SCION ist ein Konzept für eine hochsichere, neue Internetarchitektur mit geschützter Ende-zu-Ende-Kommunikation, Routenkontrolle und Fehlerisolation. Auf Basis eines SCION-Netzes lassen sich hochvertrauliche Kommunikationsverbindungen einrichten, wie sie bisher nur mithilfe von privaten, dedizierten Netzen möglich waren.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Das Kürzel SCION steht für Scalability, Control, and Isolation on Next-Generation Networks. Es handelt sich um ein Konzept und eine Technologie für eine hochsichere, neuartige Internetarchitektur.
Entwickelt wird SCION bereits seit dem Jahr 2009 von Forschern der ETH Zürich unter der Leitung von Prof. Dr. Adrian Perrig. Mit SCION lassen sich die Schwächen und Sicherheitsrisiken des heute im Internet vorherrschenden Inter-Domain-Routingprotokolls BGP überwinden. Die Technologie bietet ein hohes Maß an Routenkontrolle und sorgt für Fehlerisolation. Es lassen sich hochvertrauliche Kommunikationsumgebungen mit geschützter Ende-zu-Ende-Kommunikation einrichten, wie sie bisher nur mithilfe von privaten, dedizierten Netzen möglich waren.
Es können so genannte Gated Communities eingerichtet und Geozoning-Konzepte umgesetzt werden, zu denen nur zugelassene Kommunikationspartner beziehungsweise Kommunikationsknoten Zugang erhalten. SCION schafft sichere Datenübertragungswege, wie sie für die geschäftskritische Unternehmenskommunikation und die Anforderungen in besonders geschützten Branchen benötigt werden.
Mittlerweile gibt es zahlreiche produktive Implementierungen auf Basis des SCION-Konzepts, mit deren Hilfe Unternehmen oder andere Organisationen streng vertrauliche oder hochsensible Daten austauschen, ohne dass diese für Außenstehende im Internet sichtbar sind. So wurden in einem Pilotprojekt beispielsweise Schweizer-Botschaften per SCION über ein sicheres Hochleistungsinternet miteinander vernetzt. Auch einige Unternehmen im Finanz- und Gesundheitssektor, akademische Institutionen und andere Organisationen setzen inzwischen SCION-Technologie ein. Aus der Forschungsarbeit der ETH-Zürich sind zudem Spin-offs für die kommerzielle Implementierung von SCION entstanden.
Motivation und Ziele der Entwicklung von SCION
Private Unternehmen oder öffentliche Institutionen sind auf sichere und zuverlässige Datenübertragungsmöglichkeiten angewiesen. Diese Anforderungen erfüllt das öffentliche Internet nur eingeschränkt, da es einige empfindliche Schwachstellen aufweist, über die es leicht angreifbar ist.
Die Schwächen des heute vorherrschenden Inter-Domain-Routingprotokolls BGP hinsichtlich Sicherheit, Resilienz und Skalierbarkeit sowie kriminelle Angriffsmethoden wie BGP-Hijacking können dazu führen, dass Daten andere Wege nehmen als vermutet oder gewünscht. Auch die Verfügbarkeit und Leistungsfähigkeit der über das Internet erreichbaren Systeme oder ganzer Internetbereiche sind relativ leicht zu beeinträchtigen. Für den Austausch sensibler oder vertraulicher Daten stellt die Datenübertragung per Internet daher ein hohes Risiko dar. In der Vergangenheit wurden zwar zahlreiche Erweiterungen des BGP-Protokolls und anderer Protokolle entwickelt, die die Sicherheit und Zuverlässigkeit des BGP-Protokolls und des Internets verbessern, diese wirken sich aber teils negativ auf die Performance und Geschwindigkeit des Routingprotokolls und der Datenübertragung aus und erhöhen die Komplexität des Internets. Hinzu kommt, dass sie nicht durchgängig implementiert sind.
An dieser Stelle setzt das SCION-Konzept an. Es sorgt für eine Neugestaltung der Routingarchitektur und für mehr Sicherheit und Transparenz. Das Sicherheitsniveau des Datenaustauschs im Internet wird mit SCION deutlich verbessert. Routen werden vor dem Datenaustausch vordefiniert und authentifiziert. Unsichere oder unerlaubte Routen können ausgeschlossen werden. Bei Netzwerkstörungen leitet SCION die definierten Routen schnell um.
Kurz zusammengefasst verfolgt die Entwicklung von Scalability, Control, and Isolation on Next-Generation Networks diese Hauptziele:
Verbesserung des Sicherheitsniveaus der Kommunikation
Verbesserung der Verfügbarkeit der Kommunikationsverbindungen
mehr Transparenz und Kontrolle
Verbesserung der Effizienz und Skalierbarkeit
Möglichkeit der Einrichtung von geschützten Communities
einfache Implementierbarkeit auf Basis des heutigen Internets
Grundlagen und technische Architektur von SCION
Das Grundkonzept von Scalability, Control, and Isolation on Next-Generation Networks basiert auf den Prinzipien Sicherheit, Kontrolle, Isolation, Resilienz, Performance und Skalierbarkeit. Die Architektur ist pfadbasiert. Als ein pfadbewusstes Protokoll ersetzt SCION das BGP-Protokoll. SCION organisiert das Netz in logische Gruppen voneinander unabhängiger Routingebenen, so genannten Isolation Domains (ISDs). Sie bilden eine gemeinsame Vertrauensbasis. Die ISDs können offen oder geschlossen sein und ermöglichen eine umfassende Kontrolle der erlaubten Kommunikationspfade und der ein- und ausgehenden Kommunikation. Durch die ISDs werden Routingfehler oder Routingprobleme, beispielsweise durch Fehlkonfigurationen, lokal begrenzt. Isolationsdomänen lassen sich regionenspezifisch oder branchenspezifisch einrichten.
Innerhalb einer ISD kennt SCION alle Pfadsegmente, was für ein schnelles und einfaches Routing sorgt. Aus den Pfadsegmenten werden Ende-zu-Ende-Kommunikationspfade eingerichtet, die sowohl von der Datenquelle als auch vom Datenziel wählbar und verifizierbar sind. Die Pfade sind durch die integrierte Public Key Infrastructure (PKI) kryptographisch abgesichert. Über eine gemeinsame Zertifizierungsstelle der Isolationsdomäne ist der Datenverkehr kryptographisch signiert. Die PKI ermöglicht die Verschlüsselung und Authentifizierung der SCION-Pakete. Mithilfe von Signaturen lässt sich prüfen, ob die Datenpakete über den vorgesehenen Pfad übertragen wurden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
SCION unterstützt dank Multipathing die gleichzeitige Nutzung mehrerer Pfade. Durch Multipathing können zum einen die vorhandenen Übertragungsbandbreiten effizienter genutzt werden und zum anderen ist ein schnelleres Umschalten der Pfade bei Ausfällen oder Störungen möglich.
SCION kann nativ oder auf Basis existierender MPLS- oder IP-Netze implementiert werden. Über ein sogenanntes SCION-IP-Gateway (SIG) lässt sich der SCION-Header in TCP/IP einpacken und über ein herkömmliches IP-Netz übertragen. SCION ist in diesem Modus zwar weniger effizient, dennoch ergeben sich bereits zahlreiche Vorteile der neuen Technologie.
Typische Anwendungsbereiche für Scalability, Control, and Isolation on Next-Generation Networks
SCION ist prädestiniert für folgende Anwendungsbereiche:
für die sichere Vernetzung von Finanzinstituten und die sichere Ausführung von Finanztransaktionen
für die sichere Vernetzung sensibler staatlicher Institutionen
für Anwendungen im militärischen Bereich
für Anwendungen im Gesundheitswesen
für Betreiber Kritischer Infrastrukturen (KRITIS)
für die performante und sichere Vernetzung von Forschungseinrichtungen
für die geschützte, resiliente Unternehmenskommunikation und den Betrieb geschäftskritischer Anwendungen
als Alternative zu privaten, dedizierten Netzen basierend auf teuren Leased Lines oder MPLS-Verbindungen
:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/10/b8/10b8f6fcd8e93dbfbab834c47b599830/0129095439v1.jpeg "Pega beschleunigt mit einem neuen KI-Tool die Transformation von Lotus-Notes-Anwendungen in moderne, Cloud-native Workflows. (Bild: © bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd9bbec53654083df8770aecac691a/0129224068v1.jpeg "Multi-Core Fibre bündelt mehrere parallele Lichtsignale in einer Faser. Colt erreicht im Londoner Metronetz 800 Gbit/s Leitungsgeschwindigkeit und validiert 100GE- und 400GE-Services. (Bild: © Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7d/a17d7fd021921c33db99ee4aeb41bb30/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/5e/325e7dc99010c393d153ce94336c9924/0129346618v1.jpeg "Netzkomponenten wie Router bilden das Rückgrat von Telekommunikationsnetzen. Der Austausch von Hardware „hochriskanter“ Anbieter adressiert Lieferkettenrisiken, lässt aber Fragen nach prüfbarer Firmware und Management-Software offen. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/83/fa832a75d3b143390e952ad803ea272c/0129257608v1.jpeg "Monitoring-Daten der Bundesnetzagentur: Laut Verivox stockt der Mobilfunkausbau. (Bild: Bundesnetzagentur)")
:quality(80)/p7i.vogel.de/wcms/28/e8/28e83bbfac2c484ed4864fe7de55d39c/0129243647v1.jpeg "Ricardo Rodríguez vom eSIM-Anbieter Holafly ist überzeugt, dass (multinationale) eSIM-Lösungen das Reisen für viele Geschäftskunden entscheidend verbessern wird. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/9a/d99a053e7c8d89c7a77c6813cd6fd153/0129431972v2.jpeg "Mit einem Open Source Tool kann man KI aus Windows 11 verbannen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/47/2147cbdfbcf0e9222f7372a69e3c68df/0129440963v1.jpeg "Die XXV. Olympischen Winterspiele in Norditalien sind mehr als ein sportliches Großereignis – sie sind auch ein Feldexperiment für eine neue Ära der Konnektivität. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/63/b1/63b1a1b40a0e1b0c1e3e5db3f4ca9e65/0129432487v1.jpeg "Der aktuelle Lagebericht Observability 2025 verdeutlicht, dass nicht die Anzahl der Incidents, sondern Tool-Wildwuchs und fehlender Kontext die größte Belastung darstellen. (Bild: Splunk)")
:quality(80)/p7i.vogel.de/wcms/41/de/41de964aab28b05865562fd8c190a409/0129259457v1.jpeg "Das erweiterte Real User Monitoring soll echte Nutzerinteraktionen direkt mit Logs und Systemmetriken verknüpfen. (Bild: Dynatrace)")
:quality(80)/p7i.vogel.de/wcms/ad/6b/ad6bcd9a4a71813986e0c50836881e9f/0125105677v1.jpeg "Checkmk verstehen. Monitoring beherrschen. Der Workshop im Überblick. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/35/51/3551092f2bcf24a479b40174f1462f76/0129052509v1.jpeg "Im Einzelhandel entscheidet Netzverfügbarkeit zunehmend über den laufenden Betrieb. Zahlungsprozesse, Warenwirtschaft, digitale Preisauszeichnung und Kundenanwendungen hängen an derselben Infrastruktur. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/e5/a0/e5a0f4de62a580ed71280869402a9b64/0129197312v1.jpeg "Satellit als Rückfallebene: NTN-NB-IoT ergänzt Mobilfunknetze dort, wo klassische Abdeckung endet. (Bild: Skylo)")
:quality(80)/p7i.vogel.de/wcms/e3/7b/e37ba41b42c7a59410ba0602b87b3e25/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/90/589012e9659a67c828b52806b2ae94fe/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/38/ca/38ca305fdd9ec806f05b75bb7e5ce3cb/0129229797v1.jpeg "Open Systems, Anbieter von co-managed SASE-Betriebsmodellen mit globaler Reichweite, hat eine Umfrage zu SASE, Zero Trust und dem Einsatz von SD-WAN-Infrastrukturen durchgeführt. (Bild: © Nirusmee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/6e/a86e3402f17319013d3788295086cc78/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/19/0b/190bfaf5cb55e2add9ddfc2f2a071e87/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/05/a7052150963766d5f9c051fda4fa0360/0129099772v1.jpeg "Skype wurde Anfang Mai 2025 eingestellt. Wer noch alte Daten retten will, sollte schnell aktiv werden. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/18/fc/18fcff49f531de7e54368f6d7ad3012a/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/c6/67/c667b2013753f13d80a8af7b6e93f6d4/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/b7/03/b703960e0f6b855b0254135a20288b0c/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/67/d367d383fae42bfd3c54e422cf17f23b/0128192079v1.jpeg "Über ein virtuelles privates Netzwerk kommunizieren Endgeräte oder lokale Netzwerke geschützt vor unbefugtem Zugriff über potenziell unsichere Netze wie das Internet. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/1d/c31db9ca4b9724180c2031e1eabd1750/0125680187v1.jpeg "Sixuan Zou, Director of Network Solution Sales bei Huawei Technologies Deutschland, erläutert die Chancen der Glasfaser-Technologie fgOTN für die Digitalisierung der deutschen Verwaltung. (Bild: Huawei)")