Sicherheitsmaßnahmen für anwendungskritische Kommunikationsnetze

14. Dezember 2016

In einem umfassenden IT-Sicherheitskonzept müssen sowohl zukunftsfähige Verschlüsselungslösungen als auch Informations- und IT-Security-Standards berücksichtigt werden

In den Mission-Critical-Kommunikationsnetzen von Stadtwerken, Energieversorgern, Eisenbahnen oder Behörden ist Sicherheit eine Grundvoraussetzung. Da es die Betreiber solcher kritischer Infrastrukturen mit einer wachsenden Zahl von Angriffen, Manipulations- und Spionageversuchen zu tun haben, sollten sie wirksame Schutzvor-kehrungen treffen. KEYMILE skizziert einen Drei-Punkteplan für einen höheren Schutz.

Aus dem seit Juli 2015 geltenden IT-Sicherheitsgesetz ergeben sich für die Betreiber von anwendungskritischen Kommunikationsnetzen hohe Anforderungen. Eine davon ist eine hochsichere Datenübertragung, die unter anderem durch eine Verschlüsselung gewährleistet werden kann. Weitere, dazu komplementäre Maßnahmen hat KEYMILE, ein führender Anbieter von Lösungen für die anwendungskritische Kommunikation, in einem Drei-Punkteplan zusammengefasst.

1. Daten verschlüsseln und Absender im Transportnetz authentifizieren.
Gerade dort, wo langjährig im Einsatz befindliche TDM-basierte Kommunikationsnetze und -systeme schrittweise um zukunftsfähige IP-Lösungen erweitert oder ersetzt werden, haben es die Betreiber mit neuen Herausforderungen zu tun. Sie müssen sowohl die Bestandssysteme als auch neue IP-basierte Systeme in einem IT-Sicherheitskonzept berücksichtigen. Dieses Sicherheitskonzept für Mission-Critical-Kommunikationsnetze sollte höchste Anforderungen hinsichtlich Vertraulichkeit, Integrität und Sicherheit der übertragenen Daten sowie Verfügbarkeit der eingesetzten Systeme erfüllen – umgesetzt in einem Information-Security-Management-System (ISMS). Eine verschlüsselte Datenübertragung sowie wirksame Authentifizierungs- und Autorisierungsmechanismen sind dabei erforderlich.

2. Eine zukunftsfähige Verschlüsselungslösung einsetzen.
Um die Sicherheit in anwendungskritischen Kommunikationsnetzen zu steigern, sollten sich die Betreiber mit der Verschlüsselung des Datenverkehrs befassen und diese als integralen Bestandteil einer Ende-zu-Ende-Lösung für das ISMS implementieren. Die Datenübertragung in paketbasierten Transportnetzen sollte nur verschlüsselt erfolgen. Eine entscheidende Rolle spielen dabei die verwendeten Zufallszahlen für die Schlüsselgenerierung. Im Unterschied zu mathematisch erzeugten Zufallszahlen erzeugt ein hardwarebasierter Quantenzufallszahlengenerator (QRNG, Quantum Random Number Generator) tatsächlich hochsichere, zufällige Schlüssel und nutzt dabei elementare quantenoptische Prozesse als Quelle wahrer Zufälligkeit. Photonen (Lichtteilchen) werden einzeln auf einen halbtransparenten Spiegel geschickt und detektiert. Die exklusiven Ereignisse (Reflektierung oder Weitergabe) sind mit „0" oder „1" als Bitwert verknüpft. Solche Quantenprozesse ermöglichen eine sofortige und unerschöpfliche Entropie.

Durch eine Verschlüsselung des Netzverkehrs zwischen Layer 2 und Layer 3 lassen sich zwei Vorteile im Vergleich zu einer reinen Layer-3-Verschlüsselung erzielen: erstens kommt es zu keinem Bandbreitenverlust durch Overhead und zweitens beträgt die Latenzzeit wenige Mikrosekunden statt Millisekunden. Die Kombination aus einer hardware- und softwarebasierten Verschlüsselungslösung gewährleistet eine höhere Sicherheit und ist zudem zukunftssicher. Mit programmierbaren FPGAs (Field Programmable Gate Array) lässt sich eine Lösung besser an individuelle Anforderungen anpassen, sie kann erweitert und aktualisiert werden und ist damit auch über einen Zeitraum von vielen Jahren einsatzfähig.

3. Information Security gestützt auf internationale Standards
Geht es um eine hohe Datensicherheit, sind in vielen Fällen Informations- und IT-Security-Standards wie ISO 27001, ISO 27002, SANS 20, IEC 62443 oder NERC CIP gefragt. Gleichzeitig werden diese Normen zentrale Bestandteile des neuen IT-Sicherheitsgesetzes, das für Versorger und Betreiber von kritischen Infrastrukturen gilt. Folgerichtig sieht das Gesetz im Rahmen der Umsetzung auch die Etablierung eines Informationssicherheits-Management-Systems vor, das beispielsweise die DIN ISO/IEC 27001 erfüllt. Einige Unternehmen im Einzugsbereich des IT-Sicherheitsgesetzes haben bereits mit den Vorarbeiten für eine Zertifizierung begonnen, andere werden bald folgen. Für die Kunden von Energieversorgern und Eisenbahnen ist dies ein wichtiges Signal, dass ihr Dienstleister die notwendigen Maßnahmen zur Einhaltung und ständigen Verbes-serung der Informationssicherheit ergreift.

„Als kompetenter Berater mit langjähriger Erfahrung im Bereich der Mission-Critical-Kommunikationsnetze orientiert sich KEYMILE am Konzept der „Trusted Security“, denn Sicherheit ist eine Sache des Vertrauens. Im Rahmen von „Trusted Security“ forscht, entwickelt und produziert KEYMILE in Deutschland sowie in der Schweiz. Das Konzept beinhaltet die Einhaltung höchster Sicherheitsanforderungen, zertifizierte Mitarbeiter, ein zentrales Management der Datenübertragungssysteme sowie den Einsatz von Verschlüsselungstechnologien. Die KEYMILE-Systeme erfüllen die relevanten branchenspezifischen Normen und entsprechen gleichzeitig den hohen Anforderungen von Betreibern anwendungskritischer Netze in Bezug auf hohe Verfügbarkeit und geringe Wartung,“ sagt Rouven Flöter, Business Incubator für Security bei KEYMILE. „Auf Anfrage bietet KEYMILE die Einsicht in den Quellcode der Verschlüsselungskarte SECU1 an. Durch den Einsatz programmierbarer FPGAs und hardwarebasierter Zufallszahlengeneratoren erzielen wir eine hohe Flexibilität sowie Sicherheit im Betrieb. Unsere Verschlüsselungslösung lässt sich problemlos updaten und bietet so eine langfristige Investitionssicherheit.“

LinkedInTwitterGoogle+facebookXingE-Mail
 

Mehr Informationen finden Sie auf unserer Cyber-Security-Microsite.

Erfahren Sie mehr über die hybride Multi-Service-Zugangs- und Transport-Plattform XMC20 für anwendungskritische Kommunikationsnetze

Über KEYMILE
KEYMILE ist ein technologisch führender Anbieter von Telekommunikationslösungen mit Hauptstandorten in Deutschland und der Schweiz. Die von KEYMILE entwickelten und produzierten Systeme werden für die sichere und deterministische Datenübertragung in den unternehmenskritischen Telekommunikationsnetzen von Bahnen, Energieversorgern, Öl- und Gas-Anbietern und staatlichen Institutionen eingesetzt. Zur Sicherung der Datenübertragung arbeitet KEYMILE mit modernsten Sicherheits- und Verschlüsselungskonzepten. Die gleichzeitige Verfügbarkeit von IP/Ethernet- und TDM-Technologie gewährleistet eine reibungslose Evolution zur paketbasierten Datenübertragung. Öffentliche Netzbetreiber nutzen die Produkte für die Bereitstellung von Teilnehmeranschlüssen mit höchster Bandbreite und für die Implementierung einer wertschaffenden Open-Source-Breitbandarchitektur. KEYMILE unterstützt seine Kunden zudem mit einer Vielzahl von lösungsbezogenen Dienstleistungen. Das Unternehmen ist weltweit mit Tochterfirmen und Partnern vertreten und kann auf Systeminstallationen in mehr als 100 Ländern verweisen.

KEYMILE auf XING: http://www.xing.com/companies/keymilegmbh
KEYMILE auf LinkedIN: http://www.linkedin.com/company/keymile

Zurück zur Übersicht