INGENIEUR-NACHRICHTEN – Ausgabe 2/2017

titel0217b300

Die Ausgabe 2 / 2017 (Print) ist erschienen.

Titelthema “ IT-Sicherheit“

INHALTSVERZEICHNIS

TITELTHEMA
06 Sind Ihre Daten in der Cloud sicher?
07 Umsetzung von Informationssicherheit in Unternehmen
08 Sicherheit inmitten der Digitalisierung
09 Innovatives Safety-Konzept erhöht Flexibilisierung
INFORMATIONEN
10 Lasst Systeme sprechen
11 Massen-Angriffe aus dem Internet erkennen
12 Kompetenzzentrum Mittelstand 4.0 an der TU Ilmenau
13 Sicherheit cyber-physischer Systeme
13 PowerCaps – Hybrid aus Akku und Kondensator
14 Suchmaschinen der Zukunft
15 Computer die mit Spinwellen arbeiten
15 Start-up-Feeling mit RIO
16 Aluminium als neue Speichertechnologie
16 Aufnahmen unseres Heimatplaneten
17 das-bin-ich.info – ein Projekt für Arbeitssuchende und Arbeitgeber
FORSCHUNG UND BILDUNG
18 Dresdner Forscher drucken die Welt von Morgen
18 Wärme in Strom
19 Studierende untersuchen Zukunftsthemen
19 Modellprojekt an der Bauhaus-Universität Weimar
MESSEINFORMATIONEN
20 Rapid.Tech + FabCon 3.D
20 Braucht der Mittelstand 3D-Druck?
21 Jubiläums-AERO fliegt auf Rekordkurs
21 59. Internationale Maschinenbaumesse (MSV) in Brünn
JUGENDPOWER
22 15. Regionalwettbewerb „Jugend forscht“
TECHNIKGESCHICHTE
23 Von der Natur- zur Kunstseide
VEREIN DER INGENIEURE UND TECHNIKER IN THÜRINGEN e.V.
24 Ingenieurfest 2017
25 Erfinderzentrum auch für Thüringen
VEREIN DER INGENIEURE, TECHNIKER UND WIRTSCHAFTLER in Sachsen e.V.
26 20 Jahre Formel E
27 Sächsische Erfindungen in der Praxis (49)
27 Neuer Institutsdirektor für das IPM
VEREIN DER INGENIEURE UND WIRTSCHAFTLER in Mecklenburg-Vorpommern e.V.
28 Der Vorsitzende informiert
29 VIW-Technikbildung

LEITARTIKEL

Liebe Leserinnen und Leser,

nicht zuletzt ausgelöst durch die Enthüllungen rund um NSA und GHCQ, hat bei Nutzern des Internet ein Umdenken stattgefunden, und immer mehr Anwendungen wie Webseiten verschlüsseln übertragene Inhalte. Dies ist eine folgerichtige und begrüßenswerte Entwicklung – kryptografisch ungesicherte Verbindungen sind schlicht als Anachronismen zu betrachten. Aber was impliziert diese Entwicklung für Unternehmen und andere Organisationen?

Eine evidente Folge ist, dass zentralistische IT-Sicherungssysteme wie Firewalls oder Intrusion Detection Systeme nicht mehr ohne weiteres funktionieren; zumindest, wenn Anwendungen das kryptografische Aufbrechen von Verbindungen etwa durch Certificate Pinning verhindern.

Komplexer zu beantworten ist die Frage, ob der flächendeckende Einsatz einer kryptografischen Ende-zu-Ende-Sicherung, herkömmliche Verschlüsselungstechnik wie virtuelle private Netze (VPN) überflüssig macht. Theoretisch sollten die Verschlüsselung und Authentisierung der Nachrichten auf Anwendungsebene (z.B. mittels TLS-Protokoll) durch Außenstehende nicht reversibel sein und illegitime Modifikationen durch den Empfänger entdeckt werden. Auf eine zusätzliche Verschlüsselung durch architektonisch entkoppelte Geräte oder Software-Systeme könnte somit verzichtet und Kosten gespart sowie Komplexität reduziert werden.

In der Praxis muss die Frage allerdings entschieden verneint werden. Die kryptografische Sicherung von Netzwerkverbindungen durch abgesetzte Geräte oder wenigstens Software-Komponenten ist für Organisationen unabdingbar. Die Gründe hierfür sind mannigfaltig und lassen sich mit der Kernaussage: „IT-Sicherheitsvorfälle sind in den allermeisten Fällen nicht auf Brechen der Kryptografie zurückzuführen“ zusammenfassen. Wesentliche Punkte sind:
Häufig werden nicht die Nutzdaten abgehört oder manipuliert, sondern es genügt Verkehrsflussanalysen durchzuführen. Die Snowden-Dokumente suggerieren beispielsweise, dass die NSA oft nur Metadatenanalysen durchführt, und wissenschaftliche Publikationen belegen, dass bei verschlüsselten Telefonaten diese allein durch die Paketlängen und -frequenzen durchaus noch einem Sprecher zu geordnet werden können. Werden mehrere Verbindungen zu einem kryptografisch gesicherten Strom zusammengefasst und möglicherweise über Zwischenstellen weitergeleitet, gestaltet sich dies erheblich schwieriger. In diesem Zusammenhang ist auch das Sicherheitsziel des Infrastructure Hiding zu nennen, also das Verbergen interner Netzstrukturen vor einem externen Angreifer.
Soll es möglichen Innentätern bzw. von Malware infizierten Endgeräten unmöglich sein, Informationen unbemerkt nach außen zu transportieren, so ist ebenfalls auf ein Merkmal von VPN zu setzen: dem Durchsetzen einer obligatorischen Verschlüsselung. Der Schutz vor Information Leakage ist in offenen Netzen nicht konsequent möglich.
Ein weiterer Vorteil betrifft die obligatorische Authentifizierung von Netzwerkpaketen. Diese wird bei einem VPN immer zuerst geprüft, bevor Pakete in ein internes Netz gelassen werden. Auf diese Weise lassen sich Angriffe auf unzureichend geschützte Netzwerk- oder Endgeräte effektiv verhindern. Das betrifft je nach Szenario bspw. auch Denial-of-Service-Angriffe (DoS), bei denen bereits am Rand des Firmennetzes die zu einem DoS-Angriff gehörenden Pakete verworfen werden können.
Sehr vorteilhaft ist auch die einfachere Wartung zentraler Übergänge bei VPN. Die korrekte Funktionsweise der kryptografischen Implementierung muss an wesentlich weniger Stellen überprüft und gewartet werden. In offenen Netzen ist es häufig unmöglich, selbst einfachste Sicherheitspolitiken – wie etwa den Ausschluss von MD5 und SHA-1 oder Perfect Forward Secrecy – verpflichtend durchzusetzen. In vielen Umgebungen werden zudem Sicherheits-Updates in der Fläche zu spät ausgerollt. In anderen – beispielsweise Krankenhäusern – ist es aufgrund fehlender Freigaben (CE-Zertifizierung) gar unmöglich.
Die Angriffsfläche ist bei dedizierten VPN-Geräten zudem oft kleiner und die Implementierung ist bei Vorliegen einer Zertifizierung der Geräte in der Regel auch von höherer Qualität als bspw. bei individuell installierten TLS-Implementierungen auf Endsystemen.
Aus diesen Gründen sollte auch in Zukunft nicht auf zusätzliche kryptografische Maßnahmen auf Netzwerkebene verzichtet werden – insbesondere da nicht abzusehen ist, dass Industriespionage oder gezielte Sabotageangriffe in Zukunft weniger werden.
Eine Herausforderung hierbei ist und bleibt es, geeignete Sicherungssysteme auszuwählen. So konnten wir bei eigenen Forschungsarbeiten zeigen, dass ein weit verbreitetes kommerzielles VPN-System in allen der oben genannten Eigenschaften erhebliche Schwächen aufweist. Diese sind selbst durch Fachleute nicht immer einfach zu erkennen.
Die Komplexität der Einführung und des Betriebs großer VPN ist nicht zu vernachlässigen. An dieser Stelle setzt bspw. ein automatisiertes Konfigurationsverfahren für IPsec-Infrastrukturen an, das am Fachgebiet Telematik/Rechnernetze der TU Ilmenau entwickelt wurde. Mit solchen oder vergleichbaren VPN-Architekturen können Unternehmen auch zukünftig Informationen sicher übertragen.
Prof. Dr.-Ing. Günter Schäfer
Dr.-Ing. Michael Rossberg
Technische Universität Ilmenau
Fachgebiet Telematik / Rechnernetze
www.tu-ilmenau.de/telematik