-Ethernet- und E1-Verbindungen kommen ohne Zusatzinformation zur Übermittlung oder Speicherung aus und lassen sich in die bestehenden Netzwerktopologien integrieren.
Durch starke und overhead-freie Verschlüsselung schützen sie die Lichtsignale vor fremden Blicken und bringen gewissermaßen Dunkel ins Licht.
Der Autor: Leonhard Zilz ist Sales Director Europe Central & East bei der Info Guard AG.
[1] http://www.infoguard.com/
- 1. Seite: Hacker bringen Glasfasernetze zum »Sprechen«
- 2. Seite: Daten-Highway mit Sicherheitsrisiko
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Google bessert bei Betriebssystem nach
Google hat in den USA mit dem Verteilen eines neuen Updates von Android 4.0 begonnen. Ob die neue Version 4.0.4 auch in Deutschland erscheint, ist unklar.
Infor bringt Software für mobile Lösungen auf den Markt
Der amerikanische Softwarehersteller Infor verschafft mit einer Cloud-Plattform nun auch unterwegs Zugang zu seinen betriebswirtschaftlichen Back-End-Lösungen. Außerdem gibt es dazu passende mobile Applikationen.
» Bundesliga-Tippspiel 2011
