SCION – Ein neuer Ansatz für sicheren Datenaustausch im Internet

Im Zuge von DORA sind Finanzinstitute gefordert, ihre IT-Sicherheitsstrategie weiter zu stärken und zu optimieren. Davon betroffen sind nahezu alle beaufsichtigten Institutionen und Unternehmen im europäischen Finanzsektor. Finanzunternehmen in der Schweiz müssen in den meisten Fällen die DORA-Standards ebenfalls anwenden, wenn sie mit anderen Finanzunternehmen in der EU und/oder ihren Kunden zu tun haben. Eine wichtige Massnahme zur Erhöhung der Sicherheit ist die Neugestaltung des Internet-Datenaustauschs. Die aktuellen Sicherheitsprotokolle bringen die CIOs von Finanzdienstleistern oft an ihre Grenzen.

Ein sicheres und verlässliches Internet-Domain-Routing-Protokoll

Das heutige Internet basiert auf dem Border Gateway Protocol (BGP), das seit vielen Jahren als zentrales Routing-Protokoll für den Datenverkehr eingesetzt wird. Trotz seiner weiten Verbreitung hat das BGP-Protokoll Schwächen, insbesondere im Hinblick auf Sicherheit, Resilienz und Skalierbarkeit. Das neue Internetprotokoll SCION (Scalability, Control, and Isolation On-Next-Generation Network) bietet hierbei Unterstützung. 

Das Netzwerkprotokoll wurde 2009 an der ETH Zürich unter der Leitung von Prof. Dr. Adrian Perrig entwickelt. Seine Forschung verfolgte das Ziel, die Schwächen des BGP zu überwinden und zugleich den steigenden Anforderungen an Sicherheit und Stabilität im Internet gerecht zu werden. SCION ist ein sicheres und zuverlässiges Inter-Domain-Routing-Protokoll, das Netzkontrolle und Transparenz für kommunizierende Parteien erhöht. Die Technologie ermöglicht eine bessere Kontrolle über Datenpfade, ist zuverlässiger und sicherer – und bietet damit die Eigenschaften, die für die Unternehmenskommunikation entscheidend sind. 
 

SCION im Vergleich zum herkömmlichen Internet
 

• Sicherheit und Isolation: SCION schafft Isolation Domains (ISD). Diese können als Governance-Domänen betrachtet werden und ermöglichen es, lokale Vertrauensrichtlinien zu definieren. Teil einer ISD können mehrere Internet Service Provider (ISP) sein. Eine ISD kann geschlossen oder offen sein, das heisst Governance respektive Vertrauensrichtlinien entscheiden, ob eine Kommunikation mit anderen ISDs möglich ist. Die ISDs bieten Schutz vor verschiedenen Angriffen, einschliesslich Man-in-the-Middle(MITM)-Angriffen und Routing-Hijacks, die bei BGP häufiger auftreten. BGP hat keine native Unterstützung für sichere Pfadverifikation, während SCION die Kontrolle über den Pfad erlaubt, den Datenpakete nehmen. Damit ist eine bessere Transparenz und Sicherheit gewährleistet.
   
• Pfadbasierte Kontrolle und Resilienz: SCION kennt alle Pfadsegmente innerhalb der ISDs und ermöglicht ein einfaches und schnelles Routing. Sowohl Sender als auch Empfänger können den Pfad des Datenverkehrs wählen und verifizieren. Pfadsegmente werden so zu einem End-to-End-Pfad kombiniert. Zudem sind Pfade kryptografisch gesichert, so lässt sich ein Schutz vor DDoS und Routing-Attacken gewährleisten. SCION bietet ein globales Framework für die Authentifizierung und Erstellung von Schlüsseln für einen sicheren Netzwerkbetrieb. Jeder Teilnehmer benötigt ein Zertifikat, das im Betrieb automatisch verlängert oder zurückgezogen wird. Das erhöht die Ausfallsicherheit bei Netzwerkstörungen, gibt mehr Kontrolle über die Datenströme und sorgt für einen schnellen Aufbau globaler Konnektivität. Gleichzeitig ist das Internetprotokoll „massively Multipath“ und findet nicht nur viele disjunkte Pfadsegmente, sondern ermöglicht durch Segmentkombinationen eine enorme Anzahl von Mehrwegoptionen. Diese Multipath-Eigenschaft ist nicht nur für die Resilienz wichtig, sondern auch für die Performance.
   
• Skalierbarkeit und Performance: SCION ist darauf ausgelegt, die Komplexität des Internets zu reduzieren, indem es effizientere Routing-Entscheidungen ermöglicht. Die Pfadauswahl stellt eine geringe Latenz und eine hohe Bandbreite sicher. Applikationen können mehrere Pfade gleichzeitig nutzen und diese kontinuierlich auf Performance optimieren. Das Protokoll ist so in der Lage, hohe Netzwerklasten besser zu bewältigen. Dies führt zu einer höheren Leistung, insbesondere bei der Übertragung grosser Datenmengen.

   

Rechenzentren spielen eine Schüsselrolle 

Für die moderne Internetinfrastruktur bilden Rechenzentren das Rückgrat. Sie sind zentrale Knotenpunkte für den Datenverkehr. Daher gibt es keinen besseren Ort, um Synergien für Technologien wie SCION zu schaffen. Zudem hilft SCION dabei, Angriffe auf Rechenzentren abzumildern, indem es sicherstellt, dass die Netzwerkinfrastruktur widerstandsfähig gegen bösartige Routing-Angriffe ist. Da das Internetprotokoll alternative Routen nutzt, wenn ein Pfad ausfällt, trägt das Rechenzentrum dazu bei, die Serviceverfügbarkeit zu maximieren. Das ist entscheidend für kritische Dienste, die eine ständige Konnektivität erfordern.

Weltweite Implementierung durch hybride Modelle und strategische Partnerschaften

Erste Banken setzen SCION bereits produktiv ein, und täglich finden Migrationen in weiteren sicherheitskritischen Branchen statt. Grosse Unternehmen, vor allem im Finanz- und Gesundheitssektor, die auf sichere und stabile Netzwerke angewiesen sind, gehören zu den Vorreitern bei der Einführung des Protokolls.

Zum Beispiel setzt die Schweizer Nationalbank (SNB) auf SCION und trug mit der Lancierung des SSFN (Secure Swiss Finance Network) massgeblich zur erfolgreichen Markteinführung bei. Mit SSFN ist eine Kommunikationsplattform für den Schweizer Finanzmarkt entstanden, die es den Teilnehmern ermöglicht, flexibel any-to-any zu kommunizieren. Zudem bietet sie inhärenten Schutz vor Cyberrisiken, konsolidierte Verbindungen zu Finanzmarkt-Teilnehmern und eine SNB-konforme Kommunikation. 

Um die bestehende Netzwerkinfrastruktur anzupassen, bieten sich hybride Modelle an, bei denen SCION-basierte Systeme parallel zu bestehenden BGP-Netzwerken laufen. So können Betreiber kontinuierlich auf SCION migrieren, ohne den Betrieb zu unterbrechen. Eine globale Verbreitung von SCION erfordert die Kooperation zwischen Regierungen, Unternehmen und Standardisierungsorganisationen. Eine umfassendere internationale Standardisierung könnte den Weg für eine weltweite Implementierung bereiten.

Das ETH-Spin-Off Anapaya arbeitet indes an der Weiterentwicklung und Verbreitung des SCION-Standards. Das erklärte Ziel der im Februar 2023 gegründeten SCION-Association ist es, die Technologie als Alternative zum derzeitigen Internetstandard zu etablieren.

Aufbau einer innovativen Partnerschaft 

Digital Realty und Cyberlink spielen eine zentrale Rolle in der erfolgreichen weltweiten Umsetzung der SCION-Technologie. Sie haben dazu beigetragen, die notwendige Infrastruktur zu schaffen, damit Unternehmen weltweit Zugang zur SCION-Technologie erhalten. Digital Realty stellt die physische Infrastruktur bereit — Rechenzentren und Interconnection-Lösungen auf PlatformDIGITAL® — während Cyberlink auf dieser Basis dafür sorgt, dass sich die SCION-Technologie weltweit nutzen und nahtlos in bestehende Infrastrukturen der Kunden integrieren lässt. Gemeinsam will man SCION weltweit skalieren und als neuen Standard etablieren. 

Das Internet noch sicherer und besser skalierbar machen

SCION repräsentiert die nächste Entwicklungsstufe des Internets, mit einem starken Fokus auf Sicherheit, Pfadkontrolle und Skalierbarkeit. Es wurde mit dem Ziel entwickelt, die Schwächen des bestehenden BGP-Protokolls zu überwinden und gleichzeitig die wachsenden Anforderungen an die moderne Internetkommunikation zu erfüllen. Während die globale Einführung von SCION noch bevorsteht, zeigen Pilotprojekte, dass ein sicheres und resilienteres Internet in Reichweite ist.

Uwe Pferr arbeitet seit Januar 2020 bei Digital Realty als Sr. Solutions Architect für Datacenter Solutions in Deutschland, Österreich, der Schweiz und den Niederlanden. Er hat mehr als 25 Jahre Erfahrung in den Bereichen Telekommunikation und IT. Als Solutions Architect ist seine Hauptaufgabe die Entwicklung massgeschneiderter IT-Infrastrukturlösungen. Er unterstützt Kunden bei der digitalen Transformation – von der Optimierung von Rechenzentren bis hin zur Integration von Cloud-Technologien und Sicherheitslösungen.