Vor rund drei Jahrzehnten, als ich meine berufliche Laufbahn begann, trat das Thema IT-Sicherheit gerade aus der Nische der akademischen Diskussion und gelangte ins Rampenlicht der Öffentlichkeit. Mit dem Aufstieg des Internets begann die Ära der Verschlüsselungstechnologie – SSL/TLS und IPsec verwenden wir heute wie damals. Die Prinzipien von „CIA“ - Confidentiality (Vertraulichkeit), Integrity (Integrität) und Authenticity (Authentizität) – wurden zu Eckpfeilern in der Welt der Informationssicherheit. Jedoch stolpert deren Anwendung häufig über einen vernachlässigten, vierten Pfeiler: die Resilienz.
Im Laufe der Jahre traf ich immer wieder auf Leute, die sinngemäß behaupteten: „Das sicherste System ist eines, das vom Netzwerk abgekoppelt ist.“ Oder sogar, in Anbetracht der wachsenden Komplexität: „Noch sicherer wäre es, das System gar nicht erst zu betreiben.“ Zweifellos, im Sinne der CIA-Prinzipien, ist das eine unanfechtbare Wahrheit. Allerdings übersehen diese Leute, dass in der echten Welt oftmals eine Abhängigkeit von der Systemverfügbarkeit besteht. Ein Beispiel dafür ist ein Notfallsystem, dessen Ausfall oder Unzugänglichkeit zu schwerwiegenden Risiken führen kann.
Resilienz nicht vernachlässigen
Daher stimme ich meinen Lehrern aus der Studienzeit zu: Eine ausgeklügelte Sicherheitsarchitektur muss sowohl Stabilität als auch Verfügbarkeit garantieren, trotz potenzieller Zielkonflikte. Ein Paradebeispiel für letztere sind die oft langwierigen Prozesse der Sicherheitszertifizierung, die uns vor ein Dilemma stellen: Soll man schnelle Bugfixes durchführen oder den zertifizierten Zustand beibehalten? Hier kommt das Konzept der Fehlertoleranz ins Spiel. Sie ist ein entscheidender Faktor für die Resilienz, wenn zum Beispiel Alternativlösungen bereitgestellt werden, die bei Systemausfällen eine Basiskonstellation gewährleisten. Ein bekanntes Anwendungsgebiet ist die Raumfahrt, wo bedeutende Ressourcen in Fehlertoleranz investiert werden. Die Höhe unserer Sicherheitsinvestitionen sollte stets dem Wert des zu schützenden Guts entsprechen.
Doch manchmal ist es gerade die Resilienz unserer wichtigsten Infrastrukturen, die im Wirbel der Digitalisierung vernachlässigt wird. Die Angriffe auf das Kabelnetz der Deutschen Bahn 2022 haben gezeigt, dass wir unsere Schutzmaßnahmen überdenken müssen, vor allem im Kontext möglicher Sabotageakte. Es ist notwendig, in robustere Netzwerke und stärkere Protokolle zu investieren. Das Internet, das trotz lokaler Ausfälle und trotz der in einigen Ländern stattfindenden politischen Zentralisierung zu Überwachungszwecken robust bleibt – eben weil es prinzipiell dezentral ist –, dient hierbei als Vorbild. Bei der Vernetzung Kritischer Infrastrukturen sollte dies berücksichtigt werden.
Robust durch dezentrale Ansätze
VPNs sind häufig das Mittel der Wahl, um die CIA-Prinzipien in öffentlichen, paketvermittelten Netzen zu realisieren, wobei IPsec für hohe Sicherheit sorgt. IPsec hat nur einen Haken: Sein Design führt oft zu statischen Konfigurationen, die bei Ausfällen Probleme verursachen können. Daher braucht es automatisierte Ansätze, um bei Ausfall oder Kompromittierung einzelner Verbindungen flexibel agieren und die Sicherheit aufrechterhalten zu können.
Interessanterweise basieren viele der aktuellen Netzwerk-Trends wie das Software-Defined Networking (SDN) auf zentralisiertem Wissen, was sie anfälliger für Störungen macht. Einst dezentrale Routing-Protokolle werden nun von zentralen „Controllern“ und Richtliniendurchsetzungen kontrolliert. Wissen sollte im Netzwerk jedoch im Sinne der Resilienz vollständig dezentral verteilt sein. Die Richtliniendurchsetzung kann ebenfalls dezentral implementiert werden, wobei es zweifellos ratsam ist, übergeordnete Richtlinien zentral zu erstellen und zu managen. Unsere Untersuchungen zu sicheren SDN/SDWAN-Konzepten bestätigen die Machbarkeit dieses Ansatzes.
Allerdings ist die Netzwerkschicht nur eine Facette: Wenn wir uns auf Anwendungsebene umsehen, stellen wir fest, dass monolithische Anwendungsdesigns zu hohen Verfügbarkeitsanforderungen und komplexen Backup-Lösungen geführt haben. Mit dem Aufkommen der Cloud-Technologie und Microservices verabschieden wir uns von monolithischen Entwürfen zugunsten flexiblerer und widerstandsfähigerer Anwendungskonzepte. Resilienz bedeutet nämlich nicht Alles-oder-Nichts, sondern die Erhaltung der Funktionalität. Es geht um die Verteilung von Konnektivität, Daten und Arbeitslasten. Obwohl Edge-Clouds viel Potenzial bieten, sind wir noch stark auf zentralisierte Rechenzentren und wenige Cloud-Anbieter angewiesen.
Zielbild „Virtuelle Private Cloud“
Selbstverständlich bedingt ein Modell der verteilen Arbeitslast auch neuartige Prinzipien in der Sicherheitstechnologie. Alles basiert auf virtualisierten Infrastrukturen (Speicher, Netzwerk, Rechenleistung) – im Grunde auf der Cloud. Diese Infrastruktur muss über Sicherheitsmaßnahmen verfügen, um eine sichere Verschiebung von Microservices zu ermöglichen. Es wäre ungünstig, plötzlich festzustellen, dass mein k8s-Container unvermittelt auf einem Rechner in einem unsicheren Land läuft, genauso wenig wie meine sensiblen IP-Pakete ungeschützt und im Klartext durch unsichere Telekommunikationsnetzwerke geleitet werden sollten.
Hierfür existieren VPNs, allerdings brauchen wir heute auch so etwas wie eine „Virtuelle Private Cloud“, die kryptographisch erzeugt, dezentralisiert und robust ist. Wir sind noch nicht am Ziel, aber wir haben bereits einen Anfang gemacht. Die Bausteine hierfür sind bereits vorhanden und werden stetig verbessert: sichere Virtualisierungsoptionen und dynamische, skalierbare VPNs, sowie sichere Mandantentrennung.
Lassen Sie uns also diese Reise beginnen, indem wir unsere umfangreichen Kenntnisse in der Sicherheitstechnologie nutzen und stets daran denken: Verfügbarkeit und Resilienz sind entscheidende Sicherheitsziele. Es gilt, sie mit den klassischen CIA-Zielen zu vereinen.
Kai Martius ist Chief Technology Officer von Secunet Security Networks.
