Intranet-Abschottung
01.02.2007, 09:54 Uhr
Getrennt und doch verbunden
Am Hasso-Plattner-Institut wurde ein Gerät entwickelt, das Systeme physisch trennt, aber doch einen Datenaustausch zulässt.
Der Lock-Keeper trennt das Intranet physisch vom Internet. Daten müssen ein Schleusensystem aus drei unabhängigen Rechnern passieren.
Wer wirklich Ruhe haben will vor Attacken, der zieht den Netzwerkstecker. Doch eine physische Trennung zwischen schützenswerter und «nur» regulär abgesicherter Datenverarbeitungsinfrastruktur sowie dem wilden Internet hat auch Nachteile. Wie lassen sich aus diesen -Alcatraz-Umgebungen Daten aus- und einlesen? «Bislang erfolgte dies oft mit einer CD», berichtet Christoph Meinel, Leiter des an der Universität Potsdam angesiedelten Hasso-Plattner-Instituts. Die vom SAP-Gründer finanzierte Lehranstalt, die auf praktisches System-Engineering fokussiert ist, hat nun mit Lock-Keeper ein Gerät entwickelt, das die fast paradoxe Auf-gabe hat, physisch getrennte Computersysteme untereinander zu verbinden.
«Mit Lock-Keeper haben wir eine Methode gefunden, um den manuellen Datenaustausch zu automatisieren», sagt Meinel, der dieser Tage im Rahmen eines vom Zurich Information Security Center (Zisc) der ETH organisierten Kolloquiums für Informationssicherheit, die Lösung präsentierte. Das Gerät, das von Siemens Schweiz lizenziert und zur Marktreife gebracht wurde, funktioniert dabei nach dem Prinzip einer Schleuse. Zunächst erfolgt der Datentransfer aus dem äusseren Netz in den Lock-Keeper. Eine Verbindung zum inneren Netzwerk besteht zu diesem Zeitpunkt nicht. Danach schliesst sich die «Schleu-se» zwischen Lock-Keeper und dem äusseren Netz, die Daten befinden sich jetzt separiert im Gerät. Erst dann öffnet sich das Tor zum inneren Netz und die Daten werden weitergereicht.
Damit dies funktioniert, werkeln im Lock-Keeper gleich drei unabhängige Rechner. Während einer der Computer nach innen verbunden ist, hält der zweite Rechner mit dem offenen Internet Kontakt.
Zwischen den beiden schaltet und waltet ein Gate-Computer. Letzterer steuert nicht nur die Schleuse, er ist auch mit diversen Security-Programmen zur Virenbekämpfung und mit einer Firewall ausgestattet. Weitere Sicherheit wird dadurch gewährleistet, dass alle Applikationen im Lock-Keeper auf virtuellen Maschinen (VM) betrieben werden. Hacker können somit höchstens eine VM abschiessen, was laut Meinel keinerlei Auswirkung auf die Hardware hat.
«Mit Lock-Keeper haben wir eine Methode gefunden, um den manuellen Datenaustausch zu automatisieren», sagt Meinel, der dieser Tage im Rahmen eines vom Zurich Information Security Center (Zisc) der ETH organisierten Kolloquiums für Informationssicherheit, die Lösung präsentierte. Das Gerät, das von Siemens Schweiz lizenziert und zur Marktreife gebracht wurde, funktioniert dabei nach dem Prinzip einer Schleuse. Zunächst erfolgt der Datentransfer aus dem äusseren Netz in den Lock-Keeper. Eine Verbindung zum inneren Netzwerk besteht zu diesem Zeitpunkt nicht. Danach schliesst sich die «Schleu-se» zwischen Lock-Keeper und dem äusseren Netz, die Daten befinden sich jetzt separiert im Gerät. Erst dann öffnet sich das Tor zum inneren Netz und die Daten werden weitergereicht.
Damit dies funktioniert, werkeln im Lock-Keeper gleich drei unabhängige Rechner. Während einer der Computer nach innen verbunden ist, hält der zweite Rechner mit dem offenen Internet Kontakt.
Zwischen den beiden schaltet und waltet ein Gate-Computer. Letzterer steuert nicht nur die Schleuse, er ist auch mit diversen Security-Programmen zur Virenbekämpfung und mit einer Firewall ausgestattet. Weitere Sicherheit wird dadurch gewährleistet, dass alle Applikationen im Lock-Keeper auf virtuellen Maschinen (VM) betrieben werden. Hacker können somit höchstens eine VM abschiessen, was laut Meinel keinerlei Auswirkung auf die Hardware hat.
