Wissen kreuz und quer: Home Office - Wohin fliessen unsere Daten?

Arbeiten sie gerade Zuhause? Sind mit dem Server ihres Arbeitgebers in Bern verbunden und speichern wichtige Excel-Tabellen auf das externe Laufwerk? Sie denken wohl, dass die Daten auf dem direktesten Weg von Murten nach Bern übers Internet per TCP-IP transportiert werden?

Der Verbindugsaufbau kann jedoch wie folgt geschehen:

• Ihr Betriebssystem oder App verschlüsselt die Daten mit einem unsicheren Schüssel;
• Sendet diese weiter vom PC zu Ihrem eigenen Netzwerkrouter;
• Dieser selektiert aus einer Routingtabelle die IP-Nummer und navigiert einen möglichen Pfad für das Datenpaket auf die entsprechende Zieladresse oder Adressbereich;
• Weitergeleitet wird das Datenpacket via externen Router und ISP-Netzwerkknoten (Internet Service Provider) schlussendlich zum Server ihres Geschäftes.

Dabei sehen Sie nicht, ob die Daten aus Gründen einer temporären Überlastung der Router und Server über Umwege die Kantons- und Landesgrenzen (beispielsweise über Besançon und München) verlassen, und erst dann in Bern ankommen.

Solche langen Umwege können verschiedene Probleme verursachen. Sie können auch die Möglichkeiten für Cyberangriffe erweitern. Oder die Wahrscheinlichkeit, dass "ge-snifft" wird, also das „Abhören“ oder Mitschneiden der Daten, deutlich erhöhen.

Da solche Verbindungen im Transportweg also nicht isoliert sind, erhöhen sie auch die Anfälligkeit für kriminelle IT-Prädatoren. Die heutige Internet-Infrastruktur basiert auf Algorithmen und IP-Protokollen aus den 1970er und 1980er Jahren. Ein gutes Beispiel ist das Border Gateway Protocol (BGP). Dieses wird heute noch in Routern verwendet. Das BGP wurde vor 1990 entwickelt. Routingtabellen in Routern umfassten Ende 2016 über 646'157 IP-Addressbereiche (im Fachjargon "IP prefix") und war für gerade 1000 Netzwerke konzipiert (heute haben wir über 65'000 Netzwerke im Internet). Routingtabellen müssen laufend aktualisiert werden, weil sich Netzwerke schnell ändern. Eine sehr sensible Schwachstelle in einem Netzwerk ist daher der Router!

Ja! Mittels der rundum erneuerten SCION-Internet-Architektur von Adrian Perrig, Professor an der ETH Zürich für Computersicherheit. Perrig, der früher in Murten wohnte, baut mit seiner Forschergruppe seit 2009 an einem Projekt namens SCI-FI (Sichere Kommunikationsinfrastruktur für ein zukünftiges Internet). Das Projekt wurde später in SCION (Skalierbarkeit, Kontrolle und Isolation in Netzwerken der nächsten Generation) umbenannt. Seit 2013 ist er Professor an der Eidgenössische Technischen Hochschule Zürich und leitet die Network Security Group. Diese forscht am Aufbau sicherer und robuster Netzwerksysteme - mit Schwerpunkt auf Design, Entwicklung und Bereitstellung der SCION-Internet-Architektur.

In der SCION-Bereitstellungsphase wurde festgestellt, dass die Anwendungsfälle Unternehmen umfassen, die eine Punkt-zu-Punkt-Verbindung mit Eigenschaften sicherstellen möchten, die einer Mietleitung ähneln. Jedoch ohne die Kosten und Zeitverzögerungen im Zusammenhang mit der Errichtung und dem Betrieb einer Mietleitung und bereits erreichbar mit einer Verbindung zum öffentlichen SCION-Netzwerk.

• Hochverfügbare Kommunikation. Viele Aspekte von SCION bieten höhere Verfügbarkeit, insbesondere wenn Mehrwegkommunikation verwendet wird;
• Immunität gegen Angriffe auf BGP-Ebene, wie z.B. Präfix-Hijacking;
• Client-Pfadsteuerung, beispielsweise zu Compliance-Zwecken. SCION kann garantieren, welchen Weg jedes Paket nimmt. Insbesondere, welche ISP's NICHT durchlaufen werden;
• Geheime Pfade, die nur von ausgewählten Kommunikationspartnern verwendet werden können. Der kryptografische Pfadschutz ermöglicht das Ausblenden von Pfaden. Selbst wenn ein Angreifer die Netzwerktopologie kennt, ist ein DDoS-Angriff unmöglich;
• VPN-Verbindungsschutz;

Das SCION-Netzwerk kann eine VPN-Verbindung bereitstellen, die alle oben aufgeführten Eigenschaften für den End-to-End-VPN-Tunnel bereitstellt.

Wenn Sie in der Schweiz sind, können Sie als Kunde von INIT7, Sunrise, Swisscom oder SWITCH die Vorteile einer nativen SCION-Bereitstellung nutzen. Vorerst sind SCION-Anschlüsse jedoch nur für Firmen erhältlich.

Im Wesentlichen können Sie ohne Vertrauen ins BGP-Protokoll kommunizieren (daher können Sie keine Schwachstellen oder Schwächen des BGP beeinträchtigen). Wenn zusätzliche ISP's SCION bereitstellen, werden diese Eigenschaften auch Kunden dieser ISP's zur Verfügung stehen!