Logische und physische Air Gaps: Mythen in Luft aufgelöst

Illustration: Absmeier

Air Gaps sind eine gängige Cybersicherheitsmaßnahme, bei der digitale Ressourcen isoliert werden, um sie für Kriminelle unerreichbar zu machen. Über Air Gaps kursieren viele Mythen im Cybersicherheitsumfeld. Erscheint es nicht seltsam, dass logische Air Gaps trotz ihrer Fähigkeit, Angriffe abzuwehren, nicht als Air Gaps betrachtet werden? Um die Verwirrung zu beseitigen, erläutert Rubrik, Experte für Zero Trust Data Security, die verschiedenen Arten von Air Gaps, die heute im Einsatz sind. Ziel ist es, mittels eines Einblicks in ihre Sicherheitsfunktionen einige der am weitesten verbreiteten Mythen zu entlarven.

Woher stammt der Mythos, dass eine physische Trennung notwendig ist? Vor 1969 und dem Aufkommen des ARPANET gab es nur wenige effektive oder wirtschaftliche Möglichkeiten, Computer zu Netzwerken zu verbinden. Das ARPANET, aus dem das Internet hervorging, brachte zwar die fantastischen Vorteile der Konnektivität mit sich, schuf aber auch den Sicherheitsalptraum, mit dem sich die meisten von uns heute auseinandersetzen müssen. Es kann verführerisch sein, sich in jene idyllischen Zeiten zurückzuversetzen, als Computer noch in gläsernen Räumen saßen, völlig abgeschottet von der Außenwelt. Es gibt jedoch keinen Weg zurück. Die Air-gapped-, also »luftgekapselten« Systeme von einst werden nie mehr zurückkehren.

 

Was ist eigentlich ein Air Gap?

Ein Air Gap schützt ein digitales Gut, indem dieses hinter einer undurchdringlichen Barriere platziert wird, um unbefugten Zugriff und Änderungen zu verhindern. Für einige Sicherheitsexperten ist ein Air Gap eine Mindestanforderung an die Cyberverteidigung. In bestimmten Bereichen, wie dem Militär oder kritischen Infrastrukturen, können Air Gaps sogar in einer Sicherheitspolitik vorgeschrieben sein. Auch die Anbieter von Cyberversicherungen können einen Air Gap als Bedingung für die Ausstellung einer Police verlangen.

Wie der Name schon sagt, ist die am häufigsten verwendete Barriere die physische Trennung, d. h. ein bestimmtes System wird in einem separaten Raum oder Gebäude ohne jegliche Netzwerkverbindungen untergebracht. In der Welt der Datensicherung und Datenwiederherstellung könnte dies bedeuten, dass Sicherungsbänder an eine sichere Einrichtung außerhalb des Unternehmens versandt werden. Niemand wird sich an einem unbekannten, sicheren Ort einhacken, an dem er keinen Zugriff auf die physischen Bänder hat. Dieser Ansatz mit Bändern an einem separaten Ort kann als »Offsite-Kopie« oder »Offline-Sicherung« bezeichnet werden.

Air Gaps schützen sowohl vor unbefugtem Zugriff als auch vor unerwünschten Änderungen. Der Schutz vor Eindringlingen und der Schutz von Daten überschneiden sich also, verfolgen aber unterschiedliche Sicherheitsziele. Diese Unterscheidung ist wichtig, da einige Air Gaps dazu dienen, einen Einbruch ins System zu verhindern, während andere zum Schutz vor Daten- oder Softwareschäden konzipiert sind.

Physische Air Gaps haben ihre Nachteile. Sie können kostspielig in der Implementierung und umständlich in der Verwaltung sein. Außerdem bieten sie in der Regel relativ langsame Wiederherstellungszeiten (RTOs) und Wiederherstellungszeitpunkte (RPOs), da die Daten manuell und sicher über den Air Gap transportiert werden müssen.

 

Mythos Nr. 1: Nur ein physischer Air Gap kann das höchste Maß an Sicherheit gewährleisten

Es mag einmal wahr gewesen sein, dass ein physischer Air Gap das höchste Maß an Sicherheit gewährleistet. Doch auch dies ist heute weitgehend ein Mythos. Ein Problem ist die unbekannte Konnektivität. Da heute buchstäblich Milliarden von Geräten mit dem Internet verbunden sind, ist es möglich oder sogar wahrscheinlich, dass ein Gerät, von dem man annimmt, dass es über einen Air Gap verfügt, dennoch im Netz ist. Das Problem ist, dass das niemand weiß. In der Tat sind viele IT-Abteilungen schockiert, wenn sie bei der Durchführung von Netzwerksicherheitsscans bisher unbekannte Geräte in ihren Netzwerken entdecken, zusammen mit versehentlich angeschlossenen Air-Gapped-Systemen.

Physische Air Gaps bieten in der Regel auch keinen Schutz gegen Insider-Angriffe, Social Engineering und die grundlegende menschliche Natur. Heutzutage dreht sich die Welt um Daten, und daher benötigt auch ein Air-Gapped-System einen physischen Zugangspunkt, damit Benutzer Daten hinzufügen, löschen oder ändern können. Dieser Zugangspunkt, der auch als »Sneakernet« bezeichnet wird, setzt das gekapselte System Bedrohungen aus. Ein böswilliger Insider oder ein Hacker, der sich für einen berechtigten Benutzer ausgibt, kann das System gefährden. Ebenso kann die banale Vergesslichkeit eines Teammitglieds dazu führen, dass Ports offenbleiben, Türen unverschlossen sind etc. Infolgedessen ist das Air-Gapped-System anfällig für unbefugten Zugriff.

 

Mythos Nr. 2: Ein Air Gap muss eine physische Trennung sein

Einige würden behaupten, dass man entweder einen physischen Air Gap hat oder eben »keinen Air Gap«. Es gibt kein Gesetz oder Gebot von oben, das diese Wahrheit auf die eine oder andere Weise festlegt, aber in der Praxis ist die Vorstellung, dass nur physische Luft («Air«) einen Luftspalt, also Air Gap schafft, ein Mythos. Als Gegenmaßnahme lässt sich ein effektiver Air Gap einfach dadurch realisieren, dass ein Rechner vom Netz getrennt wird. Man könnte z. B. zwei Server im selben Rack aufstellen, von denen einer an das Netz angeschlossen ist und der andere nicht. Der letztgenannte Rechner wäre mit einem Air Gap versehen, d. h. es wäre für einen Hacker praktisch unmöglich, ihn über das Netzwerk zu erreichen.

Der »logische Air Gap« ist ein alternativer Zero-Trust-Ansatz, bei dem ein mit dem Netzwerk verbundener digitaler Vermögenswert auf logischer und nicht auf physischer Basis getrennt und geschützt wird. Ein logischer Air Gap erreicht die Trennung durch eine Zero-Trust-Architektur mit Verschlüsselung, die Daten für einen Angreifer unbrauchbar macht, und Unveränderbarkeit, die verhindert, dass Daten verändert werden. In Verbindung mit rollenbasierten Zugriffskontrollen und Mehrfaktor-Authentifizierung kann der logische Air Gap die gleiche oder eine bessere Risikominderung bieten als ein physischer Air Gap.

 

Mythos Nr. 3: Logische Air Gaps sind nicht so sicher wie physische Air Gaps

Ein weiterer Mythos besagt, dass ein logischer Air Gap nicht so sicher ist wie ein physischer Air Gap. Mit der richtigen Implementierung von logischen Air Gaps ist dies schlicht nicht wahr. Zum einen kann ein physischer Air Gap viele Schwachstellen aufweisen. Aber selbst im besten Fall ist ein gut konzipierter und hochsicherer physischer Air Gap nicht unbedingt sicherer als ein logischer Air Gap.

Der logische Air Gap von Rubrik für die Datensicherung zum Beispiel verwendet einen mehrschichtigen Sicherheitsansatz, der es weniger wahrscheinlich macht, dass er durchbrochen wird als ein gut gebautes physisches Air-Gap-System. Rubrik verwendet keine durchsuchbaren Protokolle wie Common Internet File System (CIFS) oder Network File System (NFS), die gesicherte Daten in einem Netzwerk leicht auffindbar machen. Die gespeicherten Daten sind für einen Angreifer praktisch unsichtbar.

Die Zero Trust-Architektur verbietet jedem Benutzer (Mensch oder Maschine) den Zugriff auf die gespeicherten Daten, außer durch zertifizierte Prozesse. Ein normaler Benutzer oder ein Hacker kann nicht auf die Daten zugreifen oder sie mit Hilfe von Standard-Datenverwaltungsprozessen abrufen. Atlas, das verteilte Dateisystem, erfordert, dass die Prozesse durch den Austausch von Zertifikaten und Token validiert und geschützt werden. Dieser Ansatz macht es für jeden extrem schwierig, unbefugten Zugriff auf Daten in Atlas zu erhalten. Sollte sich ein böswilliger Akteur irgendwie Zugang verschaffen, würde er auf wertlose verschlüsselte Daten stoßen. Die Daten selbst würden den Methoden der Unveränderlichkeit unterliegen.

 

Schlussfolgerung

Der moderne Air Gap unterscheidet sich deutlich von seinen Vorgängern. Nicht nur die Technologie und das allgemeine Bedrohungsumfeld haben sich weiterentwickelt, sondern auch das Design von Air Gaps hat sich im Laufe der Zeit verändert. Der Mythos, dass eine physische Lösung besser ist als eine logische, ist schlichtweg falsch. In einer stärker verteilten und virtualisierten Welt ist der logische Air Gap sicherer als der physische.