In den Mission-Critical-Kommunikationsnetzen von Stadtwerken, Energieversorgern, Eisenbahnen oder Behörden ist Sicherheit eine Grundvoraussetzung. Da es die Betreiber solcher kritischer Infrastrukturen mit einer wachsenden Zahl von Angriffen, Manipulations- und Spionageversuchen zu tun haben, sollten sie wirksame Schutzvorkehrungen treffen. KEYMILE skizziert einen Drei-Punkte-Plan für einen höheren Schutz.
Aus dem seit Juli 2015 geltenden IT-Sicherheitsgesetz ergeben sich für die Betreiber von anwendungskritischen Kommunikationsnetzen hohe Anforderungen. Eine davon ist eine hochsichere Datenübertragung, die unter anderem durch eine Verschlüsselung gewährleistet werden kann. Weitere, dazu komplementäre Maßnahmen hat KEYMILE, ein führender Anbieter von Lösungen für die anwendungskritische Kommunikation, in einem Drei-Punkte-Plan zusammengefasst.
- Daten verschlüsseln und Absender im Transportnetz authentifizieren
Gerade dort, wo langjährig im Einsatz befindliche TDM-basierte Kommunikationsnetze und -systeme schrittweise um zukunftsfähige IP-Lösungen erweitert oder ersetzt werden, haben es die Betreiber mit neuen Herausforderungen zu tun. Sie müssen sowohl die Bestandssysteme als auch neue IP-basierte Systeme in einem IT-Sicherheitskonzept berücksichtigen. Dieses Sicherheitskonzept für Mission-Critical-Kommunikationsnetze sollte höchste Anforderungen hinsichtlich Vertraulichkeit, Integrität und Sicherheit der übertragenen Daten sowie Verfügbarkeit der eingesetzten Systeme erfüllen – umgesetzt in einem Information-Security-Management-System (ISMS). Eine verschlüsselte Datenübertragung sowie wirksame Authentifizierungs- und Autorisierungsmechanismen sind dabei erforderlich.
- Eine zukunftsfähige Verschlüsselungslösung einsetzen
Um die Sicherheit in anwendungskritischen Kommunikationsnetzen zu steigern, sollten sich die Betreiber mit der Verschlüsselung des Datenverkehrs befassen und diese als integralen Bestandteil einer Ende-zu-Ende-Lösung für das ISMS implementieren. Die Datenübertragung in paketbasierten Transportnetzen sollte nur verschlüsselt erfolgen. Eine entscheidende Rolle spielen dabei die verwendeten Zufallszahlen für die Schlüsselgenerierung. Im Unterschied zu mathematisch erzeugten Zufallszahlen erzeugt ein hardwarebasierter Quantenzufallszahlengenerator (QRNG, Quantum Random Number Generator) tatsächlich hochsichere, zufällige Schlüssel und nutzt dabei elementare quantenoptische Prozesse als Quelle wahrer Zufälligkeit. Photonen (Lichtteilchen) werden einzeln auf einen halbtransparenten Spiegel geschickt und detektiert. Die exklusiven Ereignisse (Reflektierung oder Weitergabe) sind mit „0″ oder „1″ als Bitwert verknüpft. Solche Quantenprozesse ermöglichen eine sofortige und unerschöpfliche Entropie.
Durch eine Verschlüsselung des Netzverkehrs zwischen Layer 2 und Layer 3 lassen sich zwei Vorteile im Vergleich zu einer reinen Layer-3-Verschlüsselung erzielen: erstens kommt es zu keinem Bandbreitenverlust durch Overhead und zweitens beträgt die Latenzzeit wenige Mikrosekunden statt Millisekunden. Die Kombination aus einer hardware- und softwarebasierten Verschlüsselungslösung gewährleistet eine höhere Sicherheit und ist zudem zukunftssicher. Mit programmierbaren FPGAs (Field Programmable Gate Array) lässt sich eine Lösung besser an individuelle Anforderungen anpassen, sie kann erweitert und aktualisiert werden und ist damit auch über einen Zeitraum von vielen Jahren einsatzfähig.
- Information Security gestützt auf internationale Standards
Geht es um eine hohe Datensicherheit, sind in vielen Fällen Informations- und IT-Security-Standards wie ISO 27001, ISO 27002, SANS 20, IEC 62443 oder NERC CIP gefragt. Gleichzeitig werden diese Normen zentrale Bestandteile des neuen IT-Sicherheitsgesetzes, das für Versorger und Betreiber von kritischen Infrastrukturen gilt. Folgerichtig sieht das Gesetz im Rahmen der Umsetzung auch die Etablierung eines Informationssicherheits-Management-Systems vor, das beispielsweise die DIN ISO/IEC 27001 erfüllt. Einige Unternehmen im Einzugsbereich des IT-Sicherheitsgesetzes haben bereits mit den Vorarbeiten für eine Zertifizierung begonnen, andere werden bald folgen. Für die Kunden von Energieversorgern und Eisenbahnen ist dies ein wichtiges Signal, dass ihr Dienstleister die notwendigen Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit ergreift.
„Als kompetenter Berater mit langjähriger Erfahrung im Bereich der Mission-Critical-Kommunikationsnetze orientiert sich KEYMILE am Konzept der „Trusted Security“, denn Sicherheit ist eine Sache des Vertrauens. Im Rahmen von „Trusted Security“ forscht, entwickelt und produziert KEYMILE in Deutschland sowie in der Schweiz. Das Konzept beinhaltet die Einhaltung höchster Sicherheitsanforderungen, zertifizierte Mitarbeiter, ein zentrales Management der Datenübertragungssysteme sowie den Einsatz von Verschlüsselungstechnologien. Die KEYMILE-Systeme erfüllen die relevanten branchenspezifischen Normen und entsprechen gleichzeitig den hohen Anforderungen von Betreibern anwendungskritischer Netze in Bezug auf hohe Verfügbarkeit und geringe Wartung“, sagt Rouven Flöter, Business Incubator für Security bei KEYMILE. „Auf Anfrage bietet KEYMILE die Einsicht in den Quellcode der Verschlüsselungskarte SECU1 an. Durch den Einsatz programmierbarer FPGAs und hardwarebasierter Zufallszahlengeneratoren erzielen wir eine hohe Flexibilität sowie Sicherheit im Betrieb. Unsere Verschlüsselungslösung lässt sich problemlos updaten und bietet so eine langfristige Investitionssicherheit.“
