Sicherheit auf die harte Tour

Statt virtueller Mauer ein mechanisches Relais

Ein Produkt des Trierer Instituts für Telematik schützt Unternehmensnetze auf eine ungewöhnliche Weise gegen Angriffe aus dem Internet. Der "Lock-Keeper" schaufelt Daten Häppchen für Häppchen zwischen internem Netzwerk und Internet hin und her, ohne jemals eine durchgängige Verbindung zwischen beiden Zonen herzustellen. Die Daten, die sich jeweils in der "Schleusenkammer" befinden, können je nach Sicherheitsanspruch des Anwenders ausführlich analysiert werden, bevor sie die temporäre Quarantänestation wieder verlassen. Für die Trennung zwischen draußen und drinnen verwendet die Hardware ein echtes, mechanisches Umschaltrelais, das beide Kontakte zur gleichen Zeit aufgrund seiner Bauart gar nicht herstellen kann.

Durch diese Schranke unterscheidet sich das Produkt auch von Standardlösungen, bei denen zwischen Intranet und Internet eine Firewall, ein Proxy und eine weitere Firewall die beiden Sektoren trennen. Ein Sicherheitsvorteil der Relais-Schranke ist, dass für die Untersuchung ein- und ausgehender Daten beliebig viel Zeit zur Verfügung steht. Ein anderer Aspekt könnte noch viel wichtiger sein: Fällt eine Unregelmäßigkeit auf, müssen eine normale Firewall oder ein Intrusion-Detection-System erst einmal die Trennung vom Internet bewerkstelligen, was misslingen kann, wenn die Systeme selbst angegriffen werden. Beim Lock-Keeper aber ist die Trennung der Normalfall, sodass es für den Angreifer schwierig wird, seine Attacke gesteuert fortzusetzen.

Das patentierte System eignet sich nur für Verbindungen, bei denen ein geringer Zeitversatz in der Übertragung nichts ausmacht. Es wird von Organisationen mit Hochsicherheitsanforderungen für Datenübertragungen und E-Mail-Austausch genutzt. Zu diesem Anwenderkreis gehören beispielsweise Banken und Versicherungen, die für die gleichen Einsatzzwecke bisher auf den altmodischen Austausch beweglicher Datenträger zurückgreifen mussten. Fürs Surfen im Internet zum Beispiel eignet sich das System bisher noch nicht, aber die Erfinder arbeiten daran, auch dies zu ermöglichen. Das Institut gibt offen zu, dass der Lock-Keeper den gewohnten "Quality-of-Service"-Stand einer traditionell gesicherten Verbindung nicht erreicht, empfiehlt das Produkt aber auch nur für Umgebungen, wo jedes Plus an Sicherheit zählt.