Wie verwundbar Energie- und Bahnunternehmen sind, zeigen mehrere Beispiele aus dem vergangenen Jahr. Im Oktober 2022 kam der Zugverkehr in Nord- und Westdeutschland für mehrere Stunden zum Erliegen. Der Grund: Unbekannte hatten Glasfaserkabel der Deutschen Bahn durchtrennt und dadurch das digitale Funksystem stillgelegt. Einige Monate zuvor schränkte eine Cyberattacke die satellitengestützte Kommunikation von Windrädern in Deutschland massiv ein. Die Stromproduktion konnte zwar ungehindert weiterlaufen. Dafür war jedoch die Fernwartung gestört. Im Falle eines Problems hätte dieses also nicht aus der Ferne gelöst werden können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde infolgedessen eingeschaltet.

Diese Angriffe waren nur möglich, weil die betroffene Infrastruktur ungeschützt war. So liegen z. B. Kabel praktisch für jeden zugänglich in Kabelschächten entlang der Bahntrassen. Ebenso ungeschützt sind die Daten, die durch die Kabel fließen und die Befehle für Weichen oder Signalanlagen übertragen.

Netzwerkinfrastruktur häufig ­veraltet

KRITIS-Unternehmen sind zwar gesetzlich dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme zu treffen. Wenn aber zwischen verschiedenen Standorten oder Rechenzentren hochsensible Informationen übertragen werden, sind diese Daten häufig nicht oder nur unzureichend vor Manipulationen geschützt. Das gilt nicht nur für Datentransfers über öffentliche Netze, sondern bereits bei Verbindungen, die zwar durch private Leitungen, aber über öffentlichen Grund und Boden laufen. Denn: Die vorhandene Netzwerkinfrastruktur und auch der -schutz sind veraltet und mit geringem Aufwand und unverdächtigem Standardwerkzeug angreifbar. Nur eine hochsichere Verschlüsselung kann die Daten wirklich schützen.

Ungeschützte Datenübertragungen sind bei vielen Unternehmen allerdings noch immer an der Tagesordnung. Hacker können die Daten mitlesen, eigene Daten einspeisen oder die Datenübertragung stören. Die größte Gefahr geht bei Schaltbefehlen von einer Manipulation der Daten aus. Die Angriffsszenarien sind vielfältig: Manipulierte Befehle für Weichenstellungen und Signale können zu katastrophalen Bahnunfällen führen. Auch die Stromversorgung ist in Gefahr, wenn ein Signal eines Energieversorgers an ein Umspannwerk von Unbefugten verändert wird. Ein Blackout kann die Folge sein.

Ein anderes Beispiel: Wasserwerke senden Befehle an verschiedene Pumpenstandorte, um dort Grundwasser zu fördern. Durch eine Manipulation der Daten könnten alle Pumpen herunterfahren, wodurch die Wasserversorgung zusammenbrechen würde. Verhindern lässt sich eine solche Manipulation von Daten, indem man diese kryptografisch absichert. Nur Sender und Empfänger haben dann schreibenden und lesenden Zugriff auf den Inhalt der Nachricht.
 

Netzwerkverschlüsseler dringend benötigt

Wer die Integrität und Vertraulichkeit seiner Kommunikationsdaten schützen will, wenn diese das Firmengelände verlassen, benötigt daher einen Netzwerkverschlüsseler. Die Geräte schützen vor Spionage und Manipulation von Daten, die per Internet oder Ethernet über Festnetz, Richtfunk oder Satellit übertragen werden. Sobald die Daten den Unternehmenssitz oder das Rechenzentrum verlassen, werden sie für den Transport zur Zieladresse verschlüsselt. Am Zielort angekommen wird der Befehl mit Hilfe eines weiteren Gerätes wieder entschlüsselt.

Die Herausforderung: Die kryptografische Absicherung sollte zwar hochsicher sein und Daten vor Angreifern schützen, gleichzeitig aber eine Übertragung nicht verlangsamen. Der entscheidende Faktor ist hier die Latenz – also die Zeit, die Daten benötigen, um von einem Punkt in einem Netzwerk zu einem anderen zu gelangen.
 

Effiziente Absicherung ohne ­Performanceverlust

Entscheidend für die Latenz ist u. a., auf welcher Ebene des Übertragungsnetzes die Verschlüsselung stattfindet. Für Unternehmen, die über ein Ethernet-Netzwerk verfügen, bietet sich eine Layer-2-Verschlüsselung an. Eine Verschlüsselung auf dieser Schicht ermöglicht eine Grundsicherung mit minimalem Performanceverlust. Nutzer profitieren von voller Leitungsgeschwindigkeit bei extrem geringer Latenz. Die Verschlüsselung ist in Echtzeit möglich. Layer-2-Verschlüsseler eignen sich für den Einsatz an zentralen Standorten von kritischen Infrastrukturen und in Rechenzentren und sichern auch große und komplexe Netze auf einfache Weise ab. Dabei können die Geräte ohne großen Aufwand in bereits bestehende Netzwerkinfrastrukturen integriert werden.

Ausschlaggebend für die Wahl des richtigen Verschlüsselungsgerätes ist es zudem, dass dieses selbst vertrauenswürdig ist. Denn manipulierte Bauteile stellen heute eine steigende Bedrohung bei der Herstellung von Hardwarekomponenten dar. Aus diesem Grund sollten nur Geräte gewählt werden, die vollständig in Deutschland hergestellt wurden. Grundsätzlich gilt die Faustregel: Je tiefer die Fertigungstiefe ist, umso sicherer die Geräte. Ein weiterer Vorteil der Fertigung vor Ort: Die Geräte können kundenspezifisch angepasst werden. Zudem sind die nach speziellen Industriestandards konzipierten Geräte sehr robust – auch dann, wenn sie sich in Umspannwerken oder an Bahntrassen befinden und extremen Temperaturschwankungen ausgesetzt sind.

Ein weiteres Kriterium spielt eine Rolle bei der Wahl des richtigen Verschlüsselers: Beim Umgang mit kritischen Daten ist die Nutzung geprüfter Produkte empfehlenswert. Mit Netzwerkverschlüsselern, die vom BSI für die Verarbeitung von Verschlusssachen zugelassen wurden, sind KRITIS bestens ausgestattet. Eine BSI-Zulassung zeichnet Produkte und Lösungen aus, die für den Schutz von Verschlusssachen entsprechend den Einsatz- und Betriebsbedingungen genutzt werden können. Die Zulassung ist dabei immer zeitlich begrenzt und macht eine stetige Überprüfung und Aktualisierung notwendig. Denn IT-Sicherheit ist niemals statisch zu verstehen. So können beispielsweise kryptografische Verfahren im Laufe der Zeit schwächer werden und an Wirksamkeit verlieren. Wer auf vom BSI zugelassene Lösungen setzt, ist immer auf dem aktuellsten Stand.

IT-Security made in Germany

Einer der Hersteller, der solche zugelassenen Netzwerkverschlüsseler anbietet, ist das deutsche Unternehmen Rohde & Schwarz Cybersecurity. Die Firma ist zudem Träger des Vertrauenszeichens „IT Security Made in Germany“ des Bundesverbandes für IT-Sicherheit „Teletrust“. Unternehmen erhalten das Zeichen, wenn sie u. a. bestätigen, dass ihre Produkte keine versteckten Zugänge – sogenannte Backdoors – enthalten, dass der Unternehmenshauptsitz in Deutschland ist und auch die Forschung und Entwicklung auf heimischem Boden stattfindet.

Hergestellt werden die Geräte vollständig in den eigenen Werken des Mutterkonzerns Rohde & Schwarz in Deutschland. Das Unternehmen ist Pionier hochsicherer Verschlüsselungstechnologien und verfügt über 30 Jahre Erfahrung in der Entwicklung von Verschlüsselungsprodukten. Aktuell forscht man an der Kryptografie für das Quantenzeitalter, um auch bereit zu sein für die Sicherheit von morgen.