Zonen für Viktor Otto Ida Paula
Von Roland Freist
Bereits seit Jahren haben die Unternehmen die Digitalisierung als eine Notwendigkeit im weltweiten Wettbewerb erkannt. Doch was sich in der Theorie gut anhört, ist in der Praxis oft nur schwierig umzusetzen. Denn die Umstellung auf digitale Technik bringt auch neue Risiken mit sich. Eine der größten Herausforderungen ist die Gewährleistung der IT-Sicherheit – ohne dass die Betriebssicherheit darunter leidet.
Kritische Kommunikation
Sichtbar wird das Dilemma bei großen Unternehmen im Verkehrswesen, etwa bei der Bahn oder an Flughäfen sowie bei Organisationen wie der Polizei oder dem Militär. Sie müssen ihre Kommunikationskanäle einerseits absolut ausfallsicher machen, andererseits müssen sie die Kanäle so absichern, dass andere Personen die übermittelten Nachrichten nicht mitlesen oder mithören können.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilagenreihe „IT-Unternehmen aus Österreich stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Das ist die Spezialität der Frequentis AG, einem österreichischen Unternehmen mit Sitz in Wien. Frequentis begann nach dem Zweiten Weltkrieg als Hersteller von Funkanlagen und Flugsicherungssystemen, unter anderem für Wien-Schwechat. In den 1990er Jahren erweiterte die Firma ihre Aktivitäten und entwickelte Kommunikationssysteme für Einrichtungen der öffentlichen Sicherheit sowie für Bahn- und Schifffahrtsunternehmen. Zu den Kunden zählten in den vergangenen Jahren unter anderem Scotland Yard, die NASA, die deutsche Bundeswehr und die kanadische Küstenwache. Frequentis ist nach eigenen Angaben Weltmarktführer bei Produkten für die Sprachvermittlung zwischen Flugzeug, Bodenkontrolle und Tower, bei der Übermittlung von aeronautischen Daten der Flugsicherungen für Anflugverfahren sowie bei Message-Handling-Systemen, die Daten zwischen den Flugsicherungen austauschen.
Voice over IP ist angreifbar
Wie Frequentis erklärt, haben sich in den vergangenen Jahrzehnten die Herausforderungen etwa bei der Sprachkommunikation an Flughäfen oder im militärischen Bereich deutlich gewandelt. Früher basierten diese Systeme auf proprietärer, von der Außenwelt abgeschotteter Hardware und Software. Die Betreiber mussten sich daher über IT-Risiken kaum Gedanken machen. Denn selbst wenn es eine Verbindung nach draußen gab, so verhinderte die individuelle Architektur der Systeme, dass Angreifer Know-how zu möglichen Verwundbarkeiten aufbauen konnten. Die Sicherheit, welche die Systeme zur Kommunikation zwischen Flugzeug und Tower boten, wurde daher getrennt vom Schutz der IT betrachtet.
Mittlerweile hat sich die Situation gewandelt. Immer mehr Organisationen sind bei der Sprachkommunikation zu IP-basierten Lösungen gewechselt (Voice over IP/VoIP), die mehr Flexibilität und bessere Bedienbarkeit versprechen und gleichzeitig in Anschaffung und Betrieb weniger Kosten verursachen. Diese Systeme haben jedoch einen großen Nachteil: Sie bauen auf Technologien auf, die von Hunderten Millionen Benutzern weltweit eingesetzt werden. Das gibt Angreifern die Möglichkeit, bekannte Schwachstellen auszunutzen, um in die Systeme einzudringen oder sie zu sabotieren. IP-basierte Sprachkommunikation ist ebenso wie andere Computersysteme bedroht durch Malware, gezielte Angriffe krimineller Hacker und externe Ereignisse wie etwa DoS-Attacken (Denial of Service).
Safety oder Security?
Safety und Security der Kommunikationssysteme müssen heute gemeinsam betrachtet werden. Das wirkt zunächst etwas verwirrend, da beide Begriffe im Deutschen für gewöhnlich mit „Sicherheit“ übersetzt werden. Im Englischen gibt es jedoch feine Unterschiede: Safety verwendet man für eine funktionale Sicherheit, die Schutz vor Gefahren verspricht. Ein Beispiel ist die Flugsicherheit, englisch flight safety. In der Industrie betrifft Safety alles von den Stahlkappen bis zum Not-Aus-Schalter. Security meint hingegen den Schutz vor Angriffen. So heißt Grenzsicherheit übersetzt border security, bei der Sicherheit von IT-Systemen, etwa gegen Malware-Befall oder Manipulationen durch Unbefugte, spricht man von IT-Security.
Die Maßnahmen zur Verbesserung von Safety und Security eines Systems können sich unter bestimmten Umständen sogar widersprechen. Wenn etwa interne Regularien den Einsatz nicht getesteter Software untersagen, damit die Betriebssicherheit (operational safety) nicht gefährdet wird, gleichzeitig jedoch ein Patch erscheint, der eine bereits ausgenutzte Sicherheitslücke (security hole) schließt: Wofür soll sich die IT-Abteilung entscheiden? Soll sie die internen Regeln missachten und den Patch installieren, um die Gefahr eines Angriffs zu bannen? Oder soll sie die Sicherheitslücke ignorieren, bis sichergestellt ist, dass der Patch keine negativen Auswirkungen auf die anderen Systeme hat?
Modell gestaffelter Zonen
Frequentis schlägt als Lösung vor, die IT-Infrastruktur in mindestens drei klar definierte Sicherheitszonen einzuteilen: Public, Shared und Private. Die sicherheitskritische Infrastruktur sollte in einer Private-Zone zusammengefasst werden, in der sie von den anderen Zonen isoliert ist. Da auf diese Weise die verwundbaren Stellen nicht oder nur sehr schwer zugänglich sind, ist es möglich, die Hardware und Software in dieser Zone immer erst mit einem gewissen zeitlichen Abstand mit Security-Updates zu versorgen. So kann die IT-Abteilung neue Patches zunächst in Simulationen ausgiebig testen, bevor sie in der Produktivumgebung zum Einsatz kommen. Systeme hingegen, deren Funktionalität weniger sicherheitskritisch sind und die mehr Verbindungen nach außen aufbauen, sind in den Shared- und Public-Zonen gut aufgehoben. In der Praxis nimmt die Private-Zone beispielsweise die Endgeräte der Anwender und die Sprachkommunikationssysteme auf. Switches und Router ordnet man der Shared Zone zu, während der Public-Zone die Service-Provider und die öffentlichen Netzwerke zugeordnet werden.
Die Zuordnung der einzelnen Funktionen und Features zu der jeweils passenden Sicherheitszone sollte auf Basis der Safety- und Security-Bewertungen erfolgen und bereits bei der Planung des Gesamtsystems erfolgen. Im Falle von Rechenzentren ist dabei ein 3D-Modell hilfreich, das später die Basis für einen Digital Twin des Datacenters bildet. Eine solche Lösung hat Rittal Österreich Anfang 2020 vorgestellt. Damit ist es möglich, sozusagen per Joystick durch den Serverraum zu spazieren, die Raumverhältnisse abzuschätzen, die Standorte der Racks zu planen und bereits im Vorfeld die Zuweisung der Hardware zu den verschiedenen Zonen vorzunehmen. Dabei sollten auch gleich Sicherheitsfragen wie der physische Zugang zu den IT-Systemen berücksichtigt werden. Gleichzeitig kann die IT-Abteilung bereits zukünftige Erweiterungen in ihre Überlegungen einbeziehen, die durch die Skalierung der vorhandenen Systeme notwendig werden könnten.
Das Konzept Cybersafety
Aus seiner langen Erfahrung mit Sprachkommunikationssystemen empfiehlt Frequentis die Zusammenfassung von Safety und Security in einem ganzheitlichen Ansatz, den das Unternehmen „Cybersafety“ nennt. Das Konzept dient dazu, das Risiko von sicherheitsrelevanten Vorfällen zu verringern, die dann in der realen Welt Probleme beim Schutz der Kommunikationssysteme nach sich ziehen.
So sollte etwa neben die Planung des physischen Schutzes der IT-Infrastruktur immer auch das Härten der Software und der Netzwerkressourcen treten. Auch das wird im besten Fall bereits bei der Planung im ganzheitlichen Kontext von Cybersafety berücksichtigt. Ein Beispiel: Wenn ein Unternehmen ein Leck bei der Netzwerksicherheit entdeckt, heißt die Standardreaktion, dass der betroffene Netzwerkabschnitt stillgelegt wird. Das beeinträchtigt jedoch oft die Sicherheit und Stabilität der Kommunikationsfunktionen. Das Unternehmen muss daher Prozesse entwickeln, mit denen es Sicherheitsprobleme im Netz finden und analysieren kann, ohne dass die Kommunikationsfunktionalität darunter leidet.
Außerdem sollten sowohl Bewertungen der Safety wie auch der Security erfolgen. Die Beurteilung der Sicherheit eines Systems ist ein proaktiver Ansatz, der Gefahrenanalysen sowie Methoden der Risikobewertung und Risikominimierung verwendet, um möglichen Gefahren vorzubeugen. Die Abschätzung des Schutzlevels eines Systems hingegen führt zu jeweils geeigneten Mechanismen der Zugangskontrolle, damit Vertraulichkeit, Integrität und Authentizität sichergestellt bleiben. Unternehmen sollten sich nicht zuletzt über die Folgen Gedanken machen, die ein Verlust an Vertraulichkeit, Integrität und Authentizität bei ihren Systemen nach sich ziehen würde. Darauf aufbauend lässt sich dann eine direkte Verbindung zwischen den jeweiligen Bewertungen von Safety und von Security herstellen.
Danach lässt sich eine ganzheitliche Beurteilung der Bedrohungen für die Security und der Gefahren für den Schutz der Systeme herleiten, ein sogenannter Sicherheitsnachweis. Er entsteht aus der Zusammenarbeit von Security-Spezialisten und Experten aus dem Sicherheitsbereich und präsentiert eine mit Belegen unterfütterte, strukturierte Argumentation, dass ein System für die sicherheitskritische Kommunikation geeignet ist.
Sichere Sprachkommunikation
Im Ergebnis führt dieser Ansatz dazu, dass die Sprachkommunikation einerseits besser geschützt ist und zum anderen auch bei einem Ausfall der IT der Schutz und die Sicherheit des Systems nicht gefährdet sind. So ist es selbst in sicherheitskritischen Bereichen möglich, kostengünstige Standardsysteme zu verwenden, ohne dabei die potenziellen Nachteile in Kauf nehmen zu müssen.
Roland Freist, Jahrgang 1962, begann nach einem Studium der Kommunikationswissenschaft ein Volontariat beim IWT Verlag in Vaterstetten bei München. Anschließend wechselte er zur Zeitschrift WIN aus dem Vogel Verlag, wo er zum stellvertretenden Chefredakteur aufstieg. Seit 1999 arbeitet er als freier Autor für Computerzeitschriften und PR-Agenturen. Seine Spezialgebiete sind Security, Mobile, Internet-Technologien und Netzwerke, mit Fokus auf Endanwender und KMU.
Redaktionsbüro Roland Freist, Fritz-Winter-Str. 3, 80807 München, Tel.: (089) 62 14 65 84, roland@freist.de
