Erinnern Sie sich an die Szene, in der Tom Cruise in „Mission Impossible“ kopfüber von der Decke hing und versuchte, Daten aus einem Computer zu stehlen, der sich in einem streng geheimen Tresorraum im CIA-Hauptquartier befand? Aus heutiger Sicht könnte man sich fragen, warum er überhaupt durch all die Luftschächte krabbeln und seinen Kopf riskieren musste. Hätte er das Gerät nicht einfach hacken können? Nein. Denn das CIA-System war durch einen Air Gap geschützt. Es handelte sich um einen freistehenden Computer, der an kein Netzwerk angeschlossen war. Wenn man ihn benutzen wollte, musste man sich in diesem streng gesicherten Raum aufhalten. So zumindest dachte man es sich.
Es ist leicht, sich über Hollywood und seine Exzesse zu amüsieren, aber der Film spiegelt die damals vorherrschende Ansicht wider, dass der beste Schutz darin besteht, für einen räumlichen Abstand zwischen einem System und jedem oder allem zu sorgen, der oder das versucht, auf das System zuzugreifen. Die Situation hat sich allerdings geändert. Air Gaps gibt es immer noch. Einige Unternehmen benötigen sie unbedingt, aber die praktische Umsetzung und Aufrechterhaltung eines Air Gaps ist in den letzten zwei Jahrzehnten erheblich schwerer geworden. Um zu verstehen, warum Air Gaps immer noch wichtig sind, lohnt es sich, zunächst das Konzept zu definieren und zu untersuchen, was damit gut funktioniert und was nicht.
Ein Air Gap ist eine Sicherheitsmaßnahme. Der Gedanke dahinter lautet, eine undurchdringliche Barriere zwischen einem digitalen Gut und böswilligen Akteuren zu schaffen. In diesem Zusammenhang könnte ein böswilliger Akteur ein Hacker, ein Virus, ein Insider, ein Stromausfall oder eine Naturkatastrophe sein – alles, was das digitale Gut bedroht. Wie der Name schon sagt, wird der einfachste Air Gap dadurch geschaffen, dass ein digitales Gut von allen Netzwerkverbindungen getrennt und ein physischer Abstand zwischen ihm und allen Personen, die möglicherweise darauf zugreifen wollen, eingerichtet wird.
Interessanterweise gibt es das Air-Gap-Konzept auch in anderen Bereichen. So geben beispielsweise Bauvorschriften einen Luftspalt zwischen Wasserquellen und Abflüssen vor. In der Elektrotechnik ist ein Abstand zwischen beweglichen Teilen in einem Elektromotor erforderlich.
Air Gaps dienen zwei grundlegenden Sicherheitszwecken. Sie bieten Schutz im Hinblick auf ein mögliches Eindringen in ein Netzwerk oder System. Außerdem schützen sie digitale Güter vor Zerstörung, Zugriff oder Manipulation. Diese beiden Ziele überschneiden sich oft, aber sie sind unterschiedlich. Air Gaps können für den einen oder den anderen Zweck eingesetzt werden. Die Aufbewahrung von Backup-Bändern in einem Salzbergwerk ist ein Beispiel für einen Air Gap, der Daten vor unbefugtem Zugriff schützt. Es gibt kein System, das kompromittiert werden könnte. Im Allgemeinen ist das Daten-Backup ein Anwendungsfall, bei dem der Air Gap von Vorteil ist. Der Gedanke dahinter lautet: Wenn unsere Systeme kompromittiert oder zerstört werden, können wir sie mit Daten wiederherstellen, die sicher in einer per Air Gap geschützten Umgebung aufbewahrt werden.
Ob zu Recht oder zu Unrecht, viele Sicherheitsexperten halten den Air Gap für die ultimative Schutzmaßnahme. Denn wenn ein Angreifer nicht einmal auf das System oder das Netzwerk zugreifen kann, wie kann er es dann beschädigen? Malware, die im Internet kursiert, kann nicht in ein System mit Air Gap eindringen. Hacker können nicht in ein per Air Gap gesichertes System eindringen und die Kontrolle darüber erlangen. Tatsächlich sind Air Gaps in Hochsicherheitsumgebungen wie beim Militär, im Finanzwesen und bei Energieversorgungsunternehmen weit verbreitet. Die Sicherheitsrichtlinien in solchen Organisationen können die Verwendung von Air Gaps vorschreiben.
Es gibt viele Variationen des Air-Gap-Konzepts. Allgemein betrachtet gibt es drei hauptsächlich genutzte Arten:
Der absolute physische Air Gap. Ein typisches Beispiel wäre das Salzbergwerk, in dem digitale Güter in einer vollständig isolierten physischen Umgebung, getrennt von allen mit dem Netzwerk verbundenen Systemen, eingeschlossen werden. Ein digitales Gut hat bei einem absoluten physischen Air Gap keine Netzwerkverbindungen. Wenn jemand Daten von dort abrufen oder darauf speichern möchte, muss er sich physisch dorthin begeben und dabei in der Regel physische Sicherheitsbarrieren überwinden.
Trennung innerhalb derselben Umgebung. Ein Air Gap kann erzielt werden, indem ein Gerät einfach vom Netzwerk getrennt wird. Man könnte z. B. zwei Server im selben Rack unterbringen, die aber trotzdem nicht miteinander verbunden sind, weil einer davon nicht an das Netzwerk angeschlossen ist.
Logischer Air Gap. Bei einem logischen Air Gap erfolgen die Trennung und der Schutz eines mit dem Netzwerk verbundenen digitalen Guts anhand logischer Prozesse. Durch Verschlüsselung und Hashing in Verbindung mit rollenbasierten Zugangskontrollen lassen sich beispielsweise die gleichen Sicherheitsergebnisse erzielen wie durch einen physischen Air Gap. Selbst wenn jemand auf das digitale Gut zugreifen kann, so kann dieses Gut doch nicht verstanden, gestohlen oder verändert werden.
Von einem Teil der Cybersicherheits-Community wird heute die Meinung vertreten, dass so etwas wie ein Air Gap schlicht nicht mehr existiert. Das mag zwar wie eine leichtfertige Verallgemeinerung klingen, aber es ist etwas Wahres daran. Ein Problem ist die weit verbreitete Internetkonnektivität von heute. Da buchstäblich Milliarden von Geräten mit dem Internet verbunden sind und Verbindungen zwischen den Geräten bestehen, ist es wahrscheinlich, dass ein System, das angeblich per Air Gap geschützt ist, tatsächlich doch eine Internetverbindung hat, von der niemand weiß.
Wenn Unternehmen Geräte-Scan-Tools einsetzen, um ein Inventar aller an das Netzwerk angeschlossenen Geräte zu erstellen, entdecken sie unweigerlich Geräte, von denen niemand wusste, dass sie überhaupt existieren, geschweige denn, dass sie eine Netzwerkverbindung haben. Wenn man die drahtlosen Netzwerkverbindungen in diese Analyse mit einbezieht, kann es sogar noch mehr Lücken im Air-Gap-Schutz geben. Ein System kann physisch getrennt, aber dennoch über die Luft verbunden sein, die ja eigentlich eine unüberwindbare Barriere für den Zugang bilden sollte. Darüber hinaus können Hacker heute hochentwickelte drahtlose „Sniffing“-Technologien einsetzen, um Daten aus einem System auszulesen, das ansonsten physisch isoliert ist.
Es ist nicht einfach, Air Gaps herzustellen und aufrechtzuerhalten. Neben der Bedrohung durch versehentliche Verbindungen oder findige Hacker besteht für Air Gaps eine Vielzahl von Risiken, die vom Menschen ausgehen. Eingaben/Ausgaben sind der Kern des Problems. Ob Air Gap oder nicht, Benutzer müssen in der Regel Daten hinzufügen, ändern oder aus dem System herunterladen. Das gilt für Backups wie auch für Produktionssysteme. Zu den meisten herkömmlichen Air Gaps gehört daher etwas, das gerne als „Sneakernet“ bezeichnet wird: eine physische Methode zur Datenübertragung, z. B. ein WLAN-Dongle oder ein USB-Anschluss.
An diesem Punkt kommen die menschlichen Unzulänglichkeiten ins Spiel. Selbst wohlmeinende Benutzer lassen versehentlich Türen unverschlossen oder USB-Anschlüsse unbewacht. Sie werden möglicherweise nachlässig bei der Beachtung von Sicherheitsvorschriften. Ein besorgniserregendes Beispiel für dieses Risiko findet sich auf Handelsschiffen und Marineschiffen, deren mechanische Steuerungs- und Navigationssysteme durch einen Air Gap getrennt sind, weil sie sich auf einem Schiff befinden und in der Regel nicht mit dem Internet verbunden sind (aber auch ändert sich allmählich). Aber sobald ein Schiff angelegt hat, kann ein böswilliger Akteur auf das Schiff gelangen und einen USB-Stick verwenden, um Malware in das System einzuschleusen. Wenn ein Schiff gewartet wird und Hunderte von mehr schlecht als recht überprüften Arbeitskräften an Bord sind, während die reguläre Besatzung abwesend ist, kann man sich leicht vorstellen, wie ein Air Gap nutzlos wird.
Ein Angriff auf die Lieferkette kann in per Air Gap getrennten Systemen über die Software erfolgen, mit der die Systeme betrieben werden. So gelang es dem unbekannten Angreifer, Malware in eine iranische Nuklearanlage einzuschleusen, obwohl diese sich unter der Erde befand, von der Außenwelt abgeschirmt war und von Soldaten bewacht wurde. Durch Einschleusen des Stuxnet-Virus in ein Update des Befehls- und Kontrollsystems gelang es dem Angreifer, den Air Gap zu überwinden und Zentrifugen zu zerstören, in denen Uran angereichert wurde.
Auch Social Engineering und Insider-Angriffe können Air Gaps umgehen. Hacker, die physischen Zugang zu einem Standort benötigen, um in eine per Air Gap getrennte Umgebung einzudringen, sind in der Regel clever genug, um sich Zugang zu verschaffen, indem sie sich als echte Mitarbeiter ausgeben oder andere Tricks anwenden. (Denken Sie nur an Tom Cruise! Er gelangte mit einer Feuerwehrmannschaft hinein.) Auch Insider stellen eine ständige Bedrohung für Air Gaps dar, so unerfreulich der Gedanke auch sein mag.
Die Verschlüsselung ruhender Daten ist aus diesen Gründen eine gute Gegenmaßnahme, die in Verbindung mit Air-Gapping angewendet werden kann. Einem Angreifer, der es wirklich darauf anlegt, wird es wahrscheinlich gelingen, sich Zugang zu dem per Air Gap getrennten System zu verschaffen. Am besten ist es sicherzustellen, dass alle Daten, die gestohlen werden können, für einen solchen Angreifer völlig nutzlos sind.
Die beste Herangehensweise besteht heute darin, Air Gaps realistisch zu betrachten. Sie können funktionieren und sie können unter den richtigen Umständen tatsächlich sehr effektiv sein. Wichtig ist allerdings, dass man es sich nicht zu einfach macht, indem man denkt: „Die Daten sind per Air Gap geschützt, also sind sie sicher“. Das stimmt ganz einfach nicht mehr.
Stattdessen ist es sinnvoll, sorgfältig über die gewünschten Ergebnisse, Risiken und Schwachstellen für einen bestimmten Air-Gap-Anwendungsfall nachzudenken. Wenn das Ziel beispielsweise darin besteht, Backups zu sichern, ist die Verschlüsselung ein entscheidender Faktor für einen brauchbaren Air Gap. Auch ein logischer Air Gap kann in bestimmten Fällen die beste Lösung sein. Möglicherweise ist eine physische Trennung gar nicht nötig. Bei richtigem Einsatz stellt ein Air Gap eine starke Cyber-Schutzebene dar.