Keymile nennt Sicherheitsmaßnahmen

Drei-Punkte-Plan für sichere Mission-Critical-Netze

| Autor / Redakteur: Bernhard Lück / Andreas Donner

Energieversorger betreiben kritische Infrastrukturen, die besonders geschützt werden müssen.
Energieversorger betreiben kritische Infrastrukturen, die besonders geschützt werden müssen. (Bild: © - rcfotostock - Fotolia.com)

Kritische Infrastrukturen von Stadtwerken, Energieversorgern, Eisenbahnen oder Behörden sind vermehrt Angriffen, Manipulations- und Spionageversuchen ausgesetzt. Keymile skizziert ein Sicherheitskonzept mit Verschlüsselungslösungen sowie Informations- und IT-Security-Standards.

Aus dem seit Juli 2015 geltenden IT-Sicherheitsgesetz ergeben sich für die Betreiber von anwendungskritischen Kommunikationsnetzen hohe Anforderungen. Eine davon ist eine hochsichere Datenübertragung, die u.a. durch eine Verschlüsselung gewährleistet werden kann. Weitere, dazu komplementäre Maßnahmen hat Keymile in einem Drei-Punkte-Plan zusammengefasst.

1. Daten verschlüsseln und Absender im Transportnetz authentifizieren

Gerade dort, wo langjährig im Einsatz befindliche TDM-basierte Kommunikationsnetze und -systeme schrittweise um zukunftsfähige IP-Lösungen erweitert oder ersetzt werden, haben es die Betreiber mit neuen Herausforderungen zu tun. Sie müssen sowohl die Bestandssysteme als auch neue IP-basierte Systeme in einem IT-Sicherheitskonzept berücksichtigen. Dieses Sicherheitskonzept für Mission-Critical-Kommunikationsnetze sollte höchste Anforderungen hinsichtlich Vertraulichkeit, Integrität und Sicherheit der übertragenen Daten sowie Verfügbarkeit der eingesetzten Systeme erfüllen – umgesetzt in einem Information-Security-Management-System (ISMS). Eine verschlüsselte Datenübertragung sowie wirksame Authentifizierungs- und Autorisierungsmechanismen sind dabei erforderlich.

2. Eine zukunftsfähige Verschlüsselungslösung einsetzen

Um die Sicherheit in anwendungskritischen Kommunikationsnetzen zu steigern, sollten sich die Betreiber mit der Verschlüsselung des Datenverkehrs befassen und diese als integralen Bestandteil einer Ende-zu-Ende-Lösung für das ISMS implementieren. Die Datenübertragung in paketbasierten Transportnetzen sollte nur verschlüsselt erfolgen. Eine entscheidende Rolle spielen dabei die verwendeten Zufallszahlen für die Schlüsselgenerierung. Im Unterschied zu mathematisch erzeugten Zufallszahlen erzeugt ein hardwarebasierter Quantenzufallszahlengenerator (QRNG, Quantum Random Number Generator) tatsächlich hochsichere, zufällige Schlüssel und nutzt dabei elementare quantenoptische Prozesse als Quelle wahrer Zufälligkeit. Photonen (Lichtteilchen) werden einzeln auf einen halbtransparenten Spiegel geschickt und detektiert. Die exklusiven Ereignisse (Reflektierung oder Weitergabe) sind mit „0“ oder „1“ als Bitwert verknüpft. Solche Quantenprozesse ermöglichen eine sofortige und unerschöpfliche Entropie.

Durch eine Verschlüsselung des Netzverkehrs zwischen Layer 2 und Layer 3 lassen sich zwei Vorteile im Vergleich zu einer reinen Layer-3-Verschlüsselung erzielen: erstens kommt es zu keinem Bandbreitenverlust durch Overhead, zweitens beträgt die Latenzzeit wenige Mikrosekunden statt Millisekunden. Die Kombination aus einer hardware- und softwarebasierten Verschlüsselungslösung gewährleistet eine höhere Sicherheit und ist zudem zukunftssicher. Mit programmierbaren FPGAs (Field Programmable Gate Array) lässt sich eine Lösung besser an individuelle Anforderungen anpassen, sie kann erweitert und aktualisiert werden und ist damit auch über einen Zeitraum von vielen Jahren einsatzfähig.

3. Information Security gestützt auf internationale Standards

Geht es um eine hohe Datensicherheit, sind in vielen Fällen Informations- und IT-Security-Standards wie ISO 27001, ISO 27002, SANS 20, IEC 62443 oder NERC CIP gefragt. Gleichzeitig werden diese Normen zentrale Bestandteile des neuen IT-Sicherheitsgesetzes, das für Versorger und Betreiber von kritischen Infrastrukturen gilt. Folgerichtig sieht das Gesetz im Rahmen der Umsetzung auch die Etablierung eines Informationssicherheits-Managementsystems vor, das beispielsweise die DIN ISO/IEC 27001 erfüllt. Einige Unternehmen im Einzugsbereich des IT-Sicherheitsgesetzes haben bereits mit den Vorarbeiten für eine Zertifizierung begonnen, andere werden bald folgen. Für die Kunden von Energieversorgern und Eisenbahnen ist dies ein wichtiges Signal, dass ihr Dienstleister die notwendigen Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit ergreift.

„Im Rahmen von „Trusted Security“ forscht, entwickelt und produziert Keymile in Deutschland sowie in der Schweiz. Das Konzept beinhaltet die Einhaltung höchster Sicherheitsanforderungen, zertifizierte Mitarbeiter, ein zentrales Management der Datenübertragungssysteme sowie den Einsatz von Verschlüsselungstechnologien. Die Keymile-Systeme erfüllen die relevanten branchenspezifischen Normen und entsprechen gleichzeitig den hohen Anforderungen von Betreibern anwendungskritischer Netze in Bezug auf hohe Verfügbarkeit und geringe Wartung“, sagt Rouven Flöter, Business Incubator für Security bei Keymile. „Auf Anfrage bietet Keymile die Einsicht in den Quellcode der Verschlüsselungskarte SECU1 an. Durch den Einsatz programmierbarer FPGAs und hardwarebasierter Zufallszahlengeneratoren erzielen wir eine hohe Flexibilität sowie Sicherheit im Betrieb. Unsere Verschlüsselungslösung lässt sich problemlos updaten und bietet so eine langfristige Investitionssicherheit.“

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44434198 / Allgemein)