Optische Netzwerke vor Hackern absichern

In Deutschland wächst die Akzeptanz von Cloud Computing. Wie IDC im Frühjahr 2011 aufzeigte, planen mehr als zwei Drittel der befragten Unternehmen, ihr Budget zu steigern oder zum ersten Mal in Cloud-Services zu investieren. Die Bedenken im Umgang mit der Cloud werden laut IDC weiter vom Thema Sicherheit dominiert. Spektakuläre Sicherheitsangriffe finden sich regelmäßig in den Nachrichten - wie erst im August 2011 breit berichtet wurde, deckte McAfee einen internationalen Hacker-Großangriff auf, bei dem Hacker in 72 Unternehmen und Organisationen in 14 Ländern eindrangen, darunter sogar Regierungen wie die Kanadas und der Vereinigten Staaten.

Mit dem steigenden Datenaustausch auf allen Ebenen hat auch der Schutz vertraulicher Unternehmensinformationen weiter an Bedeutung gewonnen. Mit Methoden wie der Verwaltung des Benutzerzugangs sowie Zugriffsprüfungen versuchen Unternehmen, Server, Datenbanken, Router und Switches vor unberechtigtem Zugriff zu schützen. Allerdings ist heute mehr nötig: Da Daten innerhalb der Private Cloud und außerhalb des Unternehmensnetzwerks, häufig auch über das anfällige öffentliche Internet, transportiert werden, muss ein moderner Sicherheitsansatz über den Schutz des eigenen Equipments hinausgehen.

Zusätzlich zur Serversicherheit und At-Rest-Verschlüsselung muss auch eine robuste In-Flight-Verschlüsselung sensible Informationen auf ihrem Weg über die Glasfasernetze schützen. So kann der Datenverkehr so getarnt werden, dass eine Manipulation ausgeschlossen ist, oder man verbirgt, dass überhaupt Daten fließen.

Ziemlich hartnäckig hält sich die weitverbreitete Meinung, dass Glasfasernetze "von Natur aus" sicher für den Datentransport sind. Tatsächlich ist es mit den richtigen Tools und ordentlichem Know-how keine große Herausforderung mehr, eine Glasfaser zu kompromittieren. So geschah es beispielsweise auch im Jahr 2000 am Frankfurter Flughafen, wo drei Hauptleitungen geknackt wurden.

Es gibt verschiedene Methoden, an die Informationen zu gelangen, die mit dem Licht in der Glasfaser übermittelt werden:

Das sogenannte Bending hat für den Hacker den Vorteil, dass es nicht leicht aufzuspüren ist. Er nutzt hierfür einen Clip-On-Koppler, um einen Mikro-Knick (Biegung) in der Leitung zu erzeugen. Ein Fotodetektor fängt das abgelenkte Licht ein, und ein optisch-elektrischer Konverter wandelt es in ein binäres, elektrisches Signal. Anschließend kann das Signal von einer Packet-Sniffer-Software verarbeitet werden, um verwertbare Informationen zu erhalten.

Beim Splicing wird eine Verbindung (Spleiß) in die Faser gelegt, um das übertragene Signal nutzen zu können. Da diese Technik zu einer Betriebsunterbrechung führt, ist sie leichter aufzudecken. Selbst eine Signalunterbrechung von nur einer Millisekunde kann bedeuten, dass der Datenverkehr zu einem Ersatzpfad umgeleitet wird. So sind die Mitarbeiter des Netzwerkbetreibers sofort im Bild über potenzielle Probleme in diesem Abschnitt.

Inzwischen gibt es sogar Methoden zum Abhören von Glasfasern, für die das Kabel nicht physisch berührt werden muss. Zusätzliches Licht wird in das Kabel eingeleitet, und der Angreifer erhält durch eine Analyse der Wechselwirkung zwischen den zwei Lichtströmen Informationen über das übertragene optische Signal.