Was ist ein Air Gap?

Eine Luftlücke funktioniert nach dem Prinzip der absoluten Trennung. Während die standardmäßige Netzwerksicherheit auf Softwarefiltern basiert, beruht eine Luftlücke auf der physischen Abwesenheit eines Übertragungsmediums.

Um dies zu erreichen, werden die Netzwerkkarten (NICs) des geschützten Systems typischerweise entfernt oder deaktiviert. Es sind keine Ethernet-Kabel angeschlossen, keine Wi-Fi-Antennen aktiv und keine Bluetooth-Radios aktiviert. Das System wird effektiv zu einer Insel, unsichtbar für den Rest des digitalen Ozeans.

Da das System nicht über standardisierte Netzwerkprotokolle kommunizieren kann, erfolgt der Informationsaustausch auf manuelle Weise. Um Daten in die luftdicht abgeschottete Umgebung zu übertragen, muss ein Benutzer Dateien physisch auf tragbare Medien kopieren und sie zur isolierten Maschine bringen. Dieser Prozess schafft einen obligatorischen menschlichen Eingriffspunkt.

Dieser manuelle Arbeitsablauf führt zu einem erheblichen Reibungspunkt, der als Sicherheitsmerkmal fungiert. Da keine dauerhafte Verbindung besteht, kann ein Hacker keinen Remote-Befehlszeileninterpreter ausführen, Daten in Echtzeit exfiltrieren oder lateral von einem infizierten Arbeitsplatz zum Backup-Server wechseln. Die einzige Brücke über die Lücke ist temporär, physisch und streng kontrolliert.

Arten von Luftlücken-Konfigurationen

Organisationen implementieren Luftlücken durch verschiedene architektonische Setups, die von einfachen, getrennten Geräten bis hin zu komplexen Unternehmensspeichern reichen. Diese Konfigurationen werden basierend auf dem Gleichgewicht zwischen Sicherheitsanforderungen und dem Bedarf an betrieblicher Zugänglichkeit ausgewählt.

• Standalone isolierte Systeme: Dies ist die grundlegendste Konfiguration, die aus einem einzelnen Computer oder Server besteht, der absolut keine Netzwerkverbindungen hat. Sie wird hauptsächlich für hochsensible Aufgaben verwendet, wie z.B. die Verwaltung von Root-Zertifizierungsstellen oder die Verarbeitung klassifizierter Dokumente, bei denen Eingaben und Ausgaben ausschließlich über geprüfte tragbare Medien erfolgen.
   
• Bandbibliothekslagerung: Eine traditionelle, aber äußerst effektive Konfiguration, bei der Backup-Daten auf magnetische Bandkassetten geschrieben werden. Sobald das Backup abgeschlossen ist, werden die Bänder aus der robotergestützten Bibliothek ausgeworfen und zu einem sicheren, externen Lagerort transportiert, wodurch eine buchstäbliche Lücke zwischen den Daten und dem Netzwerk entsteht.
   
• Hardware-Daten-Dioden: Diese Konfiguration nutzt ein spezialisiertes Hardware-Gerät, das einen einseitigen Informationsfluss auf der physikalischen Ebene durchsetzt. Daten können in das Hochsicherheitsnetzwerk gesendet werden (zum Beispiel, um Protokolle zu archivieren), aber kein Signal kann physisch zum Quellnetzwerk zurückkehren, was es einem Angreifer unmöglich macht, Befehls- und Kontrollsignale zurückzusenden.
   
• Luftdicht gesicherte Backup-Geräte: Diese sind speziell entwickelte Speichergeräte, die standardmäßig offline bleiben sollen. Das System verbindet sich physisch oder logisch nur für die genaue Dauer eines geplanten Zeitfensters mit dem Produktionsnetzwerk, nach dem es sofort trennt oder herunterfährt, um die Angriffsfläche zu minimieren.
   
• Verwaltete Wiederherstellungsspeicher: In diesem Setup werden kritische Daten in einer isolierten Umgebung (oft ein Reinraum) repliziert, die vollständig vom Produktionsverzeichnis und den Netzwerkdiensten getrennt ist. Dieses Speicher wird von einem separaten Satz von Anmeldeinformationen und Administratoren verwaltet, um zu verhindern, dass ein Angreifer mit gestohlenen Administratorrechten auf die sicheren Kopien zugreift.

Vorteile der Luftdichtung

Die Implementierung einer Luftdichtstrategie bietet die höchste Verteidigungsebene für die kritischsten Vermögenswerte einer Organisation. Durch die physische Trennung von Daten vom Netzwerk gewinnen Unternehmen mehrere strategische Vorteile, die rein softwarebasierte Lösungen nicht replizieren können.

• Schutz vor Ransomware und Malware: Der Hauptvorteil besteht darin, dass er die laterale Bewegung von sich selbst verbreitender Malware stoppt; da es keine physische Verbindung gibt, die der Code durchqueren kann, kann Ransomware, die das Produktionsnetzwerk verschlüsselt, die Kopien nicht erreichen oder infizieren, wodurch ein sauberer Zustand für die Wiederherstellung erhalten bleibt.

• Verhinderung unbefugten Zugriffs: Luftdichtung neutralisiert effektiv Remote-Hacking-Versuche und unbefugte Eindringlinge, da ein Bedrohungsakteur keine Schwachstellen ausnutzen, Passwörter knacken oder kompromittierte Anmeldeinformationen verwenden kann, um auf ein System zuzugreifen, das für das Netzwerk und das Internet unsichtbar ist.

• Sicherstellung von Integrität und Compliance: Viele regulatorische Rahmenbedingungen (wie GDPR, HIPAA und finanzielle Standards) erfordern strenge Maßnahmen, um zu garantieren, dass Daten nicht manipuliert wurden; Luftdichtung erfüllt diese strengen Compliance-Anforderungen, indem sichergestellt wird, dass einmal archivierte Daten in der isolierten Umgebung unveränderlich und von externen Kräften unberührt bleiben.

• Katastrophenwiederherstellung und Geschäftskontinuität: Ein luftdicht gesichertes Backup dient als ultimative "Versicherungspolice" oder "goldene Kopie", die sicherstellt, dass selbst im schlimmsten Fall, in dem die gesamte Produktionsumgebung gelöscht oder gesperrt wird, die Organisation einen wiederherstellbaren Satz von Informationen behält, um den Geschäftsbetrieb wieder aufzunehmen.

Während Air Gapping überlegene Sicherheit bietet, führt es zu erheblichen betrieblichen Reibungen und Komplexität, die die Agilität behindern können. Die Abhängigkeit von manuellen Datenübertragungen verhindert eine Echtzeitsynchronisation, was bedeutet, dass die getrennten Daten immer leicht veraltet sind im Vergleich zur Live-Produktionsumgebung.

Darüber hinaus ist die Isolation nicht absolut; die notwendige Brücke mit abnehmbaren Medien wie USB-Laufwerken schafft eine Verwundbarkeit, bei der Malware manuell über die Lücke transportiert werden kann, wie berühmt durch den Stuxnet-Wurm demonstriert, was rigorose Dekontaminations- und physische Sicherheitsprotokolle ebenso kritisch macht wie die Trennung selbst.

Während der traditionelle "echte" Air Gap physisch ist, verwenden moderne Umgebungen oft logische Isolation, um ähnliche Schutzziele mit größerer Agilität zu erreichen.

Ein physischer Air Gap ist der "klassische" Ansatz, bei dem das System vollständig von der Infrastruktur getrennt ist. Es gibt keine Verkabelung, kein WLAN, und die Hardware befindet sich an einem separaten Standort oder in einem gesicherten Rack.

Im Gegensatz dazu verlässt sich ein logischer Air Gap auf Netzwerksegmentierung und Softwarekontrollen, um Isolation zu schaffen. Die Backup-Daten können sich im selben Netzwerk wie die Produktionsumgebung befinden, sind jedoch logisch unsichtbar und für Standardbenutzer und Anwendungen nicht zugänglich. Dies wird durch unveränderliche Speicher-Richtlinien (WORM - Write Once, Read Many), unterschiedliche Authentifizierungsdomänen und Zero-Trust-Netzwerkkonfigurationen erreicht, die gesamten Verkehr außer spezifischen, autorisierten Backup-Streams ablehnen.

Air Gap-Technologien sind in hochriskanten Sektoren unerlässlich, in denen Datenkompromisse katastrophale physische oder finanzielle Folgen haben können. In den Regierungs- und Militärsektoren sind physische Air Gaps Standardprotokoll zum Schutz von geheimen Informationen und Waffenkontrollsystemen vor ausländischer Spionage.

Betriebe kritischer Infrastrukturen, wie Kraftwerke und Wasseraufbereitungsanlagen, verlassen sich auf air-gapped industrielle Steuerungssysteme (ICS) und SCADA-Netzwerke, um Angriffe zu verhindern, die die öffentliche Sicherheit gefährden könnten.

Inzwischen nutzen Finanzinstitute isolierte Netzwerke, um SWIFT-Transaktionsterminals und zentrale Bankbücher vor Betrug zu sichern, und Gesundheitsorganisationen übernehmen zunehmend unveränderliche, logisch air-gapped Backups, um sensible Patientenakten vor der wachsenden Bedrohung durch Malware zu schützen, die auf die Verfügbarkeit von Krankenhäusern abzielt.

Best Practices für die Implementierung von Air Gaps

Die Implementierung eines Air Gaps ist keine "einrichten und vergessen"-Aufgabe; es erfordert strenge Disziplin, um gegen Bedrohungen wie Ransomware wirksam zu bleiben.

• Definieren Sie strenge Zugriffskontrollen: Begrenzen Sie den physischen Zugang zur air-gapped Umgebung auf eine minimale Anzahl von geprüften Personen und setzen Sie eine "Zwei-Personen-Regel" für kritische Operationen durch, um Insider-Bedrohungen zu verhindern.
   
• Sanitisiere abnehmbares Medium: Richten Sie eine obligatorische Scanstation ein, um alle USB-Laufwerke oder externen Festplatten auf Malware zu analysieren, bevor sie jemals mit dem sicheren System verbunden werden.
   
• Automatisiere logische Isolation: Wenn Sie eine logische Luftlücke verwenden, stellen Sie sicher, dass der Speicher unveränderlich (WORM) ist und von einem völlig separaten Authentifizierungssystem verwaltet wird (z. B. nicht mit dem Hauptunternehmensverzeichnis verbunden).
   
• Regelmäßig die Reaktionszeit testen: Eine Luftlücke ist nutzlos, wenn die Daten nicht abgerufen werden können; planen Sie regelmäßige Übungen, um Daten physisch aus der isolierten Umgebung abzurufen, zu mounten und wiederherzustellen, um die Integrität und Wiederherstellungszeiten zu überprüfen.

Luftlücke vs. andere Maßnahmen

Während Standard-Sicherheitswerkzeuge für die tägliche Verteidigung unerlässlich sind, arbeiten sie in verbundenen Netzwerken, während eine Luftlücke auf vollständiger Isolation beruht.

• Luftlücke vs. Firewalls und IDS: Firewalls und Intrusion Detection Systeme (IDS) filtern den Datenverkehr basierend auf Regeln und Signaturen, aber wenn ein Zero-Day-Exploit diese Softwarefilter umgeht, ist das Netzwerk exponiert; eine Luftlücke hingegen verhindert physisch jeden Datenfluss und macht Remote-Exploits unabhängig von Softwareanfälligkeiten unmöglich.
   
• Luftlücke vs. Netzwerksegmentierung: Die Netzwerksegmentierung (unter Verwendung von VLANs) begrenzt die laterale Bewegung, indem ein Netzwerk in kleinere Zonen unterteilt wird, aber diese Zonen bleiben in der Realität verbunden und potenziell durch Fehlkonfigurationen oder Diebstahl von Anmeldeinformationen durchquerbar; eine Luftlücke entfernt die Verbindung vollständig und bietet eine deutlichere physische Grenze, die logische Segmentierung nicht emulieren kann.
   
• Luftlücke vs. cloudbasierte Isolation: Cloudbasierte Isolation (oft als "unveränderliches Backup" bezeichnet) schafft eine logische Luftlücke, indem sie Daten gegen Änderungen (WORM) innerhalb einer verbundenen Umgebung sperrt; während sie für eine schnelle Malware-Wiederherstellung äußerst effektiv ist, fehlt ihr die absolute Trennung einer physischen Luftlücke, die vor plattformweiten Kompromittierungen oder Insider-Bedrohungen mit administrativem Cloud-Zugriff schützt.

Wie OVHcloud Konzepte der Luftlückensicherheit umsetzt

OVHcloud integriert die Prinzipien der Isolation und Unveränderlichkeit in seine Architektur, um robusten Schutz zu bieten, der traditionelle Luftlücken widerspiegelt.

• Datenisolierung und sichere Datenbackup Lösungen: Die Kaltarchivlösung von OVHcloud nutzt die IBM-Bandbibliothek-Technologie, um Daten offline für die langfristige Aufbewahrung zu speichern; dies bietet ein modernes, automatisiertes Äquivalent einer physischen Luftlücke, bei der Daten auf Band geschrieben und physisch vom aktiven Festplattensystem entkoppelt werden, bis eine Wiederherstellung angefordert wird.
   
• Anti-Ransomware und Notfallwiederherstellung Bereitschaft: Durch die Unterstützung von Objekt-Sperren (WORM) auf seinem S3-kompatiblen Object Storage ermöglicht es OVHcloud den Benutzern, unveränderliche Backups zu erstellen, die von Malware oder böswilligen Akteuren für einen festgelegten Zeitraum nicht verschlüsselt, geändert oder gelöscht werden können, wodurch effektiv eine logische Luftlücke für sofortige Notfallreaktionen geschaffen wird.
   
• OVHcloud-Compliance- und Souveränitätsansatz: OVHcloud stellt sicher, dass Daten in der Realität und rechtlich durch sein strenges Datenhoheitsrahmen getrennt bleiben; Daten werden in lokalisierten Rechenzentren gespeichert (immuns gegen extraterritoriale Gesetze wie den US CLOUD Act für Nicht-US-Kunden) und durch strenge physische Zugangskontrollen geschützt, die sicherstellen, dass die "Lücke" sowohl gegen Cyber-Bedrohungen als auch gegen geopolitische Risiken schützt.