Gläserne Leitung Glasfaser-Netzwerke sind verletzlicher als oft
gedacht
Ordnungsmerkmale
erschienen in: <kes> 2007#6, Seite 14
Rubrik: Bedrohung
Schlagwort: Glasfaser-Netzwerke
Zusammenfassung: Neue Übertragungsverfahren
erfordern zwar andere Angriffstechniken, schließen Angriffe aber nicht
aus. Auch die Datenübertragung über Glasfasern ist – entgegen vielfach
verbreiteter Meinung – nicht vor Lauschangriffen gefeit.
Autor: Von Thomas Meier, Zug (CH)
Nicht jedes Vorurteil ist ablehnend geprägt:
Der Irrglaube, dass optische Glasfaserleitungen abhörsicher seien, hält
sich hartnäckig – und ist nicht minder falsch wie die vor einigen Jahren
gängige Meinung, ISDN sei anders als analoge Telefonie nicht anzuzapfen.
Das US-amerikanische F.B.I. beziffert den mutmaßlichen Schaden durch
Mithörer am Glasfaserkabel allein in den Vereinigten Staaten von Amerika
auf jährlich bis zu 20 Milliarden US-Dollar. Dessen ungeachtet setzen
auch Banken, Versicherungen, Unternehmen und öffentliche Verwaltungen
moderne Glasfasernetze als Backbone oft ohne zusätzliche Sicherungen
ein, weil häufig das Risiko durch digitale Lauschangriffe unterschätzt
wird.
Geschwindigkeit, Kapazität und
Wirtschaftlichkeit der Glasfaserleitungen haben die Nachfrage rapide
steigen lassen – über 300 Millionen Kilometer Glasfaserkabel liegen
heute rund um den Erdball. Der private wie professionelle
Informationsaustausch über die unterschiedlichsten Netzwerke und immer
bandbreitenintensivere Dienste wären ohne Zugangsnetze mit breitbandiger
Technik schon lange nicht mehr darstellbar. Die Kapazitäten der
optischen Kernnetze werden jetzt schon für das zukünftige Datenaufkommen
vorbereitet: Ende 2006 wurden zum ersten Mal außerhalb des Labors
Datenmengen von 107 Gigabit pro Sekunde rein elektrisch verarbeitet und
auf einer 160 Kilometer langen Glasfaserstrecke übertragen. Auch in
Zukunft bleibt das Glasfaserkabel damit aller Voraussicht nach das
wichtigste Übertragungsmedium für Hochgeschwindigkeitsnetze.
SAN, MAN, WAN
Aufgrund des hohen Datendurchsatzes sind
Storage Area Networks (SAN) als Infrastruktur für die Sicherung großer
Datenmengen ein Anwendungsbeispiel, in dem digitale Informationen über
Glasfaserverbindungen laufen. Backup- und Disaster-Recovery-Daten werden
in der Regel über Lichtleiter auf separate Speichermedien übertragen.
Damit setzen Firmen Best-Practise-Kriterien um und berücksichtigen
Compliance-Anforderungen – spezielle Sicherheitsmechanismen innerhalb
dieser Netze sind jedoch selten anzutreffen.
Auch in Metropolitan Area Networks (MAN) mit
einer Ausdehnung von bis zu 100 Kilometern ist der Austausch großer
Datenmengen in Echtzeit zwischen mehreren Bürozentren nur über optische
Übertragungswege machbar. Bei der Verbindung verschiedener Standorte in
städtischen Ballungsgebieten sind Bandbreiten von einem Gigabit pro
Sekunde die Regel, um die Datenflut durch E-Mails, hochauflösende Bilder
oder E-Business-Systeme in den Griff zu bekommen, die für den täglichen
Geschäftsbetrieb heute notwendig sind.
Und nicht zuletzt die Anbindung einzelner
Filialen an den Firmenhauptsitz erfolgt ebenfalls vielerorts über
optische Glasfasernetze. Technisch gesehen handelt es sich hier um Wide
Area Networks (WAN), die mehrere lokale Netze per "Fernleitung"
verbinden. Ein solcher IT-Verbund ermöglicht den Einsatz
gemeinschaftlich genutzter ERP-Systeme und E-Business-Applikationen
sowie von IT-Systemen für die Zeitwirtschaft, die Entgeltabrechnung oder
die Erfassung von Stamm- und Personaldaten.
Lauscher am Glas
Glasfasernetze sind dabei alles andere als
eine unüberwindliche Schwelle für Angreifer. In vielen
Hochgeschwindigkeits-Glasfasernetzen besteht daher erheblicher
Nachholbedarf, damit vertrauliche Informationen (zum Beispiel Interna,
Passwörter, Projekt-, Kunden- oder Personendaten) nicht in die falschen
Hände geraten. Ohne den Einsatz von starker Kryptographie haben
Unbefugte auch hier leichtes Spiel.
Denn digitale Lauschangriffe sind mit einem
minimalen Aufwand an Technik möglich: Den einfachsten Angriffspunkt
bilden dabei – wie so oft – die Verteilerkästen, die unter anderem für
Wartungsarbeiten eingerichtet und an verschiedenen Orten über das ganze
Streckennetz verteilt sind. Unbefugte können sich beispielsweise Zugriff
auf die Wartungskästen verschaffen, die Verstärker zur Überbrückung
größerer Distanzen enthalten. Einzelne Leitungen des Kabelbündels sind
dort zu Wartungszwecken markiert und lassen sich dadurch auch abseits
eines Firmengeländes recht einfach identifizieren.
Mittels so genannter Optical Tapping Methods
sind Lauschangriffe auf Glasfaserkabel ein ähnlich großes
Gefahrenpotenzial wie in anderen Datennetzen. Die einfachste Attacke auf
die Lichtsignale nutzt eine Auftrennung der Glasfaserstrecke (Splicing):
Dabei schleifen Unbefugte ein zusätzliches Gerät zwischen Sender und
Empfänger ein. Zwar wird während der Zwischenschaltung die Verbindung
unterbrochen, was sofort erkennbar ist. Bleibt diese Unterbrechung
allerdings nur von kurzer Dauer, dürfte wohl kaum ein Provider Verdacht
schöpfen und die Störung näher untersuchen. In der Folge bleibt die
Abhöreinrichtung meist unbemerkt und Datenströme lassen sich fortan
bequem auslesen. Trotzdem stellt die Unterbrechung des Datenverkehrs die
Achillesverse von Splicing-Angriffen dar – andere Angriffsmethoden auf
optische Netzwerke vermeiden diesen Nachteil jedoch.
Auf Biegen und (Ein)brechen
Bei der Splitter-Coupler-Methode
beispielsweise biegen Angreifer die Glasfasern, um mittels spezieller
"Biegekoppler" (vgl. Abb. 1 und 2) heimlich auf den Informationsfluss
zuzugreifen. Beim eigentlichen Empfänger ändert sich das Nutzsignal
dabei nur kaum spürbar und auch der Netzwerkbetrieb leidet nicht
darunter.
Abbildung 1: Glasfasernetze enthalten an
vielen Stellen Wartungskästen und andere Komponenten, die sich auch für
einen Lauschangriff missbrauchen lassen (hier per
Splitter-Coupler-Methode).
Die physikalische Erklärung: Wird eine
Glasfaser gebogen, folgt das durchströmende Licht zwar größtenteils der
Biegung (vgl. Kasten). Ein Teil aber strahlt aus der Faser heraus und
mit modernen Empfängern reicht dies vollkommen aus, um das Signal
aufzufangen, zu verstärken, in eine digitale Form umzuwandeln und
auszuwerten. Das dafür notwendige Gerät gehört zur Standardausrüstung
der Wartungstechniker, die den Zustand und die Funktion von
Lichtwellenleitern (LWL) testen. Für rund 1000 US-Dollar sind solche
Biegekoppler ganz legal über das Internet zu erwerben.
Überhaupt nicht nachweisbar sind Einbrüche,
die den direkten Kontakt mit der Datenleitung völlig vermeiden
(non-touching methods). Solche Angriffsmethoden machen sich zunutze,
dass aus jedem Kabel minimale Lichtmengen strahlen: Hochempfindliche
Fotodetektoren fangen diese so genannte Rayleigh-Streuung auf und
verstärken sie.
Die Auswertung der riesigen abgefangenen
Datenmengen erfolgt über gängige Packet-Sniffer, die anhand bekannter
IP-Nummern oder Schlüsselbegriffe den Datenstrom in den Griff bekommen.
Abbildung 2: Spezielle Biegekoppler
ermöglichen sowohl Wartungstechnikern als auch Angreifern ohne ein
Auftrennen der Leitung auf den Informationsfluss zuzugreifen.,
Kein Klartext!
Erst der Einsatz starker Verschlüsselung
durch Kryptoalgorithmen wie den Advanced Encryption Standard (AES)
- richtig Kategorie Leichtgewicht - bietet Abhörschutz gegen solche Angriffsszenarien. Dabei ist auch
Geschwindigkeit heute keine Hexerei mehr: Spezielle
Hardware-Sicherheitslösungen können heute als Leitungsverschlüssler in
Hochgeschwindigkeitsnetzen bis zu zehn Gigabit pro Sekunde
AES-chiffrieren und dennoch konstant niedrige Latenzzeiten von unter 5
Mikrosekunden gewährleisten. Heimliche Lauscher an der Lichtleiterwand
tappen dann im Dunkeln.
Thomas Meier ist CEO der InfoGuard AG (
www.infoguard.com).
Glasfasertechnologie
Der Siegeszug optischer Kommunikationssysteme
zur Übertragung von Daten beginnt in den sechziger Jahren mit der
Erfindung der Lasertechnologie: Informationen lassen sich erstmals als
gebündelter Lichtstrahl übertragen. In der Folge sorgen die großen
Telekommunikationsunternehmen dafür, dass die Glasfasertechnologie
kontinuierlich weiterentwickelt wird. Heutzutage weisen
Glasfaserleitungen Qualitätseigenschaften auf, die sich mit einem
Kupferkabel nicht mehr erreichen lassen. Marktforscher prognostizieren,
dass sich die Übertragungskapazität pro Glasfaser auch weiterhin jedes
Jahr verdoppeln und die Menge an installierten Glasfasersystemen um
15–20 % jährlich zunehmen wird.
Datenübertragungen über Glasfasern basieren
auf dem physikalischen Gesetz der Brechung und Reflexion von Licht. Dazu
wird ein innerer Glasfaserkern mit einem Brechungsindex n1 von einem
äußeren Glasfasermantel mit einem Brechungsindex n2 umgeben, wobei n1 >
n2 ist. Das in den Glasfaserkern eingeschlossene Licht wird daher an der
Trennschicht der beiden Glasfasermedien nahezu komplett reflektiert und
so durch den Kern weitergeleitet.
In der Praxis kommen zwei Typen von
Glasfasern vor: Multimode und Singlemode. Multimode-Kabel weisen einen
Kerndurchmesser von 50 µm auf und werden für kurze Distanzen eingesetzt
(< 500 m) – die teureren Singlemode-Kabel sind hingegen im Kern nur 9 µm
dick und kommen auf großen Distanzen zum Einsatz.
Seit den Anfängen der Datenübertragung per
Glasfaser haben Wissenschaftler und Techniker die Bandbreite immer
weiter erhöht, um damit den steigenden Anforderungen an Flexibilität,
Kapazität und Zuverlässigkeit gerecht zu werden. Ein Verfahren für hohe
Übertragungskapazitäten ist das Wavelength Division Multiplexing (WDM):
ein optisches Multiplexverfahren, bei dem verschiedene Daten-Kanäle über
Lichtwellen unterschiedlicher Wellenlänge – quasi also verschiedenfarbig
– durch dieselbe Glasfaser geschickt werden. Das ist technisch möglich,
weil sich Lichtwellen mit unterschiedlichen Schwingungen nicht
gegenseitig stören.
Lichtemittierende Dioden (LED) oder Laser
wandeln dazu beim WDM die elektrischen Signale zunächst in Lichtsignale
verschiedener bestimmter Wellenlängen um. Ein passives optisches
Koppelelement (Sternkoppler) führt die Signale der einzelnen Kanäle dann
zu einem optischen Multiplexersignal zusammen, das anschließend per
Glasfaserleitung übermittelt wird. Auf der Empfängerseite trennen
wellenlängenabhängige, passive Filter oder optoelektrische
Empfangselemente die Signale wieder in die einzelnen Kanäle auf, sodass
sich unterschiedliche Datenformate und Bandbreiten gleichzeitig
übertragen lassen. Mit Wavelength Division Multiplexing als
Transporttechnik können Netzbetreiber daher eine Infrastruktur aufbauen,
die sie später je nach Bedarf in beliebigen Teilbereichen des Netzes
erweitern können, denn statt in zusätzlichen Glasfasern laufen dann
"neue" Leitungen auf einer zusätzlichen Wellenlänge durch die
bestehenden Glasfasern.