5G und IoT stellen Security-Modelle auf den Kopf

Netzwerksicherheit neu denken

| Autor / Redakteur: Sascha Kremer / Andreas Donner

5G wird das Netzwerk auf allen Ebenen verändern.
5G wird das Netzwerk auf allen Ebenen verändern. (Bild: © – jamesteohart – istockphoto.com)

5G wird die Mobilfunknetze enorm verändern. Insbesondere die Verbesserungen bei Latenz, Übertragungsgeschwindigkeit und Verbindungsdichte werden einen signifikanten Einfluss auf bestehende Security-Architekturen haben. Es braucht deshalb neue Ansätze in puncto Netzwerksicherheit.

Die nächste Mobilfunkgeneration 5G wird sehr häufig mit einem höheren Datendurchsatz in Verbindung gebracht. In vielen Fällen ist das richtig. Tatsächlich haben einige 5G-Studien Datenraten von mehreren Gigabit pro Sekunde (GBit/s) demonstriert, in einem Fall sogar 32 GBit/s. Das sind Größenordnungen, die aus heutiger Perspektive kaum vorstellbar sind. Und obwohl dies nicht der reale Durchsatz an jedem Endpunkt ist, stellt 5G doch enorme Anforderungen an die Netzwerkinfrastruktur, etwa an die Schaltkreise in Sicherheits-Appliances im Rechenzentrum oder an die Konzentratoren, die mal eben das Zehnfache des Verkehrs bewältigen müssen.

Latenzverbesserungen sind ebenfalls ein großer Fortschritt von 5G. Die meisten 4G-Verbindungen ermöglichen eine Latenzzeit von unter 100 Millisekunden pro Roundtrip, sehr oft sind auch Latenzzeiten von unter 50 Millisekunden möglich. Das Designziel des 5G-Standards ist eine Millisekunde.

Und hier beißt sich der Hund in den Schwanz. Denn das typische Sicherheitsmodell einer VPN-Verbindung leitet den Datenverkehr vom Endpunkt zu einem zentralen Konzentrator, dann zum Zielserver (heutzutage oft im Internet), wieder zurück zum Konzentrator und dann zurück zum Endpunkt. Je nachdem, wo sich diese drei Elemente (Endpunkt, Konzentrator, Zielserver) befinden, müssen zu jeder Transaktion Dutzende, wenn nicht gar Hunderte von Millisekunden hinzugefügt werden. Mit dem Datenhunger mobiler, verteilter oder weit entfernter Anwender und Applikationen geht das kaum überein.

5G ist auch für das Handling von vielen Geräten ausgelegt, genauer gesagt, von sehr vielen Endgeräten. Über IoT wird seit Jahren gesprochen. Aber in Wirklichkeit haben wir gerade erst begonnen. Gartner schätzt die aktuelle Zahl der IoT-Geräte auf rund 8,4 Mrd., und prognostiziert 21 Mrd. bis 2020. Das ist das Zweieinhalbfache an Geräten im Vergleich zu heute – in nur zwei Jahren.

Viele dieser IoT-Geräte sind keine üblichen IT-Endpunkte wie PC, Tablet oder Smartphone, für die herkömmliche Security- und VPN-Clients verfügbar sind. Manche dieser Geräte greifen auf Container oder IoT-Dienste in der Cloud zu. Spätestens jetzt stellen sich Security-Profis die Haare auf. Denn Sicherheit in IoT-Netzwerken nach aktuellem Anspruch kann mit den traditionellen IT-Sicherheitsmodellen nicht erreicht werden. Sicherheitsexperten warnen seit Langem vor diesen kleinen, aber sperrangelweit offenen Hintertürchen in Unternehmensnetzen.

SD-Perimeter: Security upside down

Um gänzlich zu verstehen, warum wir die Netzwerksicherheit in der IoT-Ära überdenken müssen, führen wir uns die Entwicklung der traditionellen Netzwerksicherheit in den letzten zwei Jahrzehnten vor Augen. Wie das Internet wurden auch Unternehmensnetzwerke so konzipiert, dass sie sich zuerst verbinden und später Fragen stellen.

Darüber hinaus wurden sie mit einem zusammenhängenden oder routingfähigen Adressraum erstellt, der es einem Endpunkt ermöglicht, jeden anderen Endpunkt im Netzwerk zu erreichen. Dieser Ansatz erforderte, dass Netzwerkadministratoren ein „Filter-out“-Sicherheitsparadigma überlagern, um den Zugriff und den Datenfluss zwischen bestimmten Benutzern, Ressourcen und Geräten zu beschränken. Diese Konventionen haben sich recht gut bewährt, um relativ statische Netzwerke mit Tausenden von Endpunkten zu „segmentieren“.

In der Welt der IoT-Netzwerke, des Edge-Computings und der umfassenden Verfügbarkeit breitbandiger, drahtloser Pop-up-Verbindungen nehmen das Volumen und die Vielfalt der Endpunkte massiv zu – daher auch der Begriff „Massive IoT“. Und diese Endpunkte verändern sich ständig. Hunderttausende oder sogar Millionen von Geräten in einem Unternehmensnetzwerk sind keineswegs eine Illusion in weiter Ferne. Das Szenario ist sehr real, genauso wie die möglichen Bedrohungen.

Als Antwort auf dieses ernste Security-Problem müssen wir das traditionelle Unternehmensnetzwerkmodell auf den Kopf stellen, Netzwerkfunktionen in die Cloud verlagern und Software nutzen, die das Internet überlagert. Dieser „Cloud-Networking“-Ansatz, auch „Software-Defined Perimeter“ (SD-Perimeter) genannt, ermöglicht es Netzwerkverantwortlichen, ein perimetergesichertes, virtuelles Netzwerk bereitzustellen, das sozusagen über dem Internet schwebt.

Dieses Netzwerk ist für die Außenwelt vollständig „getarnt“. Schließlich kann man nichts angreifen, was man nicht adressieren kann. Anstatt sich zuerst zu verbinden und sich zu authentifizieren, verhalten sich IoT-Netzwerke auf SD-Perimeter-Basis wie geschlossene Benutzergruppen. Bevor sich ein Gerät verbinden kann, benötigt es eine Einladung aus diesem Netzwerk.

Aus Sicht der Gerätesegmentierung und -isolierung wird die langwierige und anfällige Filter-out-Methodik traditioneller Unternehmensnetzwerke durch die Möglichkeit ersetzt, verschiedene virtuelle Overlay-Netzwerke für jede Geräteklasse zu bilden, die voneinander getarnt sind. So sind etwa sauber und übersichtlich voneinander getrennte Netze für Überwachungskameras, Sensoren oder Stellglieder denkbar. Sollte beispielsweise ein Angriff auf eine Überwachungskamera stattfinden, können die Cyberkriminellen nicht in andere Teile des Netzwerks und zu anderen Geräten vordringen.

Sascha Kremer.
Sascha Kremer. (Bild: Cradlepoint)

Moderne CIOs schneiden alte Zöpfe ab

IT-Trends wie 5G, Edge Computing, IoT und Software-Defined Networking krempeln die Netzwerkinfrastruktur von Unternehmen sprichwörtlich um. Traditionelle Security-Modelle müssen daher ebenso auf den Kopf gestellt werden, im wahrsten Sinne des Wortes. Moderne CIOs erkennen, dass die Sicherheit in der aufstrebenden vernetzten Wirtschaft einen neuen Ansatz zur Verbindung und zum Schutz von Menschen, Orten und Dingen erfordert.

Über den Autor

Sascha Kremer ist Director Carrier Development bei Cradlepoint Deutschland.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45591927 / Allgemein)