Neues Internet der ETH schützt besser vor Hackern

Die Nationalbank testet ein neues Internet der ETH, das auch den elektronischen Zahlungsverkehr sicherer machen soll.

Wie fehleranfällig der Datenverkehr im Internet wirklich ist, zeigte ein Zwischenfall am vergangenen Donnerstag, als die falsche Konfiguration von Internetroutern zur versehentlichen Umleitung von Nutzerdaten aus der Schweiz und Europa nach China führte. Probleme dieser Art treten heute in kleinerem Ausmass mehrmals stündlich auf und sind oft beabsichtigt. Das Phänomen nennt sich Hijacking: Betrüger und Geheimdienste leiten Daten für ihre eigenen Zwecke um.

Um dagegen vorzugehen, entwickelt die ETH Zürich eine Alternative zur heutigen unsicheren Router-struktur des Internets. Das neue Scion-netz ist eine Art Navigationssystem für Datenpakete, das ihre böswillige oder versehentliche Umleitung auf fremde Computer verhindert. In einem Scion-netz ist Hijacking grundsätzlich ausgeschlossen. «Scion verfügt über mächtige Verteidigungsinstrumente, mit denen Angriffe abgewehrt werden können», sagt Professor Adrian Perrig von der ETH Zürich. Er leitet den von der Swisscom über zehn Jahre finanzierten Lehrstuhl zur Entwicklung des neuen Internets.

Erstmals getestet wird Scion derzeit von der Schweizerischen Nationalbank. Ihre Niederlassung in Singapur nutzt das System seit zwei Jahren. In Zukunft könnte Scion auch für die Kommunikation zwischen Banken verwendet werden, zum Beispiel für den bargeldlosen Zahlungsverkehr.

Der Handelsstreit zwischen China und den USA hatte diese Woche eine erste konkrete Folge: Huawei musste die Präsentation eines neuen Laptops absagen, weil der chinesische Technologiekonzern wegen der Us-sanktionen derzeit nicht mit den nötigen IntelProzessoren und der Software von Microsoft beliefert werden darf. Die Regierung Trump behauptet, dass Huaweiserver Hintertüren enthalten würden, mit denen China westliche Demokratien ausspioniere.

Beweise für ihre Behauptungen haben die Amerikaner zwar keine vorgelegt. Die Sicherheitsbedenken lassen sich aber auch nicht einfach widerlegen. Dazu ist die heutige Netzwerktechnik viel zu komplex. «Bei Das Umleiten von Daten ist im heutigen Internet an der Tagesordnung.

Sicherheitsexperten registrieren jede Stunde oft mehrere Ereignisse. Millionen von Zeilen Programmcode können keine belastbaren Aussagen über die Sicherheit gemacht werden», sagt Adrian Perrig, Professor für Netzwerksicherheit an der ETH Zürich. Das gelte nicht nur für Server von Huawei, sondern auch für Produkte amerikanischer oder europäischer Lieferanten. Wesentlich sicherer könnten die Telekommunikationsnetze nur werden, wenn das Internet auf ein neues Softwarefundament gestellt würde.

Dieses Ziel verfolgt Perrig an der ETH Zürich. Er entwickelt eine Art Navigationssystem für Datenpakete, das ihre böswillige oder versehentliche Umleitung auf fremde Computer verhindert. Bis 2021 soll das neue Verfahren im Computernetz des gesamten Eth-bereichs zur Verfügung stehen, sagt Perrig. Die Schweizerische Nationalbank (SNB) nutzt die hochsichere Technik schon heute für die Kommunikation mit ihrer Niederlassung in Singapur.

Das Umleiten von Daten, das sogenannte Hijacking, ist im heutigen Internet an der Tagesordnung. Sicherheitsexperten registrieren jede Stunde oft mehrere Ereignisse, bei denen der globale Datenverkehr auf Abwege gerät. Nicht immer handelt es sich dabei um gezielte Angriffe. Viel häufiger sind versehentliche Fehlkonfigurationen von Routern im Netz. Ärgerlich und teuer sind diese Vorfälle aber immer – und im schlimmsten Fall gefährlich.

Die Achillesferse des Netzes und daher auch bevorzugtes Angriffsziel von Hackern
und Geheimdiensten ist das sogenannte Border Gateway Protocol (BGP). Mit diesem Verfahren bestimmen heutige Internetserver den Pfad, auf den sie Daten vom Sender zum Empfänger schicken. Wie fast alle Protokolle, die den Datenstrom im Netz regeln, stammt auch BGP aus einer Zeit, als das Internet nur einige wenige amerikanische Rechenzentren miteinander verband. Sicherheit spielte keine grosse Rolle, und entsprechend einfach ist es für Geheimdienste heute noch immer, den globalen Datenstrom in ihre Länder umzulenken und ihren Inhalt zu lesen oder zu manipulieren.

Am Donnerstag vergangener Woche waren auch Swisscom und andere grosse europäische Telekommunikationsunternehmen von einer solchen Fehlkonfiguration von Bgproutern betroffen. Zwei Stunden lang wurden Daten von europäischen Nutzern durch die Netze von China Telecom umgeleitet. Ursache war ein Fehler bei einem Westschweizer Datencenter, das versehentlich Internetrouten an China Telecom weiterleitete. Und weil auch bei China Telecom offenbar niemand den Fehler bemerkte, wurden die Datenströme von China Telecom über China umgeleitet, was europaweit zu Netzausfällen oder langsamen Verbindungen führte.

Im Auftrag der Regierung
Überhaupt China Telecom: Seit ein 2015 abgeschlossenes Abkommen zwischen China und den USA das Ausspionieren von Unternehmen durch militärische Akteure explizit verbietet, hat das staatseigene Fernmeldeunternehmen diese Aufgabe im Auftrag der chinesischen Regierung übernommen. Das behaupten die Sicherheitsforscher Chris Demchak und Yuval Shavitt in einer 2018 publizierten Studie.

Allein in Nordamerika betreibe China Telecom zehn Netzknoten, von denen aus der amerikanische Datenverkehr über den Umweg China geschleust werden könne. So sei im Jahr 2016 eine Verbindung zwischen kanadischen und südkoreanischen Behörden während sechs Monaten unbemerkt über China gelaufen (vgl. Grafik). Am 8. April 2010 sei es China Telecom sogar gelungen, 18 Minuten lang 15 Prozent des gesamten Internetverkehrs ins Reich der Mitte zu lenken. Angriffspunkt war auch hier das notorisch komplexe BGP, das Hackern eine Vielzahl von Schwachstellen für Angriffe bietet.

Eine Alternative zu BGP ist das Protokoll «Scion», das Perrig seit seiner Rückkehr aus den USA im Dezember 2012 in Zürich entwickelt. Scion verspricht mehr Sicherheit, weil die Implementierung des Protokolls von den Netzbetreibern selbst verifiziert werden kann. Manipulationsversuche würden sofort auffallen, und die Netzbetreiber müssten ihren Ausrüstern wie Huawei, Cisco und anderen nicht mehr blind vertrauen.

Das sogenannte Hijacking ist in einem Scion-netz grundsätzlich ausgeschlossen. Denn hier bestimmen Sender und Empfänger vorab selbst, welchen Weg die Daten nehmen. Jedes Datenpaket trägt die vollständige Pfadinformation in sich. Heute enthalten die Datenpakete dagegen nur die Adressen von Sender und Empfänger, so dass es die Router im Internet sind, die Schritt für Schritt entscheiden, wohin sie die Daten weiterreichen.

In Scion aber definieren die Endgeräte und nicht die Router den Datenpfad. «Wer die Kommunikation abhören oder manipulieren will, muss auf dem vorbestimmten Weg liegen», sagt Perrig. «Scion verfügt über mächtige Verteidigungsinstrumente, mit denen Angriffe abgewehrt werden können. Selbst wenn ein Angreifer den Kommunikationspfad kennt, lässt sich verhindern, dass er ihn benutzt und angreift», sagt Perrig. So erlauben bestimmte Verfahren, dass legitime Nutzer immer Vorrang im Netz erhalten und ein Angreifer daher keinen Zugang zu einem geschützten Pfad erhält.

Mit der Sicherheit des Scion-protokolls beschäftigen sich an der ETH Zürich auch die Forschergruppen von David Basin und Peter Müller, beides Professoren am Departement für Informatik. Beide versuchen, die Sicherheit des Protokolls streng mathematisch zu beweisen und nicht nur durch Versuch und Irrtum allfällige Lücken aufzuspüren. Dazu bilden sie das Scion-netz zunächst in einem mathematischen Modell ab, das sie anschliessend systematisch untersuchen. Dieses Vorgehen ist möglich, weil das Protokoll von vornherein so entworfen wurde, dass es nur sehr wenig Angriffsfläche bietet. Die Software umfasst zudem rund tausendmal weniger Codezeilen als die heute üblichen und von keinem Menschen mehr zu durchschauenden Netzwerk-protokolle.

«Die Sicherheit mithilfe mathematischer Modelle zu beweisen, ist genau der richtige Weg», sagt Jörn Müller-quade, Professor am Karlsruhe Institute of Technology. «Wenn es möglich wird, betrügerische Umleitungen zu verhindern, wäre das eine sehr gute Massnahme»,sagt er. «Dagegen kann man eigentlich nur sein, wenn man Änderungen am bestehenden System grundsätzlich ablehnt oder wenn man ein Interesse an der heutigen Unsicherheit hat.»

Roger Halbheer ist der Chief Security Advisor von Microsoft in Europa, dem Nahen Osten und Afrika. Er sagt: «Scion ist ein hocheffizientes Verfahren, dass die Vertraulichkeit der Kommunikation im Internet verbessert. Sender und Empfänger bestimmen selbst, über welche Pfade sie Daten austauschen, und es lässt sich kryptografisch sogar beweisen, das der zuvor definierte Weg auch eingehalten wurde.»

Einen universellen Schutz gegen Hintertüren in der Netzinfrastruktur biete das Protokoll aber nicht. «Es ist nicht ausgeschlossen, dass ein Lieferant Hintertüren in seine Hardware einbaut, die ihm zum Beispiel ermöglichen, Server und Router aus der Ferne auszuschalten», sagt Halbheer.

Unterstützt wird Scion in der Schweiz von Swisscom. Diese finanziert den Lehrstuhl von Adrian Perrig über zehn Jahre. Seit zwei Jahren beteilige sich Swisscom an den Laborversuchen innerhalb der ETH Zürich, und sie habe inzwischen auch Scion-prototypen für verschiedene Firmenkunden aufgebaut, sagt Paul Moinet, Head of Enterprise Security Solutions bei Swisscom.

Zweischneidiges Schwert
Einen Durchbruch wird Scion erleben, sobald das Protokoll von international tätigen Internetprovidern unterstütztwird.

Dabei sind sichere Netzwerkprotokolle für Telekommunikationsunternehmen durchaus ein zweischneidiges Schwert, weil sie das Geschäft mit reservierten Mietleitungen beeinträchtigen könnten. Swisscom sieht das laut Moinet aber anders. «Wir sind nach wie vor neugierig und offen für neue Entwicklungen», sagt er.

Scion könne Premiumangebote ermöglichen und sei daher auch kommerziell interessant. So erlaube es das Protokoll beispielsweise, besonders schnelle Kommunikationswege exklusiv für zeitkritische Anwendungen zu reservieren und entsprechend teurer zu vermarkten. Andere Daten, die nicht auf besonders kurze Verzögerungszeiten angewiesen sind, könnten dagegen über besonders breitbandige, aber eventuell langsamere Leitungen geschickt werden. Insgesamt würden solche Angebote zu einer homogeneren und effizienteren Auslastung der gesamten Netzinfrastruktur führen und damit Kosten senken.

Ein besonderes Interesse an Scion hat die Schweizerische Nationalbank (SNB). Für die Kommunikation mit ihrer Niederlassung in Singapur nutzt sie das Protokoll seit zwei Jahren routinemässig auf zwei reservierten Mietleitungen, die nicht Teil des öffentlichen Internets sind und daher ohnehin vor Hackerangriffen geschützt sind.

In Zukunft könnte Scion weiter an Bedeutung gewinnen, wenn das Protokoll etwa für die Kommunikation der SNB mit Geschäftsbanken und mit kritischen Finanzmarktinfrastrukturen, wie beispielsweise für den bargeldlosen Zahlungsverkehr, eingesetzt werden kann.

Die Basis des elektronischen Zahlungssystems der Schweiz ist das sogenannte Swiss Interbank Clearing (SIC), das jeden Tag durchschnittlich 1,8 Millionen Zahlungen zwischen knapp 340 Banken mit Sitz in der Schweiz und im Ausland abwickelt. Die Kommunikationsinfrastruktur, auf der das SIC basiert, ist heute dank statischen Mietleitungen zwischen den Banken und dem zentralen SIC sehr sicher, aber nicht dafür ausgelegt, dass die angeschlossenen Banken auch direkt untereinander kommunizieren können. Dafür müssen die Finanzinstitute heute auf das weniger sichere Internet ausweichen.

Scion könnte die technische Grundlage für ein sicheres Finanznetzwerk (Secure Swiss Finance Network, SSFN) sein, an dem neben Banken auch neue Player (Fintechs) für die Abwicklung des Zahlungsverkehrs teilnehmen. Ein solches SSFN würde die Widerstandsfähigkeit des Finanzplatzes gegen Cyber-risiken signifikant erhöhen und könnte ein wichtiger Standortvorteil der Schweiz werden.

Einen Durchbruch wird Scion erleben, sobald das Protokoll auch von grossen, international tätigen Internetprovidern unterstützt wird. «Das würde einen sicheren Datenverkehr über Kontinente hinweg ermöglichen», sagt Perrig. Eine Blaupause für dieses Szenario haben im Oktober 2018 Swisscom und die Deutsche Telekom geliefert, als sie eine sichere Scion-verbindung zwischen Berlin und Bern realisierten.